Guia de Implementação do Symantec™ Central Quarantine

Transcrição

Guia de Implementação do
Symantec™ Central
Quarantine
Guia de Implementação do Symantec™ Central
Quarantine
O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado
somente de acordo com os termos desse contrato.
Versão da documentação 12.01.00.00
Aviso legal
Copyright © 2011 Symantec Corporation. Todos os direitos reservados.
Symantec, o logotipo da Symantec, Bloodhound, Confidence Online, Digital Immune System,
LiveUpdate, Norton, Sygate e TruScan são marcas comerciais ou marcas registradas da
Symantec Corporation ou de seus afiliados nos Estados Unidos e em outros países. Outros
nomes de produtos podem ser marcas comerciais de seus respectivos proprietários.
Este produto da Symantec pode conter software de terceiros para o qual são necessárias
atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns
dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou
livre. O Contrato de licença que acompanha o software não altera nenhum direito ou obrigação
que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o
Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP
que acompanha este produto da Symantec para obter mais informações sobre os Programas
de terceiros.
O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia,
a distribuição e a descompilação/engenharia reversa. Não será permitida, de forma alguma,
a reprodução de qualquer seção deste documento sem a autorização prévia escrita da
Symantec Corporation e dos licenciadores, se houver algum.
A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS
CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO
QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM
PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES
DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A
SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS
OU CONSEQUENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA
DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS À
ALTERAÇÃO SEM AVISO PRÉVIO.
O Software licenciado e a documentação são considerados software comercial para
computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme
definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos
restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou
documentação de software comercial para computadores", conforme aplicável, e todas as
regulamentações sucessoras. O uso, a modificação, versão de reprodução, apresentação,
exibição ou divulgação do Software licenciado e da documentação pelo governo dos EUA
devem ser feitos exclusivamente de acordo com os termos deste Contrato.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.com.br
Suporte técnico
O suporte técnico da Symantec mantém centros globais de suporte. A principal
função do suporte técnico é de responder a consultas específicas sobre os recursos
e a funcionalidade dos produtos. A equipe de suporte técnico cria também o
conteúdo para nossa Base de conhecimento on-line. A equipe de suporte técnico
trabalha em colaboração com outras áreas funcionais dentro da Symantec para
responder prontamente suas perguntas. Por exemplo, a equipe de suporte técnico
trabalha com a Engenharia de produtos e o Symantec Security Response para
fornecer serviços de alerta e atualizações das definições de vírus.
As ofertas de suporte da Symantec incluem o seguinte:
■
Várias opções de suporte que lhe proporcionam flexibilidade para selecionar
a quantidade adequada de serviços para empresas de todos os portes.
■
Suporte telefônico e/ou com base na Web que fornece resposta rápida e
informações atualizadas
■
Garantia de upgrade que fornece upgrades de software
■
Suporte global adquirido em um horário comercial regional ou 24 horas por
dia, 7 dias por semana
■
Ofertas de serviços Premium que incluem Serviços de gerenciamento de conta
Para obter mais informações sobre as ofertas de suporte da Symantec, acesse
nosso site no seguinte URL:
www.symantec.com/pt/br/business/support/
Os serviços de suporte serão fornecidos de acordo com seu contrato de suporte e
com a política de suporte técnico corporativo atual.
Contato com o suporte técnico
Os clientes com um contrato de suporte atual podem acessar as informações do
suporte técnico no seguinte URL:
Antes de entrar em contato com o suporte técnico, certifique-se de satisfazer os
requisitos do sistema que estão relacionados na documentação do produto. Além
disso, é necessário estar no computador em que ocorreu o problema, caso seja
necessário replicá-lo.
Quando você entra em contato com o suporte técnico, tenha disponíveis as
seguintes informações:
■
Nível de versão do produto
■
Informações de hardware
■
Memória disponível, espaço em disco e informações do NIC
■
Sistema operacional
■
Versão e nível de patch
■
Topologia da rede
■
Roteador, gateway e informações do endereço IP
■
Descrição do problema:
■
Mensagens de erro e arquivos de log
■
Soluções de problemas executadas antes de entrar em contato com a
Symantec
■
Mudanças de configuração recentes do software e mudanças da rede
Licenciamento e registro
Se seus produtos da Symantec exigem o registro ou um código de licença, acesse
nossa página da Web do suporte técnico no seguinte URL:
Atendimento ao cliente
As informações do atendimento ao cliente estão disponíveis no seguinte URL:
O atendimento ao cliente está disponível para ajudar com perguntas não técnicas,
como os seguintes tipos de problemas:
■
Perguntas a respeito do licenciamento ou da serialização do produto
■
Atualizações de registro do produto, como alterações de endereço ou de nome
■
Informações gerais sobre o produto (recursos, disponibilidade de idiomas,
revendedores locais)
■
Informações mais recentes sobre atualizações e upgrades do produto
■
Informações sobre a garantia de upgrade e os contratos de suporte
■
Informações sobre os programas de compra da Symantec
■
Recomendações sobre as opções de suporte técnico da Symantec
■
Perguntas não técnicas do pré-vendas
■
Problemas relacionados aos CD-ROMs, DVDs ou manuais
Recursos do contrato de suporte
Se desejar contatar a Symantec a respeito de um contrato de suporte existente,
entre em contato com a equipe de administração do contrato de suporte de sua
região da seguinte forma:
Pacífico-Asiático e Japão
[email protected]
Europa, Oriente Médio e África
[email protected]
America do Norte e América Latina
[email protected]
Serviços corporativos adicionais
A Symantec oferece um conjunto completo de serviços que permitem que você
maximize seu investimento nos produtos da Symantec e desenvolva seus
conhecimentos, conhecimento técnico e percepção global, que possibilitam
gerenciar de forma proativa os riscos de negócios.
Os serviços corporativos que estão disponíveis incluem:
Serviços gerenciados
Os serviços gerenciados removem a carga de dispositivos e eventos de
gerenciamento e monitoramento de segurança, garantindo a resposta rápida
às ameaças reais.
Serviços de consultoria
Os Serviços de Consultoria da Symantec fornecem conhecimento técnico da
Symantec e de seus parceiros de confiança no local. Os Serviços de Consultoria
da Symantec oferecem várias opções prontas e personalizáveis que incluem
recursos de avaliação, planejamento, implementação, monitoramento e
gerenciamento. Essas opções estão centradas no estabelecimento e na
manutenção da integridade e da disponibilidade de seus recursos de TI.
Serviços de capacitação
Os Serviços de capacitação fornecem uma gama completa de programas de
treinamento técnico, treinamento em segurança, certificação de segurança e
de sensibilização.
Para acessar mais informações sobre os serviços corporativos, acesse nosso site
no seguinte URL:
