Rastreador de riscos

O Rastreador de riscos identifica a fonte das infecções por vírus provenientes do compartilhamento de rede em seus computadores-cliente.
Um ícone de cadeado aparece ao lado de
Permitir Rastreador de riscos
. Clique no ícone para bloquear ou desbloquear as configurações do Rastreador de riscos em computadores-cliente. Quando bloquear as configurações, você impedirá mudanças do usuário.
O Rastreador de riscos não bloqueia endereços IP invasores. A opção para bloquear automaticamente endereços IP é ativada por padrão na política de firewall.
Opções do rastreador de riscos
Opção
Descrição
Ativar rastreador de riscos
Ativa ou desativa o rastreador de riscos.
Clique no ícone para bloquear ou desbloquear as opções do Rastreador de riscos em computadores cliente.
Quando Auto-Protect detecta uma infecção, ele determina se a origem da infecção é local ou remota.
Determinar o endereço IP do computador de origem
Se essa opção estiver desativada, o cliente
Symantec Endpoint Protection
irá procurar e registrar apenas o nome do NetBIOS do computador. Se essa opção estiver desativada, o cliente tentará obter um endereço IP para o nome do NetBIOS conhecido.
Se a infecção for de um computador remoto, o Rastreador de riscos poderá executar as seguintes ações:
  • Verificar e registrar o nome do computador NetBIOS do computador e seu endereço IP.
  • Verificar e registrar quem fez logon no computador no horário da entrega.
  • Exibir as informações na caixa de diálogo de propriedades de Risco.
Pesquisar sessões de rede a cada <número> milissegundos
ativa ou desativa pesquisas para sessões de rede.
Valores mais baixos utilizam mais recursos da CPU e da memória. Valores mais baixos também aumentam a possibilidade de que o cliente grave as informações da sessão de rede antes que a ameaça possa desligar os compartilhamentos de rede.
Valores mais altos diminuem a sobrecarga do sistema, mas também diminuem a capacidade do rastreador de riscos de detectar a origem das infecções.
O Rastreador de riscos pesquisa no intervalo especificado as sessões da rede e armazena em cache essas informações como uma lista de fonte secundária do computador remoto. Essas informações maximizam a frequência na qual o Rastreador de riscos pode identificar com êxito o computador remoto infectado. Por exemplo, um risco pode fechar o compartilhamento de rede antes que o Rastreador de riscos registre a sessão da rede. Nesse caso, o Rastreador de riscos utiliza a lista de origem secundária para identificar o computador remoto. Você pode configurar essas informações na caixa de diálogo Opções avançadas do Auto-Protect.
As informações do Rastreador de riscos são exibidas na caixa de diálogo de propriedades do risco e ficam disponíveis somente para as entradas de risco causadas por arquivos infectados. Quando determina que a infecção originou-se de uma atividade no host local, o Rastreador de riscos registra que a origem foi o host local.
O Rastreador de riscos relaciona uma fonte quando desconhecida quando as seguintes condições são verdadeiras:
  • Não consegue identificar o computador remoto.
  • O usuário autenticado de um compartilhamento de arquivo faz referência a vários computadores. Essa condição pode ocorrer quando o ID do usuário está associado a várias sessões de rede. Por exemplo, vários computadores podem estar registrados em um servidor de compartilhamento de arquivos com o mesmo ID de usuário de servidor.
Você pode registrar a lista completa de vários computadores remotos que atualmente infectaram o computador local. Defina o valor da string HKEY_LOCAL_MACHINE\​Software\​Symantec\​
Symantec Endpoint Protection
\​AV\​ProductControl\​Debug como "THREATTRACER X" no computador-cliente local. O valor THREATTRACER ativa a saída de depuração e o X garante que somente a saída de depuração relacionada ao Rastreador de riscos será exibida. Também é possível adicionar um L para que o registro em log seja feito no arquivo vpdebug.log. Para que a janela de depuração não seja exibida no computador, adicione XW.
Se você deseja usar este recurso, use o arquivo de vírus de teste Eicar.com, disponível em:
www.eicar.org