universidade federal de mato grosso … · prof. dr. roberto benedito de oliveira pereira instituto...
TRANSCRIPT
UNIVERSIDADE FEDERAL DE MATO GROSSO
COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM
SISTEMAS DE INFORMAÇÃO
RELATÓRIO DE ESTÁGIO SUPERVISIONADO
IMPLANTAÇÃO E ADMINISTRAÇÃO DE GERENCIADOR
DE ANTIVÍRUS EM AMBIENTE CORPORATIVO
KELVYN YAGO DA SILVA ZANATO
CUIABÁ – MT
2016
UNIVERSIDADE FEDERAL DE MATO GROSSO
COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM
SISTEMAS DE INFORMAÇÃO
RELÁTORIO DE ESTÁGIO SUPERVISIONADO
IMPLANTAÇÃO E ADMINISTRAÇÃO DE GERENCIADOR
DE ANTIVÍRUS EM AMBIENTE CORPORATIVO
KELVYN YAGO DA SILVA ZANATO
Relatório apresentado ao Instituto de
Computação da Universidade Federal de
Mato Grosso, para obtenção do título de
Bacharel em Sistemas de Informação.
CUIABÁ – MT
2016
UNIVERSIDADE FEDERAL DE MATO GROSSO
COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM
SISTEMAS DE INFORMAÇÃO
KELVYN YAGO DA SILVA ZANATO
Relatório de Estágio Supervisionado apresentado à Coordenação do Curso de Sistemas de Informação como uma das exigências para obtenção do título de Bacharel em Sistemas de Informação da Universidade Federal de Mato Grosso
Aprovado por:
Prof. Dr. Luís Cézar Darienzo Alves Instituto de Computação
(ORIENTADOR)
Felipe de Paulo Coelho Becker Consultoria (SUPERVISOR)
Prof. Dr. Roberto Benedito de Oliveira Pereira Instituto de Computação
(CONVIDADO)
DEDICATÓRIA
Dedico este trabalho aos meuspais, pois sem o esforço e o incentivo
deles a seguir por este caminho não chegaria onde estou hoje.
AGRADECIMENTOS
Agradeço primeiramente a Deus pela benção da vida, pela saúde e por
iluminar meu caminho.
Aos meus pais e familiares pela educação, pelos ensinamentos e por não
medirem esforços para oferecer-me as melhores condições de estudos.
A Becker Consultoria pela oportunidade que ofereceram não somente de
ampliar meus conhecimentos, mas também pelo apoio e incentivos que fazem
evoluir tanto pessoal quanto profissionalmente.
Aos amigos e colegas de faculdade pela amizade obtida, pelo apoio nos
estudos, e pela diversão gerada ao longo do período de graduação.
Aos professores, mestres e doutores do Instituto de Computação por todo
o conhecimento e experiências compartilhadas, pelos elogios, incentivos e
críticas.
SUMÁRIO
LISTA DE FIGURAS ............................................................................................................... 7
LISTA DE TABELAS .............................................................................................................. 8
LISTA DE SIGLAS E ABREVIATURAS ............................................................................ 9
RESUMO .................................................................................................................................. 10
INTRODUÇÃO ....................................................................................................................... 11
1. REVISÃO DE LITERATURA .................................................................................... 13 1.1 Segurança da Informação ......................................................................................... 13
1.2 Vulnerabilidades, Ameaças e Riscos ........................................................................ 13 1.3 Políticas de Segurança .............................................................................................. 13 1.4 Ataques ..................................................................................................................... 14
1.5 Malwares e seus tipos ............................................................................................... 15 1.6 Antivírus ................................................................................................................... 17
1.6.1 Porque o antivírus precisa ser atualizado ........................................................... 18
1.6.2 No que consiste uma assinatura de malware .................................................... 18 1.6.3 O que é a quarentena ......................................................................................... 18 1.6.4 O que é uma lista branca ................................................................................... 18
1.6.5 O que é a proteção em tempo real ..................................................................... 19
2. MATERIAIS, TÉCNICAS E MÉTODOS ................................................................. 20 2.1 Apresentação ............................................................................................................ 20
2.2 Hardware ................................................................................................................. 21
2.3 Symantec Endpoint Protection® .............................................................................. 22 2.4 Definição das políticas ............................................................................................. 23 2.5 Instalação do SEPM ................................................................................................. 24
2.6 Instalação do cliente do SEP .................................................................................... 27 2.7 Acompanhamento e refinamento das políticas ........................................................ 30 2.7.1 Política de proteção contra vírus e spyware ....................................................... 32 2.7.2 Controle de dispositivos e aplicativos ............................................................... 33
2.7.3 LiveUpdate ......................................................................................................... 34 2.7.4 Política de exceções ........................................................................................... 35 2.7.5 Rotina de backup ............................................................................................... 35
2.7.6 Configurações adicionais ................................................................................... 36
2.8 Informações sobre licenças ...................................................................................... 38
3. RESULTADOS.............................................................................................................. 40
4. DIFICULDADES ENCONTRADAS .......................................................................... 43
5. CONCLUSÕES ............................................................................................................. 44
6. REFERÊNCIAS BIBLIOGRÁFICAS ....................................................................... 45
ANEXOS ............................................................................................................................. 47 Anexo A – Script de backup ........................................................................................... 47 Anexo B – Tarefa de backup de arquivos do Windows .................................................. 47
7
LISTA DE FIGURAS
Figura 1- Diagrama do RAID 1. ..................................................................................... 21 Figura 2- Inserção das informações da empresa, senha, e-mail e parceiros. .................. 25 Figura 3 - Configuração de comunicação com servidor de e-mail. ................................ 25
Figura 4 - Resumo das configurações do servidor. ........................................................ 26 Figura 5 - LiveUpdate em execução. .............................................................................. 27 Figura 6 - Tela de login do console. ............................................................................... 27 Figura 7 - Assistente de implementação do cliente. ....................................................... 29 Figura 8 - Recursos do novo pacote criado. ................................................................... 30
Figura 9 - Organização das estações em grupos. ............................................................ 31
Figura 10 - Lista das estações configuradas. .................................................................. 31 Figura 11 - Lista de servidores integrados...................................................................... 32
Figura 12 - Agendamento da verificação nos servidores. .............................................. 32 Figura 13 - Agendamento da verificação nas estações. .................................................. 33 Figura 14 - Regras disponíveis para controle de aplicativos e dispositivos. .................. 34 Figura 15 - Agendamento de execução do LiveUpdate para as estações. ...................... 34
Figura 16 - Agendamento do servidor para download de atualizações do LiveUpdate. 35 Figura 17 - Lista de exceções disponíveis. ..................................................................... 35
Figura 18 - Rotina de backup. ........................................................................................ 36 Figura 19 - Armazenamento do backup. ........................................................................ 36 Figura 20 - Configuração de mensagens personalizadas. ............................................... 37
Figura 21 - Exemplo de mensagem personalizada. ........................................................ 37 Figura 22 - Configuração de senha do cliente global. .................................................... 38
Figura 23 - Informação sobre licença atual. ................................................................... 38 Figura 24 - Diagrama lógico de comunicação cliente-servidor. ..................................... 40
Figura 25 - Status do Endpoint nos computadores. ........................................................ 41
8
LISTA DE TABELAS
Tabela 1 - Resumo comparativo entre os códigos maliciosos. ....................................... 17
Tabela 2- Especificações do Servidor ............................................................................ 21 Tabela 3- Lista de proteções disponíveis.. ...................................................................... 23 Tabela 4 - Malwares detectados na rede. ........................................................................ 41
9
LISTA DE SIGLAS E ABREVIATURAS
AD Active Directory
HD Hard Disk
MT Mato Grosso
IP Internet Protocol
IPS Intrusion Prevention System
RAID Redundant Array of Inexpensive Drives
SATA Serial Advanced Technology Attachment
SEP Symantec Endpoint Protection®
SEPM Symantec Endpoint Protection Manager®
SO Sistema Operacional
TI Tecnologia da Informação
URL Uniform Resource Locator
USB Universal Serial Bus
10
RESUMO
Este relatório descreve as atividades realizadas durante o período de
estágio. Demonstrando os conceitos de vírus, malwares, trojans, entre outros e
funcionalidade de Antivírus, tentando justificar a necessidade da falta de proteção
a qual todas as informações de uma empresa estão sujeitas e a importância de
investir em tipos de proteções usados em servidores e computadores de pequenas
e médias empresas para a prevenção de infecções de malwares. Para isso,
apresenta a experiência obtida na participação de um projeto de implantação do
Antivírus Symantec realizado pela empresa Becker Consultoria, além de
contribuir com a escolha por um software de Antivírus que ajude na necessidade
das empresas, e também dos usuários comuns. Para tornar o caminho da instalação
e gerenciamento mais fáceis, e também demonstrar informações a respeito das
alternativas das várias opções de configurações possíveis do software, foi usado
uma linguagem objetiva e ilustrações que facilitam no entendimento do leitor.
