Guia de Implementação do Symantec™ Central Quarantine
Transcrição
Guia de Implementação do Symantec™ Central Quarantine
Guia de Implementação do Symantec™ Central Quarantine Guia de Implementação do Symantec™ Central Quarantine O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado somente de acordo com os termos desse contrato. Versão da documentação 12.01.00.00 Aviso legal Copyright © 2011 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate e TruScan são marcas comerciais ou marcas registradas da Symantec Corporation ou de seus afiliados nos Estados Unidos e em outros países. Outros nomes de produtos podem ser marcas comerciais de seus respectivos proprietários. Este produto da Symantec pode conter software de terceiros para o qual são necessárias atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou livre. O Contrato de licença que acompanha o software não altera nenhum direito ou obrigação que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP que acompanha este produto da Symantec para obter mais informações sobre os Programas de terceiros. O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia, a distribuição e a descompilação/engenharia reversa. Não será permitida, de forma alguma, a reprodução de qualquer seção deste documento sem a autorização prévia escrita da Symantec Corporation e dos licenciadores, se houver algum. A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS OU CONSEQUENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS À ALTERAÇÃO SEM AVISO PRÉVIO. O Software licenciado e a documentação são considerados software comercial para computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou documentação de software comercial para computadores", conforme aplicável, e todas as regulamentações sucessoras. O uso, a modificação, versão de reprodução, apresentação, exibição ou divulgação do Software licenciado e da documentação pelo governo dos EUA devem ser feitos exclusivamente de acordo com os termos deste Contrato. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.com.br Suporte técnico O suporte técnico da Symantec mantém centros globais de suporte. A principal função do suporte técnico é de responder a consultas específicas sobre os recursos e a funcionalidade dos produtos. A equipe de suporte técnico cria também o conteúdo para nossa Base de conhecimento on-line. A equipe de suporte técnico trabalha em colaboração com outras áreas funcionais dentro da Symantec para responder prontamente suas perguntas. Por exemplo, a equipe de suporte técnico trabalha com a Engenharia de produtos e o Symantec Security Response para fornecer serviços de alerta e atualizações das definições de vírus. As ofertas de suporte da Symantec incluem o seguinte: ■ Várias opções de suporte que lhe proporcionam flexibilidade para selecionar a quantidade adequada de serviços para empresas de todos os portes. ■ Suporte telefônico e/ou com base na Web que fornece resposta rápida e informações atualizadas ■ Garantia de upgrade que fornece upgrades de software ■ Suporte global adquirido em um horário comercial regional ou 24 horas por dia, 7 dias por semana ■ Ofertas de serviços Premium que incluem Serviços de gerenciamento de conta Para obter mais informações sobre as ofertas de suporte da Symantec, acesse nosso site no seguinte URL: www.symantec.com/pt/br/business/support/ Os serviços de suporte serão fornecidos de acordo com seu contrato de suporte e com a política de suporte técnico corporativo atual. Contato com o suporte técnico Os clientes com um contrato de suporte atual podem acessar as informações do suporte técnico no seguinte URL: www.symantec.com/pt/br/business/support/ Antes de entrar em contato com o suporte técnico, certifique-se de satisfazer os requisitos do sistema que estão relacionados na documentação do produto. Além disso, é necessário estar no computador em que ocorreu o problema, caso seja necessário replicá-lo. Quando você entra em contato com o suporte técnico, tenha disponíveis as seguintes informações: ■ Nível de versão do produto ■ Informações de hardware ■ Memória disponível, espaço em disco e informações do NIC ■ Sistema operacional ■ Versão e nível de patch ■ Topologia da rede ■ Roteador, gateway e informações do endereço IP ■ Descrição do problema: ■ Mensagens de erro e arquivos de log ■ Soluções de problemas executadas antes de entrar em contato com a Symantec ■ Mudanças de configuração recentes do software e mudanças da rede Licenciamento e registro Se seus produtos da Symantec exigem o registro ou um código de licença, acesse nossa página da Web do suporte técnico no seguinte URL: www.symantec.com/pt/br/business/support/ Atendimento ao cliente As informações do atendimento ao cliente estão disponíveis no seguinte URL: www.symantec.com/pt/br/business/support/ O atendimento ao cliente está disponível para ajudar com perguntas não técnicas, como os seguintes tipos de problemas: ■ Perguntas a respeito do licenciamento ou da serialização do produto ■ Atualizações de registro do produto, como alterações de endereço ou de nome ■ Informações gerais sobre o produto (recursos, disponibilidade de idiomas, revendedores locais) ■ Informações mais recentes sobre atualizações e upgrades do produto ■ Informações sobre a garantia de upgrade e os contratos de suporte ■ Informações sobre os programas de compra da Symantec ■ Recomendações sobre as opções de suporte técnico da Symantec ■ Perguntas não técnicas do pré-vendas ■ Problemas relacionados aos CD-ROMs, DVDs ou manuais Recursos do contrato de suporte Se desejar contatar a Symantec a respeito de um contrato de suporte existente, entre em contato com a equipe de administração do contrato de suporte de sua região da seguinte forma: Pacífico-Asiático e Japão [email protected] Europa, Oriente Médio e África [email protected] America do Norte e América Latina [email protected] Serviços corporativos adicionais A Symantec oferece um conjunto completo de serviços que permitem que você maximize seu investimento nos produtos da Symantec e desenvolva seus conhecimentos, conhecimento técnico e percepção global, que possibilitam gerenciar de forma proativa os riscos de negócios. Os serviços corporativos que estão disponíveis incluem: Serviços gerenciados Os serviços gerenciados removem a carga de dispositivos e eventos de gerenciamento e monitoramento de segurança, garantindo a resposta rápida às ameaças reais. Serviços de consultoria Os Serviços de Consultoria da Symantec fornecem conhecimento técnico da Symantec e de seus parceiros de confiança no local. Os Serviços de Consultoria da Symantec oferecem várias opções prontas e personalizáveis que incluem recursos de avaliação, planejamento, implementação, monitoramento e gerenciamento. Essas opções estão centradas no estabelecimento e na manutenção da integridade e da disponibilidade de seus recursos de TI. Serviços de capacitação Os Serviços de capacitação fornecem uma gama completa de programas de treinamento técnico, treinamento em segurança, certificação de segurança e de sensibilização. Para acessar mais informações sobre os serviços corporativos, acesse nosso site no seguinte URL: www.symantec.com/pt/br/business/services/ Selecione seu país ou idioma do índice do site. Sumário Suporte técnico ................................................................................................... 4 Capítulo 1 Apresentação do Symantec Central Quarantine ............ 9 Sobre o Symantec Central Quarantine ............................................... 9 Sobre os componentes da Quarentena central .................................... 10 Como funciona a Quarentena central ............................................... 11 Sobre a identificação e quarentena de vírus ................................. 12 Sobre a análise de vírus ........................................................... 12 O que pode ser feito com a Quarentena central .................................. 