Professional Documents
Culture Documents
Revisin B
COPYRIGHT
Copyright 2012 McAfee, Inc. Queda prohibida la copia sin autorizacin previa.
McAfee, el logotipo de McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure y WormTraq son marcas comerciales o marcas comerciales registradas de McAfee, Inc. o de sus empresas filiales en EE. UU. y en otros pases. Los dems nombres y marcas pueden ser reclamados como propiedad de otros.
Gua de administracin
Contenido
7
7 7 8 9
Instalacin
Consideraciones clave para la instalacin . . . . . . . . . . . . . . . Requisitos previos . . . . . . . . . . . . . . . . . . . . . . . . Planificacin de la instalacin . . . . . . . . . . . . . . . . . Requisitos del sistema . . . . . . . . . . . . . . . . . . . Requisitos de resolucin DNS . . . . . . . . . . . . . . . . . Instalacin deLogon Collector . . . . . . . . . . . . . . . . . . . . Descarga del software . . . . . . . . . . . . . . . . . . . Instalacin del software en Windows Server . . . . . . . . . . . Desinstalacin del software . . . . . . . . . . . . . . . . . Desinstalacin de Microsoft SQL Server 2005 Express Edition . . . . Acceso a la interfaz web de Logon Collector . . . . . . . . . . . . . . Instalacin de Logon Collector como una extensin de McAfee ePO . . . . . Requisitos de instalacin . . . . . . . . . . . . . . . . . . . Configuracin de Logon Collector como una extensin de McAfee ePO . Limitaciones . . . . . . . . . . . . . . . . . . . . . . . Instalacin de Logon Monitor . . . . . . . . . . . . . . . . . . . . Instalacin de un monitor Logon Monitor . . . . . . . . . . . . Desinstalacin de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
11 12 12 12 13 13 13 14 26 27 27 27 28 28 33 34 34 35
. . . . . .
. . . .
Ampliacin
37
Consideraciones clave para una ampliacin de versin . . . . . . . . . . . . . . . . . . 37 Ampliacin del software en Windows Server . . . . . . . . . . . . . . . . . . . . . . . 37 Verificacin de la ampliacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Recopilacin de identidades
Acerca de la recopilacin de identidades . . . . . . . . . . . . . . . . . . . Adicin de un dominio al monitor . . . . . . . . . . . . . . . . . . . . . . Adicin de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . Adicin de un certificado de Logon Collector a un monitor Logon Monitor . . . Adicin de un monitor Logon Monitor . . . . . . . . . . . . . . . . . . Eliminacin de un monitor Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
43 43 44 45 45 . 46
47
. 47 47 . 47 . 48 . 48
Gua de administracin
Contenido
Parmetros de Logon Monitor local . . . . . . . . . . . . . . . . . . . . . Configuracin de direcciones IP para la comunicacin cliente servidor de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC) . . Impresin y exportacin . . . . . . . . . . . . . . . . . . . . . . . . . . Certificado del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . Acerca de la configuracin personal . . . . . . . . . . . . . . . . . . . . . . . . Configuracin de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . Ficha Configuration (Configuracin) . . . . . . . . . . . . . . . . . . . . . Ficha Remote (Remoto) . . . . . . . . . . . . . . . . . . . . . . . . . . Uso de MMC para administrar certificados de Logon Monitor . . . . . . . . . . . . Uso de NTLMv2 con monitores Logon Monitor . . . . . . . . . . . . . . . . .
. . 48 . . . . . . . . . . . 50 . 53 54 . 55 . 55 55 . 56 . 56 57 . 58
61
. . . . . . . 61 . . . . . . . 61 . . . . . . . 62 . . . . . . . 63 clave pblica (PKI) . . . . . . . 67 . . . . . . . 68 . . . . . . . 70 . . . . . . . 70 . . . . . . . 71 . . . . . . . 71 . . . . . . 72
73
74 74 74 80 80 86
Administracin de usuarios
Administracin de los usuarios . . . . . . . . . . . . . . . Adicin o modificacin de un usuario . . . . . . . . . . Eliminacin de un usuario . . . . . . . . . . . . . . Administracin de conjuntos de permisos . . . . . . . . . . . Creacin de conjuntos de permisos . . . . . . . . . . Eliminacin de conjuntos de permisos . . . . . . . . . Duplicacin de conjuntos de permisos . . . . . . . . . Administracin de contactos . . . . . . . . . . . . . . . . Adicin o modificacin de un contacto . . . . . . . . . Eliminacin de un contacto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87
. 87 87 . 88 . 88 . 88 . 89 . 89 . 89 . 90 90
Generacin de informes
Acerca de la ventana Status (Estado) . . . . . . . . . . . . . . . . Visualizacin de usuarios conectados . . . . . . . . . . . . . . . . . Exportacin de informes de usuarios que han iniciado sesin . . . . Visualizacin del registro de auditora . . . . . . . . . . . . . . . . Exportacin del registro de auditora . . . . . . . . . . . . . . Administracin de consultas del registro de auditora . . . . . . . . . . Creacin de un grupo de consultas . . . . . . . . . . . . . . Eliminacin de un grupo de consultas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
. 91 93 . 93 . 94 . 94 . 95 . 95 . 95
Gua de administracin
Contenido
Edicin de un grupo de consultas . . . . . . . . . . . . . . . . . Creacin de consultas de registro de auditora . . . . . . . . . . . . Importacin de consultas de registro de auditora . . . . . . . . . . Acciones de consulta . . . . . . . . . . . . . . . . . . . . . . Definicin de criterios de filtrado . . . . . . . . . . . . . . . . . . . . . Definicin de criterios de exportacin . . . . . . . . . . . . . . . . . . Visualizacin de paneles . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . .
95 96 96 97 98 . 98 99
10
101
Integracin con McAfee Firewall Enterprise . . . . . . . . . . . . . . . . . . . . . . 101 Requisitos de integracin . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Validacin de identidad pasiva . . . . . . . . . . . . . . . . . . . . . . . . . 101 Configuracin de Passive Passport . . . . . . . . . . . . . . . . . . . . . . . 102 Integracin con McAfee Firewall Enterprise Control Center . . . . . . . . . . . . . . . . 103 Requisitos de integracin . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Administracin de la comunicacin con Logon Collector . . . . . . . . . . . . . . . 103 Configuracin de la comunicacin con Logon Collector . . . . . . . . . . . . . . . 104 Configuracin de la autenticacin pasiva . . . . . . . . . . . . . . . . . . . . 104 Integracin con McAfee Network Security Manager . . . . . . . . . . . . . . . . . . . 109 Ventajas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Trminos importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Requisitos de integracin . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Funcionamiento de la integracin entre Logon Collector y McAfee Network Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Detalles de configuracin para la integracin de Logon Collector . . . . . . . . . . . 110 Visualizacin de los detalles de Logon Collector en Threat Analyzer . . . . . . . . . . 113 Visualizacin de los detalles de Logon Collector en los informes de Network Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Error de comunicacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Integracin con McAfee Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . 123 Requisitos de integracin . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Uso de elementos de usuario de Active Directory . . . . . . . . . . . . . . . . . 124 Uso de McAfee DLP en servidores LDAP remotos . . . . . . . . . . . . . . . . . 124 Uso de Logon Collector con McAfee DLP . . . . . . . . . . . . . . . . . . . . . 124 Activacin de la identificacin de usuarios mediante Logon Collector . . . . . . . . . 125 Configuracin de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . 125 Autenticacin del administrador de McAfee DLP y Logon Collector . . . . . . . . . . . 126
11
Escalabilidad
129
12
131
131 131 132 132 133
13
Solucin de problemas
135
Verificacin de las credenciales de dominio . . . . . . . . . . . . . . . . . . . . . . 135 Conexin a un controlador de dominio . . . . . . . . . . . . . . . . . . . . . 136 Ejecucin de una consulta de rendimiento de la CPU . . . . . . . . . . . . . . . . 139 Ejecucin de una consulta del registro anterior . . . . . . . . . . . . . . . . . . 140 Ejecucin de una consulta de notificacin de registro posterior . . . . . . . . . . . . 141 Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Creacin de una cuenta en Windows Server 2008 . . . . . . . . . . . . . . . . . 143
Gua de administracin
Contenido
Creacin de una cuenta en Windows Server 2003 . . . . . . . . . . . . . . . . . Creacin de una cuenta en Windows 2000 Server . . . . . . . . . . . . . . . . . Recursos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . Registros de Logon Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mensajes internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mensajes generados por las comunicaciones de Logon Collector . . . . . . . . . . . Mensajes generados por las comunicaciones de Logon Monitor . . . . . . . . . . . . Errores habituales del controlador de dominio . . . . . . . . . . . . . . . . . . Registros de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . Entradas de registro de errores de comunicacin de Active Directory de Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Solucin de problemas de DNS . . . . . . . . . . . . . . . . . . . . . . . . Solucin de problemas de NSLookup . . . . . . . . . . . . . . . . . . . . . . Error durante la instalacin de Logon Collector 2.0 en Windows Server 2008 R2 . . . . . . . . Error al desinstalar la instancia de la base de datos SQL para Logon Collector . . . . . . . . . Pgina de configuracin de bases de datos para conectar al servidor de SQL . . . . . . . . . Puertos utilizados por Logon Collector . . . . . . . . . . . . . . . . . . . . . . . . . Elevado consumo de memoria de Isass.exe . . . . . . . . . . . . . . . . . . . . . . Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
143 143 144 144 144 144 145 145 146 146 147 147 148 148 148 149 149 150
Gua de administracin
McAfee Logon Collector es un software que supervisa los dominios de Active Directory y recopila informacin de inicio de sesin. Logon Collector sondea los controladores de dominio de Microsoft Active Directory en busca de las caractersticas de los usuarios y enva esta informacin a dispositivos de seguridad para correlacionar el trfico en la red con el comportamiento de los usuarios. Logon Collector se instala en servidores basados en Windows independientes para comunicarse con Active Directory y admite el despliegue distribuido. Este esquema no requiere ninguna modificacin en Active Directory o en el esquema de Active Directory, y no necesita agentes. Los monitores Logon Monitor pueden utilizarse para sondear los controladores de dominio cercanos y reenviar la informacin recopilada a Logon Collector, reduciendo as la distancia que debe recorrer la comunicacin del controlador de dominio. Contenido Terminologa importante Controladores de dominio y recopilacin de inicios de sesin Despliegue Visualizacin de la ayuda online
Terminologa importante
Un dominio es un grupo lgico de recursos identificados en una red, ya sean stos usuarios, equipos o servicios de aplicacin en red. Estos recursos se recopilan para el dominio en un directorio distribuido, que se comparte en un grupo de controladores de dominio. Los miembros de un dominio solo tienen que autenticarse una vez ante el controlador de dominio ms cercano. Todos los dems recursos del dominio quedan accesibles en funcin de sus privilegios en el dominio. Una identidad es un conjunto de caractersticas que identifican a un usuario de forma nica. La identidad de un usuario incluye el nombre de usuario, el estado de autenticacin, la pertenencia a grupos y una direccin IP actual.
Gua de administracin
especial y protegido, que se denomina registro de eventos de seguridad. Este archivo de registro est disponible para sistemas remotos, como Logon Collector y Logon Monitor, por medio de una interfaz de Microsoft llamada Instrumental de administracin de Windows (WMI). Para minimizar la carga que suponen las consultas del registro de eventos de seguridad (mediante WMI) para un controlador de dominio, Logon Collector o Logon Monitor se ponen en contacto con el controlador de dominio en nombre de los dispositivos McAfee que requieren informacin del registro de eventos de seguridad. Cada controlador de dominio solo tiene que dar cabida a una nica conexin en lugar de a varias conexiones para cada dispositivo McAfee. Debido a que los gastos adicionales que representa el uso de WMI pueden ser elevados, puede desplegar los monitores Logon Monitor cerca de los controladores de dominio en la red. Si lo hace, la mayor parte del trfico (la comunicacin WMI entre los controladores de dominio y Logon Monitor) se enruta a lo largo de una distancia relativamente corta. Los gastos adicionales de la comunicacin entre un monitor Logon Monitor y un recopilador Logon Collector son bajos, lo cual permite optimizar el despliegue de la recopilacin de inicios de sesin. Vase tambin Instalacin de Logon Monitor en la pgina 34
Despliegue
Logon Collector y Logon Monitor pueden conectarse a varios controladores de dominio a travs de varios dominios y bosques. Cada Logon Collector puede contactarse desde mltiples clientes y puede tener varios monitores Logon Monitor. Cuando se desplieguen Logon Collector y Logon Monitor deber tener en cuenta lo siguiente: Los costes generales de red de la comunicacin WMI pueden ser elevados. La comunicacin WMI se produce entre el controlador de dominio y Logon Monitor. McAfee recomienda que utilice un nico monitor Logon Monitor para todos sus dispositivos de seguridad McAfee, de modo que solo sea necesaria una sesin WMI en cada controlador de dominio. McAfee recomienda que site un recopilador Logon Collector o un monitor Logon Monitor local para los controladores de dominio que est supervisando. La comunicacin entre un monitor Logon Monitor y Logon Collector en un enlace WAN es a menudo ms rpida que la comunicacin del controlador de dominio y Logon Collector en el mismo enlace WAN. Cuanto ms rpido recibe Logon Collector esta informacin, ms rpido puede el cliente asociar una direccin IP con la identidad coincidente. Conecte con controladores de dominio que agreguen valor a la estrategia de supervisin. Logon Monitor debe conectarse al controlador de dominio desde el que inician sesin los usuarios que van a ser supervisados. Por ejemplo, si est supervisando en un rea de la red como Nueva York, y nunca ve usuarios de San Francisco, no necesitara supervisar a los usuarios que inicien sesin en un controlador de dominio en San Francisco. Por el contrario, si los usuarios de San Francisco utilizan servicios en el centro de datos de Nueva York que est supervisando, se beneficiar enormemente si vigila el registro de eventos de seguridad del controlador de dominio de San Francisco y determina la identidad de estos usuarios. Aprovchese de la infraestructura de soporte de TI. Si su infraestructura est administrada por diferentes grupos de administradores de sistema que se corresponden con la arquitectura de Windows ya existente, probablemente querr colaborar con ellos. Logon Collector y los monitores Logon Monitor se instalan como servicios en Windows Server 2003 o Windows Server 2008. La administracin de estos servidores puede formar ya parte de una estrategia de administracin de sistemas ms amplia y puede que quiera acogerse a ella.