11
INTRODUÇÃO
Na sociedade contemporânea, ao mesmo tempo em que as informações são
consideradas um dos principais patrimônios de uma organização, as mesmas estão sob o
constante risco de ataques (MÉDICE, 2013). Enquanto a velocidade e a eficiência em
todos os processos de negócios significam uma vantagem competitiva no mercado, a falta
de segurança nos meios que habilitam a velocidade e a eficiência pode resultar em grandes
prejuízos e falta de novas oportunidades de negócios. O mundo da segurança é marcado
pela evolução contínua, no qual novos ataques têm como resposta novas formas de
proteção, que levam ao desenvolvimento de novas técnicas de ataques, de maneira que
um ciclo é formado. De acordo com (NAKAMURA, GEUS. 2007), alguns fatores podem
ser considerados para que a preocupação com a segurança contínua seja justificada:
a) Entender a natureza dos ataques é fundamental: é preciso entender que muitos
ataques são resultado da exploração de vulnerabilidades, as quais passam a existir
decorrente de falhas no projeto, erros de configuração e administração ou na
implementação de um protocolo, aplicação, serviço ou sistema;
b) Aumento da conectividade resulta em novas possibilidades de ataques: a
facilidade de acesso traz como consequência o aumento de novos curiosos e
também da possibilidade de disfarce que podem ser usados nos ataques. Além
disso, novas tecnologias, principalmente os novos protocolos de comunicação
móvel, alteram o paradigma de segurança;
c) Existência tanto de ataques direcionados quanto de ataques oportunistas:
apesar de a maioria dos ataques registrados ser oportunistas, ou seja, de maneira
aleatória, os ataques direcionados também existem em grande número. Esses
ataques direcionados podem ser considerados mais perigosos, pois, existindo a
intenção de atacar, a estratégia pode ser cuidadosamente pensada, estudada e
executada de modo a explorar o elo mais fraco da organização. Esses são,
geralmente, os ataques que resultam em maiores prejuízos e perdas. Isso pode ser
observado também pelo nível de agressividade dos ataques. Quanto mais
agressivo é o ataque, maior é o nível de esforço dispensado em um ataque a um
alvo específico;
12
d) A defesa é mais complexa do que o ataque: para o cracker, basta que ele consiga
explorar apenas um ponto de falha da organização, sendo que, na falha de uma
determinada técnica, ele pode tentar explorar outras, até que seus objetivos sejam
atingidos. Já para as organizações, a defesa é mais complexa, pois exige que todos
os pontos sejam defendidos. O esquecimento de um único ponto impacta
diretamente na segurança dos demais pontos.
e) Aumento dos crimes digitais: o que não pode ser subestimado são os indícios de
que os crimes digitais estão se tornando cada vez mais organizados. As
comunidades criminosas contam, atualmente, com o respaldo da própria Internet,
que permite que limites geográficos sejam transpostos, oferecendo possibilidades
de novos tipos de ataques. Além disso, a legislação para crimes digitais ainda está
na fase da infância em muitos países, o que acaba dificultando uma ação mais
severa para a inibição dos crimes.
Para diminuir os riscos e ameaças que possam explorar as vulnerabilidades de
qualquer sistema, este trabalho descreve a execução de um projeto de implantação de
antivírus, realizado pela Becker Consultoria em prestação de serviço a um cliente.
Este relatório está dividido em quatro partes: a primeira, Revisão de Literatura, tem
por objetivo definir os objetos de estudo do estágio, como malwares e antivírus. A
segunda parte Materiais, Técnicas e Métodos explica-se a forma que se aplicou as
ferramentas e métodos, além de mostrar configurações e informações. A terceira parte
Resultados, mostra alguns relatórios obtidos através das implementações realizadas. E a
última parte, dificuldades encontradas, encontra-se as dificuldades ao aplicar este trabalho
como implantação, softwares defasados, entre outros, e as conclusões do relatório.
13
1. REVISÃO DE LITERATURA
Neste capítulo será apresentado aspectos conceituais que serviram como base para
o desenvolvimento das atividades descritas no relatório. Considerando que as atividades
realizadas no estágio estão contidas nos princípios de segurança da informação, este
capítulo apresentará uma breve descrição de cada um dos conceitos envolvidos.
1.1 Segurança da Informação
Segurança da Informação compreende a proteção das informações, sistemas, e
todos os ativos de uma organização contra desastres, erros (intencionais ou não) e
manipulação não autorizada, objetivando a redução da probabilidade e do impacto de
incidentes de segurança. A segurança da informação é obtida como resultado da
implementação de um conjunto de controles, compreendendo políticas, processos,
procedimentos, estruturas organizacionais e funções de hardware e software (COELHO;
ARAUJO; BEZERRA, 2014).
