Professional Documents
Culture Documents
Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control
El software que se describe en este manual se suministra con acuerdo de licencia y slo puede utilizarse segn los trminos de dicho acuerdo. Versin de la documentacin 11.00.06.00.00
Aviso legal
Copyright 2010 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate y TruScan son marcas comerciales o marcas comerciales registradas de Symantec Corporation o de sus afiliadas en los EE. UU. y otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. Este producto de Symantec puede contener software de otros fabricantes para el cual Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo Lame TPIP que acompaa este producto de Symantec. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.com.mx
Soporte tcnico
El soporte tcnico de Symantec cuenta con centros de soporte global. El rol principal del soporte tcnico es responder a las consultas especficas sobre funciones del producto y funcionalidad. El grupo de soporte tcnico, adems, elabora el contenido para nuestra Base de conocimientos en lnea. El grupo de soporte tcnico trabaja con otras reas funcionales dentro de Symantec para contestar las preguntas a tiempo. Por ejemplo, el grupo de soporte tcnico trabaja con el Departamento de Ingeniera y Symantec Security Response para proporcionar servicios de alertas y actualizaciones de definiciones de virus. Las ofertas de soporte de Symantec incluyen lo siguiente:
Una gama de opciones de soporte que brindan flexibilidad para seleccionar la cantidad adecuada de servicio para organizaciones de cualquier tamao Soporte telefnico y basado en Web que proporciona respuesta rpida e informacin actualizada Garanta de actualizacin que entrega actualizaciones de software Soporte global comprado segn las horas laborables regionales o 24 horas al da, 7 das a la semana Ofertas de servicios superiores que incluyen servicios de administracin de cuentas
Para obtener informacin sobre los Programas de mantenimiento de Symantec, puede visitar el sitio web en la siguiente URL: http://www.symantec.com/es/mx/business/support/
Nivel de versin de producto Informacin de hardware Memoria disponible, espacio libre en el disco e informacin de la NIC
Sistema operativo Nmero de versin y parche Topologa de red Router, gateway e informacin de la direccin IP Descripcin del problema:
Mensajes de error y archivos de registro Sesin de resolucin de problemas llevada a cabo antes de contactar a Symantec Cambios recientes en la configuracin del software y en la red
Servicio al cliente
La informacin del servicio al cliente est disponible en la siguiente URL: http://www.symantec.com/es/mx/business/support/ El servicio al cliente est disponible para ayudar con preguntas no tcnicas, como los siguientes tipos de problemas:
Preguntas relacionadas con la concesin de licencias o la serializacin de productos Actualizaciones del registro del producto, como cambio de direccin o de nombre Informacin general de producto (funciones, disponibilidad de idioma, distribuidores locales) La informacin ms reciente sobre actualizaciones del producto Informacin sobre garanta de actualizacin y contratos de soporte Informacin sobre los Programas de compras de Symantec Sugerencia sobre las opciones de soporte tcnico de Symantec Preguntas no tcnicas previas a las ventas Problemas relacionados con los CD-ROM o los manuales
Servicios de consultora
Servicios educativos
Para acceder a ms informacin sobre los servicios empresariales, visite nuestro sitio web en la siguiente URL: http://www.symantec.com/es/mx/business/services/ Seleccione su pas o idioma del ndice del sitio.
Contenido
Seccin 1
Captulo 1
Captulo 2
Captulo 3
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center .............................................................................. 47
Acerca de Symantec Protection Center ............................................. Arquitectura de Symantec Protection Center ..................................... Cmo iniciar sesin en Symantec Protection Center ............................ El tablero de Symantec Protection Center ......................................... Acerca de cmo administrar las cuentas de Symantec Protection Center .................................................................................. Cmo configurar Symantec Protection Center para administrar productos ............................................................................. Informes de Symantec Protection Center .......................................... Acerca de la documentacin de Symantec Protection Center ................ 47 48 50 51 51 53 55 55
Contenido
Captulo 4
Captulo 5
Contenido
Captulo 6
10
Contenido
Captulo 7
Captulo 8
Contenido
11
Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo .................................................. Acerca de Intelligent Updater ....................................................... Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin ................................ Acerca de los archivos que se usan en la distribucin de otro fabricante del contenido de LiveUpdate ................................................... Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes administrados ...................................................................... Activar la distribucin de contenido de otro fabricante en clientes administrados con una Poltica de configuracin de LiveUpdate .......................................................................... Distribuir contenido a clientes administrados con herramientas de distribucin de terceros ......................................................... Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes autoadministrados ................................................................ Cmo ejecutar LiveUpdate en un cliente desde la consola ...................
169
170 171
173 174
Captulo 9
Captulo 10
Cmo administrar la comunicacin entre los servidores de administracin y los clientes ........... 187
Cmo administrar la conexin entre los servidores de administracin y los clientes ........................................................................ Acerca de los servidores de administracin ..................................... Agregar una lista de servidores de administracin ............................ Especificar una lista de servidores de administracin ........................ Modificar el orden en el cual se conectan los servidores de administracin .................................................................... Asignar una lista de servidores de administracin a un grupo y a una ubicacin ............................................................................ Ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin .................................................. 188 190 190 192 193 194 195
12
Contenido
Reemplazo de una lista de servidores de administracin .................... Copiar y pegar una lista de servidores de administracin ................... Exportar e importar una lista de servidores de administracin ............ Visualizacin del estado del cliente en la consola de administracin ..................................................................... Configurar las opciones de configuracin para una ubicacin ............. Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente ..................................................... Investigacin de los problemas de los clientes ............................ Usar el comando ping para probar la conectividad con el servidor de administracin ........................................................... Usar un navegador para probar la conectividad con el servidor de administracin ........................................................... Usar el comando telnet para probar la conectividad con el servidor de administracin ............................................... Comprobar los registros de depuracin en el equipo cliente .......... Comprobar los registros de la bandeja de entrada en el servidor de administracin ........................................................... Comprobar los registros de IIS en el servidor de administracin ............................................................... Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop ....................................
195 196 196 197 199 200 202 202 203 204 204 205 205 206
Captulo 11
Contenido
13
Configurar preferencias de la elaboracin de informes ...................... Acerca de las opciones de visualizacin de Inicio y supervisin ................................................................... Configurar umbrales de estado de seguridad .............................. Configurar preferencias para registros e informes ...................... Cmo eliminar virus y riesgos para la seguridad ............................... Identificar los equipos infectados y en riesgo ............................. Modificar una accin y volver a analizar los equipos identificados .................................................................. Reiniciar los equipos que necesitan un reinicio para finalizar la reparacin .................................................................... Acerca de investigar y limpiar los riesgos restantes .................... Cmo eliminar un evento sospechoso ....................................... Actualizar definiciones y volver a analizar ................................ Encontrar los clientes desconectados .............................................
231 231 232 233 234 235 236 237 237 238 238 239
Captulo 12
14
Contenido
Cmo guardar y eliminar los filtros del informe rpido ...................... Acerca de los nombres de filtro duplicados ................................ Acerca de los informes programados .............................................. Crear y eliminar informes programados .......................................... Cmo editar el filtro usado para un informe programado ................... Acerca del uso del filtro ltimas 24 horas para informes y registros ............................................................................. Acerca del uso de filtros que buscan grupos en informes y registros ............................................................................. Imprimir y guardar una copia de un informe ................................... Acerca del uso de SSL con las funciones de elaboracin de informes ............................................................................. Aspectos importantes de la elaboracin de informes .........................
276 277 278 279 280 281 282 282 283 283
Captulo 13
Captulo 14
Contenido
15
Especificar el dominio actual ........................................................ Acerca de los administradores ...................................................... Agregar una cuenta de administrador ............................................ Acerca de los derechos de acceso ................................................... Configurar los derechos de acceso para un administrador limitado .............................................................................. Alternar entre un administrador y un administrador limitado ............ Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin ..................................................... Restablecer la contrasea de administrador a admin ......................... Configurar la autenticacin para las cuentas de administrador ........... Cambiar el nombre de una cuenta de administrador .......................... Modificar la contrasea de un administrador ...................................
325 326 329 330 332 333 333 334 335 336 337
Seccin 2
Captulo 15
Captulo 16
Captulo 17
16
Contenido
Buscar usuarios en un servidor de directorios LDAP .......................... Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP .................................................. Acerca de las unidades organizativas y el servidor LDAP .................... Importacin de unidades organizativas desde un servidor de directorios activo o LDAP ................................................. Acerca de la sincronizacin de unidades organizativas ................
Captulo 18
Captulo 19
Captulo 20
Captulo 21
Captulo 22
Contenido
17
Acerca del Asistente de configuracin del servidor de administracin y las Herramientas de base de datos de Symantec ...................................................................... Acerca de la copia de seguridad de base de datos ........................ Acerca de la reconfiguracin de una base de datos ...................... Hacer una copia de seguridad de una base de datos de Microsoft SQL .................................................................................... Hacer una copia de seguridad de una base de datos de Microsoft SQL .............................................................................. Hacer una copia de seguridad de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos ............................................................ Hacer copia de seguridad de una base de datos integrada ................... Cmo programar las copias de seguridad de base de datos automticas ......................................................................... Restaurar una base de datos ......................................................... Cmo editar el nombre y la descripcin de una base de datos .............. Volver a configurar una base de datos de Microsoft SQL .................... Volver a configurar una base de datos integrada ............................... Acerca de administrar datos de registro .......................................... Acerca de los registros de datos y el almacenamiento .................. Barrer datos de registro de la base de datos manualmente ............ Datos de registro de clientes de versiones anteriores ................... Configurar opciones de registro para los servidores en un sitio ............................................................................. Acerca de configurar la agrupacin de sucesos ........................... Configurar opciones de registros de clientes .............................. Acerca de configurar las opciones de administracin de registros de los clientes para las polticas antivirus y contra software espa ............................................................................ Hacer copias de seguridad de los registros para un sitio ............... Acerca de cargar grandes cantidades de datos de registro de clientes ......................................................................... Acerca de administrar sucesos de registro en la base de datos ............................................................................ Configurar opciones de mantenimiento de base de datos para los registros ....................................................................... Acerca de uso de la utilidad SQL interactiva con la base de datos integrada ...................................................................... Cambiar los parmetros de tiempo de espera ............................. Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits .......................................................
384 388 389 390 391 392 394 395 395 397 397 398 398 399
18
Contenido
Captulo 23
Replicar datos
.................................................................... 407 407 410 410 411 412 414 414 414 415 416 417
Acerca de la replicacin de datos ................................................... Acerca del impacto de la replicacin ............................................... Acerca de la configuracin que se replica .................................. Cmo se combinan los cambios durante la replicacin ................. Cmo agregar y desconectar a un partner de replicacin .................... Desconectar partners de replicacin ........................................ Programar la replicacin automtica y manual ................................ Replicar datos cuando lo necesite ............................................ Modificar frecuencias de replicacin ........................................ Replicar paquetes de clientes y contenido de LiveUpdate ................... Replicar registros .......................................................................
Captulo 24
Seccin 3
Captulo 25
Contenido
19
Acerca de trabajar con polticas antivirus y antispyware .................... Acerca de los virus y los riesgos de seguridad ................................... Acerca de analizar ...................................................................... Acerca de los anlisis de Auto-Protect ...................................... Acerca de anlisis definidos por el administrador ....................... Acerca de los anlisis de amenazas proactivos TruScan ............... Acerca del anlisis tras la actualizacin de los archivos de definiciones ................................................................... Acerca de analizar extensiones o carpetas seleccionadas .............. Acerca de la exclusin de carpetas y archivos por nombre ............ Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Windows ...................................... Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Mac ............................................. Configurar parmetros de gestin de registros en una poltica antivirus y antispyware ......................................................... Acerca de la interaccin del cliente con opciones de antivirus y antispyware ........................................................................ Modificar la contrasea necesaria para analizar unidades de red asignadas ............................................................................ Configuracin del Centro de seguridad de Windows para que funcione con el cliente de Symantec Endpoint Protection ......................... Exhibir una advertencia de definiciones desactualizadas o ausentes ............................................................................. Especificacin de la URL que se debe mostrar en las notificaciones de error de antivirus y antispyware .......................................... Especificar una URL para una pgina principal del navegador ............ Configurar las opciones que se aplican a los anlisis antivirus y de software espa ...................................................................... Configurar anlisis de las extensiones de archivo seleccionadas ................................................................. Configurar anlisis de carpetas seleccionadas ............................ Acerca de excepciones para riesgos de seguridad ........................ Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows ................. Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Mac ........................ Acerca de los mensajes de notificacin en los equipos infectados ..................................................................... Personalizar y mostrar advertencias en equipos infectados .......... Enviar informacin sobre anlisis a Symantec ................................. Acerca de la aceleracin de envos ........................................... Configurar opciones de envo ..................................................
435 436 439 439 444 446 447 447 451 452 453 453 454 455 456 458 459 460 460 461 462 463 463 465 466 466 468 469 470
20
Contenido
Administrar los archivos en cuarentena .......................................... Acerca de la configuracin de cuarentena ................................. Especificar un directorio de cuarentena local ............................. Configurar opciones de limpieza automtica .............................. Enviar elementos en cuarentena a un servidor de Cuarentena central ......................................................................... Enviar elementos en cuarentena a Symantec ............................. Configurar acciones ante el arribo de nuevas definiciones ...........
Captulo 26
Captulo 27
Contenido
21
Cmo configurar un anlisis manual para los clientes Windows .......... Cmo configurar un anlisis manual para los clientes Mac ................. Ejecutar anlisis manuales ........................................................... Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador ............................................................. Configurar opciones avanzadas para anlisis definidos por el administrador ......................................................................
Seccin 4
Captulo 28
Captulo 29
22
Contenido
Modificar el comportamiento las firmas IPS de Symantec ............ Bloquear un equipo atacante .................................................. Configurar una lista de equipos excluidos ................................. Crear firmas personalizadas de IPS ................................................ Asignar varias bibliotecas IPS personalizadas a un grupo ............. Modificar el orden de las firmas .............................................. Copiar y pegar firmas ............................................................ Definir variables para las firmas ..............................................
Captulo 30
Seccin 5
Captulo 31
Contenido
23
Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan .................................. Acerca de los procesos que los anlisis de amenazas proactivos TruScan omiten ................................................................... Cmo funcionan los anlisis de amenazas proactivos TruScan con la Cuarentena ......................................................................... Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas ...................................................... Informacin sobre las detecciones de amenazas proactivas de TruScan .............................................................................. Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan .......................................... Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones ................................................................... Especificar acciones para las detecciones de aplicaciones comerciales ................................................................... Configurar la frecuencia del anlisis de amenazas proactivo TruScan .............................................................................. Configurar notificaciones para anlisis de amenazas proactivos TruScan ..............................................................................
Captulo 32
24
Contenido
Configurar las acciones que se deben tomar cuando se cumple una condicin ................................................................ Aplicar una norma a aplicaciones especficas y excluir aplicaciones de una norma ............................................... Modificar el orden en el cual se aplican los conjuntos de normas de control de aplicaciones ................................................ Desactivar los conjuntos de normas de control de aplicaciones y las normas individuales en una Poltica de control de aplicaciones y dispositivos ............................................... Modificar el modo de un conjunto de normas de control de aplicaciones .................................................................. Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos .....................................................
Captulo 33
Contenido
25
Seccin 6
Captulo 34
Apndice A
......................... 657
Comandos Windows para el servicio del cliente ................................ 657 Cdigos de error ................................................................... 661 Escribir un parmetro si el cliente est protegido con contrasea .................................................................... 662
26
Contenido
Apndice B
Apndice C
Seccin
Captulo 1. Conceptos generales de Symantec Endpoint Protection Captulo 2. Inicio de la consola de Symantec Endpoint Protection Manager Captulo 3. Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Captulo 4. Cmo administrar grupos y clientes Captulo 5. Administrar las ubicaciones de un grupo Captulo 6. Trabajar con polticas Captulo 7. Trabajar con paquetes de instalacin de clientes Captulo 8. Actualizar definiciones y contenido Captulo 9. Cmo visualizar funciones en la interfaz de usuario del cliente Captulo 10. Cmo administrar la comunicacin entre los servidores de administracin y los clientes Captulo 11. Supervisar la proteccin de puntos finales Captulo 12. Ver y configurar informes
28
Captulo 13. Ver y configurar registros y notificaciones Captulo 14. Administrar dominios y administradores
Captulo
Acerca de Symantec Endpoint Protection Acerca de Symantec Network Access Control Componentes de Symantec Endpoint Protection y Symantec Network Access Control Funciones principales de Symantec Endpoint Protection y Symantec Network Access Control Acerca de los tipos de proteccin
30
Conceptos generales de Symantec Endpoint Protection Acerca de Symantec Network Access Control
de aplicaciones y dispositivos correctamente configurado. Symantec Endpoint Protection proporciona varias capas de proteccin para dispositivos de endpoint. Su software de Symantec puede incluir Symantec Network Access Control. Symantec Network Access Control adems usa Symantec Endpoint Protection Manager para instalar y para administrar clientes de Symantec Endpoint Protection y Symantec Network Access Control. Symantec Network Access Control se asegura de que los clientes cumplan con las polticas de seguridad de su organizacin antes de que se les permita el acceso a su red. Symantec Endpoint Protection y Symantec Network Access Control trabajan juntos, pero se compran por separado. Ver "Acerca de Symantec Network Access Control" en la pgina 30. Ver "Componentes de Symantec Endpoint Protection y Symantec Network Access Control" en la pgina 31.
Conceptos generales de Symantec Endpoint Protection Componentes de Symantec Endpoint Protection y Symantec Network Access Control
31
Ver "Qu que se puede hacer desde la consola" en la pgina 44. Base de datos La base de datos que almacena las polticas de seguridad y los eventos. La base de datos est instalada en el equipo que alberga Symantec Endpoint Protection Manager. Ver "Acerca de la administracin de bases de datos" en la pgina 379. Cliente de Symantec Endpoint Protection El cliente de Symantec Endpoint Protection protege los equipos con anlisis de virus, un firewall, un sistema de prevencin de intrusiones y otras tecnologas de proteccin. Se ejecuta en los servidores, los escritorios y los ordenadores porttiles que desee proteger. Para obtener ms informacin, consulte la Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control.
32
Conceptos generales de Symantec Endpoint Protection Componentes de Symantec Endpoint Protection y Symantec Network Access Control
Componente
Descripcin
Cliente de Symantec Network El cliente de Symantec Network Access Control aplica el Access Control cumplimiento de las polticas de seguridad en los equipos cliente usando comprobaciones de integridad del host y funcionalidades de aplicacin automtica. El cliente informa su estado del cumplimiento de la integridad del host a Symantec Enforcer. Para obtener ms informacin, consulte la Gua de implementacin para la aplicacin Symantec Network Access Control. Para obtener ms informacin, consulte la Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control. Symantec Protection Center Symantec Protection Center se instala cuando instala Symantec Endpoint Protection Manager. Protection Center le permite integrar las consolas de administracin de varios productos de seguridad de Symantec admitidos en un nico entorno de administracin. Ver "Acerca de Symantec Protection Center" en la pgina 47. Symantec Enforcer (opcional) Un Enforcer garantiza que los clientes que intentan conectarse a la red cumplan con las polticas de seguridad configuradas. Es posible restringir el acceso a los equipos que no cumplen a segmentos especficos de la red para su reparacin y es posible prohibir totalmente el acceso a los equipos que no cumplen. Symantec Network Access Control incluye los siguientes tipos de mdulos de aplicacin Enforcer: El dispositivo Enforcer, que es un dispositivo de hardware en el cual se instala una de varias imgenes del dispositivo Symantec Enforcer. Los dispositivos Integrated Enforcer, que son los componentes de software que interaccionan con un servidor DHCP de Microsoft y un servidor de polticas de red de Microsoft Windows.
Para obtener ms informacin, consulte la Gua de implementacin para la aplicacin Symantec Network Access Control.
Conceptos generales de Symantec Endpoint Protection Componentes de Symantec Endpoint Protection y Symantec Network Access Control
33
Componente
Clientes On-Demand de Symantec Network Access Control para Windows y Macintosh (opcionales) Servidor de LiveUpdate (opcional)
Descripcin
Los clientes On-Demand son los clientes temporales que se proporcionan a los usuarios cuando no estn autorizados a acceder a su red porque no tienen el software que cumple con su poltica de seguridad. El servidor de LiveUpdate descarga definiciones, firmas y actualizaciones del producto del servidor de Symantec LiveUpdate y distribuye las actualizaciones a los equipos cliente. Para obtener ms informacin, consulte la Gua del usuario del Administrador de Symantec LiveUpdate.
La Cuarentena central recibe los archivos sospechosos y los elementos infectados sin reparar de los clientes de Symantec Endpoint Protection. Cuarentena central remite una muestra a Symantec Security Response, que analiza la muestra. Si una amenaza es nueva, Symantec Security Response crea actualizaciones de seguridad. Para obtener ms informacin, vea Gua de implementacin de la Cuarentena central de Symantec.
34
Conceptos generales de Symantec Endpoint Protection Componentes de Symantec Endpoint Protection y Symantec Network Access Control
Figura 1-1
Equipos que ejecutan el cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control y se conectan por medio de un tnel VPN
Internet
Firewall
Symantec Endpoint Protection Manager, con el cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control instalado
Equipos que ejecutan el cliente de Symantec Endpoint Protection o el cliente de Symantec Network Access Control
Ver "Acerca de Symantec Endpoint Protection" en la pgina 29. Ver "Acerca de Symantec Network Access Control" en la pgina 30. Ver "Funciones principales de Symantec Endpoint Protection y Symantec Network Access Control" en la pgina 35.
Conceptos generales de Symantec Endpoint Protection Funciones principales de Symantec Endpoint Protection y Symantec Network Access Control
35
El equipo cliente analiza en busca de virus y amenazas para la seguridad. Deteccin y reparacin de los efectos de virus, gusanos, caballos de Troya, spyware, publicidad no deseada y rootkits conocidos. Anlisis de los procesos en busca de anomalas de comportamiento para detectar virus y riesgos de seguridad desconocidos y desconocidos. Prevencin de usuarios no autorizados de acceder a los equipos y redes que se conectan a Internet. Limpieza, eliminacin y puesta en cuarentena de archivos infectados. Deteccin automtica y bloqueo de ataques de red.
Ver "Acerca de los tipos de proteccin" en la pgina 36. Administracin Las siguientes funciones estn incluidas:
Configuracin inicial para cualquier tamao de negocio. La consola de Symantec Protection Center le permite opcionalmente integrar ms de una consola de administracin de productos de Symantec en un nico entorno. Ver "Acerca de Symantec Protection Center" en la pgina 47. La consola nica de Symantec Endpoint Protection Manager proporciona una vista de toda la implementacin del cliente. Ver "Qu que se puede hacer desde la consola" en la pgina 44. Symantec Endpoint Protection Manager coordina la comunicacin de cliente y consola y registro del evento. Cuentas de administrador que proporcionan acceso a la consola. Ver "Administrar los dominios y las cuentas de administrador" en la pgina 322. Descargas de LiveUpdate de las definiciones de virus y de las actualizaciones del producto ms actuales. Ver "Cmo administrar el contenido para los clientes" en la pgina 140.
36
Funcin
Migracin
Descripcin
Las siguientes funciones estn incluidas: Configuracin del grupo y de la poltica del software de versin anterior de Symantec. Actualizaciones del equipo cliente usando el Asistente para la instalacin de clientes.
Las siguientes funciones estn incluidas: Se asegura de que un equipo cliente est protegido correctamente y sea compatible antes de que se le permita conectarse a la red corporativa. Corrige los equipos que no cumplen con la poltica.
Ver "Acerca de Symantec Endpoint Protection" en la pgina 29. Ver "Acerca de Symantec Network Access Control" en la pgina 30.
Tipo de proteccin
Proteccin antivirus y La proteccin antivirus y antispyware de Symantec Endpoint antispyware Protection proporciona proteccin contra virus y riesgos de seguridad y, en muchos casos, puede reparar sus efectos secundarios. La proteccin incluye anlisis en tiempo real de archivos y del correo electrnico, as como anlisis programados y anlisis manuales. Los anlisis antivirus y antispyware detectan virus y riesgos para la seguridad, como aplicaciones de publicidad no deseada, spyware y otros archivos riesgosos para un equipo o una red. Ver "Fundamentos de la proteccin antivirus y antispyware" en la pgina 428.
37
Tipo de proteccin
Proteccin contra amenazas de red
Descripcin
La proteccin contra amenazas de red proporciona proteccin de firewall y prevencin de intrusiones para evitar que los ataques de intrusin y el contenido malicioso alcancen el equipo que ejecuta el cliente de Symantec Endpoint Protection. El firewall permite o bloquea el trfico de red basado en diversos criterios establecidos por el administrador o el usuario final. El cliente adems analiza toda la informacin entrante y saliente en busca de los patrones de datos tpicos de un ataque. Detecta y bloquea el trfico malintencionado y los intentos de ataque al equipo cliente por parte de usuarios externos. La prevencin de intrusiones tambin controla el trfico saliente y evita la propagacin de gusanos. Ver "Acerca de Proteccin contra amenazas de red y los ataques de red" en la pgina 512.
La proteccin proactiva contra amenazas proporciona proteccin contra vulnerabilidades de ataques de da cero en su red. Las vulnerabilidades de ataque de da cero son las nuevas vulnerabilidades que todava no son pblicamente conocidas. Las amenazas que aprovechan estas vulnerabilidades pueden evadir la deteccin basada en firmas (tal como las definiciones antispyware). Los ataques de da cero se pueden utilizar en ataques dirigidos y en la propagacin de cdigo malicioso. La proteccin proactiva contra amenazas incluye lo siguiente:
Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 576. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 593.
38
Tipo de proteccin
Integridad del host
Descripcin
Integridad del host es la capacidad de definir, imponer y restaurar la seguridad de los clientes para asegurar redes y datos de la empresa. Se configuran polticas de integridad del host para verificar que los clientes que intentan acceder a la red estn ejecutando el software antivirus, los parches, las correcciones y otros criterios de aplicacin. Se configuran polticas de integridad del host para ejecutarse en los equipos cliente en el inicio y, luego, peridicamente.
Figura 1-2 muestra las categoras de amenazas bloqueadas por cada tipo de proteccin.
39
Figura 1-2
Internet
Red empresarial
Vulnerabilidades de aplicaciones Puertas traseras Vulnerabilidades del SO Caballos de Troya Gusanos Modificaciones de archivos/ procesos/registro Amenazas internas Registradores de pulsaciones Retrovirus Software espa Ataques dirigidos Caballos de Troya Gusanos Amenazas de da cero Publicidad no deseada Puertas traseras Software espa Caballos de Troya Gusanos Virus
Puertas traseras Ataques de denegacin de servicio Anlisis de puertos Ataques de pila Caballos de Troya Gusanos
Poltica de firewall
Memoria/perifricos
Punto final
40
Captulo
Inicio de sesin en la consola de Symantec Endpoint Protection Manager Qu que se puede hacer desde la consola
Localmente, desde el equipo en el cual el servidor de administracin est instalado Remotamente, desde cualquier equipo que cumpla los requisitos del sistema para una consola remota y tenga conectividad de red al servidor de administracin.
Muchos administradores inician sesin remotamente y pueden hacer las mismas tareas que los administradores que inician sesin localmente. Para iniciar sesin remotamente, es necesario saber la direccin IP o el nombre de host del equipo en el cual el servidor de administracin est instalado. Debe adems asegurarse de que las opciones de Internet del navegador web permitan que se vea el contenido del servidor en el que se registra.
42
Inicio de la consola de Symantec Endpoint Protection Manager Inicio de sesin en la consola de Symantec Endpoint Protection Manager
Qu es posible ver y hacer desde la consola depende del tipo de administrador que usted sea. Es posible iniciar sesin como administrador del sistema, administrador o administrador limitado. Un administrador del sistema tiene privilegios completos a travs de todos los dominios. Un administrador tiene privilegios que se limitan a un dominio especfico. Un administrador limitado tiene un subconjunto de los privilegios de administrador y adems est limitado a un dominio especfico. Si usted instal el servidor de administracin, es el administrador del sistema. Si otro usuario instal el servidor de administracin, su estado puede ser diferente. La mayora de las organizaciones, sin embargo, no necesitan ocuparse de los dominios o el estado de administrador limitado. Es posible adems acceder a las funciones de elaboracin de informes desde un navegador web independiente que se conecte al servidor de administracin. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 213. La mayora de los administradores en organizaciones ms pequeas inician sesin como administrador del sistema. Ver "Acerca de los administradores" en la pgina 326. Una vez que se inicia sesin, se puede acceder a Symantec Endpoint Protection Manager. Ver "Qu que se puede hacer desde la consola" en la pgina 44. Para iniciar sesin en la consola remotamente
Abra Internet Explorer y escriba la direccin siguiente en el cuadro direccin: http://nombre de host:9090 donde nombre de host el nombre de host o la direccin IP del servidor de administracin. Nota: Internet Explorer 7 o posterior es necesario para usar la consola web de Symantec Endpoint Protection Manager.
En la pgina Web Access de la consola de Symantec Endpoint Protection Manager, haga clic en el tipo consola deseado. Nota: Si selecciona la consola de Symantec Endpoint Protection Manager, el equipo desde el que usted inicia sesin debe tener Java 2 Runtime Environment (JRE) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE. El equipo debe adems tener Active X y generacin de script habilitados.
Inicio de la consola de Symantec Endpoint Protection Manager Inicio de sesin en la consola de Symantec Endpoint Protection Manager
43
Cuando se inicia sesin, se puede ver un mensaje que advierte una discordancia en el nombre del host o una advertencia de seguridad. Si aparece el mensaje de nombre del host, haga clic en S. Este mensaje significa que la URL de la consola remota que usted especific no coincide con el nombre del certificado de Symantec Endpoint Protection. Este problema ocurre si se inicia sesin y se especifica una direccin IP en lugar del nombre del equipo del servidor de administracin. Si aparece la advertencia del certificado de seguridad de la pgina web, haga clic en Vaya a este sitio web (no recomendado) y agregue el certificado autofirmado a Internet Explorer. Este mensaje significa que Internet Explorer no reconoce el sitio vinculado como seguro. Internet Explorer confa en los certificados de seguridad para determinar si un sitio es seguro. Para obtener instrucciones para agregar el certificado de seguridad a Internet Explorer, consulte el artculo de la base de conocimientos de soporte tcnico de Symantec Cmo agregar a Internet Explorer el certificado autofirmado para Symantec Protection Center o Symantec Endpoint Protection Manager.
Siga las indicaciones para completar el proceso de inicio de sesin. Dependiendo del mtodo de inicio de sesin, es posible que sea necesario proporcionar informacin adicional. Por ejemplo, si su red tiene varios dominios, usted necesitar proporcionar el nombre del dominio en el que desee iniciar sesin. Nota: Si este inicio de sesin es el primero despus de la instalacin, use el nombre de cuenta, administrador.
Haga clic en Iniciar sesin. Es posible recibir uno o ms mensajes de advertencia de seguridad al iniciar la consola remota. De ser as, haga clic en S, Ejecutar, Iniciar, o su equivalente y contine hasta que aparezca la consola.
44
Inicio de la consola de Symantec Endpoint Protection Manager Qu que se puede hacer desde la consola
1 2
En el men Inicio de Windows, haga clic en Programas > Symantec Endpoint Protection Manager > Consola de Symantec Endpoint Protection Manager. En la indicacin de inicio de sesin de Symantec Endpoint Protection Manager, escriba el nombre de usuario (administrador de forma predeterminada) y la contrasea que usted configur durante la instalacin Si usted es administrador y no instal el servidor de administracin, utilice el nombre de usuario y la contrasea que su administrador configur para usted.
Si la consola tiene solamente un dominio, vaya al paso 4. Si la consola tiene ms de un dominio, haga clic en Opciones>> y escriba el nombre de dominio.
Inicio de la consola de Symantec Endpoint Protection Manager Qu que se puede hacer desde la consola
45
Obtener un recuento de los equipos que recibieron la definicin de virus y otras actualizaciones de contenido. Ajustar las preferencias de la consola.
Ver "Acerca de la pgina principal de Symantec Endpoint Protection" en la pgina 217. Ver "Uso de la Pgina principal de Symantec Network Access Control" en la pgina 226. Supervisin Supervise los registros de sucesos relacionados con Symantec Endpoint Protection Manager y sus equipos administrados. Es posible hacer las siguientes tareas desde la pgina Supervisin:
Ver grficos de distribucin de riesgos. Ver registros de sucesos. Consultar el estado de comandos recientemente ejecutados. Ver y crear notificaciones.
Ver "Supervisar la proteccin de puntos finales" en la pgina 209. Ver "Usar la ficha Resumen de Supervisin" en la pgina 228. Informes Ejecute informes para conseguir informacin actualizada sobre el equipo y la actividad de red. Es posible hacer las siguientes tareas desde la pgina Informes:
Ejecutar informes rpidos. Ejecutar el Informe de resumen diario. Ejecutar el Informe de resumen semanal.
Ver "Crear informes rpidos" en la pgina 274. Ver "Supervisar la proteccin de puntos finales" en la pgina 209.
46
Inicio de la consola de Symantec Endpoint Protection Manager Qu que se puede hacer desde la consola
Pgina
Polticas
Descripcin
Visualice las polticas de seguridad que definen la configuracin de la tecnologa de proteccin. Es posible hacer las siguientes tareas desde la pgina Polticas:
Ver y ajustar la configuracin de la proteccin. Crear, editar, copiar y eliminar las polticas de seguridad. Asignar polticas de seguridad a los grupos de equipos. Configurar equipos cliente para LiveUpdate.
Ver "Cmo administrar el contenido para los clientes" en la pgina 140. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98. Clientes Administrar equipos y grupos. Es posible hacer las siguientes tareas desde la pgina Equipos:
Crear y eliminar los grupos. Editar propiedades de grupos. Consultar las polticas de seguridad que se asignan a los grupos. Ejecutar comandos en los grupos. Implementar software de cliente a los equipos en su red.
Ver "Cmo administrar los grupos de equipos" en la pgina 58. Administrador Administra la configuracin, las licencias y las cuentas de administrador de Symantec Endpoint Protection Manager. Es posible hacer las siguientes tareas desde la pgina Administrador:
Ver y editar la configuracin del correo electrnico y del servidor proxy. Ajustar la programacin de LiveUpdate.
Descargar las actualizaciones de contenido de LiveUpdate. Consultar el estado de LiveUpdate y las descargas recientes.
Ver "Administrar los dominios y las cuentas de administrador" en la pgina 322. Ver "Agregar una cuenta de administrador" en la pgina 329. Ver "Cmo administrar el contenido para los clientes" en la pgina 140.
Captulo
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center
En este captulo se incluyen los temas siguientes:
Acerca de Symantec Protection Center Arquitectura de Symantec Protection Center Cmo iniciar sesin en Symantec Protection Center El tablero de Symantec Protection Center Acerca de cmo administrar las cuentas de Symantec Protection Center Cmo configurar Symantec Protection Center para administrar productos Informes de Symantec Protection Center Acerca de la documentacin de Symantec Protection Center
48
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Arquitectura de Symantec Protection Center
Protection Center incluye un tablero centralizado que informa sobre la seguridad general de la red segn los productos que se hayan integrado. Ver "El tablero de Symantec Protection Center" en la pgina 51. Se integran productos admitidos en Protection Center mediante un proceso de registro. Una vez que se registran sus productos, debe iniciar sesin en Protection Center para administrarlos. Los productos se deben instalar y configurar por separado antes de que pueda registrarlos. Registrados o integrados, los productos an funcionan independientemente de Protection Center. Es posible administrar los productos juntos, en Protection Center, o por separado, en las consolas de productos individuales. Los productos integrados se compran por separado o como parte de un conjunto de aplicaciones. nicamente Symantec Endpoint Protection incluye Symantec Protection Center. Los siguientes productos pueden ser integrados en Protection Center:
Symantec Endpoint Protection Symantec Critical System Protection Symantec Web Gateway Symantec Brightmail Gateway Symantec Data Loss Prevention Symantec IT Analytics
Los productos y las versiones de producto compatibles con Symantec Protection Center pueden cambiar a lo largo del tiempo. Para obtener informacin reciente sobre los productos compatibles, consulte el sitio web de soporte tcnico de Symantec. Ver "Cmo configurar Symantec Protection Center para administrar productos" en la pgina 53. Ver "Cmo iniciar sesin en Symantec Protection Center" en la pgina 50. Ver "Arquitectura de Symantec Protection Center" en la pgina 48.
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Arquitectura de Symantec Protection Center
49
siendo diferentes. Protection Center no ofrece integracin de datos de varios productos. Ver "Acerca de Symantec Protection Center" en la pgina 47. Protection Center se comunica con productos integrados segn la configuracin de comunicacin que los productos individuales necesitan. Se especifica esta configuracin cuando se configura Protection Center para administrar sus productos. Ver "Cmo configurar Symantec Protection Center para administrar productos" en la pgina 53. Figura 3-1 Arquitectura de Symantec Protection Center
Symantec Protection Center (que se ejecuta en el mismo equipo que Symantec Endpoint Protection Manager)
50
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Cmo iniciar sesin en Symantec Protection Center
En Internet Explorer, vaya a https://<nombre de host>:9090, donde <nombre de host> es la direccin IP o el nombre del equipo del servidor donde Symantec Endpoint Protection Manager est instalado. Si Symantec Endpoint Protection Manager est instalado en este equipo, tambin se puede hacer clic en Inicio > Todos los programas > Symantec Endpoint Protection Manager > Acceso web de Symantec Endpoint Protection Manager.
Haga clic en el vnculo para iniciar Symantec Protection Center. Si aparece la advertencia del certificado de seguridad de la pgina web, haga clic en Vaya a este sitio web (no recomendado) y agregue el certificado autofirmado a Internet Explorer. Este mensaje significa que Internet Explorer no reconoce el sitio vinculado como seguro. Internet Explorer confa en los certificados de seguridad para determinar si un sitio es seguro. Para obtener instrucciones para agregar el certificado de seguridad a Internet Explorer, consulte el artculo de la base de conocimientos de soporte tcnico de Symantec Cmo agregar a Internet Explorer el certificado autofirmado para Symantec Protection Center o Symantec Endpoint Protection Manager.
Cuando se inicia sesin por primera vez con el nombre de usuario y la contrasea predeterminados, en la pgina Cambiar la contrasea, escriba la informacin necesaria. Documente su contrasea modificada y almacnela en una ubicacin segura. Es posible recuperar la contrasea solamente si se configura otra cuenta de administrador.
Ver "Acerca de cmo administrar las cuentas de Symantec Protection Center" en la pgina 51.
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center El tablero de Symantec Protection Center
51
Consolas de administracin de productos individuales Informes para sus productos Ver "Informes de Symantec Protection Center" en la pgina 55. Administracin de la configuracin para las cuentas y los productos integrados de Symantec Protection Center Ver "Acerca de cmo administrar las cuentas de Symantec Protection Center" en la pgina 51. Ver "Cmo configurar Symantec Protection Center para administrar productos" en la pgina 53.
52
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Acerca de cmo administrar las cuentas de Symantec Protection Center
Cuenta de administrador
Puede acceder a toda la funcionalidad del producto que se asocia con las cuentas de producto para esta cuenta de Protection Center Puede crear y eliminar las cuentas de Protection Center
Puede cambiar la configuracin de la cuenta de Protection Center para todas las cuentas. Esto incluye cambiar contraseas Puede agregar productos integrados a Protection Center para todas las cuentas
El registro del producto es especfico para cada cuenta de usuario de Protection Center. Es necesario registrar un conjunto de productos para cada usuario de Protection Center. El acceso que una cuenta de Protection Center proporciona a la funcionalidad individual del producto depende de la cuenta de producto que se usa para registrar el producto en Protection Center. Por ejemplo, se puede registrar Symantec Endpoint Protection Manager con una cuenta estndar de Protection Center usando una cuenta del administrador del sistema de Symantec Endpoint Protection Manager. El usuario de esta cuenta puede, entonces, realizar las siguientes tareas:
Modificar solamente la configuracin de su propia cuenta de Protection Center No puede crear otras cuentas de Protection Center de ningn tipo. Crear y modificar cualquier tipo de cuenta de Symantec Endpoint Protection Manager en la consola de Symantec Endpoint Protection Manager a la que acceda mediante Protection Center Realizar todas las tareas en Symantec Endpoint Protection Manager.
De modo semejante, se puede registrar Symantec Endpoint Protection Manager con una cuenta de administrador de Protection Center usando una cuenta de
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Cmo configurar Symantec Protection Center para administrar productos
53
administrador limitada de Symantec Endpoint Protection Manager. El usuario de esta cuenta puede, entonces, realizar las siguientes tareas:
Crear y modificar cualquier cuenta en Protection Center Realizar solamente tareas limitadas en Symantec Endpoint Protection Manager No puede crear o modificar ninguna cuenta de Symantec Endpoint Protection Manager.
Nota: Como mnimo, si se registra Symantec Endpoint Protection Manager con una cuenta de administrador limitada, la cuenta debe incluir derechos de elaboracin de informes. Ver "Cmo configurar Symantec Protection Center para administrar productos" en la pgina 53. Es posible cambiar la configuracin de la cuenta de Protection Center en cualquier momento. Una vez que se registra un producto en Symantec Protection Center, se puede cambiar fcilmente la configuracin del producto o quitar el producto en su totalidad. Ver "Acerca de Symantec Protection Center" en la pgina 47.
Si se debe requerir una conexin segura para la informacin de producto Puertos personalizados
54
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Cmo configurar Symantec Protection Center para administrar productos
Los nmeros de puerto predeterminado son 8014 para el inicio de sesin, el tablero y los informes del producto, y 8443 para la consola. Nota: Si usa una cuenta de administrador limitada para registrar Symantec Endpoint Protection Manager en Protection Center, la cuenta debe incluir los derechos de elaboracin de informes. Ver "Acerca de los administradores" en la pgina 326. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 332.
Nota: El registro del producto es especfico para cada cuenta de usuario de Protection Center. Es necesario registrar un conjunto de productos para cada cuenta de usuario de Protection Center. Ver "Acerca de cmo administrar las cuentas de Symantec Protection Center" en la pgina 51. Para configurar Protection Center para administrar productos
1 2
En el tablero de Symantec Protection Center o en la pgina principal de Configuracin, haga clic en Agregar un producto para administrar. Escriba la informacin solicitada en los campos que corresponda. Es necesario proporcionar la siguiente informacin:
Nombre para mostrar del nuevo producto Cualquier cadena que se desee usar para identificar el producto en Protection Center Tipo de producto Seleccione el producto de la lista desplegable. La direccin IP del servidor donde usted instal la versin del producto que desea registrar. Tambin es posible escribir un nombre de equipo. El nombre de usuario de la cuenta de administrador del producto La contrasea de la cuenta de administrador del producto
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Informes de Symantec Protection Center
55
Si personaliz alguna configuracin de comunicacin cuando instal el producto, haga clic en Configuracin de comunicacin del producto y especifique la configuracin apropiada. Haga clic en Probar conexin para asegurarse de que Protection Center puede comunicarse con su producto. Haga clic en Agregar producto.
4 5
56
Administracin de la consola de Symantec Endpoint Protection Manager con Symantec Protection Center Acerca de la documentacin de Symantec Protection Center
Captulo
Cmo administrar los grupos de equipos Cmo se pueden estructurar los grupos Adicin de un grupo Importacin de una estructura de organizacin existente Cambiar el nombre de un grupo Mover un grupo Ver las propiedades de un grupo Desactivar y activar la herencia de un grupo Cmo configurar y administrar clientes en grupos Acerca del modo de usuario y el modo de equipo Cmo asignar los equipos o los usuarios a los grupos antes de instalar el software de cliente Acerca de los grupos especificados en el paquete de instalacin de clientes Alternar un cliente entre modo de usuario y modo de equipo Convertir un cliente no administrado en un cliente administrado Bloquear clientes para que no se agreguen a grupos Mover clientes entre grupos
58
Visualizar el estado de los clientes y equipos cliente Cmo filtrar qu clientes se pueden ver en la ficha Clientes Cmo reiniciar los equipos cliente Ver las propiedades de un cliente Buscar informacin sobre clientes Configuracin de un cliente para detectar dispositivos desconocidos Ejecucin de comandos en clientes desde la consola
Si su organizacin ya tiene una estructura de grupos existentes, se pueden importar los grupos como unidades organizativas. Ver "Importacin de una estructura de organizacin existente" en la pgina 61.
Los subgrupos heredan la misma configuracin de seguridad del grupo principal de forma predeterminada. Es posible deshabilitar la herencia. Es posible deshabilitar la herencia entre un subgrupo y un grupo principal. Ver "Desactivar y activar la herencia de un grupo" en la pgina 65.
59
Tarea
Administrar polticas de seguridad para los grupos
Descripcin
Es posible crear polticas de seguridad segn las necesidades de cada grupo. Luego, es posible asignar diferentes polticas a diferentes grupos. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98.