13 Onde obter mais informações sobre a Quarentena central .................... 14 Capítulo 2 Instalação e configuração da Quarentena central .............................................................................. 15 Antes da instalação ...................................................................... Requisitos do sistema para o Console de quarentena ........................... Requisitos do sistema para o Servidor da Quarentena central ............... Instalação da Quarentena central .................................................... Sobre a Quarentena central ............................................................ Sobre as propriedades da Quarentena central .................................... Ativação do Servidor de quarentena ................................................ Configuração do Servidor de quarentena .......................................... Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena .................................................. Capítulo 3 15 16 17 18 19 19 22 22 23 Utilização do Symantec Central Quarantine ................. 25 Gerenciamento de arquivos em quarentena ....................................... Exibição dos itens em quarentena ............................................. Exclusão de arquivos em quarentena ......................................... Restauração de arquivos em quarentena ..................................... Submissão de amostras para análise ................................................ Definição de uma política de envio automático de amostras ........... Envio manual de arquivos ........................................................ Exame do status do envio de amostras ............................................. Exibição dos atributos de uma amostra ....................................... 25 25 26 27 27 28 28 29 29 8 Sumário Verificação das ações tomadas em uma amostra .......................... Verificação dos erros de envio de uma amostra ............................ Configuração de eventos e alertas ................................................... Especificação dos eventos que acionam alertas ............................ Apêndice A Referência do processamento de amostras .................. 33 Sobre o processamento de amostras ................................................ Status das amostras ...................................................................... Estado da amostra ........................................................................ Estados finais ........................................................................ Estados de trânsito ................................................................. Estados pendentes .................................................................. Estados ativos ....................................................................... Erros nas amostras ....................................................................... Índice 30 30 30 30 33 33 34 35 36 37 37 39 ................................................................................................................... 41 Capítulo 1 Apresentação do Symantec Central Quarantine Este capítulo contém os tópicos a seguir: ■ Sobre o Symantec Central Quarantine ■ Sobre os componentes da Quarentena central ■ Como funciona a Quarentena central ■ O que pode ser feito com a Quarentena central ■ Onde obter mais informações sobre a Quarentena central Sobre o Symantec Central Quarantine Quando o Symantec Endpoint Protection encontra um item infectado, que não pode ser reparado com as definições de vírus atuais, bloqueia o acesso ao item. Depois, o produto empacota o item com todos os arquivos de sistema e configurações afetados e move o pacote para a quarentena local. A quarentena local é um local especial reservado para arquivos infectados e efeitos colaterais relacionados ao sistema. Após vírus e outras ameaças serem isolados em uma quarentena local, eles não podem se disseminar nem danificar o computador. O Symantec Endpoint Protection pode encaminhar automaticamente os pacotes que contêm arquivos infectados e seus efeitos colaterais relacionados de uma quarentena local para a Quarentena central. A Quarentena central é um repositório central composto de dois componentes primários, o Servidor da Quarentena central e o Console de quarentena. O Servidor da Quarentena central armazena amostras infectadas e se comunica com o Symantec Security Response. O Console de quarentena, que se associa ao Microsoft Management Console (MMC), permite gerenciar o Servidor da Quarentena central. 10 Apresentação do Symantec Central Quarantine Sobre os componentes da Quarentena central Você pode coletar as informações de análise posterior mais facilmente usando a Quarentena central. Você pode obter uma amostra de um computador infectado sem ter que ir fisicamente até esse computador. Além de verificar se há vírus nos arquivos, os clientes do Symantec Endpoint Protection verificam se há riscos à segurança, como spyware, adware, ferramentas de hacker e programas de brincadeiras. Também é possível encaminhar esses arquivos infectados à Quarentena central. No entanto, as ameaças detectadas e colocadas em quarentena pela Proteção proativa contra ameaças são enviadas usando um mecanismo diferente. Consulte “Sobre os componentes da Quarentena central” na página 10. Consulte “Onde obter mais informações sobre a Quarentena central” na página 14. Sobre os componentes da Quarentena central A Tabela 1-1 descreve os componentes do Symantec Central Quarantine. Tabela 1-1 Componentes da Quarentena central Componente Descrição Symantec Security Response Centro de análise automatizada, que verifica e analisa os itens enviados, cria e distribui definições de vírus atualizadas. Gateway O intermediário entre o Symantec Security Response e a Quarentena central. As amostras são analisadas e somente encaminhadas ao Symantec Security Response se não puderem ser reparadas pelas definições no gateway. Se a amostra puder ser reparada, as definições retornarão do gateway para a Quarentena central. Console de quarentena A interface do usuário da Quarentena central usada para configurar operações do Servidor de quarentena, comunicar-se com o gateway e gerenciar atualizações de definições. Servidor de quarentena Componente que aceita arquivos infectados e efeitos colaterais de vários servidores e clientes, comunicando-se com o Console de quarentena. Os itens que chegam à Quarentena são verificados com o conjunto de definições do Servidor de quarentena e enviados se não puderem ser reparados. O Servidor de quarentena deve ser configurado para monitorar portas específicas nos protocolos IP. O cliente deve estar configurado para encaminhar para a porta que corresponda ao protocolo de envio do cliente. Apresentação do Symantec Central Quarantine Como funciona a Quarentena central Componente Descrição Agente da quarentena Componente que controla a comunicação entre o Servidor de quarentena e o gateway, acionando o mecanismo Defcast. O Agente da quarentena assegura que a Quarentena central possua o conjunto de definições mais atualizado do gateway. Verificador da quarentena Componente que verifica arquivos enviados com o conjunto de definições do Servidor de quarentena. As amostras que chegam à Quarentena central devem ser verificadas antes que possam ser enviadas. Defcast Componente que consulta o número de sequência das definições de vírus dos servidores e clientes. Consulte “Como funciona a Quarentena central” na página 11. Consulte “Onde obter mais informações sobre a Quarentena central” na página 14. Como funciona a Quarentena central A Quarentena central usa o Digital Immune System para gerenciar o processo inteiro do antivírus. O Digital Immune System elimina muitas das tarefas manuais envolvidas nos processos de envio e análise. A automação reduz o tempo decorrido entre a descoberta de um vírus e quando um reparo é implementado com o LiveUpdate. O Digital Immune System faz o seguinte: ■ Identifica e coloca em quarentena: Usa heurística e detecção comportamental poderosas para identificar rapidamente ameaças novas. Os itens suspeitos são isolados no Servidor da Quarentena central e as amostras são enviadas automaticamente para o Symantec Security Response para análise. ■ Analisa: envia os arquivos ao Symantec Security Response para análise, reparo e teste. Nota: Apenas as ameaças de vírus que são colocadas em quarentena são transferidas para o Servidor da Quarentena central. As ameaças não virais são encaminhadas diretamente do cliente para a Symantec e nunca aparecem na Quarentena central. Consulte “Sobre a identificação e quarentena de vírus” na página 12. Consulte “Sobre a análise de vírus” na página 12. 