Política antimalware - Configurações avançadas

A política Antimalware do
Symantec Endpoint Security
inclui configurações avançadas do Auto-Protect e outros recursos antimalware.
Configurações avançadas de Antimalware
Opção
Descrição
Ativar Auto-Protect
Ativa ou desativa o Auto-Protect para o sistema de arquivos. Por padrão, o Auto-Protect está ativado.
Ativar análise comportamental
Ativa ou desativa a análise comportamental.
A análise comportamental (também conhecida como SONAR) é a proteção em tempo real que detecta aplicativos potencialmente maliciosos quando são executados em seus computadores. A análise comportamental usa a heurística, assim como os dados de reputação, para detectar ameaças emergentes e desconhecidas. A análise comportamental fornece a proteção do “dia zero” porque detecta ameaças antes que as definições tradicionais de vírus e de detecção de spyware sejam criadas para lidar com as ameaças.
Ativar o Antimalware na inicialização da Symantec
O ELAM (Early Launch Antimalware - Antimalware na Inicialização) protege os dispositivos contra as ameaças que são carregadas na inicialização. O
Endpoint Security
tem um driver de antimalware na inicialização que funciona com o driver de Inicialização de Antimalware Antecipada da Microsoft para fornecer proteção. As configurações são suportadas no Microsoft Windows 8 e no Windows Server 2012.
O driver de antimalware na inicialização é um tipo especial de driver, que é iniciado antecipadamente para inspecionar outros drivers de inicialização em busca de código malicioso. Quando o driver do
Endpoint Security
detectar um driver de inicialização, determinará se o driver é bom, ruim ou desconhecido. O driver do
Endpoint Security
passará então as informações ao Windows para decidir permitir ou bloquear o driver detectado.
As configurações do
Endpoint Security
fornecem uma opção para tratar drivers inválidos e drivers inválidos críticos como desconhecidos. Os drivers inválidos críticos são drivers identificados como malware, mas necessários para a inicialização do computador. Por padrão, o Windows permite que drivers desconhecidos sejam carregados. Convém selecionar a opção de sobreposição se você obtiver detecções de falso positivo que bloqueiem um driver importante. Se você bloquear um driver importante, poderá impedir que os dispositivos sejam inicializados.
O driver de início antecipado do antimalware do Windows deve estar ativado para que as configurações do
Endpoint Security
tenham efeito. Você usa o editor de políticas de grupo do Windows para exibir e modificar as configurações do Windows ELAM. Consulte sua documentação do Windows para obter mais informações.
Ativar o Auto-Protect para Microsoft Outlook
Ativa ou desativa o Auto-Protect para clientes de email (Outlook) do Microsoft Exchange
Opções avançadas do Auto-Protect
Opções avançadas do Auto-Protect
Opção
Descrição
Carregar Auto-Protect quando o computador iniciar
Carrega o Auto-Protect quando o sistema operacional do computador é iniciado e o descarrega quando o computador é desligado. Essa opção pode ajudar a proteger contra alguns vírus. Se o Auto-Protect detectar um vírus durante o desligamento, colocará o arquivo infectado em uma pasta temporária da quarentena. Então, o Auto-Protect detectará novamente o vírus durante a próxima inicialização e criará uma notificação de alerta.
Se você desativar o Auto-Protect em um dispositivo que tenha esta opção ativada, ele ainda funcionará toda vez que o dispositivo for reiniciado, durante um curto período. Quando o serviço principal do cliente for iniciado, ele desativará o Auto-Protect.
Ativar o cache do arquivo
Ativar rastreador de riscos
Verificar quando um arquivo é acessado
verifica arquivos quando são gravados, abertos, modificados, copiados ou executados.
Use essa opção para obter maior proteção do sistema de arquivos. Essa opção pode afetar o desempenho porque o Auto-Protect verifica arquivos durante todos os tipos de operações de arquivo.
Verificar quando um arquivo for modificado
Verifica arquivos quando são gravados, modificados ou copiados.
Use esta opção para obter um desempenho mais rápido, pois o Auto-Protect somente verifica os arquivos quando são gravados, modificados ou copiados.
Verificar quando for feito o backup de um arquivo
Verificará um arquivo durante o backup se outro processo tentar gravar no arquivo durante o backup. O processo de backup lê os arquivos somente durante o backup, para que esse processo não inicie a verificação sozinho.