Crear ubicaciones dentro de Es posible configurar los clientes para que cambien los grupos automticamente a una poltica de seguridad diferente si la ubicacin fsica de los clientes cambia. Ver "Cmo usar el reconocimiento de la ubicacin con grupos" en la pgina 85. Algunas opciones de configuracin de seguridad son especficas del grupo y otras, de la ubicacin. Es posible personalizar cualquier configuracin especfica de la ubicacin. Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 199. Ver las propiedades de un grupo Es posible ver los grupos para comprobar si los equipos cliente estn en el grupo correcto. Es posible, adems, comprobar la cantidad de polticas que se asignan al grupo. Ver "Ver las propiedades de un grupo" en la pgina 64. Mover un grupo Es posible mover un subgrupo a otro grupo si desea heredar automticamente las polticas del nuevo grupo. Ver "Mover un grupo" en la pgina 64. Agregar y administrar los equipos cliente Es posible administrar clientes del grupo. Por ejemplo, se pueden agregar clientes a un grupo, se puede ejecutar y supervisar la proteccin de puntos finales, y se puede ver informacin sobre los clientes. Ver "Cmo configurar y administrar clientes en grupos" en la pgina 65.
60
El grupo Mi empresa es el grupo de nivel superior o principal. Contiene un rbol plano de grupos secundarios. El Grupo predeterminado es un subgrupo de Mi empresa. Asignan los clientes primero al Grupo predeterminado cuando primero se registran en Symantec Endpoint Protection Manager, a menos que pertenezcan a un grupo predefinido. No es posible crear subgrupos en el Grupo predeterminado.
No es posible cambiarles el nombre o eliminar los grupos predeterminados. Es posible crear varios subgrupos para que coincidan con la estructura de organizacin de su empresa. Es posible basar su estructura de grupo en la funcin, el rol, la regin geogrfica o una combinacin de criterios. Tabla 4-2 Criterio
Funcin
Rol
Regin geogrfica
Combinacin Es posible crear los grupos segn una combinacin de criterios. Por ejemplo, se puede usar la funcin y el rol. Es posible agregar un grupo principal por rol y agregar subgrupos secundarios por la funcin, como en la siguiente situacin:
Ventas, con los subgrupos de equipos porttiles, de escritorio y servidores. Ingeniera, con subgrupos de equipos porttiles, de escritorio y servidores.
Por ejemplo, supongamos que una empresa tiene departamentos de televenta y de contabilidad. Estos departamentos tienen empleados en las oficinas de Nueva York, Londres y Frankfurt de la compaa. Todos los equipos de ambos departamentos estn asignados al mismo grupo de modo que reciban las actualizaciones de las definiciones de virus y de riesgo de seguridad de la misma fuente. Sin embargo, los informes de TI indican que el departamento de televenta es ms vulnerable a los riesgos que el departamento de contabilidad. Como
61
resultado, el administrador del sistema crea los grupos de televenta y de contabilidad por separado. Los clientes de televenta comparten las opciones de configuracin que limitan terminantemente cmo los usuarios pueden interactuar con la proteccin antivirus y contra riesgos de seguridad. Ver "Cmo administrar los grupos de equipos" en la pgina 58.
Adicin de un grupo
Es posible agregar grupos despus de definir la estructura de grupo para su organizacin. Las descripciones de grupo pueden tener hasta 1024 caracteres. Los nombres de grupo pueden contener cualquier carcter excepto los caracteres siguientes: [/\*? < > | :] Las descripciones del grupo no estn restringidas. Nota: No es posible agregar grupos al grupo predeterminado. Ver "Cmo se pueden estructurar los grupos" en la pgina 59. Para agregar un grupo
1 2 3 4 5
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione al grupo al que desea agregar un nuevo subgrupo. En la ficha Clientes, bajo Tareas, haga clic en Agregar grupo. En el cuadro de dilogo Agregar grupo para nombre de grupo, escriba el nombre de grupo y una descripcin. Haga clic en Aceptar.
62
Es posible asignar las polticas de seguridad a la OU importada. Es posible adems copiar usuarios de una unidad organizativa importada a otros grupos que se enumeren en el panel Ver clientes. Tiene prioridad la poltica que fue asignada a un grupo antes de importar el grupo. Una cuenta de usuario puede existir en la OU y en un grupo externo. Tiene prioridad la poltica que fue aplicada al grupo externo. Tabla 4-3 Tarea
Plan para importar las unidades organizativas
No es posible filtrar los usuarios de un servidor de Active Directory antes de que importe datos. Con los servidores LDAP, es posible filtrar los usuarios antes de importar datos. Por lo tanto, es posible agregar un servidor de Active Directory compatible con LDAP como servidor LDAP si es necesario filtrar los datos. Ver "Agregar servidores de directorios" en la pgina 356.
Sincronizar la informacin sobre cuentas de usuario y cuentas de equipo entre los servidores de directorios y Symantec Endpoint Protection Manager
Es posible importar y sincronizar la informacin sobre cuentas de usuario y cuentas de equipo entre los servidores de directorios y Symantec Endpoint Protection Manager. Ver "Sincronizacin de cuentas de usuario entre los servidores de directorios y Symantec Endpoint Protection Manager" en la pgina 357.
Cuando se importa la informacin sobre los usuarios al servidor de administracin, es necesario buscar usuarios en un servidor LDAP. Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 358.
63
Tarea
Descripcin
Importar usuarios de una lista de Es posible importar usuarios desde una lista de resultados de bsqueda del servidor de resultados de bsqueda de un servidor LDAP. directorios LDAP Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP" en la pgina 360. Importar las unidades organizativas de Es posible importar OU de un servidor de Active un servidor de Active Directory o de un Directory o de un servidor de directorios LDAP. servidor de directorios LDAP Ver "Importacin de unidades organizativas desde un servidor de directorios activo o LDAP" en la pgina 361. Importar la cuenta de usuario e informacin de cuenta de un equipo desde un servidor de LDAP Es posible importar la informacin de cuenta de usuario y de cuenta de equipo de un servidor de LDAP. Ver "Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP" en la pgina 358. Sincronizar las unidades organizativas Es posible sincronizar las OU. Ver "Acerca de la sincronizacin de unidades organizativas" en la pgina 362.
1 2
En la consola, haga clic en Clientes. En la ficha Clientes, bajo Ver clientes, haga clic con el botn secundario en el grupo cuyo nombre desea cambiar y, despus, haga clic en Cambiar nombre.
64
3 4
En el cuadro de dilogo Cambiar nombre de grupo para nombre de grupo, escriba el nuevo nombre de grupo. Haga clic en Aceptar.
Mover un grupo
Cualquier grupo junto con sus subgrupos, equipos y usuarios puede moverse de un nodo del rbol de grupos a otro. Sin embargo, ni el grupo Mi empresa ni el grupo predeterminado se pueden mover. Adems, no es posible mover los grupos del grupo predeterminado o mover un grupo bajo uno de sus subgrupos. Si un grupo utiliza una poltica heredada, adquiere la nueva poltica heredada del grupo al cual se mueve. Si tiene una poltica especfica aplicada, mantiene esa poltica despus del movimiento. Si no hay una poltica de grupo aplicada explcitamente al grupo que se mueve, utiliza la poltica de grupo del grupo de destino. Los clientes del grupo que se mueve utilizan el nuevo perfil. Ver "Cmo administrar los grupos de equipos" en la pgina 58. Para mover un grupo
1 2 3 4
En la consola, haga clic en Clientes. En la ficha Clientes, bajo Ver clientes, haga clic con el botn secundario en el grupo cuyo nombre desea mover y, despus, haga clic en Mover. En el cuadro de dilogo Mover grupo, seleccione el grupo del destino al cual desee mover el grupo. Haga clic en Aceptar.
65
1 2 3
En la consola, haga clic en Clientes. En el panel Ver clientes, elija el grupo cuyas propiedades desea ver. Haga clic en la ficha Detalles.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee desactivar o activar la herencia. Es posible seleccionar cualquier grupo excepto el grupo de nivel superior, Mi empresa.
En el panel nombre de grupo, en la ficha Polticas, realice una de las siguientes tareas:
Para desactivar la herencia, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Para activar la herencia, active Heredar polticas y configuracin del grupo principal " nombre de grupo" y despus haga clic en S cuando se le solicite para proceder.
66
Se conecta al servidor de administracin para recibir las ltimas polticas y opciones de configuracin. Aplica la configuracin en cada poltica al equipo. Ver "Acerca de los tipos de proteccin" en la pgina 36. Actualiza el contenido y las definiciones de virus y riesgos para la seguridad ms actuales en el equipo. Registra la informacin del cliente en sus registros y carga la informacin de los registros al servidor de administracin.
Es posible configurar clientes en Symantec Endpoint Protection Manager en un nmero de maneras diferentes. Tabla 4-4 Tarea Tareas relacionadas a los clientes que puede desear realizar Descripcin
Agregar clientes a los grupos Es posible aadir clientes a los grupos como usuarios o como equipos. Ver "Cmo asignar los equipos o los usuarios a los grupos antes de instalar el software de cliente" en la pgina 69. Ver "Acerca del modo de usuario y el modo de equipo" en la pgina 68. Ver el estado de clientes Es posible supervisar el estado operativo en tiempo real de los clientes en su red. Ver "Visualizar el estado de los clientes y equipos cliente" en la pgina 75. Ver las propiedades de un cliente Es posible ver las propiedades del hardware y de la red de cada cliente, como grupo, dominio, nombre de inicio de sesin y versin del software. Si ha activado la recopilacin de informacin de usuario, tambin se puede ver la informacin sobre el usuario actualmente conectado en el equipo. Ver "Ver las propiedades de un cliente" en la pgina 77. Filtrar los clientes que Es posible usar un filtro para controlar qu clientes aparecen aparecen en la ficha Clientes en la ficha Clientes. Esta funcin es particularmente til si tiene una gran cantidad de clientes. Ver "Cmo filtrar qu clientes se pueden ver en la ficha Clientes" en la pgina 76.
67
Tarea
Buscar informacin sobre clientes
Descripcin
Es posible buscar informacin sobre clientes, como la versin del sistema operativo y la versin de las definiciones de antivirus en uso en el equipo. Ver "Buscar informacin sobre clientes" en la pgina 78.
Es posible alternar clientes de usuarios a equipos o de equipos a usuarios. Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 71. Si un usuario instala el software de cliente desde un CD de instalacin, el cliente se instala como cliente no administrado y no se comunica con el servidor de administracin. Es posible convertir clientes autoadministrados en administrados. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 71.
Un nivel de control de usuario del cliente determina qu funciones de Proteccin contra amenazas de red y qu configuracin de interfaz de usuario del cliente estn disponibles para que los usuarios configuren. Ver "Modificar el nivel de control del usuario" en la pgina 179.
Es posible ejecutar comandos en un cliente o un grupo desde la consola. Ver "Ejecucin de comandos en clientes desde la consola" en la pgina 81.
Mover clientes de un grupo a otro Bloquear clientes para que no se agreguen a grupos
Es posible cambiar el grupo en el que se encuentra un cliente. Ver "Mover clientes entre grupos" en la pgina 74. Es posible evitar que se aada un cliente automticamente a un grupo. Es posible bloquear clientes si es necesario evitar que se aadan automticamente a un grupo especfico cuando se conectan a la red. Ver "Bloquear clientes para que no se agreguen a grupos" en la pgina 73.
68
Cmo administrar grupos y clientes Acerca del modo de usuario y el modo de equipo
Tarea
Configurar clientes para detectar los dispositivos no autorizados
Descripcin
Los clientes que se agregan en el modo de equipo se pueden activar como detectores no administrados y usar para detectar los dispositivos no autorizados. Ver "Configuracin de un cliente para detectar dispositivos desconocidos" en la pgina 79.
Descripcin
El cliente protege el equipo con las mismas polticas, sin importar qu usuario ha iniciado sesin en el equipo. La poltica sigue el grupo en el que se incluye el equipo. El modo de equipo es la configuracin predeterminada. Las polticas cambian, segn qu usuario ha iniciado sesin en el cliente. La poltica depende del usuario.
Modo de usuario
Ver "Cmo asignar los equipos o los usuarios a los grupos antes de instalar el software de cliente" en la pgina 69. Los clientes que se agregan en el modo de equipo se pueden activar como detectores no administrados y usar para detectar los dispositivos no autorizados. Ver "Configuracin de un cliente para detectar dispositivos desconocidos" en la pgina 79.
Cmo administrar grupos y clientes Cmo asignar los equipos o los usuarios a los grupos antes de instalar el software de cliente
69
Cmo asignar los equipos o los usuarios a los grupos antes de instalar el software de cliente
Una vez que se instala el software de cliente en un equipo, el cliente recibe las polticas del grupo que se especifica en el paquete de instalacin de clientes. Es posible que no desee que el cliente reciba las polticas de grupo del paquete. En cambio, se puede primero aadir un marcador de posicin para el cliente en un grupo seleccionado e instalar el software de cliente ms tarde. El cliente permanece en el grupo para el que usted aadi un marcador de posicin y no el grupo que se especifica en el paquete de instalacin de clientes. Ver "Acerca de los grupos especificados en el paquete de instalacin de clientes" en la pgina 70. Se aade al cliente segn el nombre de usuario o el nombre del equipo. No es posible aadir un cliente a ms de un grupo. Ver "Acerca del modo de usuario y el modo de equipo" en la pgina 68. Ver "Cmo configurar y administrar clientes en grupos" en la pgina 65. Nota: Asegrese de que el servidor de administracin no bloquee la adicin de clientes nuevos a un grupo. Ver "Bloquear clientes para que no se agreguen a grupos" en la pgina 73. Para obtener ms informacin sobre cmo instalar el software de cliente, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Ver "Implementar software de cliente con Buscar equipos no administrados" en la pgina 133. Para asignar los equipos o los usuarios a los grupos antes de instalar el software de cliente
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, ubique el grupo en el que desea agregar un cliente. En la ficha Clientes, bajo Tareas, realice una de las siguientes acciones:
Para el modo de usuario, haga clic en Agregar cuenta de usuario. Escriba el nombre de usuario. Si el usuario es parte de un dominio de Windows, escriba el nombre de dominio. Si el usuario es parte de un grupo de trabajo, haga clic en Equipo local de inicio de sesin.
70
Cmo administrar grupos y clientes Acerca de los grupos especificados en el paquete de instalacin de clientes
Para el modo de equipo, haga clic en Agregar cuenta de equipo. Escriba el nombre del equipo y despus escriba el nombre de dominio o el grupo de trabajo de Windows.
El grupo preferido no existe o se ha eliminado. El cliente est en el grupo predeterminado. El cliente es un nuevo cliente, pero el servidor bloquea la adicin del cliente a un grupo. El cliente est en el grupo predeterminado. Ver "Bloquear clientes para que no se agreguen a grupos" en la pgina 73. El cliente se registr previamente en otro grupo y se intenta mover el cliente a un nuevo grupo mediante el comando Exportar configuracin de comunicaciones. El cliente permanece en el grupo original. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 71.
Cmo administrar grupos y clientes Alternar un cliente entre modo de usuario y modo de equipo
71
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione al grupo que contiene el usuario o el equipo. En la ficha Clientes, haga clic con el botn secundario en el equipo o el nombre de usuario en la tabla y active Cambiar al modo de equipo o Cambiar al modo de usuario. Este modo es una configuracin que alterna entre una u otra opcin, as que siempre se visualiza una o la otra. La informacin de la tabla se modifica para reflejar la nueva configuracin.
72
Se exporta un archivo que incluye todas las opciones de comunicacin del grupo al que desea que pertenezca el cliente. El nombre predeterminado del archivo es nombre de grupo _sylink.xml. Se implementa el archivo en el equipo cliente. Es posible guardar el archivo en una ubicacin de red o enviarlo a un usuario individual en el equipo cliente. En el equipo cliente, usted o el usuario importa el archivo. No es necesario reiniciar el equipo cliente.
El cliente se conecta de forma inmediata al servidor de administracin. El servidor de administracin coloca al cliente en el grupo especificado en el archivo de comunicacin. El cliente se actualiza mediante las polticas y la configuracin del grupo. Una vez que el cliente y el servidor de administracin se comunican, el icono del rea de notificacin con el punto verde aparece en la barra de tareas del equipo cliente. Los clientes no administrados no estn protegidos por contrasea, as que el usuario no necesita una contrasea en el cliente. Sin embargo, si el usuario intenta importar un archivo en un cliente administrado que est protegido por contrasea, el usuario debe escribir una contrasea. La contrasea es la misma que se usa para importar o exportar una poltica. Ver "Proteger el cliente con contrasea" en la pgina 185. Tambin es posible que necesite redirigir un cliente administrado a otro servidor. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 206. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 194. Para exportar la configuracin de las comunicaciones del servidor
1 2 3 4 5 6
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo donde desea que aparezca el cliente. Haga clic con el botn secundario en el grupo y, despus, haga clic en Exportar configuracin de comunicaciones. En el cuadro de dilogo Exportar configuracin de comunicaciones para nombre de grupo, haga clic en Examinar. En el cuadro de dilogo Seleccionar archivo de exportacin, ubique la carpeta donde desee exportar el archivo .xml y, luego, haga clic en Aceptar. En el cuadro de dilogo Exportar configuracin de comunicaciones para nombre de grupo, seleccione una de las siguientes opciones:
Cmo administrar grupos y clientes Bloquear clientes para que no se agreguen a grupos
73
Para aplicar las polticas del grupo del cual el equipo es miembro, haga clic en Modo de equipo. Para aplicar las polticas del grupo del cual el equipo es miembro, haga clic en Modo de usuario.
Haga clic en Exportar. Si ya existe el nombre de archivo, haga clic en Aceptar para sobrescribirlo o en Cancelar para guardar el archivo con un nuevo nombre. Para finalizar la conversin, usted o un usuario debe importar la configuracin de comunicaciones en el equipo cliente.
1 2 3 4 5
Abra Symantec Endpoint Protection en el equipo que desee convertir en cliente administrado. En el sector superior derecho, haga clic en Ayuda y soporte y despus haga clic en Solucin de problemas. En el cuadro de dilogo Solucin de problemas, bajo Configuracin de comunicaciones, haga clic en Importar. En el cuadro de dilogo Importar configuracin de comunicaciones, localice el archivo nombre de grupo_sylink.xml y despus haga clic en Abrir. Haga clic en Cerrar para cerrar el cuadro de dilogo Solucin de problemas. Una vez que se importa el archivo de comunicaciones y el cliente y el servidor de administracin se comunican, el icono del rea de notificacin con el punto verde aparece en la barra de tareas del equipo. El punto verde indica que el cliente y el servidor de administracin estn comunicados.
74
Nota: La opcin de bloqueo evita que se agreguen usuarios a un grupo automticamente. Es posible bloquear un nuevo cliente para que no se agregue al grupo al que fue asignado en el paquete de instalacin de clientes. En este caso, el cliente se agrega al grupo predeterminado. Es posible mover manualmente un usuario o un equipo a un grupo bloqueado. Para bloquear clientes para que no se agreguen a grupos
1 2 3 4 5 6
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo cuyos nuevos clientes desea bloquear. Haga clic en la ficha Detalles. En la ficha Detalles, bajo Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Propiedades de grupo para nombre de grupo, haga clic en Bloquear nuevos clientes. Haga clic en Aceptar.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, ubique el grupo que contiene los clientes que desea mover. En la ficha Clientes, haga clic con el botn secundario en los clientes que desee mover y haga clic en Mover. Utilice la tecla Mays o Control para seleccionar todos los clientes o clientes especficos.
4 5
En el cuadro de dilogo Mover grupo: nombre de grupo, seleccione el grupo al que desee mover los clientes seleccionados. Haga clic en Aceptar.
Cmo administrar grupos y clientes Visualizar el estado de los clientes y equipos cliente
75
Muestra la informacin sobre el cliente, como el nmero de serie de la poltica del grupo y el nmero de versin del cliente. Indica si la Proteccin antivirus y antispyware, la Proteccin contra amenazas de red y Auto-Protect estn activados o desactivados. Adems, esta vista muestra la fecha y el nmero de revisin de las firmas y el contenido ms recientes.
Tecnologa de proteccin
Informacin de red Muestra la informacin sobre los componentes de red del equipo cliente, como la direccin MAC de la tarjeta de red que usa el equipo. Sistema del cliente Muestra la informacin del sistema sobre el equipo cliente, como la cantidad de espacio libre en el disco disponible y el nmero de versin del sistema operativo.
Una vez que se conoce el estado de un cliente determinado, es posible resolver cualquier problema de seguridad de los equipos cliente. Por ejemplo, es posible que deba descargar las ltimas definiciones de antivirus. O es posible ejecutar comandos de forma remota desde cada grupo, por ejemplo, Activar Auto-Protect. Ver "Ejecucin de comandos en clientes desde la consola" en la pgina 81. Tambin es posible ejecutar informes rpidos programados con la informacin de estado. Ver "Crear informes rpidos" en la pgina 274.
76
Cmo administrar grupos y clientes Cmo filtrar qu clientes se pueden ver en la ficha Clientes
Tambin es posible ver la mayor parte de esta informacin haciendo clic con el botn secundario en cada cliente y, a continuacin, en Propiedades. El nico campo que es posible editar es el campo Descripcin en la ficha General. Ver "Ver las propiedades de un cliente" en la pgina 77. Ver "Cmo filtrar qu clientes se pueden ver en la ficha Clientes" en la pgina 76. Para visualizar el estado de los clientes y equipos cliente
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, ubique el grupo que contiene los clientes de los cuales desea obtener informacin. En la ficha Clientes, haga clic en la lista desplegable Ver y despus seleccione una categora. Es posible ir directamente a una pgina determinada escribiendo el nmero de pgina en el cuadro de texto, en la esquina derecha inferior.
1 2 3 4
En la consola, haga clic en Clientes. En el panel Ver clientes, elija el grupo en el que desea buscar. En la ficha Clientes, en Tareas, haga clic en Cambiar la vista de clientes. En el cuadro de dilogo Cambiar la vista de clientes, en Tipo de plataforma, seleccione si desea mostrar los equipos con Windows, los equipos con Mac o ambos. Ver "Acerca del modo de usuario y el modo de equipo" en la pgina 68.
En Tipo de cuenta, seleccione si desea mostrar los clientes en modo de usuario o en modo de equipo.
77
Equipos o usuarios nuevos que no tienen el software de cliente instalado Estado de conexin
Para acortar la lista, haga clic en Resultados por pgina y escriba el nmero de resultados para mostrar en cada pgina. Los valores vlidos van de 1 a 1000.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Clientes, seleccione un grupo. En la ficha Clientes, seleccione un cliente, haga clic con el botn secundario en Ejecutar comando en el grupo y, despus, haga clic en Reiniciar equipos cliente.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Clientes, seleccione un grupo, haga clic con el botn secundario en Ejecutar comando en el grupo y, despus, haga clic en Reiniciar equipos cliente.
General Visualiza la informacin sobre el grupo, el dominio, el nombre de inicio de sesin y la configuracin de hardware del equipo. Red
78
Muestra la informacin sobre el servidor DNS, el servidor DHCP, el servidor WINS y la direccin IP del equipo.
Clientes Visualiza la informacin que se recopila del equipo cliente. Esta informacin incluye el tipo de cliente que se ejecuta en el equipo. Adems, enumera informacin especfica del software y de las polticas. Esta informacin incluye la versin del software del cliente, el nmero de serie del perfil actual, el nmero de serie de la firma actual y la ltima vez que estuvo en lnea. Informacin del usuario Visualiza la informacin sobre la persona que inici sesin actualmente el equipo. Se completa esta informacin cuando el administrador elige habilitar la recopilacin de informacin del usuario.
Ver "Recopilar informacin de usuarios" en la pgina 131. Para ver las propiedades de un cliente
1 2 3 4 5 6
En la consola, haga clic en Clientes. En el panel Ver clientes, elija el grupo con los clientes cuyas propiedades desea ver. En la ficha Clientes, seleccione el cliente. Bajo Tareas, haga clic en Editar propiedades. En el cuadro de dilogo nombre de cliente, es posible ver la informacin sobre el cliente. Haga clic en Aceptar.
Cmo administrar grupos y clientes Configuracin de un cliente para detectar dispositivos desconocidos
79
Nota: Para buscar la mayor parte de la informacin sobre los usuarios, es necesario recopilar la informacin del usuario durante la instalacin del software de cliente o despus. Esta informacin de usuario tambin se visualiza en la ficha General y la ficha Informacin del usuario en el cuadro de dilogo Editar propiedades del cliente. Ver "Recopilar informacin de usuarios" en la pgina 131. Ver "Ver las propiedades de un grupo" en la pgina 64. Para buscar informacin sobre usuarios, clientes y equipos
1 2 3 4 5 6 7 8
En la consola, haga clic en Clientes. En la ficha Clientes, bajo Ver clientes, elija el grupo que desea buscar. Bajo Tareas, haga clic en Buscar clientes. En el cuadro de dilogo Buscar clientes, en la lista desplegable Buscar, haga clic en Equipos o Usuarios. Haga clic en Examinar para seleccionar un grupo que no sea el grupo predeterminado. En el cuadro de dilogo Seleccionar grupo, seleccione el grupo y haga clic en Aceptar. Bajo Criterios de bsqueda, haga clic en la lista desplegable Campo de bsqueda y, a continuacin, seleccione los criterios mediante los cuales desea buscar. Haga clic en la lista desplegable Operador de comparacin y, luego, seleccione un operador de comparacin. Es posible utilizar operadores booleanos estndar en sus criterios de bsqueda.
80
Cmo administrar grupos y clientes Configuracin de un cliente para detectar dispositivos desconocidos
dispositivos desconocidos son dispositivos no administrados que no ejecutan el software de cliente. Es necesario determinar si los dispositivos son seguros. Es posible activar cualquier cliente como detector no administrado para detectar dispositivos desconocidos. Cuando un dispositivo se inicia, su sistema operativo enva trfico ARP a la red para permitir a otros equipos saber de la presencia del dispositivo. Un cliente activado como detector no administrado recopila y enva informacin del paquete ARP al servidor de administracin. El servidor de administracin busca el paquete ARP a fin de detectar la direccin MAC y la direccin IP del dispositivo. El servidor compara estas direcciones con la lista de direcciones MAC y direcciones IP existentes de la base de datos de servidor. Si el servidor no puede encontrar una direccin que coincida, este registra el dispositivo como nuevo. De esta manera, es posible decidir si el dispositivo es seguro. Debido a que el cliente solo transmite informacin, no usa recursos adicionales. Es posible configurar el detector no administrado para ignorar ciertos dispositivos, como una impresora. Tambin es posible configurar notificaciones de correo electrnico para recibir notificaciones cuando el detector no administrado detecta un dispositivo desconocido. Para configurar el cliente como detector no administrado, realice las siguientes tareas:
Active la proteccin contra amenazas de red. Ver "Activar y desactivar Proteccin contra amenazas de red" en la pgina 552. Cambie el cliente al modo de equipo. Ver "Alternar un cliente entre modo de usuario y modo de equipo" en la pgina 71. Instale el cliente en un equipo que se ejecute todo el tiempo. Active solamente a clientes de Symantec Endpoint Protection como detectores no administrados. Un detector no administrado no puede ser cliente de Symantec Network Access Control.
1 2 3
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo que contiene el cliente que desea activar como detector no administrado. En la ficha Clientes, haga clic con el botn secundario en el cliente que desee activar como detector no administrado y, a continuacin, haga clic en Activar como detector no administrado.
81
4 5 6
Para especificar uno o ms dispositivos para exclusin de la deteccin por el detector no administrado, haga clic en Configurar detector no administrado. En el cuadro de dilogo Excepciones del detector no administrado para nombre del cliente, haga clic en Agregar. En el cuadro de dilogo Agregar excepcin de detector no administrado, haga clic en una de las siguientes opciones:
Excluir la deteccin de un intervalo de direcciones IP y, a continuacin, escriba el intervalo de direcciones IP para varios dispositivos. Excluir la deteccin de una direccin MAC y escriba la direccin MAC del dispositivo.
7 8
1 2 3 4
En la consola, haga clic en Pgina principal. En la Pgina principal, en la seccin Estado de seguridad, haga clic en Ms detalles. En el cuadro de dilogo Detalles del estado de seguridad, desplcese a la tabla Errores de dispositivos desconocidos. Cierre el cuadro de dilogo. Tambin es posible visualizar una lista de dispositivos no autorizados en la ficha Equipos desconocidos del cuadro de dilogo Buscar equipos no administrados. Para obtener ms informacin, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control.
82
Es posible configurar un administrador limitado para tener derechos a alguno o a ninguno de estos comandos. De forma predeterminada, un administrador limitado tiene derechos a todos los comandos excepto Reiniciar equipos cliente. Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 332. Nota: Todos los comandos enumerados se muestran en la interfaz de usuario de la consola. Sin embargo, los equipos cliente de Mac no reconocen algunos de ellos. Tabla 4-6 Comandos
Anlisis
Actualiza el contenido en clientes iniciando una sesin de LiveUpdate en los clientes. Los clientes reciben el contenido ms reciente de Symantec LiveUpdate. Ver "Cmo ejecutar LiveUpdate en un cliente desde la consola" en la pgina 174.
Actualizar contenido y Actualiza el contenido iniciando una sesin de LiveUpdate y analizar ejecuta un anlisis manual en clientes. Ver "Cmo ejecutar LiveUpdate en un cliente desde la consola" en la pgina 174. Reiniciar equipos cliente Reinicia los clientes. Ver "Cmo reiniciar los equipos cliente" en la pgina 77.
Habilitar Auto-Protect Habilita Auto-Protect para el sistema de archivos en los clientes. Ver "Habilitar Auto-Protect para el sistema de archivos" en la pgina 478. Habilitar Proteccin contra amenazas de red Habilita la Proteccin contra amenazas de red en los clientes. Ver "Activar y desactivar Proteccin contra amenazas de red" en la pgina 552.
83
Comandos
Deshabilitar Proteccin contra amenazas de red
Descripcin
Deshabilita la Proteccin contra amenazas de red en los clientes. Ver "Activar y desactivar Proteccin contra amenazas de red" en la pgina 552.
84
Captulo
Cmo usar el reconocimiento de la ubicacin con grupos Cmo habilitar el reconocimiento de la ubicacin para un cliente Adicin de una ubicacin con un asistente Adicin de una ubicacin sin un asistente Cmo cambiar una ubicacin predeterminada Editar el nombre y la descripcin de la ubicacin de un grupo Eliminar la ubicacin de un grupo
Es conveniente aadir varias ubicaciones que reflejen las clases siguientes de conexiones:
86
Administrar las ubicaciones de un grupo Cmo usar el reconocimiento de la ubicacin con grupos
Conexiones inalmbricas dentro de la oficina. Conexiones que no sean inalmbricas dentro de la oficina. Conexiones de ubicaciones corporativas remotas fuera de la oficina. Conexiones VPN fuera de la oficina.
Se agregan ubicaciones despus de que se han configurado todos los grupos que es necesario administrar. Cada grupo puede tener diversas ubicaciones, si su estrategia de seguridad lo necesita. En la consola de Symantec Endpoint Protection Manager, se pueden configurar las condiciones que activan la conmutacin de polticas automtica basada en la ubicacin. Cuando se activa el reconocimiento de la ubicacin, se aplica automticamente la mejor poltica de seguridad a un cliente o a un servidor sobre la base de la ubicacin de la cual un usuario se conecta. Puede agregar un grupo de condiciones a las ubicaciones de cada grupo que selecciona automticamente las polticas de seguridad correctas para un entorno de usuario. Estas condiciones se basan en criterios, como la configuracin de red del equipo desde el cual fue iniciada la solicitud de acceso de red. Una direccin IP, una direccin MAC o la direccin de un servidor de directorios pueden tambin funcionar como condicin. Si modifica una poltica de seguridad en la consola, el servidor de administracin actualiza la poltica en el cliente o el cliente descarga la poltica. Si la ubicacin actual no es vlida despus de la actualizacin, el cliente:
Es posible personalizar la poltica y la configuracin de cada ubicacin. Por ejemplo, las polticas para una ubicacin de oficina pueden no necesitar ser tan estrictas como las polticas para un VPN o una ubicacin domstica. Se utiliza la poltica asociada a la ubicacin predeterminada cuando el usuario est ya detrs de un firewall corporativo. Cuando crea una ubicacin, sta se aplica al grupo para el cual usted la cre y a cualquier grupo que herede del grupo principal. Es necesario crear las ubicaciones que se propone aplicar a todos los clientes en el nivel de grupo de Mi empresa. Es posible crear algunas ubicaciones que sean especficas a un grupo determinado. Por ejemplo, en la mayora de las empresas, todos los clientes necesitan una ubicacin predeterminada que se agrega automticamente al grupo Mi empresa. Sin embargo, no todos los clientes necesitan una conexin VPN. Es posible configurar un grupo aparte que se llame Teletrabajadores para los clientes que necesitan una conexin VPN. Se agrega la ubicacin VPN al grupo Teletrabajadores, adems de a la ubicacin heredada de oficina. Los clientes de ese grupo pueden entonces utilizar las polticas asociadas a las ubicaciones de oficina o VPN.
Administrar las ubicaciones de un grupo Cmo usar el reconocimiento de la ubicacin con grupos
87
Planear ubicaciones
Para controlar las polticas que se asignan a los clientes segn la ubicacin desde la que se conectan los clientes, se puede activar el reconocimiento de la ubicacin. Ver "Cmo habilitar el reconocimiento de la ubicacin para un cliente" en la pgina 89.
Agregar ubicaciones
Es posible aadir ubicaciones a los grupos. Ver "Adicin de una ubicacin con un asistente" en la pgina 90. Ver "Adicin de una ubicacin sin un asistente" en la pgina 92.
Todos los grupos deben tener una ubicacin predeterminada. Cuando se instala la consola, solamente hay una ubicacin, llamada Predeterminado. Cuando se crea un nuevo grupo, su ubicacin predeterminada es siempre Predeterminado. Es posible modificar la ubicacin predeterminada ms tarde despus de agregar otras ubicaciones. Se utiliza la ubicacin predeterminada si uno de los siguientes casos ocurren: Una de las varias ubicaciones cumple los criterios de la ubicacin y la ltima ubicacin no cumple los criterios de la ubicacin. Se utiliza el reconocimiento de ubicacin y ninguna ubicacin cumple los criterios. La ubicacin cambia de nombre o se modifica en la poltica. El cliente vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
88
Administrar las ubicaciones de un grupo Cmo usar el reconocimiento de la ubicacin con grupos
Tareas
Descripcin
Configurar la Es posible tambin configurar las opciones de comunicacin configuracin de entre un servidor de administracin y el cliente segn la comunicaciones para las ubicacin. ubicaciones Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 199. Editar las propiedades de Es posible editar algunas propiedades de las ubicaciones. las ubicaciones Ver "Editar el nombre y la descripcin de la ubicacin de un grupo" en la pgina 94. Eliminar ubicaciones Es posible eliminar cualquier ubicacin que sea obsoleta o que ya no sea til en su red. Ver "Eliminar la ubicacin de un grupo" en la pgina 94.
Desde qu ubicaciones se estn conectando los usuarios? Considere qu ubicaciones necesitan ser creadas y cmo etiquetar cada una. Por ejemplo, los usuarios pueden conectarse en la oficina, desde su domicilio, desde un sitio de cliente o desde otro sitio remoto tal como un hotel durante un viaje. Puede ser necesario agregar ubicaciones posteriormente en un sitio grande. Se debe configurar el reconocimiento de ubicacin para cada ubicacin? Cmo quiere identificar la ubicacin si usa el reconocimiento de ubicacin? Es posible identificar la ubicacin a partir de direcciones IP, WINS, DHCP o direcciones de servidor DNS, conexiones de red y otros criterios. Si identifica la ubicacin por la conexin de red, qu tipo de conexin es? Por ejemplo, la conexin de red puede ser una conexin a Symantec Endpoint Protection Manager, acceso telefnico a redes o a una marca determinada de servidor VPN.
Administrar las ubicaciones de un grupo Cmo habilitar el reconocimiento de la ubicacin para un cliente
89
Quieren que los clientes que se conectan a esta ubicacin utilicen un tipo especfico de control, tal como control de servidor, control mixto o control del cliente? Desea aplicar el control de integridad del host en cada ubicacin? O desea omitirlo en cualquier momento, por ejemplo, cuando no est conectado a Symantec Endpoint Protection Manager? Qu aplicaciones y servicios se deben permitir en cada ubicacin? Es necesario que la ubicacin utilice las mismas opciones de comunicacin que las otras ubicaciones del grupo o utilice una configuracin diferente? Es posible configurar opciones de comunicacin nicas para una ubicacin.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee implementar la conmutacin automtica de ubicaciones.
90
En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible modificar solamente las opciones independientes de la ubicacin para los grupos que no hayan heredado esas polticas y opciones de un grupo principal.
4 5
Bajo Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. En el cuadro de dilogo Configuracin general, en la ficha Configuracin general, bajo Configuracin de ubicacin, active Recordar la ltima ubicacin. De forma predeterminada, esta opcin est activada. Se asigna inicialmente el cliente a la poltica asociada con la ubicacin desde la que el cliente se conect por ltima vez a la red.
Active Activar reconocimiento de ubicacin. De forma predeterminada, se activa el reconocimiento de ubicacin. El cliente se asigna automticamente a la poltica asociada a la ubicacin desde la cual el usuario intenta conectarse a la red.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual se desee agregar una o ms ubicaciones.
91
En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible agregar ubicaciones solamente a los grupos que no heredan polticas del grupo principal.
4 5 6 7
Bajo Tareas, haga clic en Agregar ubicacin. En el panel Bienvenido al Asistente para agregar ubicaciones, haga clic en Siguiente. En el panel Especificar el nombre de la ubicacin, escriba un nombre y una descripcin para la nueva ubicacin y haga clic en Siguiente. En el panel Especificar una condicin, seleccione cualquiera de las siguientes condiciones bajo las cuales un cliente conmutar de una ubicacin a otra:
No hay ninguna condicin especfica Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si hay varias ubicaciones disponibles. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si su direccin IP est incluida en el intervalo especificado. Es necesario especificar la direccin IP inicial y final. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se especifican su mscara de subred y su direccin de subred. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al servidor DNS especificado. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al nombre de dominio especificado y direccin de resolucin DNS. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al servidor de administracin especificado.
Intervalo de direcciones IP
Servidor DNS
92
Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al tipo especificado de conexin de red. El cliente pasa a esta ubicacin al usar una de las siguientes conexiones:
Cualquier red Acceso telefnico a redes Ethernet Inalmbrico VPN-1 de Check Point VPN de Cisco VPN PPTP de Microsoft VPN de Juniper NetScreen VPN de Nortel Contivity VPN de SafeNet SoftRemote VPN SSL de Aventail VPN SSL de Juniper
8 9
Haga clic en Siguiente. En el panel Finaliz el Asistente para agregar ubicaciones, haga clic en Finalizar.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual se desee agregar una o ms ubicaciones. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible agregar solamente ubicaciones a los grupos que no heredan polticas de un grupo ms alto.
93
5 6 7 8
En el cuadro de dilogo Administrar ubicaciones, bajo Ubicaciones, haga clic en Agregar. En el cuadro de dilogo Agregar ubicacin, escriba el nombre y la descripcin de la nueva ubicacin y despus haga clic en Aceptar. En el cuadro de dilogo Administrar ubicaciones, al lado de Pasar a esta ubicacin cuando, haga clic en Agregar. En el cuadro de dilogo Especificar criterios de ubicacin, de la lista Tipo, seleccione y defina una condicin. El equipo cliente pasa a la ubicacin si el equipo tiene la condicin especificada.
Haga clic en Aceptar. haga clic en Agregar y despus seleccione Criterios con relacin Y o Criterios con relacin O.
Una de las varias ubicaciones cumple los criterios de la ubicacin y la ltima ubicacin no cumple los criterios de la ubicacin. Se utiliza el reconocimiento de ubicacin y ninguna ubicacin cumple los criterios. La ubicacin cambia de nombre o se modifica en la poltica. El cliente vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
94
1 2 3 4 5 6
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, haga clic en el grupo al cual desee asignar una ubicacin predeterminada diferente. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrarubicaciones, bajo Ubicaciones, seleccione la ubicacin que desea establecer como ubicacin predeterminada. Bajo Descripcin, active Establecer esta ubicacin como ubicacin predeterminada en caso de conflicto. La ubicacin Predeterminada es siempre la ubicacin predeterminada hasta que se asigne otra al grupo.
1 2 3 4 5 6
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, haga clic en el grupo cuyo nombre y descripcin se desea editar. En la ficha Polticas, en el panel de Tareas, haga clic en Administrar ubicaciones. En el cuadro de texto Nombre de ubicacin, edite el nombre de la ubicacin. En el cuadro de texto Descripcin, edite la descripcin de la ubicacin. Haga clic en Aceptar.
95
Ver "Cmo usar el reconocimiento de la ubicacin con grupos" en la pgina 85. Para eliminar una ubicacin
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo que contiene la ubicacin que desea eliminar. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible eliminar ubicaciones solamente de los grupos que no heredan polticas de sus grupos principales.
4 5
En la pgina Clientes, bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrarubicaciones, bajo Ubicaciones, seleccione la ubicacin que desea eliminar y despus haga clic en Eliminar. No es posible eliminar la ubicacin configurada como ubicacin predeterminada.
96
Captulo
Cmo usar las polticas para administrar la seguridad de red Acerca de las polticas compartidas y no compartidas Acerca de agregar polticas Editar una poltica Asignar una poltica compartida Retirar una poltica Eliminar una poltica Exportar una poltica Importar una poltica Acerca de copiar polticas Copiar una poltica compartida en la pgina Poltica Copiar una poltica compartida o no compartida en la pgina Clientes Pegar una poltica Copiar y pegar una poltica de grupo Reemplazar una poltica Cmo copiar una poltica compartida para convertirla en una poltica no compartida Convertir una copia de una poltica compartida en una poltica no compartida Acerca de actualizar las polticas en los clientes
98
Trabajar con polticas Cmo usar las polticas para administrar la seguridad de red
Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido Ver el nmero de serie de polticas Realizacin de una actualizacin de polticas manual para comprobar el nmero de serie de polticas Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
Nombre de poltica
Antivirus y antispyware
Firewall
Prevencin de intrusiones
Trabajar con polticas Cmo usar las polticas para administrar la seguridad de red
99
Nombre de poltica
Integridad del host
Descripcin
Ayuda a definir, restaurar e imponer la seguridad de los clientes para mantener las redes empresariales y los datos seguros. Protege recursos del sistema contra aplicaciones y administra dispositivos perifricos que pueden conectarse a los equipos. Especifica los equipos que los clientes contactan para comprobar si hay actualizaciones. Adems, especifica la programacin que define cuntas veces los clientes comprueban si hay actualizaciones. Especifica las excepciones a funciones de polticas determinadas que desee aplicar. No hay una poltica predeterminada.
LiveUpdate
Excepciones centralizadas
Es posible realizar un nmero de diversas tareas que son comunes a todos los tipos de polticas. Tabla 6-2 Tarea
Agregar una poltica
100
Trabajar con polticas Cmo usar las polticas para administrar la seguridad de red
Tarea
Asignar una poltica
Descripcin
Para poner una poltica en uso, se la debe asignar a uno o ms grupos o ubicaciones. Ver "Asignar una poltica compartida" en la pgina 106.
De acuerdo con el ancho de banda disponible, se puede configurar un cliente para usar el modo de transferencia o el modo de extraccin como mtodo de actualizacin. Ver "Acerca de actualizar las polticas en los clientes" en la pgina 117. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 118.
Es posible reemplazar una poltica compartida con otra poltica compartida. Es posible substituir la poltica compartida en todas las ubicaciones o en una ubicacin. Ver "Reemplazar una poltica" en la pgina 114.
En vez de aadir una nueva poltica, es conveniente copiar una poltica existente para usar como la base para la nueva poltica. Ver "Acerca de copiar polticas" en la pgina 111. Ver "Copiar y pegar una poltica de grupo" en la pgina 113. Ver "Pegar una poltica" en la pgina 113. Ver "Copiar una poltica compartida o no compartida en la pgina Clientes" en la pgina 112. Ver "Copiar una poltica compartida en la pgina Poltica" en la pgina 111.
Es posible importar una poltica compartida o no compartida y aplicarla a un grupo o a una ubicacin especfica. Ver "Importar una poltica" en la pgina 111.
Es posible exportar una poltica existente si desea usarla en un sitio diferente. Ver "Exportar una poltica" en la pgina 110.
101
Tarea
Convertir una poltica compartida en una poltica no compartida
Descripcin
Es posible copiar el contenido de una poltica compartida y crear una poltica no compartida de ese contenido. Una copia le permite modificar el contenido de una poltica compartida en una ubicacin y no en el resto de las ubicaciones. La copia anula la poltica no compartida existente. Ver "Convertir una copia de una poltica compartida en una poltica no compartida" en la pgina 116. Es posible convertir una poltica compartida a una poltica no compartida si la poltica ya no se aplica a todos los grupos o a todas las ubicaciones. Cuando finaliza la conversin, la poltica convertida con su nuevo nombre aparece bajo Configuracin y polticas especficas de la ubicacin. Ver "Cmo copiar una poltica compartida para convertirla en una poltica no compartida" en la pgina 115.
