mcafee endpoint security 10 · para ver as mais recentes informações sobre licença de...

Guia do produto

McAfee Endpoint Security 10.2

COPYRIGHT

© 2016 Intel Corporation

ATRIBUIÇÕES DE MARCAS COMERCIAISIntel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee ActiveProtection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence,McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfeeTotal Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outrospaíses. Outros nomes e marcas podem ser propriedade de terceiros.

INFORMAÇÕES SOBRE LICENÇA

Contrato de licençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃODEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWAREOU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL OPACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃOINSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSOTOTAL.

2 McAfee Endpoint Security 10.2 Guia do produto

Conteúdo

McAfee Endpoint Security 7

1 Introdução 9Módulos do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Como o Endpoint Security protege seu computador . . . . . . . . . . . . . . . . . . . . 10

Como sua proteção permanece atualizada . . . . . . . . . . . . . . . . . . . . . 11Interação com o Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Sobre mensagens de notificação . . . . . . . . . . . . . . . . . . . . . . . . 14Sobre o Cliente do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . 14

2 Uso do Cliente do Endpoint Security 19Abrir o Cliente do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . 19Obter ajuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Responder a prompts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Responder a um prompt de detecção de ameaça . . . . . . . . . . . . . . . . . . 20Responder a um prompt de varredura . . . . . . . . . . . . . . . . . . . . . . 21Responder a uma solicitação de reputação de arquivo . . . . . . . . . . . . . . . . 21

Obter informações sobre sua proteção . . . . . . . . . . . . . . . . . . . . . . . . . 22Tipos de gerenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Atualizar a proteção e o software manualmente . . . . . . . . . . . . . . . . . . . . . 23O que é atualizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Exibir o Log de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Nomes de arquivo e localizações de logs do Endpoint Security . . . . . . . . . . . . . 25

Gerenciamento do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . 27Entrar como administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Desbloquear a interface de cliente . . . . . . . . . . . . . . . . . . . . . . . . 28Desativar e ativar recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Alterar a versão do conteúdo do AMCore . . . . . . . . . . . . . . . . . . . . . 29Usar arquivos Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Configurar definições comuns . . . . . . . . . . . . . . . . . . . . . . . . . . 30Configurar comportamento da atualização . . . . . . . . . . . . . . . . . . . . . 35

Referência da interface do cliente — Em Comum . . . . . . . . . . . . . . . . . . . . . 41Página Log de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Em Comum — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Em Comum — Tarefas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

3 Utilizando o Prevenção contra ameaças 57Varrer seu computador em busca de malware . . . . . . . . . . . . . . . . . . . . . . 57

Tipos de varreduras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Executar uma Varredura completa ou uma Varredura rápida . . . . . . . . . . . . . 58Varrer um arquivo ou pasta . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Gerenciar detecções de ameaças . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Gerenciar itens em quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

McAfee Endpoint Security 10.2 Guia do produto 3

Nome da detecção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Repetição de varredura de itens em quarentena . . . . . . . . . . . . . . . . . . 65

Gerenciamento do Prevenção contra ameaças . . . . . . . . . . . . . . . . . . . . . . 65Configuração de exclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Proteção de pontos de acesso do sistema . . . . . . . . . . . . . . . . . . . . . 67Bloqueio de explorações de estouro de buffer . . . . . . . . . . . . . . . . . . . 76Detectar programas potencialmente indesejados . . . . . . . . . . . . . . . . . . 78Configure definições de varreduras comuns . . . . . . . . . . . . . . . . . . . . 81Como funciona o McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . 81Configurar as definições de de Varredura ao acessar . . . . . . . . . . . . . . . . 82Configurar definições da política de . . . . . . . . . . . . . . . . . . . . . . . 87Configurar, agendar e executar tarefas de varredura . . . . . . . . . . . . . . . . 92

Referência da interface do cliente — Prevenção contra ameaças . . . . . . . . . . . . . . . 93Página Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Prevenção contra ameaças — Proteção de acesso . . . . . . . . . . . . . . . . . 94Prevenção contra ameaças — Prevenção de exploração . . . . . . . . . . . . . . 106Prevenção contra ameaças — Varredura ao acessar . . . . . . . . . . . . . . . . 110Prevenção contra ameaças — Varredura por solicitação . . . . . . . . . . . . . . 115Varrer locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Ações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Adicionar exclusão ou Editar exclusão . . . . . . . . . . . . . . . . . . . . . . 123Prevenção contra ameaças — Opções . . . . . . . . . . . . . . . . . . . . . . 123tarefa do cliente Reverter AMCore Content . . . . . . . . . . . . . . . . . . . . 125

4 Usar o Firewall 127Como funciona o Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee . . . . . . . . . 127Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Sobre grupos temporizados . . . . . . . . . . . . . . . . . . . . . . . . . . 128Gerenciamento do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Modificar opções de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . 129Configurar regras e grupos do Firewall . . . . . . . . . . . . . . . . . . . . . . 133

Referência da interface do cliente — Firewall . . . . . . . . . . . . . . . . . . . . . . 143Firewall — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Firewall — Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

5 Usar o Controle da Web 157Sobre os recursos do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . 157

Como o Controle da Web bloqueia ou avisa sobre um site ou um download . . . . . . . 158O botão do Controle da Web identifica ameaças durante a navegação . . . . . . . . . 159Os ícones de segurança identificam ameaças durante a pesquisa . . . . . . . . . . . 160Os relatórios do site apresentam detalhes . . . . . . . . . . . . . . . . . . . . 160Como as classificações de segurança são compiladas . . . . . . . . . . . . . . . . 161

Acessar recursos do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . 162Ativar o plug-in de Controle da Web usando o navegador . . . . . . . . . . . . . . 162Ver informações sobre um site enquanto navega . . . . . . . . . . . . . . . . . 163Exibir relatório de site durante a pesquisa . . . . . . . . . . . . . . . . . . . . 163

Gerenciamento do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . . 164Configurar opções de Controle da Web . . . . . . . . . . . . . . . . . . . . . 164Especificar ações de classificação e bloqueio de acesso a sites com base na categoria da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Referência da interface do cliente — Controle da Web . . . . . . . . . . . . . . . . . . 168Controle da Web — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . 168Controle da Web — Ações de conteúdo . . . . . . . . . . . . . . . . . . . . . 170

Conteúdo


6 Usar o Inteligência contra ameaças 173Como o Inteligência contra ameaças funciona . . . . . . . . . . . . . . . . . . . . . . 173Gerenciamento do Inteligência contra ameaças . . . . . . . . . . . . . . . . . . . . . 174

Sobre a Inteligência contra ameaças . . . . . . . . . . . . . . . . . . . . . . 174Confinamento dinâmico de aplicativos . . . . . . . . . . . . . . . . . . . . . . 180Configurar opções de Inteligência contra ameaças . . . . . . . . . . . . . . . . . 187

Referência da interface do cliente — Inteligência contra ameaças . . . . . . . . . . . . . . 188Inteligência contra ameaças — Confinamento dinâmico de aplicativos . . . . . . . . . 188Inteligência contra ameaças — Opções . . . . . . . . . . . . . . . . . . . . . 191

Índice 197

Conteúdo


Conteúdo


McAfee Endpoint Security

O McAfee®

Endpoint Security é uma solução de gerenciamento de segurança abrangente que éexecutada em computadores em rede para identificar e interromper ameaças automaticamente. Estaajuda explica como usar os recursos básicos de segurança e solucionar problemas.

Introdução

• Módulos do Endpoint Security na página 9

• Como o Endpoint Security protege seu computador na página 10

• Interação com o Endpoint Security na página 12

Tarefas realizadas com frequência

• Abrir o Cliente do Endpoint Security na página 19

• Atualizar a proteção e o software manualmente na página 23

• Varrer seu computador em busca de malware na página 57

• Desbloquear a interface de cliente na página 28

Mais informações

Para acessar informações adicionais sobre este produto, consulte:

• Guia de instalação do McAfee Endpoint Security

• McAfee Endpoint Security Guia de migração

• Notas de versão do McAfee Endpoint Security

• Ajuda da Prevenção contra ameaças do Endpoint Security

• Ajuda do Firewall do Endpoint Security

• Ajuda do Controle da Web do Endpoint Security

• Ajuda do Inteligência contra ameaças do Endpoint Security

• Suporte da McAfee


http://mysupport.mcafee.com

McAfee Endpoint Security


1 Introdução

O Endpoint Security é uma solução de gerenciamento de segurança abrangente que é executada emcomputadores em rede para identificar e interromper ameaças automaticamente. Esta ajuda explicacomo usar os recursos básicos de segurança e solucionar problemas.

Se o computador for gerenciado, o administrador define e configura o Endpoint Security usando umdos seguintes servidores de gerenciamento:

• McAfee® ePolicy Orchestrator® (McAfee ePO™)

• McAfee® ePolicy Orchestrator® Cloud (McAfee ePO™ Cloud)

Para ver as mais recentes informações sobre licença de gerenciamento e direitos do EndpointSecurity, consulte o artigo KB87057.

A Inteligência contra ameaças não é suportada em sistemas gerenciados pelo McAfee ePO Cloud.

Se o seu computador for autogerenciado, o software poderá ser configurado por você ou peloadministrador usando o Cliente do Endpoint Security.

Conteúdo Módulos do Endpoint Security Como o Endpoint Security protege seu computador Interação com o Endpoint Security

Módulos do Endpoint SecurityO administrador configura e instala um ou mais módulos do Endpoint Security em computadorescliente.

• Prevenção contra ameaças - Verifica vírus, spywares, programas indesejados e outras ameaçasvarrendo itens automaticamente quando os usuários os acessam ou, sob demanda, a qualquermomento.

• Firewall - Monitora a comunicação entre o computador e os recursos da rede e da Internet.Intercepta comunicações suspeitas.

1


https://kc.mcafee.com/corporate/index?page=content&id=KB87057

• Controle da Web - Exibe classificações e relatórios de segurança para sites durante a navegaçãoou pesquisa on-line. O Controle da Web permite que o administrador do site bloqueie o acesso asites com base na classificação de segurança ou no conteúdo.

• Inteligência contra ameaças — Fornece segurança adaptável com reconhecimento de contextopara seu ambiente de rede.

A Inteligência contra ameaças do Endpoint Security é um módulo opcional do Endpoint Security.Para ter fontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidorThreat Intelligence Exchange. Para obter informações, entre em contato com seu revendedor ourepresentante de vendas.


Além disso, o módulo Em Comum fornece configurações para recursos comuns, como registro em loge segurança da interface. Esse módulo é instalado automaticamente se qualquer outro módulo forinstalado.

Como o Endpoint Security protege seu computadorNormalmente, um administrador configura o Endpoint Security, instala o software nos computadoresclientes, monitora o status da segurança e configura regras de segurança, denominadas políticas.

Como usuário do computador cliente, você interage com o Endpoint Security através do softwarecliente instalado no computador. As políticas configuradas pelo administrador determinam como osmódulos e recursos operam no computador e se você pode modificá-los.

Se o Endpoint Security for autogerenciado, é possível especificar o modo de operação dos módulos edos recursos. Para determinar o tipo de gerenciamento, consulte a página Sobre.

Em intervalos regulares, o software cliente no computador se conecta a um site da Internet paraatualizar seus componentes. Ao mesmo tempo, ele envia dados sobre detecções no computador parao servidor de gerenciamento. Esses dados são usados para gerar relatórios para o administrador sobredetecções e questões de segurança no computador.

Geralmente, o software cliente opera em segundo plano, sem nenhuma interação com o usuário.Ocasionalmente, no entanto, pode ser necessário interagir com ele. Por exemplo, talvez você queiraverificar atualizações de software ou fazer varreduras de malware manualmente. Dependendo daspolíticas configuradas pelo administrador, talvez você também possa personalizar as configurações desegurança.

Se você for um administrador, poderá configurar e gerenciar o software cliente de forma centralizadausando o McAfee ePO ou o McAfee ePO Cloud.

Para ver as mais recentes informações sobre licença de gerenciamento e direitos do Endpoint Security,consulte o artigo KB87057.

Consulte também Obter informações sobre sua proteção na página 22

1 IntroduçãoComo o Endpoint Security protege seu computador



Como sua proteção permanece atualizadaAtualizações regulares do Endpoint Security asseguram que seu computador esteja sempre protegidocontra as ameaças mais recentes.

Para executar atualizações, o software cliente se conecta a um servidor McAfee ePO local ou remotoou diretamente a um site da Internet. O Endpoint Security verifica se há:

• Atualizações dos arquivos de conteúdos usados para detectar ameaças. Os arquivos de conteúdocontêm definições de ameaças como vírus e spyware, e essas definições são atualizadas à medidaque novas ameaças são descobertas.

• Atualizações de componentes de software como patches e hotfixes.

Para simplificar a terminologia, esta Ajuda se refere a atualizações e melhoramentos comoatualizações.

As atualizações em geral ocorrem automaticamente em segundo plano. Talvez também sejanecessário verificar a existência de atualizações manualmente. Dependendo das configurações, épossível atualizar manualmente sua proteção a qualquer momento no Cliente do Endpoint Security

clicando em .

Consulte também Atualizar a proteção e o software manualmente na página 23

Como funcionam os arquivos de conteúdoAo pesquisar os arquivos em busca de ameaças, o mecanismo de varredura compara o conteúdo dosarquivos examinados com as informações de ameaças conhecidas armazenadas nos arquivos deconteúdo do AMCore. A Prevenção de exploração usa seus próprios arquivos de conteúdo paraproteger contra explorações.

Conteúdo do AMCore

O McAfee Labs encontra e adiciona informações de ameaças conhecidas (assinaturas) aos arquivos deconteúdo. Com as assinaturas, os arquivos de conteúdo incluem informações sobre a limpeza e acorreção de danos que o vírus detectado pode causar.

Se a assinatura de um vírus não estiver nos arquivos de conteúdo instalados, o mecanismo devarredura não conseguirá detectar o vírus, deixando seu sistema vulnerável a ataques.

Novas ameaças aparecem regularmente. O McAfee Labs libera atualizações de mecanismos e novosarquivos de conteúdo que incorporam os resultados de pesquisas contínuas de ameaças todos os diasàs 19h (GMT/UTC). Se uma nova ameaça for justificável, os arquivos diários de conteúdo do AMCorepoderão ser liberados mais cedo e, em algumas circunstâncias, as liberações poderão ser atrasadas.Para receber alertas relacionados a atrasos ou notificações importantes, inscreva-se no SNS (SupportNotification Service). Consulte o artigo KB67828 da Base de dados de conhecimento.

O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versõesanteriores na pasta Arquivos de Programas\Arquivos Comuns\McAfee\Engine\content. Se necessário,é possível voltar a uma versão anterior.

Quando um novo malware é descoberto e uma detecção extra é necessária fora da programação deatualizações de conteúdo regular, o McAfee Labs libera um arquivo Extra.DAT. Para obter informaçõessobre como instalar arquivos Extra.DAT, consulte a Ajuda da Prevenção contra ameaças.

IntroduçãoComo o Endpoint Security protege seu computador 1



Conteúdo da Prevenção de exploração

O conteúdo da Prevenção de exploração inclui:

• Assinaturas de proteção de memória - GBOP (Generic Buffer Overflow Protection - Proteção contraestouro de buffer genérica), validação de chamador, GPEP (Generic Privilege Escalation Prevention -Prevenção contra escalonamento de privilégios genéricos) e Monitoramento de API de destino.

• Lista de proteção de aplicativos — Processos protegidos pela Prevenção de exploração.

A McAfee libera novos arquivos de conteúdo da Prevenção de exploração uma vez por mês.

Conteúdo do Inteligência contra ameaças

O conteúdo do Inteligência contra ameaças inclui regras para calcular dinamicamente a reputação dearquivos e processos nos pontos de extremidade. A McAfee libera novos arquivos de conteúdo doInteligência contra ameaças a cada dois meses.

A Inteligência contra ameaças do Endpoint Security é um módulo opcional do Endpoint Security. Parater fontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor ThreatIntelligence Exchange. Para obter informações, entre em contato com seu revendedor ourepresentante de vendas.

Interação com o Endpoint SecurityO Endpoint Security possui componentes visuais para interagir com o Cliente do Endpoint Security.

• Ícone da McAfee na bandeja do sistema Windows – Permite iniciar o Cliente do Endpoint Security evisualizar o status da segurança.

• Mensagens de notificação – Alertam sobre varreduras e sobre detecções de intrusão do firewall,além de arquivos com reputações desconhecidas, e solicitam sua posição.

• Página de Varredura ao acessar – Exibe uma lista de detecção de ameaças quando o mecanismo devarredura ao acessar detecta uma ameaça.

• Cliente do Endpoint Security - Exibe o status de proteção atual e oferece acesso a recursos.

Em sistemas gerenciados, o administrador configura e atribui políticas que permitem definir oscomponentes exibidos.

Consulte também Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. napágina 12Sobre mensagens de notificação na página 14Gerenciar detecções de ameaças na página 61Sobre o Cliente do Endpoint Security na página 14

Como acessar as tarefas do Endpoint Security no ícone daMcAfee na bandeja do sistema.O ícone da McAfee na bandeja do sistema Windows fornece acesso ao Cliente do Endpoint Security e aalgumas tarefas básicas.

As definições de configuração determinam se o ícone da McAfee está disponível.

Clique com o botão direito do mouse no ícone da McAfee na bandeja do sistema para:

1 IntroduçãoInteração com o Endpoint Security


Verificar o status dasegurança.

Selecione Exibir status de segurança para exibir a página de Status de segurança daMcAfee.

Abra o Cliente doEndpoint Security.

Selecione McAfee Endpoint Security.

Atualizar proteção esoftware manualmente.

Selecione Atualizar segurança.

Desativar ou reativar oFirewall.

Selecione Desativar o Firewall do Endpoint Security no menu Configurações rápidas.Quando o Firewall está desativado, a opção é Ativar o Firewall do Endpoint Security.

Ativar, desativar ouexibir grupostemporizados doFirewall.

Selecione uma das opções do menu Configurações rápidas:• Ativar grupos limitados de firewall — Ativa os grupos temporizados por um

determinado período de tempo a fim de permitir o acesso à Internetantes que as regras que restringem o acesso sejam aplicadas. Quando osgrupos temporizados estão ativados, a opção é Desativar grupos temporizadosdo Firewall.Sempre que selecionar essa opção, você redefinirá o tempo dos grupos.

Dependendo das configurações, você pode ser solicitado a fornecer aoadministrador um motivo para ativar os grupos temporizados.

• Exibir grupos limitados de firewall — Exibe os nomes dos grupos temporizados ea quantidade de tempo restante de ativação de cada grupo.

Dependendo de como as configurações foram definidas, essas opçõespodem não estar disponíveis.

Como o ícone indica o status da segurança do Endpoint Security

A aparência do ícone é alterada para indicar o status do Endpoint Security. Ao manter o cursor sobre oícone, é exibida uma mensagem descrevendo o status.

Ícone Indica...

O Endpoint Security está protegendo o sistema e não existem problemas.

O Endpoint Security detectou um problema de segurança, como a desativação de um móduloou de uma tecnologia.• O Firewall está desativado.

• Prevenção contra ameaças — A Prevenção de exploração, a Varredura ao acessar ou oScriptScan estão desativados.

O Endpoint Security relata problemas de formas diferentes, dependendo do tipo degerenciamento.• Autogerenciado:

• Uma ou mais tecnologias estão desativadas.

• Uma ou mais tecnologias não estão respondendo.

• Gerenciado:

• Uma ou mais tecnologias foram desativadas, não como resultado de uma imposição depolítica do servidor de gerenciamento ou do Cliente do Endpoint Security.

• Uma ou mais tecnologias não estão respondendo.

Quando um problema é detectado, a página Status de segurança da McAfee indica qual módulo outecnologia está desativado.

Consulte também O que é atualizado na página 24

IntroduçãoInteração com o Endpoint Security 1


Sobre mensagens de notificaçãoO Endpoint Security usa dois tipos de mensagens para notificar sobre problemas com sua proteção ousolicitar alguma entrada. Algumas mensagens podem não aparecer, dependendo da forma como asdefinições estão configuradas.

O processo McTray.exe deve estar em execução para que o Endpoint Security exiba as mensagens denotificação.

O Endpoint Security envia dois tipos de notificações:

• Os Alertas são exibidos no ícone da McAfee por cinco segundos e depois desaparecem.

Os alertas notificam sobre detecções de ameaças, como eventos de intrusão de Firewall, ou quandouma varredura por solicitação é pausada ou retomada. Eles não requerem nenhuma ação sua.

• Os Avisos abrem uma página na parte inferior da tela e permanecem visíveis até você selecionaruma opção.

Por exemplo:

• Quando uma varredura por solicitação agendada está prestes a começar, o Endpoint Securitypoderá solicitar o adiamento da varredura.

• Quando o mecanismo de varredura ao acessar detecta uma ameaça, o Endpoint Security podesolicitar uma resposta à detecção.

• Quando o Inteligência contra ameaças detecta um arquivo com reputação desconhecida, oEndpoint Security pode solicitar que você permita ou bloqueie o arquivo.

No Windows 8 e 10, use as notificações do sistema — mensagens pop-up notificando sobre alertas eavisos. Clique na notificação do sistema para exibir a notificação no modo Área de trabalho.

Consulte também Responder a um prompt de detecção de ameaça na página 20Responder a um prompt de varredura na página 21Responder a uma solicitação de reputação de arquivo na página 21

Sobre o Cliente do Endpoint SecurityO Cliente do Endpoint Security permite que você verifique o status da proteção e acesse recursos nocomputador.

• As opções do menu Ação fornecem acesso aos recursos.

Configurações Configura definições de recursos.Essa opção de menu será disponibilizada se uma das seguintes condições forverdadeira:

• O Modo da interface do cliente estiver configurado como Acesso total.

• Você estiver conectado como administrador.

Carregar Extra.DAT Permite a instalação de um arquivo Extra.DAT baixado.

Reverter conteúdo doAMCore

Reverte o conteúdo do AMCore para uma versão anterior.Essa opção de menu será disponibilizada se houver uma versão anterior deconteúdo do AMCore no sistema e se uma das seguintes condições forverdadeira:

• O Modo da interface do cliente estiver configurado como Acesso total.

• Você estiver conectado como administrador.



Ajuda Exibe a Ajuda.

Links do suporte Exibe uma página com links para páginas úteis, como o McAfee ServicePortale o Centro de conhecimento.

Logon doadministrador

Faz logon como o administrador de site. (Requer credenciais deadministrador.)Essa opção de menu estará disponível se o modo de interface de cliente nãoestiver configurado como Acesso total. Quando já se fez o logon comoadministrador, essa opção é Logoff do administrador.

Sobre Exibe informações sobre o Endpoint Security.

Sair Sai do Cliente do Endpoint Security.

• Os botões na parte superior direita da página proporcionam acesso rápido a tarefas frequentes.

Verifica a existência de malware com uma Varredura completa ou Varredurarápida do sistema.

Esse botão só estará disponível se o módulo Prevenção contra ameaçasestiver instalado.

Atualiza arquivos de conteúdo e componentes de software no seucomputador.

O botão pode não aparecer, dependendo da forma como as definições estãoconfiguradas.

• Os botões no lado esquerdo da página oferecem informações sobre a proteção.

Status Retorna à página Status principal.

Log de eventos Exibe o log de toda a proteção e eventos de ameaça no computador.

Quarentena Abre o Gerenciador de quarentena.

Esse botão só estará disponível se o módulo Prevenção contra ameaças estiverinstalado.

• O Resumo de ameaças oferece informações sobre as ameaças detectadas pelo Endpoint Securityno sistema nos últimos 30 dias.

Consulte também Carregar um arquivo Extra.DAT em um na página 30Entrar como administrador na página 27Varrer seu computador em busca de malware na página 57Atualizar a proteção e o software manualmente na página 23Exibir o Log de eventos na página 24Gerenciar itens em quarentena na página 62Gerenciamento do Endpoint Security na página 27Sobre o Resumo de ameaças na página 15

Sobre o Resumo de ameaçasA página de Status do Cliente do Endpoint Security apresenta um resumo em tempo real das ameaçasdetectadas no seu sistema nos últimos 30 dias.

À medida que novs ameaças são detectadas, a página de Status atualiza dinamicamente os dados naárea do Resumo de ameaças no painel inferior.



O Resumo de ameaças inclui:

• Data da última ameaça eliminada

• Os dois principais vetores de ameaça, por categoria:

Web Ameaças de páginas da web ou downloads.

Dispositivo ou mídia externa Ameaças de dispositivos externos, como USB, 1394 firewire, eSATA, fita,CD, DVD ou disco.

Rede Ameaças de rede (sem relação com o compartilhamento de arquivos emrede).

Sistema local Ameaças da unidade do sistema de arquivos de inicialização local (emgeral, C:) ou de outras unidades que não as classificadas comoDispositivo ou mídia externa.

Compartilhamento de arquivos Ameaças de compartilhamento de arquivos de uma rede

E-mail Ameaças de mensagens de e-mail.

Mensagem instantânea Ameaças de mensagens instantâneas.

Desconhecida Ameaças onde o vetor de ataque não está determinado (devido a umacondição de erro ou outro caso de falha).

• Número de ameaças por vetor de ameaça

Se o Cliente do Endpoint Security não conseguir acessar o Gerenciador de eventos, será mostrada umamensagem de erro de comunicação no Cliente do Endpoint Security. Nesse caso, reinicialize o sistemapara ver o Resumo de ameaças.

Como as configurações afetam seu acesso ao clienteAs definições do Modo da interface do cliente atribuídas a seu computador determinam os módulos eos recursos que podem ser acessados.

Altere o Modo da interface do cliente nas configurações do Em Comum.

Em sistemas gerenciados, as alterações de política do McAfee ePO podem substituir as alterações dapágina Configurações.

As opções de Modo de interface do cliente para o cliente são:



Acesso total Permite acesso a todos os recursos, incluindo:• Ativar e desativar módulos individuais e recursos.

• Acesso à página Configurações para exibir ou modificar todas as definições do Clientedo Endpoint Security.

(Padrão)

Acessopadrão

Exibe o status de proteção e permite acesso à maioria dos recursos:• Atualiza arquivos de conteúdo e componentes de software no seu computador (quando

ativado pelo administrador).

• Executa uma verificação completa em todas as áreas de seu sistema, recomendável sehouver suspeita de que o computador está infetado.

• Executa uma verificação rápida (2 minutos) das áreas do sistema mais suscetíveis ainfecção.

• Acessa o Log de eventos.

• Gerencia os itens na Quarentena.

No modo de interface de Acesso padrão, é possível entrar como administrador para acessartodos os recursos, inclusive todas as configurações.

Bloquearinterface docliente

Requer uma senha para acessar o cliente.Depois de desbloquear a interface de cliente, é possível acessar todos os recursos.

Se você não puder acessar o Cliente do Endpoint Security ou tarefas e recursos específicos necessáriospara fazer seu trabalho, fale com o administrador.

Consulte também Controle do acesso ao software cliente na página 33

Como os módulos instalados afetam o cliente Alguns aspectos do cliente podem não estar disponíveis, dependendo dos módulos instalados em seucomputador.

Estes recursos estão disponíveis somente se a Prevenção contra ameaças estiver instalada:

•Botão

• Botão Quarentena



Os recursos instalados no sistema determinam os recursos que aparecerão:

• No Log de eventos, a lista suspensa Filtrar por módulo.

• Na página Configurações.

Em Comum Aparece se algum módulo estiver instalado.

Threat Prevention : Prevençãocontra ameaças

Aparece somente se a Prevenção contra ameaças estiver instalada.

Firewall : Firewall Aparece somente se o Firewall estiver instalado.

Web Control : Controle da Web Aparece somente se o Controle da Web estiver instalado.

Inteligência contra ameaças Aparece somente se a Inteligência contra ameaças e a Prevençãocontra ameaças estiverem instaladas.

A Inteligência contra ameaças não é suportada em sistemasgerenciados pelo McAfee ePO Cloud.

Dependendo do Modo da interface do cliente e de como o administrador configurou seu acesso, algunsou todos os recursos podem não estar disponíveis.

Consulte também Como as configurações afetam seu acesso ao cliente na página 16



2 Uso do Cliente do Endpoint Security

Use o cliente em modo de Acesso padrão para realizar a maioria das funções, incluindo varreduras dosistema e gerenciamento de itens em quarentena.

Conteúdo Abrir o Cliente do Endpoint Security Obter ajuda Responder a prompts Obter informações sobre sua proteção Atualizar a proteção e o software manualmente Exibir o Log de eventos Gerenciamento do Endpoint Security Referência da interface do cliente — Em Comum

Abrir o Cliente do Endpoint SecurityAbra o Cliente do Endpoint Security para exibir o status dos recursos de proteção instalados nocomputador.

Se o modo de interface estiver configurado para Bloquear interface do cliente, digite a senha doadministrador para abrir o Cliente do Endpoint Security.

Tarefa1 Use um dos métodos a seguir para exibir o Cliente do Endpoint Security:

• Clique com o botão direito no ícone da bandeja do sistema e selecione McAfee Endpoint Security.

• Selecione Iniciar | Todos os programas | McAfee | McAfee Endpoint Security.

• No Windows 8 e 10, inicie o aplicativo McAfee Endpoint Security.1 Pressione a tecla Windows.

2 Digite McAfee Endpoint Security na área de pesquisa e clique duas vezes ou toque noaplicativo McAfee Endpoint Security.

2 Quando solicitado, digite a senha do administrador na página de Logon do administrador e clique emLogon.

O Cliente do Endpoint Security é aberto no modo de interface configurado pelo administrador.

Consulte também Desbloquear a interface de cliente na página 28

2


Obter ajudaExistem dois métodos para obter ajuda ao trabalhar no cliente: a opção de menu Ajuda e o ícone ?.

Para usar a ajuda do Endpoint Security com o Internet Explorer, Script ativo deve estar ativado nonavegador.

Tarefa

1 Abra o Cliente do Endpoint Security.

2 Dependendo da página em que você estiver:

• Páginas Status, Log de eventos e Quarentena: no menu Ação , selecione Ajuda.

• Páginas Configurações, Atualizar, Varrer sistema, Reverter conteúdo do AMCore e Carregar Extra.DAT: clique em ?na interface.

Responder a promptsDependendo da definição das configurações, o Endpoint Security poderá solicitar uma ação quandouma varredura por solicitação agendada estiver prestes a começar.

Tarefas

• Responder a um prompt de detecção de ameaça na página 20Quando o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitaruma resposta do usuário para continuar, dependendo de como as definições foramconfiguradas.

• Responder a um prompt de varredura na página 21Quando uma varredura por solicitação agendada está prestes a começar, o EndpointSecurity poderá solicitar uma ação do usuário para continuar. O prompt somente aparecese a configuração da varredura permitir que seja adiada, pausada, retomada ou cancelada.

• Responder a uma solicitação de reputação de arquivo na página 21Quando um arquivo com uma reputação específica tenta ser executado no sistema, oEndpoint Security pode solicitar sua autorização para continuar. A solicitação será exibidaapenas se a Inteligência contra ameaças estiver configurada para fazê-lo.

Responder a um prompt de detecção de ameaçaQuando o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar umaresposta do usuário para continuar, dependendo de como as definições foram configuradas.


TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.

• Na página Varredura ao acessar, selecione as opções que permitem gerenciar detecções de ameaças.

É possível reabrir a página de varreduras para gerenciar as detecções a qualquer momento.

A lista de detecções da varredura ao acessar é eliminada quando o serviço Endpoint Securityreinicia ou na reinicialização do sistema.

2 Uso do Cliente do Endpoint SecurityObter ajuda


Consulte também Gerenciar detecções de ameaças na página 61

Responder a um prompt de varreduraQuando uma varredura por solicitação agendada está prestes a começar, o Endpoint Security poderásolicitar uma ação do usuário para continuar. O prompt somente aparece se a configuração davarredura permitir que seja adiada, pausada, retomada ou cancelada.

Se não for selecionada uma opção, a varredura começa automaticamente.

Em sistemas gerenciados, se a varredura estiver configurada para ser executada apenas quando ocomputador estiver ocioso, o Endpoint Security exibirá uma caixa de diálogo quando a varredura forpausada. Conforme a configuração, também será possível retomar ou redefinir as varreduraspausadas para que sejam executadas apenas em períodos de ociosidade.



• No prompt, selecione uma das opções a seguir.

As opções que aparecem dependem de como a varredura está configurada.

Varrer agora Inicia a varredura imediatamente.

Exibir varredura Exibe as detecções de uma varredura em andamento.

Pausar varredura Pausa a varredura. Dependendo da configuração, ao clicar em Pausar varredura, avarredura poderá ser redefinida para ser executada apenas em períodos deociosidade. Clique em Retomar varredura para retomar a varredura no ponto em quefoi interrompida.

Retomar varredura Retoma uma varredura pausada.

Cancelar varredura Cancela a varredura.

Adiar varredura Adia a varredura por um tempo determinado.

As opções de varredura agendada determinam quantas vezes é possível adiar avarredura em uma hora. Pode ser possível adiar a varredura mais do que uma vez.

Fechar Fecha a página de varredura.

Se o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar umaresposta do usuário para continuar, dependendo de como as definições foram configuradas.

Responder a uma solicitação de reputação de arquivoQuando um arquivo com uma reputação específica tenta ser executado no sistema, o EndpointSecurity pode solicitar sua autorização para continuar. A solicitação será exibida apenas se aInteligência contra ameaças estiver configurada para fazê-lo.


O administrador configura o limite de reputação que determina o momento da exibição da solicitação.Por exemplo, se o limite de reputação for definido como Desconhecido, o Endpoint Security solicita suaautorização para lidar com todos os arquivos com uma reputação desconhecida ou inferior.

Uso do Cliente do Endpoint SecurityResponder a prompts 2


Se você não selecionar uma opção, a Inteligência contra ameaças realiza a ação padrão configuradapelo administrador.

As ações de solicitação, tempo limite e padrão dependem de como a Inteligência contra ameaças estáconfigurada.



1 (Opcional) Quando solicitado, digite uma mensagem para ser enviada para o administrador.

Por exemplo, use a mensagem para descrever o arquivo ou explicar sua decisão de permitir oubloquear o arquivo no sistema.

2 Clique em Permitir ou Bloquear.

Permitir Permite o arquivo.

Bloquear Bloqueia o arquivo no sistema.

Para instruir a Inteligência contra ameaças a não solicitar sua ação para o arquivo no futuro,selecione Lembre-se desta decisão.

A Inteligência contra ameaças tomará as medidas com base em sua ação padrão e fechará a janela desolicitação.

Obter informações sobre sua proteçãoVocê pode obter informações sobre a proteção do Endpoint Security, incluindo tipo de gerenciamento,módulos de proteção, recursos, status, números de versão e licenciamento.

Tarefa1 Abra o Cliente do Endpoint Security.

2 No menu Ação , selecione Sobre.

3 Clique no nome de um módulo ou recurso à esquerda para saltar para as informações sobre talitem.

4 Clique no botão Fechar do navegador para fechar a página Sobre.

Consulte também Tipos de gerenciamento na página 22Abrir o Cliente do Endpoint Security na página 19

Tipos de gerenciamentoO tipo de gerenciamento indica como o Endpoint Security é gerenciado.


2 Uso do Cliente do Endpoint SecurityObter informações sobre sua proteção


Tipo de gerenciamento Descrição

McAfee ePolicy Orchestrator Um administrador gerencia o Endpoint Security usando o McAfee ePO(localmente).

McAfee ePolicy OrchestratorCloud

Um administrador gerencia o Endpoint Security usando o McAfee ePOCloud.Para ver as mais recentes informações sobre licença de gerenciamentoe direitos do Endpoint Security, consulte o artigo KB87057.

Autogerenciado O Endpoint Security é gerenciado localmente usando o Cliente doEndpoint Security. Este modo também é conhecido como nãogerenciado ou independente.

Atualizar a proteção e o software manualmenteDependendo de como as definições estão configuradas, você pode verificar manualmente e transferirpor download atualizações de arquivos de conteúdo e de componentes de software do Cliente doEndpoint Security.

As atualizações manuais são chamadas de atualizações por solicitação.

Você também pode executar atualizações manuais por meio do ícone da bandeja do sistema daMcAfee.

O Endpoint Security não oferece suporte à recuperação e cópia manual de arquivos de conteúdoatualizados para o sistema cliente. Se você precisar de auxílio para atualizar uma versão de conteúdoespecífico, entre em contato com o Suporte da McAfee .

Tarefa


2Clique em .

Se esse botão não for exibido no cliente, é possível ativá-lo nas configurações.

O Cliente do Endpoint Security verifica se há atualizações.

• Para cancelar a atualização, clique em Cancelar.

• Se seu sistema estiver atualizado, a página exibirá Nenhuma atualização disponível e a data e ohorário da última atualização.

• Se a atualização for concluída com êxito, a página exibirá a data e a hora da última atualização.

As mensagens ou erros aparecem na área de Mensagens.

Veja o PackageManager_Activity.log ou o PackageManager_Debug.log para obter mais informações.

3 Clique em Fechar para fechar a página Atualizar.

Consulte também Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. napágina 12Como sua proteção permanece atualizada na página 11Nomes de arquivo e localizações de logs do Endpoint Security na página 25O que é atualizado na página 24Configurar o comportamento padrão de atualizações na página 37Abrir o Cliente do Endpoint Security na página 19

Uso do Cliente do Endpoint SecurityAtualizar a proteção e o software manualmente 2



http://mysupport.mcafee.com

O que é atualizadoO Endpoint Security atualiza conteúdos de segurança, software (hotfixes e patches) e configuraçõesde política de maneiras diferentes, dependendo do tipo de gerenciamento.

A visibilidade e o comportamento do botão são configuráveis.

Tipo degerenciamento

Método de atualização Atualizações

McAfee ePO Opção Atualizar segurança no menu do ícone dabandeja do sistema McAfee

Somente para o conteúdo esoftware, não para asconfigurações de política.

Botão no Cliente doEndpoint Security

Conteúdo, software econfigurações de política, seforem configuradas.

McAfee ePO Cloud Opção Atualizar segurança no menu do ícone daMcAfee na bandeja do sistema

Conteúdo, software econfigurações de política.



Autogerenciado Opção Atualizar segurança no menu do ícone daMcAfee na bandeja do sistema

Somente para o conteúdo esoftware.



Consulte também Atualizar a proteção e o software manualmente na página 23

Exibir o Log de eventos Os logs de atividade e depuração armazenam um log dos eventos que ocorrem no sistema protegidopela McAfee. Você pode exibir o Log de eventos a partir do Cliente do Endpoint Security.

Tarefa

Para obter ajuda, no menu Ação do , selecione Ajuda.


2 Clique em Log de eventos no lado esquerdo da página.

A página mostra qualquer evento que o Endpoint Security registrou em log no sistema nos últimos30 dias.

Se o Cliente do Endpoint Security não puder acessar o Gerenciador de eventos, ele exibirá umamensagem de erro de comunicação. Neste caso, reinicialize o sistema para exibir o Log de eventos.

3 Selecione um evento no painel superior para exibir os detalhes no painel inferior.

Para alterar os tamanhos relativos dos painéis, clique e arraste o widget em forma de faixa entreos painéis.

2 Uso do Cliente do Endpoint SecurityExibir o Log de eventos


4 Na página Log de eventos, classifique, pesquise, filtre ou recarregue eventos.

As opções que aparecem dependem de como a varredura está configurada.

Para... Etapas

Classificar eventos por data,recursos, ação executada egravidade.

Clique no cabeçalho da coluna da tabela.

Pesquisar o log de eventos. Insira o texto de pesquisa no campo Pesquisar e pressione Enter,ou clique em Pesquisar.A pesquisa não diferencia maiúsculas de minúsculas e pesquisaem todos os campos do log de eventos o texto de pesquisa. Alista do evento mostra todos os elementos com um textocorrespondente.

Para cancelar a pesquisa e exibir todos os eventos, clique em x nocampo Pesquisar.

Filtrar eventos por gravidadeou módulo.

Na lista suspensa dos filtros, selecione uma opção.Para remover o filtro e mostrar todos os eventos, selecione Mostrartodos os eventos na lista suspensa.

Atualizar a exibição do Log deeventos com qualquer eventonovo.

Clique em .

Abra a pasta que contém osarquivos de log.

Clique em Exibir pasta de logs.

5 Navegue no Log de eventos.

Para... Etapas

Exibir a página de eventos anterior. Clique em Página anterior.

Exibir a próxima página de eventos. Clique em Próxima página.

Exibir uma página específica do log. Insira o número da página e pressione Enter ou clique em Ir.

Por padrão, o Log de eventos mostra 20 eventos por página. Para exibir mais eventos por página,selecione uma opção na lista suspensa Eventos por página.

Consulte também Nomes de arquivo e localizações de logs do Endpoint Security na página 25Abrir o Cliente do Endpoint Security na página 19

Nomes de arquivo e localizações de logs do Endpoint SecurityOs arquivos de log de atividades, erros e depuração registram eventos que ocorrem nos sistemas como Endpoint Security ativado. Configure o registro em log nas configurações do Em Comum.

Os arquivos de log de atividades sempre aparecem no idioma especificado pela localidade do sistemapadrão.

Todos os arquivos de log de atividade e depuração são armazenados em um dos locais padrão,dependendo do sistema operacional.

Sistema operacional Local padrão

Microsoft Windows 10 %ProgramData%\McAfee\Endpoint Security\Logs

Microsoft Windows 8 e 8.1

Uso do Cliente do Endpoint SecurityExibir o Log de eventos 2


Sistema operacional Local padrão

Microsoft Windows 7

Microsoft Vista C:\Documents and Settings\All Users\Dados de aplicativos\McAfee\Endpoint Security\Logs

Cada módulo, recurso ou tecnologia coloca o log de atividades ou depuração em um arquivo separado.Todos os módulos colocam o log de erros em um único EndpointSecurityPlatform_Errors.log.

A ativação do log de depuração para qualquer módulo também ativa o log de depuração para osrecursos do módulo Em Comum, como a autoproteção.

Tabela 2-1 Arquivos de log

Módulo Recurso ou tecnologia Nome do arquivo

Em Comum EndpointSecurityPlatform_Activity.log

EndpointSecurityPlatform_Debug.log

Autoproteção AccessProtection_Activity.log

SelfProtection_Debug.log

Atualizações PackageManager_Activity.log

PackageManager_Debug.log

Erros EndpointSecurityPlatform_Errors.log

Prevenção contraameaças

A ativação do log dedepuração para qualquertecnologia Prevençãocontra ameaças tambémativa o log de depuraçãopara o Cliente do EndpointSecurity.

ThreatPrevention_Activity.log

ThreatPrevention_Debug.log

Proteção de acesso AccessProtection_Activity.log

AccessProtection_Debug.log

Prevenção de exploração ExploitPrevention_Activity.log

ExploitPrevention_Debug.log

Varredura ao acessar OnAccessScan_Activity.log

OnAccessScan_Debug.log

Varredura por solicitação• Varredura rápida

• Varredura completa

• Varredura por clique nobotão direito

OnDemandScan_Activity.log

OnDemandScan_Debug.log

Cliente do EndpointSecurity

MFEConsole_Debug.log

Firewall Firewall_Activity.log

Firewall_Debug.log

FirewallEventMonitor.logRegistra eventos de tráfego bloqueados epermitidos, se configurado.

Controle da Web WebControl_Activity.log

2 Uso do Cliente do Endpoint SecurityExibir o Log de eventos


Tabela 2-1 Arquivos de log (continuação)

Módulo Recurso ou tecnologia Nome do arquivo

WebControl_Debug.log

Inteligência contraameaças

ThreatIntelligence_Activity.log

ThreatIntelligence_Debug.log

Confinamento dinâmico deaplicativos

DynamicApplicationContainment_Activity.log

DynamicApplicationContainment_Debug.log

Por padrão, os arquivos de log de instalação são armazenados nos seguintes locais:

Autogerenciado %TEMP%\McAfeeLogs (pasta TEMP do usuário do Windows)

Gerenciado TEMP\McAfeeLogs (pasta TEMP do sistema Windows)

Gerenciamento do Endpoint SecurityComo administrador, você pode gerenciar o Endpoint Security a partir do Cliente do Endpoint Security,incluindo a ativação e a desativação de recursos, o gerenciamento de arquivos de conteúdo, aespecificação do comportamento da interface do cliente e a configuração de definições comuns.


Consulte também Entrar como administrador na página 27Desbloquear a interface de cliente na página 28Desativar e ativar recursos na página 28Alterar a versão do conteúdo do AMCore na página 29Usar arquivos Extra.DAT na página 29Configurar definições comuns na página 30

Entrar como administradorEntre no Cliente do Endpoint Security como administrador para ativar ou desativar recursos e definirconfigurações.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security deve estar configurado comoAcesso padrão.

Tarefa



2 No menu Ação , selecione Entrada do administrador.

3 No campo Senha, insira a senha do administrador e clique em Entrar.

Agora você pode acessar todos os recursos do Cliente do Endpoint Security.

Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2


Para se desconectar, selecione Ação | Logoff de Administrador. O cliente retorna ao modo de interface Acessopadrão.