11 12 Apresentação do Symantec Central Quarantine Como funciona a Quarentena central Sobre a identificação e quarentena de vírus O primeiro objetivo do Digital Immune System é detectar ameaças novas ou desconhecidas no computador, no servidor e no gateway. A Symantec usa a tecnologia heurística Bloodhound, projetada para detectar a maioria das variedades novas ou desconhecidas de vírus. É possível configurar clientes para que enviem automaticamente arquivos suspeitos e seus respectivos efeitos colaterais para uma Quarentena local. Uma Quarentena local pode estar localizada na área de trabalho, no servidor ou no gateway. A Quarentena local cria um pacote de arquivos suspeitos com informações sobre o computador de origem e encaminha os arquivos à Quarentena central corporativa para análise detalhada. Como a Quarentena central pode conter definições de vírus mais atualizadas que o computador que está enviando os arquivos, ela usa seu próprio conjunto de definições de vírus para verificar os arquivos. Se não puder reparar um arquivo, a Quarentena central removerá dele informações possivelmente sigilosas, se estiver configurada para isso, e o criptografará. O Digital Immune System transmite o arquivo pela Internet para um gateway da Symantec para maior análise. Os administradores podem configurar o Digital Immune System para executar automaticamente as seguintes tarefas: ■ Detectar e colocar em quarentena vírus novos e desconhecidos. ■ Filtrar e encaminhar amostras criptografadas ao Symantec Security Response para análise. O Digital Immune System pode remover o conteúdo sigiloso. ■ Procurar novas definições de vírus e atualizações de status. Consulte “Sobre a análise de vírus” na página 12. Sobre a análise de vírus O Agente da quarentena se encarrega da comunicação entre a Quarentena central e o gateway da Symantec. Se a Quarentena central não puder reparar um arquivo infectado, o Agente da quarentena o encaminhará ao gateway. Posteriormente, o Agente da quarentena consulta o gateway para verificar se o reparo está pronto. Se o reparo estiver pronto, o Agente da quarentena fará o download do novo conjunto de definições de vírus e instalará as novas definições na Quarentena central. Se o reparo não estiver pronto, o Agente da quarentena pesquisará o gateway a cada 60 minutos em busca de um reparo. Ao receber uma nova submissão, o Digital Immune System: ■ Adiciona o envio a um banco de dados de controle. Apresentação do Symantec Central Quarantine O que pode ser feito com a Quarentena central ■ Filtra o envio para eliminar arquivos limpos, falsos positivos, vírus conhecidos e ameaças expandidas. A filtragem é rápida, e como a maioria dos envios é resolvida por meio de filtragem, o tempo de resposta para itens filtrados é rápido. ■ Analisa o vírus e os efeitos colaterais, gera um reparo e testa o reparo criado. Na maioria dos casos, a análise e o reparo são gerados automaticamente, mas alguns vírus podem exigir a intervenção dos pesquisadores do Symantec Security Response. ■ Compila um novo conjunto de definições de vírus, que inclui uma nova impressão digital, e retorna as novas definições ao gateway. Consulte “Sobre a identificação e quarentena de vírus” na página 12. O que pode ser feito com a Quarentena central As versões anteriores da Quarentena central conduziam novas definições de vírus e ameaças a todos os clientes legado que enviavam itens em quarentena. Essa versão da Quarentena central ainda envia itens ao Symantec Security Response e recebe atualizações para esses itens. Entretanto, essa versão não conduz as definições para os clientes que executam o Symantec Endpoint Protection. Todavia, a Quarentena central proporciona um local único para a disposição de todos os itens em quarentena na rede. Todos os itens em quarentena são exibidos em uma janela e são enviados automaticamente ao Symantec Security Response. Essa janela também fornece informações sobre as ameaças enviadas, como o usuário e o computador que pegou a ameaça. Essa janela também mostra o status das definições criadas para detectar as ameaças desconhecidas que você enviar. O Digital Immune System fornece informações sobre as ameaças enviadas à Symantec Global Intelligence Network, que oferece compreensão inigualável no cenário da segurança na Internet. A Symantec Global Intelligence Network consiste em mais de 150 milhões de sensores antivírus para desktop, 40.000 sensores de firewall e de detecção de intrusos e 4.300 dispositivos monitorados e gerenciados em todo o mundo. Essas informações são combinadas ao banco de dados de vulnerabilidades da Symantec, com 13.000 entradas, o maior do mundo. Essas entradas abrangem 30.000 versões de aplicativos e sistemas operacionais de mais de 4.000 fornecedores. Consulte “Antes da instalação” na página 15. Consulte “Sobre a Quarentena central” na página 19. 13 14 Apresentação do Symantec Central Quarantine Onde obter mais informações sobre a Quarentena central Onde obter mais informações sobre a Quarentena central Você pode encontrar a documentação principal sobre a Quarentena central na pasta Documentação no disco de instalação. Algumas pastas de componentes individuais contêm a documentação específica do componente. As atualizações da documentação estão disponíveis nos sites do Suporte Técnico da Symantec e do Business Critical Services (anteriormente suporte Platinum). A Tabela 1-2 relaciona as informações adicionais disponíveis nos sites da Symantec. Tabela 1-2 Sites do Suporte Técnico da Symantec Tipos de informação Endereço na Web Base de conhecimento pública http://www.symantec.com/pt/br/business/support/index.jsp Versões e atualizações Manuais e documentação Opções de contato Informações e atualizações de vírus e outras ameaças http://www.symantec.com/pt/br/security_response/ Novidades e atualizações sobre produtos http://www.symantec.com/pt/br/business Acesso ao Business Critical Services https://www-secure.symantec.com/platinum/login_br.html (anteriormente suporte Platinum) pela Web Consulte “Sobre o Symantec Central Quarantine” na página 9. Capítulo 2 Instalação e configuração da Quarentena central Este capítulo contém os tópicos a seguir: ■ Antes da instalação ■ Requisitos do sistema para o Console de quarentena ■ Requisitos do sistema para o Servidor da Quarentena central ■ Instalação da Quarentena central ■ Sobre a Quarentena central ■ Sobre as propriedades da Quarentena central ■ Ativação do Servidor de quarentena ■ Configuração do Servidor de quarentena ■ Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena Antes da instalação Antes de instalar a Quarentena central, você deve considerar o seguinte: ■ Direitos de administrador são requeridos para a instalação do Console de quarentena e do Servidor de quarentena. Certifique-se de ter os direitos apropriados antes da instalação. ■ Certifique-se de desinstalar qualquer versão anterior da Quarentena central que existir no computador. 