www.symantec.com/pt/br/business/services/
Selecione seu país ou idioma do índice do site.
Sumário
Suporte técnico ................................................................................................... 4
Capítulo 1
Apresentação do Symantec Central Quarantine ............ 9
Sobre o Symantec Central Quarantine ............................................... 9
Sobre os componentes da Quarentena central .................................... 10
Como funciona a Quarentena central ............................................... 11
Sobre a identificação e quarentena de vírus ................................. 12
Sobre a análise de vírus ........................................................... 12
O que pode ser feito com a Quarentena central .................................. 13
Onde obter mais informações sobre a Quarentena central .................... 14
Capítulo 2
Instalação e configuração da Quarentena
central .............................................................................. 15
Antes da instalação ......................................................................
Requisitos do sistema para o Console de quarentena ...........................
Requisitos do sistema para o Servidor da Quarentena central ...............
Instalação da Quarentena central ....................................................
Sobre a Quarentena central ............................................................
Sobre as propriedades da Quarentena central ....................................
Ativação do Servidor de quarentena ................................................
Configuração do Servidor de quarentena ..........................................
Configuração de uma política de proteção contra vírus e spyware para
usar o servidor de quarentena ..................................................
Capítulo 3
15
16
17
18
19
19
22
22
23
Utilização do Symantec Central Quarantine ................. 25
Gerenciamento de arquivos em quarentena .......................................
Exibição dos itens em quarentena .............................................
Exclusão de arquivos em quarentena .........................................
Restauração de arquivos em quarentena .....................................
Submissão de amostras para análise ................................................
Definição de uma política de envio automático de amostras ...........
Envio manual de arquivos ........................................................
Exame do status do envio de amostras .............................................
Exibição dos atributos de uma amostra .......................................
25
25
26
27
27
28
28
29
29
8
Sumário
Verificação das ações tomadas em uma amostra ..........................
Verificação dos erros de envio de uma amostra ............................
Configuração de eventos e alertas ...................................................
Especificação dos eventos que acionam alertas ............................
Apêndice A
Referência do processamento de amostras .................. 33
Sobre o processamento de amostras ................................................
Status das amostras ......................................................................
Estado da amostra ........................................................................
Estados finais ........................................................................
Estados de trânsito .................................................................
Estados pendentes ..................................................................
Estados ativos .......................................................................
Erros nas amostras .......................................................................
Índice
30
30
30
30
33
33
34
35
36
37
37
39
................................................................................................................... 41
Capítulo
1
Apresentação do Symantec
Central Quarantine
Este capítulo contém os tópicos a seguir:
■
Sobre o Symantec Central Quarantine
■
Sobre os componentes da Quarentena central
■
Como funciona a Quarentena central
■
O que pode ser feito com a Quarentena central
■
Onde obter mais informações sobre a Quarentena central
Sobre o Symantec Central Quarantine
Quando o Symantec Endpoint Protection encontra um item infectado, que não
pode ser reparado com as definições de vírus atuais, bloqueia o acesso ao item.
Depois, o produto empacota o item com todos os arquivos de sistema e
configurações afetados e move o pacote para a quarentena local. A quarentena
local é um local especial reservado para arquivos infectados e efeitos colaterais
relacionados ao sistema. Após vírus e outras ameaças serem isolados em uma
quarentena local, eles não podem se disseminar nem danificar o computador.
O Symantec Endpoint Protection pode encaminhar automaticamente os pacotes
que contêm arquivos infectados e seus efeitos colaterais relacionados de uma
quarentena local para a Quarentena central. A Quarentena central é um repositório
central composto de dois componentes primários, o Servidor da Quarentena central
e o Console de quarentena. O Servidor da Quarentena central armazena amostras
infectadas e se comunica com o Symantec Security Response. O Console de
quarentena, que se associa ao Microsoft Management Console (MMC), permite
gerenciar o Servidor da Quarentena central.
10
Apresentação do Symantec Central Quarantine
Você pode coletar as informações de análise posterior mais facilmente usando a
Quarentena central. Você pode obter uma amostra de um computador infectado
sem ter que ir fisicamente até esse computador.
Além de verificar se há vírus nos arquivos, os clientes do Symantec Endpoint
Protection verificam se há riscos à segurança, como spyware, adware, ferramentas
de hacker e programas de brincadeiras. Também é possível encaminhar esses
arquivos infectados à Quarentena central. No entanto, as ameaças detectadas e
colocadas em quarentena pela Proteção proativa contra ameaças são enviadas
usando um mecanismo diferente.
Consulte “Sobre os componentes da Quarentena central” na página 10.
Consulte “Onde obter mais informações sobre a Quarentena central” na página 14.
A Tabela 1-1 descreve os componentes do Symantec Central Quarantine.
Tabela 1-1
Componentes da Quarentena central
Componente
Descrição
Symantec Security Response Centro de análise automatizada, que verifica e analisa os
itens enviados, cria e distribui definições de vírus
atualizadas.
Gateway
O intermediário entre o Symantec Security Response e a
Quarentena central. As amostras são analisadas e somente
encaminhadas ao Symantec Security Response se não
puderem ser reparadas pelas definições no gateway. Se a
amostra puder ser reparada, as definições retornarão do
gateway para a Quarentena central.
Console de quarentena
A interface do usuário da Quarentena central usada para
configurar operações do Servidor de quarentena,
comunicar-se com o gateway e gerenciar atualizações de
definições.
Servidor de quarentena
Componente que aceita arquivos infectados e efeitos
colaterais de vários servidores e clientes, comunicando-se
com o Console de quarentena. Os itens que chegam à
Quarentena são verificados com o conjunto de definições
do Servidor de quarentena e enviados se não puderem ser
reparados. O Servidor de quarentena deve ser configurado
para monitorar portas específicas nos protocolos IP. O
cliente deve estar configurado para encaminhar para a porta
que corresponda ao protocolo de envio do cliente.
Componente
Descrição
Agente da quarentena
Componente que controla a comunicação entre o Servidor
de quarentena e o gateway, acionando o mecanismo Defcast.