Gua de administracin
En funcin de sus requisitos de seguridad, puede que quiera dedicar un Windows Server 2003 o Windows Server 2008 para ejecutar Logon Collector o un par de servidores en modo de alta disponibilidad. Si el servidor en el que Logon Collector est instalado est expuesto a riesgo, podra causar una gran prdida de funcionalidad para su arquitectura de seguridad. Es importante mantener actualizado el servidor en el que est instalado Logon Collector o Logon Monitor y para ello aplicar los parches de seguridad de Microsoft de manera puntual. Es igualmente importante seguir las mejores prcticas de seguridad de Microsoft para fortalecer este servidor. Si es posible, el acceso remoto y local al servidor de Logon Collector o Logon Monitor debera limitarse solo a sus administradores. Siga las instrucciones de la seccin Uso de NTLMv2 con Logon Collector para proteger con eficacia las credenciales en el servidor y utilizar solo protocolos de autenticacin seguros. Es posible configurar controladores de dominio para permitir el acceso de Logon Monitor al registro de eventos de seguridad sin utilizar credenciales de inicio de sesin de administrador. Este es el enfoque recomendado.
Vase tambin Uso de NTLMv2 con monitores Logon Monitor en la pgina 58 Acerca de la recopilacin de identidades en la pgina 43
Gua de administracin
10
Gua de administracin
Instalacin
En esta seccin se incluye el proceso de instalacin de McAfee Logon Collector y Logon Monitor. Contenido Consideraciones clave para la instalacin Requisitos previos Instalacin deLogon Collector Acceso a la interfaz web de Logon Collector Instalacin de Logon Collector como una extensin de McAfee ePO Instalacin de Logon Monitor
Escenario Logon Collector se ejecuta en Windows Server 2003 y el controlador de dominio se ejecuta en Windows Server 2003. Logon Collector se ejecuta en Windows Server 2003 y el controlador de dominio se ejecuta en Windows Server 2008 con Windows Server 2003 en el nivel funcional.
Efecto sobre Logon Collector Logon Collector supervisa los eventos de inicio de sesin. Logon Collector supervisa los eventos de inicio de sesin.
Logon Collector se ejecuta en Windows Server 2003 y el Logon Collector no podr controlador de dominio se ejecuta en Windows Server 2008 R2 en supervisar los eventos de inicio el nivel funcional mximo (esto es Windows Server 2008 R2). de sesin.
Gua de administracin
11
Requisitos previos
Revise los requisitos previos de instalacin para Logon Collector y Logon Monitor antes de instalar el software.
Planificacin de la instalacin
Antes de la instalacin, asegrese de cumplir lo siguiente: Debe haber iniciado sesin en el servidor como administrador del equipo local. Asegrese de que el hardware cumpla o supere los requisitos mnimos. No necesita ninguna frase de contrasea ni clave de licencia especiales para instalar el software Logon Collector o Logon Monitor. Puede instalar tantas instancias de Logon Collector o Logon Monitor (cada una en su propio servidor) como sean necesarias para proporcionar la cobertura adecuada a los controladores de dominio en el dominio supervisado.
12
Gua de administracin
Requisito mnimo Pantalla con una resolucin de 1024x768 o superior. Pertenencia de dominio o derechos de acceso a los registros de eventos de seguridad en cada controlador de dominio al que Logon Collector o Logon Monitor accedan.
Considere la posibilidad de instalar Logon Monitor en una mquina virtual ya que se trata de una aplicacin con menos requisitos y no transmite tanta informacin como Logon Collector. El consumo de memoria de Logon Monitor depende del nmero de usuarios y grupos en la base de datos.
Vase tambin Desinstalacin del software en la pgina 26 Desinstalacin de Logon Monitor en la pgina 35
Gua de administracin
13
Procedimiento 1 2 3 4 5 En un navegador web, vaya a https://secure.mcafee.com/apps/downloads/my-products/login.aspx? region=us. Indique su nmero de concesin y seleccione la categora de productos pertinente (por ejemplo, el dispositivo McAfee Firewall Enterprise). Seleccione McAfee Logon Collector 2.0. Descargue el archivo zip para la instalacin de Logon Collector. Extraiga los archivos al directorio local. Busque el programa de instalacin de Logon Collector y descrguelo en el directorio local. Logon Monitor forma parte del paquete de Logon Collector que se descarga.
Si desea tener una instalacin de Logon Monitor remoto independiente, seleccione la carpeta McAfee Logon Monitor y busque el programa de instalacin. Si desea instalar Logon Collector como una extensin de McAfee ePO, descargue el archivo MLC20_ePOextension.zip desde la misma ubicacin.
Si ya dispone de una instancia de Microsoft SQL Server en el servidor, puede omitir esta parte de la instalacin. En cualquier punto de la instalacin, puede hacer clic en Back (Atrs) o en Cancel (Cancelar) para volver al paso anterior o cancelar la instalacin respectivamente.
14
Gua de administracin
Procedimiento 1 2 Vaya a la carpeta de Logon Collector que ha descargado en el directorio local. Haga doble clic en Setup.exe. Se abre el asistente de instalacin de Logon Collector. Si su sistema tiene menos de 4 GB de RAM, aparecer el siguiente mensaje de error.
Haga clic en Yes (S) para continuar con la instalacin con la memoria disponible actualmente.
Puede hacer clic en No para cancelar la instalacin y continuar con ella posteriormente, una vez que se haya asegurado de disponer de un mnimo de 4 GB de RAM.
Gua de administracin
15
Si est instalando el software en Windows 2008 R2, aparecer la ventana Security Warning (Advertencia de seguridad) siguiente.
Haga clic en Run (Ejecutar) para continuar. Es posible que aparezca una ventana emergente para activar la convencin de denominacin de archivos de Windows 8.3. Haga clic en Yes (S) para continuar la instalacin. Si activa esta opcin, se genera un nombre corto segn la convencin de denominacin de archivos de Windows 8.3 para los nombres de archivo largos.
Figura 2-3 Opcin para activar la convencin de denominacin de archivos de Windows 8.3
16
Gua de administracin
Haga clic en Next (Siguiente) para continuar. Se abre la ventana McAfee End User Licensing Agreement (Acuerdo de licencia de usuario final de McAfee).
Gua de administracin
17
Seleccione cualquiera de las siguientes licencias en la lista desplegable de la opcin License expire type (Tipo de caducidad de la licencia): 1 Year Subscription (Suscripcin de 1 ao): la licencia caduca al cabo de un ao 2 Year Subscription (Suscripcin de 2 aos): la licencia caduca al cabo de dos aos Perpetual License (Licencia permanente): la licencia no caduca
Lea el acuerdo de licencia, seleccione la opcin I accept the terms in the license agreement (Acepto los trminos del acuerdo de licencia) y haga clic en OK (Aceptar) para continuar. 5 De forma predeterminada, la carpeta de destino de la instalacin se establece en C:\Archivos de programa\McAfee\McAfee Logon Collector\. Haga clic en Change (Cambiar) para seleccionar una ubicacin nueva.
Figura 2-6 Carpeta de destino El proceso de desinstalacin puede quitar la carpeta que contiene la instalacin de Logon Collector junto con cualquier otra carpeta que haya en la ruta de acceso. McAfee recomienda seleccionar una carpeta vaca o aceptar la ubicacin predeterminada de la instalacin para evitar este problema.
Haga clic en Next (Siguiente) para continuar. Se abre la ventana Global Administrator Information (Informacin del administrador global).
18
Gua de administracin
Escriba el Username (Nombre de usuario) y la Password (Contrasea) del administrador de la interfaz web de Logon Collector. Vuelva a escribir la contrasea a modo de verificacin.
Figura 2-7 Ventana Global Administrator Information (Informacin del administrador global)
Haga clic en Next (Siguiente). Se abre la ventana HTTP Port Information (Informacin de puerto HTTP).
Gua de administracin
19
Deje los puertos de Logon Collector con los valores predeterminados, a no ser que uno de dichos puertos ya est en uso.
Figura 2-8 Ventana HTTP Port Information (Informacin de puerto HTTP) Necesitar el puerto Web Server (Servidor web) para abrir la interfaz web de Logon Collector.
Haga clic en Next (Siguiente). Se abre la ventana SQL Express Option (Opcin de SQL Express).
20
Gua de administracin
En ella puede aparecer cualquiera de los siguientes resultados: Resultado 1: opciones activadas en la ventana SQL Express Option (Opcin de SQL Express): Se abre una ventana emergente. Haga clic en Yes (S) para continuar la instalacin de Microsoft SQL 2005 Express.
Gua de administracin
21
Resultado 2: opciones desactivadas en la ventana SQL Express Option (Opcin de SQL Express): Durante el proceso de instalacin, puede ser que encuentre ambas opciones desactivadas en la ventana SQL Express Option (Opcin de SQL Express).
Figura 2-10 Ventana Microsoft SQL Express Option (Opcin de Microsoft SQL Express): opciones desactivadas
Haga clic en la opcin Why are the above options disabled? (Por qu estn desactivadas las opciones anteriores?) para ver los motivos de esta accin.
22
Gua de administracin
Si instala Microsoft SQL 2005 Express en Windows Server 2003 (64 bits) o Windows Server 2008 (64 bits) por primera vez, aparecer el siguiente mensaje de advertencia
Haga clic en Yes (S) para abrir la ventana Program Compatibility (Compatibilidad de programas). Haga clic en Run Program (Ejecutar programa) para continuar.
Cuando est en curso la instalacin de Microsoft SQL 2005 Express, aparece la siguiente ventana.
Se abre la ventana Database Information (Informacin de base de datos). 10 Seleccione las siguientes opciones en la ventana Database Information (Informacin de base de datos): Windows authentication (Autenticacin de Windows): mrquela para especificar el dominio y las credenciales de inicio de sesin del servidor que alojar la base de datos de Logon Collector. Los detalles de SQL server TCP port (Puerto TCP del servidor SQL) se establecen de forma predeterminada. SQL authentication (Autenticacin de SQL): mrquela solo si tiene una instalacin de Microsoft SQL Server independiente anterior a la instalacin de Logon Collector. Si fuera as, escriba el nombre de usuario y la contrasea del servidor Microsoft SQL Server que se haya utilizado durante la instalacin de Microsoft SQL Server.
Gua de administracin
23
11 Haga clic en Next (Siguiente). Se abre la ventana Ready to Install the Program (Listo para instalar el programa).
24
Gua de administracin
Figura 2-16 Ventana Ready to Install the Program (Listo para instalar el programa)
Se abre la ventana Installing McAfee Logon Collector (Instalando McAfee Logon Collector).
Figura 2-17 Ventana Installing McAfee Logon Collector (Instalando McAfee Logon Collector)
Gua de administracin
25
Vase tambin Instalacin deLogon Collector en la pgina 13 Instalacin de Logon Monitor en la pgina 34
26
Gua de administracin
4 5 6 7
Aparece la ventana Log On (Iniciar sesin). 2 Escriba el nombre de usuario y la contrasea que ha configurado durante la instalacin y haga clic en Log On (Iniciar sesin). Aparece la ventana Main Status (Estado principal) de la interfaz web.
Gua de administracin
27
Logon Monitor realiza sondeos del dominio de Active Directory para recuperar informacin de usuario, como nombres de usuario y comportamientos de usuario, por medio de eventos de inicio de sesin.
Debido a la carga que representa para el sistema, Logon Collector solo puede ejecutarse en McAfee ePO para supervisar dominios de Active Directory de tamao reducido.
Requisitos de instalacin
A continuacin se proporcionan los detalles de los requisitos mnimos para la instalacin de Logon Collector como una extensin de McAfee ePO: Versin de Logon Collector: 2.0 Versin de McAfee ePO: 4.6, 4.6.2
28
Gua de administracin
Haga clic en Install Extension (Instalar extensin) en la esquina inferior izquierda para comenzar la instalacin.
Gua de administracin
29
Haga clic en Browse (Explorar) para seleccionar el archivo MLC20_ePOextension.zip que va a instalarse desde su directorio local. Haga clic en OK (Aceptar).
Descargue el archivo zip como se describe en la seccin Descarga del software de esta gua.
30
Gua de administracin
Haga clic en OK (Aceptar) para volver a la ventana Extensions (Extensiones). Compruebe que Logon Collector aparece en la lista como una extensin en el panel izquierdo.
Figura 2-23 Instalacin correcta Si desea quitar la extensin Logon Collector, haga clic en Remove (Quitar) del panel derecho.
Seleccione la ventana Status (Estado) y haga clic en Id Replication Manager (Administrador de replicaciones de ID) para confirmar la instalacin.
Gua de administracin
31
Procedimientos Instalacin de Logon Collector desde la ficha Software Manager (Administrador de software) de McAfee ePO en la pgina 32
Instalacin de Logon Collector desde la ficha Software Manager (Administrador de software) de McAfee ePO
Siga estos pasos para instalar Logon Collector desde la ficha Software Manager (Administrador de software) de la interfaz de usuario de McAfee ePO. Procedimiento 1 2 3 4 5 6 Seleccione Menu | Software | Software Manager (Men, Software, Administrador de software). Haga clic en Refresh (Actualizar) desde el panel de la izquierda. En la seccin Product Categories (Categoras de producto), haga clic en Firewall Related Software (Software relacionado con el firewall) en la opcin Software (by Label) (Software (por etiqueta)). En el panel de la derecha aparece la opcin Software (by Label) > Firewall Related Software (Software (por etiqueta) -> Software relacionado con el firewall). Haga clic en McAfee Logon Collector 2.0. Haga clic en Check-in MLC (Incorporar MLC) En la ventana McAfee Logon Collector Check In Software Summary (Resumen de incorporacin de software), lea y seleccione la opcin I accept the terms in the license agreement (Acepto los trminos del acuerdo de licencia). Haga clic en OK (Aceptar) para ver la ventana Activity In Progress (Actividad en curso). En ella puede ver el progreso de la instalacin. Espere hasta ver el estado Complete (Finalizado) (si la instalacin ha sido correcta) o el estado Failed (Error) (si la instalacin no ha sido correcta). 8 Para verificar la instalacin correcta de la extensin de Logon Collector, compruebe si aparecen las pginas Status (Estado) y Logon Report (Informe de inicio de sesin) en Menu | Reporting (Men, Reporting, Generacin de informes).