1.2 Vulnerabilidades, Ameaças e Riscos
De acordo com (COELHO; ARAUJO; BEZERRA, 2014), tem-se os seguintes
conceitos:
Vulnerabilidade são falhas que permitem o surgimento de deficiências na
segurança geral de computador ou da rede;
Ameaça é qualquer evento que explore as vulnerabilidades, causando
potencial de um incidente indesejado, que pode resultar em um dano para o
sistema ou organização;
Risco é a combinação da probabilidade de um evento ocorrer e de suas
consequências para a organização.
1.3 Políticas de Segurança
Política de segurança da informação é um conjunto de diretrizes apoiado por
normas e procedimentos, que determinam as regras e práticas a serem seguidas para
assegurar a segurança da informação, de acordo com o ramo de negócio e requisitos
legais, contratuais e regulamentares aplicáveis a todo o escopo da organização.
14
É através da política de segurança que se definirá as diretrizes, os limites, as
responsabilidades e os objetivos dos controles que deverão ser implementados e
implantados para garantir os requisitos de proteção da segurança da informação na
organização (COELHO; ARAUJO; BEZERRA, 2014).
1.4 Ataques
De acordo com (COELHO; ARAUJO; BEZERRA, 2014), ataque é qualquer tipo
de ação que comprometa a segurança de uma organização. Existem duas formas de
ataques:
Passivos: baseados em escutas e monitoramento de transmissões, com o intuito de
obter informações que estão sendo transmitidas. A escuta de uma conversa
telefônica é um exemplo dessa categoria.
Ativos: envolvem modificações de dados, criação de objetos falsificados ou
negação de serviço. Por exemplo a queda de disponibilidade de um servidor.
Além disso, há quatro modelos de ataques possíveis:
Interrupção: quando um ativo é destruído ou torna-se indisponível (ou
inutilizável), caracterizando um ataque contra a disponibilidade. Exemplo, a
destruição de um HD.
Interceptação: quando um ativo é acessado por um objeto não autorizado (pessoa,
programa ou computador), caracterizando um ataque contra a confidencialidade.
Exemplo, cópia não autorizada de arquivos.
Modificação: quando um ativo é acessado por um objeto não autorizado e ainda
este ativo é alterado, caracterizando um ataque contra a integridade. Exemplo,
mudar valores em um arquivo de dados.
Fabricação: quando um objeto não autorizado insere dados falsificados em um
ativo, caracterizando um ataque contra a autenticidade. Exemplo, inclusão de
registros em um arquivo.
Um outro tipo de ataque conhecido é o ataque de exploit de dia zero (ZETA). Ele
ocorre quando uma vulnerabilidade for descoberta no software, antes do lançamento da
correção para esta vulnerabilidade. Organizações vulneráveis a esses exploits podem
empregar diversos meios de detecção, incluindo redes locais virtuais (LANs) para
proteger dados transmitidos, aplicando um firewall e usando um sistema Wi-Fi seguro
15
para se proteger de ataques de malware que exploram as vulnerabilidades dessas redes.
(KASPERSKY, 2015).
1.5 Malwares e seus tipos
O termo malware é proveniente do inglês malicious software; é um software
destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o
intuito de causar algum dano ou roubo de informações, sendo elas confidenciais ou não
(BitDefender, 2013). Abaixo demonstra-se as principais características dos malwares
mais conhecidos:
Adware: normalmente é um aplicativo que exibe ou baixa sem autorização,
anúncios na tela do computador. Em muitos casos, esse malware vem incorporado a
softwares e serviços. Um exemplo o Skype que mostra propagandas de seus
desenvolvedores;
Backdoor: é, na verdade, uma porta de entrada para malwares. São falhas no
sistema operacional ou em aplicativos que permitem que crackers tenham controle
remoto sobre o equipamento infectado. Por exemplo transmissão de arquivos.
Bots: são programas capazes de se propagar utilizando brechas nos softwares em
um computador. Permitem comunicação com o invasor, e, portanto, são controlados
remotamente. Por exemplo enviar mensagens de spam, disseminar vírus, atacar
computadores e servidores, roubar informações bancárias e sigilosas;
Cavalo de Tróia (Trojan): é um programa que, além de executar as funções para
as quais foi aparentemente projetado, também executa outras funções, normalmente
maliciosas, e sem o conhecimento do usuário. Por exemplo ativar webcam, ligar
microfone, entre outros;
Keyloggers: capturam e armazenam as teclas digitadas no computador infectado.
Assim, as informações de um e-mail ou senhas inseridas, por exemplo, correm riscos;
Spywares: designa uma categoria de malwares que têm como objetivo principal
monitorar as atividades de um sistema e enviar os dados e as informações coletadas para
terceiros. Por exemplo monitoramento de URLs acessadas enquanto o usuário navega na
internet;
Rootkits: é um conjunto de programas que permite que um invasor se esconda e
tenha acesso contínuo ao computador infectado. Esses programas, de modo geral,
16
dificultam a localização do invasor, pois o escondem em usuários e backdoors, por
exemplo;
Vírus: é um programa ou parte de um programa de computador, normalmente
malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros
programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de
infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para
que o computador seja infectado é preciso que um programa infectado seja executado.
Por exemplo, transforma os arquivos de um disco removível em atalho;
Worms: é um tipo de malware capaz de se propagar automaticamente por meio de
redes, enviando cópias de si para outros computadores, a partir de brechas e falhas em
softwares instalados incorretamente.
Cada tipo de código malicioso possui características próprias que o define e o
diferencia dos demais tipos, como forma de obtenção, forma de instalação, meios usados
para propagação e ações maliciosas mais comuns executadas nos computadores
infectados. Para facilitar a classificação e a conceituação, a Tabela 1 apresenta um resumo
comparativo das características de cada tipo (CERT.br. 2015).
Códigos Maliciosos
Vírus Worm Bot Trojan Spyware Backdoor Rootkit
Como é obtido:
Recebido automaticamente pela rede ✔ ✔
Recebido por e-mail ✔ ✔ ✔ ✔ ✔
Baixado de sites na Internet ✔ ✔ ✔ ✔ ✔
Compartilhamento de arquivos ✔ ✔ ✔ ✔ ✔
Uso de mídias removíveis infectadas ✔ ✔ ✔ ✔ ✔
Redes sociais ✔ ✔ ✔ ✔ ✔
Mensagens instantâneas ✔ ✔ ✔ ✔ ✔
Inserido por um invasor ✔ ✔ ✔ ✔ ✔ ✔
Ação de outro código malicioso ✔ ✔ ✔ ✔ ✔ ✔
Como ocorre a instalação:
Execução de um arquivo infectado ✔
Execução explícita do código malicioso ✔ ✔ ✔ ✔
Via execução de outro código malicioso ✔ ✔
17
Exploração de vulnerabilidades ✔ ✔ ✔ ✔
Como se propaga:
Insere cópia de si próprio em arquivos ✔
Envia cópia de si próprio automaticamente
pela rede ✔ ✔
Envia cópia de si próprio automaticamente
por e-mail ✔ ✔
Não se propaga ✔ ✔ ✔ ✔
Ações maliciosas mais comuns:
Altera e/ou remove arquivos ✔ ✔ ✔
Consome grande quantidade de recursos ✔ ✔
Furta informações sensíveis ✔ ✔ ✔
Instala outros códigos maliciosos ✔ ✔ ✔ ✔
Possibilita o retorno do invasor ✔ ✔
Envia spam e phishing ✔
Desfere ataques na Internet ✔ ✔
Procura se manter escondido ✔ ✔ ✔ ✔
Tabela 1 - Resumo comparativo entre os códigos maliciosos. Fonte: CERT.br, 2015.