16 Instalação e configuração da Quarentena central Requisitos do sistema para o Console de quarentena ■ A Quarentena central é formada pelo Servidor de quarentena e pelo Console de quarentena. É possível instalar o Servidor de quarentena e o Console de quarentena nos mesmos computadores ou em computadores diferentes que executem Windows 2000/XP/2003. ■ O Console de quarentena deve usar o mesmo protocolo de rede (TCP/IP) que o Servidor de quarentena para configurá-lo. ■ Os produtos que usam quarentena podem encaminhar arquivos ao Servidor de quarentena usando TCP/IP. Verifique se esse protocolo de rede está instalado no Servidor de quarentena. Consulte “Requisitos do sistema para o Console de quarentena” na página 16. Consulte “Requisitos do sistema para o Servidor da Quarentena central” na página 17. Requisitos do sistema para o Console de quarentena O Console de quarentena tem os seguintes requisitos. Requisitos do sistema para o Console de quarentena Tabela 2-1 Componente 32 bits Processador Intel Pentium III de 600 MHz Sistema operacional É oferecido suporte para os seguintes sistemas operacionais: Windows 2000 Professional/Server/Advanced Server/Datacenter Server com Service Pack 3 ou superior ■ Windows XP Professional com Service Pack 1 ou superior ■ ■ Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Nota: O Console de quarentena não foi testado em sistemas operacionais de 64 bits. Memória 64 MB de RAM Disco rígido 35 MB Vídeo XGA (1024x768) ou adaptador de vídeo e monitor com maior resolução Instalação e configuração da Quarentena central Requisitos do sistema para o Servidor da Quarentena central Componente 32 bits Outros requisitos Os outros requisitos a seguir devem ser atendidos: ■ Internet Explorer 5.5 com Service Pack 2 ou superior ■ Microsoft Management Console (MMC) versão 1.2 ou superior Se o MMC ainda não estiver instalado, serão necessários 3 MB de espaço livre em disco (10 MB durante a instalação). Consulte “Instalação da Quarentena central” na página 18. Requisitos do sistema para o Servidor da Quarentena central O Servidor da Quarentena central tem os seguintes requisitos. Requisitos do sistema para o Servidor da Quarentena central Tabela 2-2 Componente 32 bits Processador Intel Pentium III de 600 MHz Sistema operacional É oferecido suporte para os seguintes sistemas operacionais de 32 bits: Windows 2000 Professional/Server/Advanced Server/Datacenter Server com Service Pack 3 ou superior ■ Windows XP Professional com Service Pack 1 ou superior ■ ■ Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Nota: O Servidor de quarentena não foi testado e não é suportado em sistemas operacionais de 64 bits. Memória 128 MB de RAM Disco rígido 40 MB, 500 MB a 4 GB recomendados para itens em quarentena e arquivo de troca de 250 MB Vídeo XGA (1024x768) ou adaptador de vídeo e monitor com maior resolução Outros requisitos ■ Internet Explorer 5.5 com Service Pack 2 ou superior Consulte “Instalação da Quarentena central” na página 18. 17 18 Instalação e configuração da Quarentena central Instalação da Quarentena central Instalação da Quarentena central A instalação da Quarentena central consiste das seguintes tarefas: ■ Instalação do Console de quarentena ■ Instalação do Servidor de quarentena Nota: Você pode instalar o console e o servidor em qualquer ordem. Para instalar o Console de quarentena 1 Inicie a instalação do disco de produto das ferramentas e clique em Instalar o Console da Quarentena central. 2 Na caixa de diálogo de apresentação, clique em Avançar. 3 Na caixa de diálogo Contrato de licença, selecione Aceito os termos do contrato de licença. 4 Clique em Avançar. 5 Na caixa de diálogo Pasta de destino, selecione uma das seguintes opções: ■ Avançar: para instalar na pasta padrão. ■ Alterar: para selecionar outra pasta. Não instale o Console de quarentena em uma unidade de rede. 6 Siga as instruções na tela para concluir a instalação. Para instalar o Servidor de quarentena 1 Inicie a instalação do disco de produto das ferramentas e clique em Instalar o Console da Quarentena central. 2 Na caixa de diálogo de apresentação, clique em Avançar. 3 Na caixa de diálogo Contrato de licença, selecione Aceito os termos do contrato de licença. 4 Clique em Avançar. 5 Na caixa de diálogo Pasta de destino, selecione uma das seguintes opções: ■ Avançar: para instalar na pasta padrão. ■ Alterar: para selecionar outra pasta. O Servidor de quarentena não deve ser instalado em uma unidade de rede. 6 Clique em Avançar. Instalação e configuração da Quarentena central Sobre a Quarentena central 7 Na caixa de diálogo Máximo de espaço em disco, aceite o espaço em disco padrão de 500 megabytes ou insira um novo valor (em megabytes) na caixa Espaço em disco e clique em Avançar. 8 Na caixa de diálogo Informações de contato, digite o nome da empresa, o número da conta (se disponível), o nome, o telefone e o e-mail do contato. 9 Clique em Avançar. 10 Na caixa de diálogo Comunicação na Web, aceite o endereço do gateway padrão ou digite outro endereço (se fornecido pela Symantec) na caixa Nome do gateway. Depois, clique em Avançar. 11 Siga as instruções na tela para concluir a instalação. Consulte “Ativação do Servidor de quarentena” na página 22. Sobre a Quarentena central A Quarentena central é composta de dois componentes principais, o Servidor de quarentena e o Console de quarentena. O Servidor de quarentena armazena amostras infectadas e se comunica com o Symantec Security Response. O Console de quarentena, que se associa ao Microsoft Management Console, permite gerenciar o Servidor de quarentena. Para usar a Quarentena central, proceda da seguinte maneira: ■ Ative o Servidor de quarentena. ■ Configure o Servidor de quarentena. ■ Configure os clientes para que encaminhem amostras ao Servidor de quarentena. Consulte “Sobre as propriedades da Quarentena central” na página 19. Sobre as propriedades da Quarentena central Você usa a caixa de diálogo Propriedades para definir várias configurações da Quarentena central. Nota: As configurações padrão da Quarentena central usam as informações fornecidas durante a instalação para oferecer proteção abrangente sem configurações adicionais. Não é necessário alterar nenhuma dessas configurações. 19 20 Instalação e configuração da Quarentena central Sobre as propriedades da Quarentena central Tabela 2-3 Propriedades da Quarentena central Propriedade Descrição Geral Essa propriedade permite especificar as configurações principais da Quarentena, como o local da pasta Quarentena. Esta propriedade permite também especificar as configurações para o tamanho máximo do conteúdo da pasta, o protocolo de escuta para comunicação com os clientes e o intervalo de atualização automática. Comunicação na Web Essa propriedade permite especificar as configurações de comunicação, como o nome do computador do gateway da Symantec e estas configurações de segurança: O envio seguro envia amostras de vírus à Symantec usando SSL (Secure Sockets Layer). ■ O download seguro usa SSL para receber as definições atualizadas da Symantec. ■ O gateway do Symantec Immune System especifica o computador de gateway que se comunica com o Symantec Security Response. ■ Firewall Essa propriedade permite especificar como se comunicar com e através de um firewall proxy, se a rede o utilizar: O nome do firewall é o endereço IP ou o nome do firewall. ■ A porta do firewall é a porta de comunicação com o firewall. ■ O nome de usuário do firewall é o nome de usuário para a comunicação com o firewall. ■ A senha do firewall é a senha usada na comunicação com o firewall. ■ Instalação e configuração da Quarentena central Sobre as propriedades da Quarentena central Propriedade Descrição Política de amostras Essa propriedade permite especificar como as amostras serão enviadas e processadas: O envio automático de amostras coloca automaticamente na fila amostras de vírus para análise. ■ O intervalo de verificação de fila é a frequência com que se verifica a existência de novos itens na Quarentena. ■ A remoção de dados do usuário da amostra é uma forma de manter a segurança, pois os dados possivelmente sigilosos são removidos de