Si no desea eliminar una poltica, pero ya no desea usarla, se la puede retirar. Es posible retirar cualquier tipo de poltica excepto una poltica antivirus y antispyware y una Poltica de configuracin de LiveUpdate. Ver "Retirar una poltica" en la pgina 107.
Si una poltica ya no es til, se la puede eliminar. Ver "Eliminar una poltica" en la pgina 108.
102
han asignado varias ubicaciones a un grupo. Los usuarios pueden necesitar conectarse a una red de empresa desde diferentes ubicaciones cuando estn en la oficina o cuando estn en sus casas. Es posible que sea necesario aplicar una poltica diferente con su propio grupo de normas y opciones a cada ubicacin. Se aplica una poltica separada a cada grupo de usuarios o equipos. Los usuarios remotos generalmente usan DSL e ISDN para los cuales puede ser necesaria una conexin VPN. Otros usuarios remotos pueden querer utilizar el acceso telefnico cuando se conectan a la red de la empresa. Los empleados que trabajan en la oficina tpicamente utilizan una conexin de Ethernet. Sin embargo, los grupos de ventas y marketing pueden adems utilizar conexiones inalmbricas. Cada uno de estos grupos puede necesitar sus propias polticas de firewall para las ubicaciones desde las cuales se conectan a la red de la empresa. Sera aconsejable aplicar una poltica restrictiva con respecto a la instalacin de aplicaciones no certificadas en la mayora de las estaciones de trabajo de los empleados para proteger la red de la empresa contra ataques. El grupo de TI puede necesitar acceso a aplicaciones adicionales. Por lo tanto, este grupo puede necesitar una poltica de seguridad menos restrictiva que los empleados tpicos. En este caso, es posible crear una poltica de firewall diferente para el grupo de TI. Cuando se crea una nueva poltica, se comienza por las normas predeterminadas y la configuracin de seguridad y, a continuacin, se edita la poltica para personalizarla. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98.
Basar una nueva poltica en una poltica existente. Crear una nueva poltica. Importar una poltica desde una poltica previamente exportada.
Ver "Agregar una poltica compartida" en la pgina 103. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98.
103
1 2 3 4 5 6
En la consola, haga clic en Polticas. Bajo Ver polticas, seleccione uno de los tipos de polticas. En Tareas, haga clic en Agregar un tipo de poltica Poltica. En la pgina Poltica de tipo de poltica, en el panel Descripcin general, escriba el nombre y la descripcin de la poltica. Si no lo ha hecho antes, marque Habilitar esta poltica. En el panel Descripcin general, seleccione una de las siguientes vistas:
Vista de rbol Las polticas asignadas a los grupos y a las ubicaciones se representan como iconos. Las polticas asignadas a los grupos y a las ubicaciones se representan en una lista.
Vista de lista
7 8 9
Para configurar la poltica, en Ver polticas, haga clic en un tipo de polticas, como la proteccin antivirus y antispyware. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar. En el cuadro de dilogo Asignar poltica, realice una de las siguientes acciones:
Para asignar la poltica a un grupo o a una ubicacin ahora, haga clic en S y despus vaya al paso 10. Para asignar la poltica a un grupo o a una ubicacin ms tarde, haga clic en No. Ver "Asignar una poltica compartida" en la pgina 106.
Es necesario asignar la poltica a un grupo o a una ubicacin, o los equipos cliente no reciben la poltica.
104
1 2 3 4
En el asistente Agregar poltica para nombre de la ubicacin, seleccione el tipo de poltica que desea agregar y despus haga clic en Siguiente. Haga clic en Crear una nueva poltica y despus haga clic en Siguiente. En el panel Descripcin general de tipo de poltica, escriba el nombre y la descripcin de la poltica. Para configurar la poltica, bajo Ver polticas, haga clic en uno de los siguientes tipos de polticas:
Antivirus y proteccin contra Ver "Acerca de trabajar con polticas antivirus y software espa antispyware" en la pgina 435. Firewall Ver "Acerca de trabajar con polticas de firewall" en la pgina 514. Ver "Acerca del uso de Polticas de prevencin de intrusiones" en la pgina 541. Ver "Acerca de trabajar con control de aplicaciones y dispositivos " en la pgina 602.
Prevencin de intrusiones
Ver "Acerca de las polticas de LiveUpdate" en la pgina 151. Ver "Acerca de la utilizacin de polticas de excepciones centralizadas" en la pgina 640.
Excepciones centralizadas
Agregar una nueva poltica no compartida desde una poltica existente en la pgina Clientes
Es posible agregar una nueva poltica no compartida desde una poltica existente en la pgina Clientes. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98.
105
Para agregar una nueva poltica no compartida desde una poltica existente en la pgina Clientes
1 2 3 4
En el asistente Agregar poltica para nombre de la ubicacin, seleccione el tipo de poltica que desea agregar y despus haga clic en Siguiente. Haga clic en Usar una poltica compartida existente y despus haga clic en Siguiente. En el cuadro de dilogo Agregar poltica, seleccione una poltica existente de la lista desplegable Poltica. Haga clic en Aceptar.
Agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes
Es posible agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98. Para agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes
1 2 3 4
En el asistente Agregar poltica para nombre de la ubicacin, seleccione el tipo de poltica que desea agregar y despus haga clic en Siguiente. Haga clic en Importar una poltica de un archivo de polticas y despus haga clic en Siguiente. En el cuadro de dilogo Importar poltica, busque el archivo .dat que fue exportado previamente. Haga clic en Importar.
106
1 2 3 4 5 6
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea editar. Bajo Tareas, haga clic en Editar la poltica. En el panel Descripcin general de tipo de poltica, edite el nombre y la descripcin de la poltica, si es necesario. Para editar la poltica, haga clic en cualquiera de las pginas de poltica tipo de poltica para las polticas.
1 2
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee editar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible editar una poltica.
4 5 6 7
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee editar. Localice la poltica especfica para la ubicacin que desee editar. A la derecha de la poltica seleccionada, haga clic en Tareas y despus haga clic en Editar poltica. Realice una de las tareas siguientes:
Para editar una poltica no compartida, vaya al paso 8. Para editar una poltica compartida, en el cuadro de dilogo Editar poltica, haga clic en Editar compartidas para editar la poltica en todas las ubicaciones.
Es posible hacer clic en un vnculo para el tipo de poltica que desee editar.
107
descargan a los equipos cliente en grupos y ubicaciones. Si no asigna la poltica cuando se agrega la poltica, es posible asignarla a grupos y ubicaciones ms tarde. Es posible tambin reasignar una poltica a un grupo o ubicacin diferente. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98. Para asignar una poltica compartida
Cree una poltica compartida. Ver "Agregar una poltica compartida" en la pgina 103.
2 3 4 5 6 7
En la pgina Polticas, bajo Ver polticas, seleccione el tipo de poltica que desea asignar. En el panel Polticas de tipo de poltica, seleccione la poltica especfica que desea asignar a . En la pgina Polticas, bajo Tareas, haga clic en Asignar la poltica. En el cuadro de dilogo Asignar poltica de tipo de poltica, active los grupos y las ubicaciones a los cuales desee asignar la poltica. Haga clic en Asignar. Haga clic en S para confirmar que desea asignar la poltica.
Nota: Es necesario retirar una poltica de todos los grupos y ubicaciones para eliminarla. No es posible retirar una poltica antivirus y antispyware ni una poltica de LiveUpdate de una ubicacin o de un grupo. Es posible substituirlas solamente por otra poltica antivirus y antispyware o una poltica de LiveUpdate.
108
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea retirar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea retirar. En la pgina Polticas, bajo Tareas, haga clic en Retirar la poltica. En el cuadro de dilogo Retirar poltica, marque los grupos y las ubicaciones de los cuales desee retirar la poltica. Haga clic en Retirar. Cuando el sistema le solicite que confirme que desea retirar la poltica para los grupos y las ubicaciones, haga clic en S.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee retirar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible retirar una poltica.
4 5 6 7
Bajo Configuracin y polticas especficas de la ubicacin, busque el nombre de la ubicacin para la cual desea retirar una poltica. Localice la poltica para la ubicacin que desee retirar. Haga clic en Tareas y, despus, en Retirar poltica. En el cuadro de dilogo Retirar poltica, haga clic en S.
109
Puede ser necesario eliminar una poltica compartida o una poltica no compartida. A medida que se agregan nuevas ubicaciones y nuevos grupos, es posible que deba eliminar polticas anteriores. Para eliminar una poltica no compartida, se la retira y elimina usando el mismo comando. Nota: Una poltica que se ha asignado a un grupo o a una ubicacin debe retirarse antes de poder eliminarla. No es posible retirar una poltica antivirus y antispyware ni una poltica de LiveUpdate. En su lugar, se debe primero sustituirla por otra poltica antispyware o una poltica de LiveUpdate. A continuacin, es posible eliminar la poltica antispyware original o una poltica de LiveUpdate. Es necesario tener por lo menos una poltica antispyware y una poltica de LiveUpdate para cada grupo y cada ubicacin. Para eliminar una poltica compartida en la pgina Poltica
1 2
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, seleccione el tipo de poltica que desea eliminar. La poltica se pudo haber asignado a uno o ms grupos y a una o ms ubicaciones.
3 4 5
En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea eliminar. En la pgina Polticas, bajo Tareas, haga clic en Eliminar la poltica. Cuando se le solicite que confirme que desea eliminar la poltica seleccionada, haga clic en S.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el que desea eliminar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible eliminar una poltica.
4 5
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee eliminar. Localice la poltica especfica para la ubicacin que desea eliminar.
110
A la derecha de la poltica seleccionada, haga clic en Tareas y despus haga clic en Retirar poltica. Cuando se retira la poltica, se la elimina el mismo tiempo. No es posible eliminar una poltica antivirus y antispyware ni una poltica de LiveUpdate de una ubicacin. Slo es posible sustituirla por otra poltica.
Haga clic en S.
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea exportar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea exportar. En la pgina Polticas, bajo Tareas, haga clic en Exportar la poltica. En el cuadro de dilogo Exportar poltica, localice la carpeta donde desea exportar el archivo de polticas y despus haga clic en Exportar.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee exportar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible exportar una poltica.
4 5
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee exportar. Localice la poltica especfica para la ubicacin que desea exportar.
111
6 7 8
A la derecha de la poltica, haga clic en Tareas y despus haga clic en Exportar poltica. En el cuadro de dilogo Exportar poltica, busque la carpeta a la que desea exportar la poltica. En el cuadro de dilogo Exportar poltica, haga clic en Exportar.
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desee importar. En el panel Polticas de tipo de poltica, haga clic en la poltica que desea importar. En la pgina Polticas, en Tareas, haga clic en Importar una poltica de tipo_de_ poltica. En el cuadro de dilogo Importar poltica, vaya al archivo de polticas que desee importar y haga clic en Importar.
112
Trabajar con polticas Copiar una poltica compartida o no compartida en la pgina Clientes
Ver "Copiar una poltica compartida o no compartida en la pgina Clientes" en la pgina 112. Para copiar una poltica compartida en la pgina Poltica
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desee copiar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea copiar. En la pgina Polticas, bajo Tareas, haga clic en Copiar la poltica. En el cuadro de dilogo Copiar poltica, marque No volver a mostrar este mensaje. Marque esta opcin solamente si no desea seguir siendo notificado sobre este proceso. El mensaje indica que la poltica se ha copiado al portapapeles y que est lista para ser pegada.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Ver clientes, seleccione el grupo para el cual desee copiar una poltica. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin desde la cual desea copiar una poltica. Localice la poltica especfica para la ubicacin que desee copiar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Copiar. Haga clic en Aceptar.
4 5 6
113
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea pegar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea pegar. En la pgina Polticas, bajo Tareas, haga clic en Pegar una poltica.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee pegar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible pegar una poltica.
4 5 6 7
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee pegar. Localice la poltica especfica para la ubicacin que desee pegar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Pegar. Cuando se le pregunte si desea sobrescribir la poltica existente, haga clic en S.
114
Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98. Para copiar y pegar una poltica de grupo
1 2 3 4 5 6
En la consola, haga clic en Clientes y, a continuacin, en la ficha Polticas. Haga clic en el grupo desde el que desee copiar las polticas. Bajo Tareas, haga clic en Copiar poltica de grupo. Haga clic en el grupo al que desee copiar las polticas. Bajo Tareas, haga clic en Pegar poltica de grupo. En el cuadro de dilogo de confirmacin, haga clic en S.
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea reemplazar. En el panel Polticas de tipo de poltica, haga clic en la poltica. En la pgina Polticas, bajo Tareas, haga clic en Reemplazar la poltica. En el cuadro de dilogo Reemplazar poltica de tipo de poltica, en la lista desplegable Nueva poltica de tipo de poltica, seleccione la poltica compartida que reemplaza la anterior. Seleccione los grupos y las ubicaciones para los que desee reemplazar la poltica existente.
Trabajar con polticas Cmo copiar una poltica compartida para convertirla en una poltica no compartida
115
7 8
Haga clic en Reemplazar. Cuando el sistema le solicite que confirme el reemplazo de la poltica para los grupos y las ubicaciones, haga clic en S.
Para reemplazar una poltica compartida o una poltica no compartida para una ubicacin
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee reemplazar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible reemplazar una poltica.
4 5 6 7
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar la ubicacin que contiene la poltica. Al lado de la poltica que desee sustituir, haga clic en Tareas y, despus, en Reemplazar poltica. En el cuadro de dilogo Reemplazar poltica, en la lista desplegable Nueva poltica, seleccione la poltica de reemplazo. Haga clic en Aceptar.
Cmo copiar una poltica compartida para convertirla en una poltica no compartida
Se puede convertir una poltica compartida existente en una poltica no compartida porque la poltica ya no se aplica a todos los grupos o todas las ubicaciones que comparten la poltica. Cuando finaliza la conversin, la poltica convertida con su nuevo nombre aparece en Configuracin y polticas especficas de la ubicacin. Para copiar una poltica compartida y convertirla en una poltica no compartida
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Ver clientes, seleccione el grupo para el cual desee convertir una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas.
116
Trabajar con polticas Convertir una copia de una poltica compartida en una poltica no compartida
En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Si no desactiva la herencia, no es posible exportar ninguna poltica.
En Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin y de la poltica especfica de la ubicacin que desee convertir. Al lado de la poltica especfica, haga clic en Tareas y, a continuacin, en Convertir en poltica no compartida. En el cuadro de dilogo Descripcin general, edite el nombre y la descripcin de la poltica. Haga clic en Aceptar.
6 7 8
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee reemplazar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario desactivar la herencia para este grupo. Si no desactiva la herencia, no es posible reemplazar una poltica.
4 5 6
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar la ubicacin que contiene la poltica. Al lado de la poltica que desee sustituir, haga clic en Tareas y, despus, en Editar poltica. En el cuadro de dilogo Editar poltica, haga clic en Crear poltica no compartida a partir de copia.
117
En cualquier modo, el cliente toma la medida correspondiente basada en el cambio en el estado del servidor de administracin. Dado que necesita una conexin constante, el modo de transferencia necesita un ancho de banda de red grande. La mayor parte del tiempo se deben configurar los clientes en el modo de obtencin. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 118. Un latido es la frecuencia en la cual los equipos cliente cargan datos, como entradas de registro, y descargan polticas. Un latido es un protocolo que cada cliente usa para comunicarse con Symantec Endpoint Protection Manager. El primer latido ocurre inmediatamente despus de que el cliente inicia su equipo. El latido siguiente ocurre en la frecuencia de latidos que el usuario configura. La frecuencia de latidos es un factor clave en el nmero de clientes que cada Symantec Endpoint Protection Manager puede admitir. Si configura una frecuencia de latidos a 30 minutos o menos, se limita el nmero total de clientes que Symantec Endpoint Protection Manager puede admitir. Para las implementaciones de 1000 clientes o ms, debe configurar la frecuencia de latidos a la mxima cantidad de tiempo posible segn los requisitos de seguridad de una compaa. Por ejemplo, si desea actualizar polticas de seguridad y reunir registros a diario, entonces, configure la frecuencia de latidos en 24 horas. Consulte a Symantec Professional Services y a Symantec Enterprise Support para evaluar la configuracin, el hardware y la arquitectura de red adecuados y necesarios para su entorno de red.
118
Trabajar con polticas Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido
Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido
Es posible especificar si el servidor de administracin transfiere la poltica a los clientes o si los clientes obtienen la poltica del servidor de administracin. El modo de transferencia es la configuracin predeterminada. Si selecciona el modo de obtencin, de forma predeterminada, los clientes se conectan al servidor de administracin cada 5 minutos, pero es posible modificar este intervalo de latidos predeterminado. Ver "Acerca de actualizar las polticas en los clientes" en la pgina 117. Es posible configurar el modo para un grupo o para una ubicacin. Para configurar el modo de transferencia o el modo de obtencin para un grupo
1 2 3 4 5 6
En la consola, haga clic en Clientes. En la pgina Clientes, en Ver clientes, seleccione el grupo para el cual desee especificar si se transferirn u obtendrn polticas. En la pgina Clientes, haga clic en la ficha Polticas. En la ficha Polticas, anule la seleccin Heredar polticas y configuracin del grupo principal "nombre de grupo". En el panel Configuracin y polticas independientes de la ubicacin, en Configuracin, haga clic en Configuracin de comunicaciones. En el cuadro de dilogo Configuracin de comunicaciones para nombre de grupo, en Descarga, verifique que Descargar polticas y contenido del servidor de administracin est seleccionado. Realice una de las tareas siguientes:
Haga clic en Modo de transferencia. Haga clic en Modo de obtencin y bajo Intervalo de latidos, configure el nmero de minutos o de horas.
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, en Ver clientes, seleccione el grupo para el cual desee especificar si se transferirn u obtendrn polticas. En la pgina Clientes, haga clic en la ficha Polticas.
119
1 2
En la ficha Polticas, anule la seleccin Heredar polticas y configuracin del grupo principal "nombre de grupo". En Configuracin y polticas especficas de la ubicacin, en Polticas especficas de la ubicacin para la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. En Configuracin especfica de la ubicacin, a la derecha de Configuracin de comunicaciones, haga clic en Tareas y anule la seleccin Usar configuracin de comunicaciones de grupo. A la derecha de Configuracin de comunicaciones, haga clic en Local: transferir o (Local: obtener). Realice una de las tareas siguientes:
4 5
Haga clic en Modo de transferencia. Haga clic en Modo de obtencin y bajo Intervalo de latidos, configure el nmero de minutos o de horas.
1 2
En el servidor de administracin, en la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo relevante y, a continuacin, haga clic en Detalles. El nmero de serie de polticas y la fecha de polticas aparecen en la parte inferior de la lista de detalles.
120
Trabajar con polticas Realizacin de una actualizacin de polticas manual para comprobar el nmero de serie de polticas
1 2
En el equipo cliente, en el cliente, en el men Ayuda y asistencia tcnica, haga clic en Solucin de problemas. En la ficha Administracin, busque el nmero de serie de polticas. El nmero de serie debe coincidir con el nmero de serie de la poltica que el servidor de administracin transfiere al cliente.
Realizacin de una actualizacin de polticas manual para comprobar el nmero de serie de polticas
Es posible realizar una actualizacin de polticas manual para comprobar si el cliente recibe la ltima actualizacin de polticas. Si el cliente no recibe la actualizacin, puede haber un problema con la comunicacin entre el cliente y el servidor. Es posible intentar una actualizacin de polticas manual mediante una de las siguientes acciones:
En el men Ayuda y asistencia tcnica del cliente, en el cuadro de dilogo Solucin de problemas, bajo Perfil de la poltica, puede hacer clic en Actualizar. Es posible utilizar este mtodo si desea realizar una actualizacin manual en un cliente determinado. Para los clientes que se configuran para el modo de obtencin, el servidor de administracin descarga las polticas al cliente en intervalos regulares (latido). Es posible modificar los intervalos de latidos para descargar polticas al grupo de clientes ms rpido. Despus de los intervalos de latidos, puede comprobar si los nmeros de serie de polticas coinciden. (Para los clientes que se configuran para el modo de transferencia, los clientes reciben cualquier actualizacin de polticas de forma inmediata).
Una vez que ejecute una actualizacin de polticas manual, asegrese de que el nmero de serie de polticas que aparece en el cliente coincida con el nmero de serie que aparece en la consola de administracin. Ver "Ver el nmero de serie de polticas" en la pgina 119. Para realizar una actualizacin de polticas manual
1 2 3
En el cliente, haga clic en Ayuda > Solucin de problemas En el cuadro de dilogo Solucin de problemas, en la columna izquierda, active Administracin. En el panel Administracin, bajo Perfil de polticas, haga clic en Actualizacin.
Trabajar con polticas Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente
121
Cmo supervisar las aplicaciones y los servicios ejecutados en los equipos cliente
El cliente supervisa y recopila informacin sobre las aplicaciones y los servicios que se ejecutan en cada equipo. Puede configurar el cliente para que recopile la informacin en una lista y para enviar la lista al servidor de administracin. La lista de aplicaciones y sus caractersticas se llama aplicaciones aprendidas. Es posible utilizar esta informacin para descubrir qu aplicaciones estn ejecutando los usuarios. Es posible tambin utilizar la informacin cuando se necesita informacin sobre aplicaciones de las reas siguientes:
Polticas de firewall Polticas de control de aplicaciones y dispositivos Anlisis de amenazas proactivos TruScan Polticas de integridad del host Supervisin de aplicaciones de red Listas de huellas digitales de archivos
Es posible realizar varias tareas para configurar y usar las aplicaciones incorporadas. Tabla 6-3 Pasos
Activar aplicaciones incorporadas
122
Trabajar con polticas Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
Pasos
Buscar aplicaciones
Descripcin
Es posible usar una herramienta de consulta para buscar la lista de aplicaciones que los equipos cliente ejecutan. Es posible buscar en criterios basados en aplicaciones o criterios basados en equipos. Por ejemplo, puede descubrir la versin de Internet Explorer que cada equipo cliente utiliza. Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 124. Es posible guardar los resultados de una bsqueda de aplicaciones para revisarlos. Ver "Guardar los resultados de una bsqueda de aplicaciones" en la pgina 126.
Nota: En algunos pases, es posible que no est permitido por ley local utilizar la herramienta de aplicaciones aprendidas en ciertas circunstancias, por ejemplo, para obtener informacin de uso de una aplicacin desde un equipo porttil cuando un empleado inicia sesin en la red de la oficina desde su domicilio con el equipo porttil de la empresa. Antes de utilizar esta herramienta, confirme que est permitido utilizarla para sus propsitos en su jurisdiccin. Si no se permite, siga las instrucciones para desactivar la herramienta.
Nota: El cliente no registra informacin sobre las aplicaciones que ejecutan los clientes de Symantec Network Access Control. La funcin de las aplicaciones aprendidas no est disponible en la consola si instala slo Symantec Network Access Control. Si integra Symantec Network Access Control con Symantec Endpoint Protection, puede utilizar la herramienta de las aplicaciones aprendidas con las Polticas de integridad del host. Es necesario instalar el mdulo de proteccin contra amenazas de red y el mdulo de control de aplicaciones y dispositivos en el cliente para que esta caracterstica funcione.
Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
Es posible habilitar las aplicaciones aprendidas para sitios enteros, para grupos dentro de un sitio o para ubicaciones dentro de un grupo. La funcin de aplicaciones aprendidas est habilitada de forma predeterminada para el sitio, el grupo y la ubicacin. Primero se habilitan las aplicaciones aprendidas para cada sitio y, a
Trabajar con polticas Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan
123
continuacin, se habilitan opcionalmente las aplicaciones aprendidas para grupos y ubicaciones especficos. Para habilitar aplicaciones aprendidas, es necesario realizar las siguientes tareas:
Habilitar aplicaciones aprendidas para el sitio. Es necesario habilitar la herramienta de aplicaciones aprendidas para que un sitio utilice la herramienta para un grupo o una ubicacin especficos. Habilitar los clientes para que enven aplicaciones aprendidas al servidor de administracin por grupo o por ubicacin.
Es posible configurar una notificacin que se enviar a su direccin de correo electrnico cuando cada cliente de un grupo o una ubicacin ejecute una aplicacin. Ver "Crear notificaciones de administrador" en la pgina 313. Puede configurar las aplicaciones aprendidas para los servidores de administracin dentro de un sitio local o dentro de un sitio remoto. Para habilitar las aplicaciones aprendidas para un sitio
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, realice una de las siguientes acciones:
Haga clic en Sitio local (Sitio nombre del sitio). Expanda Sitios remotos y, a continuacin, haga clic en Sitio nombre del sitio.
3 4
Bajo Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del sitio para nombre del sitio, en la ficha General, seleccione Realizar un seguimiento de cada aplicacin que ejecutan los clientes. Haga clic en Aceptar.
Despus de habilitar un sitio para recopilar las listas de aplicaciones aprendidas de los clientes, se permite a los clientes que enven las listas al servidor por grupo o por ubicacin. Nota: Es posible modificar esta opcin solamente para los subgrupos que no heredan sus polticas y opciones de un grupo principal. Para enviar la lista de aplicaciones aprendidas al servidor de administracin
1 2 3
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo. En la ficha Polticas, haga clic en Configuracin de comunicaciones.
124
Trabajar con polticas Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
En el cuadro de dilogo Configuracin de comunicaciones para nombre del grupo, asegrese de que Aprender aplicaciones que se ejecutan en los equipos cliente est seleccionado. Haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo. Bajo Configuracin y polticas especficas de la ubicacin, seleccione la ubicacin y despus expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de comunicaciones, haga clic en Tareas y despus anule la seleccin de Usar configuracin de comunicaciones de grupo. Esta opcin permite crear una opcin de ubicacin en lugar de una opcin de grupo.
5 6
Haga clic en Tareas y despus haga clic en Editar configuracin. En el cuadro de dilogo Configuracin de comunicaciones de nombre de la ubicacin, seleccione Aprender aplicaciones que se ejecutan en los equipos cliente. Haga clic en Aceptar.
Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
Despus de que el servidor de administracin reciba la lista de aplicaciones de los clientes, es posible realizar consultas sobre los detalles de las aplicaciones. Por ejemplo, es posible encontrar todos los equipos cliente que utilizan una aplicacin no autorizada. Es posible entonces crear una norma de firewall para bloquear la aplicacin en el equipo cliente. O es posible actualizar todos los equipos cliente para que utilicen la versin ms actual de Microsoft Word. Es posible buscar una aplicacin de las siguientes maneras:
Por aplicacin. Es posible limitar la bsqueda a aplicaciones o detalles de aplicaciones especficos, como el nombre, la huella digital del archivo, la ruta, el tamao, la versin o la hora de la ltima modificacin. Por cliente o equipo cliente.
Trabajar con polticas Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
125
Es posible buscar las aplicaciones que un usuario o un equipo especfico ejecuta. Por ejemplo, es posible buscar la direccin IP del equipo. Es posible tambin buscar nombres de aplicacin para agregarlos a una norma de firewall, directamente dentro de la poltica de firewall. Ver "Agregar aplicaciones a una norma" en la pgina 564. Nota: La informacin en el cuadro de Bsqueda no se recopila hasta que se habilita la funcin que realiza un seguimiento de todas las aplicaciones que los clientes ejecutan. Es posible ir a la ficha General del cuadro de dilogo Propiedades del sitio para nombre del sitio de la pgina Administrador para habilitar esta funcin. Para buscar la informacin sobre las aplicaciones que ejecutan los equipos
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Tareas, haga clic en Buscar aplicaciones. En el cuadro de dilogo Buscar aplicaciones, a la derecha del campo Buscar aplicaciones en, haga clic en Examinar. En el cuadro de dilogo Seleccionar grupo o ubicacin, seleccione un grupo de clientes para el cual desee ver aplicaciones y haga clic en Aceptar. Es posible especificar solamente un grupo por vez.
5 6
Asegrese de que Buscar subgrupos est seleccionada. Realice una de las acciones siguientes:
Para buscar informacin por usuario o equipo, haga clic en A partir de informacin del equipo/cliente. Para buscar por aplicacin, haga clic en A partir de aplicaciones.
Haga clic en la celda vaca bajo Campo de bsqueda y despus seleccione el criterio de bsqueda de la lista. La celda Campo de bsqueda muestra los criterios para la opcin que usted seleccion. Para obtener informacin sobre estos criterios, haga clic en Ayuda.
8 9
Haga clic en la celda vaca bajo Operador de comparacin y despus seleccione uno de los operadores. Haga clic en la celda vaca bajo Valor y a continuacin seleccione o escriba un valor. La celda Valor puede proporcionar un formato o un valor de la lista desplegable, de acuerdo con el criterio que usted haya seleccionado en la celda Campo de bsqueda.
126
Trabajar con polticas Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos
11 Haga clic en Buscar. 12 En la tabla Resultados de la consulta, realice una de las siguientes tareas:
Haga clic en las flechas de desplazamiento para ver filas y columnas adicionales. Haga clic en Atrs y Siguiente para ver pantallas de informacin adicionales. Seleccione una fila y despus haga clic en Ver detalles para ver informacin adicional sobre la aplicacin.
13 Para eliminar los resultados de la consulta, haga clic en Borrar todo. 14 Haga clic en Cerrar.
Busque los detalles sobre una aplicacin o un equipo cliente. Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 124.
2 3
En el cuadro de dilogo Buscar aplicaciones, bajo Resultados de la consulta, haga clic en Exportar. En el cuadro de dilogo Exportar resultados, escriba el nmero para la pgina que contiene los detalles de la aplicacin y los detalles del equipo cliente que desee exportar. Seleccione o escriba el nombre de ruta y el nombre de archivo al cual desee exportar el archivo y, luego, haga clic en Exportar. Para confirmar, haga clic en Aceptar. Cuando haya terminado de buscar aplicaciones, haga clic en Cerrar.
4 5 6
Captulo
Cmo usar paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes Exportar paquetes de instalacin de clientes Implementar software de cliente con Buscar equipos no administrados Acerca de agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes Agregar actualizaciones de paquetes de instalacin de clientes Actualizar clientes en uno o ms grupos Eliminar paquetes de actualizacin
128
Trabajar con paquetes de instalacin de clientes Cmo usar paquetes de instalacin de clientes
grupos desde la consola. El archivo ejecutable est disponible para las herramientas de instalacin de otros fabricantes y para la conservacin de ancho de banda potencial. Tpicamente, si se utiliza un objeto de polticas de grupo de Active Directory, se elige no exportar a un solo archivo ejecutable. Durante el proceso de exportacin, se seleccionan los paquetes de instalacin de 32 bits o de 64 bits proporcionados de forma predeterminada. A continuacin, se seleccionan opcionalmente las tecnologas especficas de proteccin de clientes que se instalarn, si no desea instalar todos los componentes. Es posible adems especificar cmo la instalacin interacta con los usuarios finales. Finalmente, es posible instalar los archivos exportados (un paquete) a los equipos uno a la vez, o implementar los archivos exportados a varios equipos simultneamente. Para conocer las opciones de implementacin de instalacin de clientes, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control en el disco del producto. Symantec proporciona de vez en cuando paquetes actualizados de archivos de instalacin. Cuando el software de cliente se instala en los equipos cliente, es posible actualizar automticamente el software de cliente en todos los clientes de un grupo con la funcin de actualizacin automtica. No es necesario volver a distribuir el software con las herramientas de distribucin de instalacin. Tabla 7-1 Tarea
Configurar paquetes de instalacin de clientes
Es posible exportar paquetes para clientes administrados por Symantec, clientes administrados por terceros y clientes no administrados. Ver "Exportar paquetes de instalacin de clientes" en la pgina 132.
Es posible implementar paquetes de instalacin de clientes en equipos que no ejecutan el software de cliente usando la funcin Buscar equipos no administrados. Ver "Implementar software de cliente con Buscar equipos no administrados" en la pgina 133.
Trabajar con paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes
129
Tarea
Agregar actualizaciones de paquetes de instalacin de clientes
Descripcin
Cuando se reciben las actualizaciones de paquetes de instalacin de clientes de Symantec, se agregan a la base de datos del sitio. Se las agrega a la base de datos del sitio para que estn disponibles para su distribucin desde Symantec Endpoint Protection Manager. Es posible exportar los paquetes durante este paso para poner el paquete a disposicin para su implementacin en equipos que no ejecutan el software de cliente. Ver "Agregar actualizaciones de paquetes de instalacin de clientes" en la pgina 135.
Actualizar clientes en uno o Es posible instalar los paquetes exportados en equipos uno ms grupos a la vez o implementar los archivos exportados en varios equipos simultneamente. Ver "Acerca de agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes" en la pgina 135. Ver "Actualizar clientes en uno o ms grupos" en la pgina 136. Eliminar paquetes de instalacin de clientes Es posible eliminar paquetes de instalacin de clientes ms viejos para ahorrar espacio en disco. Ver "Eliminar paquetes de actualizacin" en la pgina 137.
130
Trabajar con paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes
Es necesario dar un nombre a cada grupo de selecciones. A continuacin, seleccione un grupo de funciones con nombre cuando se exportan los paquetes de software de cliente de 32 bits y de 64 bits. Ver "Cmo usar paquetes de instalacin de clientes" en la pgina 127. Para configurar funciones de paquetes de instalacin de clientes
1 2 3 4 5 6 7
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. Bajo Ver paquetes de instalacin, haga clic en Conjuntos de funciones de instalacin de clientes. Bajo Tareas, haga clic en Agregar conjunto de funciones de instalacin de clientes. En el cuadro de dilogo Agregar conjunto de funciones de instalacin de clientes, en el cuadro Nombre, escriba un nombre. En el cuadro Descripcin, escriba una descripcin del conjunto de funciones de instalacin de clientes. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
1 2 3 4
En la ficha Administrador, en el panel inferior izquierdo, haga clic en Paquetes de instalacin. Bajo Ver paquetes de instalacin, haga clic en Valores de configuracin de instalacin de clientes. Bajo Tareas, haga clic en Agregar valores de configuracin de instalacin de clientes. En el cuadro de dilogo Configuracin de instalacin de clientes, en el cuadro Nombre, escriba un nombre.
Trabajar con paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes
131
5 6
Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
1 2 3 4 5 6 7
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Ver paquetes de instalacin, haga clic en Paquetes de instalacin de clientes. En el panel Paquetes de instalacin de clientes, haga clic en el paquete para el cual desee recopilar informacin de usuarios. En Tareas, haga clic en Configurar la recopilacin de informacin de usuarios. En el cuadro de dilogo Configurar la recopilacin de informacin de usuarios, seleccione Recopilar informacin del usuario. En el cuadro de texto Mensaje emergente, escriba el mensaje que desea que los usuarios lean cuando se les pida informacin. Si desea que el usuario tenga la posibilidad de posponer la recopilacin de informacin del usuario, seleccione Habilitar Recordrmelo ms tarde y establezca un tiempo en minutos.
132
En Seleccione los campos que se mostrarn para que el usuario proporcione informacin, elija el tipo de informacin para recopilar y, luego, haga clic en Agregar. Es posible seleccionar uno o ms campos simultneamente presionando la tecla Mays o la tecla Control.
En la columna Opcional, active la casilla de verificacin junto a cada campo que se desee definir como opcional para que el usuario complete.
Trabajar con paquetes de instalacin de clientes Implementar software de cliente con Buscar equipos no administrados
133
Nota: Si exporta los paquetes de instalacin de clientes de una consola remota, los paquetes se crean en el equipo desde el cual se ejecuta la consola remota. Adems, si se utilizan varios dominios, es necesario exportar los paquetes para cada dominio. Si no, no aparecen como disponibles para los grupos del dominio. Despus de exportar uno o ms paquetes de instalacin de archivos, implemente los archivos de instalacin en los equipos cliente. Ver "Cmo usar paquetes de instalacin de clientes" en la pgina 127. Para obtener informacin sobre la instalacin de software de cliente, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control en el disco del producto. Para exportar paquetes de instalacin de clientes
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Ver paquetes de instalacin, haga clic en Paquetes de instalacin de clientes. En el panel Paquetes de instalacin de clientes, en Nombre del paquete, haga clic con el botn secundario en el paquete para exportar y, despus, haga clic en Exportar. En el cuadro de dilogo Exportar paquete, al lado del cuadro de texto Carpeta de exportacin, vaya al directorio para contener el paquete exportado y seleccinelo, y despus haga clic en Aceptar. Los directorios con caracteres de doble byte o hi-ASCII no se admiten y se bloquean..
5 6 7
En el cuadro de dilogo Exportar paquete, configure las otras opciones segn sus metas de instalacin. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
134
Trabajar con paquetes de instalacin de clientes Implementar software de cliente con Buscar equipos no administrados
Nota: Es posible usar esta utilidad solamente para detectar los equipos cliente de Windows. Los equipos cliente de Mac se detallan en la utilidad como Desconocido y los paquetes de instalacin del cliente de Mac se deben implementar por separado.
Advertencia: Esta utilidad detecta y muestra una variedad de dispositivos de red en la ficha de equipos desconocidos. Por ejemplo, esta utilidad detecta interfaces de router y las pone en la ficha de equipos desconocidos. Debe tener precaucin cuando implemente el software de cliente en dispositivos que aparecen en la ficha de equipos no administrados. Verifique que estos dispositivos sean destinos vlidos para la implementacin del software de cliente. Tambin es posible implementar el software de cliente usando el Asistente de implementacin mediante transferencia. Para implementar software de cliente usando Buscar equipos no administrados
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En el panel Tareas, haga clic en Buscar equipos no administrados. En la ventana Buscar equipos no administrados, bajo Buscar por, active Intervalo de direcciones IP y escriba las direcciones IP del intervalo que desea buscar. El anlisis de un intervalo de 100 direcciones IP que no existen toma aproximadamente 5,5 minutos. Opcionalmente, especifique un nombre de equipo.
Bajo Credenciales de inicio de sesin, complete los cuadros Nombre de usuario, Contrasea y Dominio-Grupo de trabajo con las credenciales de inicio de sesin que permiten la administracin y la instalacin. Haga clic en Buscar ahora. En las fichas Equipos desconocidos o Equipos no administrados, realice una de las siguientes acciones:
5 6
Active cada equipo en el cual usted desee instalar el software de cliente. Haga clic en Seleccionar todo.
7 8 9
Bajo Instalacin, seleccione el paquete de instalacin, la opcin de instalacin y las funciones que usted desea instalar. Para instalar en un grupo que no sea el grupo predeterminado, haga clic en Cambiar, seleccione otro grupo y haga clic en Aceptar. Cuando est listo para instalar el software de cliente, haga clic en Iniciar la instalacin.
Trabajar con paquetes de instalacin de clientes Acerca de agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes
135
1 2 3 4
Copie el paquete a un directorio en el equipo que ejecuta Symantec Endpoint Protection Manager. En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. En Tareas, haga clic en Agregar paquete de instalacin de clientes. En el cuadro de dilogo Agregar paquete de instalacin de clientes, escriba un nombre y una descripcin para el paquete.
136
5 6
Haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta, localice y seleccione el archivo nombre_producto.info para el nuevo paquete y, despus, haga clic en Seleccionar. Cuando se indica que se complet correctamente, realice una de las siguientes acciones:
Si no desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Cerrar. Se ha terminado con este procedimiento. Si desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Exportar este paquete y despus finalice este procedimiento.
8 9
En el cuadro de dilogo Exportar paquete, haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta de exportacin, vaya al directorio que contendr el paquete exportado y seleccinelo, y despus haga clic en Aceptar. configure las otras opciones segn sus objetivos de instalacin.
10 En el cuadro de dilogo Exportar paquete, seleccione un grupo y, despus, 11 Para obtener informacin acerca de la configuracin de otras opciones en
este cuadro de dilogo, haga clic en Ayuda.
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. Bajo Tareas, haga clic en Actualizar los grupos con el paquete.
137
3 4
En el panel Asistente para actualizar grupos, haga clic en Siguiente. En el panel Seleccionar paquete de instalacin de clientes, bajo Seleccione el nuevo paquete de instalacin de clientes, seleccione el paquete que agreg y despus haga clic en Siguiente. En el panel Especificar grupos, marque los grupos que desee actualizar y despus haga clic en Siguiente. En el panel Configuracin de actualizacin de paquetes, marque Descargar del servidor de administracin y haga clic en Siguiente. En el panel Finaliz el Asistente para actualizar grupos, haga clic en Finalizar.
5 6 7
1 2 3 4
En la consola, haga clic en Clientes. En el panel Ver clientes, seleccione un grupo al cual se asign el paquete. En la ficha Paquetes de instalacin, bajo Tareas, haga clic en Agregar paquete de instalacin de clientes. En las fichas General y Notificacin, seleccione las opciones que controlan cmo desea distribuir la actualizacin. Para obtener informacin acerca de la configuracin de otras opciones, haga clic en Ayuda.
Cuando termine de configurar las opciones de distribucin de la actualizacin, haga clic en Aceptar.
1 2 3
En la consola, haga clic en Administrador. Bajo Tareas, haga clic en Paquetes de instalacin. En el panel Paquetes de instalacin de clientes, seleccione el paquete que desea eliminar.
138
4 5
Bajo Tareas, haga clic en Eliminar paquete de instalacin de clientes. En el cuadro de dilogo Eliminar paquete de instalacin de clientes, haga clic en S.
Captulo
Cmo administrar el contenido para los clientes Acerca de los tipos de contenido Cmo determinar cmo los clientes obtienen contenidos Configurar un sitio para descargar actualizaciones de contenido Acerca de las descargas de contenido simultneas Acerca de las polticas de LiveUpdate Acerca de usar las revisiones de contenido que no son la ltima versin Configuracin de una poltica de configuracin de LiveUpdate Configurar una poltica de contenido de LiveUpdate Cmo ver y cambiar la poltica de contenidos de LiveUpdate rpidamente Distribucin de contenido usando los proveedores de actualizaciones de grupo Acerca de Intelligent Updater Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin Acerca de los archivos que se usan en la distribucin de otro fabricante del contenido de LiveUpdate Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes administrados
140
Activar la distribucin de contenido de otro fabricante en clientes administrados con una Poltica de configuracin de LiveUpdate Distribuir contenido a clientes administrados con herramientas de distribucin de terceros Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes autoadministrados Cmo ejecutar LiveUpdate en un cliente desde la consola
Descripcin
De forma predeterminada, los clientes obtienen actualizaciones del servidor de administracin predeterminado (Symantec Endpoint Protection Manager).
Nota: Los clientes Mac obtienen actualizaciones solamente de un servidor interno o externo
de LiveUpdate. Por lo general, la arquitectura de red determina qu mtodo de distribucin es necesario usar. Se usa una poltica de configuracin de LiveUpdate para configurar el mtodo de distribucin. Es posible tambin configurar la programacin para que los clientes reciban el contenido directamente de Symantec LiveUpdate. Ver "Cmo determinar cmo los clientes obtienen contenidos" en la pgina 142. Ver "Configuracin de una poltica de configuracin de LiveUpdate " en la pgina 152.
De forma predeterminada, los equipos cliente reciben las actualizaciones para todos los tipos de contenidos. Es posible configurar una poltica de contenidos de LiveUpdate para controlar los tipos de actualizaciones de contenido para sus clientes. Este tipo de poltica no se admite para los clientes de Symantec Network Access Control.
141
Tarea
Descripcin
Configurar un sitio El sitio que incluye el servidor de administracin predeterminado debe almacenar las para descargar actualizaciones de contenido que desea distribuir a los clientes. actualizaciones de Es posible tambin configurar con cunta frecuencia el sitio debe recibir contenidos de contenido LiveUpdate. Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 147.
Nota: Si se utiliza la replicacin, slo se debe configurar un sitio para descargar los archivos
de la actualizacin. La replicacin actualiza automticamente la otra base de datos. Sin embargo, como mejor prctica, no debe replicar actualizaciones de productos entre los sitios. Estas actualizaciones pueden ser bastante grandes y existe una para cada idioma que seleccione. Si opta por descargar actualizaciones del producto con LiveUpdate a Symantec Endpoint Protection Manager, las actualizaciones aparecen automticamente en el panel Paquetes de instalacin. Es posible entonces actualizar clientes con la actualizacin automtica. Si utiliza este enfoque para el control de versin, no debe seleccionar actualizaciones automticas de productos en la poltica de configuracin de LiveUpdate. Si no desea usar LiveUpdate, se puede usar Intelligent Updater para descargar el contenido manualmente al servidor de administracin predeterminado. Luego, es posible distribuir el contenido con las herramientas de administracin de otro fabricante. Ver "Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin" en la pgina 167. Ver "Distribuir contenido a clientes administrados con herramientas de distribucin de terceros" en la pgina 171.