1.6 Antivírus
São softwares desenvolvidos para detectar, impedir e atuar na neutralização ou
remoção de programas mal-intencionados e malwares (MICROSOFT, 2012). Atualmente
existem no mercado diferentes produtos, uma vez que há diversas formas de infecção.
Assim, os antivírus se diferenciam na forma de detecção¸ funcionalidades e preço final,
entre gratuitos e pagos. Um antivírus gratuito costuma oferecer um serviço básico, sendo
encarregados de somente detectar e bloquear os malwares. No entanto, um antivírus pago
além de possuir as características do gratuito, oferece diversos outros recursos de
proteção, dentre eles pode-se destacar a detecção e remoção de um maior percentual de
ameaças e o suporte oferecido pela empresa do software, que oferece uma resposta mais
rápida em caso de problemas. De acordo com (Rohr, 2015), existem algumas questões
que todos precisam conhecer:
18
1.6.1 Porque o antivírus precisa ser atualizado
O programa antivírus tradicional funciona com o que se chama de "lista negra", ou
seja, o antivírus tem uma relação de programas que ele sabe que são maliciosos. Essa
relação de programas maliciosos é chamada de "banco de dados de assinaturas" e ela
precisa ser atualizada constantemente para que o antivírus possa identificar os programas
maliciosos mais recentes. Milhares de novos códigos prejudiciais são distribuídos
diariamente por criminosos no mundo todo, o que significa que um antivírus
desatualizado tem pouca utilidade.
1.6.2 No que consiste uma assinatura de malware
Em sua forma mais simples, a assinatura de um malware é um trecho de um
programa ou arquivo. Caso o antivírus localize esse trecho, então o programa ou arquivo
é detectado como malicioso. O nome assinatura é uma analogia às assinaturas. A
assinatura que o usuário deixa em um contrato não é propriamente o usuário, mas ela
serve para identificá-lo. O mesmo vale para as assinaturas do antivírus. A assinatura é
uma informação que o antivírus usa para identificar um arquivo malicioso; qualquer coisa
pode estar nessa assinatura, dependendo da capacidade do programa antivírus e a
necessidade em questão.
1.6.3 O que é a quarentena
A quarentena é onde o antivírus armazena os arquivos que foram identificados
como maliciosos. O antivírus não apaga imediatamente os arquivos porque existem casos
em que o antivírus gera um "alarme falso", ou seja, detecta um arquivo que não está
infectado. Ao colocar o arquivo na quarentena, o antivírus lhe dá a opção de
eventualmente recuperar o arquivo.
1.6.4 O que é uma lista branca
A "lista branca" contém os programas que são reconhecidos como bons. Quando
um sistema só permite que programas licenciados sejam usados, ele já trabalha mais ou
menos com a ideia de uma lista branca. Nos antivírus, as "listas brancas" são listas
19
auxiliares para reduzir a ocorrência de alarmes falsos e outros erros dos programas
antivírus. Em alguns contextos empresariais, o sistema de lista branca pode ser aplicado
no lugar da lista negra, proibindo que qualquer aplicativo não autorizado seja instalado e
executado.
1.6.5 O que é a proteção em tempo real
Um antivírus pode detectar programas maliciosos quando você realiza um exame
completo do seu computador. A análise em tempo real verifica os arquivos conforme eles
são lidos ou escritos. Sem ela, o antivírus não tem poder de prevenção, porque não é capaz
de detectar um vírus no momento da contaminação.
20
2. MATERIAIS, TÉCNICAS E MÉTODOS
2.1 Apresentação
O estágio prático foi realizado através da empresa Becker Consultoria, situada
em Cuiabá-MT, tendo como supervisor direto o Sr. Felipe de Paulo Coelho, Diretor
Técnico e Coordenador de Projetos. Tive a oportunidade de realizar este projeto em um
dos clientes da empresa como Outsourcing1(na área de TI), ou seja, acompanhar tarefas
não apenas relacionadas com o objetivo prático deste trabalho, mas também participar
de tarefas de Help Desk de nível um.
Para fins de segurança, nenhuma informação do cliente e/ou da empresa Becker
Consultoria poderá ser revelada. Portanto, as imagens e textos citados neste relatório
conterão restrições e serão utilizados recursos de edição de imagem para garantir que
tais informações não sejam exibidas.
Conforme o título do relatório informa, o projeto inicialmente é divido em duas
partes: implantação e administração. A implantação aconteceu seguindo as melhores
práticas recomendadas pela Symantec para instalação e configuração de um Antivírus
Gerenciável para oferecer segurança contra ameaças em tempo real. A sequência de
implantação seguiu os seguintes procedimentos:
Definição das políticas;
Instalação do console de gerenciamento Symantec Endpoint Protection
Manager® (SEPM);
Instalação do software antivírus Symantec Endpoint Protection® (SEP) nas
estações clientes.
Já a sequência de administração acompanha os seguintes procedimentos:
Acompanhamento e refinamento das políticas definidas;
Relatório de Resultados.
1 Utilização estratégica de fontes externas de mão-de-obra de uma empresa. Ou seja, “terceirização” de
serviços.
21
2.2 Hardware
O gerenciador de antivírus foi instalado em um servidor disponibilizado com as
especificações de acordo com a Tabela 2:
Servidor Antivírus
Hard
ware
Marca / Modelo Dell/Blade Center - Nuvem
Nome Host SRVAV
Disco 2x Discos SATA 500GB em RAID 1
Processador Intel Xeon 2Ghz
Memória 4GB
Soft
ware
Sistema
Operacional Microsoft Windows Server 2012 R2
Ser
viç
os
Instalados Symantec Endpoint Protection® 12.1.6
Tabela 2- Especificações do Servidor.
A escolha de RAID 1 para o servidor foi definida devido a quantidade de discos
disponíveis do servidor e também com o intuito de buscar segurança, uma vez que os
discos recebem as mesmas informações simultaneamente como mostra a Figura 1.
Portanto, a recuperação de uma falha é simples. Quando uma unidade falha, os dados
ainda podem ser acessados pela segunda unidade (STALLINGS, 2010).
Figura 1- Diagrama do RAID 1.
22
2.3 Symantec Endpoint Protection®
O SEP é uma solução cliente-servidor que protege laptops, desktops e servidores
em sua rede contra malwares, riscos e vulnerabilidades. O SEP combina a proteção
antivírus à proteção avançada contra ameaças para proteger de forma proativa seus
computadores-cliente contra ameaças conhecidas e desconhecidas, tais como vírus,
worms, trojans e adwares. O SEP fornece a proteção contra os ataques mais sofisticados
que passam pelas medidas de segurança tradicionais como rootkits, ataques de dia zero e
spywares (Symantec, 2015).