submissões de amostras. ■ O intervalo da pesquisa de status é a frequência com que se verificam alterações no status das amostras submetidas no gateway. ■ Política de definições Essa propriedade permite especificar como as definições do antivírus e antispyware serão processadas: O número de sequência ativo é o número de sequência das definições instaladas no Servidor de quarentena. Os números de sequência são usados somente pelos produtos de antivírus Symantec, atribuídos a conjuntos de assinaturas sequencialmente e sempre cumulativos. Um conjunto de assinaturas com número de sequência superior substitui um conjunto de assinaturas com número de sequência inferior. ■ O intervalo de definições aprovadas é a frequência, em minutos, de verificação de definições aprovadas atualizadas no gateway. A configuração padrão é três vezes por dia. ■ Informações sobre o cliente Essa propriedade permite editar as informações sobre o cliente inseridas durante a instalação. Todos os campos são requeridos. Alertas Essa propriedade permite configurar alertas para eventos específicos. Erros gerais Essa propriedade relaciona o histórico dos erros do Servidor de quarentena. Consulte “Sobre a Quarentena central” na página 19. 21 22 Instalação e configuração da Quarentena central Ativação do Servidor de quarentena Ativação do Servidor de quarentena É possível ativar o Servidor de quarentena no computador local e em um computador remoto. Para ativar o Servidor de quarentena no computador local 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Conectar ao servidor. 2 Na caixa de diálogo Selecionar computador, clique em Este computador e clique em OK. Para ativar o Servidor de quarentena em um computador remoto 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Conectar ao servidor. 2 Na caixa de diálogo Conectar ao Servidor de quarentena, digite o nome do servidor. 3 Digite o nome de usuário e a senha usados para fazer logon no servidor. 4 Se o servidor fizer parte de um domínio, digite também o nome do domínio. Consulte “Configuração do Servidor de quarentena” na página 22. Configuração do Servidor de quarentena Configure o Servidor de quarentena com estas informações: ■ O local da pasta para armazenar arquivos no Servidor de quarentena ■ O protocolo e a porta que será monitorada Depois que o Servidor de quarentena estiver configurado, configure os clientes para enviar cópias dos arquivos contidos em suas Quarentenas locais. Instalação e configuração da Quarentena central Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena Nota: A interface do usuário do Console de quarentena permite selecionar o protocolo IP ou SPX e especificar o número da porta a ser configurada. Esse protocolo IP e o número da porta é TCP e é a porta monitorada. Não selecione SPX. Além disso, o número da porta TCP inserido não é o que aparece quando as portas são exibidas em ferramentas, como o netstat -a. Por exemplo, se você digitar o número de porta 33, o netstat -a exibirá porta TCP 8448. Os números hexadecimais e decimais são reorganizados e convertidos incorretamente. Para obter detalhes, consulte O Servidor de quarentena parece usar uma porta diferente do que a que está configurada para usar (em inglês). Para configurar o Servidor de quarentena 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Propriedades. 2 Na guia Geral da caixa de diálogo Propriedades do Symantec Central Quarantine, especifique o local da pasta da Quarentena central. 3 Em Tamanho máximo permitido, especifique o tamanho máximo da Quarentena. 4 Em Protocolos, selecione Escutar no IP(TCP/IP). Certifique-se de que Escutar no SPX está desmarcado. 5 Na caixa Porta, digite o número da porta a qual monitorar. O número da porta padrão é 33. 6 Clique em OK. Consulte “Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena” na página 23. Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena Os clientes do Symantec Endpoint Protection em um grupo ou o local do grupo devem usar uma política de proteção contra vírus e spyware que encaminhe as amostras da quarentena ao servidor de quarentena. A política requer que você insira o nome de domínio totalmente qualificado (recomendado) ou endereço IP do Servidor de quarentena. A política também requer que você insira o protocolo e o número da porta que você especificou para a porta monitorada do Servidor de quarentena. 23 24 Instalação e configuração da Quarentena central Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena Para configurar uma política de proteção contra vírus e spyware para usar o servidor de quarentena 1 No console, clique em Políticas. 2 Em Políticas, clique em Proteção contra vírus e spyware. 3 Em Tarefas, clique em Adicionar uma política de proteção contra vírus e spyware. Também é possível editar uma política existente. 4 Na página da política, clique em Quarentena. 5 Em Itens em quarentena, selecione Permitir que os computadores-cliente enviem os itens em quarentena automaticamente para um Servidor de quarentena. 6 Na caixa Nome do servidor, digite o nome do domínio totalmente qualificado ou o endereço IP do Servidor de quarentena. 7 Na caixa Número da porta, aceite ou altere o número de porta padrão. 8 Na caixa Repetir, aceite ou altere o intervalo de repetição quando as comunicações entre o cliente e o Servidor de quarentena falharem. 9 Clique em OK. Consulte “Configuração do Servidor de quarentena” na página 22. Capítulo 3 Utilização do Symantec Central Quarantine Este capítulo contém os tópicos a seguir: ■ Gerenciamento de arquivos em quarentena ■ Submissão de amostras para análise ■ Exame do status do envio de amostras ■ Configuração de eventos e alertas Gerenciamento de arquivos em quarentena Por padrão, os clientes do Symantec Endpoint Protection isolam itens infectados que não podem ser reparados com seus conjuntos atuais de definições de vírus. Os clientes configurados para encaminhar esses arquivos infectados e seus efeitos colaterais enviam automaticamente cópias ao Servidor da Quarentena central. Consulte “Exibição dos itens em quarentena” na página 25. Consulte “Exclusão de arquivos em quarentena” na página 26. Consulte “Restauração de arquivos em quarentena” na página 27. Exibição dos itens em quarentena Os arquivos são adicionados à quarentena central quando os computadores-cliente são configurados para encaminhar os itens infectados para o servidor de quarentena. 26 Utilização do Symantec Central Quarantine Gerenciamento de arquivos em quarentena Tabela 3-1 Informações sobre o arquivo em quarentena Propriedade Descrição Nome do arquivo Nome do item infectado Nome de usuário Usuário cujo arquivo estava infectado Computador Computador no qual o item infectado foi descoberto Analisado Indica se a amostra foi analisada Tempo Data em que a amostra foi colocada em quarentena Estado da amostra Estado atual da amostra Consulte “Estado da amostra” na página 34. Definições necessárias Número de sequência do conjunto de definições necessário para resolver o vírus Status Estado do processamento da amostra Consulte “Status das amostras” na página 33. Vírus Nome do vírus identificado Erros Erros de processamento de amostras Consulte “Erros nas amostras” na página 39. Para exibir os itens em quarentena 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. Os itens em quarentena serão relacionados no painel direito. 