Desbloquear a interface de clienteSe a interface do Cliente do Endpoint Security estiver bloqueada, desbloqueie-a com a senha doadministrador para acessar todas as configurações.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security deve estar configurado comoBloquear interface do cliente.


2 Na página Logon do Administrador, digite a senha do administrador no campo Senha e clique em Entrar.

O Cliente do Endpoint Security é aberto e torna-se possível acessar todos os recursos do cliente.

3 Para sair e fechar o cliente, no menu Ação , selecione Logoff do Administrador.

Desativar e ativar recursosComo administrador, você pode desativar e ativar recursos do Endpoint Security usando o Cliente doEndpoint Security.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.

A página Status mostra o status ativado do módulo, que talvez não reflita o status real dos recursos. Épossível consultar o status de cada recurso na página Configurações. Por exemplo, se a configuração AtivarScriptScan não for aplicada com êxito, o status poderá ser (Status: Desativado).



2 Clique no nome do módulo (como Prevenção contra ameaças ou Firewall) na página Status principal.

Ou, no menu Ação , selecione Configurações e clique no nome do módulo na página Configurações.

3 Selecione ou desmarque a opção Ativar módulo ou recurso.

A ativação de qualquer recurso da Prevenção contra ameaças ativa o módulo Prevenção contraameaças.

Consulte também Entrar como administrador na página 27

2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security


Alterar a versão do conteúdo do AMCore Usar o Cliente do Endpoint Security para alterar a versão do conteúdo do AMCore em seu sistema.


O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versõesanteriores na pasta Arquivos de Programas\Arquivos Comuns\McAfee\Engine\content. Se necessário,é possível voltar a uma versão anterior.



2 No menu Ação do , selecione Reverter conteúdo do AMCore.

3 Na lista suspensa, selecione a versão a ser carregada.

4 Clique em Aplicar.

As detecções no arquivo de conteúdo do AMCore entram em vigor imediatamente.

Consulte também Como funcionam os arquivos de conteúdo na página 11Entrar como administrador na página 27

Usar arquivos Extra.DATVocê pode instalar um arquivo Extra.DAT para proteger seu sistema contra um grande ataque demalware até que a próxima atualização de conteúdo do AMCore agendada seja disponibilizada.

Tarefas

• Download de arquivos Extra.DAT na página 30Para transferir arquivos ExtraDAT por download, clique no link de download fornecido peloMcAfee Labs.

• Carregar um arquivo Extra.DAT em um na página 30Para instalar o arquivo Extra.DAT transferido por download em um , use o Cliente doEndpoint Security.

Consulte também Sobre arquivos Extra.DAT na página 29

Sobre arquivos Extra.DATQuando um novo malware é descoberto e uma detecção extra é necessária, o McAfee Labsdisponibiliza um arquivo Extra.DAT. Os arquivos Extra.DAT contêm informações que o Prevençãocontra ameaças usa para lidar com o novo malware.

Você pode transferir por download os arquivos Extra.DAT para ameaças específicas a partir da página desolicitação de Extra.DAT do McAfee Labs.

O Prevenção contra ameaças é compatível com o uso de apenas um arquivo Extra.DAT.



https://www.webimmune.net/extra/getextra.aspx

https://www.webimmune.net/extra/getextra.aspx

Cada arquivo Extra.DAT incorpora uma data de expiração. Quando o arquivo Extra.DAT é carregado,essa data de expiração é comparada com a data de compilação do conteúdo do AMCore instalado nosistema. Se a data de compilação do conteúdo do AMCore definida for mais recente do que a data deexpiração do Extra.DAT, o Extra.DAT é considerado expirado e não é mais carregado e usado pelomecanismo. Durante a atualização seguinte, o Extra.DAT é removido do sistema.

Se a atualização seguinte do conteúdo do AMCore incluir a assinatura do Extra.DAT, o Extra.DAT éremovido.

O Endpoint Security armazena os arquivos Extra.DAT na pasta c:\Arquivos de programas\CommonFiles\McAfee\Engine\content\avengine\extradat.

Download de arquivos Extra.DATPara transferir arquivos ExtraDAT por download, clique no link de download fornecido pelo McAfeeLabs.

Tarefa1 Clique no link de download, especifique um local para salvar o arquivo Extra.DAT, depois clique em

Salvar.

2 Se necessário, descompacte o arquivo EXTRA.ZIP.

3 Carregue o arquivo Extra.DAT com o Cliente do Endpoint Security.

Carregar um arquivo Extra.DAT em um Para instalar o arquivo Extra.DAT transferido por download em um , use o Cliente do EndpointSecurity.




2 No menu Ação do , selecione Carregar Extra.DAT.

3 Clique em Procurar, navegue até o local para onde o arquivo Extra.DAT foi transferido por download,depois clique em Abrir.

4 Clique em Aplicar.

As novas detecções no Extra.DAT entram em vigor imediatamente.


Configurar definições comunsConfigurar definições que se aplicam a todos os módulos e recursos do Endpoint Security no móduloEm Comum. Essas definições incluem configurações de segurança da interface e de idioma do Cliente



do Endpoint Security, configurações de registro e do servidor proxy do McAfee GTI e configuração deatualização.

Tarefas• Proteger recursos do Endpoint Security na página 31

Uma das primeiras coisas que o malware tenta fazer durante um ataque é desativar osoftware de segurança do seu sistema. Defina a Autoproteção do Endpoint Security nasconfigurações do Em Comum para impedir que os serviços e os arquivos do EndpointSecurity sejam interrompidos ou modificados.

• Configurar definições log na página 32Configurar registro em log do Endpoint Security nas definições do Em Comum.

• Permitir a autenticação de certificados na página 32Os certificados permitem que um fornecedor execute códigos dentro de processos daMcAfee.

• Controle do acesso ao software cliente na página 33Controle o acesso ao Cliente do Endpoint Security definindo uma senha nas configuraçõesdo Em Comum.

• Configurar as definições do servidor proxy para o McAfee GTI na página 34Especifique as opções do servidor proxy para obter a reputação do McAfee GTI nasdefinições do Em Comum.

Proteger recursos do Endpoint SecurityUma das primeiras coisas que o malware tenta fazer durante um ataque é desativar o software desegurança do seu sistema. Defina a Autoproteção do Endpoint Security nas configurações do EmComum para impedir que os serviços e os arquivos do Endpoint Security sejam interrompidos oumodificados.


A desativação da Autoproteção do Endpoint Security deixa seu sistema vulnerável a ataques.



2 No menu Ação , selecione Configurações.

3 Clique em Mostrar opções avançadas.

4 Em Autoproteção, verifique se a opção Autoproteção está ativada.

5 Especifique a ação para cada um dos seguintes recursos do Endpoint Security:

• Arquivos e pastas — Impede que os usuários modifiquem bancos de dados, binários, arquivos depesquisa segura e arquivos de configuração da McAfee.

• Registro — Impede que os usuários modifiquem o hive de Registro e os componentes COM edesinstalem usando o valor de Registro da McAfee.

• Processos — Impede a interrupção de processos da McAfee.

6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.




Configurar definições logConfigurar registro em log do Endpoint Security nas definições do Em Comum.






4 Configure as definições do Log do cliente na página.


Consulte também Nomes de arquivo e localizações de logs do Endpoint Security na página 25Entrar como administrador na página 27

Permitir a autenticação de certificadosOs certificados permitem que um fornecedor execute códigos dentro de processos da McAfee.

Quando um processo é detectado, a tabela de certificados é preenchida com o Fornecedor, o Assunto eo Hash da chave pública associada.

Essa configuração pode resultar em problemas de compatibilidade e redução da segurança.

Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.




4 Na seção Certificados, selecione Permitir.


As informações do certificado serão exibidas na tabela.



Controle do acesso ao software clienteControle o acesso ao Cliente do Endpoint Security definindo uma senha nas configurações do EmComum.


O Modo da interface do cliente é definido como Acesso total por padrão, permitindo que os usuários alteremsuas configurações de segurança, o que pode deixar os sistemas desprotegidos contra ataques demalware.




3 Defina as configurações de Modo da interface do cliente na página.

Prática recomendada: para melhorar a segurança, altere o Modo da interface do cliente para Padrão ouBloquear interface do cliente. Ambas as opções exigem uma senha para acessar o Cliente do EndpointSecurity.


Consulte também Efeitos da definição de uma senha de administrador na página 33Entrar como administrador na página 27

Efeitos da definição de uma senha de administradorAo configurar o modo de interface para Acesso padrão, você também deve definir uma senha deadministrador.

A definição de uma senha de administrador no Cliente do Endpoint Security afeta os seguintesusuários:



Não administradores(usuários sem direitos deadministrador)

Não administradores podem:

• Exibir alguns parâmetros de configuração.

• Executar varreduras.

• Verificar atualizações (se ativado).

• Exibir a Quarentena.

• Exibir o Log de eventos.

• Acessar a página Configurações para exibir ou modificar regras doFirewall (se ativado).

Não administradores não podem:

• Alterar nenhum parâmetro de configuração.

• Exibir, criar, excluir ou modificar definições de .Uma exceção é a capacidade de exibir ou modificar regras do Firewall(se ativado).

Administradores(usuários com direitosadministrativos)

Os administradores devem digitar a senha para acessar as áreasprotegidas e modificar configurações.

Configurar as definições do servidor proxy para o McAfee GTI Especifique as opções do servidor proxy para obter a reputação do McAfee GTI nas definições do EmComum.






4 Configure as definições do Servidor proxy para o McAfee GTI na página.


Consulte também Como funciona o McAfee GTI na página 34Entrar como administrador na página 27

Como funciona o McAfee GTISe você ativar o McAfee GTI para o mecanismo de varredura ao acessar ou por solicitação, omecanismo de varredura utilizará a heurística para verificar arquivos suspeitos. O servidor McAfee GTIarmazena classificações de sites e relatórios para o Controle da Web. Se você configurar o Controle da



Web para varrer arquivos obtidos por download, o mecanismo de varredura usará a reputação dearquivos do McAfee GTI para verificar se há arquivos suspeitos.

O mecanismo de varredura envia impressões digitais de amostras, ou hashes, para um servidor debanco de dados central hospedado pelo McAfee Labs para determinar se são malware. Ao enviarhashes, a detecção pode ser disponibilizada antes da próxima atualização de arquivo de conteúdo,quando o McAfee Labs publicar a atualização.

Você pode configurar o nível de sensibilidade a ser usado pelo McAfee GTI ao determinar se umaamostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecçõesde malware. Contudo, a permissão de mais detecções pode resultar em mais detecções de falsospositivos.

• Na Prevenção contra ameaças, o nível de sensibilidade do McAfee GTI é definido como Médio porpadrão. Configure o nível de sensibilidade para cada mecanismo de varredura nas configurações daPrevenção contra ameaças.

• No Controle da Web, o nível de sensibilidade do McAfee GTI é definido como Muito alto por padrão.Defina o nível de sensibilidade para a varredura de downloads de arquivos nas configurações deOpções do Controle da Web,

Você pode configurar o Endpoint Security para usar um servidor proxy para recuperar informações dereputação do McAfee GTI nas configurações Em Comum.

Configurar comportamento da atualizaçãoEspecifique o comportamento de atualizações iniciadas a partir do Cliente do Endpoint Security nasdefinições Em Comum.

Tarefas• Configurar sites de origem para atualizações na página 35

É possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos desegurança atualizados nas configurações do Em Comum.

• Configurar o comportamento padrão de atualizações na página 37Você pode especificar o comportamento padrão para as atualizações iniciadas no Cliente doEndpoint Security nas configurações do Em Comum.

• Configurar, agendar e executar tarefas de atualização na página 39Você pode configurar tarefas de atualização personalizadas ou alterar o agendamento detarefas de Atualização padrão do cliente usando o Cliente do Endpoint Security nas configuraçõesdo Em Comum.

• Configurar, selecionar e executar tarefas de espelhamento na página 40Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Securitynas definições do módulo Em Comum.

Configurar sites de origem para atualizações É possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos de segurançaatualizados nas configurações do Em Comum.








4 Em Em Comum, clique em Opções.

5 Defina as configurações de Sites de origem para atualizações na página.

Você pode ativar e desativar o site de origem de backup padrão, McAfeeHttp, e o servidor degerenciamento (para os sistemas gerenciados), mas você não poderá modificá-los ou eliminá-losde outra forma.

A ordem dos sites determina a ordem usada pelo Endpoint Security para pesquisar o site deatualização.

Para... Siga esses passos

Adicione um site à lista. 1 Clique em Adicionar.

2 Especifique as definições do site e clique em OK.

O site aparecerá no início da lista.

Modificar um siteexistente.

1 Clique duas vezes no nome do site.

2 Modifique as configurações e clique em OK.

Excluir um site. Selecione o site, depois clique em Excluir.

Importar sites de umarquivo da lista de sitesde origem.

1 Clique em Importar.

2 Selecione o arquivo a ser importado e clique em OK.

O arquivo de lista de sites substitui a lista de sites de origemexistente.

Exporte a lista de sites deorigem para um arquivoSiteList.xml.

1 Clique em Exportar tudo.

2 Selecione o local onde deseja salvar o arquivo da lista de sites deorigem e clique em OK.

Reorganize os sites nalista.

Para mover os elementos:1 Selecione os elementos que serão movidos.

A alça aparece à esquerda de elementos que podem sermovidos.

2 Arraste e solte os elementos no novo local.Uma linha azul é exibida entre os elementos no local em que vocêpode soltar os elementos arrastados.




Consulte também O que a lista de repositórios contém na página 37Como funciona a tarefa Atualização padrão do cliente na página 38Entrar como administrador na página 27Configurar, agendar e executar tarefas de atualização na página 39

O que a lista de repositórios contémA lista de repositórios especifica as informações sobre os repositórios que o McAfee Agent usa paraatualizar os produtos da McAfee, incluindo arquivos Engine e DAT.A lista de repositórios inclui:

• Informações e local do repositório

• Preferência de ordem do repositório

• Configurações do servidor proxy, se necessário

• Credenciais criptografadas necessárias para acessar cada repositório

A tarefa do cliente do McAfee Agent Atualização do produto conecta-se ao primeiro repositório ativado(site de atualização) na lista de repositórios. Se o repositório não estiver disponível, a tarefa entra emcontato com o site seguinte até se conectar com êxito ou atingir o final da lista.

Se a rede utilizar um servidor proxy, você poderá especificar as configurações de proxy a seremutilizadas, o endereço do servidor proxy e se deseja utilizar autenticação. As informações de proxy sãoarmazenadas na lista de repositórios. As configurações de proxy definidas por você são aplicadas atodos os repositórios da lista.

A localização da lista de repositórios depende do sistema operacional:

Sistema operacional Localização da lista de repositórios

Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml

Microsoft Windows 7

Versões mais recentes C:\Documents and Settings\All Users\Application Data\McAfee\CommonFramework\SiteList.xml

Configurar o comportamento padrão de atualizações Você pode especificar o comportamento padrão para as atualizações iniciadas no Cliente do EndpointSecurity nas configurações do Em Comum.


Use essas configurações para:

•Exibir ou ocultar o botão no cliente.

• Especifique o que atualizar quando o usuário clicar no botão ou quando a tarefa de padrão deatualização do cliente for executada.

Por padrão, a tarefa de Atualização padrão do cliente é executada todos os dias à 1h00. e repete-sede quatro em quatro horas até às 23h59.

Em sistemas autogerenciados, a tarefa Atualização padrão do cliente atualiza todo o conteúdo e osoftware. Em sistemas gerenciados, essa tarefa atualiza apenas o conteúdo.







4 Defina as configurações de Atualização padrão do cliente na página.


Consulte também Entrar como administrador na página 27Configurar sites de origem para atualizações na página 35Configurar, agendar e executar tarefas de atualização na página 39

Como funciona a tarefa Atualização padrão do clienteA tarefa Atualização padrão do cliente baixa a proteção mais atual para o Cliente do Endpoint Security.

O Endpoint Security inclui a tarefa Atualização padrão do cliente que é executada todos os dias à 1h erepete-se de quatro em quatro horas até às 23h59.

A tarefa de Atualização padrão do cliente:

1 Conecta-se ao primeiro site de origem ativado na lista.

Se o site não estiver disponível, a tarefa entra em contato com o site seguinte até se conectar ouatingir o final da lista.

2 Transfere um arquivo CATALOG.Z criptografado do site.

O arquivos contém as informações necessárias para realizar a atualização, incluindo os arquivos eatualizações disponíveis.

3 Verifica as versões de software do arquivo em relação às versões no computador e transfere asnovas atualizações de software disponíveis.

Se a tarefa de Atualização padrão do cliente for interrompida durante a atualização:

Faz a atualização a partir de... Se interrompida...

HTTP, UNC, ou site local Retorna onde a atualização parou na próxima vez que atarefa de atualização é iniciada.

Site FTP (transferência de arquivo único) Não retorna se interrompida.

Site FTP (transferência de vários arquivos) Retoma antes do arquivo que estava sendo baixado nomomento da interrupção.

Consulte também Configurar sites de origem para atualizações na página 35Configurar, agendar e executar tarefas de atualização na página 39O que a lista de repositórios contém na página 37



Configurar, agendar e executar tarefas de atualização Você pode configurar tarefas de atualização personalizadas ou alterar o agendamento de tarefas deAtualização padrão do cliente usando o Cliente do Endpoint Security nas configurações do Em Comum.


Use essas definições para a configuração no cliente quando a tarefa Atualização padrão do cliente forexecutada. Você também pode configurar o comportamento padrão das atualizações de clienteiniciadas no Cliente do Endpoint Security.





4 A partir da opção Em Comum, clique em Tarefas.

5 Defina as configurações da tarefa de atualização na página.


Crie uma tarefa deatualização personalizada.

1 Clique em Adicionar.

2 Digite o nome e, a partir da lista suspensa Selecionar tipo de tarefa,selecione Atualização.

3 Configure as definições e clique em OK para salvar a tarefa.

Altere uma tarefa deatualização.

• Clique duas vezes na tarefa, faça as suas alterações e, em seguida,clique em OK para salvar a tarefa.

Remova uma tarefa deatualização personalizada.

• Selecione a tarefa e clique em Excluir.

Crie uma cópia de umatarefa de atualização.

1 Selecione a tarefa e clique em Duplicar.

2 Digite o nome, defina as configurações e clique em OK para salvar atarefa.




Altere o agendamentopara uma tarefa deAtualização padrão do cliente.

1 Clique duas vezes em Atualização padrão do cliente.

2 Clique na guia Agendamento, altere o agendamento e clique em OKpara salvar a tarefa.

Você também pode configurar o comportamento padrão dasatualizações de cliente iniciadas no Cliente do Endpoint Security.

Execute uma tarefa deatualização.

• Selecione a tarefa e clique em Executar agora.

Se a tarefa já estiver sendo executada, incluindo pausada ou adiada,o botão é alterado para Exibir.

Se você executar uma tarefa antes de aplicar as alterações, o Clientedo Endpoint Security solicita que você salve as configurações.


Consulte também Como funciona a tarefa Atualização padrão do cliente na página 38Configurar sites de origem para atualizações na página 35Configurar o comportamento padrão de atualizações na página 37

Configurar, selecionar e executar tarefas de espelhamento Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Security nasdefinições do módulo Em Comum.







5 Configure as definições da tarefa de espelhamento na página.


Crie uma tarefa deespelhamento.


2 Digite o nome e, a partir da lista suspensa Selecionar tipo de tarefa,selecione Espelhamento.

3 Configure as definições e, em seguida, clique em OK.

Altere uma tarefa deespelhamento.

• Clique duas vezes na tarefa de espelhamento, faça as suasmudanças e, em seguida, clique em OK.




Remova uma tarefa deespelhamento.


Crie uma cópia de umatarefa de espelhamento.


2 Digite o nome, configure as definições e clique em OK.

Agende uma tarefa deespelhamento.

1 Clique duas vezes na tarefa.

2 Clique na guia Agendamento, altere o agendamento e clique em OKpara salvar a tarefa.

Execute uma tarefa deespelhamento.


Se a tarefa já estiver sendo executada, incluindo pausada ou adiada,o botão é alterado para Exibir.



Como as tarefas de espelhamento funcionamA tarefa de espelhamento replica os arquivos de atualização a partir do primeiro repositório acessíveldefinido na lista de repositórios, em um site de espelhamento na rede.

O uso mais comum desta tarefa é espelhar o conteúdo do site de downloads da McAfee em umservidor local.

Depois que você replicar o site da McAfee que contém os arquivos de atualização, os computadores darede poderão fazer download dos arquivos a partir do site de espelhamento. Esta abordagem permiteque você atualize qualquer computador em sua rede, tenha ou não acesso à Internet. Utilizar um sitereplicado é mais eficiente porque os seus sistemas se comunicam com um servidor que está maispróximo do que um site de Internet da McAfee, economizando tempo de acesso e download.

O Endpoint Security depende de um diretório para se atualizar. Por isso, ao espelhar um site,certifique-se de replicar toda a estrutura de diretórios.

Referência da interface do cliente — Em ComumOs tópicos da Ajuda da referência da interface fornecem ajuda contextual para as páginas da interfacedo cliente.

Conteúdo Página Log de eventos Em Comum — Opções Em Comum — Tarefas

Uso do Cliente do Endpoint SecurityReferência da interface do cliente — Em Comum 2


Página Log de eventosExibe a atividade e os eventos de depuração no Log de eventos.

Tabela 2-2 Opções

Opção Definição

Número de eventos Indica o número de eventos que o Endpoint Security registrou no sistema nosúltimos 30 dias.

Atualiza a exibição de Log de eventos com novos dados de eventos.

Exibir pasta de logs Abre a pasta que contém os arquivos de log no Windows Explorer.

Mostrar todos oseventos

Remove todos os filtros.

Filtrar por gravidade Filtra os eventos por nível de gravidade:

Alerta Mostra apenas os eventos com gravidade de nível 1.

Crítico e superiores Mostra apenas os eventos com gravidade de nível 1 e 2.

Avisos e superiores Mostra apenas os eventos com gravidade de nível 1, 2 e 3.

Aviso e superiores Mostra apenas os eventos com gravidade de nível 1, 2, 3 e 4.

Filtrar por módulo Filtra os eventos por módulo:

Em Comum Mostra apenas eventos do Em Comum.

Prevenção contra ameaças Mostra apenas eventos da Prevenção contra ameaças.

Firewall : Firewall Mostra apenas eventos do Firewall.

Controle da Web Mostra apenas eventos do Controle da Web.

Inteligência contra ameaças Mostra apenas eventos da Inteligência contra ameaças.

Os recursos que aparecem na lista suspensa dependem dos recursos instaladosno sistema no momento em que o Log de eventos foi aberto.

Pesquisar Pesquisa uma cadeia de caracteres no Log de eventos.

Eventos por página Seleciona o número de eventos que deverão ser exibidos em uma página. (Porpadrão, 20 eventos por página)

Página anterior Exibe a página anterior no Log de eventos.

Próxima página Exibe a próxima página no Log de eventos.

Página x de x Seleciona uma página no Log de eventos para ser acessada.Insira um número no campo Página e pressione Enter ou clique em Ir para acessara página.

Cabeçalho dacoluna

Classifica a lista de eventos por...

Data Data em que o evento ocorreu.

Recurso Recurso que registrou o evento em log.

2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente — Em Comum


Cabeçalho dacoluna

Classifica a lista de eventos por...

Ação realizada Ação tomada pelo Endpoint Security, se for o caso, em resposta ao evento.A ação é definida nas configurações.

Permitido Permite acesso ao arquivo.

Acesso negado O acesso ao arquivo foi impedido.

Excluído O arquivo foi excluído automaticamente.

Continuar

Limpo A ameaça foi removida do arquivo automaticamente.

Movido O arquivo foi movido para Quarentena.

Bloqueado O acesso ao arquivo foi bloqueado.

Bloquearia Uma regra de proteção de acesso teria bloqueado o acesso aoarquivo se a regra em questão estivesse imposta.

Gravidade Nível de gravidade do evento.

Crítico 1

Importante 2

Menos importante 3

Aviso 4

Informativo 5

Consulte também Exibir o Log de eventos na página 24

Em Comum — OpçõesDefina as configurações da interface do Cliente do Endpoint Security, da autoproteção, do log deatividades e depuração, e do servidor proxy.

Tabela 2-3 Opções

Seção Opção Definição

Modo da interface docliente

Acesso total Permite o acesso a todos os recursos. (Padrão)

Acesso padrão Exibe o status da proteção e permite o acesso à maioriados recursos, como a execução de atualizações evarreduras.O modo Acesso padrão exige uma senha para exibir e alteraras configurações da página Configurações do Cliente doEndpoint Security.

Bloquear interface docliente

Exige uma senha para acessar o Cliente do EndpointSecurity.



Tabela 2-3 Opções (continuação)


Definir senha doadministrador

No caso de Acesso padrão e Bloqueio da interface do cliente,especifica a senha do administrador para acessar todos osrecursos da interface do Cliente do Endpoint Security.• Senha — Especifica a senha.

• Confirmar senha — Confirma a senha.

Desinstalação Senha obrigatória paradesinstalar o cliente

Requer uma senha para desinstalar o Cliente do EndpointSecurity.A senha padrão é mcafee.

(Desativado por padrão)

• Senha — Especifica a senha.

• Confirmar senha — Confirma a senha.

Tabela 2-4 Opções avançadas


Idioma dainterface docliente

Automático Seleciona automaticamente o idioma a usar em textos da interfacedo Cliente do Endpoint Security com base no idioma do sistema docliente.

Idioma Especifica o idioma a ser usado para o texto da interface do Clientedo Endpoint Security.Em sistemas gerenciados, as alterações de idioma feitas no Clientedo Endpoint Security substituem as alterações de política doservidor de gerenciamento. A alteração de idioma é aplicada após areinicialização do Cliente do Endpoint Security.

O idioma do cliente não afeta os arquivos de log. Os arquivos de logsempre aparecem no idioma especificado pela região do sistemapadrão.

Autoproteção Ativar autoproteção Protege os recursos do sistema do Endpoint Security contraatividades maliciosas.

Ação Especifica uma ação a tomar quando ocorre uma atividademaliciosa:• Bloquear e relatar — Bloqueia a atividade e relata para o McAfee ePO.

(Padrão)

• Apenas bloquear — Bloqueia a atividade, mas não relata para oMcAfee ePO.

• Apenas relatar — Relata para o McAfee ePO, mas não bloqueia aatividade.

Arquivos e pastas Impede a alteração ou a exclusão de arquivos e pastas do sistemada McAfee.

Registro Impede a modificação ou exclusão de chaves e valores de registroda McAfee.

Processos Impede a interrupção de processos da McAfee.



Tabela 2-4 Opções avançadas (continuação)


Excluir estesprocessos

Permite acesso aos processos especificados.Há suporte para caracteres curinga.

Adicionar — Adiciona um processo à lista de exclusão. Clique emAdicionar e insira o nome exato do recurso, como avtask.exe.

Clicar duas vezes em um item - Modifica o item selecionado.

Excluir — Exclui o item selecionado. Selecione o recurso e clique emExcluir.

Certificados Especifica as opções de certificado.

Permitir Permite que um fornecedor execute códigos dentro de processos daMcAfee.

Essa configuração pode resultar em problemas de compatibilidadee redução da segurança.

Fornecedor Especifica o Nome Comum (CN) da autoridade que assinou e emitiuo certificado.

Assunto Especifica o Nome distinto do signatário (SDN) que define aentidade associada ao certificado.Estas informações podem incluir:

• CN - Nome Comum

• OU - Unidade organizacional

• O - Organização

• L - Local

• ST - Estado ou província

• C - Código do país

Hash Especifica o hash da chave pública associada.

Log do cliente Local dos arquivosde log

Especifica o local dos arquivos de log.A localização padrão é:

<UNIDADE_DO_SISTEMA>:\ProgramData\McAfee\Endpoint\Logs

Insira ou clique em Procurar para acessar um local.

Log de atividades Ativar log deatividades

Ativa o registro em log de todas as atividades do Endpoint Security.

Tamanho limite (emMB) de cada arquivode log de atividades

Limita cada arquivo de log de atividades ao tamanho máximoespecificado (entre 1 MB e 999 MB). O padrão é 10 MB.Se o arquivo de log exceder esse tamanho, 25% das entradas maisantigas serão substituídas por novos dados no arquivo.

Desative essa opção para permitir que os arquivos de log atinjamqualquer tamanho.





Log de depuração A ativação do log de depuração para qualquer módulo também ativao log de depuração para os recursos do módulo Em Comum, como aautoproteção.

Prática recomendada: ativar o log de depuração, pelo menos,pelas primeiras 24 horas durante as fases de teste e piloto. Se nãoocorrer nenhum problema durante esse período, desativar o log dedepuração para evitar impactos no desempenho de sistemascliente.

Ativar paraPrevenção contraameaças

Ativa o registro em log detalhado para a Prevenção contra ameaçase tecnologias individuais:Ativar para proteção de acesso - Registra no AccessProtection_Debug.log.

Ativar para prevenção de exploração — Registra em log no arquivoExploitPrevention_Debug.log.

Ativar para varredura ao acessar — Registra em log no arquivoOnAccessScan_Debug.log.

Ativar para varredura por solicitação — Registra em log no arquivoOnDemandScan_Debug.log.

A ativação do log de depuração para qualquer tecnologia Prevençãocontra ameaças também ativa o log de depuração para o Cliente doEndpoint Security.

Ativar para Firewall Ativa o registro em log detalhado de atividades do Firewall.

Ativar para Controleda Web

Ativa o registro em log detalhado de atividades do Controle da Web.

Ativar para aInteligência contraameaças

Ativa o registro em log detalhado de atividades do Inteligênciacontra ameaças.

Tamanho limite (emMB) de cada arquivode log de depuração

Limita cada arquivo de log de depuração ao tamanho máximoespecificado (entre 1 MB e 999 MB). O padrão é 50 MB.Se o arquivo de log exceder esse tamanho, 25% das entradas maisantigas serão substituídas por novos dados no arquivo.

Desative essa opção para permitir que arquivos de log tenhamqualquer tamanho.

Log de eventos Enviar eventos paraMcAfee ePO

Envia todos os eventos registrados em log no Log de eventos do Clientedo Endpoint Security para o McAfee ePO.Essa opção está disponível apenas em sistemas gerenciados peloMcAfee ePO.

Registrar oseventos no log deaplicativos doWindows

Envia todos os eventos registrados em log no Log de eventos do Clientedo Endpoint Security para o log de aplicativos do Windows.O log de aplicativos do Windows pode ser acessado em Visualizador deeventos do Windows | Logs do Windows | Aplicativo.





Níveis degravidade

Especifica o nível de gravidade dos eventos no Log de eventos doCliente do Endpoint Security:• Nenhum - Não envia alertas.

• Apenas alerta — Envia apenas alertas de nível 1.

• Crítico e alerta — Envia alertas de níveis 1 e 2.

• Advertência, crítico e alerta — Envia alertas de níveis 1 a 3.

• Todos, com exceção dos informativos — Envia alertas de níveis 1 a 4.

• Todos — Envia alertas de níveis 1 a 5.

• 1 — Alerta

• 2 — Crítico

• 3 — Advertência

• 4 — Aviso

• 5 — Informativo

Eventos dePrevenção contraameaças a registrarem log

Especifica o nível de gravidade dos eventos de cada recurso dePrevenção contra ameaças a serem registrados em log:Proteção de acesso — Registra em log no arquivoAccessProtection_Activity.log.

Ao ativar o log de eventos para a Proteção de acesso, o log deeventos para Autoproteção também será ativado.

Prevenção de exploração — Registra em log no arquivoExploitPrevention_Activity.log.

Varredura ao acessar — Registra em log no arquivoOnAccessScan_Activity.log.

Varredura por solicitação — Registra em log no arquivoOnDemandScan_Activity.log.

Eventos de Firewallno log

Especifica o nível de gravidade dos eventos do Firewall a serregistrado em log.

Eventos do Controleda Web no log

Especifica o nível de gravidade dos eventos do Controle da Web aser registrado em log.

Eventos deInteligência contraameaças a registrarem log

Especifica o nível de gravidade dos eventos do Inteligência contraameaças a serem registrados em log.

Servidor proxypara o McAfee GTI

Nenhum servidorproxy

Especifica que os sistemas gerenciados recuperam informações dereputação do McAfee GTI diretamente pela Internet, não através deum servidor proxy. (Padrão)

Usar configuraçõesde proxy do sistema

Especifica o uso de configurações de proxy do sistema do cliente e,opcionalmente, ativa a autenticação de proxy HTTP.





Configurar servidorproxy

Personaliza as configurações de proxy.• Endereço - Especifica o endereço IP ou o nome de domínio

totalmente qualificado do servidor proxy HTTP.

• Porta - Limita o acesso através da porta especificada.

• Excluir esses endereços — Não usa o servidor proxy HTTP para sites ouendereços IP que comecem com as entradas especificadas.Clique em Adicionar, a seguir, insira o nome do endereço a excluir.

Ativar autenticaçãode proxy HTTP

Especifica que o servidor proxy HTTP requer autenticação. (Essaopção está disponível somente quando um servidor proxy HTTP éselecionado.) Digite as credenciais do servidor proxy HTTP:• Nome de usuário - Especifica a conta de usuário com permissões para

acessar o servidor proxy HTTP.

• Senha – Especifica a senha para o Nome de usuário .

• Confirmar senha – Confirma a senha especificada.

Atualizaçãopadrão do cliente

Ativar o botãoAtualizar agora nocliente Exibe ou oculta o botão da página principal do

Cliente do Endpoint Security.Clique nesse botão para verificar e baixar manualmente atualizaçõesde arquivos de conteúdo e de componentes de software no sistemacliente.

O que atualizar Especifica o que deve ser atualizado ao clicar no botão

.• Conteúdo de segurança, hotfixes e patches — Atualiza todo o conteúdo de

segurança (incluindo conteúdo de mecanismo, AMCore ePrevenção de exploração), bem como qualquer HotFix e patch,para as versões mais recentes.

• Conteúdo de segurança — Atualiza apenas o conteúdo de segurança.(Padrão)

• Hotfixes e patches — Atualiza apenas HotFixes e patches.

Sites de origempara atualizações

Configura quais sites serão usados para obter atualizações dearquivos de conteúdo e componentes de software.Você pode ativar e desativar o site de origem de backup padrão,McAfeeHttp, e o servidor de gerenciamento (para os sistemasgerenciados), mas você não poderá modificá-los ou eliminá-los deoutra forma.

Indica elementos que podem ser movidos na lista.Selecione elementos e arraste e solte-os no novo local. Uma linhaazul é exibida entre os elementos no local em que você pode soltaros elementos arrastados.

Adicionar Adiciona um site à lista de sites de origem.

Clicar duasvezes em umitem

Modifica o item selecionado.

Excluir Exclui o site selecionado da lista de sites de origem.





Importar Importa sites de um arquivo da lista de sites de origem.Selecione o arquivo a importar e clique em OK.

O arquivo de lista de sites substitui a lista de sites de origemexistente.

Exportar tudo Exporta a lista de sites de origem para um arquivo SiteList.xml.Selecione o local onde deseja salvar o arquivo da lista de sites deorigem e clique em OK.

Servidor proxypara sites deorigem

Nenhum servidorproxy

Especifica que os sistemas gerenciados recuperem informações dereputação do McAfee GTI diretamente na Internet, e não através deum servidor proxy. (Padrão)

Usar configuraçõesde proxy do sistema

Especifica o uso de configurações de proxy do sistema do cliente e,opcionalmente, ativa a autenticação de proxy HTTP ou FTP.

Configurar servidorproxy

Personaliza as configurações de proxy.• Endereço HTTP/FTP — Especifica o endereço DNS, IPv4 ou IPv6 do

servidor proxy FTP ou HTTP.

• Porta — Limita o acesso através da porta especificada.

• Excluir esses endereços — Especifica os endereços de sistemas Clientedo Endpoint Security para os quais você não deseja usar oservidor proxy para obter classificações do McAfee GTI.Clique em Adicionar e insira o nome do endereço a ser excluído.

Ativar aautenticação deproxy HTTP/FTP

Especifica que o servidor proxy HTTP ou FTP requer autenticação.(Essa opção está disponível somente quando o servidor proxy HTTPou FTP tiver sido selecionado.) Digite as credenciais do servidorproxy:• Nome de usuário – Especifica a conta de usuário com permissões para

acessar o servidor proxy.

• Senha – Especifica a senha para o Nome de usuário especificado.

• Confirmar senha — Confirma a senha especificada.

Consulte também Proteger recursos do Endpoint Security na página 31Configurar definições log na página 32Controle do acesso ao software cliente na página 33Configurar as definições do servidor proxy para o McAfee GTI na página 34Configurar o comportamento padrão de atualizações na página 37Configurar sites de origem para atualizações na página 35Adicionar site ou Editar site na página 49

Adicionar site ou Editar siteAdiciona ou edita um site na lista de sites de origem.

Tabela 2-5 Definições de opções

Opção Definição

Nome Indica o nome do site de origem que contém os arquivos atualizados.

Ativar Ativa ou desativa o uso do site de origem para baixar arquivos atualizados.



Tabela 2-5 Definições de opções (continuação)

Opção Definição

Recuperararquivos de

Especifica o local a partir de qual os arquivos deverão ser recuperados.

RepositórioHTTP

Recupera arquivos a partir da localização do repositório HTTP designado.

O HTTP oferece atualização independentemente da segurança da rede, mas suportaníveis mais avançados de conexões simultâneas do que o FTP.

URL • Nome de DNS – Indica que URL é um nome de domínio.

• IPv4 – Indica que URL é um endereço IPv4.


http:// – Especifica o endereço do servidor HTTP e da pasta onde osarquivos de atualização estão localizados.

Porta – Especifica o número da porta do servidor HTTP.

Usarautenticação

Seleciona o uso de autenticação e especifica as credenciais de acessoà pasta do arquivo de atualização.• Nome de usuário – Especifica a conta de usuário com permissões de

leitura para a pasta do arquivo de atualização.





Tabela 2-5 Definições de opções (continuação)

Opção Definição

Repositório FTP Recupera arquivos a partir da localização do repositório FTP designado.

Um site FTP oferece a flexibilidade de poder atualizar sem precisar seguir as permissõesde segurança da rede. Uma vez que o FTP foi menos vulnerável à anexação de códigosindesejados que o HTTP, essa opção poderá oferecer uma melhor tolerância.

URL • Nome de DNS – Indica que URL é um nome de domínio.



ftp:// – Especifica o endereço do servidor FTP e da pasta onde os arquivosde atualização estão localizados.

Porta – Especifica o número da porta do servidor FTP.

Usaracessoanônimo

Seleciona o uso de FTP anônimo para acessar a pasta do arquivo deatualização.Desfaça a seleção desta opção para especificar as credenciais de acesso.

• Nome de usuário – Especifica a conta de usuário com permissões de leiturapara a pasta do arquivo de atualização.



Caminho UNCou Caminholocal

Recupera arquivos do caminho UNC ou local designado.

Um site UNC é o mais rápido e mais fácil de ser configurado. As atualizações de UNCentre domínios requerem permissões de segurança para cada domínio, o que torna aconfiguração de atualização mais envolvida.

Caminho • Caminho UNC – Especifica o caminho usando notação UNC (\\servername\path\).

• Caminho local – Especifica o caminho de uma pasta em uma unidade localou de rede.

Usar contade conexão

Acessa os arquivos de atualização usando a conta de conexão. A contadeve ter permissão de leitura para as pastas onde estão localizados osarquivos de atualização.Desfaça a seleção desta opção para especificar as credenciais de acesso.

• Domínio – Especifica o domínio da conta do usuário.

• Nome de usuário – Especifica a conta de usuário com permissões deleitura para a pasta do arquivo de atualização.



Em Comum — TarefasConfigure e agende tarefas do Cliente do Endpoint Security.

Nos sistemas gerenciados, é possível iniciar, parar ou excluir tarefas do Admin.



Tabela 2-6 Opções


Tarefas Indica as tarefas agendadas e atualmente definidas.• Nome - Nome da tarefa agendada.

• Recurso - Módulo ou recurso ao qual a tarefa está associada.

• Agendamento - A data para a qual a execução da tarefa está agendada e o seuestado de ativação.Por exemplo, nos sistemas gerenciados, o agendamento da tarefa Atualizaçãopadrão do cliente pode ser desativada pelo administrador.

• Status - Status da última execução da tarefa:

• (sem status) – Nunca executada

• Em execução – Atualmente em execução ou retomada

• Pausada – Pausada pelo usuário (como a varredura)

• Adiada – Adiada pelo usuário (como a varredura)

• Concluída – Execução concluída sem erros

• Concluída (erros) – Execução concluída com erros

• Com falha – Houve uma falha na conclusão da tarefa

• Última execução - Data e hora da última execução da tarefa.

• Origem - Origem da tarefa:

• McAfee - Fornecido pela McAfee.

• Admin - (Somente sistemas gerenciados) Definido pelo administrador.

• Usuário - Definido no Cliente do Endpoint Security.

Dependendo da origem, algumas tarefas não podem ser alteradas ouexcluídas. Por exemplo, a tarefa Atualização padrão do cliente pode seralterada somente em sistemas autogerenciados. As tarefas Admin, definidaspelo administrador nos sistemas gerenciados não podem ser alteradas nemexcluídas no Cliente do Endpoint Security.

Clicar duasvezes emum item


Adicionar Cria uma tarefa de varredura, atualização ou espelhamento.

Excluir Exclui a tarefa selecionada.





Duplicar Cria uma cópia da tarefa selecionada.

Executar agora Executa a tarefa selecionada.Se a tarefa já estiver sendo executada, incluindo pausada ou adiada, o botão éalterado para Exibir.

• Varredura rápida - Abre a caixa de diálogo Varredura rápida e inicia a varredura.

• Varredura completa - Abre a caixa de diálogo Varredura completa e inicia a varredura.

• Varredura personalizada - Abre a caixa de diálogo Varredura personalizada e inicia avarredura.

• Atualização padrão do cliente - Abre a caixa de diálogo Atualizar e inicia a atualização.

• Atualizar - Abre a caixa de diálogo Atualização personalizada e inicia a atualização.

• Espelhamento - Abre a caixa de diálogo Espelhamento e inicia a replicação dorepositório.

Se você executar uma tarefa antes de aplicar as alterações, o Cliente doEndpoint Security solicita que você salve as configurações.

Consulte também Executar uma Varredura completa ou uma Varredura rápida na página 58Atualizar a proteção e o software manualmente na página 23Configurar, selecionar e executar tarefas de espelhamento na página 40Adicionar tarefa na página 53

Adicionar tarefaAdicionar varredura personalizada, espelhamento ou atualização da tarefa.

Opção Definição

Nome Especifica o nome da tarefa.

Selecionar tipo detarefa

Especifica o tipo de tarefa:• Varredura personalizada - Configura e agenda uma varredura personalizada, como

varreduras de memória diárias.

• Espelhamento - Replica os arquivos de conteúdo e de mecanismo atualizados a partirdo primeiro repositório acessível em um site de espelhamento na rede.

• Atualização - Configura e agenda uma atualização dos arquivos de conteúdo,mecanismo de varredura ou produto.

Consulte também Adicionar tarefa de varredura ou Editar tarefa de varredura na página 54Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento na página 55Adicionar tarefa de atualização ou Editar tarefa de atualização na página 54



Adicionar tarefa de varredura ou Editar tarefa de varreduraAgende a tarefa de Varredura completa ou Varredura rápida ou configure e agende as tarefas devarredura personalizada que são executadas no sistema do cliente.

Tabela 2-7 Opções

Guia Opção Definição

Configurações Configura as definições da tarefa de varredura.

Nome Indica o nome da tarefa.

Opções Define as configurações da Varredura por solicitação para a varredura.É possível configurar as configurações de tarefa Varredura completa eVarredura rápidaapenas em sistemas autogerenciados.

Agendamento Ativa e agenda a tarefa para que seja executada em uma determinada hora.

Consulte também Configurar, agendar e executar tarefas de varredura na página 92Configurar definições da política de na página 87Executar uma Varredura completa ou uma Varredura rápida na página 58Prevenção contra ameaças — Varredura por solicitação na página 115Agendamento na página 55

Adicionar tarefa de atualização ou Editar tarefa de atualizaçãoAgenda a Atualização padrão do cliente ou configura e agenda as tarefas de atualização personalizadas quesão executadas no sistema cliente.

Tabela 2-8 Opções


Configurações Define as configurações da tarefa de atualização.

Nome Indica o nome da tarefa.

O que atualizar Especifique o que será atualizado:• Conteúdo de segurança, hotfixes e patches

• Conteúdo de segurança

• Hotfixes e patches

É possível configurar essas definições apenas em sistemasautogerenciados.

Agendamento Ativa e agenda a tarefa para que seja executada em uma determinadahora.Por padrão, a tarefa Atualização padrão do cliente é executada diariamente à 0h erepete-se de quatro em quatro horas até às 23h59.