A proteção central da Symantec contra ameaças conhecidas e desconhecidas usa
uma abordagem de defesa em camadas. A abordagem em camadas protege a rede antes,
durante e após um ataque. A Tabela 3 descreve os tipos de proteção que o SEPM usa para
proteger a rede:
Camada Tipo de Proteção Descrição Nome da Tecnologia do SEP
1 Proteção com base
na rede
O firewall e o sistema de
prevenção contra intrusões
bloqueiam mais de 60% dos
malwares enquanto eles
trafegam pela rede e antes que
cheguem ao computador. Essa
defesa preliminar protege contra
downloads não solicitados,
engenharia social, programas
antivírus falsificados,
vulnerabilidades individuais do
sistema, rootkits, botnet e muito
mais.
Proteção contra ameaças à
rede:
■ Firewall
■ IPS compatível com
protocolos
Proteção contra vírus e
spyware:
■ Proteção do navegador
2 Proteção com base
em arquivos
Essa proteção antivírus
tradicional baseada em
assinaturas procura e erradica o
malware que já se alojou em um
sistema. A proteção contra vírus
e spyware bloqueia e remove
malware que chega ao
computador, usando
verificações.
Proteção contra vírus e
spyware:
■ Mecanismo do antivírus
■ Auto-Protect
■ Bloodhound
3 Proteção com base
em reputação O Insight estabelece as
informações sobre entidades,
como sites, arquivos e endereços
IP a serem usados com eficácia
na segurança. Ameaças
Proteção contra vírus e
spyware:
■ Classificação de reputação
de domínios
■ Reputação de arquivos
23
sofisticadas exigem o
aproveitamento da sabedoria
coletiva de mais de 200 milhões
sistemas para identificar
malwares novos e mutantes.
(Insight)
4 Proteção com base
em
comportamento
O SONAR verifica processos
enquanto eles são executados e
se usam comportamentos
maliciosos para indicar a
presença de malware. O
SONAR vigia programas
durante sua execução e bloqueia
comportamentos suspeitos. O
SONAR captura ameaças
visadas e desconhecidas
monitorando agressivamente
processos de arquivo enquanto
são executados e identificam
comportamentos maliciosos.
Quando o SONAR é combinado
com o Insight, essa tecnologia
pode interromper
agressivamente as ameaças de
dia zero sem aumentar falsos
positivos.
■ Proteção proativa contra
ameaças (Política de proteção
contra vírus e spyware):
SONAR
5 Ferramentas de
reparo e correção Quando um malware consegue
ultrapassar as defesas, o Power
Eraser limpa infecções de difícil
remoção e coloca o sistema
novamente online o mais
rapidamente possível. O Power
Eraser usa uma correção
agressiva em infecções de difícil
remoção.
Power Eraser:
■ Inicialização para limpar o
sistema operacional
■ O Power Eraser usa uma
heurística agressiva
■ Ferramentas específicas de
ameaças
Tabela 3- Lista de proteções disponíveis. Fonte: Symantec, 2015.
2.4 Definição das políticas
Neste projeto será utilizado as políticas padrões que o SEP disponibiliza em sua
instalação padrão. Tais políticas englobam os itens abaixo sendo aplicadas tanto as
estações (clientes) quanto aos servidores:
Política de firewall;
Política de prevenção contra intrusões;
Política de LiveUpdate (provedor de atualizações de grupo que permite que os
24
clientes se conectem aos provedores de atualizações em uma rede diferente);
Política de Antivírus e Antispyware;
Política de Exceção (excluir aplicativos e arquivos de serem verificados);
Proteção Endpoint e bloqueio de autorun.inf
Política de backup.
2.5 Instalação do SEPM
Para realizar a instalação do SEPM no servidor é necessário possuir o disco de
instalação ou realizar o download no site da Symantec. Após realizado o download,
extraia todo o arquivo e execute o SETUP.exe. O assistente de instalação do SEPM segue
as seguintes etapas:
1. Revisão da sequência de eventos de instalação: Instalação do servidor de
gerenciamento e o console, configuração do servidor de gerenciamento e
criação do banco de dados.
2. No painel Contrato de licença, aceita-se os termos do contrato de licença.
3. No painel Pasta de destino, é definido a pasta de destino padrão ou especificada
outra pasta de destino.
4. Finaliza-se a instalação do servidor de gerenciamento e console.
5. Após a conclusão da instalação inicial, configura-se o servidor e o banco de
dados. Dentre os tipos de configurações disponíveis existe a Configuração
Padrão (gerenciar menos de 100 clientes e usar banco de dados interno) e a
Personalizada (gerenciar mais de 100). Já o banco de dados pode ser utilizado
entre o interno (é incorporado no SEPM, não exige configuração e suporta até
5000 clientes) e SQL Server (necessário instalar SQL Server e o cliente nativo
do mesmo, além de suportar mais de 5000 clientes). Neste projeto será utilizado
o banco de dados interno e configuração padrão.
6. Cria-se uma conta administrador do sistema (necessária para fazer logon no
console de gerenciamento). É informado o nome da empresa, senha para o
usuário admin (padrão) e e-mail para receber as notificações do sistema. Caso
as licenças dos produtos da empresa são gerenciadas por um parceiro, pode-se
especificar suas informações para os mesmos receberem atualizações sobre
status das licenças (Figura 2).
25
Figura 2- Inserção das informações da empresa, senha, e-mail e parceiros.
7. Esta próxima configuração é opcional: É configurado o gerenciador para
comunicação com o servidor de e-mail para receber as notificações. Pode-se
também enviar e-mail de teste para confirmar se as configurações estão corretas
(Figura 3). No mesmo instante será enviado uma mensagem de teste no e-mail
especificado.
Figura 3 - Configuração de comunicação com servidor de e-mail.
26
8. Ficará selecionada a opção de executar o LiveUpdate (provedor de
atualizações) para coleta de dados do servidor pela Symantec, atualizando
assim as definições de vírus.
9. Após isso será informado as definições de configuração realizadas na
instalação com informações das portas de comunicações, tipo de banco de
dados entre outros (Figura 4).
Figura 4 - Resumo das configurações do servidor.
10. Finalizou-se a instalação do SEPM. Caso selecionado para executar o
LiveUpdate (passo 8), este será executado no momento da conclusão da
instalação (Figura 5). Após o término do LiveUpdate, a tela de logon do console
aparecerá (Figura 6). Após realizar o login, pode-se começar a implementação
do cliente.
27
Figura 5 - LiveUpdate em execução.
Figura 6 - Tela de login do console.
2.6 Instalação do cliente do SEP
É necessário a instalação de um cliente do SEP em cada computador que será
protegido, seja físico ou virtual, inclusive no servidor onde está instalado o SEPM. Para
isso, deve-se preparar os computadores para a implementação do cliente e para
28
comunicação com o SEPM posterior a instalação. Também é preciso alterar todas as
configurações de firewall, além de desinstalar todos os softwares de antivírus de terceiros.