Se você desativar essa opção, o Auto-Protect não verificará nenhum arquivo durante um backup. No entanto, o cliente verifica os arquivos que são restaurados de um backup, independentemente dessa configuração.
Não verificar quando processos confiáveis acessarem o arquivo
Ignora os arquivos que são acessados pelo Indexador de Pesquisa do Windows e pelos outros processos que o
Endpoint Security
identifica como seguros.
A opção
Ativar lista personalizada
permite que você ative ou desative uma lista de processos confiáveis que você sabe que são seguros.A lista é usada em adição aos processos que a Symantec já confia como seguros.Use a opção
Adicionar processo personalizado
para adicionar processos.Adicione o nome de processo sem um nome de caminho, por exemplo, foo.exe.
Sempre excluir arquivos infectados recentemente criados
Ative esta opção para excluir um novo arquivo que esteja infectado independentemente da ação que estiver configurada para o tipo de risco. Esta configuração não se aplica às detecções do Auto-Protect de arquivos existentes que contêm vírus. O Auto-Protect não excluirá os arquivos infectados que já existirem no dispositivo, a menos que a ação configurada seja
Excluir
.
Sempre excluir riscos à segurança recentemente criados
Esta opção estará disponível somente quando
Sempre excluir arquivos infectados recentemente criados
estiver ativado. Ative esta opção para excluir um arquivo criado recentemente que contenha um risco à segurança independentemente da ação que está configurada para o tipo de risco. Esta configuração não se aplica a detecções do Auto-Protect de arquivos existentes que contêm riscos à segurança. O Auto-Protect não excluirá riscos à segurança que já existiam no computador cliente a menos que a ação configurada seja
Excluir
.
Coexistência com o Windows Defender
Você pode ativar a opção para permitir que o Windows Defender seja executado antes do Auto-Protect. Essa opção está desativada por padrão.
Especifique as opções de rede para verificar arquivos em computadores remotos
Opções de verificações do Auto-Protect em computadores remotos:
  • Verificar arquivos em computadores remotos
    Ativa ou desativa a verificação em unidades de rede. Se essa opção for desativada, você poderá melhorar o desempenho do dispositivo.
    Se a verificação estiver ativada nas unidades de rede, o Auto-Protect verificará os arquivos quando um dispositivo acessá-los de um servidor.
  • Apenas quando os arquivos forem executados
    Por padrão, o Auto-Protect verificará os arquivos nos computadores remotos apenas quando os arquivos forem executados. Você pode desativar essa opção para verificar todos os arquivos nos computadores remotos, mas isso pode afetar o desempenho do seu dispositivo.
  • Cache de rede
    Ativa ou desativa um registro dos arquivos que o Auto-Protect já verificou a partir de um servidor da rede.
    Essa opção evita que o Auto-Protect verifique o mesmo arquivo mais de uma vez e pode melhorar o desempenho do sistema.
  • Manter <número> entradas
    Define o número de arquivos (entradas) que o Auto-Protect verificará e memorizará.
  • Excluir entradas depois de <número> segundos
    Define o tempo limite até que os arquivos sejam removidos do cache. Depois que o tempo limite expirar, o Auto-Protect verificará novamente os arquivos da rede se o dispositivo solicitá-los ao servidor da rede.
Opções do cache de arquivo do Auto-Protect
Opções do cache de arquivo do Auto-Protect
Opção
Descrição
Ativar o cache do arquivo
O Auto-Protect usa um cache de arquivos para lembrar-se dos arquivos que foram limpos na última verificação. O cache de arquivos é mantido nas inicializações. Se o dispositivo for desligado e reinicializado, o Auto-Protect terá um registro dos arquivos que foram limpos e não os verificará.
O cache de arquivos diminui o uso da memória do Auto-Protect e pode ajudar a melhorar o desempenho da verificação do Auto-Protect.
O Auto-Protect verifica novamente os arquivos nas seguintes situações:
  • O dispositivo faz download de novas definições.
  • O Auto-Protect detecta se os arquivos foram alterados enquanto o Auto-Protect não estava em execução.
Você poderá desativar o cache de arquivos se desejar que o Auto-Protect sempre verifique todos os arquivos. Se você desativar o cache de arquivos, poderá afetar o desempenho dos dispositivos.