32
Gua de administracin
Limitaciones
En esta seccin se ofrece informacin detallada sobre las limitaciones de Logon Collector cuando se ejecuta como una extensin de McAfee ePO: High Availability (Alta disponibilidad): esta funcin est desactivada si Logon Collector se ejecuta como una extensin de McAfee ePO. Identity Data Store (IDDS): se trata de la base de datos en memoria especfica de Logon Collector. De forma predeterminada se establece un lmite de tamao para el almacn de datos IDDS de Logon Collector mientras se ejecuta en McAfee ePO. Ello significa que el nmero total de objetos del directorio (usuarios y grupos) debe ser siempre inferior a 10.000. Asegrese de que el dominio que aada a Logon Collector no supere este lmite. Asimismo, compruebe el nmero de usuarios y grupos existentes en el IDDS antes de aadir un dominio nuevo. Si se supera el lmite de tamao, Logon Collector dejar de supervisar todos los dominios y los clientes perdern la conexin con Logon Collector. El servidor de Logon Collector tendr un comportamiento fuera de lo normal una vez superado el lmite de tamao. No se recomienda realizar ningn cambio de configuracin en esta situacin. Solucin: si se alcanza el lmite de 10.000 objetos en McAfee ePO, es posible que tenga que ejecutar Logon Collector en un servidor independiente (que no sea McAfee ePO). Aunque consiga encontrar una combinacin de dominios que supervisar que cumpla el lmite de objetos, tendr que desinstalar y reinstalar la extensin si Logon Collector alcanza dicho lmite. Asegrese de no agregar ningn dominio que tenga ms de 10.000 objetos. Este proceso de recuperacin solo podr utilizarse cuando Logon Collector haya alcanzado el lmite de 10.000 objetos y haya detenido el funcionamiento normal. Si alcanza el lmite aparecer el siguiente mensaje de error:
Gua de administracin
33
Tambin aparecer un mensaje de error en la pgina Status (Estado) de la seccin del almacn de datos ID Data Store {idds}.
Requisitos previos:
Deben haberse desinstalado las versiones anteriores de Logon Collector o Logon Monitor antes de instalar esta versin del software. Debe haber iniciado la sesin en el servidor como administrador.
Vase tambin Controladores de dominio y recopilacin de inicios de sesin en la pgina 7 Desinstalacin del software en la pgina 26 Desinstalacin de Logon Monitor en la pgina 35
34
Gua de administracin
Para una instalacin nueva de Logon Monitor, haga clic en Generate Self Signed Certificate (Generar certificado autofirmado) en la ficha Configuration (Configuracin) de la ventana McAfee Logon Monitor Configuration (Configuracin de McAfee Logon Monitor). El certificado es necesario para comunicar con Logon Collector. Si se trata de una reinstalacin de Logon Monitor, el certificado de la instalacin anterior permanece en el almacn y puede continuar utilizndolo.
Vase tambin Configuracin de Logon Monitor en la pgina 55 Descarga del software en la pgina 13
Procedimiento 1 2 3 4 5 6 En el servidor de Windows, en el men Inicio, seleccione el men Panel de control y haga clic en Agregar o quitar programas. Haga clic en McAfee Logon Monitor y, a continuacin, en Quitar. Cuando aparezca el mensaje del asistente InstallShield para McAfee Logon Monitor, haga clic en Siguiente para comenzar el proceso de desinstalacin. En la ventana Mantenimiento del programa, haga clic en Quitar y, a continuacin, en Siguiente. Haga clic en Quitar. Haga clic en Finalizar. Si tiene pensado reinstalar Logon Monitor, tenga en cuenta que el certificado de la instalacin anterior permanece en el almacn y puede continuar utilizndolo. Vase tambin Instalacin deLogon Collector en la pgina 13 Instalacin de Logon Monitor en la pgina 34
Gua de administracin
35
36
Gua de administracin
Ampliacin
En esta seccin se analiza la ampliacin de Logon Collector 1.0 o bien 1.0.1 a Logon Collector 2.0. Contenido Consideraciones clave para una ampliacin de versin Ampliacin del software en Windows Server Verificacin de la ampliacin
Gua de administracin
37
Procedimiento 1 Vaya a la carpeta de Logon Collector que ha descargado en el directorio local. Haga doble clic en Setup.exe e inicie el programa de instalacin de Logon Collector 2.0.
2 3
Lea y acepte la licencia, y contine con la instalacin. Confirme la carpeta de destino. Haga clic en Next (Siguiente). Debe ser la misma que la de la instalacin anterior (Logon Collector 1.0 o bien 1.0.1).
38
Gua de administracin
Introduzca la informacin del administrador en Username (Nombre de usuario) y Password (Contrasea). Verifique la contrasea. Debe ser la misma que la de la instalacin anterior (Logon Collector 1.0 o bien 1.0.1).
Figura 3-3 Ventana Global Administrator Information (Informacin del administrador global)
Gua de administracin
39
Confirme los nmeros de puerto. Puesto que ya tiene una base de datos, las opciones de Microsoft SQL Server se desactivarn.
Figura 3-4 Opciones desactivadas en la ventana SQL Express Option (Opcin de SQL Express)
La opcin Database Server (Servidor de base de datos) de la ventana Database Information (Informacin de base de datos) debe conservar la misma informacin que la de la instalacin de Logon Collector 1.0 o bien 1.0.1. Haga clic en Next (Siguiente). Se abre la ventana Ready to Install the Program (Listo para instalar el programa).
40
Gua de administracin
Obtendr uno de los siguientes resultados: Resultado 1: si se trata de la ampliacin de Logon Collector en Windows Server 2003, Windows Server 2003 R2 o Windows Server 2008 (64 bits): Se abre la ventana Installing McAfee Logon Collector (Instalando McAfee Logon Collector). Resultado 2: si se trata de la ampliacin de Logon Collector en Windows Server 2008 (32 bits): Aparece la siguiente ventana si ampla el software en Windows Server 2008 (32 bits).
Figura 3-5 Ventana de instalacin para la ampliacin en Windows 2008 (32 bits)
Seleccione la opcin Automatically close and attempt to restart applications (Cerrar automticamente e intentar reiniciar las aplicaciones) y haga clic en OK (Aceptar) para continuar. 8 Haga clic en Finish (Finalizar) para terminar el proceso de ampliacin.
Gua de administracin
41
Verificacin de la ampliacin
Seleccione Menu | Configuration | About (Men, Configuracin, Acerca de) para verificar que la ampliacin se haya realizado de manera correcta.
42
Gua de administracin
Recopilacin de identidades
En esta seccin se ofrecen los detalles de la recopilacin de identidades. Contenido Acerca de la recopilacin de identidades Adicin de un dominio al monitor Adicin de Logon Monitor
Consulte la seccin Despliegue para obtener informacin sobre cundo utilizar los monitores Logon Monitor para controlar un dominio. Vase tambin Adicin de un dominio al monitor en la pgina 43 Adicin de un certificado de Logon Collector a un monitor Logon Monitor en la pgina 45 Despliegue en la pgina 8
Gua de administracin
43
La cuenta de administrador que pretende utilizar para acceder al controlador de dominio debe estar en el mismo dominio desde donde quiere obtener las identidades.
Si desea utilizar una cuenta distinta a la del administrador, consulte la seccin Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en una seccin del controlador de dominio.
Siga los pasos que se indican a continuacin para agregar un dominio supervisado: Procedimiento 1 2 3 4 Seleccione Menu | Configuration | Monitored Domains (Men, Configuracin, Dominios supervisados). Haga clic en New Domain (Dominio nuevo). Escriba el nombre del dominio y las credenciales necesarias en los campos pertinentes. Haga clic en Next (Siguiente). Se realizan las conexiones con cada controlador de dominio perteneciente a este dominio en particular. Si la conexin no es correcta con alguno de los controladores de dominio, se muestra un mensaje de error con los detalles del fallo. 5 Para cada uno de los controladores de dominio de la lista, seleccione un monitor Logon Monitor principal y, opcionalmente, otro de copia de seguridad. Para agregar un monitor Logon Monitor como copia de seguridad a la lista desplegable, haga clic en New Logon Monitor (Nuevo Logon Monitor). a b c 6 Haga clic en la lista desplegable en Primary (Principal) y seleccione un monitor Logon Monitor. [Opcional] Haga clic en la lista desplegable bajo Backup (Copia de seguridad) y seleccione un monitor Logon Monitor que entrar en funcionamiento en caso de que el principal no est disponible. Haga clic en Next (Siguiente).
Solo se mostrarn en esta pantalla los controladores de dominio para los que se haya seleccionado Logon Collector. Especifique el orden en que se realizan las consultas de LDAP a los controladores de dominio para obtener la informacin de usuario y grupo. En general los controladores de dominio ms cercanos se situarn en la parte superior de la lista para aumentar los tiempos de respuesta y reducir el ancho de banda de la red. Haga clic en las flechas arriba y abajo para desplazar los controladores de dominio por la lista.
44
Gua de administracin
10 Haga clic en OK (Aceptar). 11 Repita estos pasos en todas las instancias de Logon Collector con las que se comunicar Logon Monitor. Con los certificados de Logon Collector en Logon Monitor, puede agregar Logon Monitor a cualquier instancia de Logon Collector para recopilar los inicios de sesin de un dominio supervisado. Vase tambin Acerca de la recopilacin de identidades en la pgina 43 Ficha Remote (Remoto) en la pgina 56
Gua de administracin
45
4 5 6
Escriba el nombre del host o la direccin IP del Logon Monitor remoto. Escriba el nmero de puerto, o acepte el valor predeterminado de 50443. Haga clic en Next (Siguiente) o en OK (Aceptar) en funcin del modo en que est agregando Logon Monitor. Se intenta establecer una conexin con Logon Monitor. Si la conexin es correcta, se muestra el certificado. Para aceptar el certificado, haga clic en Save (Guardar) o en OK (Aceptar) en funcin del modo en que est agregando Logon Monitor. Si la conexin no es correcta, se muestra un mensaje de error.
46
Gua de administracin
En esta seccin se ofrece informacin detallada sobre la configuracin y las distintas funciones de la ventana Server Settings (Configuracin del servidor). Contenido Acerca de la configuracin del servidor Acerca de la configuracin personal Configuracin de Logon Monitor
Vase tambin Inicio de sesin de usuario de Active Directory en la pgina 47 Paneles en la pgina 47 Servidor de correo electrnico en la pgina 48 Certificado de replicacin de identidad en la pgina 48 Parmetros de Logon Monitor local en la pgina 48 Impresin y exportacin en la pgina 54 Certificado del servidor en la pgina 55
Paneles
La opcin de interfaz de usuario Dashboards (Paneles) no se aplica a Logon Collector 2.0.
Gua de administracin
47
Vase tambin Acerca de la configuracin del servidor en la pgina 47 Exportacin del registro de auditora en la pgina 94 Definicin de criterios de exportacin en la pgina 98
Puede generar un certificado con firma automtica nuevo o utilizar un certificado y la clave privada proporcionados desplazndose a sus ubicaciones. Tambin tendr que facilitar la frase de contrasea (si la hay) si utiliza un certificado proporcionado. El cambio del certificado puede conllevar cualquiera de los siguientes problemas: Es posible que un cliente actual no pueda volver a conectarse. El clster de alta disponibilidad puede romperse.
48
Gua de administracin
Definicin El nombre distintivo contiene el nombre comn y otros atributos necesarios para que Logon Monitor local pueda identificar el certificado que se encuentra en su almacn (consulte la opcin Store Name (Nombre de almacn) ms adelante) y que debe utilizarse para la autenticacin en el servidor de Logon Collector. Por ejemplo, cn=dlc.centserv.org,o=centserv,c=us puede ser el nombre distintivo, compuesto por el nombre comn (cn), nombre de la organizacin (o) y pas de origen (c) del certificado. Para utilizar un certificado con firma automtica, solo necesita usar el nombre comn (agregndole el prefijo cn=) como identificacin.
El nombre del almacn o el nombre del almacn de certificados es el lugar en el que Logon Monitor local busca sus certificados. La configuracin predeterminada del nombre de almacn es McAfeeLogonMonitor\MY. Utiliza el tipo de almacn CERT_SYSTEM_STORE_SERVICES.
Store Type (Tipo de Los almacenes de certificados estn organizados por tipo. El tipo almacn) predeterminado (CERT_SYSTEM_STORE_SERVICES) debera ser suficiente en la mayora de los casos. Server Port (Puerto El puerto en el que escucha el servicio de Logon Monitor local. Siempre que no de servidor) haya ningn otro servicio escuchando en el puerto especificado, puede utilizar el puerto que desee. El valor predeterminado del puerto es 50443. Los nmeros de puerto vlidos estn comprendidos entre 1 y 65535. Certificate Checking (Comprobacin de certificado) Especifica el tipo de comprobacin que debe llevarse a cabo para cualquiera de los certificados remotos aceptados. Certificate Hash (Hash del certificado): [Recomendado] verifica que el hash configurado para el nombre comn proporcionado coincida con el hash almacenado. Certificate Store (Almacn de certificados): la comprobacin del almacn de certificados es donde una autoridad de certificacin firma el certificado encontrado en el almacn de certificados. Certified Not Required (No se requiere certificado): no se comprueba ningn certificado. Esta opcin no ofrece comunicaciones seguras para acceder a Logon Collector. McAfee recomienda utilizar el hash de certificado como mtodo ms seguro. Connection Type (Tipo de conexin) Especifica si la conexin de Logon Collector est cifrada o no. Esta opcin solo est diseada para solucionar problemas. Dicha opcin debe estar configurada a su valor predeterminado (Encrypted (TLS) (Cifrado (TLS)) o es posible que Logon Collector no funcione correctamente. La cantidad de informacin escrita en el archivo de registro. El nivel de detalle aumenta con el nivel de depuracin. El valor predeterminado es cero (0), que no registra ningn tipo de informacin detallada adicional. El lugar en el sistema donde se guarda el archivo de registro. De forma predeterminada, la ubicacin de la instalacin de Logon Collector es C:\Program Files\McAfee\McAfee Logon Collector\Logon Collector. El tamao mximo en kilobytes que puede alcanzar el archivo de registro antes de que se produzca una rotacin. El sistema conserva un mximo de cinco archivos de registro en la ubicacin seleccionada. LoginMonitor.log es el archivo ms reciente; le siguen cronolgicamente los archivos LoginMonitor.log. 1 a LoginMonitor.log.4. El tipo de autenticacin para la conexin entre el servicio Logon Monitor local y los controladores de dominio. Se admiten la autenticacin de Kerberos y la de NTLM; Kerberos es la predeterminada.