Consulte também Em Comum — Opções na página 43Configurar o comportamento padrão de atualizações na página 37Configurar, agendar e executar tarefas de atualização na página 39Agendamento na página 55



Adicionar tarefa de espelhamento ou Editar tarefa de espelhamentoConfigura e agenda as tarefas de espelhamento.

Tabela 2-9 Opções


Configurações Nome Indica o nome da tarefa.

Local do espelhamento Especifica a pasta para armazenar a replicação do repositório.

Agendamento Ativa e agenda a tarefa para que seja executada em umadeterminada hora.

Consulte também Configurar, selecionar e executar tarefas de espelhamento na página 40Agendamento na página 55

AgendamentoAgende tarefas de varreduras, atualização e espelhamento.

Tabela 2-10 Opções

Categoria Opção Definição

Agendamento Ativar agendamento Agenda a tarefa para ser executada em uma hora especificada.(Ativado por padrão)Esta opção deve ser selecionada para agendar a tarefa.

Tipo de agendamento Especifica o intervalo para executar a tarefa.• Diariamente - Executa a tarefa diariamente, em uma hora específica,

de forma recorrente entre dois horários do dia ou em umacombinação de ambos.

• Semanalmente - Executa a tarefa semanalmente:

• Em um determinado dia da semana, todos os dias úteis, fins desemana ou uma combinação de dias

• Em uma hora específica dos dias selecionados ou de formarecorrente entre dois horários nos dias selecionados

• Mensalmente - Executa a tarefa mensalmente, seja em:

• Um dia específico do mês

• Dias da semana específicos - primeiro, segundo, terceiro, quartoou último

• Uma vez - Inicia a tarefa na hora e na data especificadas.

• Na inicialização do sistema - Executa a tarefa quando o sistema éiniciado.

• Ao entrar - Inicia a tarefa na próxima vez que o usuário entrar nosistema.

• Executar imediatamente - Inicia a tarefa imediatamente.

Frequência Especifica a frequência para as tarefas Diariamente e Semanalmente.

Executar em Especifica os dias da semana para as tarefas Semanalmente eMensalmente.

Executar em Especifica os meses do ano para as tarefas Mensalmente.




Categoria Opção Definição

Executar esta tarefasomente uma vez pordia

Executa esta tarefa uma vez por dia para as tarefas Na inicialização dosistema eAo entrar.

Atrasar esta tarefa em Especifica o número de minutos de atraso antes de executar astarefas Na inicialização do sistema e Ao entrar.

Data de início Especifica a data de inicio para as tarefas Diariamente, Semanalmente,Mensalmente e Uma vez.

Data de término Especifica a data de término das tarefas Diariamente, Semanalmente eMensalmente.

Hora de início Especifica a hora em que a tarefa é iniciada.• Executar uma vez nesta hora - Executa a tarefa uma vez na Hora de início.

• Executar nesta hora e repetir até - Executa a tarefa uma vez na Hora deinício. Em seguida, inicia a tarefa dentro do intervalo especificadode horas/minutos por Iniciar tarefa todos os dias até a hora de términoespecificada.

• Executar nesta hora e repetir durante - Executa a tarefa uma vez na Hora deinício. Em seguida, inicia a tarefa dentro do intervalo especificadode horas/minutos por Iniciar tarefa todos os dias até que seja executadapor um determinado período de tempo.

Opções Executar a tarefa deacordo com o HorárioUniversal Coordenado

Especifica se o agendamento da tarefa será executado de acordocom a hora local no sistema gerenciado ou no UTC (Horário universalcoordenado).

Interromper a tarefacaso ela seja executadapor mais de

Interrompe a tarefa após o número especificado de horas e minutos.Se a tarefa for interrompida antes da conclusão, na próxima vez queela for iniciada, retomará a partir do ponto onde parou.

Tornar aleatório ohorário de início em

Especifica se essa tarefa será executada aleatoriamente dentro dotempo que você especificar.Caso contrário, ela iniciará na hora agendada mesmo se outrastarefas do cliente estiverem agendadas para execução na mesmahora.

Executar tarefa perdida Executa a tarefa após o número de minutos especificado por Atrasarinício em uma vez que o sistema gerenciado for reiniciado.

Conta Especifica as credenciais a usar para executar a tarefa.Se nenhuma credencial for especificada, a tarefa será executadacomo a conta de Administrador do sistema local.

Nome do usuário Especifica a conta de usuário.

Senha Especifica a senha da conta de usuário especificada.

Confirmar senha Confirma a senha da conta de usuário especificada.

Domínio Especifica o domínio da conta de usuário determinada.

Consulte também Adicionar tarefa de varredura ou Editar tarefa de varredura na página 54Adicionar tarefa de atualização ou Editar tarefa de atualização na página 54Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento na página 55



3 Utilizando o Prevenção contra ameaças

O Prevenção contra ameaças verifica vírus, spyware, programas indesejados e outras ameaças,fazendo a varredura automática de itens no computador.

Conteúdo Varrer seu computador em busca de malware Gerenciar detecções de ameaças Gerenciar itens em quarentena Gerenciamento do Prevenção contra ameaças Referência da interface do cliente — Prevenção contra ameaças

Varrer seu computador em busca de malwareFaça a varredura em busca de malware em seu computador selecionando as opções no Cliente doEndpoint Security ou no Windows Explorer.

Tarefas• Executar uma Varredura completa ou uma Varredura rápida na página 58

Use o Cliente do Endpoint Security para executar uma Varredura completa ou umaVarredura rápida manual em seu computador.

• Varrer um arquivo ou pasta na página 60Clique com o botão direito no Windows Explorer para fazer uma varredura imediata em umarquivo individual ou pasta com suspeita de infecção.

Consulte também Tipos de varreduras na página 57

Tipos de varredurasEndpoint Security oferece dois tipos de varreduras: varreduras ao acessar e varreduras por solicitação.

• Varredura ao acessar - O administrador configura varreduras ao acessar a serem executadas emcomputadores gerenciados. Em computadores autogerenciados, configure o mecanismo devarredura ao acessar na página de Configurações.Sempre que acessar arquivos, pastas e programas, o mecanismo de varredura ao acessarintercepta a operação e varre o item, baseado nos critérios definidos pelo administrador.

• Varredura por solicitação

3


Manual O administrador (ou usuário, em sistemas autogerenciados) configura varreduras porsolicitação personalizadas ou predefinidas que os usuários podem executar emcomputadores gerenciados.

• Execute uma varredura por solicitação predefinida a qualquer momento no Cliente

do Endpoint Security clicando em e selecionando um tipo devarredura:A Varredura rápida realiza uma verificação rápida das áreas do sistema mais suscetíveisa infecção.

A Varredura completa executa uma verificação minuciosa em todas as áreas de seusistema. (Recomendado em caso de suspeita de infecção do computador.)

• Faça uma varredura a qualquer momento em um arquivo ou pasta individual doWindows Explorer clicando com o botão direito no arquivo ou pasta e selecionandoFazer varredura para encontrar ameaças no menu pop-up.

• Configure e execute uma varredura personalizada por solicitação comoadministrador do Cliente do Endpoint Security:

1 Selecione Configurações | Em Comum | Tarefas.

2 Selecione a tarefa a executar.

3 Clique em Executar agora.

Agendada O administrador (ou usuário, em sistemas autogerenciados) configura e agendavarreduras por solicitação a serem executadas em computadores.

Quando uma varredura por solicitação agendada está para começar, o EndpointSecurity exibe um prompt de varredura na parte inferior da tela. Você pode iniciar avarredura imediatamente ou adiá-la, se assim estiver configurado.

Para configurar e agendar as varreduras por solicitação predefinidas, Varredura rápidae Varredura completa:1 Configurações | Varredura por solicitação | Varredura completa ou Varredura rápida - Configura

varreduras por solicitação.

2 Configurações | Common | Tarefas — Agenda varreduras por solicitação.

Consulte também Configurar, agendar e executar tarefas de varredura na página 92Responder a um prompt de varredura na página 21

Executar uma Varredura completa ou uma Varredura rápidaUse o Cliente do Endpoint Security para executar uma Varredura completa ou uma Varredura rápidamanual em seu computador.

Antes de iniciarO módulo Prevenção contra ameaças deve ser instalado.

O comportamento da Varredura completa e da Varredura rápida depende de como as configurações foramdefinidas. Com credenciais de administrador, é possível modificar e agendar as varreduras nasconfigurações da Varredura por solicitação.

3 Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware




2Clique em .

3 Na página Varrer sistema, clique em Varrer agora na varredura que deseja executar.

Varredura completa Executa uma verificação completa em todas as áreas de seu sistema(recomendável se houver suspeita de que o computador está infectado).

Varredura rápida Executa uma verificação rápida das áreas do sistema mais suscetíveis a infecção.

Se uma varredura estiver em execução, o botão Varrer agora transforma-se em Exibir varredura.

Também poderá ser exibido o botão Exibir detecções para o mecanismo de varredura ao acessar,dependendo de como as configurações foram definidas e se uma ameaça tiver sido detectada.Clique nesse botão para abrir a página Varredura ao acessar para gerenciar as detecções a qualquermomento.

O Cliente do Endpoint Security exibe o status da varredura em uma nova página.

Prática recomendada: a data de criação de conteúdo do AMCore indica a última vez que oconteúdo foi atualizado. Se o conteúdo tiver mais de dois dias, atualize sua proteção antes deexecutar a varredura.

4 Clique nos botões localizados na parte superior da página de status para controlar a varredura.

Pausar varredura Pausa a varredura antes de sua conclusão.


Cancelar varredura Cancela uma varredura em execução.

5 Quando a varredura for concluída, a página exibirá o número de arquivos varridos, o tempodecorrido e todas as detecções.

Nome da detecção Identifica o nome do malware detectado.

Tipo Mostra o tipo de ameaça.

Arquivo Identifica o arquivo infectado.

Ação realizada Descreve a última ação de segurança tomada em relação ao arquivo infectado:• Acesso negado

• Limpo

• Excluído

• Nenhum

A lista de detecções da varredura por solicitação é eliminada quando a varredura por solicitaçãoseguinte inicia.

Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware 3


6 Selecione uma detecção na tabela, depois clique em Limpar ou em Excluir para limpar ou excluir oarquivo infectado.

Dependendo do tipo de ameaça e das definições da varredura, essas ações podem não estardisponíveis.

7 Clique em Fechar para fechar a página.

Consulte também Tipos de varreduras na página 57Nome da detecção na página 63Atualizar a proteção e o software manualmente na página 23Gerenciar detecções de ameaças na página 61Configurar definições da política de na página 87Configurar, agendar e executar tarefas de varredura na página 92

Varrer um arquivo ou pastaClique com o botão direito no Windows Explorer para fazer uma varredura imediata em um arquivoindividual ou pasta com suspeita de infecção.


O comportamento da Varredura por clique no botão direito depende de como as configurações foram definidas.Com credenciais de administrador, é possível modificar as varreduras nas configurações da Varredura porsolicitação.

Tarefa

1 No Windows Explorer, clique com o botão direito no arquivo ou pasta a varrer e selecione Fazervarredura para encontrar ameaças no menu pop-up.

O Cliente do Endpoint Security exibe o status da varredura na página Fazer varredura para encontrarameaças.

2 Clique nos botões localizados na parte superior da página para controlar a varredura.

Pausar varredura Pausa a varredura antes de sua conclusão.


Cancelar varredura Cancela um varredura em execução.

3 Quando a varredura for concluída, a página exibirá o número de arquivos varridos, o tempodecorrido e todas as detecções.

Nome da detecção Identifica o nome do malware detectado.

Tipo Mostra o tipo de ameaça.

Arquivo Identifica o arquivo infectado.

Ação realizada Descreve a última ação de segurança tomada em relação ao arquivo infectado:• Acesso negado

• Limpo

• Excluído

• Nenhum

3 Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware



4 Selecione uma detecção na tabela, depois clique em Limpar ou em Excluir para limpar ou excluir oarquivo infectado.

Dependendo do tipo de ameaça e das definições da varredura, essas ações podem não estardisponíveis.

5 Clique em Fechar para fechar a página.

Consulte também Tipos de varreduras na página 57Nome da detecção na página 63Configurar definições da política de na página 87

Gerenciar detecções de ameaçasDependendo de como as configurações foram definidas, é possível gerenciar as detecções a partir doCliente do Endpoint Security.




2 Clique em Varrer agora para abrir a página Varrer sistema.

Utilizando o Prevenção contra ameaçasGerenciar detecções de ameaças 3


3 Em Varredura ao acessar, clique em Exibir detecções.

Esta opção não estará disponível se a lista não contiver detecções ou se a opção de mensagens parausuários estiver desativada.


4 Na página Varredura ao acessar, selecione uma das seguintes opções.

Limpar Tenta limpar o item (arquivo, entrada do registro) e colocá-lo na Quarentena.

O Endpoint Security usa as informações dos arquivos de conteúdo para limpararquivos. O mecanismo de varredura negará acesso a arquivos de conteúdo que nãotenham ferramentas de limpeza ou que estejam irreparavelmente danificados.Nesse caso, a McAfee recomenda excluir o arquivo da quarentena e restaurá-lo apartir de uma cópia de backup limpa.

Excluir Exclui o item que contém a ameaça.

Remover entrada Remove a entrada da lista de detecção.

Fechar Fecha a página de varredura.

Se não houver uma ação disponível para a ameaça, a opção correspondente estará desativada. Porexemplo, Limpar não estará disponível se o arquivo já tiver sido excluído.


Gerenciar itens em quarentena O Endpoint Security salva os itens que são detectados como ameaças na pasta Quarentena. É possívelexecutar ações nos itens em quarentena.


Por exemplo, você pode ser capaz de restaurar um item depois de fazer o download de uma versãomais recente do conteúdo que contém informações que limpam a ameaça.

Os itens em quarentena podem incluir vários tipos de objetos examinados, como arquivos, registros ouqualquer coisa que o Endpoint Security examine em busca de malware.

Tarefa



2 Clique em Quarentena no lado esquerdo da página.

A página mostra os itens na quarentena.

Se o Cliente do Endpoint Security não conseguir acessar o Gerenciador de quarentena, ele mostraráuma mensagem de erro de comunicação. Neste caso, reinicialize o sistema para exibir a página deQuarentena.

3 Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena


3 Selecione um item do painel superior para exibir os detalhes no painel inferior.

Para... Faça isso

Alterar os tamanhos relativos dos painéis. Clique e arraste o widget em forma de faixa entreos painéis.

Ordenar itens na tabela por nome ou tipo deameaça.

Clique no cabeçalho da coluna da tabela.

4 Na página da Quarentena, realize ações nos itens selecionados.


Excluir itens daquarentena.

Selecione os itens, clique em Excluir, depois clique em Excluir novamente paraconfirmar.

Os itens excluídos não podem ser restaurados.

Restaurar itens daquarentena.

Selecione os itens, clique em Restaurar, depois clique em Restaurar novamentepara confirmar.O Endpoint Security restaura os itens ao local original e os remove daquarentena.

Se um item ainda for uma ameaça válida, o Endpoint Security o devolve àquarentena na próxima vez que o item é acessado.

Repetir varredura deitens.

Selecione os itens, depois clique em Repetir a varredura.Por exemplo, você pode repetir a varredura de um item depois de atualizarsua proteção. Se o item não for mais uma ameaça, é possível restaurá-loao local original e o removê-lo da quarentena.

Exibir um item noLog de eventos.

Selecione um item e clique no link Ver no log de eventos no painel de detalhes.A página Log de eventos é aberta, com o evento relacionado ao itemselecionado em destaque.

Obter maisinformações sobreuma ameaça.

Selecione um item, depois clique no link Obtenha mais informações sobre estaameaça no painel de detalhes.Uma nova janela do navegador é aberta para o site do McAfee Labs commais informações sobre a ameaça que fez com que o item fosse colocadoem quarentena.

Consulte também Nome da detecção na página 63Repetição de varredura de itens em quarentena na página 65Abrir o Cliente do Endpoint Security na página 19Atualizar a proteção e o software manualmente na página 23

Nome da detecçãoA quarentena informa as ameaças por nome da detecção.

Nome dadetecção

Descrição

Adware Gera receita mostrando anúncios direcionados ao usuário. O adware recebereceita do fornecedor ou de parceiros do fornecedor. Alguns tipos de adwarepodem capturar ou transmitir informações pessoais.

Discador Redireciona as conexões da Internet para outra parte que não é o ISP padrão dousuário. Os discadores são projetados para adicionar tarifas de conexão para umprovedor de conteúdo, fornecedor ou outro terceiro.

Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena 3


Nome dadetecção

Descrição

Joke Afirma danificar um computador, mas não tem conteúdo nem uso malicioso. Osjokes não afetam a segurança nem a privacidade, mas podem alarmar ouincomodar o usuário.

Keylogger Intercepta dados entre o usuário que os insere e o aplicativo ao qual sedestinam. O keylogger do cavalo de Troia e de um programa potencialmenteindesejado podem ser funcionalmente idênticos. O software McAfee detectaambos os tipos para impedir invasões de privacidade.

Descobridor desenha

Permite que um usuário ou administrador recupere senhas perdidas ouesquecidas de contas ou arquivos de dados. Usado por um agressor,proporcionam acesso a informações confidenciais e são uma ameaça desegurança e privacidade.

Programapotencialmenteindesejado

Inclui muitas vezes um software legítimo (que não é malware) que pode alteraro estado de segurança ou a postura de privacidade do sistema. Esse softwarepode ser transferido por download com um programa que o usuário quer instalar.Pode incluir spyware, adware, keylogger, descobridores de senha, ferramentasde hacker e aplicativos discadores.

Ferramenta deadministraçãoremota

Dá a um administrador o controle remoto de um sistema. Essas ferramentaspodem ser uma ameaça significativa de segurança quando controladas por umagressor.

Spyware Transmite informações pessoais a uma terceira parte sem conhecimento ouconsentimento do usuário. O spyware explora os computadores infectados paraganho comercial:• Apresentando anúncios pop-up não solicitados

• Roubando informações pessoais, incluindo informações financeiras comonúmero de cartão de crédito

• Monitorando a atividade de navegação pela web para fins de marketing

• Encaminhando solicitações HTTP para sites de publicidade

Consulte também Programa potencialmente indesejado.

Indetectável É um tipo de vírus que tenta evitar a detecção de um software antivírus.Também conhecido como interceptor de interrupção.

Muitos vírus indetectáveis interceptam solicitações de acesso a disco. Quandoum aplicativo antivírus tenta ler arquivos ou setores de boot para encontrar ovírus, o vírus mostra uma imagem “limpa" do item solicitado. Outros vírusocultam o tamanho real de um arquivo infectado e mostram o tamanho doarquivo antes da infecção.

3 Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena


Nome dadetecção

Descrição

Cavalo de Troia É um programa malicioso que finge ser um aplicativo benigno. Um cavalo deTroia não se reproduz, mas causa danos ou compromete a segurança docomputador.Em geral, um computador se infecta:

• Quando um usuário abre o anexo do cavalo de Troia em um e-mail.

• Quando um usuário transfere por download o cavalo de Troia a partir de umsite.

• Participando de uma rede P2P.

Como não se reproduzem, os cavalos de Troia não são considerados vírus.

Vírus Anexa-se a discos ou outros arquivos e se reproduz repetidamente, em geralsem conhecimento ou permissão do usuário.Alguns vírus se anexam a arquivos, e quando o arquivo infectado é executado, ovírus também é executado. Outros vírus residem na memória de um computadore infetam arquivos quando o computador abre, modifica ou cria arquivos. Algunsvírus exibem sintomas, enquanto outros danificam arquivos e sistemas docomputador.

Repetição de varredura de itens em quarentenaAo refazer a varredura de itens na quarentena, o Endpoint Security usa as configurações de varreduradesenvolvidas para oferecer proteção máxima.

Prática recomendada: sempre refazer a varredura dos itens em quarentena antes de restaurá-los. Porexemplo, você pode repetir a varredura de um item depois de atualizar sua proteção. Se o item não formais uma ameaça, é possível restaurá-lo ao local original e o removê-lo da quarentena.

Entre a detecção da ameaça e a realização da segunda varredura, as condições de varredura podemmudar, o que pode afetar a detecção de itens em quarentena.

Ao repetir a varredura de itens em quarentena, o Endpoint Security sempre:

• Varre arquivos codificados por MIME.

• Varre arquivos mortos compactados.

• Força uma consulta de McAfee GTI nos itens.

• Define o nível de sensibilidade do McAfee GTI como Muito alto.

Mesmo com o uso dessas configurações de varredura, a realização da segunda varredura de quarentenapode não detectar uma ameaça. Por exemplo, se os metadados do item (caminho ou local do Registro)forem alterados, a nova varredura poderá indicar um falso positivo, mesmo se o item ainda estiverinfectado.

Gerenciamento do Prevenção contra ameaçasComo administrador, você pode especificar as configurações do Prevenção contra ameaças paraimpedir acesso a ameaças e configurar varreduras.


Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3


Configuração de exclusõesA Prevenção contra ameaças permite que você ajuste sua proteção especificando os itens a seremexcluídos.Por exemplo, pode ser necessário excluir alguns tipos de arquivos para impedir que um mecanismo devarredura bloqueie um arquivo usado por um banco de dados ou um servidor. Um arquivo bloqueadopode causar falhas ou gerar erros no banco de dados ou no servidor.

As exclusões nas listas de exclusões são mutuamente exclusivas. Cada exclusão é avaliadaseparadamente das outras da lista.

Para excluir uma pasta em sistemas Windows, anexe um caractere de barra invertida (\) do caminho.

Para esterecurso...

Especifique ositens a excluir

Onde configurar Excluir itens por Usarcaracterescuringa?

Proteção de acesso Processos (paratodas as regras ouuma regraespecificada)

Configurações deProteção de acesso

Nome ou caminho doarquivo do processo,hash de MD5 ousignatário

Todos, excetoo hash deMD5

Prevenção deexploração

Processos Configurações dePrevenção deexploração

Nome ou caminho doarquivo do processo,hash de MD5 ousignatárioNome ou caminho doarquivo do Módulo dochamador, hash deMD5 ou signatário

API

Todos, excetoo hash deMD5

Todas as varreduras Nomes de detecção Opçõesconfigurações

Nome da detecção(sensível àsmaiúsculas eminúsculas)

Sim

Programaspotencialmenteindesejados

Nome Sim

Varredura aoacessar• Padrão

• Alto risco

• Baixo risco

Arquivos, tipos dearquivos e pastas

Política deConfigurações deVarredura ao acessar

Nome do arquivo oupasta, tipo de arquivoou idade do arquivo

Sim

URLs do ScriptScan Nome do URL Não

Varredura porsolicitação• Varredura rápida


• Varredura por clique nobotão direito

Arquivos, pastas eunidades

Política deConfigurações deVarredura por solicitação

Nome do arquivo oupasta, tipo de arquivoou idade do arquivo

Sim

Varredura porsolicitaçãopersonalizada

Arquivos, pastas eunidades

Em Comum | Tarefas |Adicionar tarefa |Varredura personalizada

Nome do arquivo ouda pasta, tipo dearquivo ou idade doarquivo

Sim

Consulte também Caracteres curinga em exclusões na página 67

3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças


Caracteres curinga em exclusõesVocê pode usar caracteres curinga para representar caracteres em exclusões para varreduras dearquivos, pastas, nomes de detecção e programas potencialmente indesejados.

Tabela 3-1 Caracteres curinga válidos

Caracterecuringa

Nome Representa

? Ponto deinterrogação

Um único caractere.Esse caractere curinga é válido apenas se o número decaracteres corresponder ao tamanho do nome do arquivo ouda pasta. Por exemplo: a exclusão W?? exclui WWW, mas nãoexclui WW ou WWWW.

* Asterisco Vários caracteres, exceto a barra invertida (\).*\ no início de um caminho de arquivo não é válido. Use **\no lugar disso. Por exemplo: **\ABC\*.

** Asterisco duplo Zero ou mais caracteres quaisquer, incluindo a barra invertida(\).Esse caractere curinga corresponde a zero ou mais caracteres.Por exemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZe C:\ABC\XYZ.

Os caracteres curinga podem aparecer na frente de uma barra invertida (\) em um caminho. Porexemplo, C:\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.

Exclusões em nível de raiz

A Prevenção contra ameaças requer um caminho absoluto para as exclusões em nível de raiz. Issosignifica que não é possível usar caracteres curinga \ ou ?:\ em nomes de unidades no nível raiz.

Esse comportamento é diferente de VirusScan Enterprise. Consulte KnowledgeBase, artigo KB85746 e oGuia de migração do McAfee Endpoint Security.

Com a Prevenção contra ameaças, você pode usar os caracteres curinga **\ em exclusões em nível deraiz para indicar unidades de disco e subpastas. Por exemplo, **\test corresponde aos seguintesresultados:

C:\test

D:\test

C:\temp\test

D:\foo\test

Proteção de pontos de acesso do sistemaA primeira linha de defesa contra malware é a proteção dos pontos de acesso do sistema clientecontra o acesso de ameaças. A Proteção de acesso impede a realização alterações não desejadas emcomputadores gerenciados, restringindo o acesso a determinados arquivos, compartilhamentos,chaves de Registro, valores de Registro e processos.

A Proteção de acesso usa regras definidas pela McAfee e regras definidas pelo usuário (tambémchamadas de regras personalizadas) para relatar ou bloquear o acesso aos itens. A Proteção de acessocompara uma ação solicitada com uma lista de regras e toma as medidas de acordo com a regra.




A Proteção de acesso deve ser ativada para detectar tentativas de acesso a arquivos,compartilhamentos, chaves de Registro, valores de Registro e processos.

Por padrão, a Proteção de acesso está ativada.

Como as ameaças obtêm acessoAs ameaças obtêm acesso ao sistema usando vários pontos de acesso.

Ponto de acesso Descrição

Macros Como parte de aplicativos de processamento de texto e de planilhas.

Arquivos executáveis Programas aparentemente benignos podem conter vírus com o programaesperado. Algumas extensões de arquivo comunssão .EXE, .COM, .VBS, .BAT, .HLP e .DLL.

Scripts Associados com páginas da Internet e e-mail, scripts como ActiveX eJavaScript, podem conter vírus, se executados.

Mensagens do InternetRelay Chat (IRC)

Arquivos enviados com estas mensagens podem facilmente conter malwarecomo parte da mensagem. Por exemplo, processos de inicializaçãoautomáticos podem conter ameaças de worms e cavalos de Troia.

Arquivos de Ajuda denavegadores eaplicativos

O download destes arquivos de Ajuda expõem o sistema a vírus eexecutáveis incorporados.

E-mail Brincadeiras, jogos e imagens como parte de mensagens de e-mail comanexos.

Combinações de todosesses pontos de acesso

Os criadores de malware sofisticados combinam todos esses métodos deentrega e até mesmo incorporam partes de um malware a outros paratentar acessar o computador gerenciado.

Como a Proteção de acesso detém ameaçasA Proteção de acesso detém ameaças potenciais gerenciando ações baseadas em regras de proteçãodefinidas pela McAfee e pelo usuário.

O Prevenção contra ameaças segue este processo básico para fornecer proteção de acesso.

Quando ocorre uma ameaça

Quando um usuário ou processo age:

1 A Proteção de acesso examina a ação de acordo com as regras definidas.

2 Se a ação violar uma regra, a Proteção de acesso gerencia a ação usando as informações nasregras configuradas.

3 A Proteção de acesso atualiza o arquivo de log e gera e envia um evento para o servidor degerenciamento, se gerenciado.

Exemplo de uma ameaça de acesso

1 Um usuário baixa um programa legítimo (não malware), MyProgram.exe, da internet.

2 O usuário inicia o MyProgram.exe, e o programa aparentemente funciona como esperado.

3 O MyProgram.exe inicia um processo filho chamado AnnoyMe.exe.

4 O AnnoyMe.exe tenta modificar o sistema operacional para garantir que ele sempre seja carregadona inicialização.



5 A Proteção de acesso processa a solicitação e compara a ação com uma regra existente parabloquear e gerar relatórios.

6 A Proteção de acesso impede que o AnnoyMe.exe modifique o sistema operacional e registra osdetalhes da tentativa. A Proteção de acesso também gera e envia um alerta para o gerenciador degerenciamento.

Sobre as regras de proteção de acessoUse as regras de proteção de acesso definidas pela McAfee e pelo usuário para proteger os pontos deacesso de seu sistema.

As regras definidas pela McAfee são sempre aplicadas antes de quaisquer regras definidas pelousuário.

Tipo de regra Descrição

Regras definidaspela McAfee

• Estas regras impedem a modificação de configurações e arquivos usados comfrequência.

• Você pode ativar, desativar e alterar a configuração de regras definidas pelaMcAfee, mas você não pode excluir essas regras.

Regras definidaspelo usuário

• Estas regras complementam a proteção fornecida pelas regras predefinidas daMcAfee.

• Uma tabela de Executáveis vazia indica que a regra se aplica a todos osexecutáveis.

• Uma tabela de Nomes de usuário vazia indica que a regra se aplica a todos osusuários.

• Você pode adicionar, excluir, ativar, desativar e alterar a configuração dessasregras.

Exclusões

Como regra geral, as exclusões e inclusões são aplicadas à regra específica. Em nível de política, asexclusões são aplicáveis a todas as regras. As exclusões são opcionais.

Consulte também Remove processos da Proteção de acesso na página 76

Configurar regras de proteção de acesso definidas pela McAfeeAs regras definidas pela McAfee impedem que os usuários modifiquem configurações e arquivosusados com frequência.


É possível:

• Alterar as configurações de bloqueio e relatório dessas regras.

• Adicionar executáveis excluídos e incluídos a essas regras.



Não é possível:

• Excluir essas regras.

• Modificar os arquivos e as configurações protegidos por essas regras.

• Adicionar sub-regras ou nomes de usuário a essas regras.



2 Clique em Prevenção contra ameaças na página Status principal.

Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.


4 Clique em Proteção de acesso.

5 Modifique a regra:

a Na seção Regras, selecione Bloquear, Relatar ou ambas as opções para a regra.

• Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.

• Para desativar a regra, desmarque Bloquear e Relatar.

b Clique duas vezes na regra definida pela McAfee a ser editada.

c Na página Editar regra definida pela McAfee, defina as configurações.

d Na seção Executáveis, clique em Adicionar, defina as configurações e clique em Salvar duas vezespara salvar a regra.


Consulte também Regras de proteção de acesso definidas pela McAfee na página 71Entrar como administrador na página 27Remove processos da Proteção de acesso na página 76



Regras de proteção de acesso definidas pela McAfeeUse as regras de proteção de acesso definidas pela McAfee para proteger seu computador contraalteração indesejadas.

Regra definida pelaMcAfee

Descrição

Alterar qualquer registro deextensão de arquivo

Protege as chaves de Registro em HKEY_CLASSES_ROOT, onde asextensões de arquivos são registradas.Esta regra impede que um malware modifique os registros de extensão doarquivo para permitir que seja executado silenciosamente.

Prática recomendada: desativar essa regra ao instalar aplicativos válidosque modificam registros de extensão de arquivos no Registro.

Essa regra é uma alternativa mais restritiva ao comando Interceptar .EXE eoutras extensões executáveis.

Alterar políticas de direitosdos usuários

Protege valores de Registro que contenham informações de segurança doWindows.Esta regra impede que worms alterem contas que tenham direitos deadministrador.

Criacao de novos arquivosexecutaveis na pasta Arquivosde programas

Impede a criacao de novos arquivos executaveis na Pasta de arquivos deprogramas.Esta regra impede que programas de adware e spyware criem novosarquivos .EXE e .DLL e instalem novos arquivos executáveis na pastaArquivos de programas.

Prática recomendada: instalar os aplicativos antes de ativar esta regraou colocar os processos bloqueados na lista de exclusão.

Criacao de novos arquivosexecutaveis na pasta Windows

Impede a criação de arquivos de qualquer processo, não só da rede.Esta regra impede a criação de arquivos .EXE e .DLL na pasta Windows.

Prática recomendada: adicionar os processos que devem colocar osarquivos na pasta Windows à lista de exclusão.

Desativar o Editor do registro edo Gerenciador de tarefas

Protege as entradas de registro do Windows, impedindo a desativação doeditor do registro e o Gerenciador de tarefas.

Em caso de epidemia, desative esta regra para poder alterar o Registro ouabra o Gerenciador de tarefas para interromper os processos ativos.

Executar scripts através dohost de scripts do Windows(CScript.exe ou Wscript.exe)em qualquer pasta temporária

Impede que o host de scripts do Windows execute scripts VBScript eJavaScript em qualquer pasta que contenha "temp" no nome.Esta regra protege contra vários cavalos de Troia e mecanismos deinstalação da Web questionáveis usados por aplicativos de adware espyware.

Esta regra pode bloquear a instalação e a execução de scripts legítimos eaplicativos de terceiros.

Desvio de .EXE ou outrasextensões executáveis

Protege chaves de registro .EXE, .BAT e de outros executáveis emHKEY_CLASSES_ROOT.Esta regra impede que um malware modifique chaves de registro paraexecutar o vírus quando outro executável estiver sendo executado.

Essa regra é uma alternativa menos restritiva a Alterar todos os registros deextensão de arquivos.




Descrição

Instalar BHOs (Objetos deAjuda de Navegação) ouextensões do shell

Evita que adware, spyware e cavalos de Troia que instalam objetos deajuda do navegador façam instalações no computador host.Esta regra impede a instalação de programas de adware e spyware nossistemas.

Prática recomendada: permitir que aplicativos legítimos personalizadosou de terceiros instalem esses objetos adicionando-os à lista de exclusão.Após a instalação, você pode reativar a regra, pois ela não impede ofuncionamento de Objetos de ajuda do navegador instalados.

Instalar novos CLSIDs, APPIDse TYPELIBs

Impede a instalação ou o registro de novos servidores COM.Esta regra protege contra programas de adware e spyware que instalam asi mesmos como um complemento de COM em aplicativos do InternetExplorer ou do Microsoft Office.

Prática recomendada: permitir aplicativos legítimos que registramcomplementos de COM, incluindo alguns aplicativos comuns, como o AdobeFlash, adicionando-os na lista de exclusão.

Lançamento de arquivos peloInternet Explorer através dapasta Arquivos de ProgramasBaixados

Impede que o software seja instalado a partir do navegador da Web. Estaregra é específica ao Microsoft Internet Explorer.Uma vez que esta regra também pode bloquear a instalação de softwareslegítimos, instale o aplicativo antes de ativá-la, ou adicione o processo deinstalação como uma exclusão.

Por padrão, a regra é definida comoRelatório.

Esta regra impede adwares e spywares de instalar e executar arquivosexecutáveis a partir desta pasta.

Modificar processos principaisdo Windows

Impede que arquivos sejam criados ou executados com os nomes falsosmais comuns.Esta regra impede que vírus e cavalos de Troia sejam executados com onome de um processo do Windows. Esta regra exclui arquivos do Windowsautênticos.

Modificar configurações doInternet Explorer

Bloqueia a modificação de configurações do Internet Explorer feitas porprocessos.Esta regra evita que cavalos de Troia de páginas iniciais, adwares espywares modifiquem as configurações do navegador, como mudar apágina inicial ou instalar favoritos.

Modificar configurações derede

Impede que qualquer processo não enumerado na lista de exclusão altereas configurações de rede do sistema.Esta regra protege contra Provedores de serviço em camadas quetransmitem dados, como seu comportamento de navegação, capturando otráfego de rede e o enviando para sites de terceiros.

Prática recomendada: adicionar os processos que precisam alterar asconfigurações de rede à lista de exclusão ou desativar a regra enquanto asalterações são realizadas.




Descrição

Registrar programas paraexecução automática

Bloqueia a tentativa de registro de vírus, cavalos de Troia, programas deadware e spyware para serem carregados sempre que um sistema éreiniciado.Esta regra impede que processos que não estejam na lista de exclusãoregistrem processos que são executados toda vez que o sistema éreiniciado.

Prática recomendada: adicionar aplicativos legítimos à lista de exclusãoou instalá-los antes de ativar esta regra.

Acessar remotamente arquivosou pastas locais

Impede o acesso de leitura e gravação de computadores remotos aocomputador.Esta regra impede a proliferação de worms de compartilhamento.

Em um ambiente típico, esta regra é adequada para estações de trabalho,mas não para servidores, e é útil apenas quando os computadores estãoativamente sob ataque.

Se um computador for gerenciado por meio do envio por push de arquivos,esta regra impedirá que atualizações ou patches sejam instalados. Estaregra não afeta as funções de gerenciamento do McAfee ePO.

Criar remotamente arquivos deexecução automática

Impede que outros computadores se conectem e criem ou alterem arquivosde execução automática (autorun.inf).Arquivos de execução automática são usados para iniciar arquivos deprogramas automaticamente, geralmente arquivos de configuração de CDs.

Esta regra impede que spywares e adwares distribuídos em CDs sejamexecutados.

Por padrão, esta regra está selecionada para Bloquear e Relatar.

Criar ou modificarremotamente arquivos oupastas

Bloqueia o acesso de gravação a todos os compartilhamentos.Esta regra é útil em epidemias, impedindo acesso para gravação paralimitar a proliferação da infecção. Esta regra bloqueia malwares que, emoutras circunstâncias, limitariam criticamente o uso do computador ou darede.

Em um ambiente típico, esta regra é adequada a estações de trabalho, enão servidores, e é útil apenas quando computadores estão ativamente sobataque.

Se um computador for gerenciado por meio do envio por push de arquivos,esta regra impedirá que atualizações ou patches sejam instalados. Essaregra não afeta as funções de gerenciamento do McAfee ePO.

Criar ou modificarremotamente os tipos dearquivos PortableExecutable, .INI, .PIF e aslocalizações do sistemaprincipal

Impede que outros computadores se conectem e alterem executáveis,como arquivos na pasta Windows. Esta regra afeta apenas os tipos dearquivos que geralmente são infectados por vírus.Esta regra protege contra worms ou vírus de rápida disseminação, queatravessam uma rede através de compartilhamentos abertos ouadministrativos.

Essa regra é uma alternativa menos segura a Tornar todos os compartilhamentos sóde leitura.




Descrição

Executar arquivos de qualquerpasta temporária

Bloqueia a execução ou inicialização de qualquer item executável a partirde qualquer pasta que contenha "temp" no nome.Essa regra protege contra malwares salvos e executados na pastatemporária do usuário ou do sistema. Este tipo de malware pode incluiranexos executáveis em mensagens de e-mail e programas obtidos pordownload.

Apesar de esta regra oferecer a maior proteção, ela pode bloquear ainstalação de aplicativos legítimos.

Execução de arquivos na pastaTemp por programas comuns

Em aplicativos, bloqueia a instalação de softwares a partir do navegador oudo cliente de e-mail.Esta regra impede que anexos de e-mail e executáveis sejam executadosem páginas da Web.

Prática recomendada: para instalar um aplicativo que usa a pasta Temp,adicione o processo à lista de exclusão.

Consulte também Configurar regras de proteção de acesso definidas pela McAfee na página 69

Configurar regras de proteção de acesso definidas pelo usuárioEssas regras complementam a proteção fornecida pelas regras definidas pela McAfee. Você podeadicionar, excluir, ativar, desativar e modificar a configuração dessas regras.


Prática recomendada: para obter informações sobre a criação de regras de proteção de acesso para aproteção contra, consulte o artigo PD25203.







5 Para criar a regra, na seção Regras, clique em Adicionar.

Na página Adicionar regra, defina as configurações.

a Na seção Executáveis, clique em Adicionar, configure as propriedades do executável e clique emSalvar.

Uma tabela de Executáveis vazia indica que a regra se aplica a todos os executáveis.



https://kc.mcafee.com/corporate/index?page=content&id=PD25203

b Na seção Nomes de usuário, clique em Adicionar e configure as propriedades do nome de usuário.

Uma tabela de Nomes de usuário vazia indica que a regra se aplica a todos os usuários.

c Na seção Sub-regras, clique em Adicionar e, em seguida, configure as propriedade das sub-regras.

Prática recomendada: para evitar impactos no desempenho, não selecione a operação Ler.

Na seção Destinos, clique em Adicionar, configure as informações de destino e clique em Salvar duasvezes.

6 Na seção Regras, selecione Bloquear, Relatar ou ambas as opções para a regra.




Consulte também Remove processos da Proteção de acesso na página 76

Como são avaliados os destinos em sub-regras da Proteção de acessoCada destino é adicionado com uma diretiva Incluir ou Excluir.

Ao avaliar um evento do sistema em relação a uma sub-regra, a sub-regra avalia como verdadeiro se:

• Pelo menos um Incluir for avaliado como verdadeiro.

e

• Todas as exclusões forem avaliadas como falsas.

Excluir tem prioridade sobre Incluir. Aqui estão alguns exemplos:



• Se uma única sub-regra incluir e também excluir um arquivo C:\marketing\jjohns, a sub-regra nãoserá disparada para esse arquivo.

• Se uma sub-regra incluir todos os arquivos, mas excluir o arquivo C:\marketing\jjohns, a sub-regraserá disparada se o arquivo não for C:\marketing\jjohns.

• Se uma sub-regra incluir o arquivo C:\marketing\*, mas excluir C:\marketing\jjohns, a sub-regraserá disparada para C:\marketing\qualquer_pessoa, mas não será disparada para C:\marketing\jjohns.

Remove processos da Proteção de acessoSe um programa estiver bloqueado, exclua o processo criando uma exclusão com base em política ouregra.







5 Verifique se aProteção de acesso está ativada.

Por padrão, a Proteção de acesso está ativada.

6 Execute uma das seguintes opções:

Para... Faça isso...

Crie umaexclusão baseadana política.

1 Na seção Exclusões, clique emAdicionar para adicionar os processos a seremexcluídos de todas as regras.

2 Na página Adicionar Executável, configure as propriedades do executável.

3 Clique em Salvar e, em seguida, clique em Aplicar para salvar as configurações.

Crie umaexclusão baseadana política.

1 Edite uma regra existente ou adicione uma nova regra.

2 Na página Adicionar Regra ou Editar Regra, clique emAdicionar para adicionar umexecutável a ser excluído.


4 Clique em Salvar para salvar as exclusões.

Bloqueio de explorações de estouro de bufferPrevenção de exploração impede que estouros de buffer explorados executem códigos arbitrários. Esterecurso monitora as chamadas de API em modo de usuário e reconhece quando são chamadas comoresultado de um estouro de buffer.

Quando ocorre uma detecção, as informações são armazenadas no log de atividades, exibidas nosistema cliente e enviadas ao servidor de gerenciamento, se assim configurado.



O Prevenção contra ameaças usa o arquivo de conteúdo de Prevenção de exploração para protegeraplicativos como o Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word eMSN Messenger.

O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security 10.2. Seo McAfee Host IPS estiver ativado, a Prevenção de exploração será desativada, mesmo se estiverativada nas configurações de política.

Como ocorrem explorações de estouro de bufferOs invasores usam explorações de estouro de buffer para executar o código executável ao estourar obuffer de memória de tamanho fixo reservado para processos de entrada. Esse código permite que oinvasor domine o computador de destino ou comprometa seus dados.

Mais de 25% dos ataques de malware são ataques de estouro de buffer que tentam sobrescrever amemória adjacente na estrutura de pilha.

Os dois tipos de explorações de estouro de buffer são:

• Ataques baseados em pilha usam objetos de memória de pilha para armazenar a entrada de dadosdo usuário (mais comuns).

• Ataques baseados em heap inundam o espaço da memória reservado para um programa (raros).

O objeto de memória de pilha de tamanho fixo fica vazio e aguardando a entrada de dados do usuário.Quando um programa recebe a entrada de dados do usuário, os dados são armazenados no alto dapilha e atribuídos a um endereço de memória de retorno. Quando a pilha é processada, a entrada dedados do usuário é enviada ao endereço de retorno especificado pelo programa.

O processo a seguir descreve um ataque de estouro de buffer baseado em pilha:

1 Estouro de pilha.

Quando o programa é desenvolvido, uma quantidade específica de espaço da memória é reservadapara os dados. A pilha estoura se os dados gravados forem maiores do que o espaço reservadopara ela na pilha da memória. Essa situação só é um problema quando combinada com a entradade dados maliciosos.

2 Exploração de estouro.

O programa espera pela entrada de dados do usuário. Se o invasor digitar um comando executávelque excede o tamanho da pilha, este comando será salvo fora do espaço reservado.

3 Execução de malware.

O comando não é executado automaticamente quando excede o espaço do buffer de pilha.Inicialmente, o programa começa a travar por causa do estouro de buffer. Caso o invasor tenhafornecido um endereço de retorno fornecido pelo invasor que faz referência ao comando malicioso,o programa tenta se recuperar usando o endereço de retorno. Se o endereço de retorno for válido,o comando malicioso será executado.

4 Exploração de permissões.

O malware agora é executado com as mesmas permissões do aplicativo que foi comprometido.Como os programas são executados normalmente no modo kernel ou com permissões herdadas deuma conta de serviço, o invasor agora ganha controle total do sistema operante.



Configurar definições da de Prevenção de exploraçãoPara impedir que aplicativos executem códigos arbitrários no computador do usuário, configure asdefinições da de Prevenção de exploração.







4 Clicar em Prevenção de exploração.

5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique emCancelar.