Após realizada a preparação pode-se escolher três métodos de instalação dos clientes:
Link da Web e e-mail: Os usuários recebem uma mensagem de e-mail que
contém um link para fazer o download e instalar o software-cliente. Portanto
para instalação os usuários deverão ter permissões administrativas locais em
seus computadores.
Instalação remota por envio: instala o software-cliente nos computadores
especificados. A instalação é iniciada automaticamente e não exige que o
usuário tenha permissão de administrador local.
Salvar pacote: Cria um pacote de instalação executável que é salvo no servidor
de gerenciamento e distribuídos aos clientes. Neste tipo de instalação é
necessário o usuário local ter permissões administrativas.
Além disso, pode-se escolher o conjunto de recursos que será instalado de acordo
com o nível de segurança ou desempenho dos computadores. As opções disponíveis são:
Proteção completa para clientes;
Proteção completa para servidores;
Proteção básica para servidores (recomendado para servidores com alta taxa de
transferência).
Para este projeto, será instalado o software-cliente pelo método de salvar pacote e
a proteção completa para os servidores e clientes. A instalação manual foi a escolhida,
pois, antes de proceder a instalação do SEP, era necessário retirar todos os softwares
antivírus existentes nas máquinas. Sendo assim, a intervenção manual nos computadores
já seria necessária, uma vez que não havia uma padronização de produtos utilizados,
existindo várias marcas de softwares antivírus, com procedimentos de remoção diversos,
o que inviabilizou a automação por GPOs do Active Directory (AD). Além disso, a
instalação via remoto gera uma grande quantidade de tráfego pela rede, podendo
ocasionar perda de comunicação entre o servidor e o cliente, além do risco que o usuário
possa perder todas as informações e processos que esteja trabalhando devido o
equipamento ser reiniciado ao término da instalação, entre outras ocorrências.
Na sequência é gerado os pacotes de instalação. No console, na página Início, no
menu Tarefas comuns, seleciona-se instalar cliente de proteção nos computadores. Em
Assistente de Implementação de Cliente, executa uma nova implementação de pacote.
29
Define-se o pacote para qual SO será instalado (no caso da empresa, apenas Windows),
o grupo que será aplicado o pacote (definido de acordo com a segurança e/ou
organização da empresa), conjunto de recursos (proteção completa para clientes e
servidores), configuração de instalação (padrão), opção de conteúdo e modo preferido
(computador / padrão); conforme ilustra a Figura 7. Logo após é selecionado um dos
métodos de instalação disponíveis (definido o método de salvar pacote). Feita a escolha,
especifica-se o diretório onde será salvo o pacote e sua extensão (único arquivo .exe ou
arquivos separados .msi). Será mostrada na sequencia o resumo com os recursos que o
pacote conterá (Figura 8), e então será criado os arquivos de instalação.
Figura 7 - Assistente de implementação do cliente.
Com os pacotes criados pode-se fazer a instalação dos softwares-clientes em cada
um dos computadores da organização. Para instalar basta apenas executar o arquivo
Setup.exe que o processo iniciará automaticamente. Por fim, o LiveUpdate será
executado automaticamente para busca de novas atualizações e informará ao usuário a
conclusão do processo de instalação, sendo necessário reiniciar o computador.
30
Figura 8 - Recursos do novo pacote criado.
2.7 Acompanhamento e refinamento das políticas
Após a instalação do SEP em todas as estações (desktops e servidores) da empresa,
é chegado o momento onde realiza-se a administração do gerenciador. Para isto, é preciso
conferir se todos os clientes estão instalados corretamente. Ao acessar o console de
gerenciamento do SEPM na guia “Clientes”, onde é fornecida as informações dos
computadores que foram instalados, podendo ser separados por grupos diferentes de
acordo com a política definida (Capítulo 2.4) para a organização (Figura 9).
31
Figura 9 - Organização das estações em grupos.
Exemplos de grupos que podem ser definidos, separando-os de acordo com tipo de
SO, departamentos, entre outros. Neste projeto utiliza-se duas políticas diferentes, sendo
uma para as estações clientes e outra para os servidores e aloca-se os computadores para
seus respectivos grupos (Figura 10 e 11).
Figura 10 - Lista das estações configuradas.
32
Figura 11 - Lista de servidores integrados.
O acompanhamento continua agora com a aplicação das políticas, se todas estão
funcionando conforme definido no processo de implantação. Caso seja necessário pode-
se criar novas regras ou editar as que estão em execução, além de importa-las e exportá-
las de/para outro gerenciador.
2.7.1 Política de proteção contra vírus e spyware
A política de proteção contra vírus e spyware foi definida com regras de varredura
completa para as estações e servidores com as seguintes ações:
Servidores: A regra esta definida para fazer varredura completa uma vez por
semana toda sexta-feira às 19:30 com ação de limpar as ameaças ou colocar em
quarentena (Figura 12) e realizar varredura rápida diariamente no mesmo
horário.
Figura 12 - Agendamento da verificação nos servidores.
33
Estações: A regra esta definida para fazer varredura completa uma vez por
semana toda sexta-feira às 16:30 com ação de limpar as ameaças ou colocar em
quarentena (Figura 13) e realizar varredura rápida diariamente no mesmo
horário.
Figura 13 - Agendamento da verificação nas estações.
2.7.2 Controle de dispositivos e aplicativos
Nesta política restringe-se a permissão de aplicativos e recursos do sistema que
podem ser usados nos computadores. Estes controles possuem várias finalidades, tais
como impedir que malwares sequestrem aplicativos, impedir que dados sejam removidos
acidentalmente, entre outros. A única regra que será aplicada neste projeto tanto para as
estações quanto para os servidores é o bloqueio do Autorun.inf, pois o cliente que está
sendo realizado este projeto possui um servidor AD que faz o bloqueio de acesso a
dispositivos em massa como unidades USB, leitor de CD/DVD, Bluetooth, impressoras e
portas seriais / paralelas. Portanto, esta regra aplica-se aos usuários que possuem a
liberação dos dispositivos que ao serem conectados, não é executado automaticamente o
processo no qual está indicado no arquivo Autorun.inf.
34
Figura 14 - Regras disponíveis para controle de aplicativos e dispositivos.
2.7.3 LiveUpdate
Esta política ativa o agendamento dos downloads automáticos dos servidores do
LiveUpdate. As configurações de agendamento não controlam os downloads do servidor
de gerenciamento, dos provedores de atualizações do grupo ou das ferramentas de
gerenciamento de conteúdo de terceiros, ou seja, o servidor informará o cliente se existem
atualizações. Caso positivo, as atualizações podem ser estas realizadas a qualquer
momento através do LiveUpdate no computador cliente, ou automaticamente a cada 4
horas conforme a Figura 15.
Figura 15 - Agendamento de execução do LiveUpdate para as estações.