Debug Level (Nivel de depuracin) File Location (Ubicacin de archivo) File Size (Tamao de archivo)
Gua de administracin
49
Definicin Especifica el momento en el que Logon Monitor local introduce una limitacin de flujos de trfico si los servicios en un controlador de dominio supervisado consumen demasiada CPU con excesiva rapidez. Si se supera el umbral de la CPU, Logon Monitor local deja de realizar el sondeo del dominio en cuestin durante veinte minutos. Transcurrido el perodo de veinte minutos, tiempo que debera ser suficiente para que la CPU procese su carga, Logon Monitor local vuelve a conectarse. Si observa que Logon Monitor local recurre con frecuencia a la limitacin de flujos de trfico, intente desactivar la opcin Allow Backlog Queries (Permitir consultas del registro anterior). El nmero mximo de entradas de registro para el que se ejecutar una consulta del registro anterior.
Maximum Backlog Records (Entradas mximas del registro anterior) Allow Backlog Queries (Permitir consultas del registro anterior)
Especifica si Logon Monitor local comprueba los registros de eventos de seguridad del controlador de dominio para eventos relativos a la identidad que puedan haberse producido mientras no estaba conectado. Si esta opcin est activada, Logon Monitor local puede hacer consultas retroactivas para el perodo de tiempo durante el que ha estado desconectado en lugar de tan slo reanudar su labor en el momento en que vuelve a conectarse. Tenga en cuenta que las consultas del registro anterior no pueden tener lugar si Logon Monitor local se conecta primero al controlador de dominio. La consulta se realiza hasta alcanzar el valor de la opcin Maximum Backlog Records (Entradas mximas del registro anterior) o bien hasta el momento de la ltima conexin, aquello que ocurra antes. Es muy probable que las consultas del registro anterior repercutan en el rendimiento de equipos heredados o que soportan mucha carga y, por consiguiente, no se recomiendan. Si observa que Logon Monitor local recurre con frecuencia a la limitacin de flujos de trfico, intente desactivar esta funcin.
Los certificados de servicios de Logon Collector remotos aceptados por este servicio de Logon Collector. Los certificados deben cumplir los criterios definidos en la opcin Certificate Checking (Comprobacin de certificado).
Vase tambin Acerca de la configuracin del servidor en la pgina 47 Configuracin de Logon Monitor en la pgina 55
50
Gua de administracin
Gua de administracin
51
Haga clic en Edit (Editar) en la esquina inferior derecha para seleccionar una direccin IP en la lista desplegable.
Figura 5-3 Edit MLC communication IP Address (Edicin de la direccin IP para la comunicacin de MLC)
52
Gua de administracin
MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC)
Logon Collector proporciona una opcin para modificar la duracin del evento de inicio de sesin en el servidor de Logon Collector. Este evento de inicio de sesin se ha almacenado en el servidor de Logon Collector durante 6 horas de manera predeterminada.
Configuracin de MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC)
Para configurar MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC): Procedimiento 1 2 Seleccione Menu | Configuration | Server Settings (Men, Configuracin, Configuracin del servidor). Haga clic en MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC).
Figura 5-4 MLC User Login Timeout (Tiempo de espera de inicio de sesin de usuario en MLC)
Gua de administracin
53
Haga clic en Edit (Editar) en la esquina inferior derecha para modificar el tiempo. El evento de inicio de sesin se guardar en el servidor de Logon Collector conforme al tiempo configurado.
Figura 5-5 Edit MLC User Login Timeout (Edicin del tiempo de espera de inicio de sesin de usuario en MLC)
Impresin y exportacin
Defina la configuracin para los documentos exportados.
54
Gua de administracin
Distinguished Name (Nombre distintivo): el nombre distintivo contiene el nombre comn y otros atributos necesarios para que Logon Monitor pueda identificar el certificado que se encuentra en su almacn (consulte la opcin Store Name (Nombre de almacn) ms adelante) que debe utilizarse para autenticar el servidor. Por ejemplo, la cadena cn=dlc.centserv.org,o=centserv,c=us podra ser el Nombre distintivo, compuesto por el nombre comn (cn), nombre de la organizacin (o) y pas de origen (c) del certificado. Para utilizar un certificado con firma automtica, solo necesita usar el nombre comn (agregndole el prefijo cn=) como identificacin.
Store Name (Nombre de almacn): el nombre del almacn o el nombre del almacn de certificados es el lugar en el que Logon Monitor busca sus certificados. La configuracin predeterminada del nombre de almacn es McAfeeLogonMonitor\MY. Utiliza el tipo de almacn CERT_SYSTEM_STORE_SERVICES. Si Logon Monitor se ejecuta en modo independiente, utilice el nombre de almacn MY. Este utiliza el tipo de almacn CERT_SYSTEM_STORE_CURRENT_USER. Generate Self-Signed Certificate (Generar certificado con firma automtica): solo disponible cuando el campo de nombre distintivo no est en blanco, el botn Generate Self-Signed Certificate (Generar certificado con firma automtica) genera un certificado con firma automtica y lo coloca en el almacn de certificados identificado por el nombre de almacn.
Si Logon Monitor se instala de forma independiente, debe generar un certificado a fin de poder conectar Logon Monitor a Logon Collector.
View Certificate (Ver certificado): solo disponible cuando el campo de nombre distintivo no est en blanco, el botn View Certificate (Ver certificado) muestra un visor de certificados estndar de Windows en el que aparece el certificado que coincide con el nombre distintivo, en caso de que exista alguno en el almacn.
Gua de administracin
55
Logon Monitor se configura con una aplicacin denominada Logon Monitor Configuration en el equipo con Windows en el que se haya instalado el software Logon Monitor. Si la configuracin de Logon Monitor no se lleva a cabo como parte de la instalacin, vaya al men Start (Inicio) y seleccione Logon Monitor Configuration (Configuracin de Logon Monitor) (por ejemplo, de forma predeterminada en Start | Programs | McAfee Logon Monitor | Logon Monitor Configuration (Inicio, Programas, McAfee Logon Monitor, Configuracin de Logon Monitor)) para que aparezca la ventana McAfee Logon Monitor Configuration (Configuracin de McAfee Logon Monitor).
No es necesario reiniciar el servicio Logon Monitor cuando se hacen cambios de configuracin. Los cambios surten efecto tras hacer clic en OK (Aceptar). La informacin de configuracin de Logon Monitor se guarda en el Registro de Windows.
Vase tambin Instalacin de un monitor Logon Monitor en la pgina 34 Parmetros de Logon Monitor local en la pgina 48
56
Gua de administracin
Vase tambin Adicin de un certificado de Logon Collector a un monitor Logon Monitor en la pgina 45
Gua de administracin
57
5 6 7 8 9
Seleccione Cuenta de servicio en la ventana Certificates snap-in (Complemento Certificados) y haga clic en Siguiente. Seleccione Equipo local y haga clic en Siguiente. Seleccione Logon Collector de la lista de servicios y haga clic en Finalizar. Haga clic en Cerrar en la ventana Agregar un complemento independiente. Haga clic en Aceptar en la ventana Agregar o quitar complemento para cerrarla. MMC muestra la informacin de certificado para Logon Monitor.
10 Haga clic con el botn derecho sobre un certificado o un almacn para importar las listas de certificados en la pantalla.
Para forzar el uso de NTLMv2: Procedimiento 1 2 3 Inicie sesin en el servidor con Windows Server en el que se ejecuta Logon Monitor. Inicie el Editor del Registro (Inicio | Ejecutar | regedit). Vaya a la clave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
58
Gua de administracin
Haga clic con el botn derecho en el valor LmCompatibilityLevel. Consulte: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/ 76052.mspx
5 6 7 8
Haga clic en Modify (Modificar). Escriba el nmero 5 (nicamente utilice la autenticacin NTLMv2 y negocie la seguridad de sesin NTLMv2 si el servidor lo admite) y haga clic en OK (Aceptar). Reinicie Windows Server. Asegrese de que el estado de IAM en Logon Collector sea UP (Operativo) transcurridos 10 minutos.
Gua de administracin
59
60
Gua de administracin
Contenido Descripcin general Conceptos bsicos de configuracin Replicacin de datos de configuracin Replicacin de eventos de inicio de sesin Limitaciones Desactivacin de un clster Reconfiguracin de un clster
Descripcin general
La funcin de alta disponibilidad permite la existencia de McAfee Logon Collector en la forma de servidor principal y secundario. En este escenario, cuando el servidor principal est inactivo o inaccesible, el secundario cambia del modo en espera a activo. Este ltimo continuar sondeando el servidor principal para comprobar cundo vuelve a estar disponible. Una vez que el servidor principal vuelve a estar activo, el secundario cambia al estado en espera. Los clientes que estaban conectados al servidor principal cambian al secundario cuando el principal est inaccesible. Una vez que el servidor principal vuelve a estar activo, los clientes vuelven a conectarse a este. Logon Collector puede presentarse en los siguientes modos: Independiente Clster
Gua de administracin
61
62
Gua de administracin
Gua de administracin
63
Haga clic en Edit (Editar). Se abre la ventana Edit Cluster Configuration (Editar configuracin de clster).
Marque la casilla Enable clustering (Activar clsteres) y seleccione Primary (Principal). Haga clic en Save (Guardar).
Figura 6-3 Ventana Edit Cluster Configuration (Editar configuracin de clster) para la configuracin del servidor principal
En el servidor que prev seleccionar como secundario, seleccione Menu | Configuration | Cluster Configuration (Men, Configuracin, Configuracin de clster) para abrir la ventana Cluster Configuration (Configuracin de clster).
64
Gua de administracin
En la ventana Edit Cluster Configuration (Editar configuracin de clster), marque la casilla Enable Clustering (Activar clsteres) y seleccione Secondary (Secundario). Introduzca los siguientes detalles: Primary Server (<IP Address>:<Https port>) (Servidor principal (<direccin IP>:<puerto https>)) Admin username for primary server (Nombre de usuario del administrador para el servidor principal) Admin password for primary server (Contrasea del administrador para el servidor principal)
Figura 6-4 Ventana Edit Cluster Configuration (Editar configuracin de clster) para la configuracin del servidor secundario
Haga clic en Next (Siguiente). Se abre la ventana Enable Cluster Task (Activar tarea de clster).
Gua de administracin
65
Haga clic en Yes (S) para mostrar el certificado del puerto HTTPS del servidor principal.
Solo se formar el clster si acepta el certificado.
El mensaje informa sobre las opciones de configuracin una vez terminada la formacin del clster.
Figura 6-5 Ventana Enable Cluster Task (Activar tarea de clster) Si no desea sobrescribir las opciones de configuracin, haga clic en No.
En la ventana Primary MLC Certificate (Certificado de MLC principal), haga clic en Accept Certificate and Enable Clustering (Aceptar certificado y activar clsteres). Se inicia el intercambio de certificados entre los servidores principal y secundario, y se activa el establecimiento de confianza.
66
Gua de administracin
La ventana Cluster Configuration (Configuracin de clster) muestra los siguientes detalles: MLC Cluster Configuration Enabled (Configuracin de clster de MLC activada): estado de la configuracin del clster Status (Estado): estado del servidor Primary Server IP address (Direccin IP del servidor principal): direccin IP del servidor principal Https port number of primary server (Nmero del puerto https del servidor principal): nmero del puerto https que utiliza el servidor del mismo nivel durante la creacin del clster JMS port number of primary server (Nmero del puerto JMS del servidor principal): nmero del puerto JMS de servicios de mensajera de Java (Java Messaging Services) que utiliza el servidor del mismo nivel y los clientes para transferir datos
Figura 6-7 Ventana Cluster Configuration (Configuracin de clster) despus de la formacin del clster
Gua de administracin
67
Los siguientes pasos son los requisitos previos para la alta disponibilidad en la instalacin de la infraestructura de clave pblica (PKI): 1 2 Seleccione Menu | Configuration | Trusted CAs (Men, Configuracin, CAs de confianza) y agregue el certificado raz de CA a ambos sistemas del mismo nivel de alta disponibilidad. Seleccione Menu | Configuration | Server Settings | Identity Replication Certificate (Men, Configuracin, Configuracin del servidor, Certificado de Identity Replication) para reemplazar el certificado de Identity Replication por el certificado de CA firmado para los respectivos servidores.
El certificado raz de CA y el certificado de CA firmado deben agregarse para los clientes.
Escenarios de error
Se mostrar un mensaje de error para cada uno de los siguientes escenarios: El certificado que utiliza el servidor principal tiene firma automtica, mientras que el certificado que utiliza el servidor secundario est firmado por una CA. El certificado que utiliza el servidor secundario tiene firma automtica, mientras que el certificado que utiliza el servidor principal est firmado por una CA. Los certificados que utilizan los servidores principal y secundario tienen firmas de dos CAs distintas. En este caso, la configuracin del clster es correcta pero el estado aparecer en rojo.
68
Gua de administracin
1 2
Seleccione Menu | Reporting | Status (Men, Generacin de informes, Estado) para verificar el estado de formacin del clster. En la ventana Status (Estado), haga clic en Cluster Manager (Administrador de clster) para ver el mensaje procedente del miembro del clster.
Importante: El estado general {IAM} est en rojo dado que el estado del componente {LAM} es rojo.
Gua de administracin
69
El servidor secundario pasivo no permite cambiar la configuracin; si lo intenta, aparecer un mensaje de error. Los cambios de la configuracin solo pueden realizarse en el servidor secundario activo. Replicacin del servidor principal al secundario: una vez configurado el clster, las configuraciones se replican del servidor principal al secundario. Replicacin del servidor secundario activo al servidor principal: si el servidor principal se desactiva y, transcurrido un tiempo, vuelve a activarse, recibe los detalles de configuracin del servidor secundario activo. Cuando el servidor secundario est funcionando en modo de espera, el estado de {LAM} est ROJO en la ventana Status (Estado). Se trata de un comportamiento normal debido a que Logon Collector detiene el {LAM} cuando est funcionando en modo de espera.
Logon Collector no debe implementarse en equipos con DHCP: Los servidores de Logon Collector del mismo nivel se comunican entre ellos durante la formacin del clster. Sin embargo, esto puede no ser posible si Logon Collector se ha implementado en un equipo con DHCP. Los productos McAfee que estn conectados al servidor de Logon Collector en una determinada direccin IP tambin se desconectarn si se producen cambios en la direccin IP debidos a la configuracin del protocolo DHCP. Por ello, McAfee recomienda evitar el despliegue de Logon Collector en sistemas con DHCP.