Exclusão de processos da Prevenção de exploraçãoQuando ocorre um evento de violação à Prevenção de exploração, há um processo associado e umpossível módulo de chamador ou API.

Se suspeitar que o evento de violação é um falso positivo, você poderá adicionar uma exclusão queespecifique o processo, o módulo do chamador e a API.

Em uma exclusão, o processo, o módulo e a API estão conectados por uma ligação lógica AND. Paraexcluir a possibilidade de que essa violação ocorra novamente, o processo, módulo e a API associadosao evento de violação devem corresponder.

Todas as exclusões são independentes: múltiplas exclusões são conectadas por um OR lógico, demodo que, se uma exclusão for correspondente, o evento de violação não ocorrerá.

Detectar programas potencialmente indesejadosPara proteger o computador gerenciado contra programas potencialmente indesejados, especifique osarquivos e programas a serem detectados em seu ambiente e, em seguida, ative a detecção.

Programas potencialmente indesejados são programas de software incômodos ou que podem alterar oestado de segurança ou a política de privacidade do sistema. Programas potencialmente indesejadospodem ser incorporados a programas que usuários baixam intencionalmente. Programas indesejadospodem incluir programas de spyware, adware e discadores.

1 Especifique programas indesejados personalizados a detectar pelos mecanismos de varredura aoacessar e por solicitação nas definições de em Opções.



2 Ative a detecção de programas indesejados e especifique as ações a serem realizadas no caso dedetecções nestas configurações:

• Definições de de Varredura ao acessar

• Definições de de Varredura por solicitação

Consulte também Especificar programas potencialmente indesejados personalizados a detectar na página 79Ativar e configurar detecção e respostas de programas potencialmente indesejados na página80Configurar as definições de de Varredura ao acessar na página 82Configurar definições da política de na página 87

Especificar programas potencialmente indesejados personalizados adetectarEspecifique programas adicionais para os mecanismos de varredura ao acessar e por solicitação aserem tratados como programas indesejados nas definições de política Opções.


Os mecanismos de varredura detectam os programas especificados por você e os programasespecificados nos arquivos de conteúdo do AMCore.






4 Clique em Opções.

5 Em Detecções de programas potencialmente indesejados:• Clique em Adicionar para especificar o nome e a descrição opcional de um arquivo ou programa a

ser tratado como programa potencialmente indesejado.

A Descrição aparece como nome da detecção quando ocorre uma detecção.

• Clique duas vezes sobre o nome ou descrição de um programa potencialmente indesejadoexistente para modificar.

• Selecione um programa potencialmente indesejado existente, depois clique em Excluir pararemovê-lo da lista.




Ativar e configurar detecção e respostas de programas potencialmenteindesejadosAtive os mecanismos de varredura ao acessar e por solicitação para detectar programaspotencialmente indesejados e especificar respostas quando uma for encontrada.



1 Configurar definições da de Varredura ao acessar.

a Abra o Cliente do Endpoint Security.

b Clique em Prevenção contra ameaças na página Status principal.


c Clique em Mostrar opções avançadas.

d Clique em Varredura ao acessar.

e Em Configurações do processo, para cada tipo de Varredura ao acessar, selecione Detectar programasindesejados.

f Em Ações, configure as respostas aos programas indesejados.

2 Configure as definições de da Varredura por solicitação.

a Abra o Cliente do Endpoint Security.

b Clique em Prevenção contra ameaças na página Status principal.


c Clique em Mostrar opções avançadas.

d Clique em Varredura por solicitação.

e Para cada tipo de varredura (Varredura completa, Varredura rápida e Varredura por clique no botão direito):

• Selecione Detectar programas indesejados.

• Em Ações, configure as respostas aos programas indesejados.

Consulte também Configurar as definições de de Varredura ao acessar na página 82Configurar definições da política de na página 87Entrar como administrador na página 27



Configure definições de varreduras comunsPara especificar as configurações válidas para varreduras ao acessar e por solicitação, configure asdefinições da política Prevenção contra ameaças Opções.


Estas configurações se aplicam a todas as varreduras:

• O local da quarentena e o número de dias em que os itens deverão ser mantidos em quarentenaantes de serem excluídos automaticamente

• Nomes de detecção a serem excluídos das varreduras

• Proteção contra programas indesejados, como spyware e adware

• Comentário de telemetria com base no McAfee GTI



2 Clique em Prevenção contra ameaças na página principal de Status.


3 Clique em Mostrar Avançados.



Consulte também Entrar como administrador na página 27Configurar as definições de de Varredura ao acessar na página 82Configurar definições da política de na página 87

Como funciona o McAfee GTISe você ativar o McAfee GTI para o mecanismo de varredura ao acessar ou por solicitação, omecanismo de varredura utilizará a heurística para verificar arquivos suspeitos. O servidor McAfee GTIarmazena classificações de sites e relatórios para o Controle da Web. Se você configurar o Controle daWeb para varrer arquivos obtidos por download, o mecanismo de varredura usará a reputação dearquivos do McAfee GTI para verificar se há arquivos suspeitos.








Configurar as definições de de Varredura ao acessarEssas definições ativam e configuram a varredura ao acessar, o que inclui a especificação demensagens a serem enviadas quando uma ameaça é detectada e definições diferentes com base notipo de processo.


Consulte a Ajuda das configurações de Opções da Prevenção contra ameaças para obter mais opções deconfiguração de varredura.






4 Clique em Varredura ao acessar.

5 Selecione Ativar varredura ao acessar para ativar o mecanismo de varredura ao acessar e modificar asopções.

6 Especifique se devem ser usadas Definições padrão para todos os processos ou definiçõesdiferentes para processos de alto e baixo risco.

• Definições padrão — Configure as definições de varredura na guia Padrão.

• Definições diferentes baseadas no tipo de processo — Selecione a guia (Padrão, Alto risco ouBaixo risco) e configure as definições de varredura para cada tipo de processo.


Consulte também Entrar como administrador na página 27Configure definições de varreduras comuns na página 81



Como funciona a varredura ao acessarO mecanismo de varredura ao acessar se integra ao sistema nos níveis mais baixos (driver de filtro dosistema de arquivos) e faz a varredura de arquivos onde entram primeiro no sistema.

O mecanismo de varredura ao acessar envia notificações à Interface do serviço quando ocorremdetecções.

Quando ocorre uma tentativa de abrir ou fechar um arquivo, o mecanismo de varredura intercepta aoperação e:

1 O mecanismo de varredura determina se o item deve ser examinado, usando esses critérios:

• A extensão do arquivo corresponde à configuração.

• O arquivo não foi armazenado em cache, excluído ou varrido previamente.

Se você configurar o McAfee GTI, o mecanismo de varredura usa a heurística para verificar arquivossuspeitos.

2 Se o arquivo atender aos critérios de varredura, o mecanismo de varredura o comparará com asassinaturas no arquivo de conteúdo do AMCore atualmente carregado.

• Se o arquivo estiver limpo, o resultado será armazenado em cache e a operação de leitura ougravação será autorizada.

• Se o arquivo contiver uma ameaça, a operação será negada e o mecanismo de varreduraexecutará a ação configurada.

Por exemplo, se a ação for limpar o arquivo, o mecanismo de varredura:

1 Usa as informações do arquivo de conteúdo do AMCore carregado atualmente para limpar oarquivo.

2 Registrará os resultados no log de atividades.

3 Notificará o usuário de que ele detectou uma ameaça em um arquivo e avisará sobre a açãoa ser executada (limpar ou excluir o arquivo).

Windows 8 e 10 — Se o mecanismo de varredura detectar uma ameaça no caminho de umaplicativo da Windows Store instalado, ele a marcará como adulterada. O Windows adiciona osinalizador de adulterado ao bloco do aplicativo. Ao tentar executá-lo, o Windows envia umanotificação sobre o problema e direciona você ao Windows Store para efetuar uma reinstalação.



3 Se o arquivo não corresponder aos requisitos de varredura, o mecanismo de varredura armazenaráo arquivo em cache e concederá a operação.

A lista de detecções da varredura ao acessar é eliminada quando o serviço Endpoint Security reiniciaou na reinicialização do sistema.

A Prevenção contra ameaças remove o cache de varredura global e realiza uma nova varredura detodos os arquivos quando:

• A configuração da Varredura ao acessar é alterada.

• É adicionado um arquivo Extra.DAT.

Varrer ao gravar no disco, ler de disco, ou deixar a McAfee decidir

É possível especificar quando o mecanismo de varredura ao acessar varre os arquivos: ao gravar nodisco, ao ler do disco, ou permitir que a McAfee decida ao varrer.

Quando os arquivos estão sendo gravados em disco, o mecanismo de varredura ao acessar varre osseguintes arquivos:

• Arquivos de entrada que estão sendo gravados na unidade de disco rígido local.

• Arquivos (novos, modificados ou arquivos copiados ou movidos de uma unidade para outra) criadosna unidade de disco rígido local ou em uma unidade de rede mapeada (se ativado).



Quando os arquivos estão sendo lidos do disco, o mecanismo de varredura varre os seguintesarquivos:

• Arquivos de saída que estão sendo lidos da unidade de disco rígido local ou de unidades de redemapeadas (se ativado).

• Arquivos tentando executar um processo na unidade de disco rígido local.

• Arquivos abertos na unidade de disco rígido local.

Quando você deixa a McAfee decidir se um arquivo requer varredura, o mecanismo de varredura aoacessar usa a lógica de confiança para otimizar a varredura. A lógica de confiança melhora suasegurança e impulsiona o desempenho evitando varreduras desnecessárias. Por exemplo, a McAfeeanalisa e considera alguns programas confiáveis. Se a McAfee constatar que esses programas nãoforam adulterados, o mecanismo de varredura poderá realizar uma varredura reduzida ou otimizada.

Prática recomendada: ativar esta opção para ter o máximo de proteção e desempenho.

Sobre o ScriptScanO mecanismo de varredura de script do Prevenção contra ameaças opera como um componente proxypara o Windows Script Host nativo, interceptando e varrendo scripts antes de serem executados.

• Se o script estiver limpo, o mecanismo de varredura de scripts o transmitirá para o Windows ScriptHost nativo.

• Se o script contiver uma ameaça potencial, o dispositivo de varredura do script impede que omesmo seja executado.

Exclusões do ScriptScan

Sites com muitos scripts e aplicativos baseados na Web podem ter um desempenho ruim quando oScriptScan estiver ativado. Em vez de desativar o ScriptScan, recomendamos especificar as exclusõesde URL para sites confiáveis, como sites em uma intranet ou aplicativos de rede cuja segurança sejaconhecida.



Ao criar as exclusões de URL:

• Não use caracteres curinga.

• Não inclua números de porta.

• Recomendamos que você use somente Nomes de domínio totalmente qualificados (FQDN) e nomesNetBIOS.

Nos sistemas Windows Server 2008, as exclusões de URL do ScriptScan não funcionam com o InternetExplorer a menos que você ative as extensões de navegador de terceiros e reinicie o sistema. Consulteo artigo KB69526 da Base de dados de conhecimento.

ScriptScan e Internet Explorer

Quando o Prevenção contra ameaças estiver instalado, na primeira vez que o Internet Explorer foriniciado, será exibido um aviso para habilitar uma ou mais extensões da McAfee. Para que oScriptScan faça uma varredura nos scripts:

• A configuração Ativar o ScriptScan deve estar selecionada.

• A extensão deve ser ativada no navegador.

Se o ScriptScan estiver desativado quando o Internet Explorer for iniciado e, depois, for ativado, ele nãodetectará scripts maliciosos nessa instância do Internet Explorer. É preciso reiniciar o Internet Explorerdepois de ativar a opção ScriptScan para que ela detecte scripts maliciosos.

Como determinar definições de varredura para processosSiga esse processo para determinar se é necessário configurar definições diferentes com base no tipode processo.




Configurar definições da política de Essas definições configuram o comportamento de três varreduras por solicitação predefinidas:Varredura completa, Varredura rápida e Varredura por clique no botão direito.


Consulte a Ajuda das configurações de Opções da Prevenção contra ameaças para obter mais opções deconfiguração de varredura.





2 Clique em Prevenção contra ameaças na página principal de Status.



4 Clique em Varredura por solicitação.

5 Clique em uma guia para definir as configurações para a varredura especificada.


• Varredura rápida

• Varredura por clique no botão direito


Consulte também Entrar como administrador na página 27Configure definições de varreduras comuns na página 81Configurar, agendar e executar tarefas de varredura na página 92

Como funciona a varredura por solicitaçãoO mecanismo de varredura por solicitação pesquisa os arquivos, pastas, memória e registro dosistema, e procura por qualquer malware que possa ter infectado o computador.

Você decide quando e com que frequência as varreduras por solicitação ocorrem. Você pode fazer avarredura dos sistemas manualmente, em um momento programado ou durante a inicialização dosistema.

1 O mecanismo de varredura por solicitação usa os seguintes critérios para determinar se o itemdeve ser examinado na varredura:

• A extensão do arquivo corresponde à configuração.

• O arquivo não foi armazenado em cache, excluído ou varrido anteriormente (caso o mecanismode varredura use o cache de varredura).

Se você configurar o McAfee GTI, o mecanismo de varredura usa a heurística para verificar arquivossuspeitos.

2 Se o arquivo atender aos critérios de varredura, o mecanismo de varredura fará a comparação dasinformações do item com assinaturas de programas de malware conhecidos nos arquivos deconteúdo do AMCore atualmente carregados.

• Se o arquivo estiver limpo, o resultado é armazenado em cache e o mecanismo de varreduraverifica o próximo item.

• Se o arquivo contiver uma ameaça, o mecanismo de varredura executará a ação configurada.



Por exemplo, se a ação é para limpar o arquivo, o mecanismo de varredura:

1 Usa as informações do arquivo de conteúdo AMCore carregado atualmente para limpar oarquivo.

2 Registra os resultados no log de atividades.

3 Notifica o usuário sobre a detecção de uma ameaça no arquivo e inclui o nome do item e aação executada.

Windows 8 e 10 — Se o mecanismo de varredura detectar uma ameaça no caminho de umaplicativo da Windows Store instalado, ele a marcará como adulterada. O Windows adiciona osinalizador de adulterado ao bloco do aplicativo. Ao tentar executá-lo, o Windows envia umanotificação sobre o problema e direciona você ao Windows Store para efetuar uma reinstalação.

3 Se o item não atender aos requisitos de varredura, o mecanismo de varredura não o verifica. Aoinvés disso, o mecanismo continua até haja ocorrido a varredura de todos os dados.


O Prevenção contra ameaças limpa o cache de varredura global e realiza uma nova varredura de todosos arquivos quando um Extra.DAT é carregado.

Redução do impacto das varreduras para os usuáriosPara minimizar o impacto que as varreduras por solicitação têm nos sistemas, especifique as opçõesde desempenho ao configurar as varreduras.

Varrer apenas quando o sistema estiver ociosoA forma mais fácil de garantir que a varredura não tenha impacto nos usuários é executar a varredurapor solicitação somente quando o computador estiver ocioso.



Se a opção estiver selecionada, a Prevenção contra ameaças pausa a varredura quando detectaatividade do disco ou do usuário, tal como acesso usando o teclado ou o mouse. A Prevenção contraameaças retoma a varredura quando o usuário não tiver acessado o sistema por três minutos.

Opcionalmente é possível:

• Permitir que os usuários retomem as varreduras que foram pausadas devido à atividade dousuário.

• Voltar a executar a varredura apenas quando o sistema estiver ocioso.

Desative essa opção em sistemas de servidor e em sistemas que os usuários acessam usando apenasuma RDP (Remote Desktop Connection - Conexão de área de trabalho remota). A Prevenção contraameaças depende do McTray para determinar se o sistema está ocioso. Em sistemas acessados apenaspor RDP, o McTray não é iniciado e o mecanismo de varredura por solicitação jamais é executado. Paracontornar esse problema, os usuários podem iniciar o McTray (em C:\Arquivos de programas\McAfee\Agent\mctray.exe, por padrão) manualmente quando entrarem usando a RDP.

Selecione Varrer apenas quando o sistema estiver ocioso na seção Desempenho na guia de Configurações deTarefas de Varredura.

Pausar a varredura automaticamentePara melhorar o desempenho, você pode pausar varreduras por solicitação quando o sistema estiverfuncionando com bateria. Você também pode pausar a varredura quando um aplicativo, como umnavegador, tocador de mídia ou apresentação, estiver sendo executado no modo de tela cheia. Avarredura é retomada automaticamente quando o sistema for conectado à energia ou não estiver maisno modo de tela cheia.

Selecione essas opções na seção Desempenho na guia Configurações da Tarefa de varredura:

• Não varrer quando o sistema estiver no modo de bateria

• Não varra quando o sistema estiver no modo de apresentação (disponível quando a opção Varrer a qualquer momentoestá selecionada)

Permitir que os usuários adiem varredurasSe você escolher Varrer a qualquer momento, você pode permitir que usuários adiem varreduras agendadasem incrementos de uma hora, até 24 horas ou permanentemente. Cada adiamento de usuário podedurar uma hora. Por exemplo, se a opção Número máximo de horas que o usuário pode adiar estiver configuradacomo 2, o usuário poderá adiar a tarefa de varredura duas vezes (por duas horas). Quando o númeromáximo especificado de horas terminar, a varredura continuará. Se você permitir adiamentosilimitados configurando a opção como zero, o usuário poderá continuar adiando a varredurapermanentemente.

Selecione Usuário pode adiar varreduras na seção Desempenho na guia Configurações da Tarefa devarredura:

Limite atividades de varredura com varreduras incrementaisUse varreduras incrementais, ou retomáveis, para estabelecer limites quando as atividades devarredura por solicitação ocorrerem e ainda varra todo o sistema em várias sessões. Para usar avarredura incremental, adicione um limite de tempo à varredura agendada. A varredura éinterrompida quando o limite de tempo é alcançado. Na próxima vez em que esta tarefa for iniciada,ela continuará a partir do ponto do arquivo e da estrutura de pasta em que a varredura anterior foiinterrompida.

Selecione Interromper a tarefa caso ela seja executada por mais de na seção Opções da guia Agendamento daTarefa de varredura.



Configurar a utilização do sistemaA utilização do sistema especifica o período de tempo de CPU que o mecanismo de varredura recebedurante a varredura. Para sistemas com atividade do usuário final, defina a utilização do sistema comoBaixo.

Selecione Utilização do sistema na seção Desempenho da guia Configurações da Tarefa de varredura.

Consulte também Configurar definições da política de na página 87Configurar, agendar e executar tarefas de varredura na página 92

Como funciona a utilização do sistemaO mecanismo de varredura por solicitação usa as configurações “Definir prioridade” do Windows para oprocesso de varredura e prioridade de threads. A configuração da utilização do sistema (limitação)permite que o sistema operacional defina o período de tempo de CPU que o mecanismo de varredurapor solicitação recebe durante o processo de varredura.Configurar a utilização do sistema para varredura como Baixo fornece um desempenho aprimoradopara outros aplicativos em execução. A configuração baixa é útil para sistemas com atividade deusuário final. Inversamente, ao configurar a utilização do sistema como Normal, a varredura éconcluída mais rapidamente. A configuração normal é útil para sistemas que tenham grandes volumese pouca atividade de usuário final.

Cada tarefa é executada de forma independente, sem levar em consideração os limites das outrastarefas.

Tabela 3-2 Configurações de processo padrão

Configurações deprocesso do Prevençãocontra ameaças

Esta opção... Configurações de“Definir prioridade” doWindows

Baixo Fornece um desempenho aprimorado paraoutros aplicativos em execução. Select thisoption for systems with end-user activity.

Baixo

Abaixo do normal Configura a utilização do sistema paravarredura com o valor padrão do McAfeeePO.

Abaixo do normal

Normal (Padrão) Permite que a varredura seja concluída commais rapidez. Selecione essa opção parasistemas que tenham grandes volumes epouca atividade de usuário final.

Normal

Como funciona a varredura de Armazenamento remotoVocê pode configurar o mecanismo de varredura por solicitação para varrer o conteúdo de arquivosgerenciados pelo Armazenamento remoto.O Armazenamento remoto monitora a quantidade de espaço disponível no sistema local. Quandonecessário, o Armazenamento remoto automaticamente migra o conteúdo (dados) de arquivosqualificados do sistema cliente para um dispositivo de armazenamento, como uma biblioteca de fitas.Quando um usuário abre um arquivo cujos dados foram migrados, o Armazenamento remotoautomaticamente recupera os dados do dispositivo de armazenamento.

Selecione a opção Arquivos migrados para o armazenamento para configurar o mecanismo de varredura porsolicitação e varrer arquivos gerenciados pelo Armazenamento remoto. Quando o mecanismo devarredura encontra um arquivo com conteúdo migrado, ele restaura o arquivo para o sistema localantes da varredura.

Para obter mais informações, consulte O que é o Armazenamento remoto.



http://technet.microsoft.com/en-us/library/cc759742(v=ws.10).aspx

Configurar, agendar e executar tarefas de varredura É possível agendar tarefas padrão de Varredura completa e Varredura rápida ou criar tarefas de varredurapersonalizadas a partir do Cliente do Endpoint Security nas configurações Em Comum.







5 Configure as definições da tarefa de varredura na página.


Crie uma tarefa devarredura personalizada.


2 Digite o nome, selecione Varredura personalizada na lista suspensa eclique em Próximo.

3 Configure as definições da tarefa de varredura e agendamento eclique em OK para salvar a tarefa.

Altere uma tarefa devarredura.

• Clique duas vezes na tarefa, faça as suas alterações e, em seguida,clique em OK para salvar a tarefa.

Remova uma tarefa devarredura personalizada.


Crie uma cópia de umatarefa de varredura.


2 Digite o nome, configure as definições e clique em OK para salvar atarefa.




Altere o agendamentopara uma tarefa deVarredura completa ouVarredura rápida.

1 Clique duas vezes em Varredura completa ou Varredura rápida.

2 Clique na guia Agendamento, mude o agendamento e clique em OK parasalvar a tarefa.

É possível configurar as configurações de tarefa Varredura completaeVarredura rápida apenas em sistemas autogerenciados.

Por padrão, a execução da Varredura Completa está programada para todaquarta-feira à meia-noite. A execução daVarredura Rápida estáprogramada para todo dia às 19:00. Os agendamentos estão ativados.

Execute uma tarefa devarredura.


Se a tarefa já estiver sendo executada, incluindo pausada ou adiada, obotão é alterado para Exibir.



Consulte também Entrar como administrador na página 27Configurar definições da política de na página 87Executar uma Varredura completa ou uma Varredura rápida na página 58

Referência da interface do cliente — Prevenção contra ameaçasOs tópicos de ajuda da referência da interface fornecem ajuda contextual para as páginas da interfacedo cliente.

Conteúdo Página Quarentena Prevenção contra ameaças — Proteção de acesso Prevenção contra ameaças — Prevenção de exploração Prevenção contra ameaças — Varredura ao acessar Prevenção contra ameaças — Varredura por solicitação Varrer locais McAfee GTI Ações Adicionar exclusão ou Editar exclusão Prevenção contra ameaças — Opções tarefa do cliente Reverter AMCore Content

Utilizando o Prevenção contra ameaçasReferência da interface do cliente — Prevenção contra ameaças 3


Página QuarentenaGerencia os itens na Quarentena.

Tabela 3-3 Opções

Opção Definição

Excluir Exclui itens selecionados da Quarentena.Os itens excluídos não podem ser restaurados.

Restaurar Restaura itens da Quarentena.O Endpoint Security restaura os itens ao local original e os remove da Quarentena.

Se um item ainda for uma ameaça válida, o Endpoint Security o devolveimediatamente à Quarentena.

Repetir a varredura Realiza uma nova varredura em itens selecionados na Quarentena.Se o item não for mais uma ameaça, o Endpoint Security restaura-o ao local originale remove-o da Quarentena.

Cabeçalho da coluna Ordena a lista de quarentena por...

Nome da detecção Nome da detecção.

Tipo Tipo de ameaça, como cavalo de Troia ou Adware.

Tempo em quarentena O período de tempo em que o item está em quarentena.

Número de objetos O número de objetos na detecção.

Versão do conteúdo do AMCore O número de versão do conteúdo do AMCore que identificou a ameaça.

Status da nova varredura O status da nova varredura, caso item tenha sido varrido novamente:• Limpo — A nova varredura não resultou em detecção de ameaças.

• Infectado — O Endpoint Security detectou uma ameaça durante a novavarredura.

Consulte também Gerenciar itens em quarentena na página 62Nome da detecção na página 63Repetição de varredura de itens em quarentena na página 65

Prevenção contra ameaças — Proteção de acessoProteja os pontos de acesso do sistema baseado em regras configuradas.

Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log.

A proteção de acesso compara uma ação solicitada com uma lista de regras configuradas e toma asmedidas de acordo com a regra.

Prática recomendada: para obter informações sobre a criação de regras de proteção de acesso para aproteção contra, consulte o artigo PD25203.

Tabela 3-4 Opções


PROTEÇÃO DE ACESSO Ativar proteção de acesso Ativa o recurso da Proteção de acesso.

3 Utilizando o Prevenção contra ameaçasReferência da interface do cliente — Prevenção contra ameaças


https://kc.mcafee.com/corporate/index?page=content&id=PD25203


Seção Opção Descrição

Exclusões Permite o acesso aos processos especificados, também designados comoexecutáveis, para todas as regras.• Adicionar — Adiciona um processo à lista de exclusão.

• Clicar duas vezes em um item — Modifica o item selecionado.

• Excluir — Exclui o item selecionado.

• Duplicar — Cria uma cópia do item selecionado.

Regras Configura as regras de proteção de acesso.Você pode ativar, desativar e alterar as regras definidas pela McAfee, mas não épossível excluí-las.

• Adicionar - Cria uma regra personalizada e adiciona-a à lista.

• Clicar duas vezes em um item - Modifica o item selecionado.

• Excluir - Exclui o item selecionado.

• Duplicar - Cria uma cópia do item selecionado.

• Bloquear (somente) — Bloqueia as tentativas de acesso sem registrá-las em log.

• Relatar (somente) - Avisa sobre tentativas de acesso sem bloqueá-las.

• Bloquear e Relatar - Bloqueia e registra em log as tentativas de acesso.

Prática recomendada: quando o impacto total de uma regra não for conhecido,selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear as tentativasde acesso. Para determinar se o acesso deve ser bloqueado, monitore os logs e osrelatórios.

Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.

Para desativar a regra, desmarque Bloquear e Relatar.

Consulte também Configurar regras de proteção de acesso definidas pela McAfee na página 69Configurar regras de proteção de acesso definidas pelo usuário na página 74Página Adicionar regra ou Editar regra na página 95Regras de proteção de acesso definidas pela McAfee na página 71

Página Adicionar regra ou Editar regraAdicionar ou editar regras de proteção de acesso definidas pelo usuário.



Tabela 3-6 Opções


Opções Nome Especifica ou indica o nome da regra. (Obrigatório)

Ação Especifica as ações da regra.• Bloquear (somente) - Bloqueia as tentativas de acesso sem registrá-las em log.

• Relatar (somente) - Avisa sobre tentativas de acesso sem bloqueá-las.

• Bloquear e Relatar — Bloqueia e registra em log as tentativas de acesso.

Prática recomendada: quando o impacto total de uma regra não for conhecido,selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear astentativas de acesso. Para determinar se o acesso deve ser bloqueado, monitoreos logs e os relatórios.



Executáveis Especifica os executáveis para a regra.• Adicionar - Cria um executável e adiciona-o à lista.




• Alternar status de inclusão — Altera o status de inclusão do item entre Incluir e Excluir.

Nomes deusuário

Especifica os nomes de usuário aos quais a regra se aplica (apenas para regrasdefinidas pelo usuário).• Adicionar — Seleciona um nome de usuário e o adiciona à lista.




• Alternar status de inclusão — Altera o status de inclusão do item entre Incluir e Excluir.

Sub-regras Configurar sub-regras (apenas para regras definidas pelo usuário).• Adicionar — Cria uma sub-regra e a adiciona à lista.




Notas Apresenta mais informações sobre o item.

Consulte também Adicionar executável ou Editar executável na página 105Adicionar nome de usuário ou Editar nome de usuário na página 97Adicionar sub-regra ou Editar sub-regra na página 97



Adicionar nome de usuário ou Editar nome de usuárioAdicionar ou editar o usuário ao qual a regra se aplica (apenas para regras definidas pelo usuário).

Tabela 3-7 Opções

Opção Definição

Nome Especifica o nome do usuário ao qual a regra se aplica.Use este formato para especificar o usuário:

• Usuário local — As entradas válidas incluem:<nome_da_máquina>\<nome_do_usuário_local>

.\<nome_do_usuário_local>

.\administrator (para o administrador local)

• Usuário de domínio — <nome do domínio>\<nome_do_usuário do domínio>

• Sistema local — Local\System especifica a conta NT AUTHORITY\System nosistema.

Status deinclusão

Especifica o status de inclusão para o usuário.• Incluir — Dispara a regra se o usuário especificado executar o executável que viola

uma sub-regra.

• Excluir — Não dispara a regra se o usuário especificado executar o executável queviola uma sub-regra.

Consulte também Página Adicionar regra ou Editar regra na página 95

Adicionar sub-regra ou Editar sub-regraAdicionar ou editar uma sub-regra (apenas para regras definidas pelo usuário).

Tabela 3-8 Opções


Descrição Nome Especifica o nome da sub-regra.

Propriedades Tipo desub-regra

Especifica o tipo de sub-regra.A alteração do tipo de sub-regra remove quaisquer entradas previamentedefinidas na tabela de destinos.

• Arquivos — Protege um arquivo ou diretório. Por exemplo, criar uma regrapersonalizada para bloquear ou relatar as tentativas de excluir uma planilhado Excel que contém informações sigilosas.

• Chave de registro - Protege a chave especificada. A chave de registro é o localonde o valor de registro é armazenado. Por exemplo,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

• Valor de registro — Protege o valor especificado. Os valores de Registro sãoarmazenados nas chaves de registro e são referenciados separadamentedas chaves de Registro. Por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun.

• Processos — Protege o processo especificado. Por exemplo, crie uma regrapersonalizada para bloquear ou relatar tentativas de operações em umprocesso.





Operações Indica as operações permitidas com o tipo de sub-regra. Você deveespecificar pelo menos uma operação para aplicar à sub-regra.

Prática recomendada: para evitar impactos no desempenho, não selecionea operação Ler.

• Arquivos:• Alterar atributos somente leitura ou ocultos — Bloqueia ou relata alterações nos

atributos dos arquivos na pasta especificada.

• Criar — Bloqueia ou relata a criação de arquivos na pasta especificada.

• Excluir — Bloqueia ou relata a exclusão de arquivos na pasta especificada.

• Executar — Bloqueia ou relata a execução de arquivos na pastaespecificada.

• Alterar permissões — Bloqueia ou relata a alteração de configurações depermissões de arquivos na pasta especificada.

• Ler — Bloqueia ou relata o acesso de leitura aos arquivos especificados.

• Renomear — Bloqueia ou relata o acesso para renomeação aos arquivosespecificados.





Se o destino Arquivo de destino for especificado, Renomear será a únicaoperação válida.

• Gravar — Bloqueia ou relata o acesso para gravação aos arquivosespecificados.

• Chave de Registro:

• Gravar — Bloqueia ou relata o acesso para gravação à chave especificada.

• Criar — Bloqueia ou relata a criação da chave especificada.

• Excluir — Bloqueia ou relata a exclusão da chave especificada.

• Ler — Bloqueia ou relata o acesso de leitura à chave especificada.

• Enumerar — Bloqueia ou relata a enumeração das subchaves da chave deRegistro especificada.

• Carregar — Bloqueia ou relata a capacidade de descarregar a chave deRegistro especificada e suas subchaves de Registro.

• Substituir — Bloqueia ou relata a substituição da chave de Registroespecificada e suas subchaves por outro arquivo.

• Restaurar — Bloqueia ou relata a capacidade de salvar informações doRegistro em um arquivo especificado e cópias na chave especificada.

• Alterar permissões — Bloqueia ou relata a alteração de configurações depermissões da chave de Registro especificada e suas subchaves.

• Valor do Registro:

• Gravar — Bloqueia ou relata o acesso para gravação ao valor especificado.

• Criar — Bloqueia ou relata a criação do valor especificado.

• Excluir — Bloqueia ou relata a exclusão do valor especificado.

• Ler — Bloqueia ou relata o acesso de leitura ao valor especificado.

• Processos:• Qualquer acesso — Bloqueia ou relata a abertura do processo com qualquer

acesso.

• Criar um thread — Bloqueia ou relata a abertura do processo com acessopara criar um thread.

• Modificar — Bloqueia ou relata a abertura do processo com acesso paramodificar.

• Encerrar — Bloqueia ou relata a abertura do processo com acesso paraencerrar.

• Executar — Bloqueia ou relata a execução do executável de destinoespecificado.Você deve adicionar pelo menos um executável de destino à regra.

Para a operação Executar, um evento é gerado quando é feita umatentativa de executar o processo de destino. Para todas as outrasoperações, um evento é gerado quando o destino é aberto.

Destinos • Adicionar — Especifica os destinos da regra. Os destinos podem variar deacordo com a seleção do tipo de regra. Você deve adicionar pelo menos umdestino à sub-regra.





Clique em Adicionar, selecione o status de inclusão e digite ou selecione odestino que deseja incluir ou excluir.

• Clicar duas vezes em um item — Modifica o item selecionado.


Consulte também Página Adicionar regra ou Editar regra na página 95Página na página 101Adicionar executável ou Editar executável na página 105



PáginaEspecificar o status de inclusão e a definição de um destino.

Tabela 3-9 Opções


Destinos Determina se o destino tem uma correspondência positiva em relação àsub-regra. Também especifica o status de inclusão para o destino.• Incluir — Indica que a sub-regra pode corresponder ao destino

especificado.

• Excluir — Indica que a sub-regra não deve corresponder ao destinoespecificado.

Se você tiverselecionado otipo desub-regraArquivos...

Especifica o nome do arquivo, o nome da pasta, o caminho ou o destino dotipo de unidade para uma sub-regra Arquivos.• Caminho do arquivo — Navegue para selecionar o arquivo.

• Arquivo de destino — Navegue para selecionar o caminho ou o nome doarquivo de destino para uma operação Renomear.Se o destino do Arquivo de destino estiver selecionado, (apenas) a operaçãoRenomear deverá ser selecionada.

• Tipo de unidade — Selecione o destino do tipo de unidade na lista suspensa:

• Removível — Arquivos em uma unidade USB ou outra unidade removívelconectada a uma porta USB, incluindo aquelas com o Windows To Go





instalado. Este tipo de unidade não inclui arquivos em CD, DVD oudisquete.

Bloquear esse tipo de unidade também bloqueia as unidades com oWindows To Go instalado.

• Rede — Arquivos em um compartilhamento de rede.

• Fixo — Arquivos no disco rígido local ou em outro disco rígido fixo.

• CD/DVD — Arquivos em um CD ou DVD.

• Disquete — Arquivos em um disquete.

Você pode usar ?, * e ** como caracteres curinga.

Práticas recomendadas para destinos da sub-regra Arquivos

Por exemplo, para proteger:

• Um arquivo ou uma pasta chamado(a) c:\testap, use um destino c:\testap ou c:\testap\

• O conteúdo de uma pasta, use o caractere curinga asterisco — c:\testap\*

• O conteúdo de uma pasta e suas subpastas, use dois asteriscos — c:\testap\**

Há suporte para variáveis de ambiente do sistema. As variáveis deambiente podem ser especificadas em um dos seguintes formatos:• $(EnvVar) - $(SystemDrive), $(SystemRoot)• %EnvVar% - %SystemRoot%, %SystemDrive%Nem todas as variáveis de ambiente definidas pelo sistema podem seracessadas usando a sintaxe $(var), especificamente aquelas que contêmos caracteres or. Você pode usar a sintaxe %var% para evitar esteproblema.

Não há suporte para variáveis do ambiente do usuário.





Se você tiverselecionado otipo desub-regra Chavede Registro...

Define chaves de Registro usando chaves raiz. Estas chaves root sãosuportadas:• HKLM ou HKEY_LOCAL_MACHINE

• HKCU ou HKEY_CURRENT_USER

• HKCR ou HKEY_CLASSES_ROOT

• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ControlSet00X

• HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e aHKLM/Software/Wow6432Node somente em sistemas de 64 bits

• HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e aHKCU/Software/Wow6432Node somente em sistemas de 64 bits

• HKULM tratado tanto como HKLM e HKCU

• HKULMS tratado tanto como HKLMS e HKCUS

• HKALL tratado tanto como HKLM e HKU

Você pode usar ?, * e ** como caracteres curinga e | (barra vertical) comoum caractere de escape.

Práticas recomendadas para destinos da sub-regra Chave deRegistro


• Uma chave de Registro chamada HKLM\SOFTWARE\testap, use umdestino HKLM\SOFTWARE\testap ou HKLM\SOFTWARE\testap\

• O conteúdo de uma chave de Registro, use o caractere curinga asterisco— HKLM\SOFTWARE\testap\*

• O conteúdo de uma chave de Registro e suas subchaves, use doisasteriscos — HKLM\SOFTWARE\testap\**

• Chaves de Registro e valores sob uma chave de Registro, ative aoperação Gravar





Se você tiverselecionado otipo desub-regra Valordo Registro...

Define valores de Registro usando chaves raiz. Estas chaves root sãosuportadas:• HKLM ou HKEY_LOCAL_MACHINE

• HKCU ou HKEY_CURRENT_USER

• HKCR ou HKEY_CLASSES_ROOT

• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ControlSet00X

• HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e aHKLM/Software/Wow6432Node somente em sistemas de 64 bits

• HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e aHKCU/Software/Wow6432Node somente em sistemas de 64 bits

• HKULM tratado tanto como HKLM e HKCU

• HKULMS tratado tanto como HKLMS e HKCUS

• HKALL tratado tanto como HKLM e HKU

Você pode usar ?, * e ** como caracteres curinga e | (barra vertical) comoum caractere de escape.

Práticas recomendadas para destinos da sub-regra Valor deRegistro


• Um valor de Registro chamado HKLM\SOFTWARE\testap, use um destinoHKLM\SOFTWARE\testap

• Os valores de Registro sob uma chave de Registro, use o caracterecuringa asterisco — HKLM\SOFTWARE\testap\*

• Os valores de Registro sob uma chave de Registro e suas subchaves, usedois asteriscos — HKLM\SOFTWARE\testap\**

Se você tiverselecionado otipo desub-regraProcessos...

Especifica o nome do arquivo ou o caminho, o hash de MD5 ou o destino dosignatário do processo para uma sub-regra Processos.Você pode usar ?, * e ** como caracteres curinga para todos, com exceçãodo hash de MD5.

Práticas recomendadas para destinos da sub-regra Processos


• Um processo chamado c:\testap.exe use um nome de arquivo oucaminho de destino c:\testap.exe

• Todos os processos de uma pasta, use o caractere curinga asterisco — c:\testap\*

• Todos os processos de uma pasta e suas subpastas, use dois asteriscos —c:\testap\**

Consulte também Adicionar sub-regra ou Editar sub-regra na página 97



Adicionar executável ou Editar executávelAdicionar ou editar um executável a ser excluído ou incluído.

Para a Proteção de acesso da Prevenção contra ameaças, você pode excluir executáveis no nível dapolítica ou pode incluí-los ou excluí-los no nível da regra. Para o Confinamento dinâmico de aplicativosda Inteligência contra ameaças, você pode excluir executáveis no nível da política.

Ao especificar exclusões e inclusões, considere o seguinte:

• Você deve especificar pelo menos um identificador: Nome ou caminho do arquivo, Hash de MD5 ou Signatário.

• Se você especificar mais de um identificador, todos os identificadores se aplicarão.

• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão ou inclusãoserá inválida.

• As exclusões e inclusões não diferenciam letras maiúsculas de minúsculas.

• É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5.


Opção Definição

Nome Especifica o nome pelo qual você chama o executável.Este campo é necessário com, pelo menos, mais um campo: Nome do arquivo ou caminho,Hash de MD5 ou Assinante.

Status deinclusão

Determina o status de inclusão do executável.• Incluir — Dispara a regra se o executável violar uma sub-regra.

• Excluir — Não dispara a regra se o executável violar uma sub-regra.

O Status de inclusão é exibido para a Proteção de acesso da Prevenção contra ameaçasapenas durante a adição de um executável a uma regra ou ao destino para asub-regra Processos.

Nome doarquivo oucaminho

Especifica o nome ou o caminho do arquivo para o executável a ser adicionado oueditado.Clique em Procurar para selecionar o executável.

O caminho do arquivo pode incluir caracteres curinga.

Hash de MD5 Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo.




Opção Definição

Assinante Ativar a verificação da assinatura digital - Garante que o código não foi alterado ou corrompidodesde que foi assinado com um hash criptográfico.Se ativado, especifique:

• Permitir qualquer assinatura — Permite arquivos assinados por qualquer signatário deprocesso.

• Assinado por — Permite apenas arquivos assinados pelo signatário do processoespecificado.É obrigatório um nome distinto de signatário (SDN) para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulas eespaços.

O signatário do processo é exibido no formato correto nos eventos do Log deeventos do Cliente do Endpoint Security e do Log de eventos de ameaça do McAfeeePO. Por exemplo:

C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,CN=MICROSOFT WINDOWS

Para obter um SDN de um executável:

1 Clique com o botão direito em um executável e selecione Propriedades.

2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.

3 Na guia Geral, clique em Exibir certificado.

4 Na guia Detalhes, selecione o campo Assunto. É exibido o nome diferenciado dosignatário. Por exemplo, o Firefox possui este nome diferenciado de signatário:

• CN = Mozilla Corporation

• OU = Release Engineering

• O = Mozilla Corporation

• L = Mountain View

• S = Califórnia

• C = EUA


Consulte também Página Adicionar regra ou Editar regra na página 95

Prevenção contra ameaças — Prevenção de exploraçãoAtivar e configurar a Prevenção de exploração para impedir que explorações de estouro de bufferexecutem códigos arbitrários em seu computador.


O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security 10.2. Seo McAfee Host IPS estiver ativado, a Prevenção de exploração será desativada, mesmo se estiverativada nas configurações de política.





PREVENÇÃO DEEXPLORAÇÃO

Ativar Prevenção deexploração

Ativa o recurso de Prevenção de exploração.

Se essa opção não for ativada, o sistema ficarádesprotegido contra ataques de malware.



Nível deproteção

Especifica o nível de proteção da Prevenção de exploração.

Padrão Detecta e bloqueia apenas explorações de estouro de buffer de altagravidade identificadas no arquivo de conteúdo da Prevenção deexploração e interrompe a ameaça detectada.Use o recurso no modo Padrão por um curto período. Analise o arquivode log durante esse período para determinar se é necessário alterarpara a proteção máxima.

Máximo Detecta e bloqueia explorações de estouro de buffer de alta e médiagravidade identificadas no arquivo de conteúdo de prevenção deexploração e interrompe a ameaça detectada.Essa configuração pode resultar em falsos positivos.

Prevençãocontraescalonamentode privilégiosgenéricos

Ativar prevençãocontraescalonamentode privilégiosgenéricos

Ativa o suporte à GPEP (Generic Privilege Escalation Prevention -Prevenção contra escalonamento de privilégios genéricos). (Desativadopor padrão)A GPEP usa assinaturas de GPEP no Conteúdo de prevenção deexploração para fornecer cobertura para explorações de escalonamentode privilégios no modo kernel e no modo de usuário.

Como a GPEP pode gerar relatórios com falsos positivos, essa opção édesativada por padrão.

Prevenção deexecução dedados doWindows

Ativar aprevenção deexecução dedados doWindows

Ativa a integração da DEP (Data Execution Prevention - Prevenção deexecução de dados) do Windows. (Desativado por padrão)Selecione esta opção para:

• Ativar a DEP para aplicativos de 32 bits na lista de proteção deaplicativos da McAfee, se ainda não estiver ativada, e utilizá-la nolugar da GBOP (Generic Buffer Overflow Protection - Proteção contraestouro de buffer genérico).A validação do chamador e o monitoramento de API de destino aindasão impostos.

• Monitorar detecções de DEP em aplicativos de 32 bits compatíveiscom DEP.

• Monitorar detecções de DEP em aplicativos de 64 bits na lista deproteção de aplicativos da McAfee.

• Registrar em log todas as detecções de DEP e enviar um evento parao McAfee ePO.

A desativação dessa opção não afeta nenhum processo que tenha a DEPativada como resultado da política de DEP do Windows.

Ação Especifica as ações Bloquear ou Relatar para Prevenção de exploração.A configuração de relatório não é aplicável quando a Prevenção deExecução de Dados do Windows está ativada.





Bloquear Bloqueia o processo especificado. Selecione Bloquear para ativar aPrevenção de exploração ou cancele a seleção para desativar aPrevenção de exploração.Para bloquear as tentativas de acesso sem registrá-las em log,selecione Bloquear, mas não selecione Relatar.

Relatar Permite relatar as tentativas de violação da Prevenção de exploração.Quando ocorre uma detecção, as informações são armazenadas no logde atividades.