142
Actualizar definiciones y contenido Cmo determinar cmo los clientes obtienen contenidos
Tabla 8-2
Tipo de contenido
Actualizaciones de clientes
Firmas heursticas de anlisis Protege contra amenazas de ataque de da cero. de amenazas proactivo TruScan Lista de aplicaciones Incluye las aplicaciones comerciales legtimas que han comerciales del anlisis de generado falsos positivos en el pasado. amenazas proactivo TruScan Firmas de prevencin de intrusiones Firmas de control de envos Plantillas de integridad del host Protege contra amenazas de red y admite la prevencin de intrusiones y los motores de deteccin. Controla el flujo de envos a Symantec Security Response. Incluyen los requisitos predefinidos que imponen parches actualizados y medidas de seguridad en el equipo cliente. Solamente disponible en el cuadro de dilogo Propiedades del sitio cuando se instala Symantec Network Access Control.
Cmo se configura su red Cuntos clientes se administran Si administra clientes Windows y Mac
Actualizar definiciones y contenido Cmo determinar cmo los clientes obtienen contenidos
143
Advertencia: Los clientes Mac obtienen actualizaciones solamente de un servidor interno o externo de LiveUpdate. Solamente los clientes Windows pueden obtener actualizaciones del servidor de administracin predeterminado o de un proveedor de actualizaciones de grupo. Tabla 8-3 Mtodo Descripcin Mtodos de distribucin de contenido y cundo se deben usar Cundo se lo debe utilizar
Este mtodo se configura de forma predeterminada despus de la instalacin del servidor de administracin. Es posible adems combinar este mtodo con el proveedor de actualizaciones grupales. Ver "Configuracin de una poltica de configuracin de LiveUpdate " en la pgina 152. Utilice este mtodo para los grupos ubicados junto a ubicaciones remotas con ancho de banda mnimo. Adems, este mtodo reduce la carga en los servidores de administracin. Observe que un proveedor de actualizaciones grupales distribuye todos los tipos de contenido de LiveUpdate, excepto actualizaciones de software de cliente. Ver "Distribucin de contenido usando los proveedores de actualizaciones de grupo" en la pgina 156.
Symantec Endpoint El servidor de administracin Protection Manager a los predeterminado puede actualizar los clientes clientes que administra. Es posible que tenga varios servidores de administracin en su (Valor predeterminado) red de Symantec Endpoint Protection Manager. El sitio que incluye los servidores de administracin recibe el contenido de LiveUpdate. Proveedor de Un proveedor de actualizaciones grupales actualizaciones grupales es un cliente que acta como proxy entre para los clientes Symantec Endpoint Protection Manager y los clientes en el grupo. El proveedor de actualizaciones de grupo recibe actualizaciones de un servidor de administracin y, a continuacin, transmite las actualizaciones a los otros clientes del grupo. Un proveedor de actualizaciones grupales puede actualizar varios grupos.
144
Actualizar definiciones y contenido Cmo determinar cmo los clientes obtienen contenidos
Mtodo
Servidor interno de LiveUpdate para los clientes
Descripcin
Los clientes pueden extraer actualizaciones Use un servidor interno de LiveUpdate en directamente de un servidor interno de redes grandes para reducir la carga en LiveUpdate que recibe actualizaciones de Symantec Endpoint Protection Manager. Symantec LiveUpdate. Se usa generalmente un servidor interno de Es posible configurar un servidor interno LiveUpdate en redes grandes de ms de de LiveUpdate en un equipo sin importar si 10 000 clientes. Con esta arquitectura, el el software de Symantec Endpoint servidor de administracin descarga las Protection Manager est instalado o no. En funciones de actualizaciones de contenido ambos casos, debe emplear la utilidad de LiveUpdate, pero sigue procesando Administrador de LiveUpdate para registros y actualizaciones de polticas. El actualizar el servidor de LiveUpdate. La servidor interno de LiveUpdate tambin es utilidad Administrador de LiveUpdate extrae til para las redes que ejecutan varios las actualizaciones de las definiciones de un productos de Symantec que tambin servidor de Symantec LiveUpdate. La ejecutan LiveUpdate para actualizar utilidad entonces ubica los paquetes en un clientes. servidor web, un sitio FTP o una ubicacin Para obtener informacin sobre cmo designada con una ruta UNC. Se deben configurar un servidor interno de configurar sus servidores de administracin LiveUpdate, consulte la Gua del usuario para extraer sus actualizaciones de administrador de LiveUpdate. La gua est definiciones de esta ubicacin. disponible en el CD de instalacin y en el sitio web de soporte de Symantec. Ver "Configuracin de una poltica de configuracin de LiveUpdate " en la pgina 152.
Los clientes pueden recibir actualizaciones Utilice un servidor externo de Symantec directamente de Symantec LiveUpdate. LiveUpdate para los equipos cliente autoadministrados que no se conectan siempre a la red corporativa.
Actualizar definiciones y contenido Cmo determinar cmo los clientes obtienen contenidos
145
Mtodo
Distribucin de herramientas de otro fabricante (No ilustrado)
Descripcin
Las herramientas de otro fabricante, como Microsoft SMS, permitieron distribuir los archivos especficos de la actualizacin a los clientes.
Intelligent Updater
Intelligent Updater descarga contenido manualmente. Puede recuperar los archivos autoextrables de Intelligent Updater del sitio web de Symantec que contienen los archivos de las definiciones de virus y el riesgo de seguridad con extensiones jdb y vdb. Ya no se admiten extensiones Idb. Para recibir otros archivos de actualizacin, es necesario configurar un servidor de administracin para descargar y preparar los archivos de la actualizacin.
Es posible usar Intelligent Updater si no desea usar Symantec LiveUpdate o si LiveUpdate no est disponible. Ver "Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin" en la pgina 167.
Figura 8-1 muestra una arquitectura de distribucin de ejemplo para redes ms pequeas.
146
Actualizar definiciones y contenido Cmo determinar cmo los clientes obtienen contenidos
Figura 8-1
Symantec LiveUpdate
Grupo de clientes
Servidor de administracin
Servidor de administracin
Grupos de clientes
Figura 8-2 muestra una arquitectura de distribucin de ejemplo para redes ms grandes.
147
Figura 8-2
Symantec LiveUpdate
Servidor de administracin
Grupos de clientes
Grupos de clientes
La frecuencia con la que el sitio comprueba la existencia de actualizaciones de contenido de LiveUpdate. La programacin predeterminada para que Symantec Endpoint Protection Manager ejecute LiveUpdate cada 4 horas es la mejor prctica.
148
Nota: Los sitios descargan archivos MSP para las actualizaciones de productos, y despus crean nuevos archivos MSI. Los sitios replican los archivos MSI si selecciona replicar actualizaciones de productos. Los archivos MSP son una fraccin del tamao de los archivos MSI. Los tipos de contenidos para descargar al sitio. Asegrese de que el sitio descargue todas las actualizaciones de contenido especificadas en las polticas de contenidos de LiveUpdate de los clientes. Los idiomas para los tipos de actualizaciones que se descarguen. El servidor de LiveUpdate que proporciona el contenido al sitio. Es posible especificar un servidor externo de Symantec LiveUpdate (recomendado), o un servidor interno de LiveUpdate que se ha instalado y se ha configurado previamente. El nmero de revisiones de contenido que se deben guardar y si se deben almacenar los paquetes de clientes descomprimidos. Se almacenan revisiones de contenido porque es posible que desee probar el ltimo contenido antes de distribuirlo a todos sus clientes. Se recomienda conservar las versiones anteriores del contenido para que pueda revertir la accin si es necesario. Nota: Cuando se guarda una gran cantidad de revisiones, ms espacio libre en el disco es necesario en Symantec Endpoint Protection Manager. Ver "Cmo administrar el contenido para los clientes" en la pgina 140. Para configurar un sitio para descargar actualizaciones
1 2 3 4
En la consola, haga clic en Administrador. Bajo Tareas, haga clic en Servidores. En el panel Ver, haga clic con el botn secundario en Sitio local y luego en Editar propiedades. En el cuadro de dilogo Propiedades del sitio, en la ficha LiveUpdate, bajo Programacin de descarga, configure las opciones de programacin de la frecuencia con la que el servidor debe buscar actualizaciones. Bajo Tipos de contenido para descargar, examine la lista de tipos de actualizacin que se descargan.
149
Para agregar o eliminar un tipo de actualizacin, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. La lista debe coincidir con la lista de tipos de contenido que se incluyen en la Poltica de contenidos de LiveUpdate para sus equipos cliente.
7 8 9
Bajo Idiomas para descargar, examine la lista de idiomas de los tipos de actualizaciones que se descargan. Para agregar o eliminar un idioma, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. Bajo Servidores de origen de LiveUpdate, examine el servidor actual de LiveUpdate que se utiliza para actualizar al servidor de administracin. Este servidor es, de forma predeterminada, el servidor de Symantec LiveUpdate. A continuacin, realice una de las siguientes:
Para utilizar el servidor de origen existente de LiveUpdate, haga clic en Aceptar. Para usar un servidor interno de LiveUpdate, haga clic en Editar servidores de origen.
12 En el cuadro de dilogo Servidores de LiveUpdate, haga clic en Aceptar. 13 En Administracin del espacio de disco para descargas, escriba el nmero
de revisiones de contenido de LiveUpdate que se conservarn. Se requiere ms espacio libre en el disco para el almacenamiento de una gran cantidad de revisiones de contenido. Los paquetes de clientes que se almacenan en formato expandido tambin necesitan ms espacio libre en el disco.
150
151
152
Nota: Una configuracin avanzada est disponible para permitir a los usuarios el inicio manual de LiveUpdate desde sus equipos cliente. Esta opcin est desactivada de forma predeterminada. Si activa esta configuracin, los usuarios pueden iniciar LiveUpdate y descargar las ltimas definiciones del virus de contenido, las actualizaciones de componentes y las actualizaciones del producto. Segn el tamao de la poblacin de usuarios, es posible que no desee permitir que los usuarios descarguen todo el contenido sin probarlo antes. Adems, pueden surgir problemas si se ejecutan dos sesiones de LiveUpdate simultneamente en los equipos cliente. De forma predeterminada, a los usuarios no se les permite descargar actualizaciones de producto de un servidor de LiveUpdate. Es posible cambiar esta configuracin en el panel Configuracin avanzada de la poltica de LiveUpdate.
Nota: Los usuarios siempre pueden ejecutar LiveUpdate en clientes Mac. Es posible restringir la ejecucin de LiveUpdate solamente en los clientes Windows. Las actualizaciones de producto de un servidor de LiveUpdate, sin embargo, pueden ser restringidas tanto en clientes Mac como en Windows. Si restringe las actualizaciones de producto de LiveUpdate en un cliente Mac, se deben proporcionar manualmente. Los clientes Mac no pueden obtener actualizaciones del servidor de administracin.
153
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Ver polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, bajo Tareas, haga clic en Agregar una poltica de configuracin de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Bajo Poltica de LiveUpdate, haga clic en Configuracin del servidor. En el panel Configuracin del servidor, bajo Servidor interno o externo de LiveUpdate, seleccione por lo menos un mtodo de distribucin de contenido. La mayora de las organizaciones deben utilizar el servidor de administracin predeterminado. Si selecciona el servidor de administracin predeterminado en un entorno que contenga equipos con Mac y Windows, los clientes de Mac consiguen sus actualizaciones del servidor predeterminado de LiveUpdate. Ver "Cmo determinar cmo los clientes obtienen contenidos" en la pgina 142.
7 8 9
Si seleccion Usar un servidor de LiveUpdate, bajo Poltica de LiveUpdate, haga clic en Programar. En el panel Programar, acepte o modifique las opciones de programacin. Si seleccion Usar un servidor de LiveUpdate, bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada.
11 Cuando haya configurado su poltica, haga clic en Aceptar. 12 En el cuadro de dilogo Asignar poltica, realice una de las siguientes acciones:
Haga clic en S para guardar y para asignar la poltica a un grupo o a la ubicacin en un grupo. Haga clic en No para guardar la poltica solamente.
154
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Ver polticas, haga clic en LiveUpdate. Haga clic en la ficha Contenido de LiveUpdate. Bajo Tareas, haga clic en Agregar una poltica de contenido de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. En el panel Contenido de LiveUpdate, haga clic en Definiciones de seguridad.
Actualizar definiciones y contenido Cmo ver y cambiar la poltica de contenidos de LiveUpdate rpidamente
155
En el panel Definiciones de seguridad, active las actualizaciones que se descargarn e instalarn, y desactive las actualizaciones que no se utilizarn. Nota: Los clientes Mac pueden instalar solamente actualizaciones a las definiciones antivirus y antispyware.
Si no activ Seleccionar revisin para un tipo de actualizacin, haga clic en Aceptar y, luego, contine con el paso 12. Si activ Seleccionar revisin para un tipo de actualizacin, haga clic en Editar y, luego, contine con el paso siguiente.
11 En la ventana Contenido de LiveUpdate, haga clic en Aceptar. 12 En el cuadro de dilogo Asignar poltica, haga clic en S.
Es posible cancelar este procedimiento y asignar la poltica despus.
156
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
1 2 3 4 5
En la consola, haga clic en Polticas y cree por lo menos dos polticas de contenidos de LiveUpdate. Aplique una de las polticas a un grupo. Haga clic en Clientes. En la ficha Polticas, bajo Configuracin en el panel derecho, haga clic en Configuracin de la poltica de contenidos de LiveUpdate. En el cuadro de dilogo Poltica de contenidos de LiveUpdate, observe el nombre de la poltica actualmente usada bajo Especificar la poltica de contenidos de LiveUpdate que se utilizar para este grupo. Para cambiar la poltica que se aplica al grupo, seleccione la poltica que desee usar y despus haga clic en Aceptar.
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
157
Descripcin
Antes de que configure los proveedores de actualizaciones de grupo, verifique que los clientes puedan recibir actualizaciones de contenido del servidor. Resuelva cualquier problema de comunicacin entre servidor y cliente. Es posible ver la actividad de servidor y cliente en los registros del sistema. Ver "Ver registros" en la pgina 296.
Paso 2
Se configuran los proveedores de actualizaciones de grupo especificando la configuracin de la Poltica de configuracin de LiveUpdate. Es posible configurar un nico proveedor de actualizaciones grupales o varios proveedores de actualizaciones de grupo. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 162.
Paso 3
Asignar la Poltica de Se asigna la Poltica de configuracin de configuracin de LiveUpdate LiveUpdate a los grupos que usan los proveedores a los grupos de actualizaciones de grupo. Adems asigna la poltica al grupo en el cual el proveedor de actualizaciones grupales reside. Para un nico proveedor de actualizaciones grupales, se asigna una Poltica de configuracin de LiveUpdate por grupo por sitio. Para varios proveedores de actualizaciones de grupo, se asigna una Poltica de configuracin de LiveUpdate a varios grupos a travs de subredes. Ver "Asignar una poltica compartida" en la pgina 106. Ver "Acerca de los tipos de proveedores de actualizaciones de grupo" en la pgina 158.
158
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
Paso
Paso 4
Accin
Descripcin
Verificar que los clientes se Es posible ver los equipos cliente que se designen como proveedores designaron como proveedores de actualizaciones de actualizaciones de grupo de grupo. Es posible buscar los equipos cliente para ver una lista de proveedores de actualizaciones de grupo. Las propiedades de un equipo cliente tambin muestran si se trata o no de un proveedor de actualizaciones grupales. Ver "Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo" en la pgina 165. Ver "Ver las propiedades de un cliente" en la pgina 77.
Proveedor de actualizaciones grupales nico Un proveedor de actualizaciones grupales nico es un equipo cliente dedicado que proporciona contenido para uno o ms grupos de clientes. Un proveedor de actualizaciones grupales nico puede ser un equipo cliente en cualquier grupo. Para configurar un proveedor de actualizaciones grupales nico, se especifica la direccin IP o el nombre de host del equipo cliente que desee designar como el proveedor de actualizaciones grupales. Varios proveedores de actualizaciones de grupo Varios proveedores de actualizaciones de grupo usan un conjunto de normas o criterios para elegirse para asistir a los grupos de clientes a travs de subredes. Para configurar varios proveedores de actualizaciones de grupo, se especifican los criterios que los equipos cliente deben cumplir para calificar como proveedor de actualizaciones grupales. Si un equipo cliente cumple los criterios, Symantec Endpoint Protection Manager agrega el cliente a su lista de proveedores de actualizaciones de grupo. Symantec Endpoint Protection Manager entonces pone la lista a disposicin de todos los clientes de su red. Los clientes comprueban la lista y eligen el proveedor de actualizaciones grupales que se encuentra en su subred. Es posible tambin configurar un proveedor de actualizaciones grupales nico y dedicado para distribuir el contenido a los clientes cuando el proveedor de actualizaciones grupales local no est disponible.
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
159
Se usa la poltica de configuracin de LiveUpdate para configurar el tipo de proveedor de actualizaciones grupales. El tipo que se configura depende de cmo se configura su red y si su red incluye o no clientes de una versin anterior. Tabla 8-5 Cundo usar un tipo determinado de proveedor de actualizaciones grupales Cundo usar
Use un proveedor de actualizaciones grupales nico cuando su red incluya cualquiera de las siguientes situaciones: Su red incluye clientes de una versin anterior. Los clientes de una versin anterior pueden conseguir contenido de un proveedor de actualizaciones grupales nico; los clientes de una versin anterior pueden tambin designarse como un proveedor de actualizaciones grupales. Los clientes de una versin anterior no admiten varios proveedores de actualizaciones de grupo. Se desea usar el mismo proveedor de actualizaciones grupales para todos sus equipos cliente. Es posible usar una poltica de configuracin de contenidos de LiveUpdate nica para especificar una direccin IP esttica o un nombre de host para un proveedor de actualizaciones grupales nico. Sin embargo, si los clientes cambian ubicaciones, es necesario cambiar la direccin IP en la poltica. Si desea usar diferentes proveedores de actualizaciones de grupo en diversos grupos, deber crear una poltica de configuracin de LiveUpdate aparte para cada grupo.
160
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
Cundo usar
Use varios proveedores de actualizaciones de grupo cuando su red incluya cualquiera de las siguientes situaciones: Se ejecuta el software de cliente ms actual en los equipos de su red. Varios proveedores de actualizaciones de grupo se admiten en los equipos que ejecutan el software de cliente ms actual. Varios proveedores de actualizaciones de grupo no son compatibles con los clientes de una versin anterior. Los clientes de una versin anterior no pueden conseguir contenido de varios proveedores de actualizaciones de grupo. Los clientes de una versin anterior no pueden ser designados como proveedor de actualizaciones grupales incluso si cumplen los criterios para varios proveedores de actualizaciones de grupo. Es posible crear una poltica de configuracin de LiveUpdate aparte y configurar un proveedor de actualizaciones grupales nico y esttico para un grupo de clientes de una versin anterior. Tiene varios grupos y desea usar diversos proveedores de actualizaciones de grupo para cada grupo. Es posible usar una poltica que especifique las normas para la eleccin de varios proveedores de actualizaciones de grupo. Si los clientes cambian ubicaciones, no deber actualizar la poltica de configuracin de LiveUpdate. Symantec Endpoint Protection Manager combina varios proveedores de actualizaciones de grupo a travs de sitios y de dominios. Pone la lista a disposicin de los clientes en todos los grupos de su red. Varios proveedores de actualizaciones de grupo pueden funcionar como un mecanismo de conmutacin por error. Varios proveedores de actualizaciones de grupo garantizan una alta probabilidad de que, por lo menos, un proveedor de actualizaciones grupales est disponible en cada subred.
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
161
Conjuntos de normas Un conjunto de normas incluye las normas que un cliente debe coincidir para actuar como proveedor de actualizaciones grupales. Normas Las normas pueden especificar direcciones IP, nombres de host, claves de registro de Windows de los clientes o sistemas operativos de los clientes. Es posible incluir uno de cada tipo de norma en un conjunto de normas. Condiciones de normas Una norma especifica una condicin que un cliente debe coincidir para actuar como proveedor de actualizaciones grupales. Si una norma especifica una condicin con varios valores, el cliente debe coincidir con uno de los valores. Tipos de normas Descripcin
Direccin IP o nombre Esta norma especifica direcciones IP o nombres de host de los de host clientes. Claves de registro Esta norma especifica las claves de registro de Windows de los clientes. Esta norma especifica los sistemas operativos de los clientes.
Sistema operativo
Las normas coinciden segn los operadores lgicos OR y AND de la siguiente manera:
Varios conjuntos de normas se utilizan con OR. Un cliente debe coincidir con un conjunto de normas. Varias normas se utilizan con AND. Un cliente debe coincidir con todas las normas que se especifican en un conjunto de normas. Varios valores para una condicin de norma se utilizan con OR. Un cliente debe coincidir con un valor.
Por ejemplo, es posible que tenga que crear el conjunto de normas 1 que incluya una norma de direccin IP con varias direcciones IP. A continuacin, cree el conjunto de normas 2 que incluya una norma de nombre de host y una norma de sistema operativo, cada una con varios valores. Un equipo cliente debe coincidir con el conjunto de normas 1 o el conjunto de normas 2. Un cliente coincide con el conjunto de normas 1 si coincide con alguna de las direcciones IP. Un cliente coincide con el conjunto de normas 2 si coincide con alguno de los nombres de host y alguno de los sistemas operativos. Ver "Cmo configurar varios proveedores de actualizaciones de grupo" en la pgina 164.
162
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, en la ficha Configuracin de LiveUpdate, seleccione la poltica para editar. En el panel Tareas, haga clic en Editar la poltica. En la ventana Poltica de LiveUpdate, haga clic en Configuracin del servidor. En la pgina Configuracin del servidor, en Servidor interno o externo de LiveUpdate, seleccione Usar el servidor de administracin predeterminado (equipos con Windows solamente). No active Usar un servidor de LiveUpdate. El proveedor de actualizaciones grupales que se configura acta como el servidor predeterminado de LiveUpdate.
7 8
En Proveedor de actualizaciones de grupos, seleccione Usar un proveedor de actualizaciones de grupo. Haga clic en Proveedor de actualizaciones grupales.
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
163
En el cuadro de dilogo Proveedor de actualizaciones grupales, configure el tipo de proveedor de actualizaciones grupales. Nota: Los clientes de una versin anterior pueden usar solamente un nico proveedor de actualizaciones grupales. Los clientes de una versin anterior no admiten varios proveedores de actualizaciones de grupo. Ver "Configuracin de un nico proveedor de actualizaciones grupales" en la pgina 163. Ver "Cmo configurar varios proveedores de actualizaciones de grupo" en la pgina 164.
164
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
Siga los pasos para configurar un proveedor de actualizaciones grupales. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 162.
En el cuadro de dilogo Proveedor de actualizaciones grupales, bajo Seleccin de proveedores de actualizaciones de grupo para cliente, active Direccin IP o nombre de host nico de proveedor de actualizaciones grupales. En el cuadro Direccin IP o nombre de host nico de proveedor de actualizaciones grupales, escriba la direccin IP o el nombre de host del equipo cliente que acta como nico proveedor de actualizaciones grupales. Haga clic en Ayuda para obtener informacin sobre la direccin IP o el nombre de host. Ver "Acerca de los tipos de proveedores de actualizaciones de grupo" en la pgina 158. Ver "Cmo configurar varios proveedores de actualizaciones de grupo" en la pgina 164. Ver "Distribucin de contenido usando los proveedores de actualizaciones de grupo" en la pgina 156.
Siga los pasos para configurar un proveedor de actualizaciones grupales. Ver "Configuracin de un Proveedor de actualizaciones grupales" en la pgina 162.
En el cuadro de dilogo Proveedor de actualizaciones grupales, bajo Seleccin de proveedores de actualizaciones de grupo para cliente, active Varios proveedores de actualizaciones de grupo. Haga clic en Configure la lista de proveedores de actualizaciones de grupo. En el cuadro de dilogo Lista de proveedores de actualizaciones de grupo, seleccione el nodo de rbol Proveedor de actualizaciones grupales. Haga clic en Agregar para aadir un conjunto de normas.
3 4 5
Actualizar definiciones y contenido Distribucin de contenido usando los proveedores de actualizaciones de grupo
165
En el cuadro de dilogo Especifique los criterios de las normas del proveedor de actualizaciones grupales, en la lista desplegable Comprobar, seleccione una de las siguientes opciones:
7 8
Si seleccion Direccin IP/nombre de host del equipo o Claves de registro, haga clic en Agregar. Escriba o seleccione la direccin IP o el nombre de host, la clave de registro de Windows o la informacin del sistema operativo. Haga clic en Ayuda para obtener informacin sobre normas de configuracin. Ver "Acerca de configurar las normas para varios proveedores de actualizaciones de grupo" en la pgina 160.
Haga clic en Aceptar hasta que vuelva al cuadro de dilogo Proveedor de actualizaciones grupales. aada opcionalmente ms conjuntos de normas.
10 En el cuadro de dilogo Lista de proveedores de actualizaciones de grupo, 11 Escriba una direccin IP o un nombre de host de un proveedor de
actualizaciones grupales en el cuadro de texto Especifique el nombre de host o la direccin IP de un proveedor de actualizaciones grupales en una subred diferente que se vaya a utilizar, si no estn disponibles los proveedores de actualizaciones de grupo en la subred local.
Cmo buscar los clientes que actan como proveedores de actualizaciones de grupo
Es posible verificar que los clientes estn disponibles como proveedores de actualizaciones de grupo. Es posible ver una lista de proveedores de actualizaciones de grupo buscndolos en la ficha Clientes. Nota: Es posible adems seleccionar las propiedades de un cliente. Las propiedades incluyen un campo que indica si el cliente es o no proveedor de actualizaciones grupales.
166
Para buscar los clientes que actan como proveedores de actualizaciones de grupo
1 2 3 4 5 6 7 8
En la consola, haga clic en Clientes. En la pgina Clientes, en la ficha Clientes, en el cuadro Ver, active Estado del cliente. En el panel Tareas, haga clic en Buscar clientes. En el cuadro Buscar, active Equipos. En el cuadro En el grupo, especifique el nombre de grupo. Bajo Criterios de bsqueda, en la columna Campo de bsqueda, active Proveedor de actualizaciones grupales. Bajo Criterios de bsqueda, en la columna Operador de comparacin, active =. Bajo Criterios de bsqueda, en la columna Valor, active Verdadero. Haga clic en Ayuda para obtener informacin sobre los criterios de bsqueda.
Haga clic en Buscar. Ver "Distribucin de contenido usando los proveedores de actualizaciones de grupo" en la pgina 156.
Actualizar definiciones y contenido Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin
167
Nota: Las definiciones de antivirus y antispyware estn incluidas en los archivos vdb y jdb que puede distribuir. Los archivos vdb slo admiten clientes de 32 bits. Los archivos jdb admiten clientes de 32 bits y clientes de 64 bits. Estos son los archivos que se colocan en las bandejas de entrada de los equipos cliente. Puede descargar actualizaciones del siguiente sitio: ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin
Para distribuir actualizaciones de definiciones de virus y riesgos de seguridad actualizadas, descargue un nuevo Intelligent Updater. A continuacin, use su mtodo de distribucin preferido para enviar las actualizaciones a sus clientes. Nota: Actualmente, Intelligent Updater actualiza slo las definiciones de virus y riesgos de seguridad. Asegrese de utilizar los archivos de Intelligent Updater para la versin de empresas en lugar de la versin del producto para consumidores. Ver "Acerca de Intelligent Updater" en la pgina 166. Para descargar Intelligent Updater
2 3
Haga clic en el archivo apropiado del producto con la extensin .exe. Cuando se le solicite que especifique una ubicacin para guardar los archivos, seleccione una carpeta del disco duro.
1 2
Localice el archivo de Intelligent Updater que haya descargado de Symantec. Haga doble clic en el archivo y siga las instrucciones que aparecern en pantalla.
168
Actualizar definiciones y contenido Acerca de los archivos que se usan en la distribucin de otro fabricante del contenido de LiveUpdate
Acerca de los archivos que se usan en la distribucin de otro fabricante del contenido de LiveUpdate
El procedimiento de distribucin de otro fabricante de Symantec Endpoint Protection utiliza un archivo denominado index2.dax. El contenido de LiveUpdate del archivo index2.dax incluye un conjunto de monikers de contenido y sus nmeros de secuencia asociados. Cada moniker de contenido se corresponde con un tipo especfico de contenido. Cada nmero de secuencia del archivo index2.dax se corresponde con una revisin de un tipo especfico de contenido. Para ver una asignacin del moniker a su tipo de contenido, abra el archivo ContentInfo.txt. Por lo general, el archivo se ubica en la carpeta \Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Inetpub\content. Por ejemplo, es posible que vea la entrada siguiente:
{C60DC234-65F9-4674-94AE-62158EFCA433}: SESC Virus Definitions Win32 v11 - MicroDefsB.CurDefs - SymAllLanguages
Hay un archivo index2.dax para cada grupo de clientes. El archivo est ubicado en la carpeta que se corresponde con el nmero de serie de la poltica del grupo. El nmero de serie se muestra en el cuadro de dilogo Propiedades de grupo. Los primeros cuatro valores hexadecimales del nmero de serie deben coincidir con los primeros cuatro valores hexadecimales de uno de los nombres de carpeta. El archivo index2.dax est cifrado. Para ver el contenido del archivo, puede abrir el archivo index2.xml, que est disponible en la misma carpeta. Puede ver una lista de los monikers de contenido con sus nmeros de secuencia (revisin). Por ejemplo, es posible que vea la entrada siguiente:
<File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1" FullSize="30266080" LastModifiedTime="1186471722609" Moniker= "{C60DC234-65F9- 4674-94AE-62158EFCA433}" Seq="80806003"/>
La poltica de contenidos de LiveUpdate de los clientes a los que distribuye contenido especifica una revisin especfica de contenido o el contenido ms reciente. El nmero de secuencia del archivo index2.dax que usa para la distribucin debe coincidir con el nmero de secuencia que se corresponde con el contenido especificado en la Poltica de contenidos de LiveUpdate para el grupo. Por ejemplo, si la poltica de contenidos de LiveUpdate est configurada en Usar el ltimo disponible para todos los tipos de contenido, el nmero de secuencia de cada tipo de contenido se configura en el contenido ms reciente disponible en Symantec Endpoint Protection Manager. En este ejemplo, la distribucin nicamente funciona si el archivo index2.dax que usa para la distribucin utiliza los nmeros de secuencia (revisiones) que se corresponden con la ltima revisin
Actualizar definiciones y contenido Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes administrados
169
de contenido. La distribucin genera un error si los nmeros de secuencia se corresponden con cualquier otra revisin. Ver "Distribuir contenido a clientes administrados con herramientas de distribucin de terceros" en la pgina 171.
Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes administrados
Las redes grandes pueden confiar en las herramientas de distribucin de otro fabricante como IBM Tivoli, Microsoft SMS, entre otros, para distribuir actualizaciones en los equipos cliente. El software de cliente de Symantec admite la distribucin de actualizaciones con estas herramientas. Para utilizar las herramientas de distribucin de otro fabricante, debe conseguir los archivos de actualizacin y distribuirlos con una herramienta de distribucin. Para los clientes administrados, puede conseguir archivos de actualizacin despus de instalar y configurar el servidor de Symantec Endpoint Protection Management como el primer y nico servidor de un sitio. Despus programe y seleccione las actualizaciones de contenido de LiveUpdate para descargar en el sitio. Ver "Configurar un sitio para descargar actualizaciones de contenido" en la pgina 147. Los archivos de actualizacin se descargan en los subdirectorios del siguiente directorio (predeterminado): \Archivos de programa\Symantec Endpoint Protection Manager\data\outbox\ A continuacin, distribuya los archivos en la carpeta de la bandeja de entrada de los equipos cliente: De forma predeterminada, esta carpeta no existe y el software de cliente no marca ni procesa contenido en esta carpeta. Para los clientes administrados, debe configurar la Poltica de configuracin de LiveUpdate para el grupo, activar la distribucin de otro fabricante en los clientes del grupo, y aplicar la poltica. La carpeta de la bandeja de entrada, entonces, aparece en los equipos cliente en el grupo. Para los clientes no administrados, es necesario habilitar manualmente una clave de registro de Windows en los equipos cliente. La carpeta de la bandeja de entrada aparece en la siguiente ubicacin en los equipos cliente que no ejecutan Windows Vista: \\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox\
170
Actualizar definiciones y contenido Activar la distribucin de contenido de otro fabricante en clientes administrados con una Poltica de configuracin de LiveUpdate
La carpeta de la bandeja de entrada aparece en la siguiente ubicacin en los equipos cliente que ejecutan Windows Vista: \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Ver "Distribuir contenido a clientes administrados con herramientas de distribucin de terceros" en la pgina 171.
Activar la distribucin de contenido de otro fabricante en clientes administrados con una Poltica de configuracin de LiveUpdate
Cuando crea una Poltica de LiveUpdate que admite la distribucin de contenido de otros fabricantes en los clientes administrados, tiene un par de objetivos adicionales. Un objetivo es reducir la frecuencia con la que los clientes buscan actualizaciones. El otro objetivo es, generalmente, desactivar la capacidad de los usuarios de clientes de ejecutar manualmente LiveUpdate. Los clientes administrados se administran con las polticas de Symantec Endpoint Protection Manager. Cuando haya terminado con este procedimiento, el siguiente directorio aparece en los equipos cliente del grupo que no ejecuta Windows Vista: \\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox\ El siguiente directorio aparece en los equipos cliente del grupo que ejecuta Windows Vista: \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Para activar la distribucin de contenido de otro fabricante en clientes administrados con una poltica de LiveUpdate
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, en la ficha Configuracin de LiveUpdate, en Tareas, haga clic en Agregar una poltica de configuracin de LiveUpdate. En la ventana Poltica de LiveUpdate, en los cuadros de texto Nombre de poltica y Descripcin, escriba un nombre y una descripcin. Haga clic en Configuracin del servidor. En Administrador de terceros, seleccione Habilitar administracin de contenido de terceros.
Actualizar definiciones y contenido Distribuir contenido a clientes administrados con herramientas de distribucin de terceros
171
7 8 9
Desactive el resto de las opciones del origen de LiveUpdate. Haga clic en Aceptar. En el cuadro de dilogo Asignar poltica, haga clic en S. Es posible cancelar este procedimiento y asignar la poltica despus.
1 2 3
En el equipo con Symantec Endpoint Protection Manager, cree un directorio de trabajo, tal como \Dir_Trabajo. En la consola, en la ficha Clientes, haga clic con el botn secundario en el grupo que desea actualizar y, despus, haga clic en Propiedades. Documente los primeros cuatro valores hexadecimales del Nmero de serie de la poltica, tal como 7B86.
172
Actualizar definiciones y contenido Distribuir contenido a clientes administrados con herramientas de distribucin de terceros
5 6 7
Localice el directorio que contiene los primeros cuatro valores hexadecimales que coinciden con el Nmero de serie de la poltica de su grupo de clientes. Abra el directorio y copie index2.dax en su directorio de trabajo, por ejemplo\Dir_Trabajo\index2.dax. Desplcese hasta el siguiente directorio: \\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Inetpub\content
Abra y lea ContentInfo.txt para detectar el contenido que cada directorio de <<apodo de destino>> incluye. El contenido de cada directorio es <<apodo de destino>>\<nm. secuencia>\full.zip|full.
Copie el contenido de cada directorio \<<apodo de destino>> al directorio de trabajo, como \Dir_Trabajo. modo que solamente permanezcan en el directorio de trabajo la estructura de directorios y archivos siguiente: \\Dir_Trabajo\<<apodo de destino>>\<ltimo nmero de secuencia>\full.zip Su directorio de trabajo ahora contiene la estructura de directorios y archivos para distribuir a sus clientes.
Actualizar definiciones y contenido Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes autoadministrados
173
Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes autoadministrados
Si instal clientes autoadministrados desde el CD de instalacin, los clientes no confan y no procesan las actualizaciones de polticas o de contenido de LiveUpdate para los propsitos de seguridad. Para permitir que los clientes procesen actualizaciones, debe crear la siguiente clave de registro de Windows: HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState Configure el valor al hexadecimal 80 de modo que la clave se vea como 0x00000080 (128) Despus de configurar esta clave, debe reiniciar el equipo o ejecutar los siguientes comandos desde el directorio \Symantec\Symantec Endpoint Protection\:
smc.exe -stop smc.exe -start
La carpeta de la bandeja de entrada aparece en la siguiente ubicacin en los equipos cliente que no ejecutan Windows Vista: \\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox\ La carpeta de la bandeja de entrada aparece en la siguiente ubicacin en los equipos cliente que s ejecutan Windows Vista: \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Ahora puede utilizar las herramientas de distribucin de otro fabricante para copiar las actualizaciones de contenido o de polticas a este directorio. El software de cliente de Symantec despus confa y procesa el contenido. Se consigue que el contenido se distribuya de Symantec Endpoint Protection Manager casi de la misma manera que para los clientes administrados. Sin embargo, copie index2.xml del grupo Mi compaa, en vez de copiar index2.dax de su directorio de grupos de clientes administrados. Copie el archivo .dax completo segn lo descrito para el cliente administrado. Luego, podr distribuir estos archivos. Es posible adems cortar los archivos .vdb y .jdb de la bandeja de entrada del cliente para procesarlos. Nota: Si prepara la actualizacin de los archivos en los equipos, debe copiarlos a la bandeja de entrada. Los archivos de la actualizacin no se procesan si los mueve a la bandeja de entrada.
174
Nota: Despus de una instalacin de cliente administrado, la clave de registro de Windows de TPMState tiene un valor de 0, que es posible modificar. (Esta clave no existe despus de una instalacin de cliente autoadministrado). Adems, no es necesario que reinicie el equipo o que ejecute el comando smc.exe para la instalacin del cliente administrado. El directorio aparece tan pronto como se modifique la clave de registro de Windows. Ver "Distribuir contenido a clientes administrados con herramientas de distribucin de terceros" en la pgina 171. Ver "Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones de contenido a los clientes administrados" en la pgina 169.
1 2
En la consola, haga clic en Clientes y bajo Ver clientes, seleccione un grupo. En la ficha Clientes, realice una de las siguientes acciones:
Para los equipos y los usuarios en un grupo, haga clic con el botn secundario en el grupo y haga clic en Ejecutar comando en el grupo. Para los equipos o los usuarios seleccionados dentro de un grupo, seleccione al grupo, haga clic con el botn secundario en los equipos o los usuarios, y haga clic en Ejecutar comando en los clientes.
175
Si seleccion Actualizar contenido y analizar, seleccione el tipo de anlisis, haga clic en Aceptar y, despus, haga clic en S.
176
Captulo
Acerca del acceso a la interfaz del cliente Bloquear y desbloquear las opciones administradas Modificar el nivel de control del usuario Proteger el cliente con contrasea
Para las opciones de antivirus y de proteccin contra software espa, es posible bloquear o desbloquear las opciones.
178
Cmo visualizar funciones en la interfaz de usuario del cliente Bloquear y desbloquear las opciones administradas
Para las opciones de firewall, las opciones de prevencin de intrusiones y algunas opciones de la interfaz de usuario del cliente, es posible configurar el nivel de control del usuario y configurar las opciones asociadas. Es posible proteger el cliente con contrasea. Ver "Proteger el cliente con contrasea" en la pgina 185.
Las opciones se bloquean o se desbloquean en las pginas o los cuadros de dilogo donde aparecen. Para bloquear y desbloquear las opciones administradas
Abra una poltica antivirus y antispyware. Ver "Editar una poltica" en la pgina 105.
Auto-Protect para el sistema de archivos Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook
Cmo visualizar funciones en la interfaz de usuario del cliente Modificar el nivel de control del usuario
179
Auto-Protect para Lotus Notes Anlisis de amenazas proactivos TruScan Envos Otros
3 4
Haga clic en el icono del candado para bloquear o desbloquear la opcin. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. Adems, puede bloquear y desbloquear las opciones de proteccin contra intervenciones. Ver "Configurar Proteccin contra intervenciones" en la pgina 420.
180
Cmo visualizar funciones en la interfaz de usuario del cliente Modificar el nivel de control del usuario
Tabla 9-2
La configuracin que se establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Cuando se crea una nueva ubicacin, se establece automticamente el control de servidores para ella. Control de clientes Proporciona a los usuarios el control ms alto sobre el cliente. El control de clientes desbloquea la configuracin administrada de modo que los usuarios puedan configurarla. El control de clientes tiene las caractersticas siguientes: Los usuarios pueden modificar o activar normas de firewall, notificaciones de firewall, opciones de firewall, opciones especficas de la aplicacin, opciones de la prevencin de intrusiones y opciones de la interfaz de usuario del cliente. El cliente omite las normas de firewall que usted configura para el cliente.
Es posible otorgar control de clientes a los equipos cliente que los empleados utilizan en una ubicacin remota o desde su casa.
Cmo visualizar funciones en la interfaz de usuario del cliente Modificar el nivel de control del usuario
181
Descripcin
Proporciona al usuario un control mixto sobre el cliente. El control mixto tiene las caractersticas siguientes: Los usuarios pueden modificar las normas de firewall y las opciones especficas de la aplicacin. Es posible configurar las normas de firewall, que pueden o no reemplazar las normas que los usuarios configuran. La posicin de las normas del servidor en la lista de normas de la poltica de firewall determina si las normas del servidor reemplazan las normas del cliente. Es posible especificar ciertas opciones para que estn disponibles o no en el cliente para que los usuarios puedan activarlas y configurarlas. Estas opciones incluyen los registros de la proteccin contra amenazas de red, los registros de administracin de clientes, las opciones del firewall, las opciones de la prevencin de intrusiones y algunas opciones de la interfaz de usuario. Es posible configurar las opciones de la proteccin antivirus y antispyware para que reemplacen la configuracin del cliente, incluso si la configuracin est desbloqueada. Por ejemplo, si usted desbloquea la funcin Auto-Protect y el usuario la desactiva, es posible activar Auto-Protect.
La configuracin que se establece para el control de clientes est disponible para el usuario. La configuracin que se establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 182.
Algunas opciones administradas tienen elementos dependientes. Por ejemplo, los usuarios pueden tener permiso para configurar normas de firewall, pero no pueden acceder a la interfaz de usuario del cliente. Dado que los usuarios no tienen acceso al cuadro de dilogo Configurar normas de firewall, no pueden crear normas. Es posible configurar un nivel de control de usuario distinto para cada ubicacin. Nota: Los clientes que se ejecutan en control de clientes o control mixto pasan al control de servidores cuando el servidor aplica una poltica de cuarentena.
182
Cmo visualizar funciones en la interfaz de usuario del cliente Modificar el nivel de control del usuario
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo cuya ubicacin desea modificar. Haga clic en la ficha Polticas. En Configuracin y polticas especficas de la ubicacin, en la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente, realice una de las siguientes opciones:
Haga clic en Control de servidores y despus haga clic en Personalizar. Configure cualquiera de las opciones y despus haga clic en Aceptar. Haga clic en Control de clientes. Haga clic en Control mixto y a continuacin haga clic en Personalizar. Configure cualquiera de las opciones y despus haga clic en Aceptar. Ver "Acerca del control mixto" en la pgina 182. Para el cliente de Symantec Network Access Control, es posible hacer clic en Mostrar el cliente y Mostrar el icono del rea de notificacin.
Cmo visualizar funciones en la interfaz de usuario del cliente Modificar el nivel de control del usuario
183
Opciones de interfaz de usuario Ver "Configurar opciones de la interfaz de usuario" en la pgina 183. Opciones de proteccin general contra amenazas de red Ver "Configurar las opciones de proteccin contra amenazas de red para el control mixto" en la pgina 553. Opciones de polticas de firewall Ver "Acerca de trabajar con polticas de firewall" en la pgina 514. Opciones de polticas de prevencin de intrusiones Ver "Configurar la prevencin de intrusiones" en la pgina 540.
Configure el nivel de control del usuario cliente en control del servidor. Configure el nivel de control del usuario del cliente en control mixto y configure la funcin principal en la ficha Configuracin de control de clientes y servidores en Servidor. Por ejemplo, es posible configurar la opcin Mostrar u ocultar icono del rea de notificacin en Cliente. El icono del rea de notificacin aparece en el cliente, y el usuario puede elegir mostrar u ocultar el icono. Si configura la opcin Mostrar u ocultar icono del rea de notificacin en Servidor, puede elegir si desea visualizar el icono del rea de notificacin en el cliente.
Modifique el nivel de control del usuario por control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 179.
En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente para nombre de la ubicacin, al lado de Control mixto, haga clic en Personalizar. En el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente, en la ficha Configuracin de control de clientes y servidores, realice una de las siguientes acciones:
Bloquee una opcin de modo que se pueda configurar solamente desde el servidor. Para la opcin que desee bloquear, haga clic en Servidor. Cualquier configuracin de la Proteccin antivirus y antispyware que usted establezca en Servidor anula la configuracin del cliente. Desbloquee una opcin de modo que el usuario pueda configurarla en el cliente. Para la opcin que desee, haga clic en Cliente. Cliente est
184
Cmo visualizar funciones en la interfaz de usuario del cliente Modificar el nivel de control del usuario
seleccionado de forma predeterminada para todas las opciones, excepto para la configuracin antivirus y antispyware.