O Agente da quarentena assegura que a Quarentena central
possua o conjunto de definições mais atualizado do gateway.
Verificador da quarentena
Componente que verifica arquivos enviados com o conjunto
de definições do Servidor de quarentena. As amostras que
chegam à Quarentena central devem ser verificadas antes
que possam ser enviadas.
Defcast
Componente que consulta o número de sequência das
definições de vírus dos servidores e clientes.
Consulte “Como funciona a Quarentena central” na página 11.
Consulte “Onde obter mais informações sobre a Quarentena central” na página 14.
A Quarentena central usa o Digital Immune System para gerenciar o processo
inteiro do antivírus. O Digital Immune System elimina muitas das tarefas manuais
envolvidas nos processos de envio e análise. A automação reduz o tempo decorrido
entre a descoberta de um vírus e quando um reparo é implementado com o
LiveUpdate.
O Digital Immune System faz o seguinte:
■
Identifica e coloca em quarentena: Usa heurística e detecção comportamental
poderosas para identificar rapidamente ameaças novas. Os itens suspeitos são
isolados no Servidor da Quarentena central e as amostras são enviadas
automaticamente para o Symantec Security Response para análise.
■
Analisa: envia os arquivos ao Symantec Security Response para análise, reparo
e teste.
Nota: Apenas as ameaças de vírus que são colocadas em quarentena são
transferidas para o Servidor da Quarentena central. As ameaças não virais são
encaminhadas diretamente do cliente para a Symantec e nunca aparecem na
Quarentena central.
Consulte “Sobre a identificação e quarentena de vírus” na página 12.
Consulte “Sobre a análise de vírus” na página 12.
11
12
Sobre a identificação e quarentena de vírus
O primeiro objetivo do Digital Immune System é detectar ameaças novas ou
desconhecidas no computador, no servidor e no gateway. A Symantec usa a
tecnologia heurística Bloodhound, projetada para detectar a maioria das variedades
novas ou desconhecidas de vírus.
É possível configurar clientes para que enviem automaticamente arquivos suspeitos
e seus respectivos efeitos colaterais para uma Quarentena local. Uma Quarentena
local pode estar localizada na área de trabalho, no servidor ou no gateway. A
Quarentena local cria um pacote de arquivos suspeitos com informações sobre o
computador de origem e encaminha os arquivos à Quarentena central corporativa
para análise detalhada.
Como a Quarentena central pode conter definições de vírus mais atualizadas que
o computador que está enviando os arquivos, ela usa seu próprio conjunto de
definições de vírus para verificar os arquivos. Se não puder reparar um arquivo,
a Quarentena central removerá dele informações possivelmente sigilosas, se
estiver configurada para isso, e o criptografará. O Digital Immune System transmite
o arquivo pela Internet para um gateway da Symantec para maior análise.
Os administradores podem configurar o Digital Immune System para executar
automaticamente as seguintes tarefas:
■
Detectar e colocar em quarentena vírus novos e desconhecidos.
■
Filtrar e encaminhar amostras criptografadas ao Symantec Security Response
para análise. O Digital Immune System pode remover o conteúdo sigiloso.
■
Procurar novas definições de vírus e atualizações de status.
Consulte “Sobre a análise de vírus” na página 12.
Sobre a análise de vírus
O Agente da quarentena se encarrega da comunicação entre a Quarentena central
e o gateway da Symantec. Se a Quarentena central não puder reparar um arquivo
infectado, o Agente da quarentena o encaminhará ao gateway. Posteriormente, o
Agente da quarentena consulta o gateway para verificar se o reparo está pronto.
Se o reparo estiver pronto, o Agente da quarentena fará o download do novo
conjunto de definições de vírus e instalará as novas definições na Quarentena
central. Se o reparo não estiver pronto, o Agente da quarentena pesquisará o
gateway a cada 60 minutos em busca de um reparo.
Ao receber uma nova submissão, o Digital Immune System:
■
Adiciona o envio a um banco de dados de controle.
■
Filtra o envio para eliminar arquivos limpos, falsos positivos, vírus conhecidos
e ameaças expandidas. A filtragem é rápida, e como a maioria dos envios é
resolvida por meio de filtragem, o tempo de resposta para itens filtrados é
rápido.
■
Analisa o vírus e os efeitos colaterais, gera um reparo e testa o reparo criado.
Na maioria dos casos, a análise e o reparo são gerados automaticamente, mas
alguns vírus podem exigir a intervenção dos pesquisadores do Symantec
Security Response.
■
Compila um novo conjunto de definições de vírus, que inclui uma nova
impressão digital, e retorna as novas definições ao gateway.
Consulte “Sobre a identificação e quarentena de vírus” na página 12.
As versões anteriores da Quarentena central conduziam novas definições de vírus
e ameaças a todos os clientes legado que enviavam itens em quarentena. Essa
versão da Quarentena central ainda envia itens ao Symantec Security Response
e recebe atualizações para esses itens. Entretanto, essa versão não conduz as
definições para os clientes que executam o Symantec Endpoint Protection.
Todavia, a Quarentena central proporciona um local único para a disposição de
todos os itens em quarentena na rede. Todos os itens em quarentena são exibidos
em uma janela e são enviados automaticamente ao Symantec Security Response.
Essa janela também fornece informações sobre as ameaças enviadas, como o
usuário e o computador que pegou a ameaça. Essa janela também mostra o status
das definições criadas para detectar as ameaças desconhecidas que você enviar.
O Digital Immune System fornece informações sobre as ameaças enviadas à
Symantec Global Intelligence Network, que oferece compreensão inigualável no
cenário da segurança na Internet. A Symantec Global Intelligence Network consiste
em mais de 150 milhões de sensores antivírus para desktop, 40.000 sensores de
firewall e de detecção de intrusos e 4.300 dispositivos monitorados e gerenciados
em todo o mundo. Essas informações são combinadas ao banco de dados de
vulnerabilidades da Symantec, com 13.000 entradas, o maior do mundo. Essas
entradas abrangem 30.000 versões de aplicativos e sistemas operacionais de mais
de 4.000 fornecedores.
Consulte “Antes da instalação” na página 15.
Consulte “Sobre a Quarentena central” na página 19.
13
14
Onde obter mais informações sobre a Quarentena central
Onde obter mais informações sobre a Quarentena
central
Você pode encontrar a documentação principal sobre a Quarentena central na
pasta Documentação no disco de instalação. Algumas pastas de componentes
individuais contêm a documentação específica do componente. As atualizações
da documentação estão disponíveis nos sites do Suporte Técnico da Symantec e
do Business Critical Services (anteriormente suporte Platinum).
A Tabela 1-2 relaciona as informações adicionais disponíveis nos sites da Symantec.
Tabela 1-2
Sites do Suporte Técnico da Symantec
Tipos de informação
Endereço na Web
Base de conhecimento pública
http://www.symantec.com/pt/br/business/support/index.jsp
Versões e atualizações
Manuais e documentação
Opções de contato
Informações e atualizações de vírus e
outras ameaças
http://www.symantec.com/pt/br/security_response/
Novidades e atualizações sobre
produtos
http://www.symantec.com/pt/br/business
Acesso ao Business Critical Services
https://www-secure.symantec.com/platinum/login_br.html
(anteriormente suporte Platinum) pela
Web
Consulte “Sobre o Symantec Central Quarantine” na página 9.
Capítulo
2
Instalação e configuração
da Quarentena central
■
Antes da instalação
■
Requisitos do sistema para o Console de quarentena
■