Prática recomendada: quando o impacto total de uma regra não forconhecido, selecione Relatar, mas não Bloquear, para receber um avisosem bloquear as tentativas de acesso. Para determinar se o acessodeve ser bloqueado, monitore os logs e os relatórios.

Exclusões Especifica o processo, o módulo do chamador ou a API a excluir.As exclusões com Módulo do chamador ou API não se aplicam ao DEP.

• Adicionar — Cria uma exclusão e a adiciona à lista.




Consulte também Configurar definições da de Prevenção de exploração na página 78Adicionar exclusão ou Editar exclusão na página 108

Adicionar exclusão ou Editar exclusãoAdicionar ou editar uma exclusão da Prevenção de exploração.

Você deve especificar pelo menos um processo, módulo do chamador ou API. As exclusões com Módulo dochamador ou API não se aplicam à DEP.

Ao especificar exclusões, considere o seguinte:


• Se você especificar mais de um identificador, todos os identificadores se aplicarão à exclusão.

• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão será inválida.

• As exclusões não diferenciam letras maiúsculas de minúsculas.






Processo Nome Especifica o nome do processo a ser excluído. A Prevenção de exploraçãoexclui o processo independentemente de onde ele estiver localizado.Este campo é necessário com, pelo menos, mais um campo: Nome do arquivo oucaminho, Hash de MD5 ou Assinante.


Especifica o nome ou o caminho do arquivo para o executável a seradicionado ou editado.Clique em Procurar para selecionar o executável.


Assinante Ativar a verificação da assinatura digital - Garante que o código não foi alterado oucorrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:

• Permitir qualquer assinatura — Permite arquivos assinados por qualquersignatário de processo.

• Assinado por — Permite apenas arquivos assinados pelo signatário doprocesso especificado.É obrigatório um nome distinto de signatário (SDN) para o executável eele deve corresponder exatamente às entradas no campo acompanhante,incluindo vírgulas e espaços.

O signatário do processo é exibido no formato correto nos eventos do Logde eventos do Cliente do Endpoint Security e do Log de eventos deameaça do McAfee ePO. Por exemplo:






4 Na guia Detalhes, selecione o campo Assunto. É exibido o nome diferenciadodo signatário. Por exemplo, o Firefox possui este nome diferenciado designatário:





• S = Califórnia

• C = EUA

Módulo dochamador

Nome Especifica o nome do módulo que é proprietário da memória gravável queestá fazendo a chamada.Este campo é necessário com, pelo menos, um outro campo: Nome do arquivoou caminho, Hash de MD5 ou Assinante.


Especifica o nome ou o caminho do arquivo para o executável a seradicionado ou editado.Clique em Procurar para selecionar o executável.







• Permitir qualquer assinatura — Permite arquivos assinados por qualquersignatário de processo.

• Assinado por — Permite apenas arquivos assinados pelo signatário doprocesso especificado.É obrigatório um nome distinto de signatário (SDN) para o executável eele deve corresponder exatamente às entradas no campo acompanhante,incluindo vírgulas e espaços.

O signatário do processo é exibido no formato correto nos eventos do Logde eventos do Cliente do Endpoint Security e do Log de eventos deameaça do McAfee ePO. Por exemplo:






4 Na guia Detalhes, selecione o campo Assunto. É exibido o nome diferenciadodo signatário. Por exemplo, o Firefox possui este nome diferenciado designatário:





• S = Califórnia

• C = EUA

API Nome Especifica o nome da API (Application Programming Interface - Interface deprogramação do aplicativo) que está sendo chamada.


Consulte também Prevenção contra ameaças — Prevenção de exploração na página 106Exclusão de processos da Prevenção de exploração na página 78

Prevenção contra ameaças — Varredura ao acessarAtive e configure as definições da varredura ao acessar.






VARREDURA AOACESSAR

Ativar varredura aoacessar

Ativa o recurso de Varredura ao acessar.(Ativado por padrão)

Ativar varredura aoacessar nainicialização dosistema

Ativa o recurso de Varredura ao acessar cada vez que você inicia ocomputador.(Ativado por padrão)

Especifique onúmero máximo desegundos para cadavarredura de arquivo

Limita cada varredura de arquivo ao número especificado desegundos.(Ativado por padrão)

O valor padrão é 45 minutos.

Se a varredura exceder o limite de tempo, será interrompida eregistrará em log uma mensagem.

Varrer setores deinicialização

Examina o setor de inicialização do disco.(Ativado por padrão)

Prática recomendada: desativar a varredura do setor deinicialização quando um disco contiver um setor de inicializaçãoexclusivo ou atípico que não puder ser varrido.

Processos devarredura nainicialização doserviço e naatualização deconteúdo

Varre novamente todos os processos que estão atualmente namemória todas as vezes que:• Você ativa novamente as varreduras ao acessar.

• Os arquivos de conteúdo são atualizados.

• O sistema é iniciado.

• O processo McShield.exe é iniciado.

Prática recomendada: como alguns programas ou executáveissão iniciados automaticamente quando você inicializa o sistema,desative esta opção para melhorar o tempo de inicialização dosistema.


Quando o mecanismo de varredura ao acessar é ativado, ele semprevarre todos os processos quando são executados.

Varrer instaladoresconfiáveis

Varre arquivos MSI (instalados pelo msiexec.exe e assinados pelaMcAfee ou pela Microsoft) ou arquivos do serviço Instaladorconfiável do Windows.(Desativado por padrão)

Prática recomendada: desativar esta opção para melhorar odesempenho dos instaladores de aplicativos grandes da Microsoft.





Varrer ao copiarentre pastas locais

Varre os arquivos sempre que o usuário faz uma cópia de uma pastalocal para outra.Se essa opção está:• Desativado — Apenas os itens na pasta de destino são

examinados.

• Ativado — São examinados tanto os itens da pasta de origem(leitura) quanto da pasta de destino (gravação).


McAfee GTI Ativa e define as configurações do McAfee GTI.

ScriptScan Ativar ScriptScan Ativa a varredura de scripts JavaScript e VBScript para impedir quescripts indesejados sejam executados.(Ativado por padrão)

Se o ScriptScan estiver desativado quando o Internet Explorer foriniciado e, depois, for ativado, ele não detectará scripts maliciososnessa instância do Internet Explorer. É preciso reiniciar o InternetExplorer depois de ativar a opção ScriptScan para que ela detectescripts maliciosos.

Excluir estes URLs Especifica exclusões do ScriptScan por URL.Adicionar - Adiciona um URL à lista de exclusões.

Excluir - Remove um URL da lista de exclusões.

Os URLs não podem incluir caracteres curinga. Contudo, qualquerURL que contenha uma cadeia de um URL excluído também seráexcluído. Por exemplo, se o URL msn.com for excluído, os seguintesURLs também serão excluídos:• http://weather.msn.com

• http://music.msn.com

Nos sistemas Windows Server 2008, as exclusões de URL doScriptScan não funcionam com o Internet Explorer a menos quevocê ative as extensões de navegador de terceiros e reinicie osistema. Consulte o artigo KB69526 da Base de dados deconhecimento.






Mensagens parausuários ao detectarameaças

Exibir aos usuários ajanela Varredura aoacessar quando umaameaça for detectada

Exibe a página Varredura ao acessar com a mensagemespecificada aos usuários do cliente no caso de detecção.(Ativado por padrão)

Quando essa opção está selecionada, os usuários podemabrir essa página a partir da página Varrer agora a qualquermomento quando a lista de detecção incluir pelo menos umaameaça.

A lista de detecções da varredura ao acessar é eliminadaquando o serviço Endpoint Security reinicia ou nareinicialização do sistema.

Mensagem Especifica a mensagem a exibir aos usuários do cliente nocaso de uma detecção.A mensagem padrão é: O McAfee Endpoint Security detectou umaameaça.

Configurações deprocesso

Usar configuraçõespadrão em todos osprocessos

Aplica as mesmas definições configuradas para todos osprocessos ao executar uma varredura ao acessar.

Definir configuraçõesdiferentes para processosde alto risco e baixo risco

Configura definições de varredura diferentes para cada tipode processo que você identifica.

Padrão Configura as definições dos processos que não sãoidentificados nem como de alto risco nem como de baixorisco.(Ativado por padrão)

Alto risco Configura as definições dos processos de alto risco.

Baixo risco Configura as definições dos processos de baixo risco.

Adicionar Adiciona um processo à lista de Alto risco ou Baixo risco.

Excluir Remove um processo da lista Alto risco ou Baixo risco.

Varrendo Quando varrer

Ao gravar no disco Tenta varrer todos os arquivos quando são gravados oualterados no computador ou em outro dispositivo dearmazenamento de dados.

Ao ler o disco Examina todos os arquivos à medida que são lidos nocomputador ou em outro dispositivo de armazenamento dedados.

Deixar o McAfee decidir Permite que a McAfee decida se um arquivo deve serexaminado, usando lógica de confiança para otimizar avarredura. A lógica de confiança melhora sua segurança eimpulsiona o desempenho evitando varredurasdesnecessárias.

Prática recomendada: ativar esta opção para ter omáximo de proteção e desempenho.

Não varrer ao ler ou gravarem disco

Especifica que apenas os processos de Baixo risco não sejamexaminados.

O que varrer





Todos os arquivos Varre todos os arquivos, independentemente da extensão.

Se a opção Todos os arquivos não for ativada, seu sistemaficará vulnerável a ataques de malware.

Tipos de arquivo padrão eespecificados

Varreduras:• A lista padrão de extensões de arquivos definida no

arquivo atual de conteúdo do AMCore, incluindo arquivossem extensão

• Quaisquer extensões de arquivo adicionais que vocêespecificarExtensões separadas por uma vírgula.

• (Opcional) Ameaças de macro conhecidas na lista depadrões e extensões de arquivos especificadas

Somente tipos de arquivoespecificados

Varre um ou ambos:• Somente os arquivos com as extensões (separadas por

vírgulas) especificadas por você

• Todos os arquivos sem extensão

Nas unidades da rede Varre os recursos em unidades de rede mapeadas.

Prática recomendada: desativar esta opção paramelhorar o desempenho.

Abertos para backup Varre arquivos quando acessados pelo software de backup.

Prática recomendada: para a maioria dos ambientes,não é necessário ativar esta configuração.

Arquivos mortoscompactados

Examina o conteúdo de arquivos (compactados) doarquivamento, incluindo arquivos .jar.

A varredura de arquivos compactados pode afetarnegativamente o desempenho do sistema.

Arquivos codificados porMIME compactados

Detecta, decodifica e varre faz a varredura de arquivoscodificados por MIME (Multipurpose Internet MailExtensions).

Opções de varredura adicionais

Detectar programasindesejados

Ativa o mecanismo de varredura para detectar programaspotencialmente indesejados.O mecanismo de varredura usa as informações que vocêconfigurou nas definições de Opções da Prevenção contraameaças para detectar programas potencialmenteindesejados.

Detectar ameaças deprogramas desconhecidos

Usa o McAfee GTI para detectar arquivos executáveis quetenham códigos semelhantes a malware.

Detectar ameaças demacro desconhecidas

Usa o McAfee GTI para detectar vírus de macrodesconhecidos.

Ações Especifique como o mecanismo de varredura responde aodetectar uma ameaça.





Exclusões Especifica arquivos, pastas e unidades a serem excluídas davarredura.

Adicionar Adiciona um item à lista de exclusões.

Excluir Remove um item da lista de exclusão.

Consulte também Configurar as definições de de Varredura ao acessar na página 82McAfee GTI na página 120Ações na página 121Adicionar exclusão ou Editar exclusão na página 123

Prevenção contra ameaças — Varredura por solicitaçãoDefine as configurações de Varredura por solicitação das varreduras pré-configuradas e personalizadasque são executadas em seu sistema.


Essas configurações especificam o comportamento do mecanismo de varredura quando você:

• Seleciona Varredura completa ou Varredura rápida na página Varrer agora no Cliente do Endpoint Security.

• Como administrador, executa uma tarefa de varredura por solicitação personalizada em Configurações| Em Comum | Tarefas no Cliente do Endpoint Security.

• Clique com o botão direito em um arquivo ou pasta e selecione Fazer varredura para encontrar ameaças nomenu pop-up.



O que varrer Setores deinicialização

Examina o setor de inicialização do disco.

Prática recomendada: desativar a varredura do setor deinicialização quando um disco contiver um setor de inicializaçãoexclusivo ou atípico que não puder ser varrido.

Arquivos migradospara o armazenamento

Varre arquivos gerenciados pelo Armazenamento remoto.Algumas soluções de armazenamento de dados off-line substituemarquivos com um arquivo stub. Quando o mecanismo de varreduraencontra um arquivo stub, indicando que o arquivo foi migrado, omecanismo restaura o arquivo para o sistema local antes davarredura.

É recomendável desativar esta opção.

Arquivos codificadospor MIMEcompactados

Detecta, decodifica e varre faz a varredura de arquivos codificadospor MIME (Multipurpose Internet Mail Extensions).

Arquivos mortoscompactados

Examina o conteúdo de arquivos (compactados) do arquivamento,incluindo arquivos .jar.

Prática recomendada: use esta opção em varreduras fora dohorário comercial, quando o sistema não está sendo usado, poisa varredura de arquivos compactados pode afetar negativamenteo desempenho.





Subpastas(somente Varredurapor clique no botãodireito)

Examina todas as subpastas da pasta especificada.

Opções devarreduraadicionais

Detectar programasindesejados

Ativa o mecanismo de varredura para detectar programaspotencialmente indesejados.O mecanismo de varredura usa as informações que vocêconfigurou nas definições de Opções da Prevenção contra ameaçaspara detectar programas potencialmente indesejados.

Detectar ameaças deprogramasdesconhecidos

Usa o McAfee GTI para detectar arquivos executáveis que tenhamcódigos semelhantes a malware.

Detectar ameaças demacro desconhecidas

Usa o McAfee GTI para detectar vírus de macro desconhecidos.

Locais devarredura

(SomenteVarredura completa eVarredura rápida)

Especifica os locais a serem varridos.Essas opções são aplicáveis apenas à Varredura completa, à Varredurarápida e às varreduras personalizadas.

Tipos de arquivopara varredura

Todos os arquivos Varre todos os arquivos, independentemente da extensão.A McAfee recomenda com veemência ativar Todos os arquivos.

Se a opção Todos os arquivos não for ativada, seu sistema ficarávulnerável a ataques de malware.

Tipos de arquivopadrão eespecificados

Varreduras:• A lista padrão de extensões de arquivos definida no arquivo

atual de conteúdo do AMCore, incluindo arquivos sem extensão

• Quaisquer extensões de arquivo adicionais que você especificarExtensões separadas por uma vírgula.

• (Opcional) Ameaças de macro conhecidas na lista de padrões eextensões de arquivos especificadas

Somente tipos dearquivo especificados

Varre um ou ambos:• Somente os arquivos com as extensões (separadas por vírgulas)

especificadas por você

• Todos os arquivos sem extensão

McAfee GTI Ativa e define as configurações do McAfee GTI.

Exclusões Especifica arquivos, pastas e unidades a serem excluídas davarredura.

Adicionar Adiciona um item à lista de exclusões.

Excluir Remove um item da lista de exclusão.

Ações Especifique como o mecanismo de varredura responde ao detectaruma ameaça.

Desempenho Usar o cache devarredura

Permite que o mecanismo de varredura use os resultados devarredura limpos existentes.Selecione essa opção para reduzir o número de varredurasrepetidas e melhorar o desempenho.





Utilização do sistema Permite que o sistema operacional especifique o período de tempode CPU que o mecanismo de varredura recebe durante avarredura.Cada tarefa é executada de forma independente, sem levar emconsideração os limites das outras tarefas.

• Baixo — Fornece um desempenho aprimorado para outrosaplicativos em execução.

Prática recomendada: selecionar esta opção para sistemascom atividade de usuário final.

• Abaixo do normal — Configura a utilização do sistema paravarredura com o padrão do McAfee ePO.

• Normal (Padrão) — Permite que a varredura seja concluída commais rapidez.

Prática recomendada: selecionar esta opção para sistemasque tenham grandes volumes e pouca atividade de usuáriofinal.

Opções devarreduraagendada

Essas opções são aplicáveis apenas à Varredura completa, à Varredurarápida e às varreduras personalizadas.

Varrer apenas quandoo sistema estiverocioso

Executa a varredura apenas quando o sistema está ocioso.A Prevenção contra ameaças pausa a varredura quando o usuárioacessa o sistema usando o teclado ou o mouse. A Prevençãocontra ameaças retoma a varredura quando o usuário (e a CPU)estiver ocioso por cinco minutos.

Desative essa opção em sistemas de servidor e em sistemas queos usuários acessam usando apenas uma RDP (Remote DesktopConnection - Conexão de área de trabalho remota). A Prevençãocontra ameaças depende do McTray para determinar se o sistemaestá ocioso. Em sistemas acessados apenas por RDP, o McTray nãoé iniciado e o mecanismo de varredura por solicitação jamais éexecutado. Para contornar esse problema, os usuários podeminiciar o McTray (em C:\Arquivos de programas\McAfee\Agent\mctray.exe, por padrão) manualmente quando entrarem usandoa RDP.

Varrer a qualquermomento

Executa a varredura mesmo se o usuário estiver ativo e especificaas opções para a varredura.

O usuário pode adiar varreduras — Permite que o usuário adie varredurasagendadas e especifica opções para o adiamento da varredura.• Número máximo de vezes que o usuário pode adiar em uma hora — Especifica

o número de vezes (de 1 a 23) que o usuário pode adiar avarredura em uma hora.

• Mensagem de usuários — Especifica a mensagem a ser exibidaquando uma varredura estiver prestes a começar.A mensagem padrão é: O McAfee Endpoint Security está prestesa varrer seu sistema.

• Duração da mensagem (segundos) - Especifica quanto tempo (emsegundos) a mensagem de usuário aparece quando umavarredura está prestes a começar. O intervalo válido para aduração é de 30 a 300; o padrão é de 45 segundos.





Não varrer quando o sistema estiver no modo de apresentação — Adia avarredura quando o sistema está em modo de apresentação.

Não varrer quando osistema estiver nomodo de bateria

Adia a varredura quando o sistema está utilizando baterias.

Consulte também Configurar definições da política de na página 87Configurar, agendar e executar tarefas de varredura na página 92Executar uma Varredura completa ou uma Varredura rápida na página 58Varrer um arquivo ou pasta na página 60Varrer locais na página 118McAfee GTI na página 120Ações na página 121Adicionar exclusão ou Editar exclusão na página 123

Varrer locaisEspecifica os locais a serem varridos.

Essas opções são aplicáveis apenas à Varredura completa, à Varredura rápida e às varreduras personalizadas.



Locais de varredura Varrer subpastas Examina todas as subpastas dos volumes especificados quandouma das seguintes opções é selecionada:• Pasta inicial • Pasta temporária

• Pasta de perfil do usuário • Arquivo ou pasta

• Pasta de arquivos de programas

Desmarque essa opção para varrer apenas o nível raiz dosvolumes.

Especifique os locais Especifica os locais a serem varridos.• Adicionar — Adiciona um local para a varredura.

Clique em Adicionar e selecione o local na lista suspensa.


• Excluir — Remove um local da varredura.Selecione o local e clique em Excluir.

Memória para rootkits Faz a varredura da memória do sistema para detectar rootkitsinstalados, processos ocultos e outros comportamentos quepossam sugerir que algum malware esteja tentando se ocultar.Essa varredura ocorre antes de todas as outras.

Se essa opção não for ativada, o sistema ficará desprotegidocontra ataques de malware.





Processos emexecução

Faz a varredura da memória de todos os processos em execução.As ações que não sejam Limpar arquivos são tratadas como Continuara varredura.

Se essa opção não for ativada, o sistema ficará desprotegidocontra ataques de malware.

Arquivos registrados Faz a varredura de arquivos com referência no registro doWindows.O mecanismo de varredura procura nomes de arquivo noregistro, determina se o arquivo existe, cria uma lista dearquivos a varrer, depois examina os arquivos.

Meu computador Examina todas as unidades conectadas fisicamente aocomputador ou com mapeamento lógico para uma letra deunidade no computador.

Todas as unidadeslocais

— Varre todas as unidades e suas subpastas no computador.

Todas as unidadesfixas

Varre todas as unidades conectadas fisicamente ao computador.

Todas as unidadesremovíveis

Varre todas as unidades removíveis ou outros dispositivos dearmazenamento conectados ao computador, com exceção dasunidades com o Windows To Go instalado.

Todas as unidadesmapeadas

— Varre as unidades de rede com mapeamento lógico para umaunidade de rede no computador.

Pasta inicial Varre a pasta inicial do usuário que começar a varredura.

Pasta de perfil dousuário

Varre o perfil do usuário que inicia a varredura, inclusive a pastaMeus documentos do usuário.

Pasta Windows Faz a varredura do conteúdo da pasta Windows.

Pasta de arquivos deprogramas

Varre o conteúdo da pasta Arquivos de programas.

Pasta temporária Varre o conteúdo da pasta temporária.

Lixeira Faz varredura do conteúdo da lixeira.

Arquivo ou pasta Varre a pasta ou o arquivo especificado.

Consulte também Prevenção contra ameaças — Varredura por solicitação na página 115



McAfee GTIAtivar e definir as configurações do McAfee GTI (Global Threat Intelligence).



Ativar o McAfeeGTI

Ativa e desativa verificações heurísticas.• Quando ativado, impressões digitais de amostras, ou hashes, são enviadas

ao McAfee Labs para determinar se são malware. Ao enviar hashes, adetecção pode ser disponibilizada antes da próxima liberação de arquivo deconteúdo do AMCore, quando o McAfee Labs publica a atualização.

• Quando desativado, nenhuma impressão digital ou dado é enviado aoMcAfee Labs.

Nível desensibilidade

Configura o nível de sensibilidade a ser usado ao determinar se uma amostradetectada é malware.Quanto mais alto o nível de sensibilidade, maior o número de detecções demalware. Contudo, a permissão de mais detecções pode resultar em maisfalsos positivos.

Muito baixo As detecções e o risco de falsos positivos são os mesmos que com arquivosde conteúdo do AMCore regulares. Uma detecção é disponibilizada para aPrevenção contra ameaças quando o McAfee Labs a publica, em vez deesperar pela próxima atualização de arquivo de conteúdo do AMCore.Use essa configuração para desktops e servidores com direitos de usuáriorestritos e um forte requisito de espaço para segurança.

Essa configuração resulta em uma média de 10–15 consultas por dia, porcomputador.

Baixo Essa configuração é a recomendação mínima para laptops ou desktops eservidores com um forte requisitos de espaço para segurança.Essa configuração resulta em uma média de 10–15 consultas por dia, porcomputador.

Médio Use esse nível quando o risco regular de exposição a malware for maior queo risco de um falso positivo. As verificações heurísticas proprietárias doMcAfee Labs resultam em detecções que possivelmente são malware.Contudo, algumas detecções podem resultar em falsos positivos. Com essaconfiguração, o McAfee Labs verifica que aplicativos populares e arquivos dosistema operacional não resultem em falsos positivos.Essa configuração é a recomendação mínima para laptops ou desktops eservidores.






Alto Use essa configuração para implementação em sistemas ou áreas queregularmente são infectados.Essa configuração resulta em uma média de 20–25 consultas por dia, porcomputador.

Muito alto A McAfee recomenda que este nível seja usado apenas para realizar avarredura de volumes e diretórios que não oferecem suporte à execução deprogramas ou sistemas operacionais.Presume-se que as detecções encontradas com este nível sejam maliciosas,mas elas não foram inteiramente testadas para determinar se são falsospositivos.

Prática recomendada: usar esta configuração para volumes que não sãode sistemas operacionais.


Consulte também Prevenção contra ameaças — Varredura ao acessar na página 110Prevenção contra ameaças — Varredura por solicitação na página 115Controle da Web — Opções na página 168

AçõesEspecifique como o mecanismo de varredura reage ao detectar uma ameaça.


Seção Opção Definição Tipo de varredura

Varredura aoacessar

Varredura porsolicitação

Primeira respostada detecção deameaças

Especifica a primeira ação a ser tomada pelo mecanismo de varreduraquando uma ameaça é detectada.

Negar acessoaos arquivos

Evita que usuários acessemarquivos com ameaçaspotenciais.

Continuar avarredura

Continua a varredura quandouma ameaça é detectada. Omecanismo de varredura nãomove itens para a quarentena.

Limpararquivos

Remove a ameaça do arquivodetectado, se possível.

Excluirarquivos

Exclui arquivos com possíveisameaças.

Se a primeiraresposta falhar

Especifica a ação a ser tomada pelo mecanismo de varredura quandouma ameaça é detectada se a primeira ação falhar.









Varredura aoacessar

Varredura porsolicitação

Excluirarquivos

Exclui arquivos com possíveisameaças.

Primeira respostade programaindesejado

Especifica a primeira ação a ser tomada pelo mecanismo de varreduraquando um programa potencialmente indesejado é detectado.Essa opção estará disponível somente se a opção Detectar programasindesejados estiver selecionada.



Permitiracesso aosarquivos




Limpararquivos

Remove a ameaça do arquivopotencialmente indesejado, sepossível.

Excluirarquivos

Exclui arquivos potencialmenteindesejados.

Se a primeiraresposta falhar

Especifica a ação a ser tomada pelo mecanismo de varredura quandoocorre a detecção de um programa indesejado caso a primeira açãofalhe.Essa opção estará disponível somente se a opção Detectar programasindesejados estiver selecionada.



Permitiracesso aosarquivos




Excluirarquivos

Exclui automaticamentearquivos de programaspotencialmente indesejados.

Consulte também Prevenção contra ameaças — Varredura ao acessar na página 110Prevenção contra ameaças — Varredura por solicitação na página 115



Adicionar exclusão ou Editar exclusãoAdicione ou edite uma definição de exclusão.



Ao acessar Por solicitação

O que excluir Seleciona o tipo de exclusão e os detalhes da exclusão.

Nome oucaminho doarquivo

Especifica o nome do arquivo ou o caminhopara excluir.O caminho do arquivo pode incluircaracteres curinga.

Para excluir uma pasta em sistemasWindows, anexe um caractere de barrainvertida (\) do caminho.

Selecione Excluir também subpastas senecessário.

Tipo de arquivo Especifica os tipos de arquivos (extensõesde arquivos) a serem excluídos.

Idade do arquivo Especifica o tipo de acesso (Modificado,Acessado (somente na varredura porsolicitação) ou Criado) dos arquivos a seremexcluídos e a Idade mínima em dias.

Quandoexcluir

Especifica quando excluir o item selecionado.

Ao gravar nodisco ou ler odisco

Exclui da varredura quando arquivos estãosendo gravados no disco ou lidos nele ouem outro dispositivo de armazenamento dedados.

Ao ler o disco Exclui da varredura quando arquivos estãosendo lidos no computador ou em outrodispositivo de armazenamento de dados.

Ao gravar nodisco

Exclui da varredura quando arquivos estãosendo gravados no disco ou modificadosnele ou em outro dispositivo dearmazenamento de dados.

Consulte também Prevenção contra ameaças — Varredura ao acessar na página 110Prevenção contra ameaças — Varredura por solicitação na página 115Caracteres curinga em exclusões na página 67Configuração de exclusões na página 66

Prevenção contra ameaças — OpçõesConfigura as definições válidas para o recurso Prevenção contra ameaças, incluindo quarentena,programas potencialmente indesejados e exclusões.

Esta seção inclui apenas as opções Avançadas.





Gerenciador dequarentena

Pasta de quarentena Especifica o local da pasta de quarentena ou aceita o localpadrão:c:\Quarantine

A pasta de quarentena está limitada a 190 caracteres.

Especifique onúmero máximo dedias para manter osdados emquarentena

Especifica o número de dias (de 1 a 999) em que os itens deverãoser mantidos em quarentena antes de serem excluídosautomaticamente. O padrão é 30 dias.

Exclusão pelo nomeda detecção

Excluir estes nomesde detecção

Especifica as exclusões de detecção pelo nome da detecção.Por exemplo, para especificar que os mecanismos de varredura aoacessar e por solicitação não detectem ameaças de Verificaçãode instalação, insira Verificação de instalação.

Adicionar - Adiciona o nome da detecção à lista de exclusões.Clique em Adicionar, depois insira o nome da detecção.

Clicar duas vezes em um item - Modifica o item selecionado.

Excluir - Remove o nome da detecção da lista de exclusões.Selecione o nome e clique em Excluir.

Detecções deprogramaspotencialmenteindesejados

Excluir programasindesejadospersonalizados

Especifica arquivos ou programas individuais a serem tratadoscomo programas potencialmente indesejados.

Os mecanismos de varredura detectam os programasespecificados por você e os programas especificados nosarquivos de conteúdo do AMCore.

O mecanismo de varredura não detecta um programa indesejadodefinido pelo usuário com tamanho de zero byte.

• Adicionar - Define um programa indesejado personalizado.Clique em Adicionar, insira o nome, depois pressione Tab parainserir a descrição.

• Name - Especifica o nome do arquivo do programapotencialmente indesejado.

• Descrição — Especifica as informações que serão exibidas comoo nome da detecção quando ocorrer uma detecção.


• Excluir - Remove um programa potencialmente indesejado dalista.Selecione o item na tabela, depois clique em Excluir.

Análise proativa dedados

Envia dados anônimos de uso e diagnóstico para a McAfee.

Comentários doMcAfee GTI

Permite que os comentários de telemetria com base no McAfeeGTI coletem dados anônimos sobre arquivos e processos emexecução no sistema cliente.





Pulsação desegurança

Realiza uma verificação da integridade do sistema cliente antes edepois das atualizações dos arquivos de conteúdo do AMCore eem intervalos regulares e envia os resultados à McAfee.Os resultados são criptografados e enviados à McAfee através doSSL. A McAfee, por sua vez, reúne e analisa os dadosprovenientes destes relatórios a fim de identificar anomalias quepossam indicar possíveis problemas relacionados ao conteúdo. Arápida identificação de tais problemas é essencial paraproporcionar contenção e remediação oportunas.

A Pulsação de segurança coleta os seguintes tipos de dados:

• Local e versão do sistema operacional

• Versão do produto McAfee

• Conteúdo do AMCore e versão do mecanismo

• Informações do processo em execução da McAfee e Microsoft

Reputação deconteúdo doAMCore

Realiza uma pesquisa por reputação do McAfee GTI no arquivo deconteúdo do AMCore antes de atualizar o sistema cliente.• Se o McAfee GTI der permissão ao arquivo, o Endpoint Security

atualiza o conteúdo do AMCore.

• Se o McAfee GTI não der permissão ao arquivo, o EndpointSecurity não atualiza o conteúdo do AMCore.

Consulte também Configure definições de varreduras comuns na página 81

tarefa do cliente Reverter AMCore ContentAltera o conteúdo do AMCore para uma versão anterior.

Opção Definição

Selecione a versãopara carregar

Especifica o número de versão de um arquivo de conteúdo do AMCore anterior acarregar.O Endpoint Security mantém as duas versões anteriores no sistema cliente.

Quando é feita a alteração para uma versão anterior, o Endpoint Security remove aversão atual do conteúdo do AMCore do sistema.

Consulte também Alterar a versão do conteúdo do AMCore na página 29



4 Usar o Firewall

O Firewall atua como um filtro entre seu computador e a rede ou a Internet.

Conteúdo Como funciona o Firewall Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee Gerenciamento do Firewall Referência da interface do cliente — Firewall

Como funciona o FirewallO Firewall varre todo o tráfego de entrada e saída.

Ao analisar o tráfego de entrada ou saída, o Firewall verifica sua lista de regras, que é um conjunto decritérios com ações associadas. Se o tráfego coincide com todos os critérios de uma regra, o Firewallage de acordo com a regra, bloqueando ou permitindo o tráfego através do Firewall.

As informações sobre detecções de ameaças são salvas por relatórios que notificam o administradorsobre qualquer problema de segurança no computador.

As opções e regras do Firewall definem o funcionamento do Firewall. Os grupos de regras organizamas regras do firewall para facilitar o gerenciamento.

Se o Modo de interface do cliente estiver definido para Acesso total ou se você tiver feito logon comoadministrador, as regras e os grupos podem ser configurados usando o Cliente do Endpoint Security.Em sistemas gerenciados, as regras e grupos criados podem ser substituídos quando o administradordistribui uma política atualizada.

Consulte também Configurar as Firewall na página 129Como as regras de firewall funcionam na página 133Como funcionam os grupos de regras do firewall na página 135

Ativar e desativar o Firewall usando o ícone da bandeja dosistema da McAfee

Dependendo de como as configurações foram definidas, você pode ativar ou desativar o Firewallusando o ícone da bandeja do sistema da McAfee.

Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis.

4


Tarefa• Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione Desativar

o Firewall do Endpoint Security no menu Configurações rápidas.

Quando o Firewall está ativado, a opção é Desativar o Firewall do Endpoint Security.

Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivopara desativar o Firewall.

Ativar ou exibir grupos temporizados do Firewall usando oícone da bandeja do sistema da McAfee

Ative, desative ou exiba grupos temporizados do Firewall usando o ícone da bandeja do sistema daMcAfee.

Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis.

Tarefa• Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione uma

opção no menu Configurações rápidas.• Ativar grupos limitados de firewall — Ativa os grupos temporizados por um determinado período de

tempo a fim de permitir o acesso à Internet antes que as regras que restringem o acesso sejamaplicadas. Quando os grupos temporizados estão ativados, a opção é Desativar grupos temporizados doFirewall.Sempre que selecionar essa opção, você redefinirá o tempo dos grupos.

Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivopara ativar os grupos temporizados.

• Exibir grupos limitados de firewall — Exibe os nomes dos grupos temporizados e a quantidade detempo restante de ativação de cada grupo.

Sobre grupos temporizadosGrupos temporizados são grupos de regras do Firewall ativados por determinado período de tempo.

Por exemplo, um grupo temporizado pode ser ativado para permitir que um sistema cliente conecte-sea uma rede pública e estabeleça uma conexão VPN.

Dependendo das configurações de , os grupos podem ser ativados:

• Em um agendamento específico.

• Manualmente, selecionando as opções do ícone da bandeja do sistema da McAfee.

Gerenciamento do FirewallComo administrador, você pode configurar as opções do Firewall e criar regras e grupos no Cliente doEndpoint Security.


4 Usar o FirewallAtivar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee


Modificar opções de FirewallComo administrador, você pode modificar as opções de Firewall do Cliente do Endpoint Security.

Tarefas• Configurar as Firewall na página 129

Defina as configurações em Opções para ativar e desativar a proteção por firewall, ative omodo adaptável, e configure as outras opções do Firewall.

• Bloquear o tráfego DNS na página 130Para refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. OFirewall bloqueia as conexões aos endereços IP com resolução para os nomes de domínio.

• Definir redes para usar em regras e grupos na página 131Defina endereços de rede, sub-redes ou faixas a serem usados em regras e grupos.Opcionalmente, especifique que essas redes são confiáveis.

• Configurar executáveis confiáveis na página 132Defina ou edite a lista de executáveis confiáveis que são considerados seguros para seuambiente.

Consulte também Perguntas frequentes – McAfee GTI e Firewall na página 130

Configurar as Firewall Defina as configurações em Opções para ativar e desativar a proteção por firewall, ative o modoadaptável, e configure as outras opções do Firewall.




2 Clique em Firewall na página principal do Status.

Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.

3 Selecione Ativar Firewall para tornar o firewall ativo e modificar suas opções.

O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security 10.2.Se o Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do Endpoint Security serádesativado, mesmo que esteja ativado nas configurações de política.

4 Clique em Mostrar Avançados.



Usar o FirewallGerenciamento do Firewall 4


Bloquear o tráfego DNSPara refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. O Firewall bloqueiaas conexões aos endereços IP com resolução para os nomes de domínio.






3 Em Bloqueio de DNS, clique em Adicionar.

4 Insira os FQDNs dos domínios a serem bloqueados e clique em Salvar.

É possível usar os caracteres curingas * e ?. Por exemplo, *domínio.com.

As entradas duplicadas são removidas automaticamente.

5 Clique em Salvar.


Perguntas frequentes – McAfee GTI e FirewallAqui você encontra respostas para perguntas frequentes.

As definições de Opções do Firewall permitem que você bloqueie o tráfego de entrada e saída de umaconexão de rede que o McAfee GTI classificou como sendo de alto risco. Essas perguntas frequentesexplicam o que o McAfee GTI faz e como ele afeta o firewall.

O que é o McAfee GTI ?

O McAfee GTI é um sistema de inteligência da Internet com reputação global que determina obom e o mau comportamento na Internet. O McAfee GTI usa análise em tempo real de padrõesmundiais de comportamento e envio de e-mail, atividades da Web, malware e comportamentode sistema a sistema. Usando os dados obtidos nas análises, o McAfee GTI calculadinamicamente as pontuações de reputação que representam o nível de risco apresentado à suarede ao visitar uma página da Web. O resultado é um banco de dados de pontuações dereputação de endereços IP, domínios, mensagens específicas, URLs e imagens.

Como isso funciona?

Quando as opções do McAfee GTI são selecionadas, são criadas duas regras de firewall: McAfeeGTI — Permitir o serviço do Endpoint Security Firewall e McAfee GTI — Obter classificação. A primeira regrapermite uma conexão ao McAfee GTI e a segunda bloqueia ou permite o tráfego com base nareputação da conexão e no conjunto de limites de bloqueio.

O que significa “reputação”?

Para cada endereço IP na Internet, o McAfee GTI calcula um valor de reputação. O McAfee GTIbaseia o valor no comportamento de envio ou de hospedagem e em vários dados do ambientecoletados de clientes e parceiros sobre o estado do cenário de ameaças na Internet. A reputaçãoé expressa em quatro classes, com base em nossa análise:

4 Usar o FirewallGerenciamento do Firewall


• Não bloquear (risco mínimo) – Essa é uma origem ou um destino legítimo de conteúdo/tráfego.

• Não verificado – Esta parece ser uma origem ou um destino legítimo de conteúdo/tráfego. Noentanto, o site exibe certas propriedades que sugerem a necessidade de uma inspeção maisaprofundada.

• Risco médio – Essa origem/destino mostra um comportamento que acreditamos ser suspeito eo conteúdo/tráfego para ele ou dele requer exame especial.

• Alto risco – Essa origem/destino não é conhecida ou é provável que envie/hospede conteúdo/tráfego potencialmente malicioso. Acreditamos que isso represente um risco grave.

O McAfee GTI apresenta latência? Quanto?

Quando o McAfee GTI é contactado para realizar uma pesquisa por reputação, alguma latência éinevitável. A McAfee tem feito tudo o que é possível para minimizar essa latência. McAfee GTI:• Verifica as reputações somente quando as opções estão selecionadas.

• Usa uma arquitetura inteligente de armazenamento em cache. Em padrões normais de usode rede, o cache resolve a maioria das conexões desejadas sem uma consulta de reputaçãoon-line.

Se o firewall não conseguir acessar os servidores do McAfee GTI, o tráfego para?

Se o firewall não conseguir acessar nenhum dos servidores do McAfee GTI, ele atribuiautomaticamente uma reputação de permissão padrão a todas as conexões aplicáveis. O firewallentão continua a análise das regras que se seguem.

Definir redes para usar em regras e gruposDefina endereços de rede, sub-redes ou faixas a serem usados em regras e grupos. Opcionalmente,especifique que essas redes são confiáveis.









4 Em Redes definidas, execute uma das ações a seguir:

Para... Etapas

Definir uma novarede.

Clique em Adicionar e insira os detalhes da rede confiável.Defina a rede como confiável selecionando Sim no menu suspenso Confiável.

Se você selecionar Não, a rede será definida para uso nas regras e grupos,mas o tráfego de entrada e de saída da rede não será automaticamenteconfiável.

Alterar umadefinição de rede.

Em cada uma das colunas, clique duas vezes no item e insira as novasinformações.

Excluir uma rede. Selecione uma linha e clique em Excluir.


Sobre redes confiáveisRedes confiáveis são endereços IP, faixas de endereços IP e sub-redes que são consideradosconfiáveis.

A definição de uma rede como confiável cria uma regra Permitir bidirecional para essa rede remota notopo da lista de regras do Firewall.

Uma vez definidas, você pode criar regras de firewall que se apliquem a essas redes confiáveis. Asredes confiáveis também funcionam como exceções do McAfee GTI no firewall.

Prática recomendada: ao adicionar redes a regras e grupos de firewall, selecione Redes definidas para oTipo de rede para aproveitar este recurso.

Configurar executáveis confiáveisDefina ou edite a lista de executáveis confiáveis que são considerados seguros para seu ambiente.









4 Em Executáveis confiáveis, execute uma das ações a seguir:

Para... Etapas

Definir um novo executávelconfiável.

Clique em Adicionar e insira os detalhes do executávelconfiável.

Alterar uma definição deexecutável.

Em cada uma das colunas, clique duas vezes no item e insiraas novas informações.

Excluir um executável. Selecione uma linha e clique em Excluir.


Sobre executáveis confiáveis e aplicativosExecutáveis confiáveis são executáveis que não têm vulnerabilidades conhecidas e são consideradosseguros.

A configuração de um executável confiável cria uma regra Permitir bidirecional para esse executávelno topo da lista de regras do Firewall.

Manter uma lista de executáveis seguros de um sistema reduz e elimina a maioria dos falsos positivos.Por exemplo, quando você executa um aplicativo de backup, muitos falsos positivos podem serdisparados. Para evitar que falsos positivos sejam disparados, torne o aplicativo de backup umaplicativo confiável.

Um executivo confiável está sujeito a vulnerabilidades comuns, como estouro de buffer e uso ilegal. Noentanto, o Firewall ainda monitora os executivos confiáveis e dispara eventos para evitar explorações.

O Catálogo do Firewall contém executáveis e aplicativos. Executáveis no catálogo podem serassociados com um aplicativo contêiner. É possível adicionar executáveis e aplicativos do catálogo àsua lista de executáveis confiáveis. Depois de definidos, é possível referenciar os executáveis emregras e grupos.

Configurar regras e grupos do FirewallComo administrador, você pode configurar regras e grupos do Firewall a partir do Cliente do EndpointSecurity.

Tarefas• Criar e gerenciar regras e grupos do Firewall na página 139

Em sistemas gerenciados, as regras e grupos configurados no Cliente do Endpoint Securitypodem ser substituídos quando o administrador distribui uma política atualizada.

• Criar isolamento de conexão de grupos na página 141Crie um grupo de regras de firewall para isolamento de conexão, para estabelecer umconjunto de regras que se aplicam somente na conexão a uma rede com determinadosparâmetros.

• Criar grupos temporizados na página 142Crie grupos temporizados do Firewall para restringir o acesso à Internet até que umsistema cliente conecte-se por uma VPN.

Como as regras de firewall funcionamAs regras do Firewall determinam como lidar com o tráfego de rede. Cada regra fornece um conjuntode condições que o tráfego deve cumprir e uma ação para permitir ou bloquear o tráfego.

Quando o Firewall encontra um tráfego que corresponde às condições de uma regra, ele realiza a açãoassociada.



É possível definir regras amplas (por exemplo, todo o tráfego IP) ou restritas (por exemplo, identificarum aplicativo ou serviço específico) e especificar opções. É possível agrupar as regras de acordo comuma função de trabalho, serviço ou aplicativo, a fim de facilitar o gerenciamento. Como com as regras,é possível definir grupos de regras por opções de rede, transporte, aplicativo, agendamento e local.

O Firewall usa a precedência para aplicar as regras:

1 O Firewall aplica a regra na parte superior da lista de regras do firewall.

Se o tráfego atende às condições dessa regra, o Firewall permite ou bloqueia o tráfego. Ele nãotenta aplicar nenhuma outra regra da lista.

2 Se o tráfego não atende às condições da primeira regra, o Firewall continua para a próxima regrada lista até encontrar uma regra que coincida com o tráfego.

3 Se nenhuma regra coincidir, o firewall bloqueia automaticamente o tráfego.

Se o modo adaptável estiver ativado, é criada uma regra de permissão para o tráfego. Algumas vezes,o tráfego interceptado coincide com mais de uma regra da lista. Nesse caso, a precedência significaque o Firewall aplica somente a primeira regra coincidente da lista.

Práticas recomendadas

Coloque a regra mais específica no topo da lista e as regras mais genéricas na parte inferior. Essaordem assegura que o Firewall filtre o tráfego de maneira apropriada.



Por exemplo, para permitir que todas as solicitações de HTTP exceto as originadas em um endereçoespecífico (por exemplo, endereço IP 10.10.10.1), crie duas regras:

• Regra de bloqueio — Bloqueia o tráfego HTTP do endereço IP 10.10.10.1. Essa regra é específica.

• Regra de permissão — Permite todo o tráfego que usa o serviço HTTP. Essa regra é genérica.

Coloque a regra de bloqueio em uma posição mais alta da lista de regras do firewall do que a da regrade permissão. Quando o firewall interceptar a solicitação HTTP do endereço 10.10.10.1, a primeiraregra coincidente que ele encontrará será a que bloqueia esse tráfego através do firewall.