2 No painel direito, clique com o botão direito do mouse em um item em quarentena e clique em Propriedades. Consulte “Gerenciamento de arquivos em quarentena” na página 25. Exclusão de arquivos em quarentena Embora seja possível excluir qualquer item que esteja na Quarentena central, reserve essa opção para os arquivos dos quais não precisa mais. Após confirmar que as definições atualizadas detectaram e eliminaram o vírus, será seguro excluir o item em quarentena. Utilização do Symantec Central Quarantine Submissão de amostras para análise Para excluir os arquivos em quarentena 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um ou mais arquivos e clique em Excluir. Consulte “Gerenciamento de arquivos em quarentena” na página 25. Restauração de arquivos em quarentena Se você optar por restaurar um arquivo, não será feita nenhuma tentativa de repará-lo. Use esta opção com cautela para evitar a infecção do sistema. Por exemplo, somente restaure um arquivo quando o Symantec Security Response notificar que o arquivo enviado não está infectado. Não é seguro restaurar um arquivo que pode estar infectado. Arquivos restaurados são copiados para um local de pasta especificado por você. Para restaurar arquivos em quarentena 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um ou mais arquivos e clique em Todas as tarefas > Restaurar item. 3 Se tiver certeza de que deseja restaurar o arquivo, clique em Sim. 4 Na caixa de diálogo Procurar pasta, selecione o local no qual o arquivo será restaurado e clique em OK. Consulte “Gerenciamento de arquivos em quarentena” na página 25. Submissão de amostras para análise As configurações da Política de amostras determinam se as amostras de vírus serão ou não enviadas automaticamente ao gateway. Se a submissão automática de amostras não for selecionada, as amostras que estiverem na Quarentena deverão ser liberadas para o gateway individualmente. As configurações da política para o envio automático de amostras podem ser substituídas. Geralmente, as amostras são enviadas manualmente somente quando ocorre um erro no envio ou quando se deseja uma alteração na prioridade da fila das amostras selecionadas. Consulte “Definição de uma política de envio automático de amostras” na página 28. 27 28 Utilização do Symantec Central Quarantine Submissão de amostras para análise Consulte “Envio manual de arquivos” na página 28. Definição de uma política de envio automático de amostras As configurações da Política de amostras determinam se as amostras de vírus serão ou não enviadas automaticamente ao gateway. Se o envio automático de amostras não for selecionado, as amostras em Quarentena deverão ser enviadas para o gateway individualmente. Para maior segurança, especifique que os dados do usuário devem ser removidos da amostra antes do envio. Nota: É possível substituir as configurações de envio da política de um item individual exibindo a guia Ações do item selecionado na Quarentena. Para definir uma política de envio automático de amostras 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Propriedades. 2 Na caixa de diálogo Propriedades do Symantec Central Quarantine, defina a política de amostras na guia Política de amostras. Consulte “Submissão de amostras para análise” na página 27. Envio manual de arquivos Os arquivos suspeitos podem ser enviados manualmente para análise de vírus. As amostras que podem ser reparadas com as definições presentes no Servidor de quarentena ou no gateway não são enviadas para o Symantec Security Response. A amostra deve atender às seguintes condições para se qualificar para o envio manual: ■ A amostra não pode já ter sido qualificada para envio automático (X-Sample-Priority deve ser 0). ■ A amostra ainda não foi enviada (X-Date-Submitted está ausente ou é 0). ■ A amostra ainda não foi analisada (X-Date-Finished ausente ou 0). Você deve definir a prioridade de uma amostra para poder enviar arquivos manualmente. Utilização do Symantec Central Quarantine Exame do status do envio de amostras Para definir manualmente a prioridade da amostra 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um item e clique em Propriedades. 3 Na guia Ações da caixa de diálogo Propriedades do Symantec Central Quarantine, defina a prioridade do envio. Para enviar manualmente itens ao Symantec Security Response 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um ou mais arquivos e clique em Todas as tarefas > Colocar item na fila para análise automática. Consulte “Submissão de amostras para análise” na página 27. Exame do status do envio de amostras O status de uma amostra pode ser determinado examinando-se as ações e os atributos definidos durante as comunicações entre o Servidor de quarentena e o gateway. Consulte “Exibição dos atributos de uma amostra” na página 29. Consulte “Verificação das ações tomadas em uma amostra” na página 30. Consulte “Verificação dos erros de envio de uma amostra” na página 30. Exibição dos atributos de uma amostra A solicitação e as mensagens de resposta que os clientes e servidores trocam contêm vários atributos que descrevem o status de uma amostra. Esses atributos particulares sempre começam com os caracteres X-. Para exibir os atributos de uma amostra 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um item e clique em Propriedades. 3 Na guia Atributos das amostras da caixa de diálogo Propriedades, clique duas vezes em um atributo exibido para obter uma definição resumida. Consulte “Exame do status do envio de amostras” na página 29. 29 30 Utilização do Symantec Central Quarantine Configuração de eventos e alertas Verificação das ações tomadas em uma amostra As ações tomadas para uma amostra incluem o envio da amostra selecionada e o status da entrega de definições de vírus. É possível substituir as configurações da política de envio padrão para a amostra selecionada. É possível colocar manualmente uma amostra na fila para envio ao Symantec Security Response, bem como consultar arquivos de definições de vírus atualizadas para a amostra selecionada. Para verificar as ações nas amostras 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um item e clique em Propriedades. 3 Na guia Ações da caixa de diálogo Propriedades, verifique as ações tomadas para a amostra. Consulte “Exame do status do envio de amostras” na página 29. Verificação dos erros de envio de uma amostra Se houver erros de envio, serão relatados para cada amostra. Examine as entradas para determinar as ações necessárias para a amostra. Para verificar os erros de envio de uma amostra 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um item e clique em Propriedades. 3 Na guia Erros da caixa de diálogo Propriedades, verifique os erros de envio. Consulte “Exame do status do envio de amostras” na página 29. Configuração de eventos e alertas Você pode especificar os eventos sobre os quais quer informações. Você envia as informações de eventos para o Log de eventos do NT. Consulte “Especificação dos eventos que acionam alertas” na página 30. Especificação dos eventos que acionam alertas Você pode enviar tipos diferentes de eventos para o Log de eventos do NT. Utilização do Symantec Central Quarantine Configuração de eventos e alertas Tabela 3-2 Eventos que acionam alertas Evento Descrição Não foi possível conectar-se ao Gateway O Agente de quarentena não pode conectar-se ao gateway do Digital Immune System. Erro no Defcast Defcast é o serviço que distribui novas definições do Servidor de quarentena para os computadores de destino. Não é possível instalar definições nos computadores de destino A distribuição das novas definições falhou. Também indica que as definições estão disponíveis para clientes não gerenciados. Não é possível acessar o diretório das definições O Servidor de quarentena não consegue localizar o diretório das definições. Não é possível conectar-se à svc do verificador de quarentena As amostras não podem ser verificadas na Quarentena e não serão encaminhadas ao gateway. O serviço Agente de quarentena foi interrompido A Quarentena não pode comunicar-se com o gateway. Aguardando definições necessárias As definições ainda não vieram do gateway. Há novas definições aprovadas Chegaram novas definições aprovadas no Servidor de quarentena. Há novas definições não aprovadas Chegaram novas definições não certificadas no Servidor de quarentena em resposta ao envio de uma amostra. O restante da cota em disco é baixo para A pasta Quarentena está quase cheia. o diretório da Quarentena O espaço livre em disco é inferior ao tamanho máximo da Quarentena A pasta Quarentena está configurada com um tamanho máximo maior do que o espaço livre disponível em disco. Amostra: não foi reparada Uma amostra não foi reparada ou não foi necessário um reparo. Amostra: não é possível instalar definições As novas definições não puderam ser instaladas, geralmente devido a um conjunto de definições corrompido. Amostra: erro de processamento Um erro ocorreu enquanto a amostra era processada. 