Requisitos do sistema para o Servidor da Quarentena central
■
Instalação da Quarentena central
■
Sobre a Quarentena central
■
Sobre as propriedades da Quarentena central
■
Ativação do Servidor de quarentena
■
Configuração do Servidor de quarentena
■
Configuração de uma política de proteção contra vírus e spyware para usar o
servidor de quarentena
Antes da instalação
Antes de instalar a Quarentena central, você deve considerar o seguinte:
■
Direitos de administrador são requeridos para a instalação do Console de
quarentena e do Servidor de quarentena. Certifique-se de ter os direitos
apropriados antes da instalação.
■
Certifique-se de desinstalar qualquer versão anterior da Quarentena central
que existir no computador.
16
Instalação e configuração da Quarentena central
■
A Quarentena central é formada pelo Servidor de quarentena e pelo Console
de quarentena. É possível instalar o Servidor de quarentena e o Console de
quarentena nos mesmos computadores ou em computadores diferentes que
executem Windows 2000/XP/2003.
■
O Console de quarentena deve usar o mesmo protocolo de rede (TCP/IP) que
o Servidor de quarentena para configurá-lo.
■
Os produtos que usam quarentena podem encaminhar arquivos ao Servidor
de quarentena usando TCP/IP. Verifique se esse protocolo de rede está instalado
no Servidor de quarentena.
Consulte “Requisitos do sistema para o Console de quarentena” na página 16.
Consulte “Requisitos do sistema para o Servidor da Quarentena central”
na página 17.
O Console de quarentena tem os seguintes requisitos.
Tabela 2-1
Componente
32 bits
Processador
Intel Pentium III de 600 MHz
Sistema operacional
É oferecido suporte para os seguintes sistemas operacionais:
Windows 2000 Professional/Server/Advanced Server/Datacenter Server
com Service Pack 3 ou superior
■ Windows XP Professional com Service Pack 1 ou superior
■
■
Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter
Edition/Web Edition
Nota: O Console de quarentena não foi testado em sistemas operacionais de
64 bits.
Memória
64 MB de RAM
Disco rígido
35 MB
Vídeo
XGA (1024x768) ou adaptador de vídeo e monitor com maior resolução
Componente
32 bits
Outros requisitos
Os outros requisitos a seguir devem ser atendidos:
■
Internet Explorer 5.5 com Service Pack 2 ou superior
■
Microsoft Management Console (MMC) versão 1.2 ou superior
Se o MMC ainda não estiver instalado, serão necessários 3 MB de espaço
livre em disco (10 MB durante a instalação).
Consulte “Instalação da Quarentena central” na página 18.
Requisitos do sistema para o Servidor da Quarentena
central
O Servidor da Quarentena central tem os seguintes requisitos.
Tabela 2-2
Componente
32 bits
Processador
Intel Pentium III de 600 MHz
Sistema operacional
É oferecido suporte para os seguintes sistemas operacionais de 32 bits:
Windows 2000 Professional/Server/Advanced Server/Datacenter Server
com Service Pack 3 ou superior
■ Windows XP Professional com Service Pack 1 ou superior
■
■
Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter
Edition/Web Edition
Nota: O Servidor de quarentena não foi testado e não é suportado em sistemas
operacionais de 64 bits.
Memória
128 MB de RAM
Disco rígido
40 MB, 500 MB a 4 GB recomendados para itens em quarentena e arquivo de
troca de 250 MB
Vídeo
XGA (1024x768) ou adaptador de vídeo e monitor com maior resolução
Outros requisitos
■
Internet Explorer 5.5 com Service Pack 2 ou superior
Consulte “Instalação da Quarentena central” na página 18.
17
18
A instalação da Quarentena central consiste das seguintes tarefas:
■
Instalação do Console de quarentena
■
Instalação do Servidor de quarentena
Nota: Você pode instalar o console e o servidor em qualquer ordem.
Para instalar o Console de quarentena
1
Inicie a instalação do disco de produto das ferramentas e clique em Instalar
o Console da Quarentena central.
2
Na caixa de diálogo de apresentação, clique em Avançar.
3
Na caixa de diálogo Contrato de licença, selecione Aceito os termos do
contrato de licença.
4
Clique em Avançar.
5
Na caixa de diálogo Pasta de destino, selecione uma das seguintes opções:
■
Avançar: para instalar na pasta padrão.
■
Alterar: para selecionar outra pasta.
Não instale o Console de quarentena em uma unidade de rede.
6
Siga as instruções na tela para concluir a instalação.
Para instalar o Servidor de quarentena
1
Inicie a instalação do disco de produto das ferramentas e clique em Instalar
o Console da Quarentena central.
2
Na caixa de diálogo de apresentação, clique em Avançar.
3
Na caixa de diálogo Contrato de licença, selecione Aceito os termos do
contrato de licença.
4
Clique em Avançar.
5
Na caixa de diálogo Pasta de destino, selecione uma das seguintes opções:
■
Avançar: para instalar na pasta padrão.
■
Alterar: para selecionar outra pasta.
O Servidor de quarentena não deve ser instalado em uma unidade de rede.
6
Clique em Avançar.
7
Na caixa de diálogo Máximo de espaço em disco, aceite o espaço em disco
padrão de 500 megabytes ou insira um novo valor (em megabytes) na caixa
Espaço em disco e clique em Avançar.
8
Na caixa de diálogo Informações de contato, digite o nome da empresa, o
número da conta (se disponível), o nome, o telefone e o e-mail do contato.
9
Clique em Avançar.
10 Na caixa de diálogo Comunicação na Web, aceite o endereço do gateway padrão
ou digite outro endereço (se fornecido pela Symantec) na caixa Nome do
gateway. Depois, clique em Avançar.
11 Siga as instruções na tela para concluir a instalação.
Consulte “Ativação do Servidor de quarentena” na página 22.
A Quarentena central é composta de dois componentes principais, o Servidor de
quarentena e o Console de quarentena. O Servidor de quarentena armazena
amostras infectadas e se comunica com o Symantec Security Response. O Console
de quarentena, que se associa ao Microsoft Management Console, permite gerenciar
o Servidor de quarentena.
Para usar a Quarentena central, proceda da seguinte maneira:
■
Ative o Servidor de quarentena.
■
Configure o Servidor de quarentena.
■
Configure os clientes para que encaminhem amostras ao Servidor de
quarentena.
Consulte “Sobre as propriedades da Quarentena central” na página 19.
Você usa a caixa de diálogo Propriedades para definir várias configurações da
Quarentena central.
Nota: As configurações padrão da Quarentena central usam as informações
fornecidas durante a instalação para oferecer proteção abrangente sem
configurações adicionais. Não é necessário alterar nenhuma dessas configurações.
19
20
Tabela 2-3
Propriedades da Quarentena central
Propriedade
Descrição
Geral
Essa propriedade permite especificar as configurações
principais da Quarentena, como o local da pasta
Quarentena. Esta propriedade permite também especificar
as configurações para o tamanho máximo do conteúdo da
pasta, o protocolo de escuta para comunicação com os
clientes e o intervalo de atualização automática.
Comunicação na Web
Essa propriedade permite especificar as configurações de
comunicação, como o nome do computador do gateway
da Symantec e estas configurações de segurança:
O envio seguro envia amostras de vírus à Symantec
usando SSL (Secure Sockets Layer).
■ O download seguro usa SSL para receber as definições
atualizadas da Symantec.
■ O gateway do Symantec Immune System especifica o
computador de gateway que se comunica com o
Symantec Security Response.
■
Firewall
Essa propriedade permite especificar como se comunicar
com e através de um firewall proxy, se a rede o utilizar:
O nome do firewall é o endereço IP ou o nome do
firewall.
■ A porta do firewall é a porta de comunicação com o
firewall.
■ O nome de usuário do firewall é o nome de usuário
para a comunicação com o firewall.
■ A senha do firewall é a senha usada na comunicação