Para las siguientes opciones que usted configura en Servidor, haga clic en la ficha Configuracin de la interfaz de usuario del cliente para configurarlas:
Mostrar u ocultar icono del rea de notificacin Habilitar y deshabilitar la Proteccin contra amenazas de red Mostrar el icono del rea de notificacin
Comando de men Prueba de seguridad Permitir a los usuarios realizar prueba de de red seguridad. Configurar las opciones de configuracin del trfico IP no coincidentes Mostrar/ocultar notificaciones de prevencin de intrusiones Permita el trfico IP o solamente el trfico de aplicaciones, y avise al usuario antes de permitir el trfico de aplicaciones Mostrar notificaciones de prevencin de intrusiones
Para obtener informacin sobre en qu parte de la consola se configuran las opciones restantes que usted establece en Servidor, haga clic en Ayuda. Para habilitar la configuracin del firewall y la configuracin de prevencin de intrusiones, configrelas en las polticas de firewall y de prevencin de intrusiones. Ver "Activar el filtro de trfico inteligente" en la pgina 533. Ver "Activar configuracin de trfico y de ocultacin" en la pgina 534. Ver "Configurar la prevencin de intrusiones" en la pgina 540.
En la ficha Configuracin de la interfaz de usuario del cliente, marque la casilla de verificacin de la opcin de modo que la opcin est disponible en el cliente. Haga clic en Aceptar. Haga clic en Aceptar.
6 7
Modifique el nivel de control del usuario por control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 179.
En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente para nombre de la ubicacin, al lado de Control de servidores, haga clic en Personalizar.
Cmo visualizar funciones en la interfaz de usuario del cliente Proteger el cliente con contrasea
185
En el cuadro de dilogo Configuracin de la interfaz de usuario del cliente, marque la casilla de verificacin de una opcin de modo que la opcin aparezca en el cliente para que el usuario la utilice. Haga clic en Aceptar. Haga clic en Aceptar.
4 5
Abra la interfaz de usuario del cliente. Detener el cliente. Importar y exportar la poltica de seguridad. Desinstalar el cliente.
Es posible modificar la configuracin de la proteccin mediante contrasea solamente para los subgrupos que no heredan de un grupo principal. Ver "Acerca del acceso a la interfaz del cliente" en la pgina 177. Para proteger el cliente con contrasea
1 2 3 4 5
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo para el que desea configurar la proteccin mediante contrasea. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. Haga clic en Configuracin de seguridad. En la ficha Configuracin de seguridad, elija una de las siguientes casillas de verificacin:
Solicitar una contrasea para abrir la interfaz de usuario del cliente Solicitar una contrasea para detener el servicio de cliente Solicitar una contrasea para importar o exportar una poltica Solicitar una contrasea para desinstalar el cliente
186
Cmo visualizar funciones en la interfaz de usuario del cliente Proteger el cliente con contrasea
7 8
En el cuadro de texto Confirmar contrasea, vuelva a escribir la contrasea. Haga clic en Aceptar.
Captulo
10
Cmo administrar la conexin entre los servidores de administracin y los clientes Acerca de los servidores de administracin Agregar una lista de servidores de administracin Especificar una lista de servidores de administracin Modificar el orden en el cual se conectan los servidores de administracin Asignar una lista de servidores de administracin a un grupo y a una ubicacin Ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin Reemplazo de una lista de servidores de administracin Copiar y pegar una lista de servidores de administracin Exportar e importar una lista de servidores de administracin
188
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo administrar la conexin entre los servidores de administracin y los clientes
Visualizacin del estado del cliente en la consola de administracin Configurar las opciones de configuracin para una ubicacin Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
Tarea
Leer sobre los servidores de administracin y las listas de servidores de administracin
Decidir si va a usar o no la lista Es posible agregar y despus elegir una lista alternativa predeterminada de servidores de de servidores de administracin o la lista administracin predeterminada de servidores de administracin. La lista de servidores de administracin proporciona una lista de varios servidores de administracin a los que los clientes pueden conectarse. Ver "Agregar una lista de servidores de administracin" en la pgina 190. Ver "Especificar una lista de servidores de administracin" en la pgina 192. Ver "Modificar el orden en el cual se conectan los servidores de administracin " en la pgina 193.
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo administrar la conexin entre los servidores de administracin y los clientes
189
Tarea
Elegir el mtodo para descargar las polticas y el contenido para los clientes
Descripcin
Es posible configurar que el servidor de administracin enve las polticas al cliente o que los clientes obtengan las polticas del servidor de administracin. Ver "Acerca de actualizar las polticas en los clientes" en la pgina 117. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 118.
Comprobar el nmero de serie de El nmero de serie de las polticas debe coincidir si el polticas en el cliente y en la cliente puede comunicarse con el servidor y recibir consola de administracin actualizaciones de polticas regulares. Es posible realizar una actualizacin de polticas manual y despus comparar los nmeros de serie de polticas. Ver "Realizacin de una actualizacin de polticas manual para comprobar el nmero de serie de polticas" en la pgina 120. Configurar las opciones de Es posible configurar diferentes opciones de configuracin para una ubicacin comunicacin para una ubicacin en un grupo. Ver "Configurar las opciones de configuracin para una ubicacin" en la pgina 199. Comprobar si el cliente est conectado al servidor de administracin Es posible comprobar el icono de estado en el cliente y en la consola de administracin. El icono de estado muestra si el cliente y el servidor se comunican. Ver "Visualizacin del estado del cliente en la consola de administracin" en la pgina 197. Un equipo puede tener el software de cliente instalado, pero no tener el archivo de comunicaciones correcto. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 71. Ver "Implementar software de cliente con Buscar equipos no administrados" en la pgina 133. Solucionar problemas de conectividad con el servidor de administracin Si el servidor de administracin y el cliente no se conectan, se pueden solucionar los problemas de conexin. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 200.
190
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Acerca de los servidores de administracin
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Agregar una lista de servidores de administracin
191
Si no estn disponibles los servidores de administracin con la prioridad ms alta, los clientes y los mdulos de aplicacin Enforcer opcionales intentan conectarse a los servidores de administracin con la prioridad siguiente. Una lista predeterminada de servidores de administracin se crea automticamente para cada sitio. Todos los servidores de administracin disponibles en ese sitio se agregan a la lista predeterminada de servidores de administracin con la misma prioridad. Si agrega varios servidores de administracin con la misma prioridad, los clientes pueden conectarse a cualquiera de los servidores de administracin. Los clientes balancean la carga automticamente entre los servidores de administracin disponibles en esa prioridad. Es posible utilizar el protocolo HTTPS en lugar de la configuracin predeterminada de HTTP para la comunicacin. Si desea proteger an ms la comunicacin, es posible personalizar los nmeros de puerto HTTP y HTTPS creando una lista de servidores de administracin personalizada. Sin embargo, es necesario personalizar los puertos antes de instalar los clientes. Si no, se pierde la comunicacin entre el cliente y el servidor de administracin. Si actualiza la versin de del servidor de administracin, debe recordar volver a personalizar los puertos de modo que los clientes puedan reanudar la comunicacin. Despus de que agregue una nueva lista de servidores de administracin, debe asignarla a un grupo o una ubicacin especfica, o a ambas. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 194. Para agregar una lista de servidores de administracin
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. Bajo Tareas, haga clic en Agregar una lista de servidores de administracin. En el cuadro de dilogo Listas de servidores de administracin, en el campo de texto Nombre, escriba un nombre para la lista de servidores de administracin y una descripcin opcional. Para especificar qu protocolo de comunicacin se utilizar entre los servidores de administracin y los clientes, seleccione una de las siguientes opciones:
192
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Especificar una lista de servidores de administracin
Utilice esta opcin si desea que los servidores de administracin se comuniquen usando HTTPS y si el servidor est ejecutando Secure Sockets Layer (SSL).
Si necesita la verificacin de un certificado con autoridades de certificacin de otros fabricantes de confianza, marque Verificar certificado al utilizar protocolo HTTPS. Para agregar un servidor, haga clic en Agregar > Nuevo servidor. En el cuadro de dilogo Agregar servidor de administracin, en el campo de texto Direccin del servidor, escriba la direccin IP o el nombre de host del servidor de administracin. Si desea modificar el nmero de puerto para el protocolo HTTP o HTTPS para este servidor, realice una de las siguientes tareas:
7 8
Active Personalizar puerto HTTP y escriba un nuevo nmero de puerto. El nmero de puerto predeterminado para el protocolo HTTP es 8014. Active Personalizar puerto HTTPS y escriba un nuevo nmero de puerto. El nmero de puerto predeterminado para el protocolo HTTPS es 443. Si personaliza los nmeros de puerto HTTP o HTTPS despus de la implementacin del cliente, los clientes pierden la comunicacin con el servidor de administracin.
10 Haga clic en Aceptar. 11 Si es necesario agregar un servidor de administracin con una prioridad
diferente que el servidor de administracin recin agregado, haga clic en Agregar > Nueva prioridad.
12 Repita los pasos de 7 a 10 para aadir ms servidores de administracin. 13 En el cuadro de dilogo Listas de servidores de administracin, haga clic en
Aceptar.
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Modificar el orden en el cual se conectan los servidores de administracin
193
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee especificar una lista de servidores de administracin. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal. No es posible configurar ninguna opcin de comunicacin para un grupo a menos que el grupo ya no herede polticas y configuracin de un grupo principal.
4 5
Bajo Configuracin y polticas independientes de la ubicacin, en la rea Configuracin, haga clic en Configuracin de comunicacin. En Configuracin de comunicaciones para nombre del grupo, bajo Lista de servidores de administracin, seleccione la lista de servidores de administracin. El grupo seleccionado utiliza esta lista de servidores de administracin al comunicarse con el servidor de administracin.
1 2
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin.
194
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Asignar una lista de servidores de administracin a un grupo y a una ubicacin
En el panel Listas de servidores de administracin, seleccione la lista de servidores de administracin para la cual desea modificar el orden de los servidores de administracin. Bajo Tareas, haga clic en Editar la lista. En el cuadro de dilogo Listas de servidores de administracin, bajo Servidores de administracin, seleccione la direccin IP, el nombre de host o la prioridad del servidor de administracin. Es posible mover una direccin IP o un nombre de host a una prioridad diferente. Si decide modificar una prioridad, se modifican automticamente todas las direcciones IP y los nombres de host asociados de la prioridad.
4 5
6 7
Haga clic en Subir o Bajar. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Aceptar.
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee asignar. Bajo Tareas, haga clic en Asignar la lista. En el cuadro de dilogo Aplicar lista de servidores de administracin, marque los grupos y las ubicaciones a las que desee aplicar la lista de servidores de administracin. Haga clic en Asignar. Cuando se le solicite, haga clic en S.
6 7
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin
195
Ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin
Se pueden visualizar los grupos y las ubicaciones a los cuales se ha asignado una lista de servidores de administracin. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 194. Para ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista de servidores de administracin cuyos grupos y ubicaciones desea visualizar. Bajo Tareas, haga clic en Mostrar los grupos o las ubicaciones asignadas. Los grupos o las ubicaciones que se asignan a la lista seleccionada de servidores de administracin muestran un pequeo crculo verde con una marca blanca.
En el cuadro de dilogo nombre de la lista de servidores de administracin: Grupos y ubicaciones asignados, haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee reemplazar. Bajo Tareas, haga clic en Reemplazar la lista.
196
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Copiar y pegar una lista de servidores de administracin
En el cuadro Reemplazar lista de servidores de administracin, seleccione la lista de servidores de administracin de reemplazo desde la lista desplegable Nuevo servidor de administracin. Marque los grupos o las ubicaciones a los cuales desee aplicar la lista de servidores de administracin de reemplazo. Haga clic en Reemplazar. Cuando se le solicite, haga clic en S.
6 7 8
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee copiar. Bajo Tareas, haga clic en Copiar la lista. Bajo Tareas, haga clic en Pegar lista.
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Visualizacin del estado del cliente en la consola de administracin
197
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee exportar. En la pgina Polticas, bajo Tareas, haga clic en Exportar la lista. En el cuadro de dilogo Exportar poltica, busque la carpeta en la cual desea exportar el archivo de lista de servidores de administracin. Haga clic en Exportar. Si se le pide modificar el nombre de archivo en el cuadro de dilogo Exportar poltica, modifique el nombre de archivo y haga clic en Aceptar.
1 2 3 4 5
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. Bajo Tareas, haga clic en Importar una lista de servidores de administracin. En el cuadro de dilogo Importar poltica, vaya al archivo de lista del servidor de administracin que desee importar y haga clic en Importar. Si se le pide modificar el nombre de archivo en el cuadro de dilogo de entrada, modifique el nombre de archivo y haga clic en Aceptar.
198
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Visualizacin del estado del cliente en la consola de administracin
Icono
Descripcin
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.
Este icono indica el estado siguiente: El cliente no puede comunicarse con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.
El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Configurar las opciones de configuracin para una ubicacin
199
Icono
Descripcin
Este icono indica el estado siguiente: El cliente puede comunicarse con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de usuario.
Ver "Qu que se puede hacer desde la consola" en la pgina 44. Para visualizar el estado del cliente en la consola de administracin
1 2
En la consola de administracin, en la pgina Clientes, bajo Ver clientes, seleccione el grupo al que pertenece el cliente. Mire la ficha Clientes. El nombre del cliente debe aparecer en la lista al lado de un icono que muestra el estado del cliente.
El modo de control en el que los clientes ejecutan. La lista de servidores de administracin que los clientes utilizan. El modo de descarga en el que los clientes ejecutan. Si desea una lista de todas las aplicaciones que se ejecutan en los clientes que se recopilarn y se enviarn al servidor de administracin. Los intervalos de latidos que los clientes utilizan para las descargas.
200
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
Independientemente de si el servidor de administracin calcula aleatoriamente las descargas de contenido del servidor de administracin predeterminado o de un proveedor de actualizaciones grupales.
1 2 3 4
En la consola, haga clic en Clientes. En la pgina Clientes, seleccione un grupo. En la ficha Polticas, en Configuracin y polticas especficas de la ubicacin, en una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de comunicaciones, haga clic en Tareas y, despus, anule la seleccin de Usar configuracin de comunicaciones de grupo. Haga clic en Tareas y, despus, en Editar configuracin. En el cuadro de dilogo Configuracin de comunicaciones para nombre de la ubicacin, modifique la configuracin de esa ubicacin solamente. Haga clic en Aceptar.
5 6 7
Qu comprobar
Consultar la configuracin Es posible descargar y ver el archivo de la solucin de de comunicacin en el cliente problemas en el cliente para verificar la configuracin de comunicacin. Ver "Investigacin de los problemas de los clientes" en la pgina 202.
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
201
Qu comprobar
Descripcin
Probar la conectividad entre Es posible emitir varios comandos en el cliente para probar el cliente y el servidor de la conectividad con el servidor de administracin. administracin Puede realizar las siguientes pruebas: Establezca una comunicacin ping con el servidor de administracin desde el equipo cliente. Ver "Usar el comando ping para probar la conectividad con el servidor de administracin" en la pgina 202. Establezca una comunicacin telnet con el servidor de administracin desde el equipo cliente. Ver "Usar el comando telnet para probar la conectividad con el servidor de administracin" en la pgina 204. Utilice un navegador Web en el equipo cliente para conectarse al servidor de administracin. Ver "Usar un navegador para probar la conectividad con el servidor de administracin" en la pgina 203.
Es necesario verificar que no haya problemas de red; para ello compruebe los puntos siguientes: Pruebe la conectividad entre el cliente y el servidor de administracin primero. Si el equipo cliente no puede establecer una comunicacin ping o telnet con el servidor de administracin, es necesario verificar el servicio DNS para el cliente. Compruebe la ruta de enrutamiento del cliente.
Compruebe que el servidor de administracin no tenga problemas de red. Compruebe que el firewall de Symantec Endpoint Protection (o cualquier firewall de otro fabricante) no cause ningn problema de red.
Es posible comprobar los registros de IIS en el servidor de administracin. Los registros pueden ayudarlo a determinar si el cliente puede comunicarse con el servidor IIS en el equipo del servidor de administracin. Ver "Comprobar los registros de IIS en el servidor de administracin" en la pgina 205.
Es posible utilizar el registro de depuracin en el cliente para determinar si el cliente tiene problemas de comunicacin. Ver "Comprobar los registros de depuracin en el equipo cliente" en la pgina 204.
202
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
Qu comprobar
Recuperar la comunicacin perdida con el cliente
Descripcin
Si los clientes han perdido la comunicacin con un servidor de administracin, se puede usar una herramienta para recuperar el archivo de comunicacin. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 206.
1 2 3 4
En el equipo cliente, abra el cliente. En el cliente, haga clic en Ayuda y despus haga clic en Solucin de problemas. En el cliente, bajo Datos para la solucin de problemas, haga clic en Exportar. En el cuadro de dilogo Guardar como, acepte el nombre de archivo predeterminado de solucin de problemas o escriba un nuevo nombre de archivo y despus haga clic en Guardar. Es posible guardar el archivo en el escritorio o en una carpeta que elija.
Usando un programa de edicin de texto, abra Solucin_de_problemas.txt para examinar el contenido. Contacte al soporte tcnico de Symantec para obtener ayuda. El soporte tcnico de Symantec puede solicitar que enve por correo electrnico el archivo Solucin_de_problemas.txt.
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
203
Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 200. Usar el comando ping para probar la conectividad con el servidor de administracin
1 2
En el cliente, abra una lnea de comandos. Escriba el comando ping. Por ejemplo: ping nombre donde nombre es el nombre del equipo del servidor de administracin. Es posible utilizar la direccin IP del servidor en lugar del nombre del equipo. En cualquier caso, el comando debe devolver la direccin IP correcta del servidor. Si el comando ping no devuelve la direccin correcta, verifique el servicio DNS para el cliente y compruebe su ruta de encaminamiento.
1 2
En el equipo cliente, abra un navegador web, como Internet Explorer. En la lnea de comandos del navegador, escriba un comando que sea similar a cualquiera de los comandos siguientes: http://direccin IP del servidor de administracin:8014/reporting/index.php Si aparece la pgina web de inicio de sesin de informes, el cliente puede comunicarse con el servidor de administracin. http://nombre del servidor de administracin:8014/secars/secars.dll?secars,hello Si aparece la pgina de Symantec Endpoint Protection Manager, el cliente puede comunicarse con el servidor de administracin.
Si no aparece una pgina web, compruebe la existencia de cualquier problema de red. Verifique el servicio DNS para el cliente y compruebe su ruta de encaminamiento.
204
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
1 2
En el equipo cliente, cercirese de que el servicio telnet est activado e iniciado. Abra una lnea de comandos y escriba el comando telnet. Por ejemplo: telnet direccin ip:80 donde direccin ip es la direccin IP del servidor de administracin. Si la conexin telnet falla, verifique el servicio DNS del cliente y compruebe la ruta de enrutamiento.
En el cliente, en el men Ayuda y asistencia tcnica, en el cuadro de dilogo Solucin de problemas, puede hacer clic en Editar configuracin del registro de depuracin y escribir un nombre para el registro. Despus puede hacer clic en Ver registro. Es posible utilizar el registro de Windows para activar la depuracin en el cliente. Es posible encontrar la clave de registro de Windows en la ubicacin siguiente:
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
205
En el servidor de administracin, en HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM, establezca el valor DebugLevel en 3. Tpicamente, la bandeja de entrada aparece en la ubicacin siguiente en el equipo del servidor de administracin:
\Archivos de programa\Symantec\ Symantec Endpoint Protection Manager\data\ inbox\log
Es posible abrir los registros con una aplicacin de texto como el Bloc de notas.
206
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
En el servidor de administracin, vaya al directorio de los archivos de registro de IIS. Una ruta tpica al directorio es: \WINDOWS\system32\LogFiles\W3SVC1
Abra el archivo de registro ms reciente con una aplicacin de texto como el Bloc de notas. Por ejemplo, el nombre de archivo del registro puede ser ex070924.log. Revise los mensajes de registro. El archivo debe incluir tanto mensajes GET como POST.
Migrar o mover clientes a un nuevo dominio o servidor de administracin. Restaurar las rupturas de comunicacin al cliente que no pueden ser corregidas en el servidor de administracin. Mover un cliente de un servidor a otro servidor que no sea un partner de replicacin. Mover un cliente de un dominio a otro. Convertir un cliente no administrado en un cliente administrado. Convertir un cliente administrado en un cliente no administrado.
Es posible escribir un script con la herramienta para modificar la configuracin de comunicacin para una gran cantidad de clientes. Ver "Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente" en la pgina 200.
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
207
En la consola, exporte el archivo de comunicacin del grupo que se conecta al servidor de administracin al cual desea que el equipo cliente se conecte. Ver "Convertir un cliente no administrado en un cliente administrado" en la pgina 71.
2 3
Distribuya el archivo de comunicacin al equipo cliente. En el disco 3 del CD de instalacin, localice la carpeta \Tools\NoSupport\SylinkDrop y abra SylinkDrop.exe. Es posible ejecutar la herramienta remotamente o guardarla y despus ejecutarla en el equipo cliente. Si usa la herramienta en la lnea de comandos, lea el archivo SylinkDrop.txt para obtener una lista de los parmetros de comando de la herramienta.
4 5 6 7
En el cuadro de dilogo desplegable Sylink, haga clic en Examinar y localice el archivo .xml que se distribuy en el paso 2 al equipo cliente. Haga clic en Actualizar Sylink. Si ve un cuadro de dilogo de confirmacin, haga clic en Aceptar. En el cuadro de dilogo desplegable Sylink, haga clic en Salir.
208
Cmo administrar la comunicacin entre los servidores de administracin y los clientes Cmo solucionar problemas de comunicacin entre el servidor de administracin y el cliente
Captulo
11
Supervisar la proteccin de puntos finales Acerca de diversos mtodos para acceder a las funciones de elaboracin de informes Acerca de los informes Acerca de la pgina principal de Symantec Endpoint Protection Configurar Informes favoritos en la pgina principal Acerca del uso de los vnculos de Security Response Uso de la Pgina principal de Symantec Network Access Control Usar la ficha Resumen de Supervisin Configurar preferencias de la elaboracin de informes Cmo eliminar virus y riesgos para la seguridad Encontrar los clientes desconectados
210
Es posible realizar las siguientes tareas en Symantec Endpoint Protection Manager para proteger los equipos en su red. Tabla 11-1 Tarea Tareas para supervisar la proteccin de puntos finales Descripcin
Supervisar el estado de Es posible ver la informacin en la distribucin de definiciones seguridad de su red de virus, de vnculos a Symantec Security Response y de vnculos a sus informes preferidos. Es posible realizar las siguientes tareas para obtener el estado de seguridad de los equipos cliente. Obtenga un recuento de virus y de otros riesgos para la seguridad detectados, y vea detalles de cada virus y riesgo para la seguridad. Ver "Acerca de la pgina principal de Symantec Endpoint Protection" en la pgina 217. Vea un grfico de riesgos, ataques o infecciones por hora.
Obtenga un recuento de equipos desprotegidos en su red y vea detalles de cada uno. Consulte la distribucin de las definiciones de virus y la distribucin de la prevencin de intrusiones de las ltimas 12 horas. Adems, consulte las fechas de la versin ms actual de las definiciones de Symantec y en Symantec Endpoint Protection Manager. Vea un resumen de cuntos equipos cliente estn protegidos. Ver "Usar la ficha Resumen de Supervisin" en la pgina 228.
Es posible hacer las siguientes tareas para ver qu equipos necesitan proteccin adicional: Ver registros de sucesos. Ver "Acerca de los registros" en la pgina 287. Ver "Ver registros" en la pgina 296. Ejecutar informes predefinidos y personalizables con los datos que el servidor de administracin recopila de los clientes. Ver "Acerca de los informes" en la pgina 215. Ver "Crear informes rpidos" en la pgina 274. Programar informes sobre el estado de seguridad que se enviar por correo electrnico regularmente a otros administradores. Ver "Crear y eliminar informes programados" en la pgina 279.
Supervisar la proteccin de puntos finales Acerca de diversos mtodos para acceder a las funciones de elaboracin de informes
211
Tarea
Proteger sus equipos cliente
Descripcin
Es posible emitir comandos desde la consola para proteger los equipos cliente. Elimine los riesgos para la seguridad en los equipos cliente. Ver "Cmo eliminar virus y riesgos para la seguridad" en la pgina 234. Vea qu clientes estn desconectados. Ver "Encontrar los clientes desconectados" en la pgina 239. Ejecute comandos en el cliente desde la consola. Ver "Ejecutar comandos y acciones de registros" en la pgina 303.
Es posible crear y configurar las notificaciones para que se activen cuando ocurren ciertos sucesos relacionados con la seguridad. Por ejemplo, se puede configurar una notificacin para que ocurra cuando un intento de intrusin ocurre en un equipo cliente. Ver "Acerca del uso de notificaciones" en la pgina 311. Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 312. Ver "Crear notificaciones de administrador" en la pgina 313.
212
Supervisar la proteccin de puntos finales Acerca de diversos mtodos para acceder a las funciones de elaboracin de informes
Nota: La informacin que se proporciona en este documento asume que se utiliza la consola para acceder a funciones de elaboracin de informes en lugar de un navegador web. Los procedimientos para utilizar las funciones de elaboracin de informes son similares, independientemente del mtodo de acceso a ellos. Sin embargo, los procedimientos especficos para usar la elaboracin de informes en un navegador independiente no se documentan, a excepcin de cmo iniciar sesin usando un navegador web independiente. Ver "Cmo iniciar sesin en los informes desde un navegador web independiente" en la pgina 213. Ver "Inicio de sesin en la consola de Symantec Endpoint Protection Manager" en la pgina 41. Para acceder a las funciones de elaboracin de informes por cualquier mtodo, es necesario tener Internet Explorer 6.0 o posterior instalado. Otros navegadores Web no se admiten. Es posible adems utilizar la consola o un navegador Web para ver informes cuando est conectado a travs de una sesin de terminal remota. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Para acceder a informes desde un navegador Web, es necesario tener la siguiente informacin:
La direccin IP o el nombre de host del servidor de administracin. El nombre y la contrasea de cuenta para el administrador.
Cuando se utiliza un navegador Web para acceder a funciones de elaboracin de informes, no hay pginas ni iconos de la pgina en la visualizacin. Todas las fichas que se encuentran en las pginas principal, Supervisin e Informes de la consola se encuentran en la parte superior de la ventana del navegador. Es posible acceder a la ayuda contextual haciendo clic en el vnculo Ms informacin, que se encuentra en las pginas de la consola que se usan para las funciones de elaboracin de informes. Ver "Cmo modificar el puerto utilizado para acceder a la ayuda contextual para la elaboracin de informes" en la pgina 213.
Supervisar la proteccin de puntos finales Acerca de diversos mtodos para acceder a las funciones de elaboracin de informes
213
1 2
Abra un navegador web. Escriba la URL de informes en el cuadro de texto de direccin en el siguiente formato: http://nombre de servidor:puerto /reporting/index.php?
Cuando aparece el cuadro de dilogo de inicio de sesin, escriba su nombre de usuario y contrasea, y despus haga clic en Iniciar sesin. Si tiene ms de un dominio, en el cuadro de texto Dominio, escriba su nombre de dominio.
Cmo modificar el puerto utilizado para acceder a la ayuda contextual para la elaboracin de informes
Si no utiliza el puerto predeterminado cuando se instalan las pginas de ayuda para informes, no es posible acceder a la ayuda contextual en pantalla. Para acceder a la ayuda contextual cuando se utiliza un puerto no predeterminado, es necesario agregar una variable al archivo Reporter.php. Ver "Acerca de diversos mtodos para acceder a las funciones de elaboracin de informes" en la pgina 211. Para modificar el puerto utilizado para acceder a la ayuda contextual para la elaboracin de informes
1 2
Cambie el directorio por unidad:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. Abra el archivo de configuracin Reporter.php con un editor.
214
Supervisar la proteccin de puntos finales Acerca de diversos mtodos para acceder a las funciones de elaboracin de informes
Agregue la lnea siguiente al archivo y sustituya el nmero de puerto por el nmero de puerto que usted utiliz cuando instal la ayuda de informes. $scm_http_port=nmero de puerto
Asociacin del host local a la direccin IP cuando se deshabilitan las direcciones de bucle
Si ha desactivado las direcciones de bucle invertido en el equipo, las pginas de informes no se visualizan. Si intenta iniciar sesin en la consola de Symantec Endpoint Protection Manager o acceder a las funciones de elaboracin de informes, se ve el mensaje de error siguiente: No es posible establecer una comunicacin con el componente de informes Las pginas Inicio, Supervisin e Informes estn en blanco; las pginas Polticas, Clientes y Administrador parecen normales y funcionan normalmente. Para que se muestren los componentes de Informes cuando estn desactivadas las direcciones de bucle invertido, es necesario asociar la palabra localhost (host local) con la direccin IP de su equipo. Es posible editar el archivo de host de Windows para asociar el host local con una direccin IP. Ver "Acerca de diversos mtodos para acceder a las funciones de elaboracin de informes" en la pgina 211. Para asociar el host local con la direccin IP en los equipos con Windows
Cambie el directorio a la ubicacin de su archivo de host. De forma predeterminada, el archivo de host se encuentra en %SystemRoot%\ system32\drivers\etc.
2 3
Abra el archivo de host con un editor. Agregue la lnea siguiente al archivo de host: xxx.xxx.xxx.xxx localhost #funciones de informes para iniciar sesin donde se sustituye xxx.xxx.xxx.xxx por la direccin IP de su equipo. Es posible agregar cualquier comentario que desee despus del signo #. Por ejemplo, es posible escribir la siguiente lnea: 192.168.1.100 localhost # esta entrada es para mi equipo de consola
215
Generar informes rpidos (Symantec Endpoint Protection y Symantec Network Access Control) Generar informes programados (Symantec Endpoint Protection y Symantec Network Access Control)
Informes rpidos predefinidos e informes grficos personalizables con varias opciones de filtro que es posible configurar. Ver "Acerca de informes rpidos" en la pgina 269. La capacidad de programar los informes que se enviarn por correo electrnico a los destinatarios en intervalos regulares. Ver "Acerca de los informes programados" en la pgina 278.
216
Tarea
Ver informes resumidos (Symantec Endpoint Protection solamente)
Descripcin
Vistas de resumen de los informes que muestran el estado de la proteccin antivirus y contra amenazas proactivas TruScan, la proteccin contra amenazas de red, el cumplimiento y el estado del sitio Ver "Usar la ficha Resumen de Supervisin" en la pgina 228.
La elaboracin de informes se ejecuta como aplicacin Web dentro de la consola. La aplicacin utiliza un servidor Web para entregar esta informacin. Es posible adems acceder a las funciones de elaboracin de informes desde un navegador Web independiente que se conecte al servidor de administracin. Ver "Acerca de diversos mtodos para acceder a las funciones de elaboracin de informes" en la pgina 211. Ver "Acerca de los informes que puede ejecutar" en la pgina 241.
Supervisar la proteccin de puntos finales Acerca de la pgina principal de Symantec Endpoint Protection
217
218
Supervisar la proteccin de puntos finales Acerca de la pgina principal de Symantec Endpoint Protection
Tabla 11-3
Supervisar la proteccin de puntos finales Acerca de la pgina principal de Symantec Endpoint Protection
219
La cantidad de medidas que se tomaron sobre virus y riesgos de seguridad. La incidencia de nuevas detecciones de virus y riesgos de seguridad. El nmero de equipos que permanecen infectados por virus y riesgos de seguridad.
El Resumen de acciones por cantidad de equipos resume la siguiente informacin: El nmero de equipos distintos en los cuales se tomaron varias medidas sobre virus y riesgos de seguridad. La cantidad total de nuevas detecciones de virus y riesgos de seguridad.
El nmero total de equipos que permanecen infectados por virus y riesgos de seguridad.
Por ejemplo, suponga que tiene cinco acciones limpiadas en la vista por cantidad de detecciones. Si todas las detecciones ocurren en el mismo equipo, la vista por cantidad de equipos muestra una cantidad de uno, no cinco. En cualquiera de las acciones, haga clic en el nmero de virus o riesgos de seguridad para ver un informe detallado. Un riesgo para la seguridad sospechoso indica que un Anlisis de amenazas proactivo TruScan ha detectado algo que debe investigar. Puede o no ser inofensivo. Si determina que este riesgo es inofensivo, podr utilizar la poltica de excepciones centralizadas para excluirlo de detecciones en el futuro. Si ha configurado que se registren los anlisis de amenazas proactivos TruScan y determina que este riesgo es daino, es posible utilizar la poltica de excepciones centralizadas para terminarlo o ponerlo en cuarentena. Si ha utilizado la configuracin predeterminada del Anlisisdeamenazasproactivo TruScan, Symantec Endpoint Protection no puede reparar este riesgo. Si determina que este riesgo es daino, deber quitar el riesgo manualmente.
220
Supervisar la proteccin de puntos finales Acerca de la pgina principal de Symantec Endpoint Protection
Supervisar la proteccin de puntos finales Acerca de la pgina principal de Symantec Endpoint Protection
221
Es posible modificar la visualizacin haciendo clic en una nueva vista en el cuadro de lista.
El motor antivirus se encuentra desactivado. Auto-Protect se encuentra desactivado. Proteccin contra intervenciones se encuentra desactivado.
Los equipos necesitan reiniciarse para completar ciertas clases de reparacin de riesgos o para finalizar la instalacin de una descarga de software de LiveUpdate. Los equipos no superaron una comprobacin de integridad del host. Este nmero es siempre cero si usted no tiene Symantec Network Access Control instalado. Los equipos que no se han registrado en el servidor de administracin. Es posible hacer clic en cada nmero bajo Equipos para ver los detalles. Adems, el nmero de notificaciones no reconocidas en las ltimas 24 horas aparece como vnculo debajo de Resumen del estado. Haga clic en el vnculo para abrir la ventana Notificaciones. Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 312.
222
Supervisar la proteccin de puntos finales Acerca de la pgina principal de Symantec Endpoint Protection
La lista de Deteccin de aplicaciones comerciales La lista Deteccin de amenazas proactiva TruScan, que es la lista personalizada de aplicaciones en observacin
Es posible hacer clic en un nmero para visualizar un informe ms detallado. Informes favoritos La seccin Informes favoritos contiene tres informes predeterminados. Es posible personalizar esta seccin reemplazando uno o ms de estos informes con otro informe predeterminado o personalizado que desee. Los informes favoritos se ejecutan cada vez que usted los ve, de modo que sus datos sean actuales. Aparecen en una nueva ventana. Para seleccionar los informes a los que usted desea acceder desde la pgina principal, puede hacer clic en el icono ms (+) ubicado al lado de Informes favoritos. Ver "Configurar Informes favoritos en la pgina principal" en la pgina 223.
Es posible hacer clic en Preferencias, bajo Estado de seguridad para cambiar el perodo de tiempo para los informes y los resmenes que se visualizan en esas
223
pginas. La configuracin predeterminada es de las ltimas 12 horas; la otra opcin es las ltimas 24 horas. Es posible adems modificar los informes predeterminados que se visualizan en la seccin Informes favoritos de la pgina principal.
Principales fuentes de ataque Correlacin principal de detecciones de riesgos Distribucin de amenazas proactiva de TruScan
Nota: Cuando se personaliza la visualizacin, se personaliza la visualizacin para la cuenta de usuario conectada solamente. Los valores configurados en esta pgina se guardarn para todas las sesiones. La prxima vez que inicie sesin en la consola con las mismas credenciales de usuario, esta configuracin se utilizar para la visualizacin de la pgina principal. Tabla 11-4 describe las opciones de visualizacin de la pgina principal.
224
Tabla 11-4
Opcin
Tipo de informe
Control de aplicaciones y dispositivos Auditora Cumplimiento Estado del equipo Proteccin contra amenazas de red Riesgo Anlisis Sistema
Enumera los nombres de los informes disponibles para el tipo de informe que usted seleccion. Si ha guardado filtros asociados al informe que usted seleccion, aparecen en este cuadro de lista. El filtro predeterminado siempre es mencionado.
Filtro
Ver "Acerca de la pgina principal de Symantec Endpoint Protection" en la pgina 217. Para configurar los informes favoritos en la pgina principal
1 2 3 4 5 6 7
Haga clic en Pgina principal. Haga clic en el icono ms (+) al lado de Informes favoritos. Desde el cuadro de lista del informe que desee modificar, haga clic en un tipo de informe. Por ejemplo, haga clic en Riesgo. Desde el cuadro de lista siguiente, haga clic en el nombre del informe que desee. Por ejemplo, haga clic en Distribucin de riesgos a lo largo del tiempo. Si ha guardado filtros asociados al informe que usted seleccion, seleccione el que desea utilizar o seleccione el filtro predeterminado. Repita este paso para los vnculos del segundo y el tercer informe, si lo desea. Haga clic en Aceptar. Los vnculos a los informes que usted seleccion aparecen en su pgina principal.
Supervisar la proteccin de puntos finales Acerca del uso de los vnculos de Security Response
225
1 - Normal No hay actividad de incidentes de red perceptible ni ninguna actividad de cdigo malicioso con una clasificacin de riesgo moderado o grave. Bajo condiciones normales, solamente se necesita un grado de seguridad de rutina, diseado para derrotar amenazas de red normales. Deben utilizarse sistemas y mecanismos de notificacin automatizados. 2 - Elevado El conocimiento o la expectativa de actividad del ataque estn presentes, sin incidencia de sucesos especficos. Se utiliza esta clasificacin cuando el cdigo malicioso alcanza un nivel de riesgo moderado. Bajo esta condicin, se debe realizar un examen cuidadoso de los sistemas vulnerables y expuestos. Las aplicaciones de seguridad se deben actualizar con nuevas firmas y normas tan pronto como estn disponibles. Se recomiendan la supervisin cuidadosa de los registros, pero no se requiere ningn cambio en la infraestructura de seguridad real. 3 - Alto Este nivel se aplica cuando una amenaza aislada para la infraestructura informtica est en curso o cuando el cdigo malicioso alcanza un nivel de riesgo grave. Bajo esta condicin, es necesaria mayor supervisin. Las aplicaciones de seguridad se deben actualizar con nuevas firmas y normas tan pronto como estn disponibles. Se recomienda volver a implementar y configurar los sistemas de seguridad. 4 - Extremo Este nivel se aplica cuando hay actividad extrema de incidentes de la red global en curso. La puesta en prctica de medidas en estas condiciones de amenazas durante ms que un perodo corto puede generar dificultades y afectar las operaciones normales de la infraestructura en red.
Para obtener ms informacin sobre los niveles de amenaza, haga clic en el vnculo de Symantec para ver el sitio Web de Symantec.
226
Supervisar la proteccin de puntos finales Uso de la Pgina principal de Symantec Network Access Control
Nota: Los riesgos de seguridad especficos son clasificados de 1 a 5. Cada vnculo muestra una pgina en una ventana nueva. Tabla 11-5 describe los vnculos de Security Response. Tabla 11-5 Vnculo
Alertas de seguridad
Symantec
Muestra el sitio Web de Symantec. Puede obtener informacin sobre riesgos y riesgos de seguridad, descargas de definiciones de virus y noticias sobre los productos de seguridad de Symantec. Muestra la pgina de descarga de definiciones de virus del sitio Web de Symantec. Muestra el sitio Web de Symantec Security Response, donde se muestran las amenazas y los avisos de seguridad ms recientes. Muestra el sitio Web de Security Focus, donde se incluye informacin acerca de los virus ms recientes.
Definiciones
ltimas amenazas
Security Focus
Supervisar la proteccin de puntos finales Uso de la Pgina principal de Symantec Network Access Control
227
Nota: Los informes se filtran automticamente basados en los permisos del usuario que ha iniciado sesin. Si es administrador del sistema, se ve la informacin de todos los dominios. Si es administrador limitado con derechos de acceso a solamente un dominio, se ve la informacin solamente de ese dominio. Tabla 11-6 describe los informes de la Pgina principal de Symantec Network Access Control. Tabla 11-6 Resumen
Error en el estado de cumplimiento de la red
Si tiene solamente Symantec Network Access Control instalado, los informes de la Pgina principal no son personalizables, a excepcin del perodo de tiempo
228
cubierto por los informes y los resmenes. Es posible modificar el plazo usando el vnculo Preferencias. Las opciones son: ltima semana y ltimas 24 horas. Nota: Si es administrador del sistema, se ve la informacin de todos los dominios. Si es administrador limitado con derechos de acceso a solamente un dominio, se ve la informacin solamente de ese dominio.
Antivirus y anlisis de amenazas proactivo TruScan Proteccin contra amenazas de red Cumplimiento Estado del sitio
229
Tabla 11-7
Vista de resumen
Antivirus y anlisis de amenazas proactivo TruScan
Anlisis de amenazas proactivos TruScan Distribucin de riesgos Nuevos riesgos Distribucin de riesgos por origen Distribucin de riesgos por atacante Distribucin de riesgos por grupo
Principales destinos atacados por grupo Tipos de sucesos de ataque Principales fuentes de ataque Sucesos de seguridad por gravedad
230
Vista de resumen
Cumplimiento
Contenido
La vista Cumplimiento contiene la siguiente informacin:
Error en el estado de cumplimiento de la red Distribucin del estado de cumplimiento Resumen de clientes por error de cumplimiento Detalles del error de cumplimiento
Estado del sitio Generadores principales de errores por servidor Generadores principales de errores por cliente Errores de replicacin a lo largo del tiempo Generadores principales de errores por Enforcer
Si tiene solamente a Symantec Network Access Control instalado, se debe tener en cuenta la siguiente informacin:
La vista Cumplimiento que se describe en Tabla 11-7 comprende su pgina Inicio. La vista Estado del sitio es la nica disponible en la ficha Resumen.
Es posible hacer clic en cualquiera de los grficos circulares de la vista de la ficha Resumen para ver ms detalles. Para ver el resumen de Principales destinos atacados, en Proteccin contra amenazas de red, utilice el cuadro de lista para ver el resumen por grupos, subredes, clientes o puertos. Nota: Si tiene solamente a Symantec Endpoint Protection instalado, los grficos en la vista de resumen Cumplimiento estn vacos. Si tiene solamente a Symantec Network Access Control instalado, la ficha Resumen contiene solamente la vista Estado del sitio. Es posible ver la informacin del resumen de Cumplimiento en la pgina Inicio.
231
1 2
En la ventana principal, haga clic en Supervisin. En la parte superior de la ficha Resumen, en el cuadro de lista Tipo de resumen, seleccione el tipo de vista que desea ver.
Las opciones de visualizacin de la pgina Supervisin y de la Pgina principal Los umbrales de Estado de seguridad Las opciones de visualizacin que se utilizan para los registros y los informes, as como la carga de la versin anterior del archivo de registro
Para obtener informacin sobre las opciones de preferencia que puede configurar, haga clic en Ayuda en cada ficha, en el cuadro de dilogo Preferencias. Para configurar preferencias de elaboracin de informes
1 2
Desde la consola, en la Pgina principal, haga clic en Preferencias. Haga clic en una de las siguientes fichas, segn el tipo de preferencias que desee configurar:
Inicio y supervisin Ver "Acerca de las opciones de visualizacin de Inicio y supervisin" en la pgina 231. Estado de seguridad Ver "Configurar umbrales de estado de seguridad" en la pgina 232. Registros e informes Ver "Configurar preferencias para registros e informes" en la pgina 233.
3 4
Configure los valores para las opciones que desee modificar. Haga clic en Aceptar.
La unidad de tiempo que se utiliza para los informes en la pgina principal y en la ficha Vista de resumen de la pgina Supervisin
232
La velocidad a la cual la pgina principal y la ficha Vista de resumen de la pgina Supervisin se actualizan automticamente El grado de las notificaciones que se incluyen en la cantidad de notificaciones no reconocidas en la pgina principal El contenido de Resumen de acciones de la pgina principal
De forma predeterminada, se ve la informacin de las ltimas 24 horas, pero se puede modificar a la ltima semana si as se desea. Es posible adems configurar la velocidad a la cual la pgina principal y la ficha Vista de resumen de la pgina Supervisin se actualizan automticamente. Los valores vlidos van desde nunca hasta cada 5 minutos. Nota: Para configurar la velocidad a la cual los registros individuales se actualizan, es posible mostrar el registro que se desea ver. A continuacin, es posible seleccionar la velocidad deseada del cuadro de lista Actualizacin automtica en la vista de ese registro. Si es administrador del sistema, puede configurar el contador de la pgina principal para incluir solamente las notificaciones que usted cre pero no ha reconocido. De forma predeterminada, los administradores del sistema ven el nmero total de notificaciones no reconocidas, sin importar quin cre las notificaciones. Si es administrador limitado, el contador de notificaciones no reconocidas consiste siempre solamente en las notificaciones que usted mismo cre pero no ha reconocido. Es posible configurar Resumen de acciones en la pgina principal para visualizar por cantidad de detecciones en los equipos o por el nmero de equipos. Ver "Acerca de la pgina principal de Symantec Endpoint Protection" en la pgina 217. Para conocer las descripciones de estas opciones de visualizacin, consulte la ayuda contextual de la ficha Inicio y supervisin. Es posible acceder a la ayuda contextual desde el vnculo Preferencias en la pgina principal. Ver "Configurar preferencias de la elaboracin de informes" en la pgina 231.