31 32 Utilização do Symantec Central Quarantine Configuração de eventos e alertas Evento Descrição Amostra: precisa de atenção do suporte técnico A amostra não pôde ser processada automaticamente. Entre em contato com o Suporte Técnico para obter ajuda para a amostra. Amostra: retida para envio manual A amostra é mantida no Servidor de quarentena em vez de ser enviada automaticamente. Amostra: novas definições não são instaladas há muito tempo Deveriam ter sido instaladas novas definições (o status é Distribuir), mas isso não ocorreu. Amostra: há muito tempo com o status Distribuir Chegaram novas definições do gateway, mas a confirmação de que foram instaladas no cliente ainda não foi recebida na Quarentena. Amostra: há muito tempo com o status Necessário As definições ainda não foram obtidas no gateway. Amostra: há muito tempo com o status Liberado O gateway ainda não respondeu. Amostra: há muito tempo com o status Enviado O gateway ainda não aceitou a amostra. Amostra: há muito tempo com o status Em quarentena A amostra ainda não passou pela verificação inicial na Quarentena. Amostra: novas definições mantidas para As novas definições são mantidas no Servidor distribuição de quarentena em vez de serem distribuídas. Para especificar os eventos que acionam alertas 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Propriedades. 2 Na caixa de diálogo Propriedades do Symantec Central Quarantine, na guia Alerta, marque Log de eventos do NT. 3 Em Configurar notificação de eventos, siga uma ou ambas destas instruções: 4 ■ Selecione os eventos sobre os quais quer informações. ■ Desmarque os eventos sobre os quais não quer informações. Clique em OK. Consulte “Configuração de eventos e alertas” na página 30. Apêndice A Referência do processamento de amostras Este Apêndice contém os tópicos a seguir: ■ Sobre o processamento de amostras ■ Status das amostras ■ Estado da amostra ■ Erros nas amostras Sobre o processamento de amostras O Digital Immune System fornece informações em tempo real sobre qualquer amostra do sistema, incluindo o status de processamento e o estado da análise de uma amostra enviada. Consulte “Status das amostras” na página 33. Consulte “Estado da amostra” na página 34. Consulte “Erros nas amostras” na página 39. Status das amostras A Tabela A-1 descreve o status das amostras, que é o status do processamento da amostra no Digital Immune System. 34 Referência do processamento de amostras Estado da amostra Tabela A-1 Status das amostras Status Descrição Atenção A amostra requer intervenção do suporte técnico. Disponível Existem novas definições para serem entregues ao computador que enviou itens. Distribuir Existem novas definições na fila para entrega ao computador que enviou itens. Distribuídas Novas definições foram entregues ao computador que enviou itens. Erro Ocorreu um erro de processamento. Mantida A amostra não será incluída no envio. Instaladas Novas definições foram instaladas no computador que enviou itens. Necessárias São requeridas novas definições para a amostra. Não instaladas Não foi possível entregar as definições ao computador que enviou itens. Em quarentena A Quarentena central recebeu a amostra. Liberada A amostra foi colocada em fila para análise. Reiniciar O processamento de amostras se inicia novamente. Enviada A amostra foi enviada ao Symantec Security Response para análise. Não necessárias Novas definições não são necessárias para a amostra. Estado da amostra Estado da amostra é o estado de análise da amostra enviada no Digital Immune System. O estado indica a localização da amostra na hierarquia de rede, a etapa do canal de informações da análise que está trabalhando na amostra ou sua disposição final. Nota: Não há mais suporte a qualquer estado que deduza que uma amostra foi devolvida a um computador-cliente. Referência do processamento de amostras Estado da amostra Consulte “Estados finais” na página 35. Consulte “Estados de trânsito” na página 36. Consulte “Estados pendentes” na página 37. Consulte “Estados ativos” na página 37. Estados finais Amostras que foram concluídas encontram-se em um dos estados finais. Todas as estações de trabalho do Digital Immune System utilizam os estados terminais. Depois que uma amostra for colocada em estado terminal, seu estado não será alterado novamente. O atributo X-Date-Analyzed é definido quando uma amostra é colocada em estado terminal. Sua presença significa que o valor de X-Analysis-State é terminal. Tabela A-2 Estados finais Estado Descrição abort Um erro de programação interno impediu o transporte ou a análise da amostra. attention A amostra requer intervenção do suporte técnico. broken A amostra está infectada por um vírus, mas o serviço de geração de definições da administração relatou um erro. Nenhum arquivo de definições de vírus está disponível. declined A amostra não é aceitável e foi recusada. error Ocorreu um erro de processamento. infectado A amostra está infectada por um vírus e pode ser reparada com os arquivos de definições de vírus disponíveis. misfired A amostra foi analisada e nenhum vírus foi encontrado, apesar de uma infecção detectada. Um erro nos arquivos de definições de vírus anteriores foi a causa da infecção detectada incorretamente, mas esse erro foi corrigido nos arquivos de definições de vírus mais recentes. nodetect A amostra não foi analisada, mas aparentemente não contém nenhum código suspeito. norepair A amostra está infectada por um vírus, mas não pode ser reparada com os arquivos de definições de vírus disponíveis. Ela deve ser excluída. 35 36 Referência do processamento de amostras Estado da amostra Estado Descrição uninfectable A amostra não contém código executável. Portanto, não pode ser infectada por vírus. A amostra pode ser pequena demais para conter qualquer código executável ou pode conter apenas dados, como imagens ou clipes de áudio. uninfected A amostra foi analisada e nenhum vírus foi encontrado. unsubmittable A amostra contém software malicioso conhecido, como um worm ou um Cavalo de Troia. Ela deve ser excluída. encrypted A Quarentena central não pode verificar essa amostra porque ela está criptografada ou protegida por senha. É necessário descriptografá-la ou remover a proteção por senha antes de enviá-la novamente. delete Arquivos criados por código malicioso ou que contêm código malicioso. A única ação a executar nestes arquivos é excluí-los. restore Arquivos que não podem ser limpos. Os arquivos podem ter sido alterados acidentalmente ou por vírus e podem conter código de vírus corrompido. Devido às alterações, é impossível ou inseguro manter os arquivos. Você deve restaurá-los de um backup. Consulte “Estado da amostra” na página 34. Estados de trânsito As amostras que ainda não chegaram ao Symantec Security Response estão em um dos estados de trânsito. Somente os componentes fora do Symantec Security Response utilizam os estados de trânsito. Uma amostra pode permanecer em estado pendente por tempo indefinido, antes de passar para outro estado. Tabela A-3 Estados de trânsito Estado Descrição accepted O gateway aceitou a amostra, mas ela ainda não foi importada para o Symantec Security Response. importação O Symantec Security Response importou a amostra. receiving O gateway recebeu a amostra. Consulte “Estado da amostra” na página 34. Referência do processamento de amostras Estado da amostra Estados pendentes As amostras que aguardam análise no Symantec Security Response estão em um dos estados pendentes. Somente os