70
Gua de administracin
Limitaciones
La siguiente lista refleja las limitaciones de la funcin de alta disponibilidad: No se admite el escenario de redes divididas. Es importante garantizar que las comunicaciones entre el servidor principal y el secundario no se interrumpan nunca. Por ejemplo, si la conectividad en la red entre el servidor principal y el secundario est inactiva, el servidor secundario supone que el servidor principal no responde, espera 5 minutos y se activa. Cuando se restablece la comunicacin, el servidor principal omite siempre la configuracin del servidor secundario. La funcin de alta disponibilidad funciona en la configuracin de infraestructura de clave pblica (PKI), pero los certificados del servidor principal y del secundario deben estar firmados por el mismo firmante. No se admiten listas de revocacin de certificados (CRL). Otros productos de McAfee que utilizan la biblioteca de cliente de Logon Collector 1.0 no se benefician de esta funcin; no obstante, pueden continuar funcionando en este escenario.
Desactivacin de un clster
Para desactivar un clster: Procedimiento 1 2 En el servidor secundario, seleccione Menu | Configuration | Cluster Configuration (Men, Configuracin Configuracin de clster). Desactive la opcin Enable clustering (Activar clster), y haga clic en Save (Guardar). Se abre la ventana Disable Cluster Task (Desactivar tarea de clster). Haga clic en Yes (S) para continuar.
Figura 6-12 Ventana Disable Cluster Task (Desactivacin de tarea de clster) para servidor secundario
Gua de administracin
71
3 4
Vaya a la ventana Cluster Configuration (Configuracin del clster) del servidor principal. Desactive la casilla de validacin Enable clustering (Activar clster), y haga clic en Save (Guardar). Se abre la ventana Disable Cluster Task (Desactivar tarea de clster). Haga clic en Yes (S) para continuar.
Figura 6-13 Ventana Disable Cluster Task (Desactivacin de tarea de clster) para servidor principal Cuando el clster est desactivado, el servidor secundario quita todas las configuraciones, incluidos los monitores de inicio de sesin y dominios, y funciona como servidor independiente.
El servidor principal conservar las configuraciones y continuar supervisando los dominios configurados como un servidor independiente.
Reconfiguracin de un clster
El clster puede volver a configurarse si la funcin de los servidores debe invertirse (por ejemplo, si quiere que el servidor secundario acte como principal y viceversa). Siga los pasos que se indican a continuacin para reconfigurar un clster: 1 2 Desactive el clster. Active el clster con las nuevas configuraciones de servidor principal y secundario.
72
Gua de administracin
En este captulo se ofrece informacin detallada sobre la actualizacin bajo demanda de grupos y usuarios. Puede actualizar la nueva informacin del usuario en cualquier momento. Ello permite al servidor de Logon Collector sincronizar sus datos de usuarios o grupos con el controlador de dominio. Si el administrador agrega un usuario a un grupo de Active Directory para concederle acceso a un recurso, puede utilizar la actualizacin bajo demanda de grupos para actualizar Logon Collector y permitir, de este modo, el acceso del usuario al recurso, sin necesidad de esperar a que la actualizacin del grupo tenga lugar en segundo plano.
McAfee recomienda no ejecutar las tareas de actualizacin de grupos y de usuarios simultneamente. Ejecute la tarea de actualizacin de grupos unos 20 minutos antes que la tarea de actualizacin de usuarios para que la tarea de actualizacin de grupos tenga tiempo de finalizar. Las dems opciones que aparecen en la interfaz de usuario Server Tasks (Tareas servidor) y que no se explican en este captulo no tienen relacin con Logon Collector.
Contenido MFS Scheduler 2.5 Actualizacin de grupos bajo demanda Actualizacin de usuarios bajo demanda Registro de tareas servidor
Gua de administracin
73
Figura 7-1 MFS Scheduler 2.5 Tanto las actualizaciones de usuarios como las de grupos se implementan mediante MFS Scheduler. El intervalo de las tareas del planificador se guarda en SQL Server y no en mlc-config.xml. Ningn cambio en los intervalos de dichas tareas se replicar del servidor principal al secundario.
74
Gua de administracin
Haga clic en la entrada del registro MLC Refresh Group (Grupo de actualizacin de MLC) para ver los detalles.
Figura 7-4 Pgina Server Task Log Information (Informacin del registro de tareas servidor)
Gua de administracin
75
2 3
Haga clic en Next (Siguiente). Se abre la ficha Actions (Acciones). Haga clic en Save (Guardar).
76
Gua de administracin
Procedimiento 1 En el campo Actions (Acciones), la opcin MLC Group Sync (Sincronizacin de grupos de MLC) est seleccionada de forma predeterminada.
2 3
Haga clic en Next (Siguiente). Se abre la ficha Schedule (Planificacin). Haga clic en Save (Guardar).
McAfee recomienda seleccionar la opcin Daily (A diario) para Schedule Type (Tipo de planificacin).
Start Date (Fecha de inicio): seleccione la fecha a partir de la cual quiere iniciar la tarea. End Date (Fecha de finalizacin): seleccione la fecha en la cual quiere detener la tarea.
McAfee recomienda seleccionar la opcin No End Date (Sin fecha de finalizacin) para que no se configure ninguna fecha de finalizacin para la tarea.
Gua de administracin
77
para quitar un horario planificado existente. At (A las): seleccione la opcin At (A las) en la lista desplegable para ejecutar la tarea a una hora especfica. Between (Entre): seleccione la opcin Between (Entre) en la lista desplegable para ejecutar varias tareas en un intervalo de tiempo especfico.
Figura 7-7 Ficha Schedule (Planificacin) McAfee recomienda establecer el horario de planificacin de manera que la tarea MLC Group Refresh (Actualizacin de grupos de MLC) empiece al menos 20 minutos antes que la tarea MLC User Refresh (Actualizacin de usuarios de MLC).
78
Gua de administracin
Schedule (Planificacin): los detalles sobre la fecha de inicio, fecha de finalizacin, espacio de tiempo y hora de la siguiente ejecucin de la tarea planificada Actions (Acciones): las acciones de la tarea planificada, como MLC Group Sync (Sincronizacin de grupos MLC)
Gua de administracin
79
Se abre la pgina Server Task Details (Detalles de tareas servidor). En esta pgina se muestran los resultados de la accin de actualizacin del grupo.
80
Gua de administracin
Para actualizar manualmente la informacin de los usuarios: Procedimiento 1 Seleccione Menu | Automation | Server Tasks (Men, Automatizacin, Tareas servidor). Haga clic en la opcin Run (Ejecutar) de MLC Refresh Users (Usuarios de actualizacin de MLC). Se abre la pgina Server Task Log (Registro de tareas servidor). En esta pgina se ofrecen los resultados de la accin de actualizacin de los usuarios. De forma predeterminada, las entradas del registro se ordenan por hora, siendo la ms reciente la primera.
Haga clic en la entrada de registro MLC Refresh Users (Usuarios de actualizacin de MLC) para ver los detalles.
Figura 7-12 Pgina Server Task Log Information (Informacin del registro de tareas servidor)
Gua de administracin
81
2 3
Haga clic en Next (Siguiente) para ir a la ficha Actions (Acciones). Haga clic en Save (Guardar).
82
Gua de administracin
Procedimiento 1 En el campo Actions (Acciones), la opcin MLC User Sync (Sincronizacin de usuarios de MLC) est seleccionada de forma predeterminada.
2 3
Haga clic en Next (Siguiente). Se abre la ficha Schedule (Planificacin). Haga clic en Save (Guardar).
McAfee recomienda seleccionar la opcin Daily (A diario) para Schedule Type (Tipo de planificacin).
Start Date (Fecha de inicio): seleccione la fecha a partir de la cual quiere iniciar la tarea. End Date (Fecha de finalizacin): seleccione la fecha en la cual quiere detener la tarea.
McAfee recomienda seleccionar la opcin No End Date (Sin fecha de finalizacin) para que no se configure ninguna fecha de finalizacin para la tarea.
Gua de administracin
83
para quitar el horario planificado existente. At (A las): seleccione la opcin At (A las) en la lista desplegable para ejecutar la tarea a una hora especfica. Between (Entre): seleccione la opcin Between (Entre) en la lista desplegable para ejecutar varias tareas en un intervalo de tiempo especfico.
Figura 7-15 Ficha Schedule (Planificacin) McAfee recomienda establecer el horario de planificacin de manera que la tarea MLC Group Refresh (Actualizacin de grupos de MLC) empiece al menos 20 minutos antes que la tarea MLC User Refresh (Actualizacin de usuarios de MLC).
84
Gua de administracin
Schedule (Planificacin): los detalles sobre la fecha de inicio, fecha de finalizacin, espacio de tiempo y hora de la siguiente ejecucin de la tarea planificada Actions (Acciones): las acciones de la tarea planificada, como MLC User Sync (Sincronizacin de usuarios MLC)
Gua de administracin
85
Se abre la pgina Server Task Details (Detalles de tareas servidor). En esta pgina se muestran los resultados de la accin de actualizacin del usuario.
86
Gua de administracin
Administracin de usuarios
En esta seccin se ofrecen los detalles sobre la administracin de usuarios para el acceso administrativo a Logon Collector. Para agregar usuarios a Active Directory, utilice los mecanismos de configuracin de Active Directory usuales en Windows. Contenido Administracin de los usuarios Administracin de conjuntos de permisos Administracin de contactos
[Opcional] Proporcione otros detalles para el usuario: nombre completo, direccin de correo electrnico, nmero de telfono y notas.
Gua de administracin
87
Asigne un conjunto de permisos. Seleccione el administrador global para permitir el acceso completo a Logon Collector. Seleccione un conjunto o conjuntos de permisos haciendo clic en ellos.
Eliminacin de un usuario
Para eliminar un usuario: Procedimiento 1 2 3 Seleccione Menu | User Management | Users (Men, Administracin de usuarios, Usuarios). Seleccione uno o varios usuarios activando la casilla de verificacin junto al nombre del contacto. Seleccione Actions | Delete (Acciones, Eliminar).
88
Gua de administracin
Procedimiento 1 Haga clic en Menu | User Management | Permission Sets (Men, Administracin de usuarios, Conjuntos de permisos) y seleccione el conjunto de permisos que desee eliminar en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 2 Haga clic en Actions | Delete (Acciones, Eliminar). El panel Action (Accin) le informa si algn usuario est asignado al conjunto de permisos y le da la oportunidad de cancelar la accin. 3 Haga clic en OK (Aceptar) en el panel Action (Accin). El conjunto de permisos ya no aparece en la lista Permission Sets (Conjuntos de permisos).
Procedimiento 1 Seleccione Menu | User Management | Permission Sets (Men, Administracin de usuarios, Conjuntos de permisos) y seleccione el conjunto de permisos que va a editar en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 2 3 Haga clic en Actions | Duplicate (Acciones, Duplicar), escriba un nombre en New name (Nuevo nombre) del panel Actions (Acciones) y, a continuacin, haga clic en OK (Aceptar). Seleccione el nuevo duplicado en la lista Permission Sets (Conjuntos de permisos). Los detalles se muestran a la derecha. 4 5 6 Haga clic en Edit (Editar) junto a las secciones para las que desea conceder permisos. En la ventana Edit Permission Set (Editar conjunto de permisos) que aparece, seleccione las opciones adecuadas y haga clic en Save (Guardar). Repita el procedimiento para todas las secciones del conjunto de permisos para las que desea conceder permisos.
Administracin de contactos
Para que la seleccin de los destinatarios de los informes y los datos sea ms fcil, Logon Collector proporciona una funcin Contacts (Contactos) en la que puede definir los nombres y las direcciones de correo electrnico de los contactos.
Gua de administracin
89
Eliminacin de un contacto
Para eliminar un contacto: Procedimiento 1 2 3 Haga clic en Menu | User Management | Contacts (Men, Administracin de usuarios, Contactos). Seleccione uno o varios usuarios activando la casilla de verificacin junto al nombre del contacto. Haga clic en Actions | Delete (Acciones, Eliminar).
90
Gua de administracin
Generacin de informes
En esta seccin se ofrecen detalles sobre el estado del producto para verificar que los componentes funcionen segn lo previsto. Contenido Acerca de la ventana Status (Estado) Visualizacin de usuarios conectados Visualizacin del registro de auditora Administracin de consultas del registro de auditora Definicin de criterios de filtrado Definicin de criterios de exportacin Visualizacin de paneles
Gua de administracin
91
Tabla 9-1 Componentes del sistema El componente Informa sobre de sistema ID Manager {iam} estado general de los sistemas. El estado amarillo indica uno o varios estados de los componentes estn en amarillos. El estado verde El estado rojo indica indica No aplicable uno o varios estados de los componentes estn en rojo: Login Acquisition Manager Id Replication Manager Login State Manager Id Data Store Compruebe los componentes especficos para identificar la causa del fallo en el componente. Compruebe los componentes especficos para identificar la causa del fallo en el componente. Login Acquisition Manager lam ID Acquisition Manager estado actual de las consultas a los controladores de dominio. el estado de Identitiy Replication para los clientes. uno o varios No aplicable dominios estn en amarillo o rojo. estado amarillo. No aplicable Todos los dominios estn en rojo.
Se ha producido una excepcin. Se proporciona un breve mensaje que describe la excepcin. Compruebe los registros de Logon Collector para identificar la causa del fallo.
No aplicable
Fallo en la inicializacin. Compruebe los registros de Logon Collector para identificar la causa del fallo.
No aplicable
Fallo en la inicializacin. Compruebe los registros de Logon Collector para identificar la causa del fallo.
92
Gua de administracin
Tabla 9-1 Componentes del sistema (continuacin) El componente Informa sobre de sistema ID Resolution {pnd} si las consultas de informacin de usuario procedentes de Active Directory han entrado en servicio tras detectarse un inicio de sesin. el nmero de inicios de sesin detectados en el ltimo minuto. El estado amarillo indica hay ms de 1.000 inicios de sesin en la cola pendiente, a la espera de que se resuelva la informacin de usuario. El estado verde El estado rojo indica indica No aplicable Sin estado rojo.
no se han No aplicable detectado inicios de sesin durante la ltima hora. No aplicable el administrador del clster funciona correctamente.
No se han detectado inicios de sesin durante las ltimas doce horas. La comunicacin entre los miembros del clster est inactiva, o bien uno de los miembros del clster no est disponible.
Cluster Manager el estado del clster {cluster} y los mensajes intercambiados entre los miembros del clster.
Restablezca los cambios haciendo clic en Use Default (Usar predeterminados). Procedimientos Exportacin de informes de usuarios que han iniciado sesin en la pgina 93
Gua de administracin
93
Para enviar un informe por correo electrnico a los usuarios que han iniciado sesin: Procedimiento 1 2 3 Seleccione Menu | Reporting | Logon Report (Men, Generacin de informes, Informe de inicio de sesin). Especifique el contenido del informe mediante la aplicacin de los filtros pertinentes. Seleccione Actions | Export Table (Acciones, Exportar tabla).