Você pode desativar esta opção para a solução de problemas. Se você desativar essa opção, quando o dispositivo for reiniciado, o Auto-Protect verificará novamente todos os arquivos.
Tamanho do cache de arquivos
Você pode selecionar o número de entradas personalizadas de cache de arquivos a serem incluídas. Essa opção é útil para servidores de arquivos ou servidores web nos quais você deseja armazenar em cache um grande volume de arquivos.
Opções do rastreador de riscos do Auto-Protect
Opções do rastreador de riscos do Auto-Protect
Opção
Descrição
Ativar rastreador de riscos
O Rastreador de riscos identifica a fonte das infecções por vírus provenientes do compartilhamento de rede em seus dispositivos. O Rastreador de riscos não bloqueia endereços IP invasores. A opção para bloquear automaticamente endereços IP é ativada por padrão na política de firewall.
Determinar o endereço IP do computador de origem
Se essa opção estiver desativada, o Rastreador de riscos irá procurar e registrar apenas o nome do NetBIOS do computador. Se essa opção estiver desativada, o Rastreador de riscos tentará obter um endereço IP para o nome do NetBIOS conhecido.
Se a infecção for de um computador remoto, o Rastreador de riscos poderá executar as seguintes ações:
  • Verificar e registrar o nome do computador NetBIOS do computador e seu endereço IP.
  • Verificar e registrar quem fez logon no computador no horário da entrega.
Pesquisar sessões de rede a cada <número> milissegundos
ativa ou desativa pesquisas para sessões de rede.
Valores mais baixos utilizam mais recursos da CPU e da memória. Valores mais baixos também aumentam a possibilidade de que o Rastreador de riscos grave as informações da sessão de rede antes que a ameaça possa desligar os compartilhamentos de rede.
Valores mais altos diminuem a sobrecarga do sistema, mas também diminuem a capacidade do rastreador de riscos de detectar a origem das infecções.
O Rastreador de riscos pesquisa no intervalo especificado as sessões da rede e armazena em cache essas informações como uma lista de fonte secundária do computador remoto. Essas informações maximizam a frequência na qual o Rastreador de riscos pode identificar com êxito o computador remoto infectado. Por exemplo, um risco pode fechar o compartilhamento de rede antes que o Rastreador de riscos registre a sessão da rede. Nesse caso, o Rastreador de riscos utiliza a lista de origem secundária para identificar o computador remoto.
Opções avançadas da análise comportamental
Opções avançadas da análise comportamental
Opção
Descrição
Alteração de DNS detectada
e
Alteração de arquivo de host detectada
Configura a ação que a Análise comportamental realiza quando detecta uma alteração de DNS ou uma alteração do arquivo de host.
A Análise comportamental não realiza nenhuma ação quando um processo tenta abrir ou acessar um arquivo de host. A Análise comportamental age quando um processo modifica um arquivo de host.
As configurações de alteração de DNS ou do arquivo de host não isentam um aplicativo da detecção da Análise comportamental. A Análise comportamental sempre detectará um aplicativo se ele apresentar um comportamento suspeito.
Você pode configurar as seguintes ações:
  • Ignorar
    Ignora a detecção. Essa é a ação padrão. Qualquer ação que não seja
    Ignorar
    pode resultar em muitos eventos de log no console e notificações de email aos administradores.
  • Bloquear
    Bloqueia a mudança.
    Se você definir a ação para
    Bloquear
    , poderá bloquear aplicativos importantes nos seus dispositivos.
    Por exemplo, se você definir a ação
    Bloquear
    para
    Detectada alteração de DNS
    , poderá bloquear clientes VPN. Se você definir a ação
    Bloquear
    para
    Alteração de arquivo host detectada
    , poderá bloquear aplicativos que precisam acessar o arquivo do host.
  • Somente registro
    Permite a mudança, mas cria uma entrada de log para o evento. Esta ação pode resultar em grandes arquivos de log.
Verificar arquivos em computadores remotos
Ativa ou desativa as verificações da Análise comportamental nas unidades de rede.
Ative essa opção quando precisar verificar operações de arquivo direcionadas a unidades de rede. Desative essa opção para aumentar o desempenho do dispositivo. A Análise comportamental procura worms, como o Sality, que infecta as unidades de rede. O Sality é um tipo de malware que infecta arquivos em sistemas do Microsoft Windows e os espalha através das unidades removíveis e dos compartilhamentos de rede.