Se a regra de permissão genérica estiver mais alta que a regra de bloqueio específica, o Firewallcomparará as solicitações com a regra de permissão antes de encontrar a regra de bloqueio. Elepermitirá o tráfego, mesmo havendo a intenção de bloquear a solicitação HTTP de um endereçoespecífico.

Como funcionam os grupos de regras do firewallUse os grupos de regras de Firewall para organizar as regras do firewall e facilitar o gerenciamento. Osgrupos de regras do Firewall não afetam a maneira como o Firewall lida com as regras dentro deles; oFirewall ainda processa as regras de cima para baixo.O Firewall processa as configurações para o grupo antes de processar as configurações para as regrasque ele contém. Se houver um conflito entre essas configurações, as configurações do grupo têmprecedência.

Fazer com que grupos reconheçam locaisO Firewall permite fazer com que um grupo reconheça o local de suas regras e criar isolamento deconexão. O Local e as Opções de rede do grupo permitem fazer com que os grupos reconheçam oadaptador de rede. Use grupos de adaptadores de rede para aplicar regras para adaptadoresespecíficos em computadores com várias interfaces de rede. Após ativar o status de local e nomear olocal, os parâmetros para as conexões permitidas podem incluir os seguintes itens para cadaadaptador de rede:

Local:

• Requer que o McAfee ePO esteja acessível • Endereço IP do Servidor WINS primário

• Sufixo DNS específico para conexão • Endereço IP do Servidor WINS secundário

• Endereço IP do Gateway padrão • Acessibilidade do domínio

• Endereço IP do Servidor DHCP • Chave de registro

• Servidor DNS consultado para resolverURLs

Redes:

• Endereço IP da Rede local

• Tipos de conexão

Se dois grupos com reconhecimento de local são aplicados a uma conexão, o Firewall usa aprecedência normal, processando o primeiro grupo aplicável na lista de regras. Se nenhuma regra doprimeiro grupo coincidir, o processamento de regras continua.

Quando o Firewall encontrar parâmetros de um grupo com reconhecimento de local que coincidemcom uma conexão ativa, ele aplica as regras dentro do grupo. Ele trata as regras como um pequenoconjunto de regras e usa a precedência normal. Se algumas regras não se coincidirem com o tráfegointerceptado, o firewall as ignora.



Se essa opção estiverselecionada...

Então...

Ativar reconhecimento de local Requer um nome de local.

Requer que o McAfee ePO estejaacessível

O McAfee ePO está acessível e o FQDN do servidor foi resolvido.

Rede local O endereço IP do adaptador deve coincidir com uma das entradasda lista.

Sufixo DNS específico paraconexão

O sufixo DNS do adaptador deve coincidir com uma das entradasda lista.

Gateway padrão O endereço IP do gateway do adaptador padrão deve coincidir compelo menos uma das entradas da lista.

Servidor DHCP O endereço IP do servidor DHCP do adaptador deve coincidir compelo menos uma das entradas da lista.

Servidor DNS O endereço IP do servidor DNS do adaptador deve coincidir comalguma entrada da lista.

Servidor WINS primário O endereço IP do servidor WINS primário do adaptador devecoincidir com pelo menos uma das entradas da lista.

Servidor WINS secundário O endereço IP do servidor WINS secundário do adaptador devecoincidir com pelo menos uma das entradas da lista.

Acessibilidade do domínio O domínio especificado deve ser acessível.

Grupos de regras do Firewall e isolamento de conexãoUse o isolamento de conexão para grupos para impedir que algum tráfego indesejado acesse umarede designada.

Quando o isolamento de conexão está ativado para um grupo e uma placa de interface de rede (NIC)corresponde aos critérios do grupo, o Firewall processa somente o tráfego que corresponde a:

• Regra de permissão acima do grupo na lista de regras do firewall

• Critérios do grupo

Qualquer outro tráfego será bloqueado.

Nenhum grupo com isolamento de conexão ativado poderá ter opções de transporte ou executáveisassociados.



Considere duas configurações como exemplos do uso do isolamento de conexão: um ambientecorporativo e um hotel. A lista de regras de firewall ativas contém regras e grupos nesta ordem:

1 Regras para conexão básica

2 Regras de conexão VPN

3 Grupo com regras de conexão a LAN corporativa

4 Grupo com regras de conexão VPN



Exemplo: isolamento de conexão na rede corporativa

As regras de conexão são processadas até que o grupo com regras de conexão a LAN corporativa sejaencontrado. Esse grupo contém as configurações:

• Tipo de conexão = Com fio

• Sufixo DNS específico para a conexão = minhaempresa.com

• Gateway padrão

• Isolamento de conexão = Ativado

O computador tem adaptadores de rede LAN e sem fio. O computador se conecta à rede corporativapor uma conexão com fio. No entanto, a interface sem fio ainda está ativa, de modo que se conecta aum ponto de acesso fora do escritório. O computador se conecta a ambas as redes porque as regraspara o acesso básico estão no topo da lista de regras do firewall. A conexão LAN com fio está ativa eatende aos critérios do grupo da LAN corporativa. O firewall processa o tráfego através da LAN, mascomo o isolamento da conexão está ativado, todo o restante do tráfego que não passa através da LANé bloqueado.

Exemplo: isolamento de conexão em um hotel

As regras de conexão são processadas até que o grupo com regras de conexão a LAN seja encontrado.Esse grupo contém as configurações:

• Tipo de conexão = Virtual

• Sufixo DNS específico para a conexão = vpn.minhaempresa.com

• Endereço IP = Um endereço em um intervalo específico para o concentrador VPN

• Isolamento de conexão = Ativado

As regras de conexão genéricas permitem a configuração de uma conta temporizada no hotel paraacesso à Internet. As regras de conexão VPN permitem a conexão e o uso do túnel VPN. Após o túnelser estabelecido, o cliente VPN cria um adaptador virtual que corresponde aos critérios do grupo deVPN. O único tráfego permitido pelo firewall é o de dentro do túnel VPN e o tráfego básico sobre oadaptador real. As tentativas de outros hóspedes do hotel de acessar o computador pela rede, sejacom ou sem fio, são bloqueadas.

Grupos de regras predefinidas do firewallO Firewall inclui vários grupos de firewall predefinidos.

Grupo doFirewall

Descrição

Rede principal daMcAfee

Contém as regras principais de rede fornecidas pela McAfee e inclui regras parapermitir aplicativos da McAfee e DNS.

Estas regras não podem ser alteradas ou excluídas. Você pode desativar o gruponas Opções do Firewall, mas pode prejudicar as comunicações de rede no cliente.

Adicionado peloadministrador

Contém regras definidas pelo administrador no servidor de gerenciamento.

Estas regras não podem ser alteradas ou excluídas no Cliente do EndpointSecurity.



Grupo doFirewall

Descrição

Adicionado pelousuário

Contém regras definidas no Cliente do Endpoint Security.

Dependendo das definições de política, essas regras podem ser substituídasquando a política for aplicada.

Dinâmico Contém regras criadas dinamicamente por outros módulos do Endpoint Securityinstalados no sistema.Por exemplo, aPrevenção contra ameaças pode enviar um evento para o móduloCliente do Endpoint Security para criar uma regra para bloquear o acesso a umsistema na rede.

Adaptável Contém regras de exceção do cliente que são criadas automaticamente quando osistema estiver no modo adaptável.

Dependendo das definições de política, essas regras podem ser substituídasquando a política for aplicada.

Padrão Contém regras padrão fornecidas pela McAfee.

Estas regras não podem ser alteradas ou excluídas.

Criar e gerenciar regras e grupos do FirewallEm sistemas gerenciados, as regras e grupos configurados no Cliente do Endpoint Security podem sersubstituídos quando o administrador distribui uma política atualizada.


Os grupos e regras aparecem em ordem de prioridade na tabela de Regras do Firewall. Não é possívelclassificar as regras por coluna.





3 Use estas tarefas para gerenciar as regras e grupos do firewall.

Para fazer isso... Siga essas etapas

Exibir as regras em um grupo defirewalls.

Clique .

Fechar um grupo de firewalls. Clique .



Para fazer isso... Siga essas etapas

Modificar uma regra existente.

Somente é possível modificarregras no grupo Adicionado pelousuário.

1 Expanda o grupo Adicionado pelo usuário.

2 Clique duas vezes na regra.

3 Altere as configurações da regra.

4 Clique em OK para salvar suas alterações.

Exibir uma regra existente emqualquer grupo.

1 Expanda o grupo.

2 Selecione a regra para exibir seus detalhes no painelinferior.

Criar uma regra. 1 Clique em Adicionar regra.

2 Especifique as configurações da regra.


A regra aparece no final do grupo Adicionado pelo usuário.

Criar cópias de regras. 1 Selecione a regra ou regras e clique em Duplicar.As regras copiadas aparecem com o mesmo nome no finaldo grupo Adicionado pelo usuário.

2 Modifique as regras para alterar o nome e as configurações.

Excluir regras.

Somente é possível excluirregras dos grupos Adicionadopelo usuário e Adaptável.

1 Expanda o grupo.

2 Selecione a regra ou regras e clique em Excluir.

Criar um grupo. 1 Clique em Adicionar grupo.

2 Especifique as configurações do grupo.


O grupo aparece em Adicionado pelo usuário.

Mover regras e grupos para dentroe entre grupos.

Somente é possível moverregras e grupos no grupoAdicionado pelo usuário.

Para mover os elementos:1 Selecione os elementos que serão movidos.

A alça aparece à esquerda de elementos que podem sermovidos.

2 Arraste e solte os elementos no novo local.Uma linha azul aparece entre os elementos no local em quevocê pode soltar os elementos arrastados.


Consulte também Caracteres curinga em regras de firewall na página 141Entrar como administrador na página 27Criar isolamento de conexão de grupos na página 141



Caracteres curinga em regras de firewallVocê pode usar caracteres curinga para representar os caracteres de alguns valores nas regras defirewall.

Caracteres curinga em valores de caminho e de endereço

Em caminhos de arquivos, chaves de registro, executáveis e URLs, use esses caracteres curinga.

Os caminhos da chave de registro dos locais de grupos de firewall não reconhecem valores decaracteres curingas.

? Ponto de interrogação Um único caractere.

* Asterisco Vários caracteres, excluindo barra (/) e barra invertida (\). Use estecaractere para corresponder ao conteúdo no nível de raiz de uma pastasem subpastas.

** Asterisco duplo Vários caracteres, incluindo barra (/) e barra invertida (\).

| Pipe Escape de caractere curinga.

Para o asterisco duplo (**), o escape é |*|*.

Caracteres curinga em todos os outros valores

Para valores que normalmente não contêm barras nas informações de caminho, use estes caracterescuringa.

? Ponto de interrogação Um único caractere.

* Asterisco Vários caracteres, incluindo barra (/) e barra invertida (\).

| Barra vertical Escape de caractere curinga.

Criar isolamento de conexão de gruposCrie um grupo de regras de firewall para isolamento de conexão, para estabelecer um conjunto deregras que se aplicam somente na conexão a uma rede com determinados parâmetros.






3 Em REGRAS, clique em Adicionar grupo.

4 Em Descrição, especifique as opções para o grupo.

5 Em Local, selecione Ativar reconhecimento de local e Ativar isolamento de conexão. Em seguida, selecione ocritério de local a ser correspondido.



6 Em Rede, para Tipos de conexão, selecione o tipo de conexão (com fio, sem fio ou virtual) que será aplicadoàs regras desse grupo.

As configurações de Transporte e Executáveis não estão disponíveis para os grupos de isolamento deconexão.

7 Clique em OK.

8 Na lista de regras de firewall, crie novas regras dentro desse grupo ou mova as regras existentespara dentro dele.


Consulte também Grupos de regras do Firewall e isolamento de conexão na página 136Como funcionam os grupos de regras do firewall na página 135

Criar grupos temporizadosCrie grupos temporizados do Firewall para restringir o acesso à Internet até que um sistema clienteconecte-se por uma VPN.





3 Crie um grupo Firewall com as configurações padrão que permitem a conectividade com a Internet.

Por exemplo, permita o tráfego da porta 80 HTTP.

4 Na seção Agendamento, selecione como ativar o grupo.

• Ativar agendamento — Especifica uma hora de início e de término para o grupo a ser ativado.

• ativar Desativar agendamento e ativar o grupo a partir do ícone da bandeja do sistema da McAfee — Permite que osusuários ativem o grupo no ícone da bandeja do sistema da McAfee e mantenham o grupoativado pela quantidade de minutos especificada.

Se permitir que os usuários gerenciem o grupo temporizado, você poderá, opcionalmente, exigirque eles forneçam uma justificativa antes de ativar o grupo.

5 Clique em OK para salvar as alterações.

6 Crie um grupo de isolamento de conexão que corresponda à rede VPN para permitir o tráfegonecessário.

Prática recomendada: para impedir o tráfego de saída apenas do grupo de isolamento de conexãono sistema cliente, não coloque nenhuma regra de Firewall abaixo desse grupo.


Consulte também Criar isolamento de conexão de grupos na página 141



Referência da interface do cliente — FirewallOs tópicos de ajuda da referência da interface fornecem ajuda contextual para as páginas da interfacedo cliente.

Conteúdo Firewall — Opções Firewall — Regras

Firewall — OpçõesAtive e desative o módulo Firewall, configure opções de proteção e defina redes e executáveisconfiáveis.

Para redefinir as configurações para o padrão da McAfee e cancelar suas alterações, clique em Redefinirpara o padrão.


O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security 10.2. Seo Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do Endpoint Security serádesativado, mesmo que esteja ativado nas configurações de política.

Tabela 4-1 Opções


Ativar Firewall Ativa e desativa o módulo do Firewall.

Opções deproteção

Permitir tráfego paraprotocolos incompatíveis

Permite todo o tráfego que usa protocolos incompatíveis. Quandodesativado, todos os tráfegos que usam protocolos incompatíveissão bloqueados.

Permitir tráfego de saídaapenas até que osserviços do Firewallsejam iniciados

Permite o tráfego de saída, mas nenhum tráfego de entrada até queo serviço do Firewall seja iniciado.

Se essa opção estiver desativada, o Firewall permitirá todo otráfego antes que os serviços sejam iniciados, podendo deixar osistema vulnerável.

Permitir tráfego de ponte Permite:• Pacotes de entrada se o endereço MAC de destino estiver no

intervalo suportado de endereços MAC de VM e não for umendereço MAC local no sistema.

• Pacotes de saída se o endereço MAC de origem estiver nointervalo suportado de endereços MAC e não for um endereço MAClocal no sistema.

Ativar proteção contrafalsificação de IP

Bloqueia tráfego da rede de endereços IP de host não locais ou deprocessos locais que tentam falsificar seu endereço IP.

Ativar regras de bloqueiodinâmico

Permite que outros módulos do Endpoint Security criem e adicionemregras de bloqueio dinamicamente ao grupo de Regras dinâmicas noCliente do Endpoint Security.(Desativado por padrão)

Usar o FirewallReferência da interface do cliente — Firewall 4




Ativar alertas de intrusãodo firewall

Mostra alertas automaticamente quando o Firewall detecta umpossível ataque.

Bloqueio deDNS

Nome de domínio Define nomes de domínio a bloquear.Quando aplicada, essa configuração adiciona uma regra próximo aotopo das regras do firewall que bloqueia conexões aos endereços IPcom resolução para os nomes de domínio.

• Adicionar - Adiciona um nome de domínio à lista de bloqueio.Separe vários domínios com uma vírgula (,) ou quebra de linha.É possível usar os caracteres curingas * e ?. Por exemplo,*domínio.com.

As entradas duplicadas são removidas automaticamente.


• Excluir - Remove o nome de domínio selecionado da lista debloqueio.



Opções deajuste

Ativar modo adaptável Cria regras automaticamente para permitir o tráfego.

Prática recomendada: ativar o modo adaptáveltemporariamente em alguns sistemas apenas durante o ajuste doFirewall. A ativação desse modo pode gerar muitas regras decliente, que devem ser processadas pelo servidor McAfee ePO,podendo afetar o desempenho negativamente.

Desativar as regrasprincipais de rede daMcAfee

Desativa as regras de rede incorporadas da McAfee (no grupo deregras da Rede principal da McAfee).(Desativado por padrão)

A ativação desta opção pode interromper as comunicações de redeno cliente.

Registrar em log todo otráfego bloqueado

Registra todo o tráfego bloqueado no log de eventos do Firewall(FirewallEventMonitor.log) no Cliente do Endpoint Security.(Ativado por padrão)

Registrar em log todo otráfego permitido

Registra todo o tráfego permitido no log de eventos do Firewall(FirewallEventMonitor.log) no Cliente do Endpoint Security.(Desativado por padrão)

A ativação dessa opção pode afetar negativamente o desempenho.

Reputação darede noMcAfee GTI

Tratar correspondênciado McAfee GTI comointrusão

Trata o tráfego que corresponde à configuração do limite debloqueio do McAfee GTI como uma intrusão. A ativação dessaopção exibe um alerta, envia um evento para o servidor degerenciamento e o adiciona ao arquivo de log do Cliente doEndpoint Security.Todos os endereços IP de uma rede confiável são excluídos dapesquisa do McAfee GTI.

(Ativado por padrão)

4 Usar o FirewallReferência da interface do cliente — Firewall




Registrar em log otráfego correspondente

Trata o tráfego que corresponde à configuração do limite debloqueio McAfee GTI como uma detecção. A ativação dessa opçãoenvia um evento para o servidor de gerenciamento e o adiciona aoarquivo de log do Cliente do Endpoint Security.(Ativado por padrão)

Todos os endereços IP de uma rede confiável são excluídos dapesquisa do McAfee GTI.

Bloquear todos osexecutáveis nãoconfiáveis

Bloqueia todos os executáveis que não estão assinados ou que têmuma reputação desconhecida do McAfee GTI.

Limite de entrada dereputação da redeLimite de saída dereputação da rede

Especifica o limite de classificação do McAfee GTI para o bloqueiodo tráfego de entrada ou saída de uma conexão de rede.• Não bloquear - Este site parece ser uma origem ou destino legítimo

de conteúdo/tráfego.

• Alto risco - A origem/destino envia ou hospeda conteúdo/tráfegopossivelmente malicioso que o McAfee considera arriscado.

• Risco médio - A origem/destino mostra um comportamento que aMcAfee considera suspeito. Qualquer conteúdo/tráfego do siterequer um escrutínio especial.

• Não verificado - O site parece ser uma origem ou destino legítimo deconteúdo/tráfego, mas também exibe propriedades que sugeremser necessário inspecionar.

Firewalldinâmico

Usar inspeção deprotocolo do FTP

Permite que as conexões FTP sejam rastreadas para que exijamsomente uma regra de firewall para o tráfego de cliente FTP desaída e o tráfego de servidor FTP de entrada.Se essa opção não for selecionada, as conexões de FTP precisarãode uma regra individual para o tráfego de cliente de FTP de entradae o tráfego de servidor de FTP de saída.

Número de segundos(1-240) antes de atingir otempo limite da conexãoTCP

Especifica o tempo, em segundos, que uma conexão TCP nãoestabelecida permanece ativa se pacotes correspondentes àconexão não forem mais enviados ou recebidos. O intervalo válidoé 1–240.

Número de segundos(1-300) antes de atingir otempo limite dasconexões virtuais de ecoUDP e ICMP

Especifica o tempo, em segundos, que uma conexão virtual de ecoUDP ou ICMP permanece ativa se nenhum pacote correspondente àconexão for enviado ou recebido. Essa opção volta ao seu valorconfigurado sempre que um pacote que corresponde à conexãovirtual é enviado ou recebido. O intervalo válido é de 1 a 300.

Redesdefinidas

Define endereços de rede, sub-redes ou intervalos a serem usadosem regras e grupos.• Adicionar — Adiciona um endereço de rede, uma sub-rede ou uma

faixa à lista de redes definidas.Clique em Adicionar e preencha os campos na linha de definição darede.


• Excluir — Exclui o endereço selecionado da lista de redes definidas.

Tipo de endereço Especifica o tipo de endereço da rede a ser definido.





Confiável • Sim — Permite todo o tráfego da rede.A definição de uma rede como confiável cria uma regra Permitirbidirecional para essa rede remota no topo da lista de regras doFirewall.

• Não — Adiciona a rede à lista de redes definidas para a criação deregras.

Proprietário

Executáveisconfiáveis

Especifica executáveis que são seguros em qualquer ambiente enão têm vulnerabilidades conhecidas. Esses executáveis têmpermissão para executar qualquer operação, exceto aquelas quesugerirem que os executáveis foram comprometidos.A configuração de um executável confiável cria uma regra Permitirbidirecional para esse executável no topo da lista de regras doFirewall.

• Adicionar - Adiciona um executável confiável.


• Excluir — Remove o executável da lista de confiança.

Consulte também Configurar as Firewall na página 129Definir redes para usar em regras e grupos na página 131Configurar executáveis confiáveis na página 132Adicionar executável ou Editar executável na página 153

Firewall — RegrasGerencie regras de firewall e grupos.

Você pode adicionar e excluir regras e grupos somente no grupo Adicionado pelo usuário. Firewallmove automaticamente as regras recém-adicionadas a este grupo.

Para redefinir as configurações para o padrão de fábrica e cancelar suas alterações, clique em Redefinirpara o padrão.

Tabela 4-3 Opções

Seção Opção Definição Regra Grupo

REGRAS Adicionar regra Cria uma regra de firewall.

Adicionar grupo Cria um grupo do firewall.

Clicar duas vezesem um item


Duplicar Cria uma cópia do item selecionado.

Excluir Remove um item de firewall selecionado.

Indica elementos que podem ser movidos na lista.Selecione elementos e arraste e solte-os no novo local.Uma linha azul é exibida entre os elementos no localem que você pode soltar os elementos arrastados.



Consulte também Criar e gerenciar regras e grupos do Firewall na página 139Página Adicionar regra ou Editar regra, Adicionar grupo ou Editar grupo na página 147

Página Adicionar regra ou Editar regra, Adicionar grupo ou Editar grupoAdicione ou edite os grupos e as regras de firewall.

Tabela 4-4 Opções


Descrição Nome Especifica o nome descritivo do item (obrigatório).

Status Ativa ou desativa o item.

Especificar ações Permitir — Permite o tráfego por meio do firewall se oitem for correspondente.

Bloquear — Impede que o tráfego passe pelo firewall se oitem for correspondente.

Tratar correspondência como intrusão — Trata o tráfego quecorresponde à regra como uma intrusão. A ativaçãodesta opção exibe um alerta, envia um evento para oservidor de gerenciamento e o adiciona ao arquivo delog do Cliente do Endpoint Security.

Prática recomendada: não ativar esta opção parauma regra Permitir, pois ela resulta em muitos eventos.

Registrar em log o tráfego correspondente - trata o tráfego quecorresponde à regra como uma detecção. A ativaçãodesta opção envia um evento para o servidor degerenciamento e o adiciona ao arquivo de log do Clientedo Endpoint Security.

Direção Especifica a direção:• Qualquer um — Monitora tanto o tráfego de entrada

quanto o de saída.

• Entrada — Monitora o tráfego de entrada.

• Saída — Monitora o tráfego de saída.

Notas Fornece mais informações sobre o item.

Local Ativarreconhecimento delocal

Ativa ou desativa as informações do local do grupo.

Nome Especifica o nome do local (obrigatório).





Ativar isolamentode conexão

Bloqueia o tráfego em adaptadores de rede que nãocorrespondem ao grupo quando há um adaptador quenão corresponde ao grupo.

As configurações de Transporte e Executáveis não estãodisponíveis para os grupos de isolamento de conexão.

Uma das utilizações dessa opção é o bloqueio do tráfegogerado por fontes potencialmente indesejáveis vindas defora da rede corporativa. O bloqueio do tráfego dessamaneira é possível somente se uma regra que precede ogrupo no firewall não o tiver já permitido.

Quando o isolamento de conexão estiver ativado e umNIC corresponder ao grupo, o tráfego só será permitidoquando um dos itens a seguir for aplicável:

• O tráfego corresponde a uma Regra de permissão antes dogrupo.

• O tráfego que percorre um NIC corresponde ao grupoe há uma regra no grupo ou abaixo dele que permite otráfego.

Se nenhum NIC corresponder ao grupo, o grupo éignorado e a correspondência de regras continua.

Requer que oMcAfee ePO estejaacessível

Permite que o grupo faça a correspondência somente sehouver comunicação com o servidor do McAfee ePO e oFQDN do servidor tenha sido resolvido.





Critérios de local • Sufixo DNS específico da conexão - Especifica um sufixo DNSespecífico para a conexão no formato: example.com.

• Gateway padrão - Especifica um endereço IP único paraum gateway padrão no formato IPv4 ou IPv6.

• Servidor DHCP - Especifica um endereço IP único paraum servidor DHCP no formato IPv4 ou IPv6.

• Servidor DNS - Especifica um endereço IP único para umservidor de nome de domínio no formato IPv4 ouIPv6.

• Servidor primário WINS - Especifica um endereço IP únicopara um servidor WINS primário no formato IPv4 ouIPv6.

• Servidor secundário WINS - Especifica um endereço IP únicopara um servidor WINS secundário no formato IPv4 ouIPv6.

• Acessibilidade do domínio — Exige que o domínioespecificado esteja acessível.

• Chave de Registro — Especifica a chave de Registro e ovalor da chave.


2 Na coluna Valor, especifique a chave de Registro noformato:<ROOT>\<KEY>\[NOME_DO_VALOR]• <ROOT> — Deve usar o nome completo da raiz,

como HKEY_LOCAL_MACHINE, e não a abreviaçãoHKLM.

• <KEY> — É o nome da chave na raiz.

• [NOME_DO_VALOR] — É o nome do valor dachave. Se nenhum nome de valor for incluído,presume-se que seja o valor padrão.

Formatos de exemplo:

• IPv4 — 123.123.123.123• IPv6 — 2001:db8:c0fa:f340:9219:bd20:9832:0ac7

Redes Especifica as opções de host da rede que se aplicam aoitem.

Protocolo de rede Especifica o protocolo de rede que se aplica ao item.

Qualquer protocolo Permite protocolos IP e não IP.Se um protocolo de transporte ou um aplicativo forespecificado, somente os protocolos IP são permitidos.





Protocolo IP Exclui protocolos não IP.• Protocolo IPv4

• Protocolo IPv6

Se nenhuma caixa de seleção for marcada, qualquerprotocolo IP será aplicável. Pode-se selecionar ambos,IPv4 e IPv6.

Protocolo não IP Inclui somente protocolos não IP.• Selecionar EtherType na lista - Especifica um EtherType.

• Especificar EtherType personalizado - Especifica os quatrocaracteres do valor do EtherType hexadecimal noprotocolo não IP. Consulte Números Ethernet para veros valores de EtherType. Por exemplo, insira 809Bpara AppleTalk, 8191 para NetBEUI ou 8037 para IPX.

Tipos de conexão Indica se um ou todos os tipos de conexão sãoaplicáveis:• Com fio

• Sem fio

• VirtualUm tipo de conexão Virtual é um adaptadorapresentado por uma VPN ou por um aplicativo demáquina virtual, como o VMware, em vez de umadaptador físico.

Especifique asredes

Especifica as redes que se aplicam ao item.• Adicionar — Cria e adiciona uma rede.

• Clicar duas vezes em um item - Modifica o itemselecionado.

• Excluir — Remove a rede da lista.

Transporte Especifica as opções de transporte que se aplicam aoitem.



http://www.iana.org/assignments/ethernet-numbers



Protocolo detransporte

Especifica o protocolo de transporte associado ao item.Selecione o protocolo, depois clique em Adicionar paraadicionar portas.

• Todos os protocolos — Permite protocolos IP, não IP e semsuporte.

• TCP e UDP — Selecione na lista suspensa:

• Porta local — Especifica a porta ou o serviço de tráfegolocal ao qual o item se aplica.

• Porta remota — Especifica a porta ou serviço de tráfegoem outro computador ao qual o item é aplicável.

A Porta local e a Porta remota podem ser:

• Um serviço único. Exemplo: 23.

• Um intervalo. Exemplo: 1–1024.

• Uma lista separada por vírgula de portas únicas eintervalos. Por exemplo, 80, 8080, 1–10, 8443 (até4 itens).

Por padrão, as regras se aplicam a todos os serviços eportas.

• ICMP - Na lista suspensa Tipo de mensagem, especifiqueum tipo de mensagem ICMP. Veja ICMP.

• ICMPv6 - Na lista suspensa Tipo de mensagem, especifiqueum tipo de mensagem ICMP. Veja ICMPv6.

• Outros - Seleciona protocolos menos comuns em umalista.

Executáveis Especifica as executáveis que se aplicam à regra.• Adicionar - Cria e adiciona um executável.

• Clicar duas vezes em um item - Modifica o itemselecionado.

• Excluir - Remove um executável da lista.

Agendamento Especifica as definições de agendamento para a regra ougrupo.



http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml

http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml



Ativaragendamento

Ativa o agendamento para a regra ou o grupotemporizado.Quando o agendamento está desativado, a regra ou asregras não são aplicadas no grupo.

• Hora de início - Especifica a hora de início para ativar oagendamento.

• Hora de término - Especifica a hora que o agendamentoserá desativado.

• Dias da semana - Indica os dias da semana paraativar o agendamento.

Para horas de inicio e de fim, use um relógio de 24horas. Por exemplo, 13:00 = 1:00 p.m.

Você pode agendar os grupos temporizados do Firewallou permitir que o usuário os ative usando o ícone daMcAfee na bandeja do sistema.

Desativaragendamento eativar o grupo apartir do ícone dabandeja do sistemada McAfee

Especifica que o usuário pode ativar o grupotemporizado por um determinado número de minutosusando o ícone da bandeja do sistema da McAfee, emvez de usar o agendamento.

Prática recomendada: usar esta opção parapermitir amplo acesso de rede, por exemplo, em umhotel, antes que uma conexão VPN seja estabelecida.

A seleção desta opção exibe mais opções de menu emConfigurações rápidas no ícone da bandeja do sistema daMcAfee:

• Ativar grupos limitados de firewall — Ativa os grupostemporizados por um determinado período de tempo afim de permitir o acesso à Internet antes que asregras que restringem o acesso sejam aplicadas.Quando os grupos temporizados estão ativados, aopção é Desativar grupos temporizados do Firewall.Sempre que selecionar essa opção, você redefinirá otempo dos grupos.

Dependendo das configurações, você pode sersolicitado a fornecer ao administrador um motivo paraativar os grupos temporizados.

• Exibir grupos limitados de firewall — Exibe os nomes dosgrupos temporizados e a quantidade de temporestante de ativação de cada grupo.

Número de minutos(1-60) para ativar ogrupo

Especifica o número de minutos (de 1 a 60) em que ogrupo temporizado permanece ativo após a seleção deAtivar grupos limitados de firewall no ícone da McAfee nabandeja do sistema.



Consulte também Criar e gerenciar regras e grupos do Firewall na página 139Criar grupos temporizados na página 142Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema daMcAfee na página 128Página Adicionar rede ou Editar rede na página 154Adicionar executável ou Editar executável na página 153

Adicionar executável ou Editar executávelAdicione ou edite um executável associado a uma regra ou um grupo.

Tabela 4-5 Opções

Opção Definição

Nome Especifica o nome pelo qual você chama o executável.Esse campo é obrigatório com, pelo menos, um outro campo: Nome ou caminho doarquivo, Descrição do arquivo, Hash de MD5 ou signatário.

Nome do arquivoou caminho



Descrição doarquivo

Indica a descrição do arquivo.





Opção Definição



• Assinado por — Permite apenas arquivos assinados pelo signatário do processoespecificado.É obrigatório um nome distinto de signatário (SDN) para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulase espaços.












• S = Califórnia

• C = EUA


Página Adicionar rede ou Editar redeAdiciona ou edita uma rede associada a uma regra ou grupo.

Tabela 4-6 Opções

Opção Definição Regra Grupo

Nome Especifica o nome do endereço de rede (obrigatório).

Tipo Selecione entre:• Rede local — Cria e adiciona uma rede local.

• Rede remota — Cria e adiciona uma rede remota.

Adicionar Adiciona um tipo de rede à lista de redes.

Clicar duas vezes emum item


Excluir Exclui o item selecionado.




Opção Definição Regra Grupo

Tipo de endereço Especifica a origem ou o destino do tráfego. Selecione na listasuspensa Tipo de endereço.

Endereço Especifica o endereço IP para adicionar à rede.Caracteres curinga são válidos.

Consulte também Tipo de endereço na página 155

Tipo de endereçoEspecifique o tipo de endereço de uma rede definida.

Tabela 4-7 Opções

Opção Definição

Endereço IP único Especifica um endereço IP particular. Por exemplo:• IPv4 — 123.123.123.123• IPv6 - 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*

Sub-rede Especifica o endereço de sub-rede de qualquer adaptador na rede. Por exemplo:• IPv4 - 123.123.123.0/24• IPv6 - 2001:db8::0/32

Sub-rede local Especifica o endereço de sub-rede do adaptador local.

Intervalo Especifica um intervalo de endereços IP. Digite o ponto inicial e o ponto final dointervalo. Por exemplo:• IPv4 - 123.123.1.0 – 123.123.255.255• IPv6 - 2001:db8::0000:0000:0000:0000 –2001:db8::ffff:ffff:ffff:ffff

Nome de domíniototalmente qualificado

Especifica o FQDN. Por exemplo, www.exemplo.com.

Qualquer endereço IPlocal

Especifica qualquer endereço IP local.

Qualquer endereço IPv4 Especifica qualquer endereço IPv4.

Qualquer endereço IPv6 Especifica qualquer endereço IPv6.



5 Usar o Controle da Web

Os recursos de proteção do Controle da Web são exibidos no navegador ao navegar e pesquisar.

Conteúdo Sobre os recursos do Controle da Web Acessar recursos do Controle da Web Gerenciamento do Controle da Web Referência da interface do cliente — Controle da Web

Sobre os recursos do Controle da WebÀ medida que o Controle da Web é executado em cada sistema gerenciado, ele o notifica sobre asameaças enquanto você busca ou navega em sites da rede.

Uma equipe da McAfee analisa cada site e atribui uma classificação de segurança com código de coresde acordo com os resultados do teste. A cor indica o nível de segurança do site.

O software usa os resultados do teste para notificá-lo sobre as ameaças da web que você podeencontrar.

Nas páginas de resultados da pesquisa - Um ícone é exibido ao lado de cada site listado. A cor doícone indica a classificação de segurança do site. Você pode acessar mais informações com os ícones.

Na janela do navegador - Um botão é exibido no navegador. A cor do botão indica a classificação desegurança do site. Você pode ter acesso a mais informações clicando no botão.

O botão também notifica você quando ocorrerem problemas de comunicação e providencia acessorápido a testes que ajudam a identificar problemas comuns.

Nos relatórios de segurança - Os detalhes mostram como a classificação de segurança foi calculadacom base nos tipos de ameaças detectadas, resultados de testes e outros dados.

Para sistemas gerenciados, os administradores criam políticas para:

• Ativa e desativa o Controle da Web em seu sistema, e impede ou permite que o software e oplug-in do navegador sejam desativados.

• Controla o acesso a sites, páginas e downloads com base em sua classificação de segurança ou tipode conteúdo.

Por exemplo, bloquear sites com nível de risco vermelho e avisar aos usuários que tentam acessarsites com nível de risco amarelo.

• Identificar sites como bloqueado ou permitido, com base em URLs e domínios.

• Impede que você desinstale ou altere arquivos do Controle da Web, chaves de registro, valores doregistro, serviços e processos.

5


• Personaliza a notificação que é exibida quando você tenta acessar um site bloqueado.

• Monitorar e regular a atividade do navegador nos computadores da rede e criar relatóriosdetalhados sobre sites.

Para sistemas autogerenciáveis, você pode configurar as definições para:

• Ativa e desativa o Controle da Web em seu sistema.

• Controla o acesso a sites, páginas e downloads com base em sua classificação de segurança ou tipode conteúdo.

Por exemplo, bloquear sites com nível de risco vermelho e avisar aos usuários que tentam acessarsites com nível de risco amarelo.

O software é compatível com os navegadores Microsoft Internet Explorer, Mozilla Firefox, e GoogleChrome.

Em sistemas autogerenciados, todos os navegadores - suportados e não suportados - são permitidos,por padrão.

O Chrome não dá suporte à opção Mostrar balão.

Consulte também O botão do Controle da Web identifica ameaças durante a navegação na página 159Os ícones de segurança identificam ameaças durante a pesquisa na página 160Os relatórios do site apresentam detalhes na página 160Como as classificações de segurança são compiladas na página 161

Como o Controle da Web bloqueia ou avisa sobre um site ou umdownloadQuando um usuário visita um site que tenha sido bloqueado ou avisado, o Controle da Web exibe umapágina ou uma mensagem pop-up indicando o motivo.

Se as ações de classificação de um site estiverem definidas como:

• Avisar - Controle da WebControle da Web mostra um alerta para notificar o usuário de potenciaisperigos associados ao site.

• Cancelar retorna ao site navegado anteriormente.

Se a guia do navegador não tiver nenhum site visualizado anteriormente, Cancelar não estarádisponível.

• Continuar prossegue para o site.

• Bloquear - Controle da Webexibe uma mensagem indicando que o site está bloqueado e evita queusuários acessem o site.

OK retorna ao site navegado anteriormente.

Se a guia do navegador não tiver nenhum site visualizado anteriormente, OK não estará disponível.

Se as ações de classificação de downloads de um site estiverem definidas como:

• Avisar - Controle da WebControle da Web mostra um alerta para notificar o usuário de potenciaisperigos associados ao download do arquivo.

• Bloquear impede o download e retorna ao site.

• Continuar permite o download.

5 Usar o Controle da WebSobre os recursos do Controle da Web


• Bloquear - Controle da Web exibe uma mensagem indicando que o site está bloqueado e impede odownload.

OK retorna ao site.

O botão do Controle da Web identifica ameaças durante anavegaçãoAo navegar para um site, é exibido um botão com código de cores no navegador. A cordo botão corresponde à classificação de segurança do site.

A classificação de segurança se aplica somente às URLs de protocolo HTTP e HTTPS.

Internet Explorere Safari (Mac)

Firefox eChrome

Descrição

Este site é testado diariamente e certificado como seguropelo McAfee SECURE™. (apenas Windows)

Este site é seguro.

Este site pode ter problemas.

Este site tem problemas graves.

Não há classificação disponível para este site.Este botão aparece para o FILE (file://) URLs de protocolo.

Ocorreu um erro de comunicação com o servidor McAfee GTIque contém informações sobre classificações.

O Controle da Web não consultou o McAfee GTI a respeitodeste site, indicando que o site seja interno ou esteja emuma faixa de endereços IP privada.

O site é de phishing.

Phishing é uma tentativa de adquirir informaçõesconfidenciais como nomes de usuário, senhas e detalhes decartão de crédito. Os sites de phishing se passam porentidades confiáveis em uma comunicação eletrônica.

Uma configuração ativa este site.

Uma configuração desativou o Controle da Web.

A localização do botão depende do navegador:

• Internet Explorer - Barra de ferramentas do Controle da Web

• Firefox - Canto direito da barra de ferramentas do Firefox

• Chrome - Barra de endereço

Consulte também Ver informações sobre um site enquanto navega na página 163

Usar o Controle da WebSobre os recursos do Controle da Web 5


Os ícones de segurança identificam ameaças durante apesquisaQuando os usuários digitam palavras-chave em um mecanismo de pesquisa popular como Google,Yahoo, Bing ou Ask, ícones de segurança são exibidos junto aos sites na página de resultados dapesquisa. A cor do botão corresponde à classificação de segurança do site.

Os testes não revelaram nenhum problema importante.

Testes revelaram alguns problemas que talvez você precise saber. Por exemplo, o site tentoualterar os padrões do navegador dos testadores, exibiu pop-ups ou enviou-lhes uma quantidadesignificativa de e-mails não spam.

Testes revelaram alguns problemas que talvez você precise considerar cuidadosamente antes deacessar este site. Por exemplo, o site enviou muitos emails de spam aos verificadores ou incluiuadware no download.

Uma configuração de bloqueou este site.

Este site está sem classificação.

Consulte também Exibir relatório de site durante a pesquisa na página 163

Os relatórios do site apresentam detalhesVocê podem exibir o relatório do site de um site para obter detalhes sobre ameaças específicas.

Os relatórios de sites são entregues pelo servidor de classificações do McAfee GTI e oferecem asinformações a seguir.

Este item... Indica...

Visão geral Classificação geral do site, determinada a partir desses testes:• Avaliação das práticas de e-mail e download de um site usando técnicas próprias de

coleta e análise de dados.

• Exame do site em si, para verificar se ele adota práticas incômodas, como excessode pop-ups ou solicitações para que você mude sua página inicial.

• Análise das afiliações online do site para saber se ele está associado a outros sitessuspeitos.

• Combinação da análise do McAfee de sites suspeitos com os comentários de nossosserviços de Threat Intelligence.

FiliaçõesOn-line

Quão agressivamente o site tenta te levar para outros sites que o McAfee classificoucomo vermelho.Os sites suspeitos com frequência se associam a outros sites suspeitos. O objetivoprimário de sites alimentadores é fazer com que você visite o site suspeito. Um sitepode ser sinalizado com a classificação vermelha se, por exemplo, contiver grandequantidade de links para outros sites com a classificação vermelha. Nesse caso. oControle da Web considera o site com classificação vermelha por associação.

5 Usar o Controle da WebSobre os recursos do Controle da Web


Este item... Indica...

Testes despams naweb

Classificação geral das práticas de e-mail de um site, com base nos resultados dostestes.A McAfee classifica os sites com base na quantidade de e-mails recebidos apósinserirmos um endereço no site e também se esses e-mails se parecem com spam. Seuma dessas medidas ficar acima do que consideramos aceitável, a McAfee classifica osite como amarelo. Se ambas as medidas forem altas, ou uma delas for especialmentegrave, a McAfee classifica o site como vermelho.

Testes dedownload

Classificação geral do impacto sofrido por nosso computador de teste em decorrênciade um software obtido por download em um site com base nos resultados do teste.A McAfee atribui sinalizadores vermelhos a sites que têm downloads infectados porvírus ou que adicionam software não relacionado que muitas pessoas considerariamadware ou spyware. A classificação também registra os servidores de rede que umprograma obtido por download contata durante a operação, bem como quaisquermodificações nas configurações do navegador ou arquivos de registro do computador.

Consulte também Exibir relatório de site durante a pesquisa na página 163Ver informações sobre um site enquanto navega na página 163

Como as classificações de segurança são compiladasUma eqipe do McAfee desenvolve classificações de segurança ao testar critérios para cada site eavaliar os resultados para detectar ameaças comuns.

Os testes automáticos compilam as classificações de segurança para um site através de:

• Download de arquivos para verificar a existência de vírus e programas potencialmente indesejadosjunto com o download.

• Envio de informações de contato nos formulários de inscrição e verificação dos resultados de spamou alto volume de e-mails não spam enviados pelo site ou seus afiliados.

• Verificação de janelas pop-up em excesso.

• Verificação de tentativas do site de explorar as vulnerabilidades do navegador.

• Verificação de práticas fraudulentas ou enganadoras aplicadas por um site.

A equipe compila os resultados dos testes em um relatório de segurança, que também pode incluir:

• Comentários enviados por proprietários de sites, que podem incluir descrições de precauções desegurança usadas pelo site ou respostas aos comentários dos usuários sobre o site.

• Comentários enviados por usuários de sites, que podem incluir relatórios de fraudes de phishing ouexperiências ruins de compras.

• Mais análises pelos especialistas do McAfee.

O servidor do McAfee GTI armazena as classificações de sites e relatórios.

Usar o Controle da WebSobre os recursos do Controle da Web 5


Acessar recursos do Controle da WebAcesse recursos do Controle da Web pelo navegador.

Tarefas• Ativar o plug-in de Controle da Web usando o navegador na página 162

Em alguns navegadores, você deve ativar o plug-in do Controle da Web manualmente paraser notificado sobre ameaças baseadas na Web durante a navegação e busca.

• Ver informações sobre um site enquanto navega na página 163Use o botão do Controle da Web no navegador para exibir informações sobre um site. Obotão funciona de forma diferente dependendo do navegador.

• Exibir relatório de site durante a pesquisa na página 163Use o ícone de segurança da página de resultados da pesquisa para exibir maisinformações sobre o site.

Ativar o plug-in de Controle da Web usando o navegadorEm alguns navegadores, você deve ativar o plug-in do Controle da Web manualmente para sernotificado sobre ameaças baseadas na Web durante a navegação e busca.

Antes de iniciarO módulo de Controle da Web deve estar ativado.

Quando você inicia o Internet Explorer ou o Chrome pela primeira vez, será solicitado que você ativeos plug-ins. O plug-in do Controle da Web é ativado por padrão no Firefox.


• No prompt, clique no botão para ativar o plug-in.

InternetExplorer

• Clique em Ativar.

• Se mais de um plug-in estiver disponível, clique emEscolher complementos e, emseguida, clique em Ativar para acessar a barra de ferramentas do Controle daWeb.