Restablezca los cambios haciendo clic en Use Default (Usar predeterminados). Procedimientos Exportacin del registro de auditora en la pgina 94
94
Gua de administracin
Vase tambin Servidor de correo electrnico en la pgina 48 Definicin de criterios de filtrado en la pgina 98 Definicin de criterios de exportacin en la pgina 98
Gua de administracin
95
Configure la presentacin de las columnas. a b c Alinee las columnas haciendo clic en la flecha izquierda o derecha para mover la columna. Quite una columna haciendo clic en el botn X. Haga clic en Next (Siguiente) para avanzar por el asistente.
5 6
[Opcional] Configure filtros. Haga clic en Run (Ejecutar). Se ejecuta la consulta y se muestran los resultados.
7 8 9
[Opcional] Haga clic en Edit Query (Editar consulta) para ajustar los criterios. Cuando considere que el informe est listo, haga clic en Save (Guardar). Termine de configurar la consulta: a b c Escriba un nombre para identificar la consulta. [Opcional] Introduzca notas que describan la consulta. Asigne la consulta a un grupo de consultas.
Defina un grupo nuevo o seleccione uno de la lista de los ya existentes. 10 Haga clic en Save (Guardar). La consulta aparece en la ventana principal Queries (Consultas). Puede que necesite borrar el campo de texto Quick find (Bsqueda rpida).
96
Gua de administracin
Para importar una consulta como archivo: Procedimiento 1 2 3 4 Seleccione Menu | Reporting | Queries (Men, Generacin de informes, Consultas). Haga clic en Actions | Import Query (Acciones, Importar consulta). Haga clic en Browse (Examinar) para acceder al archivo que contiene su consulta de registro de auditora. Asigne la consulta a un grupo de consultas. Defina un grupo nuevo o seleccione uno de la lista de los ya existentes. 5 Haga clic en Save (Guardar). La consulta aparece en la ventana principal Queries (Consultas). Puede que necesite borrar el campo de texto Quick find (Bsqueda rpida).
Acciones de consulta
Antes de empezar Para aplicar Actions (Acciones) a las consultas: Procedimiento 1 2 Active la casilla de verificacin junto a la consulta deseada o haga clic en la casilla de verificacin Queries (Consultas) en la parte superior para aplicar una accin a todas las consultas. Seleccione una accin de la lista Seleccione esta accin Delete (Eliminar) Duplicate (Duplicar) Para hacer esto Elimina las consultas seleccionadas. Solo para consultas simples, cree un duplicado de la consulta seleccionada. En la ventana Duplicate (Duplicar), escriba un nombre nuevo para la consulta y asigne la copia de la consulta a un grupo de consultas. Edit (Editar) Export Data (Exportar datos) Export Query Definition (Exportar definicin de consulta) Solo para consultas simples, le permite modificar las propiedades que afectan a los resultados de la consulta seleccionada. Exporte los resultados de las consultas seleccionadas como datos adjuntos de correo electrnico. Solo para consultas simples, exporte la definicin de consulta como un archivo XML. En la ventana Opening query (Abrir consulta) especifique si desea abrir el archivo con una aplicacin XML o guardarlo.
El archivo se guarda de acuerdo con la ruta de acceso definida para el navegador web.
Import Query (Importar consulta) Move to Different Group (Mover a otro grupo) New Query (Nueva consulta)
Importe una consulta almacenada como un archivo. Mueva las consultas seleccionadas a un grupo distinto. Cree una consulta nueva.
Gua de administracin
97
Seleccione esta accin Run (Ejecutar) View Query SQL (Ver cdigo SQL de la consulta) Procedimientos
Para hacer esto Ejecute la consulta y vea los resultados. Solo para consultas simples, consulte la consulta seleccionada como una sentencia SQL.
Importacin de consultas de registro de auditora en la pgina 96 Creacin de consultas de registro de auditora en la pgina 96
Las propiedades disponibles son: Action (Accin), Completion Time (Hora de finalizacin), Details (Detalles), Priority (Prioridad), Start Time (Hora de inicio), Success (Correcto) y User Name (Nombre de usuario). Para administrar los criterios del filtro: Procedimiento 1 2 3 4 5 Haga clic en la flecha derecha de la columna Available Properties (Propiedades disponibles) para activar esa propiedad. [Opcional] Haga clic en el signo ms al final de la fila Property (Propiedades) para crear un elemento de comparacin adicional. De forma predeterminada, cualquier elemento adicional se evala con un operador "OR". Haga clic en and (y) en la casilla and/or (y/o) para cambiar este valor. [Opcional] Haga clic en la flecha izquierda junto a la Property (Propiedades) para dejar de tenerla en consideracin. Haga clic en OK (Aceptar) o Update Filter (Actualizar filtro) en funcin del modo en que haya llegado a los criterios de filtrado.
Vase tambin Visualizacin del registro de auditora en la pgina 94 Exportacin del registro de auditora en la pgina 94
98
Gua de administracin
Procedimiento 1 Seleccione una accin de exportacin: 2 Para una consulta, seleccione Export Data (Exportar datos): Para un informe de inicios de sesin o un registro de auditora, seleccione Export Table (Exportar tabla).
Revise la informacin que se va a exportar. Para las consultas, se presenta una lista de las consultas. Para el informe de inicios de sesin, se muestran un identificador exclusivo y el nmero de elementos de datos.
3 4
[Opcional] Seleccione Zip the output files (Comprimir los archivos de salida) para comprimir el informe. Seleccione un formato de archivo CSV, XML, HTML o PDF. En el caso de PDF, especifique tambin un tamao y orientacin de pgina y, si lo desea, seleccione mostrar criterios de filtro. Puede adems especificar el texto de la portada.
a b c 6
Especifique los destinatarios escribindolos o seleccionndolos del cuadro de dilogo. Escriba una lnea de asunto. Agregue el texto para el cuerpo del mensaje de correo electrnico.
Vase tambin Exportacin del registro de auditora en la pgina 94 Acciones de consulta en la pgina 97 Servidor de correo electrnico en la pgina 48 Administracin de contactos en la pgina 89
Visualizacin de paneles
La opcin de interfaz de usuario Dashboards (Paneles) no se aplica a Logon Collector 2.0. Vase tambin Acerca de la ventana Status (Estado) en la pgina 91
Gua de administracin
99
100
Gua de administracin
10
En este captulo se describe la integracin de McAfee Logon Collector con otros productos de McAfee. Contenido Integracin Integracin Integracin Integracin con con con con McAfee McAfee McAfee McAfee Firewall Enterprise Firewall Enterprise Control Center Network Security Manager Data Loss Prevention
Requisitos de integracin
En la siguiente lista constan los detalles de los requisitos de integracin: Versin de Logon Collector: 2.0 Versin de Firewall Enterprise: 8.0 o posterior
Gua de administracin
101
10
Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise
3 4
En la ventana Firewall Enterprise Passport, active Passive Passport y configure la conexin entre Firewall Enterprise y Logon Collector. En la ventana Rule Properties (Propiedades de reglas) para las reglas de control de acceso o reglas SSL, permita las conexiones para usuarios y grupos seleccionados en funcin de los criterios organizativos.
102
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center
10
6 7
Haga clic en la ficha Advanced (Avanzada). Seleccione la autoridad de certificacin (CA, Certification Authority) que debe utilizarse para validar Logon Collector: Para utilizar el certificado con firma automtica predeterminado de Logon Collector, haga clic en Retrieve MLC Root Cert (Recuperar certificado raz de MLC). Para utilizar una CA definida con anterioridad, seleccinela en la lista desplegable Cert Authority (Autoridad de certificacin).
En el campo y la lista desplegable User cache timeout (Tiempo de espera de cach de usuario), defina el tiempo que los usuarios y los grupos se almacenan en cach en el firewall si no estn conectados a Logon Collector. Guarde los cambios.
Requisitos de integracin
En la siguiente lista constan los detalles de los requisitos de integracin: Versin de Logon Collector: 2.0 Versin de Firewall Enterprise Control Center: 5.0 o posterior
Gua de administracin
103
10
Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center
Add (Agregar): al hacer clic, aparece la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector) en la que puede crear un objeto de configuracin de conexin de Logon Collector nuevo. Edit (Editar): al hacer clic, aparece la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector) en la que puede editar un objeto de configuracin de conexin de Logon Collector existente. Delete (Eliminar): al hacer clic, se elimina el objeto o los objetos de configuracin de conexin de Logon Collector seleccionados en la tabla de esta ventana.
104
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center
10
Procedimiento 1 Realice una de las siguientes opciones: a b Si ha iniciado sesin en el dominio compartido, vaya al paso 2. Si ya ha configurado los dominios de configuracin, en el campo Domain (Dominio), seleccione Shared (Compartido) y vaya al paso 2. Configure el dominio compartido. Debe crear un dominio nuevo para que el dominio compartido quede disponible. En la barra de navegacin, seleccione Control Center. En el rbol de Control Center, haga doble clic en Configuration Domains (Dominios de configuracin). Aparece la ventana Configuration Domain (Dominio de configuracin). c d e En el campo Name (Nombre), especifique un nombre exclusivo para este dominio de configuracin. El campo Description (Descripcin) es opcional. Haga clic en OK (Aceptar). Aparece un mensaje de confirmacin, preguntndole si desea continuar. Haga clic en Yes (S). Aparece un mensaje de aviso, notificndole que deben asignarse privilegios y funciones de inicio de sesin a otros usuarios para este dominio nuevo. f Haga clic en Close (Cerrar). Aparece otro mensaje de aviso, indicando que ahora existen dominios de configuracin activos y que debe reiniciar la aplicacin cliente. g Haga clic en OK (Aceptar). Se cierra la aplicacin cliente. h Vuelva a iniciar una sesin. En la ventana de inicio de sesin, escriba su contrasea y, a continuacin, seleccione Shared (Compartido) en el campo Domain (Dominio). Acto seguido, haga clic en Connect (Conectar). Aparece la aplicacin cliente de Control Center. 2 Puede crear un certificado o importar uno existente. a b Para importar un certificado, vaya a Import an existing certificate (Importar un certificado existente). Complete esta tarea y regrese al paso 3. Para crear un certificado, contine con los pasos siguientes. En la barra de navegacin, seleccione Policy (Directiva). Haga clic en la ficha Remote Certificates (Certificados remotos). Se abrir la ventana Remote Certificates (Certificados remotos). c Haga clic en Add Certificate (Agregar certificado). Aparece el asistente Certificate Request (Solicitud de certificado). d e Seleccione Create a new certificate (Crear un certificado nuevo) y haga clic Next (Siguiente). En el campo Unique Name (Nombre exclusivo), especifique un nombre exclusivo para el certificado y haga clic en Next (Siguiente).
Gua de administracin
105
10
Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center
f g h i j k
En el campo Common Name (Nombre comn), escriba un nombre comn y seleccione un pas en el campo Country (Pas). Rellene el resto de la ventana segn sea necesario y haga clic en Next (Siguiente). [Opcional] Especifique nombres alternativos del sujeto (SAN) con direcciones IP en formato IPv4 o IPv6 y haga clic en Next (Siguiente). Seleccione un algoritmo de cifrado de clave pblica y el tamao de la clave, y haga clic en Next (Siguiente). En el campo Signature Mechanism (Mecanismo de firma), seleccione Self-Signed (Autofirmado) y haga clic en Next (Siguiente). Revise las selecciones que haya realizado. Si est de acuerdo con ellas, haga clic en Next (Siguiente). Si no es as, haga clic en Back (Atrs) hasta llegar a la ventana que contiene la informacin que desea cambiar. Realice los cambios y haga clic en Next (Siguiente) hasta que regrese a esta ventana.
Haga clic en Finish (Finalizar). El certificado se ha importado correctamente. Debera verlo en la ventana Remote Certificates (Certificados remotos).
Para exportar el certificado desde Control Center: a Seleccione el certificado que acaba de importar en la ventana Remote Certificates (Certificados remotos) y haga clic en Export Certificate (Exportar certificado). Aparece el asistente Export Certificate (Exportar certificado). b Haga clic en Next (Siguiente). Acepte la seleccin predeterminada de Export Certificate (Exportar certificado). c Haga clic en Browse (Examinar) y especifique el nombre y un destino del archivo de certificado y haga clic en Save (Guardar). La ruta de acceso y el nombre del archivo se muestran ahora en el campo del asistente. d e Haga clic en Next (Siguiente), y de nuevo en Next (Siguiente) para confirmar el nombre y ubicacin del archivo. Haga clic en Finish (Finalizar). El certificado se ha exportado. En el campo Status (Estado) de la ventana Remote Certificates (Certificados remotos), debera ver ahora Completed: Self Signed (Completado: autofirmado).
Ahora ya puede importar el certificado remoto a Logon Collector. Procedimientos Importacin de un certificado existente en la pgina 106
106
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center
10
Utilice este procedimiento solo cuando tenga certificados ya existentes para importar a la lista desplegable Certificate (Certificado). Procedimiento 1 En la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector), haga clic en Add (Agregar) a la derecha del campo Certificate (Certificado). Aparece la ventana Certificate Request (Solicitud de certificado). 2 3 4 5 Seleccione Import an existing certificate (Importar un certificado existente) y haga clic en Next (Siguiente). En el campo Unique Name (Nombre exclusivo), especifique un nombre exclusivo para el certificado y haga clic en Next (Siguiente). En el campo Import Mechanism (Mecanismo de importacin), acepte el valor predeterminado (Encrypted File (PKCS12)) (Archivo cifrado (PKCS12)) y haga clic en Next (Siguiente). Configure la ubicacin del certificado y la contrasea necesaria para descifrarlo. a Haga clic en Browse (Examinar) para ir a la ubicacin del certificado. Haga doble clic en l. A continuacin, aparece en el campo Certificate (Certificado). b Especifique la contrasea en los campos Password (Contrasea) y Confirm Password (Confirmar contrasea), y haga clic en Next (Siguiente). Aparece un mensaje de confirmacin en la ltima ventana. Haga clic en Finish (Finalizar). Ahora, el nombre del certificado que acaba de importar aparece en el campo Certificate (Certificado) de la ventana Logon Collector Connection Settings Editor (Editor de configuraciones de conexin de Logon Collector). 6 En el campo Common Name (Nombre comn), escriba un nombre comn y seleccione un pas en el campo Country (Pas). Rellene el resto de la ventana segn sea necesario y haga clic en Next (Siguiente). [Opcional] Especifique nombres alternativos del sujeto (SAN) con direcciones IP en formato IPv4 o IPv6. Haga clic en Next (Siguiente). Seleccione un algoritmo de cifrado de clave pblica y el tamao de la clave, y haga clic en Next (Siguiente). En el campo Signature Mechanism (Mecanismo de firma), seleccione Self-Signed (Autofirmado) y haga clic en Next (Siguiente).