233
definiciones de virus desactualizadas que activa un estado de seguridad malo. Es posible tambin configurar cuntos das de antigedad necesitan las definiciones para calificar como obsoletas. Symantec Endpoint Protection determina lo que es actual cuando se calcula si las firmas o las definiciones son obsoletas de la siguiente manera. Su estndar son las definiciones de virus ms recientes y las fechas de las firmas IPS que estn disponibles en el servidor de administracin en el cual se ejecuta la consola. Nota: Si tiene solamente Symantec Network Access Control instalado, no tiene una ficha Estado de seguridad para configurar umbrales de seguridad. Para conocer las descripciones de estas opciones de visualizacin, vea la ayuda contextual de la ficha Estado de seguridad. Es posible acceder a la ayuda contextual desde el vnculo Preferencias en la pgina principal. Ver "Configurar preferencias de la elaboracin de informes" en la pgina 231. Para configurar umbrales de estado de seguridad
1 2
Desde la consola, en la pgina principal, haga clic en Preferencias. En la ficha Estado de seguridad, marque los elementos que desee incluir en los criterios que determinan el estado general de la seguridad de la pgina principal. Para cada elemento, escriba el nmero que desea que active un estado de seguridad Se necesita atencin.. Haga clic en Aceptar.
3 4
El formato de fecha y el separador de fecha que se utilizan para la visualizacin de la fecha El nmero de filas, la zona horaria y el formato de la direccin IP que se utilizan para la visualizacin de la tabla La visualizacin del filtro en informes y notificaciones La disponibilidad de datos de registro de los equipos de la red que ejecutan software Symantec Antivirus 10.x
Para conocer las descripciones de estas opciones de visualizacin, consulte la ayuda contextual de la ficha Registros e Informes. Es posible acceder a la ayuda contextual desde el vnculo Preferencias en la pgina principal.
234
Supervisar la proteccin de puntos finales Cmo eliminar virus y riesgos para la seguridad
Nota: El formato de visualizacin de la fecha que usted establece aqu no se aplica a las fechas y las versiones de definiciones de virus que se visualizan en columnas de la tabla. Estos elementos utilizan siempre el formato A-M-D. Ver "Configurar preferencias de la elaboracin de informes" en la pgina 231.
Identificar cualquier equipo cliente infectado Ver "Identificar los equipos infectados y en o los equipos que estn en peligro. riesgo" en la pgina 235. Determinar por qu los equipos estn infectados o en peligro. Es posible realizar una comprobacin para asegurarse de que todos los equipos tienen Symantec Endpoint Protection instalado y configurado correctamente. Es posible ejecutar actualizaciones y anlisis para asegurarse de revisar la lista ms actual de infecciones y de riesgos. Ver "Actualizar definiciones y volver a analizar" en la pgina 238.
Supervisar la proteccin de puntos finales Cmo eliminar virus y riesgos para la seguridad
235
Paso
Reparar la infeccin o el riesgo.
Descripcin
La reparacin depende del tipo de infeccin o de riesgo. Es posible reparar de cualquiera de las siguientes maneras: Revise las acciones que se asocian a los anlisis y vuelva a analizar los equipos infectados o en peligro. Ver "Modificar una accin y volver a analizar los equipos identificados" en la pgina 236. Ver "Reiniciar los equipos que necesitan un reinicio para finalizar la reparacin" en la pgina 237. Investigue y elimine los riesgos restantes. Ver "Acerca de investigar y limpiar los riesgos restantes" en la pgina 237. Elimine cualquier evento sospechoso (clientes Windows solamente). Ver "Cmo eliminar un evento sospechoso" en la pgina 238.
En la consola, haga clic en Inicio y mire el Resumen de acciones. Si es administrador del sistema, ver la cantidad de equipos recientemente infectados y an infectados que hay en su sitio. Si es administrador del dominio, ver la cantidad de equipos recientemente infectados y an infectados que hay en su dominio. La categora An infectado es un subconjunto de Recientemente infectado, y la cantidad de equipos an infectados disminuye a medida que elimina los riesgos de la red. Los equipos estn an infectados si un anlisis posterior informa que estn infectados. Por ejemplo, Symantec Endpoint Protection pudo haber limpiado un riesgo de un equipo slo parcialmente, y Auto-Protect an detecta el riesgo.
2 3
En la consola, haga clic en Informes. En el cuadro de lista Tipo de informe, haga clic en Riesgo.
236
Supervisar la proteccin de puntos finales Cmo eliminar virus y riesgos para la seguridad
4 5
En el cuadro de lista Seleccionar un informe, haga clic en Equipos infectados y en riesgo. Haga clic en Crear informe y observe las listas de los equipos infectados y en riesgo que aparecen.
1 2
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro de riesgo y despus haga clic en Ver registro. Desde la columna de eventos del registro de riesgos, es posible ver qu sucedi y qu medida se tom. Desde la columna de nombre de riesgo, es posible ver los nombres de los riesgos que siguen activos. Desde la columna de usuario de grupo de dominio, es posible ver a qu grupo pertenece el equipo. Si un cliente est en peligro porque un anlisis tom la medida Ignorado, es posible que deba modificar la poltica antivirus y contra software espa para el grupo. Desde la columna Equipo, es posible ver los nombres de los equipos que an tienen riesgos activos. Ver "Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows" en la pgina 463. Si su poltica se configura para utilizar modo de transferencia, se transfiere a los clientes del grupo en el latido siguiente. Ver "Configurar el modo de transferencia o al modo de obtencin para actualizar las polticas de los clientes y el contenido" en la pgina 118.
3 4
Haga clic en Volver. En la ficha Registros, seleccione el registro de estado del equipo y despus haga clic en Ver registro.
Supervisar la proteccin de puntos finales Cmo eliminar virus y riesgos para la seguridad
237
5 6
Si modific una accin y elimin una nueva poltica, seleccione los equipos que necesitan volver a analizarse con la nueva configuracin. Desde el cuadro Lista de comandos, seleccione Analizar y despus haga clic en Iniciar para volver a analizar los equipos. Es posible supervisar el estado del comando Analizar desde la ficha Estado del comando.
En el registro de riesgos, marque la columna Debe reiniciar. Puede ser que un riesgo se haya eliminado parcialmente de algunos equipos, pero los equipos an necesitan un reinicio para finalizar la reparacin.
2 3
Seleccione de la lista los equipos que necesitan un reinicio. En el cuadro Lista de comandos, seleccione Reiniciar equipos y luego haga clic en Iniciar. Es posible supervisar el estado del comando Reiniciar equipos desde la ficha Estado del comando.
238
Supervisar la proteccin de puntos finales Cmo eliminar virus y riesgos para la seguridad
Para los equipos que quedan en la vista, marque la columna Fecha de las definiciones. Si algunos equipos tienen definiciones de virus que estn desactualizadas, seleccione esos equipos. En el cuadro Lista de comandos, seleccione Actualizar contenido y anlisis, y despus haga clic en Iniciar. Es posible supervisar el estado del comando Actualizar contenido y anlisis desde la ficha Estado del comando.
Haga clic en Inicio y mire los nmeros de las filas An infectado y Recientemente infectado del Resumen de acciones. Si las cantidades son ceros, se han eliminado los riesgos. Si las cantidades no son ceros, es necesario investigar los riesgos que permanecen.
239
Ejecute el informe rpido de estado del equipo Equipos no registrados en el servidor para ver el estado de conexin. Configure y ejecute una versin personalizada de este informe para ver los equipos en un grupo o sitio determinado. Consulte el registro Estado del equipo, que contiene la direccin IP del equipo y la hora del ltimo registro.
Ver "Acerca de los informes que puede ejecutar" en la pgina 241. Un cliente puede estar desconectado por varios motivos. Es posible identificar los equipos que estn desconectados y reparar estos problemas de varias maneras. Si Symantec Network Access Control est instalado, es posible utilizar las opciones de filtro de cumplimiento para personalizar el informe rpido Equipos no registrados en el servidor. Es posible entonces utilizar este informe para ver los motivos especficos por los que los equipos no estn conectados. Es posible entonces eliminar los problemas que se ven. Entre los motivos de cumplimiento que es posible filtrar estn los siguientes:
La versin del antivirus del equipo est desactualizada. El software antivirus del equipo no est ejecutndose. Un script fall. La ubicacin del equipo se ha modificado.
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, haga clic en Estado del equipo. Haga clic en Opciones avanzadas. En el cuadro de lista Estado de conexin, haga clic en Desconectado. Haga clic en Ver registro. De forma predeterminada, aparece una lista de los equipos que han estado desconectados durante las ltimas 24 horas. La lista incluye el nombre de cada equipo, la direccin IP y la ltima vez que se registr con su servidor. Es posible ajustar el intervalo de tiempo para visualizar los equipos desconectados para cualquier intervalo que desee ver.
240
Captulo
12
Acerca de los informes que puede ejecutar Acerca de ver informes Acerca de informes rpidos Crear informes rpidos Cmo guardar y eliminar los filtros del informe rpido Acerca de los informes programados Crear y eliminar informes programados Cmo editar el filtro usado para un informe programado Acerca del uso del filtro ltimas 24 horas para informes y registros Acerca del uso de filtros que buscan grupos en informes y registros Imprimir y guardar una copia de un informe Acerca del uso de SSL con las funciones de elaboracin de informes Aspectos importantes de la elaboracin de informes
242
Adems, se pueden programar informes para ejecutar en intervalos regulares. Los informes se envan por correo electrnico a los destinatarios especificados. Tabla 12-1 describe los tipos de informes que estn disponibles. Tabla 12-1 Tipo de informe
Auditora
Muestra informacin sobre los sucesos donde se bloque un cierto tipo de comportamiento. Estos informes incluyen informacin sobre alertas de seguridad de la aplicacin, destinos bloqueados y dispositivos bloqueados. Los destinos bloqueados pueden ser claves de registro, dlls, archivos y procesos de Windows. Ver "Acerca de la informacin en los informes y registros de Control de aplicaciones y Control de dispositivos" en la pgina 245.
Cumplimiento
Muestra informacin sobre el estado del cumplimiento de su red. Estos informes incluyen informacin sobre los servidores de Enforcer, los clientes Enforcer, el trfico de Enforcer y el cumplimiento de hosts. Ver " Acerca de la informacin en los registros e informes de cumplimiento " en la pgina 246.
Muestra informacin sobre el estado operacional de los equipos de su red, como qu equipos tienen rasgos de seguridad desactivados. Estos informes incluyen informacin sobre versiones, sobre los clientes que se han registrado en el servidor, el inventario de clientes y el estado en lnea. Ver "Acerca de la informacin de los informes y el registro de estado del equipo" en la pgina 248.
243
Tipo de informe
Descripcin
Proteccin contra amenazas Muestra informacin sobre prevencin de intrusiones, de red ataques en el firewall y sobre trfico y paquetes del firewall. Los informes de la proteccin contra amenazas de red permiten realizar un seguimiento de la actividad del equipo y de su interaccin con otros equipos y otras redes. Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de ellos mediante sus conexiones de red. Ver "Acerca de la informacin en los registros e informes de Proteccin contra amenazas de red" en la pgina 252. Riesgo Muestra informacin sobre sucesos de riesgo en los servidores de administracin y sus clientes. Incluye informacin sobre el anlisis de amenazas proactivo TruScan. Ver "Acerca de la informacin en los registros e informes de riesgos" en la pgina 256. Ver "Acerca de la informacin en los informes y registros del anlisis de amenazas proactivo TruScan" en la pgina 255. Anlisis Muestra informacin sobre la actividad del anlisis antivirus y antispyware. Ver "Acerca de la informacin en los registros e informes de anlisis" en la pgina 260. Sistema Muestra informacin sobre tiempos del suceso, tipos de suceso, sitios, dominios, servidores y niveles de gravedad. Ver "Acerca de la informacin en los registros e informes del sistema" en la pgina 262.
Puede establecer la configuracin bsica y la configuracin avanzada para que todos los informes clarifiquen los datos que desea ver. Puede modificar los informes predefinidos y guardar su configuracin. Tambin puede guardar el filtro personalizado con un nombre para ejecutar el mismo informe personalizado ms tarde. Es posible adems eliminar su configuracin personalizada si no la necesita ms. La configuracin activa del filtro se enumera en el informe si ha configurado el registro e informa la configuracin de las preferencias para incluir los filtros en informes. Si tiene varios dominios en su red, muchos informes permiten que se vean los datos de todos los dominios, de un sitio o de algunos sitios. La configuracin predeterminada para todos los informes rpidos es mostrar todos los dominios,
244
grupos, servidores y as sucesivamente, segn sea necesario para el informe que selecciona para crear. Ver "Acerca de informes rpidos" en la pgina 269. Ver "Crear informes rpidos" en la pgina 274. Nota: Algunos informes predefinidos contienen la informacin que se obtiene de Symantec Network Access Control. Si no ha comprado ese producto, sino que ejecuta uno de los informes de ese producto, el informe estar vaco.
Nota: Si tiene solamente Symantec Network Access Control instalado, un nmero significativo de informes est vaco. Los informes de Control de aplicaciones y dispositivos, de Proteccin contra amenazas de red, de Riesgos y de Anlisis no contienen datos. Los informes de cumplimiento y de auditora contienen datos, al igual que algunos de los informes de estado del equipo y del sistema. Ver "Configurar preferencias para registros e informes" en la pgina 233. Cuando se crea un informe, ste aparece en otra ventana. Puede guardar una copia del informe en formato de archivo Web o imprimir una copia del informe. El archivo guardado o el informe impreso proporcionan una instantnea de los datos actuales de la base de datos de elaboracin de informes, de modo que se pueda conservar un registro del historial. Tambin puede crear los informes programados que se generan automticamente basados en una programacin configurada. Usted establece los filtros de los informes y el momento de ejecucin. Cuando el informe ha terminado, se enva por correo electrnico a uno o ms destinatarios. De forma predeterminada, siempre se ejecuta un informe programado. Puede modificar la configuracin de cualquier informe programado que an no haya ejecutado. Tambin puede eliminar uno o todos los informes programados. Ver "Acerca de los informes programados" en la pgina 278. Ver "Crear y eliminar informes programados" en la pgina 279.
245
grupo. Es posible ver los registros de Auditora cuando se desea ver qu administrador modific una poltica determinada y cundo. Ver "Acerca de los informes que puede ejecutar" en la pgina 241.
El acceso a una entidad del equipo fue bloqueado. Un dispositivo fue prohibido en la red.
Los archivos, las claves de registro de Windows y los procesos son ejemplos de entidades del equipo. Tabla 12-2 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes y los registros de Control de aplicaciones y Control de dispositivos. Tabla 12-2 Resumen de registros e informes de Control de aplicaciones y Control de dispositivos
Informe o registro
Usos tpicos
Informe Grupos principales con Utilice este informe para comprobar qu grupos son los ms riesgosos de su red. registros de control de aplicaciones con mayor cantidad de alertas Informe Principales destinos bloqueados Utilice este informe para comprobar qu archivos, procesos y otras entidades se utilizan ms frecuentemente en ataques contra su red.
Informe Principalesdispositivos Este informe consiste en un grfico circular con una barra relativa que muestra bloqueados los dispositivos para los que se bloquea el acceso a su red con ms frecuencia.
246
Informe o registro
Registro de control de aplicaciones
Usos tpicos
Utilice este registro para ver informacin sobre las entidades siguientes:
Las medidas tomadas en respuesta a eventos. Los procesos que estuvieron implicados en los eventos. Los nombres de las normas aplicadas desde una poltica cuando el acceso de una aplicacin se bloque. Es posible tomar medidas para aadir un archivo a la Poltica de excepciones centralizadas como resultado de un evento en el registro de Control de aplicaciones. Ver "Crear excepciones centralizadas de sucesos de registro" en la pgina 652.
Utilice este registro cuando sea necesario ver los detalles de Control de dispositivos, tales como la hora exacta en que Control de dispositivos habilit o deshabilit los dispositivos. Este registro adems visualiza informacin tal como el nombre del equipo, su ubicacin, el usuario que haba iniciado sesin y el sistema operativo implicado.
Usos tpicos
Informe Estado de cumplimiento Utilice este informe para ver el cumplimiento general, para saber si los clientes de la red han fallado la comprobacin de integridad del host o la autenticacin, o han sido desconectados. Informe Estado de cumplimiento Utilice este informe para ver el nmero total de clientes que hayan aprobado o fallado una comprobacin de integridad del host en su red.
247
Informe o registro
Usos tpicos
Informe Resumen de clientes por Utilice este informe para ver los motivos generales para los eventos de errores error de cumplimiento de control, tales como antivirus, firewall o VPN. Informe Detalles del error de cumplimiento Utilice este informe para ver un mayor nivel de detalle sobre los errores de cumplimiento. Muestra los criterios y la norma que estuvo implicada en cada error. Incluye el porcentaje de los clientes que fueron implementados y el porcentaje de los que fallaron. Por ejemplo, el Resumen de errores de cumplimiento puede mostrar diez errores de clientes debido al software antivirus. En cambio, Detalles del error de cumplimiento muestra la siguiente informacin: Cuatro clientes no tienen ningn software antivirus actualmente en funcionamiento. Dos clientes no tienen ningn software antivirus instalado.
Este informe consiste en una tabla que muestra los eventos de error de cumplimiento. Estos eventos se muestran en grupos que se basan en su ubicacin. La informacin incluye los equipos nicos que fallaron y el porcentaje total de errores y de errores de ubicacin.
Registro del servidor de Enforcer Utilice este registro para ver informacin sobre eventos de cumplimiento de Enforcer, el nombre del mdulo de Enforcer implicado, su sitio y su servidor. Entre otras cosas, este registro contiene la siguiente informacin:
Qu mdulos de Enforcer recibieron correctamente descargas de polticas y el archivo de comunicacin sylink.xml Si el servidor de Enforcer ha recibido correctamente sus registros de los mdulos de Enforcer Registro de clientes Enforcer Utilice este registro para ver qu clientes tienen comprobaciones de integridad del host aprobadas o falladas, si fueron autenticados o rechazados, o si fueron desconectados de la red.
248
Informe o registro
Registro de trfico de Enforcer
Usos tpicos
Utilice este registro para ver informacin sobre el trfico que pasa por un mdulo de Enforcer. La informacin disponible incluye:
La direccin del trfico La hora en que el trfico comenz y finaliz El protocolo utilizado La direccin IP de origen y la direccin IP de destino utilizadas El puerto utilizado El tamao del paquete (en bytes) Los intentos de conexin que fueron permitidos o bloqueados
Este registro se aplica solamente a los mdulos Gateway Enforcer. Registro de cumplimiento del host Utilice este registro para ver informacin especfica sobre eventos de cumplimiento determinados. Tales eventos incluyen el motivo, el usuario implicado y el nombre del sistema operativo implicado.
249
Usos tpicos
Utilice este informe para asegurarse de que todos los grupos, dominios o servidores en su red utilizan versiones actualizadas de los archivos de definiciones de virus. Este informe muestra las versiones nicas de los archivos de definiciones de virus que se utilizan en su red, y del nmero de equipos y del porcentaje que utiliza cada versin. Consiste en un grfico circular, una tabla y barras relativas.
Utilice este informe para ver qu equipos no se han registrado con un servidor y, por lo tanto, pueden haberse perdido o faltan. El informe muestra la direccin IP del equipo, la hora de la ltima comprobacin y el nombre del usuario conectado en el momento. Utilice este informe para comprobar las versiones del software Symantec Endpoint Protection, las definiciones de virus, las firmas IPS y el contenido de proteccin proactiva en uso en su red. La informacin incluye el dominio y el servidor para cada uno, as como el nmero de equipos y el porcentaje de cada uno. Consiste en un grfico circular y barras relativas. Con esta informacin, es posible localizar los equipos que necesitan una actualizacin.
Informe Distribucin de la firma Utilice este informe para asegurarse de que todos los grupos de su red utilizan de prevencin de intrusiones firmas actualizadas de prevencin de intrusiones. Es posible adems ver qu dominios o servidores estn desactualizados. Consiste en un grfico circular y barras relativas. Informe Inventario de clientes Utilice este informe para ver el nmero y el porcentaje de equipos que entran en ciertas categoras de hardware y software. Este informe consiste en los siguientes grficos con barras relativas que muestran el nmero total de equipos y el porcentaje de cada uno:
Sistema operativo Memoria total Memoria disponible Espacio total en disco Espacio libre en el disco Tipo de procesador
Por ejemplo, desde el informe de inventario de clientes, puede ver que el 22% de sus equipos tienen menos de 1 GB de espacio libre en el disco.
250
Informe o registro
Usos tpicos
Informe Distribucin del estado Use este informe, que incluye un grfico circular con barras relativas, para ver de cumplimiento aprobaciones y errores de cumplimiento por grupo o subred. Muestra el nmero de equipos y el porcentaje de equipos que estn en cumplimiento. Sera aconsejable investigar si ciertos grupos parecen tener muchos ms problemas de cumplimiento que otros. Informe Estado de conexin del cliente Utilice este informe para ver qu grupos o subredes tienen el porcentaje ms grande de clientes en lnea. Este informe consiste en grficos circulares con barras relativas por grupo o subred. Conectados tiene los siguientes significados: Para los clientes que estn en modo de transferencia, "conectados" significa que los clientes estn conectados actualmente al servidor. Para los clientes que estn en modo de obtencin, "conectados" significa que los clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes. Para los clientes en sitios remotos, "conectados" significa que los clientes estaban conectados a la hora de la ltima replicacin.
Sera aconsejable investigar por qu algunos grupos o subredes experimentan actualmente ms problemas que otros. Informe rpido Clientes con la ltima poltica Use este informe para ver el nmero de equipos y de porcentaje que tiene la ltima poltica aplicada.
Informe programado Distribucin Este informe consiste en grficos circulares con barras relativas por grupo o de clientes por poltica subred. Informe Cantidad de clientes por Utilice este informe para ver el nmero total de clientes y de usuarios, por grupo. grupo Si utiliza varios dominios, esta informacin aparece por dominio. Informe Resumen del estado de seguridad Utilice este informe para ver rpidamente el nmero total de equipos que tengan los siguientes problemas:
Auto-Protect est deshabilitado El motor antivirus est desactivado Proteccin contra intervenciones est deshabilitada El equipo necesita ser reiniciado El equipo fall una comprobacin de integridad del host La Proteccin contra amenazas de red est desactivada
251
Informe o registro
Usos tpicos
Informe Versiones de contenido Use este informe para comprobar las versiones del contenido de proteccin de proteccin proactiva que se usan en su red en un nico informe. Se muestra un grfico circular para cada tipo de proteccin. Estn disponibles los siguientes tipos de contenido:
Versiones del descompresor Versiones del motor del borrador Versiones del contenido del anlisis de amenazas proactivo TruScan Versiones del motor de anlisis de amenazas proactivo TruScan Versiones de la lista de aplicaciones comerciales Versiones del motor del controlador de contenido proactivo Versiones de la lista de aplicaciones permitidas Los nuevos tipos de contenido que Symantec Security Response ha agregado
Utilice este informe para ver el estado de migracin de clientes por dominio, grupo y servidor. Es posible identificar rpidamente los clientes donde la migracin tuvo xito, fall o an no se inici.
Informe Distribucin de software Use este informe para realizar un seguimiento del progreso de las cliente anlisis implementaciones de paquetes de clientes. La informacin de la instantnea le permite observar los rpidos progresos de la distribucin, y la cantidad de clientes Este informe est disponible solo que an no se implementaron completamente. como un informe programado. Informe Clientes conectados/desconectados a lo largo del tiempo (instantneas) Este informe est disponible solo como un informe programado. Clientes con informe de ltima poltica a lo largo del tiempo (instantneas) Este informe est disponible solo como un informe programado. Informe Clientes con errores de cumplimiento a lo largo del tiempo (instantneas) Este informe est disponible solo como un informe programado. Utilice este informe para localizar los clientes que frecuentemente fallan las comprobaciones de integridad del host. Utilice este informe para localizar los clientes que no reciben actualizaciones de polticas con suficiente frecuencia. Utilice este informe para localizar los clientes que no se conectan a la red con suficiente frecuencia.
252
Informe o registro
Informe Distribucin de definiciones de virus (instantneas) Este informe est disponible solo como un informe programado. Registro de estado del equipo
Usos tpicos
Use este informe para ver la lista de versiones de paquetes de definiciones de virus que se han iniciado en los clientes.
Compruebe el registro de estado del equipo si necesita ms detalles sobre alguna de las reas que los informes cubren.
Los registros de Proteccin contra amenazas de red recopilan informacin sobre la prevencin de intrusiones. Adems contienen informacin sobre las conexiones que fueron hechas a travs del firewall (trfico), las claves del registro de Windows, los archivos y las DLL a las que se accede. Contienen informacin sobre los paquetes de datos que pasan a travs de los equipos. Los cambios operacionales que fueron realizados a los equipos tambin se incluyen en estos registros. Esta informacin puede incluir el momento en que se inician y se detienen los servicios o alguien configura software. Entre los otros tipos de informacin que puede estar disponible hay elementos tales como la hora y el tipo de evento, y las medidas tomadas. Puede adems incluir la direccin, el nombre de host, la direccin IP y el protocolo que fue utilizado para el trfico implicado. Si se aplica al evento, la informacin puede adems incluir el nivel de gravedad. Tabla 12-5 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes y registros de la Proteccin contra amenazas de red.
253
Tabla 12-5
Informe o registro
Informe Principales destinos atacados
Usos tpicos
Utilice este informe para identificar qu grupos, subredes, equipos o puertos se atacan ms frecuentemente. Incluye informacin tal como el nmero y el porcentaje de ataques, el tipo y la gravedad del ataque, y la distribucin de ataques. Sera aconsejable tomar medidas basadas en este informe. Por ejemplo, es posible que encuentre que los clientes que se comunican con VPN son atacados mucho ms frecuentemente. Puede ser recomendable agrupar esos equipos de modo que se pueda aplicar una poltica de seguridad ms rigurosa.
Utilice este informe para identificar qu hosts atacan su red ms frecuentemente. Este informe consiste en un grfico circular con barras relativas que muestra los hosts principales que iniciaron ataques contra su red. Incluye informacin tal como el nmero y el porcentaje de ataques, el tipo y la gravedad del ataque, y la distribucin de ataques. Utilice este informe para identificar los tipos de ataque que se dirigen a su red ms frecuentemente. Los tipos de ataque que es posible supervisar incluyen anlisis de puertos, ataques de negacin de servicio y falsificacin de MAC. Este informe consiste en un grfico circular asociado con barras relativas. Incluye informacin como el nmero y el porcentaje de eventos. Adems, incluye el grupo y la gravedad, y el tipo y nmero de evento por grupo.
Informe Principales aplicaciones Utilice estos informes juntos para identificar las aplicaciones que se utilizan bloqueadas ms frecuentemente para atacar su red. Es posible adems ver si las aplicaciones utilizadas para los ataques se han modificado a lo largo del tiempo. Informe Aplicacionesbloqueadas a lo largo del tiempo El informe Principales aplicaciones bloqueadas incluye un grfico circular con barras relativas que muestran las aplicaciones principales a las que se impidi acceder a la red. Incluye informacin tal como el nmero y el porcentaje de ataques, el grupo y la gravedad del ataque, y la distribucin de ataques por grupo. El informe Aplicaciones bloqueadas a lo largo del tiempo incluye un grfico lineal y una tabla. Muestra el nmero total de aplicaciones que no pudieron acceder a su red durante un intervalo de tiempo seleccionado. Incluye la hora del evento, el nmero de ataques y el porcentaje. Puede ver la informacin para todos los equipos, o por grupo, direccin IP, sistema operativo o usuario.
254
Informe o registro
Informe Ataques a lo largo del tiempo
Usos tpicos
Utilice este informe para identificar los grupos, las direcciones IP, los sistemas operativos y los usuarios que se atacan ms frecuentemente en su red. Utilcelo adems para identificar el tipo ms frecuente de ataque que ocurre. Este informe consiste en uno o ms grficos lineales que muestran los ataques durante el intervalo de tiempo seleccionado. Por ejemplo, si el intervalo de tiempo es el mes anterior, el informe muestra el nmero total de ataques por da del ltimo mes. Incluye el nmero y el porcentaje de ataques. Es posible ver los ataques para todos los equipos, o por los sistemas operativos, los usuarios, las direcciones IP, los grupos o los tipos principales de ataque.
Informe Eventosdeseguridadpor Utilice este informe para ver un resumen de la gravedad de los eventos de gravedad seguridad en su red. Este informe consiste en un grfico circular que muestra el nmero total y el porcentaje de eventos de seguridad de su red, ordenados segn su gravedad. Informe Principales notificaciones de trfico Use estos informes para mostrar el nmero de ataques que infringieron las normas de firewall que usted configur para notificarle sobre violaciones. Utilcelos para ver qu grupos estn en mayor riesgo de ataque a travs del Informe Notificaciones de trfico firewall. a lo largo del tiempo El informe Principales notificaciones de trfico consiste en un grfico circular con barras relativas que enumera el grupo o la subred, y el nmero y el porcentaje de notificaciones. Muestra el nmero de notificaciones que fueron basadas en las violaciones de la norma de firewall configurada como importante. Las normas que se cuentan son aquellas en donde usted seleccion la opcin Enviar alerta de correo electrnico en la columna Registro de la lista Normas de polticas de firewall. Es posible ver la informacin para todos los equipos, para el registro de Trfico o para el registro de Paquetes, agrupado por grupos principales o subredes. El informe Notificaciones de trfico a lo largo del tiempo incluye un grfico lineal. Muestra el nmero de notificaciones que fueron basadas en violaciones de la norma de firewall a lo largo del tiempo. Las normas que se cuentan son aquellas en donde usted seleccion la opcin Enviar alerta de correo electrnico en la columna Registro de la lista Normas de polticas de firewall. Puede ver la informacin de este informe para todos los equipos, o por grupo, direccin IP, sistema operativo o usuario.
255
Informe o registro
Informe completo
Usos tpicos
Utilice este informe para ver la informacin que aparece en todos los informes rpidos de la Proteccin contra amenazas de red en un lugar. Este informe brinda la siguiente informacin de la Proteccin contra amenazas de red en un solo informe:
Principales tipos de ataque Principales destinos atacados por grupo Principales destinos atacados por subred Principales destinos atacados por cliente Principales fuentes de ataque Principales notificaciones de trfico por grupo (trfico) Principales notificaciones de trfico por grupo (paquetes) Principales notificaciones de trfico por subred (trfico) Principales notificaciones de trfico por subred (paquetes)
Registro de ataques
Utilice este registro si necesita informacin ms detallada sobre un ataque especfico que ocurri. Utilice este registro si necesita ms informacin sobre un evento de trfico o un tipo de trfico especfico que pase a travs de su firewall. Utilice este registro si necesita ms informacin sobre un paquete especfico. Sera aconsejable mirar los paquetes para investigar ms a conciencia un evento de seguridad enumerado en un informe.
Registro de trfico
Registro de paquetes
Acerca de la informacin en los informes y registros del anlisis de amenazas proactivo TruScan
Tabla 12-6 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes y el registro del Anlisis de amenazas proactivo TruScan.
256
Tabla 12-6
Informe o registro
Informe Resultados de la deteccin del anlisis de amenazas proactivo TruScan (debajo de informes de riesgos) Informe Deteccin de amenazas proactiva a lo largo del tiempo TruScan (debajo de informes de riesgos)
Usos tpicos
Use el informe Resultados de la deteccin del anlisis de amenazas proactivo TruScan para ver la siguiente informacin: Una lista de las aplicaciones clasificadas como riesgos que se han agregado a las excepciones como aceptables en su red. Una lista de las aplicaciones que se detectaron como riesgos confirmados.
Una lista de las aplicaciones que se han detectado, pero que an no se han confirmado como riesgos.
Utilice el informe Deteccin de amenazas proactiva a lo largo del tiempo TruScan para ver si las amenazas detectadas por los anlisis de amenazas proactivos TruScan se han modificado a lo largo del tiempo. Informe Distribucin de Utilice este informe por los siguientes motivos: amenazas proactiva de TruScan Para ver qu aplicaciones de la lista de aplicaciones comerciales y de la lista (situado debajo de los informes de de detecciones forzada se detectan ms frecuentemente. riesgos) Para ver qu medida se tom en respuesta a la deteccin. Para determinar si equipos determinados en su red son atacados ms frecuentemente por este vector. Para ver detalles sobre la aplicacin que atac.
Registro del anlisis de amenazas Utilice este registro si necesita ms informacin sobre eventos especficos de la proactivo TruScan deteccin de amenazas proactiva. Esta informacin puede ser el nombre del usuario que haba iniciado sesin cuando ocurri la deteccin. Es posible adems utilizar comandos desde este registro para agregar entidades legtimas, tales como archivos, carpetas, extensiones y procesos a la Poltica de excepciones centralizada. Despus de que se agrega a la lista, si una actividad legtima se detecta como riesgo, no se acta sobre la entidad.
257
Usos tpicos
Informe Equipos infectados y en Utilice este informe para identificar rpidamente los equipos que necesitan su riesgo atencin porque estn infectados con un virus o un riesgo de seguridad. Este informe consiste en dos tablas. Una tabla enumera los equipos que tienen una infeccin por virus. La otra tabla enumera los equipos que tienen un riesgo de seguridad que an no se ha reparado. Informe Resumen de acciones de Utilice este informe para identificar las medidas que fueron tomadas cuando deteccin los riesgos fueron detectados. Esta informacin adems aparece en la Pgina principal de Symantec Endpoint Protection. Este informe consiste en una tabla que muestra una cantidad de todas las medidas posibles que se tomaron cuando se detectaron los riesgos. Las acciones posibles son Limpiado, Sospechoso, Bloqueado, En cuarentena, Eliminado, Recientemente infectado y An infectado. Esta informacin adems aparece en la pgina principal de Symantec Endpoint Protection. Informe Conteo de detecciones de Utilice este informe para identificar dominios, grupos o equipos determinados riesgos que tienen el nmero ms grande de detecciones de riesgos. Es posible entonces investigar por qu algunas entidades parecen estar en mayor riesgo que otras en su red. Este informe consiste en un grfico circular, una tabla de riesgos y una barra relativa asociada. Muestra el nmero total de detecciones de riesgos por dominio, servidor o equipo. Si tiene clientes de versiones anteriores de Symantec AntiVirus, el informe utiliza el grupo de servidores en lugar del dominio.
258
Usos tpicos
Utilice este informe para identificar y seguir el impacto de los nuevos riesgos en su red. Este informe incluye una tabla y un grfico circular de la distribucin. Para cada nuevo riesgo, la tabla proporciona la siguiente informacin:
Nombre del riesgo Categora o tipo de riesgo Primera fecha de deteccin Primer caso en la organizacin Tipo de anlisis que lo detect primero
Dominio donde fue detectado (grupo de servidores en los equipos de versin anterior) Servidor donde fue detectado (servidor principal en los equipos de versin anterior) Grupo donde fue detectado (servidor principal en los equipos de versin anterior) Equipo donde fue detectado y nombre del usuario que inici sesin en ese entonces El grfico circular muestra la nueva distribucin de riesgos por tipo de seleccin de destino: dominio (grupo de servidores en los equipos de versin anterior), grupo, servidor (servidor principal en los equipos de versin anterior), equipo o nombre de usuario. Informe Correlacin principal de Utilice este informe para buscar correlaciones entre los riesgos y los equipos, detecciones de riesgos los usuarios, los dominios y los servidores. Este informe consiste en un grfico de barra tridimensional que establece una correlacin entre las detecciones de virus y riesgos de seguridad usando dos variables. Puede seleccionar del equipo, del nombre de usuario, del dominio, del grupo, del servidor, o del nombre del riesgo para las variables del eje de x y de y. Este informe muestra los cinco casos principales para cada variable del eje. Si seleccion "equipos" como una de las variables y hay menos de cinco equipos infectados, los equipos no infectados pueden aparecer en el grfico.
Nota: Para los equipos que ejecutan versiones anteriores de Symantec AntiVirus,
se utilizan el grupo de servidores y el servidor principal en lugar del dominio y el servidor.
259
Usos tpicos
Informe Resumendedistribucin Utilice estos informes para seguir la distribucin de riesgos. Es posible adems de riesgos utilizarlos para localizar riesgos, dominios, grupos, servidores, equipos y a usuarios determinados que parecen tener ms problemas que otros. Es posible Informe Distribucin de riesgos utilizar Distribucin de riesgos a lo largo del tiempo para ver cmo estos riesgos a lo largo del tiempo se modifican a lo largo del tiempo. El informe Resumen de distribucin de riesgos incluye un grfico circular y un grfico de barra asociado que muestra un porcentaje relativo para cada elemento nico del tipo de destino elegido. Por ejemplo, si el destino elegido es nombre de riesgo, el grfico circular muestra partes de cada riesgo nico. Se muestra una barra para cada nombre de riesgo, y los detalles incluyen el nmero de detecciones y el porcentaje de las detecciones totales. Los destinos incluyen el nombre de riesgo, el dominio, el grupo, el servidor, el equipo, el nombre de usuario, la fuente, el tipo de riesgo o la gravedad del riesgo. Para los equipos que ejecutan versiones anteriores de Symantec AntiVirus, se utilizan el grupo de servidores y el servidor principal en lugar del dominio y el servidor. El informe Distribucin de riesgos a lo largo del tiempo incluye una tabla que visualiza el nmero de virus y de detecciones de riesgos de seguridad por unidad de tiempo y barra relativa. Informe Resumen de acciones para los riesgos principales Utilice este informe para revisar las medidas tomadas sobre los riesgos que Symantec Endpoint Protection ha detectado en su red. Este informe incluye una lista de los informes de riesgos principales que se encontraron en su red. Para cada uno, se muestran barras de resumen de acciones que muestran el porcentaje de cada accin que se tom cuando se detect un riesgo. Las acciones incluyen en cuarentena, limpiado, eliminado, etc. Este informe muestra, adems, el porcentaje de tiempo para el que cada accin determinada era la primera accin configurada, la segunda accin configurada, ninguna o desconocida.
260
Usos tpicos
Utilice estos informes para refinar cmo se crean y se configuran notificaciones en su red. El informe Nmero de notificaciones incluye un grfico circular con una barra relativa asociada. Los grficos muestran el nmero de notificaciones que se activaron por las violaciones de la norma de firewall configurada como importante. Incluye el tipo de notificaciones y el nmero de cada una. Ver "Configurar mensajes de correo electrnico para sucesos de trfico" en la pgina 568. El informe Nmero de notificaciones a lo largo del tiempo incluye un grfico lineal que visualiza el nmero de notificaciones en la red durante el perodo de tiempo seleccionado. Tambin contiene una tabla que incluye el nmero y el porcentaje de notificaciones a lo largo del tiempo. Puede filtrar los datos para ver la lista por tipo de notificacin, estado del acuse de recibo, creador y nombre de la notificacin.
Utilice este informe para seguir los ataques de riesgos semana por semana. Este informe muestra el nmero de virus y de detecciones de riesgos de seguridad, y una barra relativa por semana para cada uno de los intervalos de tiempo especificados. Un intervalo de un da muestra la semana anterior.
Utilice este informe para ver todos los informes de distribucin y la informacin sobre nuevos riesgos al mismo tiempo. De forma predeterminada, este informe incluye todos los informes de distribucin y los informes de nuevos riesgos. Sin embargo, puede configurarlo para incluir solo algunos informes. Este informe incluye informacin de todos los dominios.
Registro de riesgos
Utilice este registro si necesita informacin ms especfica sobre algunas reas de los informes de riesgos. Por ejemplo, es posible utilizar el registro de riesgos para ver detalles sobre los riesgos que fueron detectados en los equipos donde los riesgos se encuentran a menudo. Es posible adems utilizar el registro de riesgos para ver detalles sobre los riesgos de seguridad de una gravedad determinada que han afectado a su red.
261
Usos tpicos
Agrupe por la hora de anlisis en que se utiliza este informe para ver un histograma de cunto tiempo toman los anlisis programados para completarse en los clientes. Puede ser recomendable modificar la hora para la que se programa el anlisis basado en esta informacin. Es posible filtrar este informe basado en el nmero de archivos que fueron analizados. Estos resultados pueden ayudarlo a ver si algunos usuarios restringen los anlisis a una pequea cantidad de archivos en sus equipos. Puede seleccionar si desea que la informacin del informe de anlisis se distribuya. Es posible seleccionar uno de los siguientes mtodos:
Por tiempo del anlisis (en segundos) Por nmero de riesgos detectados Por nmero de archivos con detecciones Por nmero de archivos que se analizan Por nmero de archivos que no se analizan
Tambin puede configurar el ancho del intervalo y la cantidad de clases para utilizar en el histograma. El ancho del intervalo es el intervalo de datos que desea utilizar para el grupo por seleccin. La cantidad de clases especifica la frecuencia con la que se repite el intervalo en el histograma. La informacin que se muestra incluye el nmero de entradas y los valores mnimos y mximos, as como la desviacin media y estndar. Es posible que desee modificar los valores del informe para maximizar la informacin que se genera en el histograma del informe. Por ejemplo, es posible que desee considerar el tamao de la red y la cantidad de informacin que ve. Informe Equipos por ltimo anlisis Utilice este informe para identificar los equipos que no han ejecutado un anlisis recientemente. Es posible configurarlo para buscar el ltimo da o la ltima semana, o un plazo personalizado, que desee comprobar. Utilice este informe para obtener una lista de los equipos que no se han analizado en un perodo especfico. Este informe incluye, adems, las direcciones IP de los equipos por dominios o grupos especficos. Estos equipos pueden estar en riesgo. Es posible clasificar este registro por la duracin del anlisis para identificar los equipos que tardan ms tiempo en analizarse en su red. De acuerdo con esta informacin, es posible personalizar los anlisis programados para estos equipos si es necesario.
Registro de anlisis
262
Usos tpicos
Informe Principales clientes que Utilice este informe para ver qu clientes generan el nmero ms grande de generan errores errores y advertencias. Sera aconsejable mirar la ubicacin y el tipo de usuarios en estos clientes para ver por qu experimentan ms problemas que otros. Es posible luego ir al registro del sistema para obtener informacin. Informe Principales servidores que generan errores Utilice este informe para ver qu servidores generan el nmero ms grande de errores y advertencias. Es posible mirar estos servidores para ver por qu experimentan ms problemas que lo tpico para su red.
Informe Principales instancias de Utilice este informe para ver qu mdulos de Enforcer generan el nmero ms Enforcer que generan errores grande de errores y advertencias. Es posible mirar estos Enforcers para ver por qu experimentan ms problemas que lo tpico para su red. Informe Errores de replicacin de base de datos a lo largo del tiempo Utilice este informe para ver qu servidores o sitios experimentan ms problemas con la replicacin de base de datos. Adems le dice por qu las replicaciones fallan, de modo que se puedan reparar los problemas.
263
Informe o registro
Informe Estado del sitio
Usos tpicos
264
Informe o registro
Usos tpicos
Utilice este informe para ver cmo su servidor maneja su carga de cliente. De acuerdo con la informacin de este informe, sera aconsejable ajustar la carga. Este informe muestra el estado actual y la velocidad de transferencia de todos los servidores de su sitio local. Tambin muestra la informacin sobre la instalacin del cliente, el estado en lnea del cliente y el volumen de registro del cliente para su sitio local. Los datos que se extraen de este informe se actualizan cada diez segundos, pero debe volver a realizar el informe para ver datos actualizados.
Nota: Si tiene varios sitios, este informe muestra el total de clientes instalados
y en lnea de su sitio local, no de todos los sitios. Si tiene restricciones del sitio o del dominio como administrador, solo ver la informacin que se le permite ver. El estado de salud de un servidor se clasifica de la siguiente manera:
Malo: el servidor tiene poca memoria o poco espacio libre en el disco, o tiene una gran cantidad de errores de la solicitud del cliente. Crtico: el servidor no funciona Para cada servidor, este informe contiene el estado, el estado de salud y el motivo, el uso del CPU y de la memoria y el espacio libre en el disco. Adems, contiene informacin de la velocidad de transferencia del servidor, como polticas descargadas y velocidad de transferencia del sitio basadas en el ltimo latido. Incluye la siguiente informacin de la velocidad de transferencia del sitio:
Total de clientes instalados y en lnea Polticas descargadas por segundo Firmas de prevencin de intrusiones descargadas por segundo Aplicaciones incorporadas por segundo
Registros de sistema de Enforcer, registros del trfico y registros de paquetes por segundo Actualizaciones de la informacin de clientes por segundo Registros de seguridad de clientes, registros de sistema, registros del trfico y registros de paquetes recibidos por segundo Registros de control de aplicaciones y dispositivos por segundo
Conectados tiene los siguientes significados en este informe: Para los clientes que estn en modo de transferencia, "conectados" significa que los clientes estn conectados actualmente al servidor. Para los clientes que estn en modo de obtencin, "conectados" significa que los clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes. Para los clientes en sitios remotos, "conectados" significa que los clientes
265
Informe o registro
Usos tpicos
estaban conectados a la hora de la ltima replicacin.