O agendamento do servidor está definido para ser executado diariamente com início
às 19:00 até 23:59, como mostra a Figura 16.
35
Figura 16 - Agendamento do servidor para download de atualizações do LiveUpdate.
2.7.4 Política de exceções
A Política de Exceções é onde se define permissões de aplicativos que estão sendo
bloqueados na rede que o antivírus não irá realizar a varredura e pode ser definida como:
aplicativos, extensões, arquivos, pastas, etc. (Figura 17). Pode-se criar duas regras de
exceções sendo uma para servidores e uma para estações, especificando-as conforme
necessidade do ambiente. Neste projeto não foi aplicado nenhum tipo de exceção.
Figura 17 - Lista de exceções disponíveis.
2.7.5 Rotina de backup
Neste projeto o backup está agendado para ser feito semanalmente toda sexta-
feira as 18:00 (Figura 18) e duas copias de backup são criadas na pasta padrão de
instalação (Figura 19), ou seja, no próprio servidor de gerenciamento: C:\Program
Files (x86)\Symantec\Symantec Endpoint Protection Manager\data\backup.
36
Figura 18 - Rotina de backup.
Figura 19 - Armazenamento do backup.
Como o backup está armazenado na pasta do próprio servidor, caso ocorra algum
problema com o servidor, todos os arquivos de backup serão perdidos, além das políticas
e regras criadas. Para evitar que este incidente ocorra, foi criado um script, disponível no
Anexo A, que realiza a cópia dos arquivos diretamente para o servidor de arquivos da
empresa. Para que os arquivos sejam transferidos e atualizados, foi criado no servidor de
arquivos uma tarefa básica, disponível no Anexo B, que executará o script semanalmente
junto com o backup do SEPM. Com isso, será obtido a garantia de restauração das
políticas e regras caso venha a acontecer algum incidente com o servidor do antivírus,
uma vez que o backup deste servidor estará, também, nos backups do servidor de
arquivos.
2.7.6 Configurações adicionais
O SEPM também oferece outros recursos que podem ser utilizados de acordo com
a necessidade da organização. Alguns exemplos que poderiam ser utilizados são: criar
usuários para acessar o console e atribuir funções específicas (controle de acesso ao
console), permitir ou bloquear o acesso aos consoles remotos (Web), alterar tempo
conectado no console, entre outros. Para este projeto foi utilizado apenas dois recursos
a mais que são: definir mensagem personalizada para antivírus desatualizado e proteção
de senha do cliente.
37
Na primeira configuração pode-se definir mensagens personalizadas para todas as
políticas que estiverem com alguma falha. Um exemplo aplicado neste projeto a política
de proteção contra vírus e spyware (Figura 21). Para isso, acessamos a guia “Políticas”
e seleciona a política desejada. Pode-se criar uma nova política ou editar a padrão. Na
sequência navega-se em “Opções avançadas > Diversos”, e finalmente na guia
“Notificações” (Figura 20).
Figura 20 - Configuração de mensagens personalizadas.
Figura 21 - Exemplo de mensagem personalizada.
Na segunda configuração (proteção do cliente por senha) foi habilitado a proteção
38
com senha para bloqueio nos computadores clientes para acesso a interface de usuário,
interromper o serviço, desinstalação e importar ou exportar políticas e configurações
(Figura 22). Na guia “Clientes”, selecionando o grupo que será configurado a proteção
por senha, na guia “Políticas > Políticas e configurações independentes do local >
Configurações de senha”. Selecionado a proteção desejada, e inserida a senha na caixa
de texto, sendo a mesma limitada a no máximo 15 caracteres.
Figura 22 - Configuração de senha do cliente global.
2.8 Informações sobre licenças
A Symantec disponibiliza uma licença do SEPM padrão que serve para teste válida
por 60 dias a partir da data de instalação do gerenciador (Figura 23). Caso a renovação
não seja aplicada, os serviços de atualização tanto dos servidores quanto das estações
serão interrompidos.
Figura 23 - Informação sobre licença atual.
39
Após a compra da licença, é recebido por e-mail um número de série da licença do
produto a ser inserido no gerenciador ou um arquivo de licença. O arquivo utiliza a
extensão (.slf), podendo ser ativado sem ser necessário realizar a reinstalação do
gerenciador. Para ativá-la, navega-se na guia Administrador > Licenças. No item
“Tarefas”, seleciona “Ativar Licença”. Na sequência escolhe a opção entre “Tenho um
número de série” ou “Tenho um arquivo de licença Symantec (.slf) “. É fornecido as
informações e o produto será atualizado com a nova licença.
40
3. RESULTADOS
Ao final do projeto, foi adicionada mais uma camada de proteção na rede da
organização (Figura 24), além de padronizar a utilização e gerenciamento de apenas um
antivírus, sendo que antes deste projeto ser realizado, o ambiente apresentava três tipos
de antivírus diferentes instalados: Avast, AVG e Avira.
Figura 24 - Diagrama lógico de comunicação cliente-servidor.
Após o término da instalação do SEP nos computadores e o refinamento das regras,
pode-se obter relatórios sobre o status dos computadores quanto as definições de vírus,
lista de atividades de riscos identificados pelo SEP, ameaças a rede, controle de
dispositivos e aplicativos, entre outros.
Na página inicial do console pode-se obter alguns resultados, como por exemplo o
Status de Clientes com Endpoint. Este relatório informa ao cliente a quantidade de
computadores com antivírus e o estado de cada um (Figura 25). Além de mostrar a
informação de forma resumida, indentifica quais computadores não possuem conexão
com o servidor de gerenciamento e aplicar as devidas correções.
41
Figura 25 - Status do Endpoint nos computadores.
Após a realização da primeira varredura completa, logo na primeira semana de
acompanhamento, pode-se obter o resultado do resumo de vírus e ameaças onde mostra
as informações da quantidade de vírus detectados nos computadores que teve tratamento
pelo SEP (Tabela 4). Além do servidor de gerenciamento identificar o tipo de malware,
identifica quantas vezes este malware foi descoberto, podendo existir mais de um tipo de
malware detectado em cada estação cliente/servidor. Provavelmente estes malwares já
estavam nos computadores, porém como os equipamentos possuíam antivírus gratuitos
pode acontecer de os softwares não realizarem o devido tratamento ou até mesmo não os
ter identificados.
Nome do risco Número %
ALS.Bursted.B 9 25,7
W32.Downadup.B 8 22,9
SearchProtect 3 8,6
Suspicious.MH690 3 8,6
Trojan.Gen.2 3 8,6
Tracking Cookies 2 5,7
WS.SecurityRisk.3 2 5,7
Adware.DealPly 1 2,9
Infostealer.Gampass 1 2,9
OptimizerPro 1 2,9
Trojan.ADH.2 1 2,9
WS.Malware.1 1 2,9 Tabela 4 - Malwares detectados na rede.
42
Além disso, é esperado diminuir a degradação do SO decorrente de infecções
causadas pelos malwares; ocasionando travamentos, perda de informações, entre outros.