7 8 9
10 Revise las selecciones que haya realizado. Si est de acuerdo con ellas, haga clic en Next (Siguiente). Si no es as, haga clic en Back (Atrs) hasta llegar a la ventana que contiene la informacin que desea cambiar. Realice los cambios y haga clic en Next (Siguiente) hasta que regrese a esta ventana. 11 Haga clic en Finish (Finalizar). El certificado que acaba de crear aparece ahora en el campo Certificate (Certificado) de la ventana MLC Connection Settings Editor (Editor de configuraciones de conexin de MLC).
Gua de administracin
107
10
Integracin con otros productos de McAfee Integracin con McAfee Firewall Enterprise Control Center
Este procedimiento tiene lugar en la interfaz web de Logon Collector. Utilice el rea Certificates (Certificados) de la ventana Firewall para importar el certificado remoto al servidor de Logon Collector. Procedimiento 1 2 Inicie sesin en Logon Collector. En la barra de navegacin, haga clic en Menu (Men). A continuacin, haga clic en Configuration (Configuracin) | Trusted CAs (CAs de confianza). Aparece la ventana Trusted Authorities (Autoridades de confianza). 3 En la esquina inferior izquierda, haga clic en New Authority (Nueva autoridad). Aparece la ventana New Trusted Authority (Nueva autoridad de confianza). 4 5 Haga clic en Browse (Examinar). Vaya al destino del archivo de certificado que ha exportado en Configuracin del certificado remoto y seleccione el archivo de certificado. La ruta de acceso y el nombre del archivo se agregan al campo Certificate (Certificado). 6 Haga clic en Save (Guardar). El nombre comn del certificado aparece en la lista Trusted Authorities (Autoridades de confianza).
108
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
10
Configure el objeto de configuracin de conexiones de Logon Collector. a b En el campo IP address (Direccin IP), especifique la direccin IP del servidor de Logon Collector. En la lista desplegable Certificate (Certificado), seleccione el certificado de Control Center que ha importado al servidor de Logon Collector. El nombre de este certificado es el que ha especificado en el campo Unique Name (Nombre nico) del Certificate Request Wizard (Asistente para solicitud de certificados). c Haga clic en Retrieve MLC Root Certificate (Recuperar certificado raz de MLC). Anote el nombre de este certificado. (Lo necesitar ms adelante en la ventana Firewall). Si se recupera correctamente, aparece un mensaje de confirmacin. d Haga clic en OK (Aceptar). El certificado del servidor de Logon Collector aparece automticamente en el campo CA certificate (Certificado de CA). e En la lista List of Configuration Domains (Lista de dominios de configuracin), seleccione uno o ms dominios. Aunque solo se puede configurar un servidor de Logon Collector por cada dominio de configuracin, en este campo se especifican los dominios de configuracin que pueden utilizar este objeto de configuracin de Logon Collector. Por lo tanto, puede seleccionar varios dominios. f Haga clic en Test MLC connection (Probar conexin con MLC). Si la conexin es correcta, aparece un mensaje de confirmacin. g Haga clic en OK (Aceptar) en el mensaje de confirmacin y haga clic en OK (Aceptar) para guardar el objeto de configuracin de conexiones de Logon Collector.
Ahora, el objeto nuevo figura en la lista de la ventana Logon Collector Settings (Configuracin de Logon Collector).
Ventajas
Esta integracin ayuda a proporcionar la informacin sobre los usuarios de origen y destino sin ninguna dependencia del mdulo NAC. Es de utilidad en escenarios donde no pueden desplegarse sensores NAC.
Gua de administracin
109
10
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
Trminos importantes
En esta seccin se describen los trminos importantes asociados a esta integracin.
Requisitos de integracin
En la siguiente lista constan los detalles de los requisitos de integracin: Versin de Logon Collector: 2.0 Versin de McAfee Network Security Manager: 6.1.5.5
110
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
10
Figura 10-1
Establecimiento de la confianza entre McAfee Network Security Manager y el servidor de Logon Collector
Logon Collector se comunica con McAfee Network Security Manager mediante una autenticacin SSL en dos direcciones. Esto requiere el intercambio de certificados entre McAfee Network Security Manager y el servidor de Logon Collector.
Gua de administracin
111
10
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
6 7 8
En la consola de Logon Collector, seleccione Menu | Configuration | Trusted CAs (Men, Configuracin, CAs de confianza). Haga clic en New Authority (Autoridad nueva) para abrir la ventana New Trusted Authority (Nueva autoridad de confianza). Seleccione Import From File (Importar desde archivo) y haga clic en Browse (Examinar) para agregar el archivo exportado y guardarlo en el directorio local. Tambin puede utilizar la opcin Copy/Paste Certificate (Copiar/pegar certificado).
112
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
10
Pegue el certificado directamente en Network Security Manager: 1 2 En la seccin Import Certificate (Importar certificado), seleccione Paste Certificate (Pegar certificado). Pegue el certificado de Logon Collector que ha copiado en el cuadro Paste Certificate (Pegar certificado).
El certificado de Logon Collector importado aparece en la seccin Current MLC Certificate (Certificado de MLC actual). 4 5 Haga clic en Save (Guardar). Haga clic en Test Connection (Conexin de prueba) para probar la integracin.
Gua de administracin
113
10
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
114
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
10
Top External Hosts By Reputation (Principales hosts externos por reputacin) Hosts - New (Last 7 Days) (Hosts: nuevos (ltimos 7 das))
Figura 10-4 Monitores NTBA con detalles de nombre de usuario La seccin User name (Nombre de usuario), se muestra como "---" cuando no se recibe ningn nombre de usuario desde el servidor Logon Collector para un direccin IP del host determinada.
Gua de administracin
115
10
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
La siguiente figura muestra la seccin de detalles User Name (Nombre de usuario) para la opcin Host Interactions (Interacciones de host).
Figura 10-5 Opcin Host Interactions (Interacciones de host) con los detalles de User name (Nombre de usuario)
Opcin Show Alerts (Mostrar alertas) para el monitor Host - Threat Factor (Hosts Factor de amenaza)
Se muestra la informacin de usuario de origen y destino para las siguientes opciones en la seccin Show Alerts (Mostrar alertas), del monitor Hosts - Threat Factor (Hosts - Factor de amenaza) Todas las alertas Alertas IPS Alertas NTBA
Figura 10-6 NTBA Alerts (Alertas NTBA) que muestran la informacin de usuario de origen y destino
116
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
10
Figura 10-7
Gua de administracin
117
10
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
La seccin Group By (Agrupar por) de la ventana Alerts (Alertas) de Threat Analyzer muestra las opciones Dest IP (IP de destino) y Src IP (IP de origen).
Opciones Dest IP (IP de destino) y Src IP (IP de origen) en la seccin Group By (Agrupar
Si NAC y la integracin de Logon Collector estn activados a la vez, la informacin acerca de los usuarios de origen y de destino de NAC tiene prioridad sobre la informacin de Logon Collector.
Visualizacin de los detalles de Logon Collector en los informes de Network Security Manager
En esta seccin se describen los informes que muestran la informacin sobre los usuarios recibida para Logon Collector.
118
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
10
Opcin 1
Cuando selecciona las Display Options (Opciones de presentacin) como Table (Tabla), la seccin Available Fields (Campos disponibles) incluye Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino). Los informes personalizados generados contienen los datos sobre los usuarios de origen y destino.
Figura 10-9 Propiedades de la tabla: campos Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino)
Gua de administracin
119
10
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
Opcin 2
Cuando selecciona las Display Options (Opciones de presentacin) como Bar Chart (Grfico de barras), la seccin Bar Labels (Rtulos de barras) incluye Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino). Los informes personalizados generados contienen los datos sobre los usuarios de origen y destino.
Figura 10-10 Opciones Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino) en el grfico de barras
120
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
10
Opcin 3
Cuando selecciona las Display Options (Opciones de presentacin) como Pie Chart (Grfico de sectores), la seccin Pie Slice Labels (Rtulos de sectores) incluye Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino). Los informes personalizados generados contienen los datos sobre los usuarios de origen y destino.
Figura 10-11 Opciones Src UserId (ID de usuario de origen) y Dest UserId (ID de usuario de destino) en el grfico de sectores
Filtro de presentacin
La opcin del Filtro de presentacin le permite buscar alertas basadas en dos atributos recientemente agregados, que son los usuarios de origen y de destino.
Gua de administracin
121
10
Integracin con otros productos de McAfee Integracin con McAfee Network Security Manager
Error de comunicacin
Se muestra un informe de errores de conexin en la ventana Status (Estado) de McAfee Network Security Manager cuando hay una comunicacin inapropiada entre el servidor de McAfee Network Security Manager y el servidor de Logon Collector. Desde la pgina Home (Inicio) de McAfee Network Security Manager vaya a Operational Status (Estado operativo). Haga clic en Error para ver el mensaje de error.
Muestra la siguiente informacin: Tipo de fallo Origen Tipo de condicin Tipo de alarma Gravedad Momento de ltima aparicin Texto adicional Fecha y hora de creacin
Tambin puede ver el mensaje de error de comunicacin en la ventana Alerts (Alertas) de Threat Analyzer si se produce una conexin inapropiada.
122
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention
10
Los siguientes detalles se muestran bajo la columna Scr User (Usuario de origen): Communication Error (Error de comunicacin): error en la comunicacin con el servidor de Logon Collector Not Applicable (No aplicable): asociacin inadecuada
Gua de administracin
123
10
Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention
Pero cada cuenta en un servidor de Active Directory se compone de atributos que identifican a la persona propietaria de la cuenta. Logon Collector compara el SID exclusivo asignado a cada usuario de Active Directory con las direcciones IP y todos los parmetros asociados con ese SID se extraen cuando Logon Collector traslada las actualizaciones de enlaces desde el servidor de Active Directory a McAfee DLP.
Debido a que SAMAccountName se ha utilizado para indizar los datos en versiones anteriores, esta informacin podra perderse durante las bsquedas especficas cuando el usuario cambia a la versin 9.0 o cuando los datos que residen en la base de datos de captura indican una fecha anterior al cambio de versin.
Requisitos de integracin
En la siguiente lista constan los detalles de los requisitos de integracin: Versin de Logon Collector: 2.0 Versin de NDLP: 9.x
Parmetros disponibles
User Name (Nombre de usuario): el nombre, el alias, el departamento y la ubicacin del usuario User Groups (Grupos de usuarios): el grupo del usuario User City (Ciudad del usuario): la ciudad del usuario User Country (Pas del usuario): el pas del usuario User Organization (Organizacin del usuario): la empresa u organizacin del usuario
124
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention
10
puede agregar un servidor de Active Directory que contenga la cuenta de usuario de dicho agente interno a McAfee DLP Manager y, a continuacin, buscar el nombre de usuario de este individuo para supervisar sus comunicaciones. Acto seguido, puede buscar entre sus comunicaciones el nombre del componente perdido y encontrar as la direccin de correo electrnico y la ubicacin geogrfica de aquellos usuarios externos a la empresa que pueden haber recibido la informacin. Es posible que no sepa lo que contienen dichas comunicaciones pero puede utilizar lo que encuentre para hacerse la siguiente pregunta lgica Puede configurar Logon Collector con McAfee DLP Manager para resolver las identidades de usuario mediante la recuperacin de recopilaciones de informacin de las cuentas de usuario de todos los servidores de Active Directory que se hayan aadido al sistema McAfee DLP.
Si McAfee DLP Manager se configura con Logon Collector y un servidor de Active Directory, es posible extender la proteccin de los extremos a los servidores de directorio que administran usuarios en todo el mundo. Si no conoce el nombre del usuario, puede ir revelando paso a paso su identidad mediante la bsqueda de usuarios en la ciudad Y, la bsqueda entre los grupos de usuarios de su departamento tcnico y la identificacin de un subgrupo que pueda contener al usuario en cuestin.
Gua de administracin
125
10
Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention
3 4 5
Exporte un certificado desde McAfee DLP. Importe el certificado de McAfee DLP a Logon Collector. Reinicie Logon Collector. Una vez llevados a cabo estos pasos, las comunicaciones seguras entre McAfee DLP y Logon Collector estarn activadas y los datos de los servidores de Active Directory estarn disponibles para realizar bsquedas y construir reglas.
10 Haga clic en Apply (Aplicar). 11 Haga clic en Export (Exportar) para guardar el certificado de red de McAfee DLP en el equipo de sobremesa. 12 Abra un navegador web y escriba la direccin de Logon Collector. 13 Seleccione Menu | Configuration | Trusted CA (Men, Configuracin, CA de confianza). 14 Haga clic en New Authority (Nueva autoridad). 15 Vaya al archivo netdlp_certificate.cer que guard en el equipo de sobremesa. 16 Haga clic en Open (Abrir). 17 Haga clic en Save (Guardar). De este modo se agrega McAfee DLP Manager a Logon Collector.
126
Gua de administracin
Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention
10
18 Abra una sesin de escritorio remoto en el servidor de Logon Collector. 19 Apague y reinicie el servidor de Logon Collector. La conexin se ha completado.
Gua de administracin
127
10
Integracin con otros productos de McAfee Integracin con McAfee Data Loss Prevention
128
Gua de administracin
11
Escalabilidad
En este captulo se describen los detalles de los lmites de rendimiento que admite Logon Collector.
Detalles de la escalabilidad
A continuacin se enumeran los lmites de rendimiento de Logon Collector: Campos Usuarios Grupos Dominios Velocidad de inicios de sesin Clientes Cifras hasta 100.000 hasta 20.000 10 hasta 800 eventos de inicio de sesin por minuto hasta 150
Gua de administracin
129
11
130
Gua de administracin
12
En este captulo se describen las opciones de configuracin avanzadas del servidor de McAfee Logon Collector. El archivo de configuracin de Logon Collector contiene los parmetros para configurar el servidor de Logon Collector. Contenido Configuracin avanzada Modo de compatibilidad de Logon Collector 2.0 v1 Configuracin de controllerbackofftime Configuracin de removeWhiteSpaceFromUniqueName Configuracin del lmite de grupos de usuarios de McAfee ePO
Configuracin avanzada
Siga los pasos que se indican a continuacin para configurar las opciones avanzadas en el archivo xml si quiere configurar el servidor de Logon Collector. 1 2 3 4 Detenga el servicio Logon Collector. Vaya a <MLC_INSTALL_FOLDER>/server/conf/mlc-config.xml. Edite el archivo xml. Reinicie el servicio Logon Collector.