com o firewall.
■
Propriedade
Descrição
Política de amostras
Essa propriedade permite especificar como as amostras
serão enviadas e processadas:
O envio automático de amostras coloca
automaticamente na fila amostras de vírus para
análise.
■ O intervalo de verificação de fila é a frequência com
que se verifica a existência de novos itens na
Quarentena.
■ A remoção de dados do usuário da amostra é uma
forma de manter a segurança, pois os dados
possivelmente sigilosos são removidos de submissões
de amostras.
■ O intervalo da pesquisa de status é a frequência com
que se verificam alterações no status das amostras
submetidas no gateway.
■
Política de definições
Essa propriedade permite especificar como as definições
do antivírus e antispyware serão processadas:
O número de sequência ativo é o número de sequência
das definições instaladas no Servidor de quarentena.
Os números de sequência são usados somente pelos
produtos de antivírus Symantec, atribuídos a conjuntos
de assinaturas sequencialmente e sempre cumulativos.
Um conjunto de assinaturas com número de sequência
superior substitui um conjunto de assinaturas com
número de sequência inferior.
■ O intervalo de definições aprovadas é a frequência, em
minutos, de verificação de definições aprovadas
atualizadas no gateway. A configuração padrão é três
vezes por dia.
■
Informações sobre o cliente
Essa propriedade permite editar as informações sobre o
cliente inseridas durante a instalação. Todos os campos
são requeridos.
Alertas
Essa propriedade permite configurar alertas para eventos
específicos.
Erros gerais
Essa propriedade relaciona o histórico dos erros do
Servidor de quarentena.
Consulte “Sobre a Quarentena central” na página 19.
21
22
É possível ativar o Servidor de quarentena no computador local e em um
computador remoto.
Para ativar o Servidor de quarentena no computador local
1
No painel esquerdo do console do Symantec Central Quarantine, clique com
o botão direito do mouse em Symantec Central Quarantine e clique em
Conectar ao servidor.
2
Na caixa de diálogo Selecionar computador, clique em Este computador e
clique em OK.
Para ativar o Servidor de quarentena em um computador remoto
1
Conectar ao servidor.
2
Na caixa de diálogo Conectar ao Servidor de quarentena, digite o nome do
servidor.
3
Digite o nome de usuário e a senha usados para fazer logon no servidor.
4
Se o servidor fizer parte de um domínio, digite também o nome do domínio.
Consulte “Configuração do Servidor de quarentena” na página 22.
Configuração do Servidor de quarentena
Configure o Servidor de quarentena com estas informações:
■
O local da pasta para armazenar arquivos no Servidor de quarentena
■
O protocolo e a porta que será monitorada
Depois que o Servidor de quarentena estiver configurado, configure os clientes
para enviar cópias dos arquivos contidos em suas Quarentenas locais.
Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena
Nota: A interface do usuário do Console de quarentena permite selecionar o
protocolo IP ou SPX e especificar o número da porta a ser configurada. Esse
protocolo IP e o número da porta é TCP e é a porta monitorada. Não selecione SPX.
Além disso, o número da porta TCP inserido não é o que aparece quando as portas
são exibidas em ferramentas, como o netstat -a. Por exemplo, se você digitar o
número de porta 33, o netstat -a exibirá porta TCP 8448. Os números hexadecimais
e decimais são reorganizados e convertidos incorretamente.
Para obter detalhes, consulte O Servidor de quarentena parece usar uma porta
diferente do que a que está configurada para usar (em inglês).
Para configurar o Servidor de quarentena
1
Propriedades.
2
Na guia Geral da caixa de diálogo Propriedades do Symantec Central
Quarantine, especifique o local da pasta da Quarentena central.
3
Em Tamanho máximo permitido, especifique o tamanho máximo da
Quarentena.
4
Em Protocolos, selecione Escutar no IP(TCP/IP).
Certifique-se de que Escutar no SPX está desmarcado.
5
Na caixa Porta, digite o número da porta a qual monitorar.
O número da porta padrão é 33.
6
Clique em OK.
Consulte “Configuração de uma política de proteção contra vírus e spyware para
usar o servidor de quarentena” na página 23.
Configuração de uma política de proteção contra vírus
e spyware para usar o servidor de quarentena
Os clientes do Symantec Endpoint Protection em um grupo ou o local do grupo
devem usar uma política de proteção contra vírus e spyware que encaminhe as
amostras da quarentena ao servidor de quarentena. A política requer que você
insira o nome de domínio totalmente qualificado (recomendado) ou endereço IP
do Servidor de quarentena. A política também requer que você insira o protocolo
e o número da porta que você especificou para a porta monitorada do Servidor de
quarentena.
23
24
Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena
Para configurar uma política de proteção contra vírus e spyware para usar o servidor
de quarentena
1
No console, clique em Políticas.
2
Em Políticas, clique em Proteção contra vírus e spyware.
3
Em Tarefas, clique em Adicionar uma política de proteção contra vírus e
spyware.
Também é possível editar uma política existente.
4
Na página da política, clique em Quarentena.
5
Em Itens em quarentena, selecione Permitir que os computadores-cliente
enviem os itens em quarentena automaticamente para um Servidor de
quarentena.
6
Na caixa Nome do servidor, digite o nome do domínio totalmente qualificado
ou o endereço IP do Servidor de quarentena.
7
Na caixa Número da porta, aceite ou altere o número de porta padrão.
8
Na caixa Repetir, aceite ou altere o intervalo de repetição quando as
comunicações entre o cliente e o Servidor de quarentena falharem.
9
Clique em OK.
Consulte “Configuração do Servidor de quarentena” na página 22.
Capítulo
3
Utilização do Symantec
Central Quarantine
■
Gerenciamento de arquivos em quarentena
■
Submissão de amostras para análise
■
Exame do status do envio de amostras
■
Configuração de eventos e alertas
Por padrão, os clientes do Symantec Endpoint Protection isolam itens infectados
que não podem ser reparados com seus conjuntos atuais de definições de vírus.
Os clientes configurados para encaminhar esses arquivos infectados e seus efeitos
colaterais enviam automaticamente cópias ao Servidor da Quarentena central.
Consulte “Exibição dos itens em quarentena” na página 25.
Consulte “Exclusão de arquivos em quarentena” na página 26.
Consulte “Restauração de arquivos em quarentena” na página 27.
Exibição dos itens em quarentena
Os arquivos são adicionados à quarentena central quando os computadores-cliente
são configurados para encaminhar os itens infectados para o servidor de
quarentena.
26
Utilização do Symantec Central Quarantine
Tabela 3-1
Informações sobre o arquivo em quarentena
Propriedade
Descrição
Nome do arquivo
Nome do item infectado
Nome de usuário
Usuário cujo arquivo estava infectado
Computador
Computador no qual o item infectado foi
descoberto
Analisado
Indica se a amostra foi analisada
Tempo
Data em que a amostra foi colocada em
quarentena
Estado da amostra
Estado atual da amostra
Consulte “Estado da amostra” na página 34.
Definições necessárias
Número de sequência do conjunto de definições
necessário para resolver o vírus
Status
Estado do processamento da amostra
Consulte “Status das amostras” na página 33.
Vírus
Nome do vírus identificado
Erros
Erros de processamento de amostras
Consulte “Erros nas amostras” na página 39.
Para exibir os itens em quarentena
1
No painel esquerdo do console do Symantec Central Quarantine, clique em
Symantec Central Quarantine.
Os itens em quarentena serão relacionados no painel direito.
2