componentes fora do Symantec Security Response utilizam os estados pendentes. Uma amostra pode permanecer em estado pendente por tempo indefinido, antes de passar para outro estado. Tabela A-4 Estados pendentes Estado Descrição defer A amostra não pode ser analisada automaticamente e será adiada para análise por especialistas. deferred A amostra não pode ser analisada automaticamente e será adiada para análise por especialistas. deferring A amostra não pode ser analisada automaticamente e será adiada para análise por especialistas. imported A amostra foi importada para o Symantec Security Response, mas ainda não foi analisada. rescan A amostra deve ser verificada novamente, pois novos arquivos de definições de vírus estão disponíveis no Symantec Security Response. Consulte “Estado da amostra” na página 34. Estados ativos As amostras sob análise no Symantec Security Response estão em um dos estados ativos. Somente o componente de fluxo de dados do Symantec Security Response utiliza os estados ativos. Uma amostra pode permanecer em um estado ativo por apenas alguns segundos ou por vários minutos antes de passar para outro estado. Tabela A-5 Estados ativos Estado Descrição archive A amostra está aguardando para arquivar os arquivos de análise automatizada. archiving A amostra está arquivando os arquivos de análise automatizada. binary A amostra foi classificada como um programa binário e está aguardando o controlador binário. 37 38 Referência do processamento de amostras Estado da amostra Estado Descrição binaryControlling O controlador binário está determinando condições iniciais para a réplica binária. binaryReplicating A amostra está sendo executada por um mecanismo de réplica binária. binaryScoring A amostra infectou outros programas binários e o mecanismo de pontuação binária está selecionando assinaturas para detectar e reparar o vírus. binaryWait A amostra está aguardando a disponibilização de um mecanismo de réplica binária. classifying A amostra está sendo classificada para que o tipo dos dados seja determinado. fullBuilding Está sendo criado um novo conjunto de arquivos de definições de vírus para incorporar as assinaturas selecionadas do novo vírus. fullUnitTesting Os arquivos de definições de vírus estão sendo testados individualmente. incrBuilding As assinaturas selecionadas do novo vírus estão sendo adicionadas aos arquivos de definições de vírus atuais. incrUnitTesting Os arquivos de definições de vírus incrementais estão sendo testados individualmente. locking O acesso exclusivo ao serviço de geração de definições na administração está sendo adquirido. macro A amostra foi classificada como um documento ou planilha que contém macros executáveis e está aguardando o controlador de macros. macroControlling O controlador de macros está determinando as condições iniciais para réplica de macro. macroReplicating A amostra está sendo executada por um mecanismo de réplica de macros. macroScoring A amostra infectou outros documentos ou planilhas e o mecanismo de pontuação de macros está selecionando assinaturas para detectar e reparar o vírus. macroWait A amostra está aguardando a disponibilização de que um mecanismo de réplica de macro. Referência do processamento de amostras Erros nas amostras Estado Descrição assinaturas A amostra está infectada por um novo vírus, as assinaturas para detectar o vírus e reparar a amostra foram selecionadas e a amostra está aguardando a disponibilização do processo de criação. unlocking O acesso exclusivo ao serviço de geração de definições está sendo liberado. Consulte “Estado da amostra” na página 34. Erros nas amostras Os erros de processamento de amostras estão relacionados na tabela abaixo. Tabela A-6 Erros nas amostras Erro Descrição abandoned Um número de sequência da assinatura foi abandonado, o que geralmente é causado pela falha do teste da unidade do conjunto de definições correspondentes. conteúdo A soma de verificação do conteúdo da amostra não corresponde ao conteúdo. crumbled O cookie de rastreamento da amostra não foi atribuído pelo gateway. declined A amostra enviada para análise foi recusada pelo gateway. O usuário deve entrar em contato com o suporte técnico para obter auxílio. internal Uma falha interna ocorreu durante o processamento de uma amostra. lost A amostra não foi completamente recebida devido a uma falha na rede. malformed Um atributo essencial da amostra estava corrompido. missing Um atributo essencial da amostra estava ausente. overrun O conteúdo desta amostra excede o tamanho esperado. Esse estouro pode ser devido a um erro de transmissão na rede de transporte. 39 40 Referência do processamento de amostras Erros nas amostras Erro Descrição amostra A soma de verificação da amostra não corresponde ao conteúdo. superseded Este número de sequência de assinatura foi substituído por definições aprovadas mais recentes e não está mais disponível no servidor. O cliente deve fazer o download das definições aprovadas atuais, em vez das definições substituídas. tipo Não há suporte para o tipo da amostra. indisponível O número de sequência da assinatura ainda não foi publicado. underrun O tamanho esperado da amostra excede seu conteúdo. unpackage A amostra ou assinatura não pôde ser descompactada. unpublished O conjunto de assinaturas não pode ser publicado. Consulte “Sobre o processamento de amostras” na página 33. Índice A Agente da quarentena 11 amostras atributos exibição 29 envio automático 27 erros 39 estados 34 estados ativos 37 estados finais 35 estados pendentes 37 exame do status do envio 29 exibição das ações 30 política 27 configurações 27–28 envio de amostras automático 21 propriedades 21 processamento 33 status 29, 33 verificação das ações em 30 amostras em estados ativos 37 amostras em estados pendentes 37 arquivos em quarentena 27 restauração 27 C caracteres X- 29 comunicação na Web janela 19 propriedades 20 Console de quarentena como parte da Quarentena central 19 instalação 18 sobre 10 D Defcast 11 definições aprovadas 21, 31 definições não certificadas 31 Digital Immune System análise 12 automação 11 componentes 10 e o processamento de amostras 33 sobre 11 E envio de arquivos 12 envios interpretação de atributos 29 verificação de erros 30 erros envio 27 eventos que acionam 31 geral 21 verificação de envios 30 estados amostra 34 ativos 37 finais 35 pendentes 37 estados finais, amostras 35 eventos configuração 30 que acionam alertas 30 G gateway consulta 12, 21 definido 10 detecção de ameaças desconhecidas 12 endereço padrão 19 envio de arquivos para 12 gateway do Symantec Immune System 20 não foi possível conectar-se ao 31 nome do computador do 20 sobre 10 gateway do Symantec Immune System 20 guia Firewall nome 20 42 Índice nome do usuário 20 porta 20 senha 20 I informações sobre o cliente janela 19 propriedades 21 instalação Console de quarentena 18 Quarentena central 18 Servidor de quarentena 18 intervalo da pesquisa de status 21 intervalo das definições de vírus e definições certificadas 21 intervalo de verificação de fila 21 J janela Máximo de espaço em disco 19 L propriedades 19 R requisitos do sistema para o Console de quarentena 16 para o Servidor da Quarentena central 17 restauração de arquivos infectados 27 S Servidor de quarentena ativação em outra máquina 22 na máquina local 22 como parte da Quarentena central 19 configuração Verificação e Entrega baseada na Internet 22–23 instalação 18 sobre 10 Symantec Security Response 10, 19 Log de eventos do NT 30 V N verificador da quarentena 11 Verificador de quarentena 31 número de sequência 21 P políticas definição do envio automático de amostras 28 definição para amostra 28 definições 21 portas e protocolos de rede 22 protocolos compartilhamento entre o Console de quarentena e o Servidor de quarentena 16 rede 22 TCP/IP 16 Q Quarentena configurações padrão 19 exclusão de arquivos em 26 exibição 26 local 9 propriedades gerais 20 Quarentena central instalação 18