Si el servicio de Logon Collector tarda ms de lo esperado en detenerse, abra el Administrador de tareas, seleccione la ficha Processes (Procesos), localice el proceso Tomcat y haga clic en End Process (Finalizar proceso).
Gua de administracin
131
12
La siguiente lnea representa la entrada en el archivo mlc-config.xml que puede activarse o desactivarse con el valor (verdadero o falso): <config name="enable-v1-compatibility" value="true type="common"/> De forma predeterminada, Logon Collector 2.0 se ejecuta en el modo de compatibilidad.
Configuracin de controllerbackofftime
Logon Collector detiene el envo de consultas de WMI al controlador de dominio si el uso de la CPU de ste ltimo supera el umbral de CPU configurado. Logon Collector espera de forma predeterminada 20 minutos antes de enviar las consultas de WMI al controlador de dominio. Para configurar el tiempo de retirada: 1 2 Detenga el servicio Logon Collector. Cambie el valor del parmetro que se indica a continuacin en mlc-config.xml: <config name="controllerbackofftime" value="20" type="common" />
Las unidades del parmetro son en minutos
Configuracin de removeWhiteSpaceFromUniqueName
Logon Collector 1.0 o 1.0.1 utilizaba un algoritmo para generar un nombre exclusivo (uniqueName) para objetos de usuario y grupo que quitaba los espacios en blanco. Como consecuencia, el algoritmo responsable de la generacin de nombres exclusivos no creaba un uniqueName (nombre exclusivo). Ejemplo: Grupo 1 cn: ProductServices un: ProductServices@DistributionLists.scur.com Grupo 2 cn: Product Services un: ProductServices@DistributionLists.scur.com
Se genera el mismo "un" (nombre exclusivo) para el Grupo 1 y el Grupo 2 aunque sus "cn" (nombres comunes son distintos).
Para resolver este problema, se puede establecer el parmetro de configuracin (removeWhiteSpaceFromUniqueName). El valor predeterminado es false (falso). Con esta configuracin, Logon Collector no quita los espacios en blanco de uniqueName (nombre exclusivo).
132
Gua de administracin
Opciones de configuracin avanzadas Configuracin del lmite de grupos de usuarios de McAfee ePO
12
Gua de administracin
133
12
Opciones de configuracin avanzadas Configuracin del lmite de grupos de usuarios de McAfee ePO
134
Gua de administracin
13
Solucin de problemas
En este captulo se ofrece informacin que puede ayudarle a resolver algn problema. Contenido Verificacin de las credenciales de dominio Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio Registros de Logon Monitor Registros de Logon Collector Error durante la instalacin de Logon Collector 2.0 en Windows Server 2008 R2 Error al desinstalar la instancia de la base de datos SQL para Logon Collector Pgina de configuracin de bases de datos para conectar al servidor de SQL Puertos utilizados por Logon Collector Elevado consumo de memoria de Isass.exe Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO
Una ejecucin correcta de las consultas verifica que las credenciales que ha especificado tengan suficientes privilegios para obtener acceso a los siguientes elementos en el controlador de dominio: Registro de eventos de seguridad Rendimiento de la CPU Conexin WMI Conexin DCOM
Gua de administracin
135
13
136
Gua de administracin
13
Especifique la siguiente informacin: Opcin User (Usuario) password (contrasea) Authority (Entidad emisora) Locale (Configuracin regional) Impersonation level (Nivel de representacin) How to interpret empty password (Interpretacin de contrasea vaca) Authentication Level (Nivel de autenticacin) Definicin El nombre de usuario para autenticar en el controlador de dominio La contrasea asociada. Deje en blanco este campo. Deje en blanco este campo. Seleccione Impersonate (Suplantar). Seleccione NULL (NULA). Seleccione Packet privacy (Privacidad de paquete).
Gua de administracin
137
13
Haga clic en Connect (Conectar) para continuar. Si se muestra el mensaje Access Denied (Acceso denegado), cabe la posibilidad de que haya escrito errneamente las credenciales, o que la cuenta de usuario no tenga los privilegios necesarios. Vuelva a escribir las credenciales y compruebe que la cuenta de usuario se haya configurado de manera correcta. Si no est utilizando una cuenta de administrador, puede utilizar una cuenta de usuario no administrador en el controlador de dominio. La ventana Herramienta de comprobacin del instrumental de administracin de Windows cambia para mostrar IWbemServices y Opciones de llamada de mtodos.
La autenticacin correcta del controlador de dominio y la visualizacin de la ventana anterior significan que Logon Collector ha accedido a las conexiones WMI y DCOM.
138
Gua de administracin
13
Ejecute cada una de las siguientes consultas: Consulta del rendimiento de la CPU Un resultado correcto de esta consulta significa que Logon Collector ha accedido al rendimiento de la CPU en el controlador de dominio. Consulta de registro anterior Un resultado correcto de esta consulta significa que Logon Collector ha accedido al registro de eventos de seguridad. Consulta de notificacin de registro posterior Un resultado correcto de esta consulta significa que Logon Collector ha accedido al registro de eventos de seguridad.
Debe ejecutar correctamente la consulta de rendimiento de la CPU y una de las consultas del registro para comprobar que tiene las credenciales correctas y, por tanto, suficientes privilegios de acceso.
Gua de administracin
139
13
5 6
Haga clic en Close (Cerrar) si aparece el contenido de la captura de pantalla anterior, lo que demuestra que la funcionalidad de consulta es correcta. Ejecute las dems consultas si todava no lo ha hecho.
140
Gua de administracin
13
Escriba la siguiente consulta: SELECT * FROM Win32_NTLogEvent WHERE Logfile = 'Security' AND (EventIdentifier = 672 OR EventIdentifier = 673 OR EventIdentifier = 680 OR EventIdentifier = 4768 OR EventIdentifier = 4769 OR EventIdentifier = 4776) AND TimeWritten > 'yyyymmdd' donde yyyymmdd es la fecha de ayer.
Haga clic en Close (Cerrar) si aparece el contenido de la captura de pantalla anterior, lo que demuestra que la funcionalidad de consulta es correcta. No es necesario que espere la devolucin de todos los resultados.
Gua de administracin
141
13
Solucin de problemas Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio
Procedimiento 1 2 3 Conctese a un controlador de dominio. Haga clic en Notification Query (Consulta de notificacin). Escriba la siguiente consulta: SELECT * FROM __InstanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.Logfile = 'Security' AND (TargetInstance.EventIdentifier = 672 OR TargetInstance.EventIdentifier = 673 OR TargetInstance.EventIdentifier = 680) 4 Haga clic en Apply (Aplicar).
Los resultados se muestran mientras se registran. 5 Haga clic en Close (Cerrar). La operacin no finaliza hasta que hace clic en Close (Cerrar). 6 Ejecute las dems consultas si todava no lo ha hecho.
Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio
Logon Collector admite dominios que ejecuten Windows 2000, Windows 2003 y Windows 2008. No puede instalar Logon Collector en Windows 2000 Server; sin embargo, Logon Collector puede supervisar dominios de Windows 2000.
142
Gua de administracin
Solucin de problemas Creacin de una cuenta de usuario no administrador para acceder al registro de eventos de seguridad en un controlador de dominio
13
Asegrese de cumplir los siguientes requisitos para crear una cuenta de usuario que no sea administrador en un controlador de dominio a fin de acceder a los registros de eventos de seguridad: Acceso a la suite de PsTools de herramientas de lnea de comandos (http:// download.sysinternals.com/Files/PsTools.zip) Posibilidad de modificar el registro de un controlador de dominio que se ejecuta en Windows Server 2000, Windows Server 2003 o Windows Server 2008 Perodo de tiempo para reiniciar el sistema del controlador de dominio
Gua de administracin
143
13
Recursos adicionales
Recurso Artculo de Microsoft Knowledge Base Formato de cadena de los descriptores de seguridad Descripcin de la cadena de SID Descripcin de las cadenas ACE Documento til sobre la sintaxis SDDL Acceso remoto a DCOM Acceso remoto a WMI URL http://support.microsoft.com/kb/323076 http://msdn.microsoft.com/en-us/library/ aa379570(VS.85).aspx http://msdn2.microsoft.com/en-us/library/ aa379602.aspx http://msdn2.microsoft.com/en-us/library/ aa374928.aspx http://www.washington.edu/computing/support/ windows/UWdomains/SDDL.htm http://msdn2.microsoft.com/en-us/library/ aa393266.aspx http://msdn2.microsoft.com/en-us/library/ aa393613.aspx
Un ejemplo del formato bsico de los mensajes de registro de Logon Monitor es 2010-11-09T21:23:09Z INFO: DlcServiceMain Service Started. La siguiente lista refleja los tres tipos de mensajes que pueden recibirse: Mensajes internos Mensajes originados por las comunicaciones de Logon Collector Mensajes originados por las comunicaciones de Logon Monitor
Mensajes internos
Los mensajes internos carecen de calificador. Los siguientes son ejemplos de mensajes internos: 2010-11-09T21:23:09Z INFO: DlcServiceMain Service Started 2010-11-09T21:23:09Z INFO: Socket Listening on 50443
144
Gua de administracin
13
Formato: <Data> <Level>: [CLI:<MLC IP Address>:<Port>] <Message> Ejemplos: 2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Connection accepted 2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Command HELLO 2010-12-03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Command CONNECT El siguiente mensaje de ejemplo puede servir para entender las distintas partes de un mensaje: STATS RP:0 LR:2010-12-03T16:46:12Z LV:0 PB:0 CB:0 LW:4 BW:243, donde: RP representa el nmero de registros enviados LR representa la ltima vez que se ha enviado el registro LV representa un nmero entre 0 y 5, que indica comunicaciones lentas
Cualquier nmero superior a 3 indica que el enlace puede llegar a ser muy lento.
PB y CB se combinan para calcular el nmero de bytes pendientes de escribir LW representa el nmero de lneas escritas BW representa el nmero de bytes escritos (puede servir para calcular el ancho de banda)
El formato de los mensajes generados por las comunicaciones de Logon Monitor es el siguiente: Formato: <Data> <Level>: [DC:<DC Name>] <Message> Ejemplos: 2010-12-03T16:46:24Z INFO: [DC:d2-dc-01.domain2.cai.local] Wmi Connected 2010-12-03T16:46:24Z INFO: [DC:d2-dc-01.domain2.cai.local] DcConnection::run Backlog query disabled by client request Ejemplo de mensaje de error: El mensaje de error que consta a continuacin aparecer en la ventana Status (Estado) de Logon Collector: Access Denied (Password Change) ERROR: [DC:nsbu-01.domain3.cai.local] Wmi [0x80070005 - Access is denied.] ConnectServer Ejemplo de cdigo de error: 0x80070005: se trata de un error de Microsoft. Para obtener ms informacin, consulte microsoft.com.
Gua de administracin
145
13
Error
0x80070005 Acceso denegado. 0x8004106C Infraccin de la cuota: diferencia de parches entre DC y MLC Para solucionar este problema, asegrese de que se han aplicado todos los parches. 0x800706BA El servidor RPC no est disponible. Este error puede mostrarse por uno de los dos siguientes motivos: Problemas de contrasea. Si el sistema est inaccesible. Control de acceso. Diferencia de parches. 0x80010002 El filtro de mensajes ha cancelado la llamada (igual que 0x800706BA). 0x80090327 Error desconocido al procesar el certificado. Para solucionar este problema, compruebe el certificado de Logon Monitor remoto.
Para obtener ms informacin, consulte http://msdn.microsoft.com/en-us/library/aa394559%28v=vs. 85%29.aspx.
orion.log es un registro rotativo. Tiene lmite de tamao y tambin del nmero total de archivos de registro. Por ejemplo, si utiliza orion.log y alcanza el lmite mximo de tamao, puede pasar a orion.log1. Formato de registro: YYYY-MM-DD HH:mm:ss,mmm <LEVEL> [<Thread>] Message
Durante la solucin de problemas busque la palabra "Exception" (Excepcin) en el archivo de registro de Orion.
146
Gua de administracin
13
Los problemas ms comunes son los siguientes: Contrasea errnea: LoginException: Pre-authentication information was invalid (24)
Problema de DNS: No se han proporcionado credenciales vlidas (nivel de mecanismo: no se ha encontrado el servidor en la base de datos de Kerberos (7))
Compruebe que tanto el DNS inverso como el DNS de reenvo funcionen para el dominio que se supervisa Ejecute el siguiente comando desde una lnea de comandos en el servidor de Logon Collector y compruebe el resultado comparndolo con el resultado esperado que se muestra a continuacin:
C:\>nslookup dc-01.domain1.cai.local Server: net-apps.cai.local Address: 172.25.59.11 Non-authoritative answer: Name: dc-01.domain1.cai.local Address: 172.25.59.80 C:\>nslookup 172.25.59.80 Server: net-apps.cai.local Address: 172.25.59.11 Name: dc-01.domain1.cai.local Address: 172.25.59.80
Compruebe si existen entrada en C:\Windows\System32\drivers\etc\hosts: Compruebe las entradas equivalentes a las entradas /etc/hosts de UNIX. Compruebe en este archivo si existen entradas que "enmascaran" las entradas DNS. Se recomienda tener solo comentarios (#) en este archivo.
Si est utilizando entornos de produccin, el DNS no ser un problema ya que Windows se basa en su propia configuracin de DNS. Compruebe si est utilizando DNS inverso. Asegrese de que ha agregado entradas en DNS para DNS inverso.
Gua de administracin
147
13
Solucin de problemas Error durante la instalacin de Logon Collector 2.0 en Windows Server 2008 R2
148
Gua de administracin
13
Siga los pasos que se indican a continuacin para solucionar este problema: 1 2 3 Inicie sesin en el servidor de Logon Collector. Abra https://localhost:8443/core/config en su navegador. Restablezca la contrasea en la pgina Database Settings (Configurar base de datos).
Gua de administracin
149
13
Solucin de problemas Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO
150
Gua de administracin
Solucin de problemas Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO
13
Para solucionar este problema: 1 No realice ninguna otra operacin en el servidor de Logon Collector.
McAfee se lo recomienda encarecidamente.
Elimine Logon Collector y las extensiones asociadas de McAfee ePO y vuelva a instalarlo. De este modo se limpiarn el almacn de datos y las configuraciones.
Gua de administracin
151
13
Solucin de problemas Procedimiento de recuperacin para la restriccin de 10.000 objetos de directorios de McAfee ePO
152
Gua de administracin
700-2489B02