No painel direito, clique com o botão direito do mouse em um item em
quarentena e clique em Propriedades.
Consulte “Gerenciamento de arquivos em quarentena” na página 25.
Exclusão de arquivos em quarentena
Embora seja possível excluir qualquer item que esteja na Quarentena central,
reserve essa opção para os arquivos dos quais não precisa mais. Após confirmar
que as definições atualizadas detectaram e eliminaram o vírus, será seguro excluir
o item em quarentena.
Para excluir os arquivos em quarentena
1
2
No painel direito, clique com o botão direito do mouse em um ou mais arquivos
e clique em Excluir.
Restauração de arquivos em quarentena
Se você optar por restaurar um arquivo, não será feita nenhuma tentativa de
repará-lo. Use esta opção com cautela para evitar a infecção do sistema. Por
exemplo, somente restaure um arquivo quando o Symantec Security Response
notificar que o arquivo enviado não está infectado. Não é seguro restaurar um
arquivo que pode estar infectado. Arquivos restaurados são copiados para um
local de pasta especificado por você.
Para restaurar arquivos em quarentena
1
2
e clique em Todas as tarefas > Restaurar item.
3
Se tiver certeza de que deseja restaurar o arquivo, clique em Sim.
4
Na caixa de diálogo Procurar pasta, selecione o local no qual o arquivo será
restaurado e clique em OK.
As configurações da Política de amostras determinam se as amostras de vírus
serão ou não enviadas automaticamente ao gateway. Se a submissão automática
de amostras não for selecionada, as amostras que estiverem na Quarentena deverão
ser liberadas para o gateway individualmente.
As configurações da política para o envio automático de amostras podem ser
substituídas. Geralmente, as amostras são enviadas manualmente somente quando
ocorre um erro no envio ou quando se deseja uma alteração na prioridade da fila
das amostras selecionadas.
Consulte “Definição de uma política de envio automático de amostras”
na página 28.
27
28
Consulte “Envio manual de arquivos” na página 28.
Definição de uma política de envio automático de amostras
As configurações da Política de amostras determinam se as amostras de vírus
serão ou não enviadas automaticamente ao gateway. Se o envio automático de
amostras não for selecionado, as amostras em Quarentena deverão ser enviadas
para o gateway individualmente.
Para maior segurança, especifique que os dados do usuário devem ser removidos
da amostra antes do envio.
Nota: É possível substituir as configurações de envio da política de um item
individual exibindo a guia Ações do item selecionado na Quarentena.
Para definir uma política de envio automático de amostras
1
Propriedades.
2
Na caixa de diálogo Propriedades do Symantec Central Quarantine, defina a
política de amostras na guia Política de amostras.
Consulte “Submissão de amostras para análise” na página 27.
Envio manual de arquivos
Os arquivos suspeitos podem ser enviados manualmente para análise de vírus.
As amostras que podem ser reparadas com as definições presentes no Servidor
de quarentena ou no gateway não são enviadas para o Symantec Security Response.
A amostra deve atender às seguintes condições para se qualificar para o envio
manual:
■
A amostra não pode já ter sido qualificada para envio automático
(X-Sample-Priority deve ser 0).
■
A amostra ainda não foi enviada (X-Date-Submitted está ausente ou é 0).
■
A amostra ainda não foi analisada (X-Date-Finished ausente ou 0).
Você deve definir a prioridade de uma amostra para poder enviar arquivos
manualmente.
Para definir manualmente a prioridade da amostra
1
2
No painel direito, clique com o botão direito do mouse em um item e clique
em Propriedades.
3
Na guia Ações da caixa de diálogo Propriedades do Symantec Central
Quarantine, defina a prioridade do envio.
Para enviar manualmente itens ao Symantec Security Response
1
2
e clique em Todas as tarefas > Colocar item na fila para análise automática.
Consulte “Submissão de amostras para análise” na página 27.
O status de uma amostra pode ser determinado examinando-se as ações e os
atributos definidos durante as comunicações entre o Servidor de quarentena e o
gateway.
Consulte “Exibição dos atributos de uma amostra” na página 29.
Consulte “Verificação das ações tomadas em uma amostra” na página 30.
Consulte “Verificação dos erros de envio de uma amostra” na página 30.
Exibição dos atributos de uma amostra
A solicitação e as mensagens de resposta que os clientes e servidores trocam
contêm vários atributos que descrevem o status de uma amostra. Esses atributos
particulares sempre começam com os caracteres X-.
Para exibir os atributos de uma amostra
1
o botão direito do mouse em Symantec Central Quarantine.
2
em Propriedades.
3
Na guia Atributos das amostras da caixa de diálogo Propriedades, clique duas
vezes em um atributo exibido para obter uma definição resumida.
Consulte “Exame do status do envio de amostras” na página 29.
29
30
Verificação das ações tomadas em uma amostra
As ações tomadas para uma amostra incluem o envio da amostra selecionada e o
status da entrega de definições de vírus.
É possível substituir as configurações da política de envio padrão para a amostra
selecionada. É possível colocar manualmente uma amostra na fila para envio ao
Symantec Security Response, bem como consultar arquivos de definições de vírus
atualizadas para a amostra selecionada.
Para verificar as ações nas amostras
1
2
em Propriedades.
3
Na guia Ações da caixa de diálogo Propriedades, verifique as ações tomadas
para a amostra.
Verificação dos erros de envio de uma amostra
Se houver erros de envio, serão relatados para cada amostra. Examine as entradas
para determinar as ações necessárias para a amostra.
Para verificar os erros de envio de uma amostra
1
o botão direito do mouse em Symantec Central Quarantine.
2
em Propriedades.
3
Na guia Erros da caixa de diálogo Propriedades, verifique os erros de envio.
Você pode especificar os eventos sobre os quais quer informações. Você envia as
informações de eventos para o Log de eventos do NT.
Consulte “Especificação dos eventos que acionam alertas” na página 30.
Especificação dos eventos que acionam alertas
Você pode enviar tipos diferentes de eventos para o Log de eventos do NT.
Tabela 3-2
Eventos que acionam alertas
Evento
Descrição
Não foi possível conectar-se ao Gateway O Agente de quarentena não pode conectar-se
ao gateway do Digital Immune System.
Erro no Defcast
Defcast é o serviço que distribui novas
definições do Servidor de quarentena para os
computadores de destino.
Não é possível instalar definições nos
computadores de destino
A distribuição das novas definições falhou.
Também indica que as definições estão
disponíveis para clientes não gerenciados.
Não é possível acessar o diretório das
definições
O Servidor de quarentena não consegue
localizar o diretório das definições.
Não é possível conectar-se à svc do
verificador de quarentena
As amostras não podem ser verificadas na
Quarentena e não serão encaminhadas ao
gateway.
O serviço Agente de quarentena foi
interrompido
A Quarentena não pode comunicar-se com o
gateway.
Aguardando definições necessárias
As definições ainda não vieram do gateway.
Há novas definições aprovadas
Chegaram novas definições aprovadas no
Servidor de quarentena.
Há novas definições não aprovadas
Chegaram novas definições não certificadas no
Servidor de quarentena em resposta ao envio
de uma amostra.
O restante da cota em disco é baixo para A pasta Quarentena está quase cheia.
o diretório da Quarentena
O espaço livre em disco é inferior ao
tamanho máximo da Quarentena
A pasta Quarentena está configurada com um
tamanho máximo maior do que o espaço livre
disponível em disco.
Amostra: não foi reparada