Chrome Clique em Ativar extensão.

Firefox • Clique em Complementos | Extensões.

• Clique em Ativar para ativar a extensão Controle da Web do Endpoint Security.

• Reinicie o Firefox.

No Internet Explorer, se você desativar a barra de ferramentas do Controle da Web, será solicitadoque também desative o plug-in do Controle da Web. Em sistemas gerenciados, se as configuraçõesde política impedirem que o plug-in seja desinstalado ou desativado, o Controle da Webpermanecerá ativado mesmo que a barra de ferramentas não esteja visível.

5 Usar o Controle da WebAcessar recursos do Controle da Web


Ver informações sobre um site enquanto navegaUse o botão do Controle da Web no navegador para exibir informações sobre um site. O botãofunciona de forma diferente dependendo do navegador.

Antes de iniciar• O módulo de Controle da Web deve estar ativado.

• O plug-in do Controle da Web deve ser ativado no navegador.

• A opção Ocultar a barra de ferramentas no navegador do cliente nas configurações Opções deve estardesativada.

Quando o Internet Explorer estiver em modo de tela cheia, a barra de ferramentas do Controle da Webnão será exibida.

Para exibir o menu do Controle da Web:

Internet Explorer e FirefoxClique no botão na barra de ferramentas.

Chrome Clique no botão na barra de endereço.

Tarefa1 Mantenha o cursor sobre o botão na barra de ferramentas do Controle da Web para exibir um balão

que resume a classificação de segurança do site.

(somente Internet Explorer e Firefox)

2 Exibir o relatório detalhado do site, incluindo mais informações sobre a sua classificação desegurança:

• Clique no botão do Controle da Web.

• Selecione Exibir relatório de site no menu Controle da Web.

• Clique no link Exibir relatório de site no balão do site. (somente Internet Explorer e Firefox)

Consulte também O botão do Controle da Web identifica ameaças durante a navegação na página 159Os relatórios do site apresentam detalhes na página 160

Exibir relatório de site durante a pesquisaUse o ícone de segurança da página de resultados da pesquisa para exibir mais informações sobre osite.

Tarefa1 Coloque o cursor sobre o ícone de segurança. O texto do balão exibe um resumo do relatório de

segurança do site.

2 Clique em Ler relatório de site (no balão) para abrir um relatório de segurança detalhado do site emoutra janela do navegador.

Consulte também Os ícones de segurança identificam ameaças durante a pesquisa na página 160Os relatórios do site apresentam detalhes na página 160

Usar o Controle da WebAcessar recursos do Controle da Web 5


Gerenciamento do Controle da WebComo administrador, você pode especificar as configurações do Controle da Web para ativar epersonalizar a proteção, bloquear com base em categorias da Web e configurar o registro.


Configurar opções de Controle da WebÉ possível ativar o Controle da Web e configurar opções usando o Cliente do Endpoint Security.




2 Clique em Controle da Web na página Status principal.

Ou, no menu Ação , selecione Configurações e clique em Controle da Web na página Configurações.



5 Usar o Controle da WebGerenciamento do Controle da Web


5 Selecione Ativar Controle da Web para tornar o Controle da Web ativo e modificar suas opções.

Para... Faça isso... Notas

Oculte a barra deferramentas do Controleda Web no navegadorsem desativar aproteção.

Selecione Ocultar a barra deferramentas no navegador do cliente.

Rastrear eventos donavegador para usarnos relatórios.

Configure as definições naseção Relatório de eventos.

Configure os eventos do Controle daWeb enviados dos sistemas clientespara o servidor de gerenciamento paraserem usados em consultas erelatórios.

Bloquear ou avisar arespeito de URLsdesconhecidos.

Em Imposição de ação, selecione aação (Bloquear, Permitir ou Avisar)para os sites que ainda nãoforam classificados peloMcAfee GTI.

Fazer a varredura dearquivos antes dodownload.

Em Imposição de ação, selecioneAtivar varredura de arquivos emdownloads de arquivos e, emseguida, selecione o nível derisco do McAfee GTI parabloquear.

Adicionar sites externosà rede privada local.

Em Imposição de ação, sobEspecificar intervalos e endereços IPadicionais para permitir, clique emAdicionar e insira um intervaloou endereço IP externo.

Bloquear a exibição desites arriscados nosresultados da pesquisa.

Em Pesquisa segura, selecioneAtivar pesquisa segura, selecione omecanismo de pesquisa eespecifique se os links dossites perigosos deverão serbloqueados.

A Pesquisa Segura filtraautomaticamente os sites maliciososnos resultados da pesquisa com baseem suas classificações de segurança. OControle da Web utiliza o Yahoo comomecanismo de pesquisa padrão e dásuporte à Pesquisa segura apenas noInternet Explorer.Caso altere o mecanismo de pesquisapadrão, reinicie o navegador para queas alterações tenham efeito.

Na próxima vez em que o usuário abriro Internet Explorer, o Controle da Webexibirá um pop-up solicitando que ousuário mude para a Pesquisa segurada McAfee com o mecanismo depesquisa especificado. Para as versõesdo Internet Explorer nas quais omecanismo de pesquisa estábloqueado, o pop-up de Pesquisasegura não é exibido.

6 Configure outras opções conforme necessário.


Consulte também Como os downloads de arquivos são analisados na página 166Entrar como administrador na página 27

Usar o Controle da WebGerenciamento do Controle da Web 5


Como os downloads de arquivos são analisadosO Controle da Web envia solicitações de download de arquivo à Prevenção contra ameaças paravarredura antes de executar o download.

Como funciona o McAfee GTISe você ativar o McAfee GTI para o mecanismo de varredura ao acessar ou por solicitação, omecanismo de varredura utilizará a heurística para verificar arquivos suspeitos. O servidor McAfee GTIarmazena classificações de sites e relatórios para o Controle da Web. Se você configurar o Controle da

5 Usar o Controle da WebGerenciamento do Controle da Web


Web para varrer arquivos obtidos por download, o mecanismo de varredura usará a reputação dearquivos do McAfee GTI para verificar se há arquivos suspeitos.






Especificar ações de classificação e bloqueio de acesso a sitescom base na categoria da Web Configure as configurações de política de para especificar as ações a serem aplicadas em sites earquivos de download, com base nas classificações de segurança. Opcionalmente, especifique parabloquear o permitir sites em cada categoria da Web.


Use as configurações de Mensagem de imposição para personalizar a mensagem que será exibida parasites e downloads de arquivos bloqueados ou com avisos e para páginas de phishing bloqueadas.



2 Clique em Controle da Web na página Status principal.

Ou, no menu Ação , selecione Configurações e clique em Controle da Web na página Configurações.


4 Clique em Ações de Conteúdo.

5 Na seção Bloqueio de Categoria da Web, para cada Categoria da Web, ative ou desative a opção Bloquear.

Para sites nas categorias não bloqueadas, o Controle da Web também aplica as ações declassificação.

Usar o Controle da WebGerenciamento do Controle da Web 5


6 Na seção Ações de classificação, especifique as ações a serem aplicadas a qualquer site e arquivos dedownload, com base nas classificações de segurança definidas pelo McAfee.

Estas ações também se aplicam a sites que não foram bloqueados pelo bloqueio por categoria daweb.


Consulte também Utilizando categorias da web para controlar acesso na página 168Uso de classificações de segurança para controlar o acesso na página 168Entrar como administrador na página 27

Utilizando categorias da web para controlar acessoAs categorias da web permitem que você tenham controle do acesso a sites, com base nas categoriasque a McAfee definir. Você pode especificar opções para permitir ou bloquear acesso a sites, com basena categoria do conteúdo contido neles.

Ao ativar o bloqueio da categoria da Web nas configurações de de Ações de conteúdo, o softwarebloqueia ou permite as categorias dos sites. Estas categorias da Web incluem Jogos de azar, Jogos eMensagens instantâneas. A McAfee define e mantém uma lista de aproximadamente 105 categorias daWeb.

Quando um cliente usuário acessa um site, o software verifica a categoria da web para aquele site. Seo site faz parte de uma categoria definida, o acesso é permitido ou bloqueado, com base nasconfigurações da política de . Para sites e arquivos baixados nas categorias não bloqueadas, osoftware aplica as Ações de Classificação específicas.

Uso de classificações de segurança para controlar o acessoConfigure ações com base em classificações de segurança para determinar se os usuários podemacessar um site ou recursos em um site.

Especifique se cada site ou download de arquivo será permitido, avisado ou bloqueado com base naclassificação. Essa configuração possibilita um maior nível de granularidade na proteção dos usuárioscontra arquivos que possam representar uma ameaça em sites com classificação geral de cor verde.

Referência da interface do cliente — Controle da WebOs tópicos de ajuda da referência da interface fornecem ajuda contextual para as páginas da interfacedo cliente.

Conteúdo Controle da Web — Opções Controle da Web — Ações de conteúdo

Controle da Web — OpçõesDefina as configurações gerais doControle da Web, incluindo a ativação, a especificação da imposiçãode ações, pesquisa segura e anotações de e-mail.


5 Usar o Controle da WebReferência da interface do cliente — Controle da Web


Tabela 5-1 Opções


OPÇÕES Ativar Controle da Web Desativa ou ativa o Controle da Web. (Ativado por padrão)

Ocultar a barra deferramentas no navegadordo cliente

Oculta a barra de ferramentas do Controle da Web no navegadorsem desativar suas funções. (Desativado por padrão)

Log deeventos

Registrar categorias daweb para sitesclassificados como verde

Registrar categorias de conteúdo para todos os sites classificadoscomo verde.Ativar esta categoria pode afetar negativamente a performance doservidor McAfee ePO.

Registrar em log oseventos do iFrame doControle da Web

Registra em log quando os sites maliciosos (vermelho) e com aviso(amarelo) exibidos em um iframe HTML são bloqueados.

Imposição deação

Aplique esta ação parasites que ainda não foramverificados pelo McAfeeGTI

Especifica a ação padrão a ser aplicada a sites que o McAfee GTIainda não classificou.• Permitir (Padrão) - Permite que os usuários acessem o site.

• Avisar - Exibe um aviso para notificar os usuários de possíveisperigos associados ao site. Os usuários devem descartar o avisoantes de continuar.

• Bloquear - Impede que o usuário acesse o site e exibe umamensagem informando que o download do site está bloqueado.

Ativar suporte paraiFrames HTML

Bloqueia o acesso a sites maliciosos (Vermelho) e com aviso(Amarelo) que aparecem em um iframe HTML. (Ativado porpadrão)

Bloquear sites por padrãose o servidor declassificações do McAfeeGTI não estiver acessível

Bloqueia o acesso a sites por padrão se o Controle da Web nãopuder acessar o servidor McAfee GTI.

Bloquear páginas dephishing para todos ossites

Bloqueia todas as páginas de phishing, substituindo as ações declassificação de conteúdo. (Ativado por padrão)

Ativar varredura dearquivos em downloadsde arquivos

Varre todos os arquivos (.zip, .exe, .ecx, .cab, .msi, .rar, .scre .com) antes de fazer download. (Ativado por padrão)Essa opção impede que os usuários acessem um arquivo dedownload até que o Controle da Web e a Prevenção contraameaças marquem o arquivo como limpo.

O Controle da Web realiza uma pesquisa de McAfee GTI no arquivo.Se o McAfee GTI permitir o arquivo, o Controle da Web enviará oarquivo para a Prevenção contra ameaçaspara efetuar umavarredura. Se um arquivo transferido por download for detectadocomo uma ameaça, o Endpoint Security age no arquivo e alerta ousuário.

Nível de sensibilidade doMcAfee GTI

Especifica o nível de sensibilidade do McAfee GTI que o Controle daWeb usa em downloads de arquivos.

Usar o Controle da WebReferência da interface do cliente — Controle da Web 5




Exclusões Especificar endereços IPou intervalos a seremexcluídos da classificaçãoou do bloqueio doControle da Web

Adiciona endereços IP e intervalos especificados à rede privadalocal, os excluindo da classificação ou do bloqueio.Os endereços IP privados são excluídos por padrão.

Prática recomendada: usar esta opção para tratar sitesexternos como se eles pertencessem à rede local.

• Adicionar — Adiciona um endereço IP à lista de endereços privadosna rede local.


• Excluir — Exclui um endereço IP da lista de endereços privados narede local.

Pesquisasegura

Ativar a pesquisa segura Ativa a pesquisa segura, bloqueando automaticamente sitesmaliciosos no resultado da pesquisa com base nas suasclassificações de segurança.

Defina o mecanismo depesquisa padrão nosnavegadores compatíveis

Especifica o mecanismo de pesquisa padrão a usar nosnavegadores compatíveis:• Yahoo

• Google

• Bing

• Ask

Bloquear links para sitesarriscados nos resultadosde pesquisas

Impede que os usuários cliquem em links para sites arriscados nosresultados de pesquisa.



Anotações de e-mail Ativar anotações em e-mail nonavegador

Anota URLs em clientes de e-mail com base nonavegador, como o Yahoo Mail e o Gmail.

Ativar anotações em e-mail fora donavegador

Anota URLs em ferramentas de gerenciamento dee-mail de 32 bits, como o Microsoft Outlook ou oOutlook Express.

Consulte também Configurar opções de Controle da Web na página 164Como os downloads de arquivos são analisados na página 166McAfee GTI na página 120

Controle da Web — Ações de conteúdoDefina as ações a serem tomadas para sites classificados e categorias de conteúdo da Web.

Para sites e downloads de arquivos nas categorias desbloqueadas, o Controle da Web se aplica àsações de classificação.



Tabela 5-4 Opções


Ações declassificação

Ações declassificaçãopara sites

Especifica ações para sites classificados como vermelhos, amarelos ousem classificação.Sites e downloads classificados como verde são permitidosautomaticamente.

• Permitir - Permite que os usuários acessem o site.(Padrão para sites Não classificados)

• Avisar - Exibe um aviso para notificar os usuários de possíveis perigosassociados ao site.Os usuários devem clicar em Cancelar para voltar ao site visualizadoanteriormente ou em Continuar para ir para o site.

Se a guia do navegador não tiver nenhum site visualizadoanteriormente, Cancelar não está disponível.

(Padrão para sites marcados como Amarelo)

• Bloquear - Impede que os usuários acessem o site e exibe umamensagem de que o site está bloqueado.Os usuários devem clicar em OK para voltar ao site visualizadoanteriormente.

Se a guia do navegador não tiver nenhum site visualizadoanteriormente, OK não está disponível.

(Padrão para sites marcados como Vermelho)

Ações declassificaçãopara downloadsde arquivos

Especifica ações para downloads de arquivos classificados com nível derisco vermelho ou amarelo ou sem classificação.Essas Ações de classificação são aplicáveis somente quando a opçãoAtivar varredura de arquivos em downloads de arquivos estiver ativada nasconfigurações de Opções.

• Permitir — Permite que os usuários prossigam com o download.(Padrão para sites Não classificados)

• Avisar - Exibe um aviso para notificar os usuários dos possíveis perigosassociados ao download do arquivo. O usuário deve dispensar o avisopara terminar ou proceder com o download.(Padrão para sites marcados como Amarelo)

• Bloquear - Exibe uma mensagem avisando que o download estábloqueado e impede os usuários de fazerem download do arquivo.(Padrão para sites marcados como Vermelho)

Use as configurações em Mensagem de imposição para personalizar amensagem.



Bloqueio de categoria Web Permitir o bloqueio de categoriaWeb

Ativa o bloqueio de sites com base na categoria deconteúdo.

Bloquear Impede que os usuários acessem qualquer sitenessa categoria e exibe uma mensagem de que osite está bloqueado.

Categoria da Web Lista as categorias da Web.

Usar o Controle da WebReferência da interface do cliente — Controle da Web 5


Consulte também Especificar ações de classificação e bloqueio de acesso a sites com base na categoria da Webna página 167Uso de classificações de segurança para controlar o acesso na página 168Utilizando categorias da web para controlar acesso na página 168



6 Usar o Inteligência contra ameaças

Inteligência contra ameaças fornece segurança adaptativa com reconhecimento do contexto para seuambiente de rede.

A Inteligência contra ameaças do Endpoint Security é um módulo opcional do Endpoint Security. Parater fontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor ThreatIntelligence Exchange. Para obter informações, entre em contato com seu revendedor ourepresentante de vendas.


Conteúdo Como o Inteligência contra ameaças funciona Gerenciamento do Inteligência contra ameaças Referência da interface do cliente — Inteligência contra ameaças

Como o Inteligência contra ameaças funcionaO Inteligência contra ameaças usa a estrutura do Data Exchange Layer para compartilhar informaçõessobre ameaças e arquivos instantaneamente em toda a rede.

Antes, você enviava um certificado ou arquivo desconhecido para a McAfee analisar e, dias depois,atualizava as informações do arquivo em toda a rede. O Inteligência contra ameaças permite que areputação de arquivos seja controlada localmente, no seu ambiente. Você decide quais arquivos podeexecutar e quais são bloqueados, e o Data Exchange Layer compartilha as informações imediatamentecom todo o seu ambiente.

Cenários para uso do Inteligência contra ameaças• Bloquear um arquivo imediatamente — O Inteligência contra ameaças alerta o administrador

de rede sobre um arquivo desconhecido no ambiente. Em vez de enviar as informações do arquivopara a McAfee analisar, o administrador bloqueia o arquivo imediatamente. O administrador, então,poderá usar a Inteligência contra ameaças para saber se o arquivo é uma ameaça e quantossistemas executaram o arquivo.

• Permitir a execução de um arquivo personalizado — Uma empresa usa um arquivo cujareputação padrão é suspeita ou maliciosa, por exemplo, um arquivo personalizado criado para aempresa. Como o arquivo é permitido, em vez de enviar as informações sobre o arquivo para aMcAfee e receber um arquivo DAT atualizado, o administrador pode alterar a reputação do arquivopara confiável e permitir sua execução sem nenhum tipo de aviso ou solicitação.

• Permitir a execução de um arquivo em um contêiner — Quando uma empresa usa pelaprimeira vez um arquivo cuja reputação é desconhecida, o administrador pode especificar que eleseja executado em um contêiner. Nesse caso, o administrador configura as regras de confinamentona categoria Confinamento dinâmico de aplicativos. As regras de confinamento definem quaisações o aplicativo confinado tem permissão para executar.

6


Gerenciamento do Inteligência contra ameaçasComo administrador, é possível especificar as configuração do Inteligência contra ameaças, comoselecionar grupos de regra e configurar limites de reputação.

As alterações de políticas no McAfee ePO podem sobrescrever as alterações na página Configurações.


Sobre a Inteligência contra ameaçasA Inteligência contra ameaças fornece um ecossistema de segurança que permite a comunicaçãoinstantânea entre sistemas e dispositivos em seu ambiente. Essa comunicação é possibilitada pelaestrutura do Data Exchange Layer.

Você poderá ver o sistema específico em que uma ameaça foi detectada pela primeira vez, para ondeela foi em seguida e detê-la imediatamente.

A Inteligência contra ameaças oferece estes benefícios:

• Rápida detecção e proteção contra ameaças de segurança e malware.

• A capacidade de saber quais sistemas ou dispositivos estão comprometidos e como a ameaça seespalhou pelo seu ambiente.

• Capacidade de imediatamente bloquear, permitir ou confinar certificados e arquivos específicos combase em suas respectivas reputações de ameaça e seus critérios de risco.

• A integração em tempo real com o McAfee® Advanced Threat Defense e com o McAfee GTI parafornecer dados e avaliação detalhados sobre a classificação de malware. Essa integração permiteque você responda a ameaças e compartilhe as informações em todo o seu ambiente.


Componentes da Inteligência contra ameaçasA Inteligência contra ameaças inclui os componentes a seguir.

• Um módulo do Endpoint Security que permite criar políticas de bloqueio, permissão e confinamentode um arquivo ou certificado com base em sua reputação.

• Um servidor que armazena informações sobre reputações de arquivos e certificados e, depois,transmite essas informações para outros sistemas.

• Agentes do Data Exchange Layer que permitem a comunicação bidirecional entre sistemasgerenciados em uma rede.

Esses componentes são instalados como extensões do McAfee®

ePolicy Orchestrator®

(McAfee ePO™

) eadicionam vários relatórios e recursos novos.

6 Usar o Inteligência contra ameaçasGerenciamento do Inteligência contra ameaças


O módulo e o servidor transmitem informações de reputação de arquivos. A estrutura do DataExchange Layer transmite essas informações imediatamente para terminais gerenciados. Além disso,compartilha informações com outros produtos da McAfee que acessam o Data Exchange Layer, como oMcAfee

®

Enterprise Security Manager (McAfee ESM) e o McAfee®

Network Security Platform.

cliente do Inteligência contra ameaçasO módulo do Inteligência contra ameaças permite determinar o que acontece quando um arquivo comuma reputação desconhecida ou maliciosa é detectado no ambiente. Você também pode exibirinformações do histórico de ameaças e ações realizadas.

Você pode realizar essas tarefas usando o do cliente do Inteligência contra ameaças.

O cliente usa as regras para determinar as ações com base em vários pontos de dado, comoreputação, inteligência local e informações contextuais. Você pode atualizar as regras de formaindependente.

• Criar políticas para:

• Permitir, bloquear, limpar ou confinar arquivos conforme sua reputação.

• Receber um aviso toda vez que um arquivo ou certificado com uma determinada reputaçãotentar ser executado.

• Enviar arquivos para o Advanced Threat Defense automaticamente para uma avaliaçãodetalhada.

Usar o Inteligência contra ameaçasGerenciamento do Inteligência contra ameaças 6


• Exibir eventos nos dashboards do Inteligência contra ameaças. Você pode exibir eventospermitidos, bloqueados, limpos e restritos nos últimos 30 dias ou por tipo de evento.

Servidor Inteligência contra ameaçasExchangeO servidor que armazena informações sobre reputações de arquivo e certificado e depois transmiteessas informações para outros sistemas do seu ambiente.

Para obter informações sobre o servidor, consulte o Guia de Produto do Inteligência contra ameaçasExchange.

Combinando servidores TIE e bancos de dados

Se já tiver servidores TIE e bancos de dados gerenciados por sistemas do McAfee ePO diferentes, vocêpoderá combiná-los para compartilhar informações de reputação. Para obter detalhes sobre acombinação de servidores TIE e bancos de dados, consulte o Guia de produto do McAfee DataExchange Layer e o artigo da Base de dados de conhecimento KB83896.

Data Exchange Layer O Data Exchange Layer inclui software cliente e negociadores que permitem comunicação bidirecionalentre terminais de uma rede.

O Data Exchange Layer trabalha em segundo plano, comunicando-se com serviços, bancos de dados,terminais e aplicativos. O cliente do Data Exchange Layer é instalado em cada terminal gerenciadopara que as informações sobre ameaças de produtos de segurança que usam o DXL possam sercompartilhadas imediatamente com todos os outros serviços e dispositivos. O compartilhamento deinformações de reputação assim que são disponibilizadas reduz as suposições de segurança feitas poraplicativos e serviços entre si quando trocam informações. Essas informações compartilhadas reduzemo espalhamento de ameaças.

Consulte o Guia do produto do McAfee Data Exchange Layer para obter detalhes sobre a instalação euso do Data Exchange Layer.

Como é determinada uma reputaçãoA reputação de um arquivo e certificado é determinada quando um arquivo tenta ser executado emum sistema gerenciado.

Estas são as etapas para a determinação da reputação de um arquivo ou certificado.

1 Um usuário ou sistema tenta executar um arquivo.

2 O Endpoint Security inspeciona o arquivo e não consegue determinar sua validade e sua reputação.

3 O módulo Inteligência contra ameaças inspeciona o arquivo e reúne propriedades de interesse dosistema local e do arquivo.

4 O módulo verifica o hash do arquivo no cache de reputação local. Se o hash do arquivo forencontrado, o módulo obterá os dados de reputação e predomínio da empresa do arquivo usando ocache.

5 Se o arquivo hash não for encontrado no cache de reputação local, o módulo consultará o TIEServer. Se o hash for encontrado, o módulo obterá os dados de predomínio da empresa (e todas asreputações disponíveis) do hash do arquivo.

6 Se o hash do arquivo não for encontrado no servidor TIE ou no banco de dados, o servidorconsultará o McAfee GTI quanto à reputação de hash do arquivo. O McAfee GTI envia asinformações disponíveis, por exemplo, "desconhecido" ou "malicioso", e o servidor armazena essasinformações.




O servidor envia o arquivo para varredura se uma das seguintes afirmações for verdadeira:

• O Advanced Threat Defense fica disponível ou ativado como fornecedor de reputação. O servidoranalisa localmente se a reputação do Advanced Threat Defense está presente. Se não estiver,ele marcará o arquivo como candidato para envio.

• A política do terminal é configurada para enviar o arquivo para Advanced Threat Defense.

Consulte as etapas adicionais em Se o Advanced Threat Defense estiver presente.

7 O servidor retorna a reputação, os dados de predomínio, o período da empresa do Hash do arquivoao módulo baseado nos dados que foram encontrados. Se o arquivo for novo no ambiente, oservidor também enviará um sinalizador de primeira instância para o módulo do Inteligência contraameaças. Quando o McAfee Web Gateway está presente e envia uma pontuação de reputação, oInteligência contra ameaças retorna a reputação do arquivo.

8 O módulo avalia seus metadados para determinar a reputação do arquivo:

• Propriedades do sistema e do arquivo

• Dados de predomínio e período da empresa

• Reputação

9 O módulo atua de acordo com a política atribuída ao sistema que estiver com o arquivo emexecução.

10 O módulo atualiza o servidor com as informações de reputação e se o arquivo foi bloqueado,permitido ou confinado. Ele também envia eventos de ameaça ao McAfee ePO por meio do McAfeeAgent.

11 O servidor publica o evento de alteração da reputação para o hash do arquivo.

Se o Advanced Threat Defense estiver presenteSe o Advanced Threat Defense estiver presente, ocorrerá o processo a seguir.

1 Se o sistema for configurado para enviar arquivos par ao Advanced Threat Defense, e o arquivo fornovo no ambiente, o sistema envia o arquivo para o servidor do TIE. O servidor TIE, em seguida, oenvia para o Advanced Threat Defense para varredura.

2 O Advanced Threat Defense varrerá o arquivo e enviará os resultados de reputação de arquivospara o servidor TIE usando o Data Exchange Layer. O servidor também atualizará o banco dedados e enviará as informações de reputação atualizadas para todos os sistemas compatíveis como Inteligência contra ameaças para proteger o seu ambiente imediatamente. O Inteligência contraameaças ou qualquer outro produto da McAfee pode iniciar esse processo. Em ambos os casos, oInteligência contra ameaças processa a reputação e salva-a no banco de dados.

Para obter informações sobre como o Advanced Threat Defense é integrado ao Inteligência contraameaças, consulte o Guia de produto do McAfee Advanced Threat Defense.

Se o McAfee Web Gateway estiver presenteSe o McAfee Web Gateway estiver presente, ocorrerá o processo a seguir.

• Ao fazer download dos arquivos, o McAfee Web Gateway envia um relatório ao servidor TIE, quesalva a pontuação de reputação no banco de dados. Quando o servidor recebe uma solicitação dereputação de arquivos do módulo, ele retorna a reputação recebida do McAfee Web Gateway e deoutros provedores de reputação também.

Para obter informações sobre como o McAfee Web Gateway troca informações usando um servidorTIE, consulte o capítulo sobre proxies no Guia de produto do McAfee Web Gateway.



Quando o cache é removido?

• Todo o cache do Inteligência contra ameaças é removido quando a configuração das regras éalterada:

• O estado de uma ou mais regras foi alterado, por exemplo, de ativado para desativado.

• O conjunto de regras foi alterado, por exemplo, de Equilibrado para Segurança.

• Um arquivo individual ou um cache de certificado é removido quando:

• O cache tem mais de 30 dias.

• O arquivo foi alterado no disco.

• O TIE Server publica um evento de alteração de reputação.

Na próxima vez que o Inteligência contra ameaças receber um aviso sobre o arquivo, a reputaçãoserá recalculada.

IntroduçãoApós instalar o Inteligência contra ameaças, o que você deve fazer?

Para começar a usar o Inteligência contra ameaças, faça o seguinte:

1 Crie políticas do Inteligência contra ameaças para determinar o que é bloqueado, permitido ourestrito. Depois, execute o Inteligência contra ameaças em modo de Observação para criarpredomínio de arquivo e observe o que o Inteligência contra ameaças detecta no seu ambiente. Opredomínio de arquivo indica a frequência com que um arquivo é visto no seu ambiente.

2 Monitore e ajuste as políticas ou as reputações de certificado ou arquivo individual para controlar oque é permitido em seu ambiente.

Criação de predomínio e observação de arquivoApós a instalação e distribuição, comece a criar informações de ameaças atuais e predomínio dearquivo.

Você pode ver o que está em execução no seu ambiente e adicionar informações de reputação decertificados e arquivos ao banco de dados do TIE. Essas informações também preenchem os gráficos edashboards disponíveis no módulo em que são exibidas informações de reputação detalhadas sobrearquivos e certificados.

Para começar, crie uma ou mais políticas do Inteligência contra ameaças para serem executadas emalguns sistemas do seu ambiente. As políticas determinam:

• Quando um arquivo ou certificado com uma reputação específica tem permissão para serexecutado em um sistema

• Quando um arquivo ou certificado é bloqueado

• Quando um aplicativo é confinado

• Quando o usuário é questionado sobre o que fazer

• Quando um arquivo é enviado ao Advanced Threat Defense para análise mais detalhada

Ao criar predomínio de arquivo, você poderá executar as políticas no modo de Observação. Asreputações de arquivo e certificado são adicionadas ao banco de dados, mas nenhuma ação érealizada. Você poderá observar o que a Inteligência contra ameaças irá bloquear, permitir ou confinarse a política for aplicada.



Monitoramento e ajustesConforme as políticas são executadas em seu ambiente, os dados de reputação são adicionados aobanco de dados.

Use as exibições de eventos e os dashboards do McAfee ePO para visualizar os arquivos e oscertificados bloqueados, permitidos ou confinados com base nas políticas.

Você pode exibir informações detalhadas terminal, arquivo, regra ou certificado e ver rapidamente onúmero de itens identificados e as ações realizadas. Você pode fazer busca detalhada clicando em umitem ou ajustar as configurações de reputação para certificados ou arquivos específicos para que aação apropriada seja realizada.

Por exemplo, se a reputação padrão de um arquivo for suspeito ou desconhecido, mas você souberque ele é um arquivo confiável, é possível alterar sua reputação para confiável. Em seguida, oaplicativo passa a ter permissão para executar em seu ambiente sem ser bloqueado nem solicitaralguma ação do usuário. Você pode alterar a reputação de arquivos internos ou personalizados usadosem seu ambiente.

• Use o recurso Reputações do TIE para pesquisar um nome de certificado ou arquivo específico.Você poderá exibir detalhes sobre o arquivo ou certificado, incluindo o nome da empresa, osvalores de hash SHA-1 e SHA-256, MD5, a descrição e as informações do McAfee GTI. No caso dearquivos, você também pode acessar os dados do VirusTotal diretamente na página de detalhes deReputações do TIE para ver informações adicionais.

• Use a página Dashboard de geração de relatórios para ver vários tipos de informações dereputação de uma vez. Você pode exibir o número de arquivos novos vistos no seu ambiente naúltima semana, arquivos por reputação, arquivos cuja reputação foi alterada recentemente,sistemas que executaram novos arquivos recentemente e muito mais. Para exibir informaçõesdetalhadas de um item no dashboard, clique nele.

• Se você tiver identificado um arquivo prejudicial ou suspeito, poderá ver rapidamente quaissistemas executaram o arquivo e podem estar comprometidos.

• Altere a reputação de um arquivo ou certificado conforme o necessário para o seu ambiente. Asinformações serão atualizadas imediatamente no banco de dados e enviadas para todos osdispositivos do seu ambiente. Os arquivos e certificados são bloqueados, permitidos ou restritos deacordo com sua reputação.Se não tiver certeza do que fazer com um certificado ou arquivo específico, você poderá:

• Bloqueie a execução enquanto você aprende mais sobre ele.Diferentemente da ação de Limpeza do Prevenção contra ameaças, que pode excluir o arquivo,o bloqueio mantém o arquivo no lugar, mas não permite sua execução. O arquivo permaneceintacto enquanto você pesquisa sobre ele e decide o que fazer.

• Permita a execução com restrição.O Confinamento dinâmico de aplicativos executa aplicativos com reputações específicas em umcontêiner, bloqueando as ações com base nas regras de confinamento. O aplicativo obtémpermissão para execução, mas algumas ações podem falhar, dependendo das regras deconfinamento.

• Importe reputações de certificados ou arquivos no banco de dados para permitir ou bloqueararquivos ou certificados específicos de acordo com outras origens de reputação. Isso permite quevocê use as configurações importadas para certificados e arquivos específicos sem precisardefini-las individualmente no servidor.

Envio de arquivos para análise detalhadaSe a reputação de um arquivo for desconhecida, você poderá enviá-la para o Advanced ThreatDefense para uma análise detalhada. Especifique na política do TIE quais arquivos serão enviados.



O Advanced Threat Defense detecta malware não divulgado e combina defesas de emulação emtempo real, reputação e assinaturas antivírus. Os arquivos podem ser enviados automaticamente doInteligência contra ameaças para o Advanced Threat Defense com base no nível da reputação e notamanho do arquivo. As informações de reputação de arquivos enviadas pelo Advanced ThreatDefense são adicionadas ao banco de dados do servidor TIE.

Informações de telemetria do McAfee GTI

As informações de arquivo e certificado enviadas ao McAfee GTI são usadas para que você entenda emelhore as informações de reputação. Consulte a tabela para obter detalhes sobre as informaçõesfornecidas pelo McAfee GTI quanto a arquivos e certificados, somente arquivos ou somentecertificados.

Categoria Descrição

Arquivo ecertificado

• Versões do módulo e servidor TIE

• Configurações de substituição da reputação definidas com o servidor TIE

• Informações de reputação externas, por exemplo, do Advanced Threat Defense

Somentearquivo

• Nome do arquivo, caminho, tamanho, produto, editor e predomínio

• Informações de SHA-1, SHA-256 e MD5

• Versão do sistema operacional do computador da geração de relatórios

• Reputação máxima, mínima e média definida para o arquivo

• Se o módulo de geração de relatórios está no Modo de observação

• Se o arquivo teve permissão para ser executado, foi bloqueado, confinado oulimpo

• O produto que detectou o arquivo, por exemplo, Advanced Threat Defense ouPrevenção contra ameaças

Somentecertificado

• Informações de SHA-1

• O nome do emissor do certificado e seu assunto

• As datas em que o certificado era válido e a data de expiração

A McAfee não coleta informações de identificação pessoal e não compartilha informações fora daMcAfee.

Confinamento dinâmico de aplicativosO Confinamento dinâmico de aplicativos permite que você determine que aplicativos com reputaçõesespecíficas sejam executados em um contêiner.

Com base no limite de reputação, a Inteligência contra ameaças solicita que o Confinamento dinâmicode aplicativos confine o aplicativo. Os aplicativos confinados têm permissão para executar algumasações, conforme especificado pelas regras de confinamento.

Essa tecnologia possibilita que você avalie aplicativos desconhecidos e potencialmente inseguros,permitindo que eles sejam executados em seu ambiente e, ao mesmo tempo, limitando as ações queeles podem executar. Os usuários podem usar os aplicativos, mas talvez eles não funcionem conformeo esperado se o Confinamento dinâmico de aplicativos bloquear determinadas ações. Depois dedeterminar se um aplicativo é seguro, você pode configurar a Inteligência contra ameaças do EndpointSecurity ou o TIE Server para permitir que ele seja executado normalmente.



Para usar o Confinamento dinâmico de aplicativos:

1 Ative a Inteligência contra ameaças e especifique o limite de reputação para disparar oConfinamento dinâmico de aplicativos nas configurações de Opções.

2 Defina as exclusões e as regras de confinamento definidas pela McAfee nas configurações deConfinamento dinâmico de aplicativos.

Consulte também Permissão para que aplicativos confinados sejam executados normalmente na página 183Configurar regras de confinamento definidas pela McAfee na página 184Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 183

Como funciona o Confinamento dinâmico de aplicativosA Inteligência contra ameaças usa a reputação de um aplicativo para determinar se a execução delecom restrições deve ser solicitada ao Confinamento dinâmico de aplicativos. Quando um arquivo coma reputação especificada é executado em seu ambiente, o Confinamento dinâmico de aplicativosbloqueia ou registra em log as ações não seguras, com base nas regras de confinamento.

Se várias tecnologias registradas no Confinamento dinâmico de aplicativos solicitarem o confinamentode um aplicativo, essas solicitações serão cumulativas. O aplicativo permanecerá confinado até quetodas as tecnologias o liberem. Se uma tecnologia que solicitou o confinamento for desativada ouremovida, o Confinamento dinâmico de aplicativos liberará esses aplicativos.

Fluxo de trabalho do Confinamento dinâmico de aplicativos

1 O processo começa a ser executado.

2 A Inteligência contra ameaças verifica a reputação do arquivo.

A Inteligência contra ameaças usa o TIE Server, se estiver disponível, para a reputação doaplicativo. Se o TIE Server não estiver disponível, a Inteligência contra ameaças usará o McAfeeGTI para obter informações de reputação.

3 Se a reputação do aplicativo estiver no ou abaixo do limite de reputação de confinamento daInteligência contra ameaças, a Inteligência contra ameaças notificará o Confinamento dinâmico deaplicativos informando que o processo foi iniciado e solicita confinamento.

4 O Confinamento dinâmico de aplicativos confina o processo.

Você pode visualizar eventos do Confinamento dinâmico de aplicativos no Log de eventos deameaças do McAfee ePO.

5 Se o aplicativo confinado for considerado seguro, você poderá permitir que ele seja executadonormalmente (e não confinado).



Consulte também Configurar regras de confinamento definidas pela McAfee na página 184Permissão para que aplicativos confinados sejam executados normalmente na página 183



Permissão para que aplicativos confinados sejam executados normalmenteDepois de determinar que um aplicativo confinado é seguro, você pode permitir que ele sejaexecutado normalmente em seu ambiente.

• Adicione o aplicativo à lista global de exclusões nas configurações de Confinamento dinâmico deaplicativos.

Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, independentementede quantas tecnologias tenham solicitado o confinamento.

• Configure a Inteligência contra ameaças para aumentar o limite de reputação e liberá-lo doconfinamento.

Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outratecnologia tenha solicitado o confinamento do aplicativo.

• Se o TIE Server estiver disponível, altere a reputação do arquivo para um nível que permita suaexecução, como Pode ser confiável.Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outratecnologia tenha solicitado o confinamento do aplicativo.

Consulte o McAfee Threat Intelligence Exchange Product Guide (Guia do produto do McAfee ThreatIntelligence Exchange).

Consulte também Excluir processos do Confinamento dinâmico de aplicativos na página 187

Ativar o limite do gatilho do Confinamento dinâmico de aplicativosCom a tecnologia de Confinamento dinâmico de aplicativos, você pode especificar que os aplicativoscom reputações específicas sejam executados em um contêiner, limitando as ações que eles podemexecutar. Ative a imposição de ação do Confinamento dinâmico de aplicativos e especifique o limite dereputação para o confinamento de aplicativos.




2 Clique em Inteligência contra ameaças na página Status principal.

Ou, no menu Ação , selecione Configurações e clique em Inteligência contra ameaças na páginaConfigurações.



5 Verifique se a Inteligência contra ameaças está ativada.

6 Selecione Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir.



7 Especifique o limite de reputação no qual confinar os aplicativos.

• Pode ser confiável (Padrão para o grupo de regras Segurança)

• Desconhecido (Padrão para o grupo de regras Equilibrado)

• Pode ser malicioso (Padrão para o grupo de regras Produtividade)

• Provavelmente malicioso

• Malicioso conhecido

O limite de reputação do Confinamento dinâmico de aplicativos deve ser maior que os limites debloqueio e limpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, olimite do Confinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso oumais alto.


Configurar regras de confinamento definidas pela McAfeeAs regras de confinamento definidas pela McAfee bloqueiam ou registram em log as ações que osaplicativos confinados podem executar. Você pode alterar as configurações de bloqueio e relatório,mas não pode alterar nem excluir essas regras.



1 Selecione Menu | Política | Catálogo de políticas e, em seguida, selecione Inteligência contra ameaças do EndpointSecurity na lista Produto.





5 Clique em Confinamento dinâmico de aplicativos.

6 Na seção Regras de confinamento, selecione Bloquear, Relatar ou ambos para a regra.



7 Na seção Exclusões, configure os executáveis a serem excluídos do Confinamento dinâmico deaplicativos.

Os processos na lista de exclusões são executados normalmente (e não confinados).


Consulte também Excluir processos do Confinamento dinâmico de aplicativos na página 187Regras de confinamento definidas pela McAfee na página 185



Regras de confinamento definidas pela McAfeeAs regras de confinamento definidas pela McAfee controlam as alterações que os aplicativosconfinados podem fazer no sistema.

Você pode alterar as configurações de bloqueio e relatório, mas não pode modificar nem excluir essasregras.

• Acesso a hashes de LM de senha insegura

• Acesso a locais de cookies do usuário

• Alocação de memória em outro processo

• Criação de um thread em outro processo

• Criação de arquivos em qualquer local na rede

• Criação de arquivos em CDs, disquetes e unidades removíveis

• Criação de arquivos com a extensão .bat

• Criação de arquivos com a extensão .exe

• Criação de arquivos com a extensão .html, .jpg ou .bmp

• Criação de arquivos com a extensão .job

• Criação de arquivos com a extensão .vbs

• Criação de novos CLSIDs, APPIDs e TYPELIBs

• Exclusão de arquivos comumente visados por malware da classe ransomware

• Desativação de executáveis críticos do sistema operacional

• Execução de todos os processos filho

• Modificação de entradas de Registro de DLL AppInit

• Modificação de correções de compatibilidade de aplicativos

• Modificação de arquivos críticos do Windows e de locais do Registro

• Modificação de configurações de plano de fundo do desktop

• Modificação de associações de extensão de arquivos

• Modificação de arquivos com a extensão .bat

• Modificação de arquivos com a extensão .vbs

• Modificação de entradas de Registro de opções de execução de arquivo de imagem

• Modificação de arquivos executáveis portáteis

• Modificação de configurações da proteção de tela

• Modificação de locais do Registro de inicialização

• Modificação de depurador automático

• Modificação de bit de atributo oculto

• Modificação de bit de atributo somente leitura

• Modificação do local do Registro de serviços



• Modificação da política de firewall do Windows

• Modificação da pasta de tarefas do Windows

• Modificação de políticas de usuário

• Modificação de pastas de dados de usuários

• Leitura de arquivos comumente visados por malware da classe ransomware

• Leitura da memória de outro processo

• Leitura ou modificação de arquivos em qualquer local na rede

• Leitura ou modificação de arquivos em CDs, disquetes e unidades removíveis

• Suspensão de um processo

• Término de outro processo

• Gravação na memória de outro processo

• Gravação de arquivos comumente visados por malware da classe ransomware

Gerenciar aplicativos confinados Quando o Confinamento dinâmico de aplicativos contiver um aplicativo confiável, você poderá excluí-lodo confinamento usando o Cliente do Endpoint Security. A exclusão do aplicativo o libera, o remove deAplicativos confinados e o adiciona a Exclusões, impedindo que ele seja confinado futuramente.








5 Na seção Aplicativos confinados, selecione o aplicativo e clique em Excluir.

O aplicativo é exibido na lista Exclusões. O aplicativo permanece na lista Aplicativos confinados até quevocê clique em Aplicar. Ao retornar para a página Configurações, o aplicativo será exibido apenas nalista Exclusões.




Excluir processos do Confinamento dinâmico de aplicativosSe um programa confiável estiver confinado, exclua-o criando uma exclusão do Confinamentodinâmico de aplicativos.

As exclusões criadas usando o Cliente do Endpoint Security aplicam-se apenas ao sistema cliente.Essas exclusões não são enviadas ao McAfee ePO e não são exibidas na seção Exclusões dasconfigurações de do Confinamento dinâmico de aplicativos.

Em sistemas gerenciados, crie exclusões globais nas configurações de do Confinamento dinâmico deaplicativos do McAfee ePO.







5 Na seção Exclusões, clique em Adicionar para adicionar os processos a serem excluídos de todas asregras.


7 Clique em Salvar e, em seguida, clique em Aplicar para salvar as configurações.

Configurar opções de Inteligência contra ameaçasUse as configurações de para determinar quando um arquivo ou certificado tem permissão paraexecutar, limpar e bloquear ou se os usuários devem decidir o que fazer.


As alterações de políticas no McAfee ePO podem sobrescrever as alterações na página Configurações.










Bloqueio ou permissão de arquivos e certificadosArquivos e certificados têm reputações de ameaça de acordo com seu conteúdo e propriedades. Aspolíticas do Inteligência contra ameaças determinam se arquivos e certificados são bloqueados oupermitidos em sistemas do seu ambiente de acordo com os níveis de reputação.