Registro administrativo
Utilice este registro para ver elementos relacionados con actividades administrativas, como las siguientes:
Inicios de sesin y cierres de sesin Cambios de polticas Cambios de contrasea Cuando los certificados coinciden Eventos de replicaciones Eventos relacionados con los registros
Este registro puede ser til para solucionar problemas de los clientes, tales como certificados, polticas o importaciones faltantes. Es posible considerar por separado los eventos que se relacionan con los dominios, los grupos, los usuarios, los equipos, las importaciones, los paquetes, las replicaciones y otros eventos. Registro de actividades del cliente y el servidor Utilice este registro para ver toda la actividad del cliente que ocurre para un servidor especfico. Por ejemplo, es posible utilizar este registro para ver los puntos siguientes:
Descargas de polticas correctas y con errores Conexiones de los clientes al servidor Registros del servidor
Entre otras cosas, utilice este registro por los siguientes motivos:
Localizar y solucionar problemas de replicacin Localizar y solucionar problemas de copia de seguridad Localizar y solucionar problemas del servidor Radius Ver todos los eventos del servidor de un nivel determinado de gravedad
Entre otras cosas, es posible utilizar este registro para supervisar las siguientes actividades relacionadas con el cliente:
Qu clientes fueron bloqueados para que no accedieran a la red Qu clientes necesitan ser reiniciados Qu clientes tuvieron instalaciones correctas o con errores Qu clientes tuvieron problemas de inicio y finalizacin de servicios Qu clientes tuvieron problemas de importacin de normas Qu clientes tuvieron problemas al descargar polticas Qu clientes tuvieron errores de conexin al servidor El estado del cliente como proveedor de actualizaciones de grupo (GUP)
266
Informe o registro
Registro de actividades de Enforcer
Usos tpicos
Utilice este registro para supervisar problemas con los mdulos de Enforcer. En este registro, es posible ver eventos de administracin, eventos de Enforcer, eventos de habilitacin y eventos de polticas. Es posible filtrarlos por su nivel de gravedad. Por ejemplo, es posible utilizar este registro para solucionar los siguientes tipos de problemas:
Conectividad de Enforcer La importacin y la aplicacin de polticas y configuraciones Inicios, interrupciones y pausas de Enforcer
Nota: Si no tiene instalado Symantec Network Access Control, el Registro de actividades de Enforcer y las entradas de otros registros que se aplican a las instancias de Enforcer estn vacos. Ver "Acerca de los informes que puede ejecutar" en la pgina 241.
267
Figura 12-1
268
Tabla 12-10
Unidades del eje x para el intervalo de tiempo correspondiente seleccionado Unidad del eje X
hora da
Intervalo de tiempo
ltimas 24 horas ltima semana ltimo mes Mes actual ltimos 3 meses Ao pasado Intervalo de tiempo
mes un da (24 horas) es por hora mayor que 1 da, pero inferior o igual a 7 das son por hora mayor que 7 das, pero inferior o igual a 31 das son por da mayor que 31 das, pero inferior o igual a 2 aos son por mes mayor que 2 aos es por ao
269
1 2 3
Cambie el directorio por unidad:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Common. Abra el archivo de configuracin I18nCommon.bundle con un editor. Escriba el nombre del archivo de fuente que desee utilizar despus del signo de igualdad (=) que sigue la variable SPECIAL_FONT. Por ejemplo, si se quisiera utilizar Arial, se escribira lo siguiente: SPECIAL_FONT=arial.ttf
4 5
Guarde el archivo en formato UTF-8 y despus cierre el archivo. Asegrese de que el archivo de fuente que se escribe se encuentre en el directorio %WINDIR%\fonts.
Descripcin
El informe de auditora contiene informacin sobre actividades de modificacin de polticas, tales como los tiempos y los tipos de sucesos, las modificaciones de polticas, los dominios, los sitios, los administradores y las descripciones. Ver "Acerca de la informacin del informe y el registro de auditora " en la pgina 244.
270
Tipo de informe
Control de aplicaciones y dispositivos
Descripcin
Los informes de control de aplicaciones y dispositivos contienen la informacin sobre los sucesos donde se bloque el acceso a un equipo o se mantuvo un dispositivo fuera de la red. Ver "Acerca de la informacin en los informes y registros de Control de aplicaciones y Control de dispositivos" en la pgina 245.
Cumplimiento
Los informes de cumplimiento contienen informacin sobre el servidor de Enforcer, los clientes Enforcer, el trfico de Enforcer y el cumplimiento de hosts. Ver " Acerca de la informacin en los registros e informes de cumplimiento " en la pgina 246.
Los informes de estado del equipo contienen informacin sobre el estado operacional de los equipos de la red en tiempo real. Ver "Acerca de la informacin de los informes y el registro de estado del equipo" en la pgina 248.
Proteccin contra amenazas Los informes de la proteccin contra amenazas de red permiten realizar un de red seguimiento de la actividad del equipo y de su interaccin con otros equipos y otras redes. Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de ellos mediante sus conexiones de red. Ver "Acerca de la informacin en los registros e informes de Proteccin contra amenazas de red" en la pgina 252. Riesgo Los informes de riesgos incluyen informacin sobre sucesos del riesgo en los servidores de administracin y sus clientes. Ver "Acerca de la informacin en los registros e informes de riesgos" en la pgina 256. Adems, en los informes de riesgos, se incluyen los informes del anlisis de amenazas proactivo de TruScan. Ver "Acerca de la informacin en los informes y registros del anlisis de amenazas proactivo TruScan" en la pgina 255. Anlisis Los informes de anlisis proporcionan informacin sobre la actividad del anlisis antivirus y antispyware. Ver "Acerca de la informacin en los registros e informes de anlisis" en la pgina 260. Sistema Los informes del sistema contienen informacin que es til para solucionar los problemas del cliente. Ver "Acerca de la informacin en los registros e informes del sistema" en la pgina 262.
Puede establecer la configuracin bsica y la configuracin avanzada para que todos los informes clarifiquen los datos que desea ver. Tambin puede guardar el
271
filtro personalizado con un nombre para ejecutar el mismo informe personalizado ms tarde. Tabla 12-12 describe todas las opciones disponibles de configuracin bsica para todos los tipos de informes rpidos. Tabla 12-12 Configuracin
Intervalo de tiempo
Descripcin
Especifica el intervalo de tiempo de los sucesos que usted desea ver en el informe. Seleccione alguna de las opciones siguientes:
ltimas 24 horas ltima semana ltimo mes Mes actual ltimos tres meses Ao pasado Definir fechas especficas
Si elige Definir fechas especficas, algunos informes necesitan que se configure una fecha inicial y una fecha final. Otros informes necesitan que usted establezca la hora de la ltima verificacin, que es la ltima vez que el equipo se registr con su servidor. La configuracin predeterminada es ltimas 24 horas. Fecha inicial Especifica la fecha de inicio del intervalo de fechas. Esta opcin solo est disponible cuando se selecciona Definir fechas especficas para el intervalo de tiempo. Fecha final Especifica la fecha de finalizacin del intervalo de fechas. Esta opcin solo est disponible cuando se selecciona Definir fechas especficas para el intervalo de tiempo.
Nota: No es posible configurar una fecha final que sea igual que la fecha inicial o anteriores
a sta. ltimo registro despus de Especifica que usted desea ver todas las entradas que impliquen a un equipo que no se ha registrado en su servidor desde el momento especificado. Solamente disponible para los informes de Estado del equipo cuando se selecciona Definir fechas especficas para el intervalo de tiempo.
272
Configuracin
Estado
Descripcin
Disponible para el informe de Cumplimiento del Estado de cumplimiento de la red. Seleccione entre las siguientes opciones:
Disponible para el informe de cumplimiento del estado de cumplimiento. Seleccione una de las acciones siguientes:
Aprobado Error
Agrupar por
Muchos de los informes se pueden agrupar de maneras apropiadas. Por ejemplo, la opcin ms comn es ver la informacin para solamente un grupo o una subred, pero algunos informes proporcionan otras opciones apropiadas.
273
Configuracin
Destino
Descripcin
Disponible para el informe de los Principales destinos atacados de la Proteccin contra amenazas de red. Seleccione entre las siguientes opciones:
Disponible para el informe de los Ataques a lo largo del tiempo de la Proteccin contra amenazas de red. Seleccione entre las siguientes opciones:
Disponible para los informes de las Aplicaciones bloqueadas a lo largo del tiempo y Notificaciones de trfico a lo largo del tiempo de la Proteccin contra amenazas de red. Seleccione entre las siguientes opciones:
Disponible para el informe de las Principales notificaciones de trfico de la Proteccin contra amenazas de red. Seleccione entre las siguientes opciones:
Eje X Eje Y
Disponible para el informe de la Correlacin principal de detecciones de riesgos de Riesgos. Seleccione entre las siguientes opciones:
Especifica la amplitud para formar un histograma. Disponible para el informe de Anlisis del Histograma de estadsticas de anlisis.
274
Configuracin
Nmero de contenedores
Descripcin
Especifica el nmero de contenedores que usted desea utilizar para formar las barras de un histograma. Disponible para el informe Anlisis del histograma de estadsticas de anlisis.
Configuracin avanzada proporciona control adicional sobre los datos que desee ver. Son especficos para el tipo y el contenido del informe. Para una descripcin de cada configuracin avanzada que se pueda establecer, se puede hacer clic en Ms informacin para visualizar la ayuda contextual para ese tipo de informe. Si tiene varios dominios en su red, muchos informes permiten que se vean los datos de todos los dominios, de un sitio o de algunos sitios. La configuracin predeterminada para todos los informes rpidos es mostrar todos los dominios, grupos, servidores y as sucesivamente, segn sea necesario para el informe que selecciona para crear. Nota: Si tiene solamente Symantec Network Access Control instalado, un nmero significativo de informes est vaco. Los informes de Control de aplicaciones y dispositivos, de Proteccin contra amenazas de red, de Riesgos y de Anlisis no contienen datos. Los informes de Cumplimiento y de Auditora contienen datos, al igual que algunos de los informes de Estado del equipo y del Sistema. Ver "Crear informes rpidos" en la pgina 274. Ver "Acerca del uso de filtros que buscan grupos en informes y registros" en la pgina 282.
275
Nota: Los cuadros de texto de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn. Ver "Cmo guardar y eliminar los filtros del informe rpido" en la pgina 276. Ver "Imprimir y guardar una copia de un informe" en la pgina 282. Ver "Crear y eliminar informes programados" en la pgina 279. Para crear un informe rpido
1 2 3
En la consola, haga clic en Informes. En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione el tipo de informe que desea crear. En el cuadro de lista Seleccionar un informe, seleccione el nombre del informe que desea ver. Para el informe Estado de cumplimiento de la red y el informe Estado de cumplimiento, en el cuadro de lista Estado, seleccione una configuracin de filtros guardada que se desee usar o deje el filtro predeterminado. Para el informe Correlacin principal de detecciones de riesgos, se pueden seleccionar los valores para los cuadros de lista Eje X y Eje Y a fin de especificar cmo desea ver el informe. Para el informe Histograma de estadsticas de anlisis, se pueden seleccionar los valores para Amplitud de clases y Nmero de contenedores. Para algunos informes, se puede especificar cmo agrupar los resultados del informe en el cuadro de lista Grupo. Para otros informes, se puede seleccionar un destino en el campo Destino en el cual se filtren los resultados del informe.
4 5 6
En el cuadro de lista Utilizar filtro guardado, seleccione una configuracin de filtro guardada que desee utilizar o deje el filtro predeterminado. Bajo Qu configuracin de filtros desea utilizar?, en el cuadro de lista Intervalo de tiempo, seleccione el intervalo de tiempo para el informe. Si selecciona Definir fechas especficas, despus use los cuadros de lista Fecha de inicio y Fecha de finalizacin. Estas opciones configuran el intervalo de tiempo sobre el cual se desea ver informacin. Cuando genera un informe de estado del equipo y selecciona Definir fechas especficas, especifica que desea ver todas las entradas que impliquen un equipo que no se ha registrado en su servidor desde la hora que especific en el campo ltimo registro despus de.
276
Ver y configurar informes Cmo guardar y eliminar los filtros del informe rpido
Si desea configurar las opciones adicionales para el informe, haga clic en Configuracin avanzada y configure las opciones que desee. Es posible hacer clic en Ms informacin para ver las descripciones de las opciones del filtro en la ayuda contextual. Es posible guardar las opciones de configuracin del informe si piensa que querr ejecutar este informe de nuevo en el futuro.
1 2 3 4
En la consola, haga clic en Informes. En la ficha Informes rpidos, seleccione un tipo de informe del cuadro de lista. Modifique cualquier configuracin bsica o configuracin avanzada para el informe. Haga clic en Guardar filtro.
Ver y configurar informes Cmo guardar y eliminar los filtros del informe rpido
277
En el cuadro de texto Nombre del filtro, escriba un nombre descriptivo para este filtro de informes. Solo se muestran los primeros 32 caracteres del nombre cuando el filtro se agrega a la lista Usar un filtro guardado. Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar. Despus de que se guarda un filtro, aparece en el cuadro de lista Usar un filtro guardado para los informes y los registros relacionados.
6 7
1 2 3 4 5
En la consola, haga clic en Informes. En la ficha Informes rpidos, seleccione un tipo de informe. En el cuadro de lista Utilizar filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Haga clic en el icono Eliminar ubicado junto al cuadro de lista Usar un filtro guardado. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S.
Los dos usuarios estn registrados en la cuenta del administrador predeterminada en diversos sitios y cada uno crea un filtro con el mismo nombre. Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se elimina el filtro utilizable, usted adems elimina el filtro inutilizable. Ver "Cmo guardar y eliminar los filtros del informe rpido" en la pgina 276.
278
Distribucin de software cliente (instantneas) Clientes conectados/desconectados a lo largo del tiempo (instantneas) Clientes con la ltima poltica a lo largo del tiempo (instantneas) Clientes con errores de cumplimiento a lo largo del tiempo (instantneas) Distribucin de definiciones de virus (instantneas)
Es posible imprimir y guardar informes programados, como se hace con los informes rpidos.
279
Nota: Cuando se crea un informe programado, es necesario utilizar el filtro predeterminado o un filtro que usted ya haya guardado. Despus de que usted haya programado el informe, es posible volver y editar el filtro. Ver "Cmo editar el filtro usado para un informe programado" en la pgina 280. Para obtener informacin sobre las opciones que es posible configurar en estos procedimientos, en la ficha Informes programados, es posible hacer clic en Ms informacin. Ver "Crear y eliminar informes programados" en la pgina 279. Ver "Acerca del uso de filtros que buscan grupos en informes y registros" en la pgina 282.
1 2 3
En la consola, haga clic en Informes. En la ficha Informes programados, haga clic en Agregar. En el cuadro de texto Nombre del informe, escriba un nombre descriptivo y, opcionalmente, escriba una descripcin ms larga. Aunque se puedan pegar ms de 255 caracteres en el cuadro de texto de la descripcin, solo 255 caracteres se guardan en la descripcin.
4 5 6 7
Si no quisiera que este informe se ejecutara, anule la seleccin de la casilla de verificacin Activar este informe programado. Seleccione el tipo de informe que desee programar del cuadro de lista. Seleccione el nombre del informe especfico que desee programar del cuadro de lista. Seleccione el nombre del filtro guardado que desee utilizar del cuadro de lista.
280
Ver y configurar informes Cmo editar el filtro usado para un informe programado
En el cuadro de texto Ejecutar cada, seleccione el intervalo de tiempo en el cual desea que el informe sea enviado por correo electrnico a los destinatarios (horas, das, semanas o meses). A continuacin, escriba el valor para el intervalo de tiempo que usted seleccion. Por ejemplo, si desea que el informe le sea enviado da por medio, seleccione das y despus escriba 2. En el cuadro de texto Iniciar despus de, escriba la fecha en que desea que el informe se inicie o haga clic en el icono del calendario y seleccione la fecha. A continuacin, seleccione la hora y los minutos de los cuadros de lista. electrnico separadas por comas. Es necesario haber configurado las propiedades del servidor de correo para que las notificaciones de correo electrnico funcionen.
1 2 3 4
En la consola, haga clic en Informes. En la ficha Informes programados, en la lista de informes, haga clic en el nombre del informe que desee eliminar. Haga clic en Eliminar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S.
Ver y configurar informes Acerca del uso del filtro ltimas 24 horas para informes y registros
281
Ver "Acerca del uso de filtros que buscan grupos en informes y registros" en la pgina 282. Para editar el filtro utilizado para un informe programado
1 2 3 4 5 6
En la consola, haga clic en Informes. Haga clic en Informes programados. En la lista de informes, haga clic en el informe programado que desee editar. Haga clic en Editar filtro. Realice los cambios del filtro que desee. Haga clic en Guardar filtro. Si desea conservar el filtro de informes original, d a este filtro editado un nuevo nombre.
7 8
Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.
Acerca del uso del filtro ltimas 24 horas para informes y registros
Si selecciona ltimas 24 horas para el intervalo de tiempo de un informe o una vista de registro, el intervalo comienza cuando se selecciona el filtro. Si se actualiza la pgina, no se restablece el inicio del intervalo de 24 horas. Si selecciona el filtro y espera para crear un informe, el intervalo de tiempo se inicia cuando seleccion el filtro. Esta condicin adems se aplica cuando se ve un registro de sucesos o un registro de alertas. El intervalo de tiempo no se inicia cuando se crea el informe o se ve el registro. Para asegurarse de que el intervalo de las ltimas 24 horas comience en este momento, seleccione un intervalo de tiempo diferente y vuelva a seleccionar ltimas 24 horas. Nota: El inicio del filtro de intervalo de tiempo de las ltimas 24 horas de la pgina principal se establece en el momento en que se accede a la pgina principal. Ver "Cmo guardar y eliminar los filtros del informe rpido" en la pgina 276.
282
Ver y configurar informes Acerca del uso de filtros que buscan grupos en informes y registros
1 2
En la ventana de informes, haga clic en Imprimir. En el cuadro de dilogo Imprimir, seleccione la impresora que desee, si es necesario, y luego haga clic en Imprimir.
Cuando se guarda un informe, se guarda una captura de pantalla del entorno de seguridad que corresponde a los datos actuales de la base de datos de informes. Si ejecuta el mismo informe ms adelante, a partir de la misma configuracin de filtro, el nuevo informe mostrar datos diferentes. Para guardar una copia de un informe
1 2
En la ventana de informes, haga clic en Guardar. En el cuadro de dilogo Descarga del archivo, haga clic en Guardar.
Ver y configurar informes Acerca del uso de SSL con las funciones de elaboracin de informes
283
3 4 5
En el cuadro de dilogo Guardar como, en el cuadro de la seleccin Guardar en, vaya a la ubicacin donde desee guardar el archivo. En el cuadro de lista Nombre de archivo, modifique el nombre de archivo predeterminado, si lo desea. Haga clic en Guardar. El informe se guarda en el formato del archivo Web de Microsoft, un solo archivo (*.mht) en la ubicacin que usted seleccion.
Las marcas de fecha, incluyendo los horarios de anlisis de equipos cliente, de los informes y registros se dan en la hora local del usuario. La base de datos de informes contiene eventos especificados segn la hora del meridiano de Greenwich (GMT). Al crear un informe, estos valores de horario se convierten en la hora local del equipo en el que se ven los informes. Si los clientes administrados estn en una zona horaria diferente a la del servidor de administracin y se usa la opcin de filtro Definir fechas especficas, se pueden ver resultados inesperados. La exactitud de los datos y
284
Si modifica la zona horaria en el servidor, cierre sesin en la consola y vuelva a iniciar sesin para ver los horarios exactos en registros e informes. En algunos casos, los datos del informe no tienen una correspondencia directa con lo que aparece en los productos de seguridad. Esta falta de correspondencia se produce porque el software de elaboracin de informes agrega eventos de seguridad. Es posible utilizar SSL con las funciones de la elaboracin de informes para una mayor seguridad. El SSL proporciona confidencialidad, integridad para sus datos y autenticacin entre el cliente y el servidor. Ver "Acerca del uso de SSL con las funciones de elaboracin de informes" en la pgina 283. La informacin sobre categoras de riesgos que se incluye en los informes se obtiene del sitio web de Symantec Security Response. Hasta que la consola de Symantec Endpoint Protection Manager pueda recuperar esta informacin, cualquier informe que se genere indica Desconocido en los campos de la categora de riesgo. Los informes que se generan brindan un cuadro exacto de los equipos en peligro de su red. Los informes se basan en los datos de registro, no en los datos de registro de Windows. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Si se producen errores de la base de datos durante la ejecucin de informes que incluyen una gran cantidad de datos, se recomienda cambiar los parmetros de tiempo de espera. Ver "Cambiar los parmetros de tiempo de espera" en la pgina 405. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Para obtener ms informacin, consulte el documento siguiente en Base de conocimientos de Symantec: El servidor de informes de SAV o la elaboracin de informes de SEPM no responde ni muestra un mensaje de error del tiempo de espera al consultar una gran cantidad de datos.
Es importante tener en cuenta la siguiente informacin si algunos equipos de su red estn ejecutando versiones anteriores de Symantec AntiVirus:
285
Cuando se utilizan los filtros de informes y registros, los grupos de servidores se categorizan como dominios. Los grupos de clientes se categorizan como grupos, y los servidores principales se categorizan como servidores. Si se genera un informe que incluye equipos con versiones anteriores, el valor de los campos de direccin IP y MAC es Ninguno.
286
Captulo
13
Acerca de los registros Ver registros Guardar y eliminar filtros Configuracin bsica de filtro para registros e informes Configuracin avanzada de filtro para registros e informes Ejecutar comandos y acciones de registros Exportar datos de registro Acerca del uso de notificaciones
288
Es posible ver los registros para solucionar problemas de seguridad o de conectividad en su red. Esta informacin puede ser til adems para la investigacin de amenazas o para verificar el historial de sucesos. Nota: Las pginas de informes y las pginas de registros siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador de Symantec Endpoint Protection Manager remoto, la fuente apropiada debe estar instalada en el equipo. Es posible exportar algunos datos de sucesos del registro a un archivo delimitado por comas y, luego, importarlos en una aplicacin de hojas de clculo. Otros datos de registro se pueden exportar a un archivo de volcado o a un servidor Syslog. Ver "Exportar datos de registro" en la pgina 307. Ver "Acerca de eventos registrados de su red" en la pgina 216.
Auditora Control de aplicaciones y dispositivos Cumplimiento Estado del equipo Proteccin contra amenazas de red Anlisis de amenazas proactivo TruScan Riesgo Anlisis Sistema
Nota: A todos estos registros se accede desde la pgina Supervisin en la ficha Registros. Algunos tipos de registros se subdividen en distintos tipos de contenido para que sea ms fcil visualizarlos. Por ejemplo, los registros de Control de aplicaciones y de control de dispositivos incluyen el registro de Control de aplicaciones y el registro de Control de dispositivos. Es posible adems ejecutar comandos desde algunos registros.
289
Nota: Si tiene solamente Symantec Network Access Control instalado, slo algunos de los registros contienen datos; algunos registros estn vacos. Los registros de auditora, de cumplimiento, de estado del equipo y del sistema contienen datos. Si tiene solamente Symantec Endpoint Protection instalado, los registros de cumplimiento y los registros de Enforcer estn vacos, pero el resto de los registros contienen datos. Es posible ver la informacin sobre las notificaciones creadas en la ficha Notificaciones y la informacin sobre el estado de los comandos en la ficha Estado del comando. Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 312. Ver "Ejecutar comandos y acciones de registros" en la pgina 303. Tabla 13-1 describe los distintos tipos de contenido que es posible ver y las acciones que pueden efectuarse desde cada registro. Tabla 13-1 Tipo de registro
Auditora
Tipos de registros
Contenido y acciones
Los registros de auditora contienen informacin sobre la actividad de modificacin de polticas. La informacin disponible incluye la hora y el tipo de evento; la poltica modificada; el dominio, el sitio y el nombre de usuario implicado; y una descripcin. No hay ninguna accin asociada a este registro.
290
Tipo de registro
Control de aplicaciones y dispositivos
Contenido y acciones
El registro de control de aplicaciones y el registro de control de dispositivos contienen informacin sobre los sucesos en los que se bloque determinado tipo de comportamiento. Los siguientes registros de control de aplicaciones y dispositivos estn disponibles: Control de aplicaciones, que incluye informacin sobre proteccin contra intervenciones Control de dispositivos
La informacin disponible incluye la hora en que ocurri el suceso, las medidas tomadas, el dominio y el equipo que estaban implicados, el usuario que estaba implicado, la gravedad, la norma que estaba implicada, el proceso de llamada y el destino. Es posible agregar un archivo a una poltica de excepciones centralizada desde el registro de control de aplicaciones. La informacin disponible incluye la hora en que ocurri el suceso, el tipo de evento, el dominio y el grupo que estaban implicados, el equipo que estaba implicado, el usuario que estaba implicado, el nombre del sistema operativo, una descripcin, la ubicacin y el nombre de la aplicacin que estaba implicada.
291
Tipo de registro
Cumplimiento
Contenido y acciones
Los registros de cumplimiento contienen informacin sobre el servidor de Enforcer, los clientes Enforcer y el trfico de Enforcer, y sobre cumplimiento de los hosts. Los siguientes registros de cumplimiento estn disponibles si tiene instalado Symantec Network Access Control: Servidor de Enforcer Este registro realiza un seguimiento de la comunicacin entre los mdulos de Enforcer y su servidor de administracin. La informacin que se registra incluye el nombre del mdulo de Enforcer, cundo se conecta al servidor de administracin, el tipo de evento, el sitio y el nombre del servidor. Cliente Enforcer Proporciona informacin sobre todas las conexiones de clientes Enforcer, incluida informacin sobre la autenticacin punto a punto. La informacin disponible incluye le hora, el nombre, el tipo, el sitio, el host remoto y la direccin MAC remota de cada Enforcer, y si el cliente fue aprobado, rechazado o autenticado. Trfico de Enforcer (Gateway Enforcer solamente) Proporciona cierta informacin sobre el trfico que se mueve a travs de un dispositivo Enforcer. La informacin disponible incluye la hora, el nombre de Enforcer, el tipo de Enforcer y el sitio. La informacin adems incluye el puerto local que fue utilizado, la direccin, la accin y una cantidad. Es posible filtrar segn los intentos de conexin que fueron permitidos o bloqueados. Cumplimiento del host Este registro realiza un seguimiento de los detalles de los anlisis de integridad de los hosts de los clientes. La informacin disponible incluye la hora, el tipo de evento, el dominio o el grupo, el equipo, el usuario, el sistema operativo, la descripcin y la ubicacin.
292
Tipo de registro
Estado del equipo
Contenido y acciones
293
Tipo de registro
Contenido y acciones
Los registros de estado del equipo contienen informacin sobre el estado operacional de los equipos cliente de la red en tiempo real. La informacin disponible incluye el nombre del equipo, la direccin IP, el estado infectado, las tecnologas de proteccin, el estado Auto-Protect, las versiones, la fecha de las definiciones, el usuario, la hora del ltimo registro, la poltica, el grupo, el dominio y el estado que indica que debe reiniciar. Es posible realizar las siguientes acciones desde el registro de estado del equipo:
Anlisis Este comando inicia un anlisis activo, completo o personalizado. Las opciones de anlisis personalizado son las que usted ha configurado para los anlisis de comandos en la pgina Anlisis definidos por el administrador. El comando utiliza la configuracin de la poltica antivirus y antispyware que se aplica a los clientes que usted seleccion para analizar. Actualizar contenido Este comando activa una actualizacin de polticas, definiciones y software desde la consola de Symantec Endpoint Protection Manager para los clientes en el grupo seleccionado. Actualizar contenido y analizar Este comando activa una actualizacin de polticas, definiciones y software en los clientes del grupo seleccionado. Este comando luego inicia un anlisis activo, completo o personalizado. Las opciones de anlisis personalizado son las que usted ha configurado para los anlisis de comandos en la pgina Anlisis definidos por el administrador. El comando utiliza la configuracin de la poltica antivirus y antispyware que se aplica a los clientes que usted seleccion para analizar. Cancelar todos los anlisis Este comando cancela todos los anlisis en curso y cualquier anlisis en cola para los destinatarios seleccionados. Reiniciar equipos cliente Este comando reinicia los equipos que usted seleccion. Si los usuarios han iniciado sesin, se les advierte sobre el reinicio basado en las opciones de reinicio que el administrador configur para ese equipo. Es posible configurar opciones de reinicio para clientes en la ficha Configuracin general del cuadro de dilogo de Configuracin general en la ficha Polticas de la pgina de Clientes. Habilitar Auto-Protect Este comando activa Auto-Protect para todos los equipos cliente que usted seleccion. Habilitar Proteccin contra amenazas de red Este comando activa la proteccin contra amenazas de red para todos los equipos cliente que usted seleccion. Deshabilitar Proteccin contra amenazas de red Este comando desactiva la proteccin contra amenazas de red para todos los equipos cliente que usted seleccion.
294
Tipo de registro
Contenido y acciones
Es posible adems borrar el estado infectado de los equipos desde este registro.
Proteccin contra amenazas Los registros de proteccin contra amenazas de red contienen informacin sobre de red ataques en el firewall y en la prevencin de intrusiones. Existe informacin disponible sobre ataques de negacin de servicio, anlisis de puertos y los cambios que fueron realizados a los archivos ejecutables. Adems contienen la informacin sobre las conexiones que se hacen a travs del firewall (trfico) y los paquetes de datos que pasan a travs de l. Estos registros adems contienen algunos de los cambios operacionales que se realizan en los equipos, como detectar aplicaciones de red y configurar software. Los registros siguientes de proteccin contra amenazas de red estn disponibles: Ataques La informacin disponible incluye la hora, el tipo de ataque, el dominio o el grupo, el equipo y el nombre de usuario del cliente. La informacin adicional disponible incluye la gravedad; la direccin o el protocolo; el IP del host local o el IP del host remoto, la ubicacin y el nmero. Trfico La informacin disponible incluye la hora, el tipo de evento, la accin, la gravedad, la direccin, el equipo, el IP del host local o el IP del host remoto, el protocolo, el nombre de usuario del cliente y el nmero. Paquete La informacin disponible incluye la hora, el tipo de evento, la accin, el dominio, la direccin, el equipo, el IP del host local, el puerto local y el IP del host remoto.
No hay ninguna accin asociada a estos registros. Anlisis de amenazas proactivo TruScan El registro de Anlisis de amenazas proactivo TruScan contiene informacin sobre las amenazas que se han detectado durante el anlisis de amenazas proactivo. Los anlisis de amenazas proactivos TruScan utilizan la heurstica para analizar en busca de cualquier comportamiento similar al de virus y riesgos de seguridad. Este mtodo puede detectar virus desconocidos y riesgos de seguridad. La informacin disponible incluye elementos, como la hora de la incidencia, la accin real del suceso, el nombre de usuario, el equipo o el dominio, la aplicacin o el tipo de aplicacin, el recuento y el archivo o la ruta. Es posible agregar un proceso detectado a una poltica de excepciones centralizada preexistente desde este registro.
295
Tipo de registro
Riesgo
Contenido y acciones
El registro de riesgos contiene informacin sobre sucesos de riesgo. La informacin disponible incluye la hora del suceso, la accin real del suceso, el nombre de usuario, el equipo o el dominio, el nombre del riesgo o el origen, el recuento y el archivo o la ruta. Es posible efectuar las siguientes acciones desde este registro:
Agregar riesgo a la poltica de excepciones centralizada Agregar archivo a la poltica de excepciones centralizada Agregar carpeta a la poltica de excepciones centralizada Agregar extensin a la poltica de excepciones centralizada Eliminar de Cuarentena
Anlisis
El registro de anlisis contiene informacin sobre la actividad del anlisis antivirus y antispyware. La informacin disponible incluye elementos, tales como el inicio del anlisis, el equipo, la direccin IP, el estado, la duracin, las detecciones, los elementos analizados, los elementos omitidos y el dominio. No hay ninguna accin asociada a estos registros.
Sistema
Los registros de sistema contienen informacin sobre sucesos tales como cundo se inician y se detienen los servicios. Estn disponibles los siguientes registros del sistema:
Administrativo La informacin disponible incluye elementos, tales como la hora y el tipo de evento; el sitio, el dominio y el servidor implicados; y la gravedad, el administrador y la descripcin. Actividad del cliente y el servidor La informacin disponible incluye elementos, tales como la hora y el tipo de evento; el sitio, el dominio y el servidor implicados; y el nombre de usuario. Actividad del servidor La informacin disponible incluye elementos, tales como la hora y el tipo de evento; el sitio y el servidor implicados; la gravedad; la descripcin; y un mensaje. Actividad del cliente La informacin disponible incluye elementos, tales como la hora del suceso, el tipo de evento, el origen del suceso, el dominio, la descripcin, el sitio, el equipo y la gravedad. Actividad de Enforcer La informacin disponible incluye elementos, tales como la hora del suceso, el tipo de evento, el nombre de Enforcer, el tipo de Enforcer, el sitio, la gravedad y la descripcin.
296
Ver registros
Puede generar una lista de sucesos para ver desde los registros que se basan en un conjunto de opciones de filtro seleccionadas. Cada tipo de registro y de contenido tiene una configuracin de filtro predeterminada que puede utilizarse como est o modificarse. Es posible adems crear y guardar nuevas configuraciones de filtro. Estos nuevos filtros se pueden basar en el filtro predeterminado o en un filtro existente que usted cre previamente. Si guarda la configuracin del filtro, puede generar la misma vista de registro en una fecha posterior sin tener que volver a configurar las opciones. Es posible eliminar las configuraciones de filtro personalizadas si ya no las necesita. Ver "Guardar y eliminar filtros" en la pgina 299. Nota: Si se producen errores de base de datos cuando se visualizan los registros que incluyen una gran cantidad de datos, puede ser recomendable modificar los parmetros de tiempo de espera de la base de datos. Ver "Cambiar los parmetros de tiempo de espera" en la pgina 405. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Es posible conseguir ms informacin sobre parmetros de tiempo de espera adicionales. Consulte el artculo Reporting server does not report or shows a timeout error message when querying large amounts of data (El servidor de informes no genera informes o presenta un mensaje de error de tiempo de espera al consultar una gran cantidad de datos) en la base de conocimientos de Symantec (en ingls). Debido a que los registros contienen cierta informacin que se recopila a intervalos, es posible actualizar las vistas de los registros. Para configurar la frecuencia de actualizacin del registro, visualice el registro y seleccinelo del cuadro de lista Actualizacin automtica en la parte superior derecha de la vista de ese registro. Nota: Si ve datos de registro usando fechas especficas, los datos permanecen iguales cuando se hace clic en Actualizacin automtica. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para obtener ese tipo de informe en la consola de Symantec Endpoint Protection Manager. Al hacer clic en Ms informacin, se muestra la ayuda contextual.
297
Nota: Los campos de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn. Para ver un registro
1 2 3 4 5
En la ventana principal, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo de registro que desea ver. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro que desea ver. En el cuadro de lista Usar un filtro guardado, seleccione un filtro guardado o deje el valor Predeterminado. Seleccione un tiempo del cuadro de lista Intervalo de tiempo o deje el valor predeterminado. Si selecciona Definir fechas especficas, defina la fecha o las fechas y la hora para las cuales desea visualizar entradas. Haga clic en Configuracin avanzada para limitar la cantidad de entradas que se visualizan. Es posible adems configurar cualquier otra Configuracin avanzada disponible para el tipo de registro que seleccion. Ver "Configuracin avanzada de filtro para registros e informes" en la pgina 302.
Despus de tener la configuracin de vista que desea, haga clic en Ver registro. La vista de registro aparece en la misma ventana.
1 2 3
En la ventana principal, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo de registro que desea ver. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro que desea ver.
298
4 5
Haga clic en Ver registro. Haga clic en el suceso del cual desea ver detalles y haga clic en Detalles.
1 2
Abra un navegador web. Escriba el nombre del servidor o la direccin IP y el nmero de puerto, 9090, en el cuadro de texto de la direccin, de la siguiente manera: http://192.168.1.100:9090 La consola empieza a descargar. El equipo desde el cual usted inici sesin debe tener el entorno Java 2 Runtime Environment (JRE, Java Runtime Environment) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE. Ver "Inicio de sesin en la consola de Symantec Endpoint Protection Manager" en la pgina 41.
299
En el cuadro de texto Servidor, si no se completa automticamente, escriba el nombre del servidor o la direccin IP y el nmero de puerto 8443, de la siguiente manera: http://192.168.1.100:8443
1 2 3
En la ventana principal, haga clic en Supervisin. En la ficha Registros, seleccione el tipo de vista de registro para la que desea configurar un filtro, desde el cuadro de lista Tipo de registro. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro para el que desea configurar un filtro. En el cuadro de lista Usar un filtro guardado, seleccione el filtro desde el cual desea establecer el inicio. Por ejemplo, seleccione el filtro predeterminado. En la seccin Qu configuracin de filtros desea utilizar, haga clic en Configuracin avanzada. Modifique cualquiera de las opciones. Haga clic en Guardar filtro.
4 5 6 7
300
En el cuadro de dilogo que aparece, en el cuadro Nombre del filtro, escriba el nombre que desee utilizar para esta configuracin de filtro de registro. Slo se muestran los primeros 32 caracteres del nombre cuando el filtro guardado se agrega a la lista de filtros. Haga clic en Aceptar. El nombre del nuevo filtro se agrega al cuadro de lista Usar un filtro guardado.
1 2 3
En el cuadro de lista Usar un filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Al lado del cuadro de lista Usar un filtro guardado, haga clic en el icono Eliminar. Cuando se le solicite confirmar si desea eliminar el filtro, haga clic en S.
Los dos usuarios estn registrados en la cuenta del administrador predeterminada en diversos sitios y cada uno crea un filtro con el mismo nombre. Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se elimina el filtro utilizable, usted adems elimina el filtro inutilizable. Ver "Guardar y eliminar filtros" en la pgina 299.
Ver y configurar registros y notificaciones Configuracin bsica de filtro para registros e informes
301
Auditora Control de aplicaciones y dispositivos Cumplimiento Estado del equipo Proteccin contra amenazas de red Anlisis de amenazas proactivo TruScan Riesgo Anlisis Sistema
Si hay ms de un registro o el informe de ese tipo, es posible seleccionar el tipo de contenido que se desea ver.
Especifica el filtro que se desea utilizar para crear la vista. Es posible utilizar el filtro predeterminado o un filtro personalizado al que usted ha dado un nombre y que ha guardado para ver informacin de registro o de informe.
302
Ver y configurar registros y notificaciones Configuracin avanzada de filtro para registros e informes
Opcin
Intervalo de tiempo
Descripcin
Especifica el intervalo de tiempo de los sucesos que usted desea ver en el registro o el informe. Seleccione alguna de las opciones siguientes:
ltimas 24 horas ltima semana ltimo mes Mes actual ltimos tres meses Ao pasado Definir fechas especficas
Solamente disponible para el registro de Estado del equipo cuando se selecciona Definir fechas especficas para el intervalo de tiempo. Especifica que usted desea ver todas las entradas que impliquen a un equipo que no se ha registrado en su servidor desde el momento especificado.
Configuracin avanzada
Cada registro o informe tiene algunas opciones de configuracin avanzada que le son especficas. Haga clic en Configuracin avanzada y Configuracin bsica para alternar entre ellas.
Configuracin avanzada proporciona control adicional sobre los datos que desee ver. Son especficos para el tipo y el contenido del informe. Para una descripcin de cada configuracin avanzada que se pueda establecer, se puede hacer clic en Ms informacin para visualizar la ayuda contextual para ese tipo de informe. Ver "Guardar y eliminar filtros" en la pgina 299.
303
Los grupos de servidores de una versin anterior se categorizan como dominios Los grupos de clientes de una versin anterior se categorizan como grupos Los servidores principales de una versin anterior se categorizan como servidores
Nota: No es posible filtrar los datos de una versin anterior de Symantec Client Firewall para conocer las firmas de prevencin de intrusiones. Para ver las versiones de firmas que se ejecutan en un equipo, es posible ir al registro o informe de Estado del equipo. Seleccione un equipo que tenga Symantec Client Firewall instalado y, a continuacin, haga clic en Detalles. Esta informacin est en el campo Versin de IDS. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para obtener ese tipo de informe o registro en la consola de Symantec Endpoint Protection Manager. Haga clic en Ms informacin para mostrar la ayuda contextual. Ver "Guardar y eliminar filtros" en la pgina 299.
304
Es posible cancelar todos los anlisis en curso y en cola para los clientes seleccionados desde el registro de Estado del equipo. Si confirma el comando, la tabla se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado del comando. Nota: Si ejecuta un comando de anlisis y selecciona un Anlisis personalizado, el anlisis utiliza la configuracin del anlisis de comando que usted configur en la pgina Anlisis definido por el administrador. El comando utiliza la configuracin que est en la poltica antivirus y antispyware que se aplica a los clientes seleccionados. Si ejecuta un comando Reiniciar equipo cliente, el comando se enva inmediatamente. Si hay usuarios conectados al cliente, se les advierte sobre el reinicio, de acuerdo con las opciones de reinicio que el administrador configur para ese cliente. Es posible configurar opciones de reinicio para clientes en la ficha Configuracin general del cuadro de dilogo Configuracin general en la ficha Polticas de la pgina Clientes. Los registros siguientes permiten que se agreguen excepciones a una poltica de excepciones centralizadas:
Registro de control de aplicaciones Registro del anlisis de amenazas proactivo TruScan Registro de riesgos
Ver "Crear excepciones centralizadas de sucesos de registro" en la pgina 652. Para agregar cualquier tipo de excepcin desde un registro, debe haber creado una poltica de excepciones centralizadas. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643. Desde el registro de Riesgos, es posible adems eliminar los archivos de Cuarentena. Si Symantec Endpoint Protection detecta riesgos en un archivo comprimido, el archivo comprimido se coloca totalmente en cuarentena. Sin embargo, el registro de Riesgos contiene una entrada separada para cada archivo del archivo comprimido. No es posible usar el comando Eliminar de Cuarentena del registro de Riesgos para eliminar solamente los archivos infectados de Cuarentena. Para eliminar correctamente el riesgo o los riesgos, es necesario seleccionar todos los archivos del archivo comprimido antes de utilizar el comando Eliminar de Cuarentena.
305
Nota: Para seleccionar los archivos del archivo comprimido, debe visualizarlos todos en la vista de registro. Es posible usar la opcin Lmite en Configuracin avanzada del filtro del registro de Riesgos para aumentar el nmero de entradas en la vista. Para eliminar archivos de Cuarentena desde el registro Riesgo
1 2 3 4 5 6 7
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro de Riesgos y despus haga clic en Ver registro. Seleccione una entrada del registro que tenga un archivo que se haya puesto en cuarentena. Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena. Haga clic en Iniciar. En el cuadro de dilogo que aparece, haga clic en Eliminar. En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
1 2 3
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro de Riesgos y despus haga clic en Ver registro. Seleccione todas las entradas de los archivos del archivo comprimido. Todas las entradas del archivo comprimido deben estar en la vista del registro. Es posible utilizar la opcin Lmite de Configuracin avanzada para aumentar el nmero de entradas en la vista.
4 5 6 7
Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena. Haga clic en Iniciar. En el cuadro de dilogo que aparece, haga clic en Eliminar. En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
1 2 3 4
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione un comando del cuadro de lista Accin.
306
Haga clic en Iniciar. Si hay opciones de configuracin para el comando que usted seleccion, aparecer una nueva pgina donde es posible configurar las opciones apropiadas.
6 7 8
Cuando haya finalizado la configuracin, haga clic en S o Aceptar. En el cuadro de mensaje de confirmacin del comando que aparece, haga clic en S. En el cuadro de dilogo Mensaje, haga clic en Aceptar. Si el comando no se pone en cola correctamente, es posible que se deba repetir este procedimiento. Se puede verificar si el servidor no funciona. Si la consola ha perdido conectividad con el servidor, es posible finalizar la sesin en la consola y a continuacin volver a iniciarla para ver si ayuda.
1 2
Haga clic en Supervisin. En la ficha Estado del comando, seleccione un comando de la lista y a continuacin haga clic en Detalles.