Uma amostra não foi reparada ou não foi
necessário um reparo.
Amostra: não é possível instalar
definições
As novas definições não puderam ser instaladas,
geralmente devido a um conjunto de definições
corrompido.
Amostra: erro de processamento
Um erro ocorreu enquanto a amostra era
processada.
31
32
Evento
Descrição
Amostra: precisa de atenção do suporte
técnico
A amostra não pôde ser processada
automaticamente. Entre em contato com o
Suporte Técnico para obter ajuda para a
amostra.
Amostra: retida para envio manual
A amostra é mantida no Servidor de quarentena
em vez de ser enviada automaticamente.
Amostra: novas definições não são
instaladas há muito tempo
Deveriam ter sido instaladas novas definições
(o status é Distribuir), mas isso não ocorreu.
Amostra: há muito tempo com o status
Distribuir
Chegaram novas definições do gateway, mas a
confirmação de que foram instaladas no cliente
ainda não foi recebida na Quarentena.
Necessário
As definições ainda não foram obtidas no
gateway.
Liberado
O gateway ainda não respondeu.
Enviado
O gateway ainda não aceitou a amostra.
Em quarentena
A amostra ainda não passou pela verificação
inicial na Quarentena.
Amostra: novas definições mantidas para As novas definições são mantidas no Servidor
distribuição
de quarentena em vez de serem distribuídas.
Para especificar os eventos que acionam alertas
1
Propriedades.
2
Na caixa de diálogo Propriedades do Symantec Central Quarantine, na guia
Alerta, marque Log de eventos do NT.
3
Em Configurar notificação de eventos, siga uma ou ambas destas instruções:
4
■
Selecione os eventos sobre os quais quer informações.
■
Desmarque os eventos sobre os quais não quer informações.
Clique em OK.
Consulte “Configuração de eventos e alertas” na página 30.
Apêndice
A
Referência do
processamento de amostras
Este Apêndice contém os tópicos a seguir:
■
Sobre o processamento de amostras
■
Status das amostras
■
Estado da amostra
■
Erros nas amostras
Sobre o processamento de amostras
O Digital Immune System fornece informações em tempo real sobre qualquer
amostra do sistema, incluindo o status de processamento e o estado da análise de
uma amostra enviada.
Consulte “Status das amostras” na página 33.
Consulte “Erros nas amostras” na página 39.
Status das amostras
A Tabela A-1 descreve o status das amostras, que é o status do processamento da
amostra no Digital Immune System.
34
Referência do processamento de amostras
Estado da amostra
Tabela A-1
Status das amostras
Status
Descrição
Atenção
A amostra requer intervenção do suporte técnico.
Disponível
Existem novas definições para serem entregues ao computador
que enviou itens.
Distribuir
Existem novas definições na fila para entrega ao computador que
enviou itens.
Distribuídas
Novas definições foram entregues ao computador que enviou
itens.
Erro
Ocorreu um erro de processamento.
Mantida
A amostra não será incluída no envio.
Instaladas
Novas definições foram instaladas no computador que enviou
itens.
Necessárias
São requeridas novas definições para a amostra.
Não instaladas
Não foi possível entregar as definições ao computador que enviou
itens.
Em quarentena
A Quarentena central recebeu a amostra.
Liberada
A amostra foi colocada em fila para análise.
Reiniciar
O processamento de amostras se inicia novamente.
Enviada
A amostra foi enviada ao Symantec Security Response para
análise.
Não necessárias
Novas definições não são necessárias para a amostra.
Estado da amostra
Estado da amostra é o estado de análise da amostra enviada no Digital Immune
System. O estado indica a localização da amostra na hierarquia de rede, a etapa
do canal de informações da análise que está trabalhando na amostra ou sua
disposição final.
Nota: Não há mais suporte a qualquer estado que deduza que uma amostra foi
devolvida a um computador-cliente.
Estado da amostra
Consulte “Estados finais” na página 35.
Consulte “Estados de trânsito” na página 36.
Consulte “Estados pendentes” na página 37.
Consulte “Estados ativos” na página 37.
Estados finais
Amostras que foram concluídas encontram-se em um dos estados finais. Todas
as estações de trabalho do Digital Immune System utilizam os estados terminais.
Depois que uma amostra for colocada em estado terminal, seu estado não será
alterado novamente. O atributo X-Date-Analyzed é definido quando uma amostra
é colocada em estado terminal. Sua presença significa que o valor de
X-Analysis-State é terminal.
Tabela A-2
Estados finais
Estado
Descrição
abort
Um erro de programação interno impediu o transporte ou a
análise da amostra.
attention
A amostra requer intervenção do suporte técnico.
broken
A amostra está infectada por um vírus, mas o serviço de geração
de definições da administração relatou um erro. Nenhum arquivo
de definições de vírus está disponível.
declined
A amostra não é aceitável e foi recusada.
error
Ocorreu um erro de processamento.
infectado
A amostra está infectada por um vírus e pode ser reparada com
os arquivos de definições de vírus disponíveis.
misfired
A amostra foi analisada e nenhum vírus foi encontrado, apesar
de uma infecção detectada. Um erro nos arquivos de definições
de vírus anteriores foi a causa da infecção detectada
incorretamente, mas esse erro foi corrigido nos arquivos de
definições de vírus mais recentes.
nodetect
A amostra não foi analisada, mas aparentemente não contém
nenhum código suspeito.
norepair
A amostra está infectada por um vírus, mas não pode ser reparada
com os arquivos de definições de vírus disponíveis. Ela deve ser
excluída.
35
36
Estado da amostra
Estado
Descrição
uninfectable
A amostra não contém código executável. Portanto, não pode ser
infectada por vírus. A amostra pode ser pequena demais para
conter qualquer código executável ou pode conter apenas dados,
como imagens ou clipes de áudio.
uninfected
A amostra foi analisada e nenhum vírus foi encontrado.
unsubmittable
A amostra contém software malicioso conhecido, como um worm
ou um Cavalo de Troia. Ela deve ser excluída.
encrypted
A Quarentena central não pode verificar essa amostra porque
ela está criptografada ou protegida por senha. É necessário
descriptografá-la ou remover a proteção por senha antes de
enviá-la novamente.
delete
Arquivos criados por código malicioso ou que contêm código
malicioso. A única ação a executar nestes arquivos é excluí-los.
restore
Arquivos que não podem ser limpos. Os arquivos podem ter sido
alterados acidentalmente ou por vírus e podem conter código de
vírus corrompido. Devido às alterações, é impossível ou inseguro
manter os arquivos. Você deve restaurá-los de um backup.
Estados de trânsito
As amostras que ainda não chegaram ao Symantec Security Response estão em
um dos estados de trânsito. Somente os componentes fora do Symantec Security
Response utilizam os estados de trânsito. Uma amostra pode permanecer em
estado pendente por tempo indefinido, antes de passar para outro estado.
Tabela A-3
Estados de trânsito
Estado
Descrição
accepted
O gateway aceitou a amostra, mas ela ainda não foi importada
para o Symantec Security Response.
importação
O Symantec Security Response importou a amostra.
receiving
O gateway recebeu a amostra.
Estado da amostra
Estados pendentes
As amostras que aguardam análise no Symantec Security Response estão em um
dos estados pendentes. Somente os componentes fora do Symantec Security
Response utilizam os estados pendentes. Uma amostra pode permanecer em estado
pendente por tempo indefinido, antes de passar para outro estado.
Tabela A-4
Estados pendentes
Estado
Descrição
defer
A amostra não pode ser analisada automaticamente e será adiada
para análise por especialistas.
deferred
deferring
imported
A amostra foi importada para o Symantec Security Response,