Há três níveis de segurança, dependendo de como você deseja equilibrar as regras para tiposespecíficos de sistemas. Cada nível é associado a regras específicas que identificam certificados earquivos maliciosos e suspeitos.

• Produtividade — Sistemas que são alterados com frequência, em geral instalando e desinstalandoprogramas confiáveis e recebendo atualizações frequentes. Computadores usados em ambientes dedesenvolvimento são exemplos desses sistemas. Menos regras são usadas com políticas para essaconfiguração. Os usuários veem o mínimo de bloqueios e avisos quando novos arquivos sãodetectados.

• Equilibrado - Sistemas típicos de negócios em que novos programas e alterações são instaladosraramente. Mais regras são usadas com políticas para essa configuração. Os usuários observammais bloqueios e avisos.

• Seguro — Sistemas gerenciados pela TI com controle rígido e poucas alterações. Exemplos disso sãosistemas que acessam informações críticas ou confidenciais em um ambiente financeiro ougovernamental. Essa configuração também é usada para servidores. É usado um número máximode regras com políticas para essa configuração. Os usuários observam ainda mais bloqueios eavisos.

Para exibir as regras específicas associadas a cada nível de segurança, selecione Menu | Configurações doservidor. Na lista Categorias de configuração, selecione Threat Intelligence.

Ao determinar qual nível de segurança será atribuído a uma política, considere o tipo de sistema emque a política será usada e a quantidade de bloqueios e avisos que você deseja mostrar ao usuário.Após criar uma política, ela deverá ser atribuída a computadores ou dispositivos para que sedetermine a quantidade de bloqueios e avisos que ocorrerão.

Referência da interface do cliente — Inteligência contraameaças

Os tópicos de ajuda da referência da interface fornecem ajuda contextual para as páginas da interfacedo cliente.

Conteúdo Inteligência contra ameaças — Confinamento dinâmico de aplicativos Inteligência contra ameaças — Opções

Inteligência contra ameaças — Confinamento dinâmico deaplicativosProteja seu sistema limitando as ações que os aplicativos confinados podem executar com base nasregras configuradas.

6 Usar o Inteligência contra ameaçasReferência da interface do cliente — Inteligência contra ameaças


Tabela 6-1 Opções


Regras deconfinamento

Configura as regras de Confinamento dinâmico de aplicativos.Você pode alterar se as regras de confinamento definidas pela McAfee devembloquear ou relatar, mas não pode alterar nem excluir essas regras.

• Bloquear (apenas) — Bloqueia, sem registrar em log, os aplicativosconfinados para que não executem as ações especificadas pela regra.

• Relatar (apenas) — Registra em log quando os aplicativos tentam executarações na regra, mas não impede que aplicativos executem ações.

• Bloquear e Relatar - Bloqueia e registra em log as tentativas de acesso.

Prática recomendada: quando o impacto total de uma regra não forconhecido, selecione Relatar, mas não Bloquear, para receber um aviso sembloquear as tentativas de acesso. Para determinar se o acesso deve serbloqueado, monitore os logs e os relatórios.



Aplicativosconfinados

Lista os aplicativos confinados no momento.• Excluir — Move um aplicativo confinado para a lista Exclusões, liberando-o do

confinamento e permitindo que seja executado normalmente.

Exclusões Exclui processos do confinamento.• Adicionar — Adiciona um processo à lista de exclusão.




Consulte também Como funciona o Confinamento dinâmico de aplicativos na página 181Regras de confinamento definidas pela McAfee na página 185Configurar regras de confinamento definidas pela McAfee na página 184Excluir processos do Confinamento dinâmico de aplicativos na página 187

Adicionar executável ou Editar executávelAdicionar ou editar um executável a ser excluído ou incluído.

Para a Proteção de acesso da Prevenção contra ameaças, você pode excluir executáveis no nível dapolítica ou pode incluí-los ou excluí-los no nível da regra. Para o Confinamento dinâmico de aplicativosda Inteligência contra ameaças, você pode excluir executáveis no nível da política.

Ao especificar exclusões e inclusões, considere o seguinte:


• Se você especificar mais de um identificador, todos os identificadores se aplicarão.

• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão ou inclusãoserá inválida.

Usar o Inteligência contra ameaçasReferência da interface do cliente — Inteligência contra ameaças 6


• As exclusões e inclusões não diferenciam letras maiúsculas de minúsculas.


Tabela 6-2 Opções

Opção Definição

Nome Especifica o nome pelo qual você chama o executável.Este campo é necessário com, pelo menos, mais um campo: Nome do arquivo ou caminho,Hash de MD5 ou Assinante.

Status deinclusão

Determina o status de inclusão do executável.• Incluir — Dispara a regra se o executável violar uma sub-regra.

• Excluir — Não dispara a regra se o executável violar uma sub-regra.

O Status de inclusão é exibido para a Proteção de acesso da Prevenção contra ameaçasapenas durante a adição de um executável a uma regra ou ao destino para asub-regra Processos.








Opção Definição

Assinante Ativar a verificação da assinatura digital - Garante que o código não foi alterado ou corrompidodesde que foi assinado com um hash criptográfico.Se ativado, especifique:


• Assinado por — Permite apenas arquivos assinados pelo signatário do processoespecificado.É obrigatório um nome distinto de signatário (SDN) para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulas eespaços.












• S = Califórnia

• C = EUA


Inteligência contra ameaças — OpçõesDefinir configurações da Inteligência contra ameaças.

Tabela 6-3 Opções


Opções Ativar Inteligênciacontra ameaças

Ativa o módulo Inteligência contra ameaças.(Desativado por padrão)

Permitir que o ThreatIntelligence ExchangeServer coletediagnósticos e dados deuso anônimos

Permite que o TIE Server envie informações anônimas do arquivopara a McAfee.





Usar a reputação dearquivos do McAfee GTIse o Threat IntelligenceExchange Server nãopuder ser acessado

Obtém informações de reputação do arquivo no Global ThreatIntelligence Proxy se o TIE Server não puder ser acessado.

Impedir que os usuáriosalterem asconfigurações (apenaspara clientes do ThreatIntelligence Exchange1.0)

Impede que os usuários em sistemas gerenciados alterem asconfigurações da Inteligência contra ameaças.

Atribuição deregra

Produtividade Atribui o grupo de regras Produtividade.Use este grupo para sistemas com alto índice de alterações porinstalações e atualizações frequentes de software confiável.

Este é o grupo com o menor número de regras. Os usuáriosencontram uma quantidade mínima de bloqueios e solicitaçõesquando são detectados novos arquivos.

Equilibrado Atribui o grupo de regras Equilibrado.Use o grupo para sistemas típicos de negócios com mudanças ealterações esporádicas de software.

Este grupo usa mais regras, e os usuários encontram mais avisos ebloqueios do que com o grupo Produtividade.

Segurança Atribui o grupo de regras Segurança.Use o grupo para sistemas com baixo índice de mudanças, comosistemas gerenciados por TI e servidores controlados.

Os usuários encontram mais avisos e bloqueios do que com o grupoEquilibrado.

Imposição deação

Ativar modo deobservação

Gera eventos e os envia ao servidor, mas não impõe ações.Ative o modo de observação temporariamente em alguns sistemasapenas durante o ajuste da Inteligência contra ameaças.

Como a ativação desse modo faz com que a Inteligência contraameaças gere eventos, mas não imponha ações, seus sistemaspodem ficar vulneráveis a ameaças.





Disparar oConfinamento dinâmicode aplicativos quando olimite de reputaçãoatingir

Confina os aplicativos quando a reputação alcança o limiteespecificado:• Pode ser confiável (Padrão para o grupo de regras Segurança)





O limite de reputação do Confinamento dinâmico de aplicativos deveser maior que os limites de bloqueio e limpeza. Por exemplo, se olimite de bloqueio estiver definido como Malicioso conhecido, o limite doConfinamento dinâmico de aplicativos deverá ser definido comoProvavelmente malicioso ou mais alto.

Quando um aplicativo com o limite de reputação especificado tentaexecutar em seu ambiente, o Confinamento dinâmico de aplicativospermite sua execução em um contêiner e bloqueia ou registra emlog as ações não seguras com base nas regras de confinamento.

Bloquear quando olimite de reputaçãoatingir

Bloqueia os arquivos quando a reputação do arquivo atinge umdeterminado limite e especifica o limite:• Pode ser confiável

• Desconhecido (Padrão para o grupo de regras Segurança)

• Pode ser malicioso (Padrão para o grupo de regras Equilibrado)

• Provavelmente malicioso (Padrão para o grupo de regras Produtividade)


Quando um arquivo com o limite de reputação especificado tentaexecutar em seu ambiente, ele é impedido, mas permanece noambiente. Se um arquivo for seguro e você desejar que ele sejaexecutado, altere sua reputação para um nível que permita suaexecução, como Pode ser confiável.

Limpar quando o limitede reputação atingir

Limpa arquivos quando a reputação de arquivos atingir um limiteespecífico, e especifica o limite:• Desconhecido

• Pode ser malicioso


• Malicioso conhecido (Padrão para os grupos de regras Equilibrado eSegurança)

O padrão do grupo de regras Produtividade é desmarcado.

Prática recomendada: usar esta opção com reputações dearquivos Malicioso conhecido, pois um arquivo pode ser removidoao ser limpo.





Mensagens parausuários ao detectarameaças

Exibir notificações deameaça para o usuário

Exibe notificações de ameaça para o usuário.

Notificar o usuárioquando o limite dereputação atingir

Notifica o usuário quando a reputação do arquivo atinge umdeterminado limite:• Provavelmente confiável

• Pode ser confiável (Padrão para o grupo de regras Segurança)





O nível de aviso não pode entrar em conflito com asconfigurações de limpeza ou bloqueio. Por exemplo, se vocêbloquear arquivos desconhecidos, não poderá definir essecampo como Pode ser confiável, pois ele tem um limite maisalto do que Desconhecido.

Ação padrão Especifica a ação que será tomada se o usuário não responderao prompt:• Permitir

• Bloquear

Especificar duração (emminutos) do tempo limite

Especifica o número minutos que o prompt é exibido antes daação padrão ser executada.O padrão é 5 minutos.

Mensagem Especifica a mensagem exibida ao usuário quando há umatentativa de execução de um arquivo que atende aos critériosde aviso.

Desativar as notificaçõesde ameaças se o ThreatIntelligence ExchangeServer não puder seracessado

Desativa as solicitações quando o TIE Server não puder seracessado, de forma que os usuários não recebam solicitaçõessobre os arquivos cujas reputações não estão disponíveis.

Advanced ThreatDefense

Enviar arquivos queainda não tenham sidoverificados para análiseno McAfee AdvancedThreat Defense

Envia arquivos executáveis para o McAfee Advanced ThreatDefense para análise.Quando ativada, a Inteligência contra ameaças envia arquivoscom segurança por meio de HTTPS usando a porta 443 para oAdvanced Threat Defense quando:

• O TIE Server não tem informações do Advanced ThreatDefense sobre o arquivo.

• O arquivo está no mesmo nível ou abaixo do nível dareputação especificada.

• O arquivo está no mesmo nível ou abaixo do limite detamanho do arquivo especificado.

Especifique informações para o servidor do Advanced ThreatDefense na política de gerenciamento do TIE Server.





Enviar arquivos quando olimite de reputaçãoatingir

Envia arquivos para o Advanced Threat Defense quando areputação de arquivos atinge um limite especificado:• Provavelmente confiável

• Desconhecido


O padrão para todos os grupos de regras é Desconhecido.

Tamanho limite (MB) para Limita o tamanho dos arquivos enviados para o AdvancedThreat Defense entre 1 MB e 10 MB.O padrão é 5 MB.

Consulte também Configurar opções de Inteligência contra ameaças na página 187Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 183Bloqueio ou permissão de arquivos e certificados na página 188



Índice

Aações, Prevenção contra ameaças

nos itens em quarentena 62

ações, Threat Preventionespecificar o que acontece quando uma ameaça é

encontrada 82, 87

permitir que usuários limpem e excluam arquivosinfectados 82, 87

programas indesejados 80

adaptadores de rede, permitindo conexões 135

adiamento de varredura, visão geral 89

administradoresdefinidos 10

entrando no Cliente do Endpoint Security 27

senha 28

Advanced Threat Defense 179

envio de arquivos para 188

usadas na determinação de reputações 176

adware, sobre 63

agendamentos, varreduras por solicitação, adiamento 89

Ajuda, exibição 14, 20

alertas, Firewall 14

alertas, Prevenção contra ameaçasvisão geral da varredura ao acessar 83

alertas, Threat Preventionvisão geral da varredura por solicitação 88

ameaçasaplicativos da Windows Store 83

aplicativos do Windows Store 88

arquivos de conteúdo do AMCore 11

detecções durante varredura 60

e classificações de segurança 161

gerenciamento de detecções 61

obtendo mais informações no McAfee Labs 62

Pasta de quarentena 62

Processo de Proteção de acesso 68

repetição de varredura de itens em quarentena 65

responder a detecções 20

tipos 63

violações dos pontos de acesso 68

aplicativos confinados, Confinamento dinâmico de aplicativosgerenciamento no Cliente do Endpoint Security 186

aplicativos da Windows Store, detectando ameaças 83

aplicativos do Windows Store, detectar ameaças 88

aplicativos, confinadosgerenciamento no Cliente do Endpoint Security 186

permissão para executar normalmente 183

aplicativos, sobre 133

aplicativos, Windows Store 83, 88

Área de trabalho remota e varredura de recurso ocioso 89

arquivoLogs do Cliente do Endpoint Security 24

arquivo de conteúdoverificando atualizações manualmente 23

arquivosarquivos de log 25

caracteres curinga em exclusões 67

como as reputações são determinadas 176

configurando para colocar em quarentena 81

configurar arquivos de log 32

exclusão de tipos específicos das varreduras 66

executar varreduras 60

gerenciando a pasta de quarentena 62

prevenção contra modificação 31

repetição de varredura na Quarentena 65

arquivos de conteúdoagendando atualizações a partir do cliente 39

alterar versão do AMCore 29

arquivos Extra.DAT 29, 30

e detecções 20

sobre 11

verificação manual de atualizações 12, 23

visão geral da varredura ao acessar 83

visão geral da varredura por solicitação 88

arquivos de conteúdo do AMCorealterar versão 29


sobre 11

sobre assinaturas e atualizações 11



arquivos de definição de detecção, consulte arquivos deconteúdo

arquivos de logconfigurar 32

falhas na atualização 23

localizações 25

visualizando 24


arquivos e certificados, bloqueio 188

arquivos e certificados, envio 188

arquivos Extra.DATarquivos de conteúdo do AMCore 11

carregar 30

fazer download 30

sobre 29

usar 29



arquivos, conteúdoalterar versão do conteúdo do AMCore 29


assinaturas e atualizações 11

carregar arquivos Extra.DAT 30

Extra.DAT e AMCore 11

Inteligência contra ameaças 11

Prevenção de exploração 11

usar arquivos Extra.DAT 29



arquivos, especificar opções de varredura 82, 87

assinaturasinformações de ameaças conhecidas 11

assinaturas da GBOP, consulte Assinaturas da Proteção contraestouro de buffer genérica

assinaturas da GPEP, consulte Assinaturas da Prevenção contraescalonamento de privilégios genéricos

assinaturas da Prevenção contra escalonamento de privilégiosgenéricos 11

assinaturas da Proteção contra estouro de buffer genérica 11

assinaturas de Monitoramento de API de destino 11

ataques baseados em heap, explorações de estouro de buffer77

ataques baseados em pilhas, explorações de estouro de buffer77

ataques, explorações de estouro de buffer 77

atualizaçãocancelando 23

atualização de softwareverificando manualmente 23

atualização manual, executando 23

atualização, Prevenção contra ameaçasverificando manualmente 23

atualizaçõesAtualizar botão Agora, Cliente do Endpoint Security 23

opção Atualizar segurança 12

atualizações de conteúdo 11

atualizações de produtoagendando a partir do cliente 39

verificação manual de 23

atualizações de produtosverificação manual 12

atualizações de softwareagendamento a partir do cliente 39

verificação manual 12

atualizações por solicitação, consulte atualizações manuais,execução

atualizações, componentes do software cliente 11

atualizações, Endpoint SecurityAtualização do cliente padrão, configurando 37

comportamento de configuração 35

configurando e agendando a partir do cliente 39

configurando o site de origem para atualizações 35

tarefa Atualização padrão do cliente, sobre 38

atualizações, Firewallverificação manual 23

atualizações, Prevenção contra ameaçasverificação manual 12, 23

visão geral 11

atualizações, Threat Preventionarquivos de conteúdo 11

arquivos Extra.DAT 30

Atualizar página 23

autogerenciado, sobre 22

Autoproteção, configuração 31

avisos, Endpoint SecurityWindows 8 e 10 20

Bbackups, especificar opções de varredura 82, 87

balões, Web Control 160, 163

Bloquear Modo da interface do clientedesbloqueio da interface 28

Bloqueio de modo da interface do clientee configurações de política 16

Botão Exibir detecções 61

botão Exibir varredura 58

botão Varrer agora 58

botõesExibir detecções 61

Exibir varredura 58

Varrer agora 58

botões, Controle da Web 159

Ccache de varredura

varreduras ao acessar 83

varreduras por solicitação 88

cache de varredura globalvarreduras ao acessar 83


cache, varredura globalvarreduras por solicitação 88

varreduras varreduras ao acessar 83

caracteres curingaem exclusões 67

em exclusões em nível de raiz 67

usando em exclusões 67

usar em regras de firewall 141

Índice


categorias da Web, bloqueando ou avisando com base nacategoria da Web 168

categorias da Web, bloquear ou permitir com base em 167

categorias de conteúdo, consulte categorias da Web cavalos de Troia

detecções durante a varredura 58


sobre 63

certificadoscomo as reputações são determinadas 176

Chromeativação plug-in 162

botões do Controle da Web 159

exibindo informações sobre um site 163

navegadores com suporte 157, 163

classificações de segurançacomo classificações de site são obtidas 161

configurando ações para sites e download 167

Controle da Web e 157

controle de acesso a sites 168

ícones de segurança 160

classificações, segurança, consulte classificações de segurança classificações, Web Control, consulte classificações de

segurança cliente, consulte Cliente do Endpoint Security cliente de proteção McAfee, consulte Endpoint Security Client Cliente do Endpoint Security

abertura 12

atualizando a proteção 23

configurações de política 16

configurando sites de origem para atualizações 35

definição de configurações de segurança 33

desbloqueio da interface 28

entrando como administrador 27

execução de varreduras 58

exibição da ajuda 20

logs, sobre 25

módulos 17

sobre 14

tarefa Atualização padrão do cliente, sobre 38

Tarefa padrão de atualização do cliente, agendamento 39

Tarefa padrão de atualização do cliente, configurando 37

tarefas de atualização personalizadas, criando 39

tarefas de espelhamento, configuração e agendamento 40

tarefas de espelhamento, sobre 41

tipos de gerenciamento 10

Varredura completa e Varredura rápida, agendamento 92

visualizando o Log de eventos 24

cliente McAfee, consulte Cliente do Endpoint Security configuração, servidores TIE com ponte 176

configuraçõesatualizações, configurando para 35, 37

site de origem, configurando para 35

sites de origem para atualizações do cliente, configurando35

Configurações de “Definir prioridade” do Windows 91

Configurações de ação de conteúdoControle da Web 168

configurações de Ações de conteúdoControle da Web 168

Configurações de ações de conteúdo, Controle da Web 167

configurações de processo, varreduras por solicitação 91

configurações do FirewallOpções 132

configurações, Controle da Webcontrolando acesso com categorias da Web 168

controlando o acesso a sites 167

controle de acesso com classificações de segurança 168

configurações, FirewallOpções 132

configurações, Inteligência contra ameaçastecnologia de Confinamento dinâmico de aplicativos 184

configurações, Prevenção contra ameaçasrecurso Proteção de acesso 69

configurações, Threat Preventionconfigurar programas potencialmente indesejados 79

varreduras ao acessar 80


Confinamento dinâmico de aplicativosarquivos de log 25

ativação de limite gatilho 183

gerenciamento de aplicativos confinados 186

Inteligência contra ameaças 173

permissão para que aplicativos confinados sejamexecutados normalmente 183

processos, inclusão e exclusão 187

regras definidas pela McAfee, configuração 184

Regras definidas pela McAfee, sobre 185

sobre 180, 181

contas de usuário, controlar acesso ao cliente 33

conteúdo, atualização usando o cliente 23

Controle da Webarquivos de log 25

ativação 164

ativação do plug-in 162

botões, descrição 159

Cliente do Endpoint Security 17

como arquivos de download são varridos 166

configuração 164

depuração de log 25

e sites avisados 158

e sites bloqueados 158


exibindo relatórios de site 163

log de atividades 25

menu 159

recursos 157

sobre 9cores, botões do Controle da Web 159

credenciais, lista de repositórios 37

Índice


DData Exchange Layer

sobre 176

definição de redes 131

depuração de logs, Cliente do Endpoint Security 25

descobridores de senha, sobre 63

destinos, Proteção de acessoavaliação com sub-regras 75

exemplos 75

detecçãoexcluindo por nome 81

detecçõesexibir mensagens para usuários 82, 87

gerenciamento 58, 61

nomes 63

relatando para o servidor de gerenciamento 10

responder a 20

tipos 58, 60

discadores, sobre 63

do McAfee Endpoint Securityinteragindo com 12

domínios, bloqueio 130

downloadscomportamento de bloqueio e aviso 158

downloads de arquivobloquear ou avisar com base na classificação 167

varrendo com a Prevenção contra ameaças 166

downloads de arquivosbloqueio de sites desconhecidos 164

Eendereços de IP

grupos com reconhecimento de local 135

grupos de regra 135

endereços IP 131

Endereços IPconfiáveis 132

Endpoint Security Clientabrir 19

exibir informações de proteção 22

gerenciamento de detecções de ameaças 61

proteger com uma senha 33

Resumo de ameaças 15

tipos de gerenciamento 22

varredura em busca de malware 57

varreduras de sistemas 57

Endpoint Security, como proteger seu computador 10

Endpoint Security, gerenciar 27

enviar arquivos para análise detalhadaAdvanced Threat Defense 179

Product Improvement Program 179

eventos, rastreamento de eventos do navegador do Controle daWeb 164

exceçõesMcAfee GTI 132

exclusõesconfiguração 66

Confinamento dinâmico de aplicativos 186, 187

especificar URLs para ScriptScan 82

nível de raiz 67

nome da detecção 81

Proteção de acesso, com base em políticas e com base emregras 76

usando caracteres curinga 67

varredura ao acessar, especificar arquivos, pastas eunidades 82

varredura por solicitação, especificar 87

exclusões em nível de raiz, consulte exclusões executáveis

confiáveis, consulte executáveis confiáveisconfiguração de confiáveis 132

executáveis confiáveisconfiguração 132

definição 133

exemplos de fluxo de trabalho 178

criar predomínio e observação de arquivo 178

enviar arquivos para análise detalhada 179

monitoramento e ajustes 179

exploraçõesbloquear estouros de buffer 78

bloqueio de explorações de estouro de buffer 76

como ocorrem explorações de estouro de buffer 77

explorações de estouro de buffer, sobre 77

Ffalhas, atualização 23

falsos positivosFirewall, redução 133

ferramentas de administração remota, sobre 63

Firefoxativação do plug-in 162



navegadores com suporte 157

navegadores suportados 163

firewallativação no ícone da bandeja do sistema da McAfee 12

sobre grupos temporizados 12

Firewallalertas de invasão 14

arquivos de log 25

ativação e desativação usando o ícone da bandeja dosistema 127

ativação e exibição de grupos temporizados 128

ativando e desativando a proteção 129

atualização de conteúdo usando o cliente 23

bloqueio de tráfego DNS 130


Índice


Firewall (continuação)como as regras de firewall funcionam 133

como funciona 127

criação de grupos temporizados 142


executáveis confiáveis 133

gerenciamento 128

gerenciar regras e grupos 139

grupos com reconhecimento de local, criando 141

grupos com reconhecimento de local, sobre 135

grupos temporizados, sobre 128


modificando as opções 129

regras, consulte regras de firewallsobre 9

GGerenciamento da Inteligência contra ameaças 174

GoogleChrome 157


mecanismos de pesquisa compatíveis 160

grupo de regras Adaptáveis, Firewall 138

Grupo de regras adaptáveis, Firewall 139

grupo de regras adicionadas pelo Administrador, Firewall 138

grupo de regras adicionadas pelo Usuário, Firewall 138

Grupo de regras adicionados pelo usuário, Firewall 139

grupo de regras Dinâmicas, Firewall 138

grupo de regras Padrão, Firewall 138

grupo de regras principais de rede da McAfee, Firewall 138

grupo de regras, firewall, consulte grupos de regras de firewall grupos com reconhecimento de local

criando 141

isolamento de conexão 136

sobre 135

grupos de firewall, consulte grupos de regras de firewall grupos de regra de firewall

e isolamento de conexão 136

reconhecimento de local, criando 141

reconhecimento de local, sobre 135

grupos de regras de firewallcomo o firewall funciona 127

criação de grupos temporizados 142

gerenciamento de grupos temporizados usando o ícone dabandeja do sistema 12, 128

grupos temporizados, sobre 128

precedência 135

predefinidas 138

grupos de regras de firewall predefinidas 138

grupos de regras do firewallconfigurar 133

grupos temporizadosgerenciamento usando o ícone da bandeja do sistema da

McAfee 12

grupos temporizados, Firewallcriação 142

gerenciamento usando o ícone da bandeja do sistema 128

sobre 128

grupos, firewall, consulte grupos de regras de firewall

Hhash, sobre 34, 81, 166

Host Intrusion Prevention e Prevenção de exploração 76

Host IPS, e Prevenção de exploração 76

Iícone da bandeja de sistema, Cliente 12

ícone da bandeja do sistema, McAfeeabrir o Endpoint Security Client 19

ativação e desativação do Firewall 127

ativação e exibição de grupos temporizados 128

atualização de segurança 12

configuração de acesso ao Endpoint Security 33

definido 12

grupos temporizados do firewall 12

ícone da McAfee, consulte ícone da bandeja do sistema, McAfee

ícones, McAfee, consulte ícone da bandeja do sistema, McAfee ícones, Web Control 160

impedimento de varredura 83

independente, consulte autogerenciado, sobre indetectável, sobre 63

informações, exibir proteção 22

instaladores confiáveis, varredura 82

instaladores, varrer confiáveis 82

Inteligência contra ameaçasarquivos de log 25

atualizações de arquivos de conteúdo 11

cenários 173


componentes 174

configuração 187

configuração de limite de gatilho do Confinamentodinâmico de aplicativos 183



servidores TIE com ponte gerenciados pelo McAfee ePO 176

sobre 174

tecnologia de Confinamento dinâmico de aplicativos 184

Internet Explorerativação do plug-in 162

e comportamento do ScriptScan 85

exibição da ajuda do Endpoint Security 20


navegadores com suporte 157, 163

introdução ao Threat Intelligence 178

intrusões, ativando alertas de Firewall 129

Índice


Jjokes, sobre 63

Kkeyloggers, sobre 63

Llimitação, configuração 91

limitesativação de limite de gatilho do Confinamento dinâmico de

aplicativos 183

Lista de aplicativos confinados, gerenciamento 186

lista de repositórioslocalização do cliente 37

preferência de ordem, lista de repositórios 37

visão geral 37

log de atividades, Cliente do Endpoint Security 25

log de eventos, Cliente do Endpoint Securitysobre 25

visualizando a página de Log de eventos 24

log do cliente, configurar 32

lógica de confiança, otimizando a varredura ao acessar 83

logs de erro, Cliente do Endpoint Security 25

logs de eventos, Cliente do Endpoint Securityfalhas na atualização 23

Mmalware




varredura em busca de 57

McAfee Agenttarefa de Atualização do produto e lista de repositórios 37

McAfee Endpoint Security Client, consulte Endpoint SecurityClient

McAfee ePOatualizar proteção 11

e tipos de gerenciamento 22

recuperação de arquivos de conteúdo do AMCore 11

McAfee GTI 34, 81, 166

Classificações de segurança do Web Control 161

comentário de telemetria 81

configurando nível de sensibilidade 81

e categorias da Web 168

enviando eventos d bloqueio para o servidor 129

erro de comunicação do Controle da Web 159

especificar configurações do servidor proxy 34

exceções 132

opções de firewall, configurando 129

perguntas frequentes 130

Relatório de sites do Web Control 160

reputação de rede para o firewall, configurando 129

varredura ao acessar, como funcionam 83

McAfee GTI 34, 81, 166 (continuação)varredura de arquivos antes do download 164

varreduras ao acessar, como funcionam 88

varreduras ao acessar, configurar 82

varreduras por solicitação, configurar 87

varrendo arquivo antes de download 166

McAfee Labsatualizações de arquivos de conteúdo do AMCore 11

download de Extra.DAT 29

e McAfee GTI 34, 81, 166

Extra.DAT 30

obtendo mais informações sobre ameaças 62

McAfee SECURE, botão do Controle da Web 159

McTray, iniciando 89

mecanismo de pesquisa Ask, e ícones de segurança 160

mecanismo de pesquisa Bing, e ícones de segurança 160

mecanismos de varredura, visão geral do arquivo de conteúdodo AMCore 11

mensagens de erro, estados do ícone da bandeja do sistema 12

mensagens de notificaçãointeragindo com o Cliente do Endpoint Security 12

sobre 14

Windows 8 e 10 14

mensagens, Endpoint Securityexibir quando ameaça é detectada 82, 87

sobre 14

menu Ação, sobre 14

Menu Iniciar, abrir o Endpoint Security Client 19

menusAção 14, 28

Ajuda 14, 20

Configurações 14, 16, 17, 129, 139

Controle da Web 163

Sobre 22

Microsoft Internet Explorer, consulte Internet Explorer Modo acesso total

modificando as opções de firewall 129

Modo adaptávelconfigurando no Firewall 129

precedência de regras 133

Modo Área de trabalho, Windows 8 e 10responder a prompts de detecção de ameaça 20

Modo da interface do cliente, opções 16

modo de acesso padrãodefinição de configurações de segurança do cliente 33

modo de acesso Padrãoefeitos de definir uma senha 33

Modo de acesso padrãoe configurações de política 16

entrando como administrador 27

gerenciar regras e grupos do firewall 139

Modo de acesso totalconfigurações de política 16

Modo de bloqueio da interface do clienteao abrir o Endpoint Security Client 19

Índice


Modo Desktop, Windows 8 e 10mensagens de notificação 14

modos da interfacedefinição de configurações de segurança do cliente 33

modos de acesso, Cliente do Endpoint Security 16

modos de interfaceAcesso padrão 27, 33

módulo Common, configurarconfigurações 30

Módulo Common, configurarConfigurações do servidor proxy do McAfee GTI 34

log 32

Módulo Em Comum, Cliente do Endpoint Security 9, 17

módulo Em Comum, configuraçãoAutoproteção 31

segurança da interface do cliente 33

módulo Em Comum, configurandoconfigurações de atualização 35, 37


Módulo Em Comum, configurandosite de origem para atualizações do cliente 35

módulosAcesso ao Cliente do Endpoint Security com base em

políticas: 16

exibir informações sobre 22

instalados no Cliente do Endpoint Security 17

sobre Endpoint Security 9módulos, Common

definições do servidor proxy do McAfee GTI, configurar 34

log, configurar 32

módulos, Em ComumAutoproteção, configuração 31

configurações de atualização, configurando 35, 37

configurando site de origem para atualizações do cliente 35

segurança da interface do cliente, configuração 33


Mozilla Firefox, consulte Firefox

Nnão gerenciado, consulte autogerenciado, sobre navegadores

ativação do plug-in 162

com suporte 163

desativação do plug-in do Controle da Web 164


suportados 157

níveis de segurançaexemplos 188

nível de sensibilidade, McAfee GTI 34, 81, 166

notificações do sistema, Windows 8 e 10 14, 20

Oopções

configurar varreduras ao acessar 82

configurar varreduras por solicitação 87

varredura em busca de malware 57

opções de utilização do sistema, visão geral 91

opções do Firewallmodificar 129

Opções, Commonagendar varreduras por solicitação 57

configurações do servidor proxy, configurar 34

configurar 30

definições de log, configurar 32

Opções, Em ComumAutoproteção, configuração 31

configurações de atualização, configurando 35, 37


site de origem para atualizações do cliente, configurando35


Opções, Firewallexecutáveis confiáveis 133

redes definidas 131

Opções, Prevenção contra ameaçasconfigurações de varreduras comuns 81

Opções, Threat Preventionprogramas indesejados 79

Ppágina Configurações

Autoproteção, configuração 31

configurações do servidor proxy, configurar 34

log, configurar 32


página de Configuraçõesconfigurações de atualização, configurando 35

Página de configuraçõesconfigurações da varredura ao acessar, configurar 82

configurações de atualização, configurando 37

definições de varredura por solicitação, configurar 87

gerenciar regras e grupos do firewall 139

modificando opções de firewall 129

Página de Configuraçõese modo da interface do cliente 16

Página de Logon do Administradorao abrir o Endpoint Security Client 19

página de quarentena 62

página de varredura, exibição 58

página de varreduras, exibição 20

Página Fazer varredura para encontrar ameaças 60

página Logon do Administradordesbloqueio da interface do cliente 28

página Reverter conteúdo do AMCore 29

página Sobre 22

Índice


página Status de segurança da McAfee, exibição 12

página Status, exibição do resumo de ameaças 15

Página Varredura ao acessar 61

página Varrer sistema 58

Página Varrer sistema 61

páginasAtualização 23

configurações 35

Configurações 16, 31–35, 37, 87, 129

Fazer varredura para encontrar ameaças 60

Log de eventos 24

Quarentena 62

Reverter conteúdo do AMCore 29

Sobre 10, 22

Status de segurança da McAfee 12

Varredura ao acessar 20, 61

varredura, exibição 58

Varrer sistema 58, 61

pastascaracteres curinga em exclusões 67

configurando para colocar em quarentena 81

executar varreduras 60

gerenciando em quarentena 62

repetição de varredura na Quarentena 65

perguntas frequentes, McAfee GTI 130

Pesquisa segura, configuração do Controle da Web 164

pesquisasbloqueio de sites arriscados em resultados 164


phishing, relatórios apresentados por usuários de sites 161

plug-ins, ativação do Controle da Web no navegador 162

políticasacessando o Cliente do Endpoint Security 16

definidas 10

recursos do cliente 12

políticas, Commonconfigurar 30

políticas, Prevenção contra ameaçasconfigurações de varreduras comuns 81

varreduras por solicitação, adiando 89

políticas, Threat Preventionvarreduras ao acessar 86

pop-ups, e classificações de segurança 161

práticas recomendadasuso de redes confiáveis 132

precedênciagrupos de firewall 135

regras do firewall 133

Prevenção contra ameaçasCliente do Endpoint Security 17

recurso Proteção de acesso 69

sobre 9varredura de arquivos antes do download 164

varreduras ao acessar, sobre 83

varrendo arquivos antes do download 166

Prevenção de exploraçãoarquivos de log 25

atualizações de arquivos de conteúdo 11

configuração 78

e Host IPS 76

exclusão de processos 66

sobre 76

prioridades, varreduras ao acessar 91

processes, Prevenção contra ameaçasvarrendo 83

Processos da Proteção de acesso, incluindo e excluindo 76

processos de alto risco, especificar 82

processos de baixo risco, especificar 82

processos, Confinamento dinâmico de aplicativosexclusões 187

processos, Inteligência contra ameaçasinclusão e exclusão do Confinamento dinâmico de

aplicativos 187

processos, Prevenção contra ameaçasexclusão 66

incluindo e excluindo na proteção de acesso 76

inclusão e exclusão na Proteção de acesso 69

processos, Proteção de acessoexclusão com base em políticas 76

exclusão com base em regra 76

processos, Threat Preventionespecificar alto e baixo risco 82

varredura 82

Product Improvement Program 179

programas potencialmente indesejadosativar detecção 80, 82, 87

caracteres curinga 67

configurar detecção 78



especificação 79

especificando programas a serem detectados 81

exclusão de itens 66

sobre 63

programas, ativar detecção de potencialmente indesejados 82,87

prompts, Endpoint Securityresponder a varredura 21

sobre 14

proteçãoconfiguração da Autoproteção 31

exibir informações sobre 22

interagindo com o 12

manter atualizado 11

Proteção de acessoarquivos de log 25

exclusão de processos 66

exemplos 68

processos, inclusão e exclusão 69

regras definidas pela McAfee, configuração 69

Índice


Proteção de acesso (continuação)regras definidas pela McAfee, sobre 71

regras definidas pelo usuário, configuração 74

regras, sobre 69

sobre 67

QQuarentena, Prevenção contra ameaças

definindo configurações de localização e retenção 81

repetição de varredura de itens em quarentena 65

Rransomware

criação de regras de proteção de acesso para a proteçãocontra 74

recursoAcesso ao Cliente do Endpoint Security com base em

políticas: 16

recursosativação e desativação 28

rede privada, adição de sites externos 164

redesconfiáveis 132

definição 131

redes confiáveis, consulte redes regra, Confinamento dinâmico de aplicativos

configuração 184

regras de confinamentoConfinamento dinâmico de aplicativos 180

regras de firewallcomo o firewall funciona 127

configurar 133

uso de caracteres curinga 141

regras definidas pela McAfee, Confinamento dinâmico deaplicativos 185

regras definidas pela McAfee, Proteção de acesso 71

regras definidas pelo usuário, Proteção de acessoconfiguração 74

regras do firewallcomo funcionam 133

ordenação e precedência 133

permitir e bloquear 133

regras personalizadas, consulte regras definidas pelo usuário,Proteção de acesso

regras, firewall, consulte Firewall regras, Prevenção contra ameaças

configuração 69

regras, Proteção de acessotipos 69

regras, Threat Preventioncomo a Proteção de acesso funciona 68

relatórios de segurança, consulte relatórios, Web Control relatórios do site, consulte relatórios, Web Control relatórios, Controle da Web

exibindo 163

relatórios, Controle da Web (continuação)segurança 157

relatórios, Web Control 160, 161

exibição 163

segurança do site 160

reputação de arquivosrespondendo a solicitações 21

reputaçõesativação de limite de gatilho do Confinamento dinâmico de

aplicativos 183

como elas são determinadas 176

Confinamento dinâmico de aplicativos 180

respostas, configurar para detecção de programas indesejados80

Resumo de ameaças, sobre 15

SSafari (Macintosh)


scripts, varredura 85

ScriptScanativar 82

exclusão de URLs 66

sobre 85

segurançaconfiguração de segurança da interface do cliente 33

senhasadministrador 27, 28

configuração de segurança do cliente 33

controlar acesso ao software cliente 33

servidor proxycomo funcionam os módulos do McAfee GTI 34, 81, 166

configuração para o McAfee GTI 34

configurações da lista de repositórios 37

Servidor Threat Intelligence Exchange, consulte Servidores TIE servidores

servidores TIE com ponte gerenciados pelo McAfee ePO 176

sobre servidores TIE 176

servidores TIEcriando pontes 176

sobre 176

servidores, proxy, consulte servidores proxy setores de inicialização, varredura 82, 87

sistemas de servidor e varredura de recurso ocioso 89

site, avisandocom base na classificação 167

site, bloqueandocom base na categoria da Web 167

com base na classificação 167

site, controlando acessocom categorias da web 167

sitesclassificações de segurança 161

comportamento de bloqueio e aviso 158

exibindo relatórios de site do Controle da Web 163

Índice


sites (continuação)proteção de navegação 159

proteção durante pesquisas 160

sites, avisandocom base na classificação 167

sites, avisocom base em classificações de segurança 168

sites, bloqueandocom base na categoria da Web 167, 168

com base na classificação 167

sites, bloqueiocom base em classificações de segurança 168

sem classificação ou desconhecidos 164

sites arriscados em resultados de pesquisa 164

sites, controlando acessocom base na categoria da Web 168

sites, controlando o acessocom base na categoria da Web 168

com categorias da web 167

sites, controle de acessocom classificações de segurança 168

Sobre a página 10

software cliente, definido 10

solicitação, Endpoint Securityrespondendo à reputação de arquivos 21

solicitações de download, consulte download de arquivos spyware, sobre 63

status, Endpoint Security, exibição no ícone da bandeja dosistema da McAfee 12

sub-regras, Proteção de acessoavaliação com destinos 75

excluindo e incluindo 76

Ttarefa Atualização padrão do cliente

sobre 38

Tarefa padrão de atualização do clienteagendando com o Cliente do Endpoint Security 39

configurando 37

configurando o site de origem para atualizações 35

tarefa, Prevenção contra ameaçasVarredura completa e Varredura rápida, agendamento 92

varredura personalizada, agendamento 92

tarefas de atualização personalizadas, consulte tarefas, Clientedo Endpoint Security

tarefas de espelhamentoconfiguração e agendamento 40

sobre 41

tarefas do cliente de Atualização do produtolista de repositórios 37

sobre 37

tarefas, Cliente do Endpoint SecurityAtualização do cliente padrão, agendamento 39

Atualização do cliente padrão, configurando 37

atualização personalizada, configurando e agendando 39

tarefas, Cliente do Endpoint Security (continuação)configuração e agendamento de tarefas de espelhamento

40

tarefas de espelhamento, sobre 41

tarefas, Endpoint SecurityAtualização padrão do cliente, sobre 38

tarefas, Threat PreventionVarreduras completas e rápidas, sobre 57

tempo de CPU, varreduras por solicitação 91

threads, prioridade 91

Threat IntelligenceEndpoint Security 175

exemplos de fluxo de trabalho 178

Threat Preventiongerenciamento 65

Opções, programas indesejados 79

programas potencialmente indesejados, detectar 78

Recurso de Prevenção de exploração 78

varreduras ao acessar, configurar 82

varreduras por solicitação, configurar 87

varreduras por solicitação, sobre 88

tipo de gerenciamento do McAfee ePO Cloud 22

tipos de gerenciamentoexibição 22

sobre 22

tráfegoexaminado pelo firewall 127

permitir saída até que os serviços de firewall sejaminiciados 129

tráfego DNS, bloqueio 130

Uunidades de rede, especificar opções de varredura 82

URLsexcluir da varredura de scripts 82

exclusão da varredura de scripts 66

Vvarredura ao acessar

configurando 81

visão geral 83

Varredura completaagendando no cliente 92

configurar 87

execução usando o Cliente do Endpoint Security 58

sobre 57

varredura de recurso ocioso 89

Varredura por clique no botão direitoconfigurar 87

executar a partir do Windows Explorer 60

sobre 57

varredura por solicitaçãoconfigurando 81

Varredura rápidaagendando no cliente 92

Índice


Varredura rápida (continuação)configurar 87


tipos de varreduras 57

varredurasadiar, pausar, retomar e cancelar 21

agendando com o Cliente do Endpoint Security 92

configurações comuns de varreduras por solicitação e aoacessar 81

Controle da Web 166


executar varredura por clique no botão direito 60

personalizada, criando e agendando com o cliente 92

responder a prompts 21

tipos 57

usando caractere curinga em exclusões 67

varreduras ao acessararquivos de log 25

configuração 82

detecções de ameaças 20


gravar ou ler do disco 83

número de políticas de varredura 86

otimizando a lógica de confiança 83

programas potencialmente indesejados, ativar detecção 80

ScriptScan 85

sobre 57

varredura de scripts 85

Varreduras de armazenamento seguro, visão geral 91

varreduras de impacto zero 89

varreduras de sistemas, tipos 57

varreduras incrementais 89

varreduras manuaisexecução usando o Cliente do Endpoint Security 58

executar a partir do Endpoint Security Client 60

sobre tipos de varredura 57

varreduras personalizadas, consulte varreduras por solicitação varreduras por solicitação

arquivos de log 25


execução de Varredura completa ou Varredura rápida 58

executar varredura por clique no botão direito 60

programas potencialmente indesejados, ativar detecção 80

responder a prompts 21

sobre 57

utilização do sistema 91

varredura de arquivo ou pasta 60

Varreduras de armazenamento seguro 91

varreduras por solicitação (continuação)visão geral 88

varreduras retomáveis, consulte varreduras incrementais varreduras, ao acessar

configuração 82

detecções de ameaças, responder a 20

detectando ameaças em aplicativos da Windows Store 83


número de políticas 86

otimizando a lógica de confiança 83

ScriptScan 85

visão geral 83

varreduras, personalizadas, consulte varreduras, por solicitação

varreduras, por solicitaçãoagendando no cliente 92

configurar 87

detectar ameaças em aplicativos do Windows Store 88


utilização do sistema 91

Varreduras de armazenamento seguro 91

varrer com recurso ocioso 21

vírusassinaturas 11




sobre 63

vulnerabilidades, consulte ameaças

WWeb Control

gerenciamento 164

ícones e balões 163

ícones, descrição 160

mecanismos de pesquisa e ícones de segurança 160

relatórios do site 160

Windows 8 e 10abrir o Endpoint Security Client 19

responder a prompts de detecção de ameaça 20

sobre mensagens de notificação 14

YYahoo


mecanismo de pesquisa compatível 160

mecanismo de pesquisa padrão 164

Índice