E também a eliminação de vulnerabilidades do ambiente que comprometam a segurança
das informações, reduzindo o volume de atendimentos de suporte dos computadores
devido aos problemas ocasionados por estes malwares.
Outro fator importante a ser mencionado é que, após a apresentação dos relatórios
do SEPM juntamente com os relatórios de atendimentos de suporte, foi inclusa no
contrato de atendimento uma licença completa (anual) do SEP para atender todas as
estações e servidores com a máxima proteção oferecida pelo antivírus, visto que a
diretoria entendeu a necessidade da política de proteção que foi apresentada para a
proteção tanto da rede, quanto das informações da empresa. No relatório de atendimentos
de suporte apresentado temos que, antes da implantação deste projeto, haviam 11
chamados para manutenção em computadores infectados e após a implantação do projeto,
tivemos apenas um chamado.
43
4. DIFICULDADES ENCONTRADAS
Durante o período do estágio diversas dificuldades foram encontradas. A primeira
e mais importante delas foi o estudo do SEP, ou seja, além da parte de implantação do
gerenciador, as ferramentas e configurações que o software disponibiliza e finalmente a
criação das regras e políticas de acordo com a necessidade do cliente.
Outra dificuldade encontrada neste período foi a instalação nos computadores.
Neste processo além da desinstalação do antivírus antigo e instalação do SEP, logo após
é executado o LiveUpdate automaticamente, na busca de novas definições de vírus e
spyware. Ou seja, além da instalação, o tempo total de instalação depende da conexão
com a internet para atualização das definições. 60% dos computadores que o cliente
possui como patrimônio estão defasadas, o que ocasionou em uma certa lentidão no
processo de desinstalação do antivírus anterior e instalação do SEP. Normalmente nos
computadores atuais, o processo dura em torno de 15 a 25 minutos. Já nos computadores
defasados, o processo levou cerca de 30 a 40 minutos cada.
E por fim durante a fase de acompanhamento pós-implantação, surgiu também a
exclusão de alguns arquivos confiáveis que o antivírus identificou como ameaças,
colocando-os em quarentena por exemplo instalador de softwares da receita federal, entre
outros. Quando era necessário a atualização desses softwares, ao término do download
do arquivo de instalação o antivírus identificava-o como item suspeito (devido ao arquivo
ser pouco utilizado). Como os usuários não possuem permissão para adicionar estes
arquivos como itens confiáveis, fez-se necessário o acesso com uma conta administrativa,
a restauração do arquivo (em alguns dos casos realizado novamente o download dos
aplicativos), e inclusão na lista dos itens confiáveis; fazendo com que o antivírus não
verifique mais novamente a pasta e o aplicativo e identifique-o como risco.
44
5. CONCLUSÕES
Nos dias de hoje, pode-se afirmar que as redes e computadores não são imunes à
ameaças e que, também, não existem softwares que possam fornecer toda a proteção
necessária contra todas as ameaças. Por isso, é importante ficar atento em cada detalhe
para que não seja surpreendido com perdas de dados e danos ao sistema. Um malware
sempre se propaga o máximo possível até iniciar um evento para o qual foi construído.
Porém, é comum o aparecimento de alguns sintomas quando a rede/computador está
infectada como por exemplo: mensagens, músicas ou imagens.
O projeto implantado na empresa além de oferecer segurança extra a rede e aos
computadores, permitiu à empresa gerenciar recursos que permitem detectar vários
eventos que venham a ocorrer e que prejudique a integridade dos dados, equipamentos,
entre outros.
Com este trabalho concluído e com o ambiente melhor estruturado, pode-se mostrar
os resultados obtidos antes não vistos com tanta atenção e, através dos resultados, iniciar
outros projetos necessários que ampliem a segurança e a prevenção contra acidentes ou
imprevistos, uma vez que novas tecnologias surgem diariamente e é parte do trabalho do
profissional de TI estar sempre informado sobre novas ameaças e trazer formas de
prevenção para seus clientes.
O próximo passo a ser sugerido ao cliente será um sistema de backup em nuvem,
pois no cenário atual todas as informações são armazenadas em um servidor físico
localizado na própria empresa. Além da facilidade de expansão do armazenamento e da
alta disponibilidade, este tipo de solução reduz o risco contra eventos de catástrofes que
possam comprometer a integridade física dos dados, além de reduzir o investimento no
parque computacional.
No entanto, é necessário destacar que ao utilizar soluções em nuvem, faz-se
necessário ampliar a atenção com a privacidade dos dados, aplicando um forte esquema
de criptografia, uma vez que os dados de uma empresa privada passarão a serem
armazenados em um ambiente público, apesar de estar protegido por um rígido contrato
de confidencialidade.
45
6. REFERÊNCIAS BIBLIOGRÁFICAS
BITDEFENDER. Malware o que é, e quais os tipos existentes: 2013. Disponível em:
<https://www.oficinadanet.com.br/post/8550-malware-o-que-e-e-quais-os-tipos-
existentes>. Acesso em: 08 mar. 2016.
CERT.br. Cartilha de Segurança para Internet: 2012. Disponível em:
<http://cartilha.cert.br/malware/>. Acesso em: 11 abr. 2016.
COELHO, F. E. S; ARAUJO, L. G. S. D; BEZERRA, E. K. Gestão da Segurança da
Informação: NBR 27001 e NBR 27002. Rio de Janeiro: Escola Superior de Redes,
2014.
CORPORATION, Microsoft. O que é software antivírus: 2012. Disponível em:
<https://www.microsoft.com/pt-br/security/resources/antivirus-whatis.aspx>.
Acesso em: 11 abr. 2016.
CORPORATION, Symantec. Installation and Administration Guide SEP 12.1.6.:
2015. Disponível em: <https://support.symantec.com/pt_BR/article.DOC8645.html>.
Acesso em: 02 mar. 2016.
LAB, Kaspersky. O que é exploit de dia zero (ZETA): 2015. Disponível em:
<http://brazil.kaspersky.com/internet-security-center/definitions/zero-day-exploit >.
Acesso em: 11 abr. 2016.
MÉDICE, Roney. A importância da segurança da informação – Visão Corporativa:
2013. Disponível em: <http://www.profissionaisti.com.br/2013/07/a-importancia-da-
seguranca-da-informacao-visao-corporativa/>.Acesso em; 11 abr. 2016.
46
NAKAMURA, E. T; GEUS, P. L. D. Segurança de Redes em Ambientes
Cooperativos. Novatec, 2007.
ROHR, Altieres. Como funciona um programa antivírus: 2015. Disponível em:
<http://g1.globo.com/tecnologia/blog/seguranca-digital/post/g1-explica-como-funciona-
um-programa-antivirus.html>. Acesso em: 11 mar. 2016
STALLINGS, William. Arquitetura e Organização de Computadores. 8. ed. São
Paulo: Pearson Prentice Hall, 2010.
47
ANEXOS
Anexo A – Script de backup
Anexo B – Tarefa de backup de arquivos do Windows