mas ainda não foi analisada.
rescan
A amostra deve ser verificada novamente, pois novos arquivos
de definições de vírus estão disponíveis no Symantec Security
Response.
Estados ativos
As amostras sob análise no Symantec Security Response estão em um dos estados
ativos. Somente o componente de fluxo de dados do Symantec Security Response
utiliza os estados ativos. Uma amostra pode permanecer em um estado ativo por
apenas alguns segundos ou por vários minutos antes de passar para outro estado.
Tabela A-5
Estados ativos
Estado
Descrição
archive
A amostra está aguardando para arquivar os arquivos de análise
automatizada.
archiving
A amostra está arquivando os arquivos de análise automatizada.
binary
A amostra foi classificada como um programa binário e está
aguardando o controlador binário.
37
38
Estado da amostra
Estado
Descrição
binaryControlling
O controlador binário está determinando condições iniciais para
a réplica binária.
binaryReplicating
A amostra está sendo executada por um mecanismo de réplica
binária.
binaryScoring
A amostra infectou outros programas binários e o mecanismo de
pontuação binária está selecionando assinaturas para detectar
e reparar o vírus.
binaryWait
A amostra está aguardando a disponibilização de um mecanismo
de réplica binária.
classifying
A amostra está sendo classificada para que o tipo dos dados seja
determinado.
fullBuilding
Está sendo criado um novo conjunto de arquivos de definições
de vírus para incorporar as assinaturas selecionadas do novo
vírus.
fullUnitTesting
Os arquivos de definições de vírus estão sendo testados
individualmente.
incrBuilding
As assinaturas selecionadas do novo vírus estão sendo
adicionadas aos arquivos de definições de vírus atuais.
incrUnitTesting
Os arquivos de definições de vírus incrementais estão sendo
testados individualmente.
locking
O acesso exclusivo ao serviço de geração de definições na
administração está sendo adquirido.
macro
A amostra foi classificada como um documento ou planilha que
contém macros executáveis e está aguardando o controlador de
macros.
macroControlling
O controlador de macros está determinando as condições iniciais
para réplica de macro.
macroReplicating
A amostra está sendo executada por um mecanismo de réplica
de macros.
macroScoring
A amostra infectou outros documentos ou planilhas e o
mecanismo de pontuação de macros está selecionando assinaturas
para detectar e reparar o vírus.
macroWait
A amostra está aguardando a disponibilização de que um
mecanismo de réplica de macro.
Erros nas amostras
Estado
Descrição
assinaturas
A amostra está infectada por um novo vírus, as assinaturas para
detectar o vírus e reparar a amostra foram selecionadas e a
amostra está aguardando a disponibilização do processo de
criação.
unlocking
O acesso exclusivo ao serviço de geração de definições está sendo
liberado.
Erros nas amostras
Os erros de processamento de amostras estão relacionados na tabela abaixo.
Tabela A-6
Erros nas amostras
Erro
Descrição
abandoned
Um número de sequência da assinatura foi abandonado, o que
geralmente é causado pela falha do teste da unidade do conjunto
de definições correspondentes.
conteúdo
A soma de verificação do conteúdo da amostra não corresponde
ao conteúdo.
crumbled
O cookie de rastreamento da amostra não foi atribuído pelo
gateway.
declined
A amostra enviada para análise foi recusada pelo gateway. O
usuário deve entrar em contato com o suporte técnico para obter
auxílio.
internal
Uma falha interna ocorreu durante o processamento de uma
amostra.
lost
A amostra não foi completamente recebida devido a uma falha
na rede.
malformed
Um atributo essencial da amostra estava corrompido.
missing
Um atributo essencial da amostra estava ausente.
overrun
O conteúdo desta amostra excede o tamanho esperado. Esse
estouro pode ser devido a um erro de transmissão na rede de
transporte.
39
40
Erros nas amostras
Erro
Descrição
amostra
A soma de verificação da amostra não corresponde ao conteúdo.
superseded
Este número de sequência de assinatura foi substituído por
definições aprovadas mais recentes e não está mais disponível
no servidor. O cliente deve fazer o download das definições
aprovadas atuais, em vez das definições substituídas.
tipo
Não há suporte para o tipo da amostra.
indisponível
O número de sequência da assinatura ainda não foi publicado.
underrun
O tamanho esperado da amostra excede seu conteúdo.
unpackage
A amostra ou assinatura não pôde ser descompactada.
unpublished
O conjunto de assinaturas não pode ser publicado.
Consulte “Sobre o processamento de amostras” na página 33.
Índice
A
Agente da quarentena 11
amostras
atributos
exibição 29
envio automático 27
erros 39
estados 34
estados ativos 37
estados finais 35
estados pendentes 37
exame do status do envio 29
exibição das ações 30
política 27
configurações 27–28
envio de amostras automático 21
propriedades 21
processamento 33
status 29, 33
verificação das ações em 30
amostras em estados ativos 37
amostras em estados pendentes 37
arquivos em quarentena 27
restauração 27
C
caracteres X- 29
comunicação na Web
janela 19
propriedades 20
Console de quarentena
como parte da Quarentena central 19
instalação 18
sobre 10
D
Defcast 11
definições aprovadas 21, 31
definições não certificadas 31
Digital Immune System
análise 12
automação 11
componentes 10
e o processamento de amostras 33
sobre 11
E
envio de arquivos 12
envios
interpretação de atributos 29
verificação de erros 30
erros
envio 27
eventos que acionam 31
geral 21
verificação de envios 30
estados
amostra 34
ativos 37
finais 35
pendentes 37
estados finais, amostras 35
eventos
configuração 30
que acionam alertas 30
G
gateway
consulta 12, 21
definido 10
detecção de ameaças desconhecidas 12
endereço padrão 19
envio de arquivos para 12
gateway do Symantec Immune System 20
não foi possível conectar-se ao 31
nome do computador do 20
sobre 10
gateway do Symantec Immune System 20
guia Firewall
nome 20
42
Índice
nome do usuário 20
porta 20
senha 20
I
informações sobre o cliente
janela 19
propriedades 21
instalação
Console de quarentena 18
Quarentena central 18
Servidor de quarentena 18
intervalo da pesquisa de status 21
intervalo das definições de vírus e definições
certificadas 21
intervalo de verificação de fila 21
J
janela Máximo de espaço em disco 19
L
propriedades 19
R
requisitos do sistema
para o Console de quarentena 16
para o Servidor da Quarentena central 17
restauração de arquivos infectados 27
S
Servidor de quarentena
ativação
em outra máquina 22
na máquina local 22
como parte da Quarentena central 19
configuração
Verificação e Entrega baseada na
Internet 22–23
instalação 18
sobre 10
Symantec Security Response 10, 19
Log de eventos do NT 30
V
N
verificador da quarentena 11
Verificador de quarentena 31
número de sequência 21
P
políticas
definição do envio automático de amostras 28
definição para amostra 28
definições 21
portas e protocolos de rede 22
protocolos
compartilhamento entre o Console de
quarentena e o Servidor de quarentena 16
rede 22
TCP/IP 16
Q
Quarentena
configurações padrão 19
exclusão de arquivos em 26
exibição 26
local 9
propriedades gerais 20
Quarentena central
instalação 18

Guia de Implementação do Symantec™ Central Quarantine

Transcrição

Documentos relacionados

Manual FOPE (Forefront Online Protection for Exchange) Localizar e

Tutorial para administrar sua cota de espaço no servidor de

Symantec Software Datasheet

Características, Descrições e Benefícios

Oficio SCIH 18-2009: FLUXO DE ATENDIMENTO PARA CASOS

Wilson, Sons gere MSN com Symantec IM Manager

Symantec Ghost™6.5

Request for Approval of Visit by International Guest

Introdução

DMZ no Gateway ST510v6 firmware 5