1 2 3
Haga clic en Supervisin. En la ficha Estado del comando, haga clic en el icono Cancelar anlisis de la columna Comando del comando de anlisis que desee cancelar. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
1 2 3 4 5 6
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione uno o ms equipos de la lista y a continuacin active Cancelar todos los anlisis de la lista de comandos. Haga clic en Iniciar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S para cancelar todos los anlisis en curso y puestos en cola de los equipos seleccionados. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
307
308
Tabla 13-3
Nombres de archivos de texto del registro para Symantec Endpoint Protection Nombre de archivo de texto
scm_admin.log agt_behavior.log scm_agent_act.log scm_policy.log scm_system.log agt_packet.log agt_proactive.log agt_risk.log agt_scan.log agt_security.log agt_system.log agt_traffic.log
Datos de registro
Administracin de servidor Control de aplicaciones de servidor Cliente de servidor Poltica de servidor Sistema de servidor Paquete de clientes Amenaza proactiva del cliente Riesgos del cliente Anlisis de clientes Seguridad del cliente Sistema del cliente Trfico del cliente
Nota: Los nombres de registro en Tabla 13-3 no corresponden uno a uno con los nombres de registro que se usan en la ficha Registros de la pgina Supervisin. Tabla 13-4 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados para los registros de Enforcer. Tabla 13-4 Nombres de archivo de texto de registro adicionales para Symantec Network Access Control Nombre de archivo de texto
scm_enforcer_act.log enf_client_act.log enf_system.log enf_traffic.log
Datos de registro
Actividades de Enforcer del servidor Actividad del cliente Enforcer Sistema de Enforcer Trfico de Enforcer
309
Nota: Cuando se exporta a un archivo de texto, el nmero de registros exportados puede ser distinto del nmero que se establece en el cuadro de dilogo Registro externo. Esta situacin se presenta cuando se reinicia el servidor de administracin. Despus de reiniciar el servidor de administracin, la cantidad de entradas de registro se restablece a cero, pero ya puede haber entradas en los archivos de registro temporales. En esta situacin, el primer archivo *.log de cada tipo que se genera despus del reinicio contiene ms entradas que el valor especificado. Cualquier archivo de registro que se exporte posteriormente contiene el nmero correcto de entradas. Haga clic en Ayuda en la ficha General del cuadro de dilogo Registro externo para Sitio para obtener ms informacin sobre las opciones que se pueden configurar en este procedimiento. Ver "Exportar datos de registro" en la pgina 307. Para exportar datos de registro a un archivo de volcado
1 2 3 4 5 6
En la consola, haga clic en Administrador. Haga clic en Servidores. Haga clic en el sitio local o en el sitio remoto para el que desee configurar el registro externo. Haga clic en Configurar el registro externo. En la ficha General, seleccione la frecuencia con la que se enviarn los datos de registro al archivo. En el cuadro de lista Servidor de registro maestro, seleccione el servidor al que desee enviar registros. Si utiliza Microsoft SQL con ms de un servidor de administracin conectado a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 8
Active Exportar registros a un archivo de volcado. Si es necesario, active Limitar registros de archivos de volcado y escriba el nmero de entradas que se quieran enviar al mismo tiempo al archivo de texto. En la ficha Filtro de registros, seleccione todos los registros que se quieran enviar a los archivos de texto. Si el tipo de registro seleccionado permite definir el nivel de gravedad, es necesario activar los niveles de gravedad que se desean guardar. Se guardan todos los niveles que se seleccionan.
310
1 2 3 4 5 6
En la consola, haga clic en Administrador. Haga clic en Servidores. Haga clic en el sitio local o el sitio remoto desde el cual desee exportar datos de registro. Haga clic en Configurar el registro externo. En la ficha General, seleccione la frecuencia con la que se enviarn los datos de registro al archivo. En el cuadro de lista Servidor de registro maestro, seleccione el servidor al que desee enviar registros. Si utiliza Microsoft SQL y tiene varios servidores de administracin conectados a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 8
Marque Activar la transmisin de registros a un servidor Syslog. Configure los campos siguientes segn corresponda:
Servidor Syslog Especifique la direccin IP o el nombre de dominio del servidor Syslog que recibir los datos de registro. Puerto UDP de destino Especifique el puerto de destino que el servidor Syslog utiliza para escuchar mensajes de Syslog o utilice la configuracin predeterminada. Recurso de registro Especifique el nmero del recurso de registro que desee utilizar en el archivo de configuracin Syslog o utilice la configuracin predeterminada. Los valores vlidos van de 0 a 23.
311
En la ficha Filtro de registros, seleccione todos los registros que se quieran enviar a los archivos de texto. Si un tipo de registro seleccionado permite seleccionar el nivel de gravedad, active los niveles de gravedad que desee guardar.
1 2 3 4 5 6 7 8
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro que desea exportar. Modifique cualquier Configuracin bsica o Configuracin avanzada. Haga clic en Ver registro. Haga clic en Exportar. En la nueva ventana que aparece, haga clic en el men Archivo y a continuacin haga clic en Guardar como. Si se le pregunta si desea continuar, haga clic en S. En la ventana Guardar pginas web que aparece, utilice el cuadro de lista Guardar en para desplazarse hasta el directorio donde desea guardar el archivo. En el cuadro de texto Nombre de archivo, escriba el nombre de archivo que se utilizar modifique el tipo a Archivo de texto (*.txt).
10 Para guardar los datos sin procesar, en el cuadro de lista Guardar como tipo, 11 Haga clic en Guardar para exportar los datos al archivo.
312
Es posible configurar las siguientes acciones de notificacin para alertar a administradores o a otros individuos designados cuando se cumplen determinadas condiciones relacionadas con la seguridad:
Enviar un correo electrnico. Ejecutar un archivo por lotes u otro archivo ejecutable. Registrar una entrada en el registro de notificaciones de la base de datos.
Ver "Crear notificaciones de administrador" en la pgina 313. Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 312.
Intervalo de tiempo Estado de reconocimiento Tipo de notificacin Creado por Nombre de la notificacin.
1 2
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Ver notificaciones. Aparece la lista de todos los tipos de notificaciones.
1 2
En la consola, haga clic en Supervisin. En la ficha Notificaciones, en Qu configuracin de filtros desea utilizar?, haga clic en Configuracin avanzada.
313
Configure cualquier opcin por la cual desea filtrar. Es posible filtrar por cualquier combinacin de intervalo de tiempo, estado de reconocimiento, tipo de notificacin, creador o nombre especfico de notificacin.
Haga clic en Ver notificaciones. Aparece una lista del tipo de notificaciones que seleccion.
314
Nota: Para enviar notificaciones por correo electrnico, es necesario configurar tambin un servidor de correo. Para configurar un servidor de correo, haga clic en la pgina Administrador > Servidores, seleccione a un servidor, haga clic en Editar propiedades del servidor y despus haga clic en la ficha de Servidor de correo. Ejecutar un archivo por lotes u otra clase de archivo ejecutable.
El perodo atenuador predeterminado para las notificaciones es Automtico. Si se activa una notificacin y la condicin de la activacin contina existiendo, la accin de notificacin que haya configurado no se vuelve a realizar durante 60 minutos. Por ejemplo, suponga que define una notificacin para que se le enve un correo electrnico cuando un virus infecta cinco equipos en el plazo de una hora. Si un virus contina infectando sus equipos a esta velocidad o ms rpido, Symantec Endpoint Protection le enva una notificacin por correo electrnico cada hora. Los correos electrnicos seguirn envindose hasta que la velocidad de infeccin disminuya a menos de cinco equipos por hora. Es posible configurar el software para notificarle cuando ocurren un nmero de diferentes tipos de sucesos. Ver "Pautas del umbral para las notificaciones del administrador" en la pgina 313. Tabla 13-5 describe los diferentes tipos de sucesos que activan diferentes tipos de notificaciones. Tabla 13-5 Notificacin
Error de autenticacin
315
Notificacin
Alerta de seguridad de cliente
Descripcin
Es posible elegir entre sucesos de seguridad de cumplimiento, proteccin contra amenazas de red, trfico, paquete, control de dispositivos y control de aplicaciones. Es posible adems elegir el tipo y el alcance del ataque que activar esta notificacin y el perodo. Los tipos incluyen las instancias en cualquier equipo, las instancias en un solo equipo o las instancias en equipos distintos. Algunos de estos tipos necesitan que usted adems active el registro en la poltica asociada. Un dispositivo Enforcer desconectado activa este tipo de notificacin. La notificacin le indica el nombre de cada Enforcer, su grupo y la hora de su ltimo estado. La deteccin de una aplicacin en la lista de aplicaciones comerciales o en la lista del administrador de las aplicaciones que se deben observar en busca de activadores de esta notificacin. Las nuevas aplicaciones incorporadas activan este tipo de notificacin. Los nuevos riesgos detectados activan este tipo de notificacin. Las descargas de nuevos paquetes de software activan este tipo de notificacin. Se define el nmero y el tipo de instancias de nuevos riesgos y el perodo que debe activar este tipo de notificacin. Los tipos incluyen las instancias en cualquier equipo, las instancias en un solo equipo o las instancias en equipos distintos. Los estados de servidor desconectado, malo o crtico activan esta notificacin. La notificacin enumera el nombre del servidor, el estado de salud, el motivo y el ltimo estado. La deteccin de un suceso de riesgo simple activa esta notificacin. La notificacin enumera varios detalles sobre el riesgo, que incluyen el usuario y el equipo implicados, y las acciones que Symantec Endpoint Protection efectu.
Ataque de riesgo
316
Notificacin
Evento del sistema
Descripcin
Los sucesos del sistema, tales como actividades de Enforcer y de servidor, error de replicacin, problemas de copia de seguridad y de restauracin, y errores de sistema, activan esta notificacin. La notificacin enumera la cantidad de sucesos detectados. Los equipos no administrados activan esta notificacin. La notificacin enumera detalles, tales como la direccin IP, la direccin MAC y el sistema operativo, para cada equipo. Se define la desactualizacin al configurar la notificacin. Se definen el nmero de equipos y el nmero de das de antigedad de las definiciones del equipo necesarios para activar esta notificacin.
Equipos no administrados
Con la configuracin de Condiciones de notificacin, es posible configurar una alerta de seguridad del cliente por instancias en cualquier equipo, en un solo equipo o en equipos distintos. Es posible adems configurar estas opciones para un ataque de riesgo. Es recomendable crear una notificacin de proteccin contra amenazas de red que se activa cuando un evento de trfico coincide con los criterios configurados para una norma de firewall. Para crear este tipo de notificacin, es necesario realizar las siguientes tareas:
En la lista Normas de polticas de firewall, active la opcin Enviar alerta de correo electrnico en la columna Registro de las normas que desee ser notificado. En la ficha Notificaciones, configure una alerta de seguridad del cliente para sucesos de proteccin contra amenazas de red, paquete o trfico.
Ver "Configurar notificaciones de proteccin contra amenazas de red" en la pgina 566. Para una descripcin de cada opcin configurable, se puede hacer clic en Ms informacin en la consola de Symantec Endpoint Protection Manager. Ms informacin muestra la ayuda contextual. Nota: Es posible filtrar la vista de Condiciones de notificacin que se han creado usando el cuadro de lista Mostrar tipos de notificacin. Para estar seguro de que se visualizan las nuevas notificaciones creadas, asegrese de que la opcin Todos est seleccionada en este cuadro de lista.
317
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Condiciones de notificacin. Haga clic en Agregar y a continuacin seleccione el tipo de notificacin que desee agregar de la lista que aparece. En la nueva ventana que aparece, en el cuadro de texto Nombre de la notificacin, escriba un nombre descriptivo. Especifique las opciones de filtro que desee. Por ejemplo, para algunos tipos de notificaciones, es posible limitar la notificacin a dominios, grupos, servidores, equipos, riesgos o aplicaciones especficos. Especifique la configuracin de la notificacin y las acciones que desea que ocurran cuando se activa esta notificacin. Puede hacer clic en Ayuda para ver descripciones de las opciones posibles para todos los tipos de notificaciones. Si selecciona Ejecutar el archivo por lotes o ejecutable como la accin que debe efectuarse, escriba el nombre del archivo. Los nombres de ruta no estn permitidos. El archivo por lotes o el archivo ejecutable que se ejecutar debe estar ubicado en el siguiente directorio: unidad:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\bin Si selecciona Enviar correo electrnico a como la accin que se efectuar, la notificacin por correo electrnico depende de la opcin del nombre de usuario del servidor de correo. El nombre de usuario que se configura para el servidor de correo en el cuadro de dilogo Propiedades del servidor debe tener el siguiente formato usuario@dominio. Si este campo se deja en blanco, las notificaciones se envan desde SYSTEM@nombre del equipo. Si el servidor de elaboracin de informes tiene un nombre que utiliza un conjunto de caracteres de doble byte (DBCS, Double Byte Character Set), es necesario especificar el campo de nombre de usuario con un nombre de cuenta de correo electrnico que tenga el formato usuario@dominio.
1 2 3 4
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Condiciones de notificacin. Haga clic en Agregar y active Alerta de seguridad de cliente. Escriba un nombre para esta notificacin.
318
5 6
Si desea limitar esta notificacin a dominios, grupos, servidores o equipos especficos, especifique las opciones de filtro que desee. Seleccione uno de los siguientes tipos de ataque:
Para especificar el tipo de actividad de proteccin contra amenazas de red, active una de las siguientes casillas de verificacin:
Para los ataques y los sucesos que el firewall detecta o que las firmas de prevencin de intrusiones detectan, marque Sucesos de proteccin contra amenazas de red. Para las normas de firewall que se activan y se registran en el registro de Paquetes, active Sucesos de paquetes. Para las normas de firewall que se activan y se registran en el registro de Trfico, active Sucesos de trfico.
Si lo desea, modifique las condiciones predeterminadas de notificacin para configurar el nmero de instancias dentro del nmero de minutos en que desea que se active esta notificacin. Marque Enviar correo electrnico a y a continuacin escriba las direcciones de correo electrnico de las personas a las que desea notificar cuando se cumplen estos criterios.
319
existente desmarcando las acciones que usted configur bajo Qu debe ocurrir cuando se activa esta notificacin. Ver "Crear notificaciones de administrador" en la pgina 313.
320
Captulo
14
Administrar los dominios y las cuentas de administrador Acerca de los dominios Adicin de un dominio Especificar el dominio actual Acerca de los administradores Agregar una cuenta de administrador Acerca de los derechos de acceso Configurar los derechos de acceso para un administrador limitado Alternar entre un administrador y un administrador limitado Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin Restablecer la contrasea de administrador a admin Configurar la autenticacin para las cuentas de administrador Cambiar el nombre de una cuenta de administrador Modificar la contrasea de un administrador
322
Decidir si aadir varios Decida si aadir dominios adicionales para varios negocios. dominios Ver "Acerca de los dominios" en la pgina 323. Ver "Adicin de un dominio" en la pgina 324. Ver "Especificar el dominio actual" en la pgina 325. Decidir quin necesita Decida quin necesita acceder a Symantec Endpoint Protection una cuenta Manager. Decida si el acceso debe estar restringido o sin restriccin. Estos administradores pueden ver y administrar el contenido de su propio dominio, pero no pueden ver ni administrar el contenido de otros dominios. Ver "Acerca de los administradores" en la pgina 326. Crear cuentas Cree una cuenta para los administradores y los usuarios que necesitan acceso a Symantec Endpoint Protection Manager. Ver "Agregar una cuenta de administrador" en la pgina 329. Editar las cuentas Si es necesario, se pueden editar cuentas una vez que usted las crea. Ver "Alternar entre un administrador y un administrador limitado" en la pgina 333. Bloquear una cuenta de administrador Es posible bloquear una cuenta de administrador una vez que alguien ha intentado iniciar sesin en Symantec Endpoint Protection Manager demasiadas veces. Ver "Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin" en la pgina 333.
323
Tarea
Restablecer las contraseas
Descripcin
Es posible realizar las siguientes tareas para las contraseas:
Ver "Restablecer la contrasea de administrador a admin" en la pgina 334. Modificar la contrasea de un administrador. Ver "Modificar la contrasea de un administrador" en la pgina 337.
324
Figura 14-1
Cliente A
Cliente B
Cliente C
https
https
https
Consola de SEPM
Consola de SEPM
Consola de SEPM
Dominio A
Dominio B
Dominio C
Cuando se agrega por primera vez el dominio, el dominio est vaco. Es necesario configurar el dominio para que sea el dominio actual. A continuacin, agregue grupos, clientes, equipos y polticas a este dominio. Ver "Adicin de un dominio" en la pgina 324. Ver "Especificar el dominio actual" en la pgina 325. Es posible copiar polticas y clientes de un dominio a otro. Para copiar polticas entre dominios, se debe exportar la poltica del dominio de origen e importarla al dominio de destino. Para copiar clientes entre dominios, es posible usar la herramienta SylinkDrop. Esta herramienta reemplaza el archivo de comunicacin de un cliente para permitir que el cliente se comunique con un servidor de administracin diferente. La herramienta SylinkDrop se encuentra en la carpeta Tools\NoSupport\Sylinkdrop del CD 3. Ver "Exportar una poltica" en la pgina 110. Ver "Cmo recuperar la configuracin de comunicacin de los clientes usando la herramienta SylinkDrop" en la pgina 206.
Adicin de un dominio
Es posible agregar un dominio si desea usar varios dominios. Por ejemplo, si se administran varias empresas independientes, es posible tener un dominio diferente para cada empresa.
325
Ver "Acerca de los dominios" en la pgina 323. Nota: Es posible agregar un ID de dominio para la recuperacin despus de un desastre. Si todos los servidores de administracin de su organizacin fallan, debe reconstruir el servidor de administracin usando el mismo ID que el servidor anterior. Es posible encontrar el ID de dominio anterior en el archivo sylink.xml en cualquier cliente. Para agregar un dominio
1 2 3 4 5 6 7
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. En Tareas, haga clic en Agregar dominio. En el cuadro de dilogo Agregar dominio, escriba un nombre de dominio y un nombre de compaa opcional. En el cuadro de texto Lista de contactos, escriba opcionalmente informacin adicional, como el nombre de la persona responsable de ese dominio. Si desea agregar un ID de dominio, haga clic en Avanzadas y escriba el valor en el cuadro de texto. Haga clic en Aceptar.
326
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Dominios. Agregue y a continuacin seleccione un nuevo dominio. Ver "Adicin de un dominio" en la pgina 324.
4 5 6
En Tareas, haga clic en Administrar dominio. En el cuadro de dilogo Administrar dominio, para confirmar, haga clic en S. Haga clic en Aceptar.
327
Tabla 14-2
Rol de administrador
Administrador del sistema
Crear y administrar el resto de las cuentas del administrador del sistema, las cuentas del administrador y las cuentas del administrador limitado para todos los dominios. Administra las bases de datos y los servidores de administracin. Administrar mdulos de aplicacin Enforcer.
Administrador
Crear y administrar cuentas de administrador y cuentas de administrador limitadas dentro de un nico dominio. Estos derechos incluyen notificaciones, configuracin de seguridad, configuracin del grupo y configuracin de polticas. No puede administrar bases de datos o servidores de administracin. No puede administrar mdulos de aplicacin Enforcer.
Puede ver y usar toda la configuracin de la consola para un nico dominio solamente.
328
Rol de administrador
Administrador limitado
Responsabilidades
Un administrador del sistema puede realizar las siguientes tareas:
Realizar tareas dentro de un dominio pero no administrar un dominio. Administrar informes, ejecutar comandos remotos y configurar polticas para los grupos especficos dentro de un nico dominio. Los administradores limitados que no tienen acceso a una poltica especfica y a opciones de configuracin relacionadas no pueden ver ni modificar la poltica. Adems, no pueden aplicar, reemplazar o retirar una poltica. No pueden crear otras cuentas de administrador limitado. Solamente un administrador del sistema o un administrador puede configurar los derechos para el administrador limitado. Administrar los derechos de la contrasea para su propia cuenta solamente. Puede ver la pgina principal, la pgina Supervisin o Informes en la consola solamente si se le dieron los derechos de informar.
Es posible definir un rol de administrador para cada tipo de administrador en su organizacin. Por ejemplo, una compaa grande puede usar los siguientes tipos de administradores:
Un administrador que instale el servidor de administracin y los paquetes de instalacin de clientes. Despus de que el producto est instalado, un administrador a cargo de las operaciones asume el control. Un administrador de las operaciones mantiene los servidores, las bases de datos e instala los parches. Un administrador de antivirus, que crea y mantiene el antivirus y las polticas antivirus y de LiveUpdate en los clientes. Un administrador de escritorio, que est a cargo de la seguridad y de crear y mantener las polticas de firewall y las Polticas de prevencin de intrusiones para los clientes. Un administrador del departamento de soporte tcnico, que crea informes y tiene acceso de slo lectura a las polticas. El administrador antivirus y el administrador de escritorio leen los informes que el administrador del departamento de soporte tcnico enva.
329
En esta situacin, el administrador que instala el servidor de administracin y el administrador de las operaciones deben ser administradores del sistema. El administrador antivirus y el administrador del escritorio deben ser administradores para su dominio solamente. El administrador del departamento de soporte tcnico debe ser administrador limitado. Cuando se instala Symantec Endpoint Protection Manager, se crea un administrador del sistema predeterminado que llama admin. Es posible crear una cuenta para cualquier administrador que se agregue. Ver "Agregar una cuenta de administrador" en la pgina 329.
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Tareas, haga clic en Agregar administrador. En el cuadro de dilogo Agregar administrador, escriba el nombre del administrador. Este nombre es el nombre con el cual el administrador inicia sesin y por el cual es reconocido dentro de la aplicacin.
330
Escriba y vuelva a escribir la contrasea. La contrasea debe tener seis caracteres o ms. Se permiten todos los caracteres.
Para configurar el mtodo de autenticacin, haga clic en Cambiar. El valor predeterminado es Autenticacin del Servidor de administracin de Symantec. Es posible configurar cundo caduca la contrasea para el mtodo predeterminado o modificar el mtodo de autenticacin. Ver "Configurar la autenticacin para las cuentas de administrador" en la pgina 335.
8 9
Administrador del sistema Administrador Los administradores puede ejecutar informes en todos los grupos. Si migr desde Symantec AntiVirus 10.x y desea que el administrador ejecute informes para estos grupos de servidores migrados, haga clic en Derechos de informes. Administrador limitado Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 332.
331
Cuando se restringen los derechos, se restringen los tipos de registros que el administrador limitado puede ver o manipular en la ficha Supervisin. Adems, se restringe la configuracin disponible en la ficha Polticas de la pgina Clientes. De forma predeterminada, los administradores tienen todos los derechos de acceso excepto los derechos de informes de los grupos de servidores de Symantec AntiVirus 10.x. De forma predeterminada, los administradores limitados no tienen ninguno de los derechos de acceso. Es necesario configurarlos explcitamente. Tabla 14-3 Tipos de derechos de acceso
Ver "Configurar los derechos de acceso para un administrador limitado" en la pgina 332.
332
Administrar dominios y administradores Configurar los derechos de acceso para un administrador limitado
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Seleccione un administrador limitado. Es posible tambin configurar los derechos de acceso cuando se crea una cuenta de administrador limitada. Ver "Agregar una cuenta de administrador" en la pgina 329.
4 5
En Tareas, haga clic en Editar propiedades del administrador y, despus, haga clic en Derechos de acceso. En la ficha Derechos de acceso, asegrese de que la opcin Administrador limitado est seleccionada y realice una de las siguientes acciones:
Active Ver informes y despus haga clic en Derechos de informes. Active Administrar grupos y despus haga clic en Derechos de grupo. Active Comandos que se ejecutan remotamente y despus haga clic en Derechos de comando. Active Administrar polticas y despus haga clic en Derechos de tipo de poltica.
333
Es posible autorizar al administrador para crear solamente polticas no compartidas de una ubicacin activando Slo permitir la edicin de polticas especficas de la ubicacin.
1 2 3 4 5
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador. Bajo Tareas, haga clic en Editar propiedades del administrador y despus haga clic en Derechos de acceso. En la ficha Derechos de acceso, realice una de las siguientes tareas:
Haga clic en Administrador. Si migr desde Symantec AntiVirus 10.x y desea que el administrador ejecute informes para estos grupos de servidores migrados, haga clic en Derechos de informes. Haga clic en Administrador limitado. Configure los derechos para el administrador limitado.
334
bloqueada. La notificacin puede alertar al administrador acerca de que otro usuario intent iniciar sesin con las credenciales del administrador. De forma predeterminada, las cuentas de administrador se bloquean despus de cinco intentos de inicio de sesin. El valor de los intentos de inicio de sesin se restablece en 0 despus de que el administrador inicia sesin correctamente y termina la sesin ms tarde. El administrador tiene el nmero completo de intentos para iniciar sesin de nuevo ms tarde. Despus de que el administrador alcanza el lmite de intentos de inicio de sesin incorrectos, la cuenta se bloquea. El administrador debe entonces esperar hasta alcanzar el nmero especificado de minutos antes de intentar iniciar sesin de nuevo. Para bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
1 2 3 4 5
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador. Bajo Tareas, haga clic en Editar propiedades del administrador. En la ficha General, en el cuadro de texto Correo electrnico, escriba la direccin de correo electrnico del administrador. El servidor de administracin enva un mensaje de correo electrnico a esta direccin cuando bloquea la cuenta del administrador. Es necesario marcar la casilla de verificacin Enviar alerta de correos electrnicos cuando se bloquea la cuenta para enviar el mensaje de correo electrnico.
6 7
Bajo Umbral de intentos de inicio de sesin, mueva el control deslizante para configurar el nmero de intentos de inicio de sesin incorrectos permitidos. Para bloquear la cuenta cuando el administrador ha excedido el nmero de intentos de inicio de sesin, haga clic en Bloquear esta cuenta cuando se supere el umbral de intentos de inicio de sesin. Active o desactive Enviar alerta por correo electrnico cuando se bloquee la cuenta y despus configure el nmero de minutos. Haga clic en Aceptar.
8 9
335
Nota: Si cambia el nombre de cuenta de administracin a uno diferente de admin y ejecuta posteriormente resetpass.bat, se cambia el nombre de cuenta de nuevo a admin. Ver "Agregar una cuenta de administrador" en la pgina 329. Para restablecer la contrasea de administrador
1 2 3
Abra el Explorador de Windows en el equipo que ejecuta Symantec Endpoint Protection Manager. Localice la carpeta <Unidad>:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Tools. Haga doble clic en el archivo ejecutable resetpass.bat. La contrasea se restablece a admin.
Advertencia: No use la cuenta de administrador al configurar la autenticacin de Active Directory. Es necesario usar una nueva cuenta de administrador para usar la autenticacin de Active Directory. Para obtener ms informacin, consulte el artculo de la base de conocimientos del soporte tcnico de Symantec Cmo configurar una cuenta de administrador de SEPM para usar su autenticacin de Active Directory.
336
Tarjeta RSA SecurID Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
Agregue una cuenta de administrador. Ver "Agregar una cuenta de administrador" en la pgina 329.
2 3 4
En la pgina Administradores, bajo Ver administradores, seleccione el administrador. Bajo Tareas, haga clic en Editar propiedades del administrador y despus haga clic en Autenticacin. En la ficha Autenticacin, seleccione una de las siguientes opciones de autenticacin que desee utilizar para autenticar la cuenta del administrador:
la Autenticacin del Servidor de administracin de Symantec y, a continuacin, seleccione cundo debe caducar la contrasea de la autenticacin. Ver "Agregar servidores de directorios" en la pgina 356. Autenticacin de RSA SecurID Ver "Configurar Symantec Endpoint Protection Manager para usar la autenticacin de RSA SecurID" en la pgina 370. Autenticacin de directorios A continuacin, escriba el servidor de directorios y el nombre de la cuenta del administrador.
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador al que cambiar el nombre. Bajo Tareas, haga clic en Cambiar el nombre del administrador.
337
5 6
En el cuadro de dilogo Cambiar el nombre del administrador para nombre, modifique el nombre de cuenta. Haga clic en Aceptar.
1 2 3 4 5
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador. Bajo Tareas, haga clic en Cambiar la contrasea del administrador. Escriba y confirme la nueva contrasea. La contrasea debe tener seis o ms caracteres de largo y se permiten todos los caracteres.
338
Seccin
Captulo 15. Administrar sitios Captulo 16. Administrar servidores Captulo 17. Administrar servidores de directorio Captulo 18. Administrar servidores de correo electrnico Captulo 19. Administrar servidores proxy Captulo 20. Administrar servidores RSA Captulo 21. Administrar certificados de servidor Captulo 22. Administrar bases de datos Captulo 23. Replicar datos Captulo 24. Administrar Proteccin contra intervenciones
340
Captulo
15
Administrar sitios
En este captulo se incluyen los temas siguientes:
Acerca de la administracin de sitios Acerca de la replicacin de sitios a travs de diferentes sitios de la compaa Acerca de los sitios remotos Editar propiedades del sitio Hacer una copia de seguridad de un sitio Eliminar sitios remotos
342
Para los sitios locales y remotos, es posible realizar las siguientes tareas desde un sitio determinado:
Modificar la descripcin de un sitio. Ver "Editar propiedades del sitio" en la pgina 343. Configurar la consola para terminar una sesin despus de un cierto perodo. Ver "Editar propiedades del sitio" en la pgina 343. Borrar los clientes que no se han conectado durante algn tiempo. Ver "Editar propiedades del sitio" en la pgina 343. Configurar los umbrales del registro. Programar informes diarios y semanales. Configurar el registro externo para filtrar y enviar registros a un archivo o a un servidor Syslog. Modificar el nombre y la descripcin de una de base de datos. Ver "Cmo editar el nombre y la descripcin de una base de datos" en la pgina 391.
Desde un sitio determinado, puede realizar las siguientes tareas solo para un sitio local:
Hacer una copia de seguridad del sitio local inmediatamente. Ver "Hacer una copia de seguridad de una base de datos de Microsoft SQL" en la pgina 383. Ver "Hacer copia de seguridad de una base de datos integrada" en la pgina 388. Modificar la programacin de las copias de seguridad. Ver "Cmo programar las copias de seguridad de base de datos automticas" en la pgina 389. Elimine un servidor seleccionado (solamente si tiene varios servidores de administracin conectados a una nica base de datos de Microsoft SQL). Agregar una conexin a un asociado de replicacin en el mismo sitio Ver "Cmo agregar y desconectar a un partner de replicacin" en la pgina 412. Actualizar el certificado del servidor. Ver "Acerca de los tipos de certificado de servidor" en la pgina 373. Hacer consultas a la base de datos para obtener informacin.
Estas listas no son completas. Se proporcionan para darle una idea de los tipos de tareas que se puedan realizar de forma local o remota. Desde un sitio remoto, no se pueden realizar ciertas tareas. Si desea instalar un nuevo sitio, debe ir a un equipo especfico en el que instal un servidor de administracin o un mdulo de Enforcer. Sin embargo, es posible iniciar sesin
343
en un sitio remotamente para realizar otras tareas que se puedan realizar solamente en la consola de un sitio local. Ver "Inicio de sesin en la consola de Symantec Endpoint Protection Manager" en la pgina 41.
Eliminar un sitio remoto y sus partners de replicacin. Modificar la descripcin del servidor remoto. Cambiar el acceso a la consola del sitio remoto. Configurar un servidor de correo electrnico para un sitio remoto. Programar la sincronizacin del servidor del directorio para un sitio remoto. Configurar una conexin del servidor del sitio remoto a un servidor proxy. Configurar el registro externo para enviar registros a un archivo o a un servidor Syslog.
Nombre y descripcin del sitio Especificar el perodo en que la consola supera el tiempo de espera
344
Independientemente de eliminar los clientes que no se han conectado despus de un cierto perodo de tiempo Si se activ o no el aprendizaje de aplicaciones para el sitio Tamaos mximos de registro que se mantienen en el sitio Programacin de informes
Puede editar propiedades del sitio local o remoto desde la consola. Para editar las propiedades del sitio
1 2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, expanda Sitio local (nombre del sitio) o expanda Sitios remotos. Seleccione el sitio cuyas propiedades desea editar. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del sitio de la ficha General, edite la descripcin del sitio en el cuadro Descripcin. Puede utilizar hasta 1024 caracteres.
En el cuadro de dilogo Propiedades del sitio de la ficha General, seleccione un valor, de 5 minutos a Nunca, de la lista Tiempo de espera de la consola. La configuracin predeterminada es una (1) hora. Cuando se alcanza el perodo de Tiempo de espera de la consola, se cerrar la sesin del administrador.
En el cuadro de dilogo Propiedades del sitio de la ficha General, active Eliminar clientes que no se conectaron durante x das. Puede eliminar a los usuarios que no se han conectado durante un determinado nmero de das (de 1 a 99999). La configuracin predeterminada se activa por un perodo de treinta (30) das.
345
En el cuadro de dilogo Propiedades del sitio de la ficha General, marque Realizar un seguimiento de cada aplicacin que ejecutan los clientes. Las aplicaciones aprendidas ayudan a que los administradores realicen un seguimiento del acceso a la red y el uso de las aplicaciones de un cliente registrando todas las aplicaciones que se inicien en cada cliente. Es posible activar o desactivar el aprendizaje de las aplicaciones para un sitio especfico. Si esta opcin no se activa, el seguimiento de aplicaciones no se realiza para ese sitio. El seguimiento de aplicaciones tampoco se realiza si est activado para los clientes que se conectan al sitio sealado. Esta opcin funciona como un conmutador principal.
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, haga clic en localhost. En la pgina Administrador, bajo Tareas, haga clic en Editar configuracin de la copia de seguridad.
346
En el cuadro de dilogo Hacer copia de seguridad del sitio local: (Nombre del sitio), seleccione el nombre del servidor de copias de seguridad de la lista del servidor de copias de seguridad. El nombre de ruta predeterminado es Archivos de programa\ Symantec\Symantec Endpoint Protection Manager\data\backup. Sin embargo, puede modificar el nombre de la ruta de la copia de seguridad con una de las utilidades de copia de seguridad disponibles.
Seleccione el nmero de copias de seguridad que se desee conservar de la lista Nmero de copias de seguridad que desea conservar. Es posible seleccionar hasta 10 copias de seguridad para conservar antes de que una copia de seguridad se elimine automticamente.
1 2 3 4
En la consola, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, haga clic en Sitios remotos. En la pgina Administrador, bajo Ver, expanda Sitios remotos y seleccione el sitio que desea eliminar.
347
Haga clic en Eliminar sitio remoto. En el cuadro de dilogo Eliminar sitio remoto, el sistema le solicitar que confirme la cancelacin del sitio remoto:
Al eliminar el sitio remoto, se quitan todos los partners de replicacin en los que este sitio participa. Est seguro de que desea eliminar este sitio?
Haga clic en S para eliminar el sitio remoto. Puede volver a agregar un sitio remoto que fue eliminado al agregar un partner de replicacin.
348
Captulo
16
Administrar servidores
En este captulo se incluyen los temas siguientes:
Acerca de la administracin de servidores Acerca de las contraseas de servidores y de otros fabricantes Iniciar y detener el servicio del servidor de administracin Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager Eliminar servidores seleccionados Exportar e importar opciones del servidor
Sitio local La consola en el sitio local, bases de datos, partners de replicacin, como otras consolas cuyas bases de datos se replican y mdulos de Enforcer opcionales Sitios remotos La consola en cualquier sitio remoto, base de datos, partner de replicacin, como otros servidores de administracin cuyas bases de datos se replican, y mdulos de Enforcer opcionales
350
Administrar servidores Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
351
Conceder o negar el acceso a las consolas remotas de Symantec Endpoint Protection Manager
Es posible proteger la consola principal concediendo o negando el acceso a los equipos en los cuales una consola remota est instalada. De forma predeterminada, a todas las consolas se les permite el acceso. Los administradores pueden iniciar sesin en la consola principal localmente o remotamente desde cualquier equipo en la red. Adems de conceder o de negar el acceso globalmente, es posible especificar excepciones por la direccin IP. La lista de excepciones niega automticamente el acceso si ha elegido conceder acceso a todas las consolas remotas. Inversamente, si se niega el acceso a todas las consolas remotas, se concede automticamente el acceso a todas las excepciones. Cuando se crea una excepcin, el equipo que usted especific debe tener una direccin IP esttica. Es posible adems crear una excepcin para un grupo de equipos especificando una mscara de subred. Por ejemplo, es posible permitir el acceso en todas las reas que se administran. Sin embargo, es posible negar el acceso a una consola que se encuentra en un rea pblica. Para conceder o negar el acceso a una consola remota
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, seleccione al servidor cuyo permiso de acceso a la consola desea modificar. Bajo Tareas, haga clic en Editar propiedades del servidor. En la ficha General, haga clic en Acceso concedido o Acceso denegado.
352
Si desea especificar las direcciones IP de los equipos que estn exentos de los permisos de acceso de la consola, haga clic en Agregar. Los equipos que se agregan se convierten en excepciones a las cuales se concede acceso. Se niega el acceso a estos equipos. Si selecciona Acceso denegado, los equipos que se especifican se convierten en los nicos a los que se permite el acceso. Cree una excepcin para un solo equipo o un grupo de equipos.
En el cuadro de dilogo Denegar acceso a la consola, haga clic en una de las siguientes opciones:
Equipo individual Para un equipo, escriba la direccin IP. Grupo de equipos Para varios equipos, escriba la direccin IP y la mscara de subred para el grupo.
Haga clic en Aceptar. Los equipos ahora aparecen en la lista de excepciones. Para cada direccin IP y mscara, aparece el estado de los permisos. Si modifica Acceso concedido por Acceso denegado, o viceversa, todas las excepciones se modifican tambin. Si ha creado excepciones para negar el acceso, ahora tienen acceso.
Haga clic en Editar todo para modificar las direcciones IP o los nombres de host de los equipos que aparecen en la lista de excepciones. El editor de direcciones IP aparece. El editor de direcciones IP es un programa de edicin de texto que permite editar direcciones IP y mscaras de subred.
353
Detenga el servicio de Symantec Endpoint Protection Manager. Ver "Iniciar y detener el servicio del servidor de administracin" en la pgina 350.
2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, expanda Sitio local (nombre del sitio) y haga clic en el servidor de administracin que desea eliminar. Haga clic en Eliminar el servidor seleccionado. Haga clic en S para eliminar el servidor seleccionado.
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, expanda Sitio local (Sitio nombre del sitio) y despus seleccione el servidor de administracin que desee exportar. Haga clic en Exportar propiedades del servidor. Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre de archivo. Haga clic en Exportar.
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, expanda Sitio local (Sitio nombre del sitio) y despus seleccione el servidor de administracin para el que desee importar la configuracin. Haga clic en Importar propiedades del servidor. Seleccione el archivo que desea importar y despus haga clic en Importar. Haga clic en S para confirmar la importacin.
3 4 5
354
Captulo
17
Acerca de la administracin de servidores de directorios Agregar servidores de directorios Sincronizacin de cuentas de usuario entre los servidores de directorios y Symantec Endpoint Protection Manager Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP Buscar usuarios en un servidor de directorios LDAP Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP Acerca de las unidades organizativas y el servidor LDAP
356
1 2 3 4 5 6 7
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, seleccione el servidor de administracin al cual desee agregar un servidor de directorios. Bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor para nombre del sitio, en la ficha Servidores de directorios, haga clic en Agregar. En el cuadro de dilogo Agregar servidor de directorios, escriba el nombre para el servidor de directorios que desee agregar en el campo Nombre. En el cuadro de dilogo Agregar servidor de directorios, seleccione Active Directory o LDAP como Tipo de servidor. En el cuadro de dilogo Agregar servidor de directorios, escriba la direccin IP, el nombre de host o el nombre de dominio en el cuadro Nombre o direccin IP del servidor. Es necesario escribir la direccin IP, el nombre de host o el nombre de dominio del servidor de directorios que desee agregar.
Si agrega un servidor LDAP, escriba el nmero de puerto del servidor LDAP en el cuadro Puerto LDAP. No es posible modificar los valores si se agrega un servidor de Active Directory. La configuracin de puerto predeterminado es 389.
Si agrega un servidor LDAP, escriba LDAP BaseDN en el cuadro BaseDN LDAP. directorios en el cuadro Nombre de usuario.
10 Escriba el nombre de usuario de la cuenta autorizada del servidor de 11 Escriba la contrasea para la cuenta del servidor de directorios en el cuadro
Contrasea.
Administrar servidores de directorio Sincronizacin de cuentas de usuario entre los servidores de directorios y Symantec Endpoint Protection Manager
357
Sincronizacin de cuentas de usuario entre los servidores de directorios y Symantec Endpoint Protection Manager
Es posible configurar los servidores de directorios para importar y para sincronizar usuarios con Symantec Endpoint Protection Manager. Es necesario haber agregado los servidores de directorios antes de sincronizar la informacin sobre los usuarios. Para sincronizar cuentas de usuario entre los servidores de directorios y Symantec Endpoint Protection Manager
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, seleccione el servidor de administracin al cual desee agregar un servidor de directorios. Bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidores de directorios. Active Sincronizar con servidores de directorios si no est marcada. sta es la opcin predeterminada.
Para configurar la programacin para cuantas veces desea sincronizar al servidor de administracin con el servidor del directorio, realice una de las siguientes acciones:
Para sincronizar automticamente cada 24 horas, haga clic en Programacin automtica. La configuracin predeterminada se programa para sincronizar cada 86 400 segundos. Tambin puede personalizar el intervalo al editar el archivo tomcat\etc\conf.properties. Para especificar la frecuencia de sincronizacin deseada, haga clic en Sincronizar cada y especifique el nmero de horas.
358
Administrar servidores de directorio Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP
Acerca de la importacin de la informacin del usuario y de la cuenta de equipo de un servidor de directorios LDAP
Los administradores pueden importar informacin sobre cuentas de usuario y del equipo desde un servidor de directorios LDAP usando el protocolo LDAP. Si planea importar la informacin sobre usuarios y cuentas, debe primero establecer una conexin entre Symantec Endpoint Protection Manager y un servidor de directorios. Ver "Agregar servidores de directorios" en la pgina 356. Es posible despus buscar e importar informacin sobre usuarios y cuentas realizando las siguientes tareas:
Buscar usuarios en el servidor LDAP. Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 358. Importar la informacin sobre las cuentas de usuario. Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP" en la pgina 360.
1 2 3 4 5
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo donde desee importar los usuarios. Bajo Tareas, haga clic en Importar usuarios de Active Directory o LDAP. En el cuadro de dilogo Importar usuarios de Active Directory o LDAP, escriba la direccin IP o el nombre de host en el cuadro Servidor. En el cuadro de dilogo Importar usuarios de Active Directory o LDAP, escriba el nmero de puerto del servidor LDAP o el servidor de Active Directory en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 389.
Si desea conectarse con el servidor de directorios usando Secure Sockets Layer (SSL), haga clic en Usar conexin segura. Si no activa esta opcin, se utiliza una conexin sin cifrar.
359
Enumere los usuarios haciendo clic en Enumerar usuarios. Es posible adems escribir una consulta LDAP para localizar los nombres de los usuarios que desee importar en el cuadro Base de bsqueda LDAP. Es posible especificar opciones de bsqueda, tales como pares de atributo y valor. Los atributos deben estar separados por comas.
CN DC L ST O OU C STREET NombreComn ComponenteDominio NombreLocalidad NombreEstadoOProvincia NombreOrganizacin NombreUnidadOrganizativa NombrePas DireccinCalle
No todos los servidores LDAP admiten todas las opciones. Por ejemplo, Microsoft Active Directory no admite O. El orden en el cual se especifican los pares de atributos y valores es importante, ya que indica la ubicacin de la entrada en la jerarqua de directorios LDAP. Si durante la instalacin de un servidor de directorios, usted especific un nombre de dominio de tipo DNS tal como itsupport.sygate.com, es posible consultar un servidor de directorios, pues itsupport es un nombre de dominio NetBIOS NT tpico. Para realizar una consulta en ese servidor de Active Directory, especifique la base de la bsqueda LDAP en este orden:
CN=Usuarios, DC=itsupport, DC=sygate, DC=com
Es posible utilizar caracteres comodn o expresiones regulares en la base de bsqueda. Por ejemplo:
CN=a*, CN=Usuarios, DC=itsupport, DC=sygate, DC=com
Esta consulta devuelve todos los nombres de usuario que se inician con la letra a. Otro ejemplo representa las organizaciones en las cuales es posible realizar una bsqueda de directorio estructural, tal como:
360
Administrar servidores de directorio Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
Es posible especificar cualquier opcin aplicable donde se desee iniciar la bsqueda en el directorio LDAP.
o=miempresa.com u o=ingeniera.miempresa.com
Es posible especificar una comparacin lgica usando > o < en una cadena de bsqueda LDAP. Una consulta LDAP que proporciona ms de 1000 resultados puede fallar. Asegrese de configurar la base de bsqueda de forma que se informen menos de 1000 usuarios.
8 9
Escriba el nombre de la cuenta de usuario LDAP en el cuadro Cuentas autorizadas. Escriba la contrasea de la cuenta de usuario LDAP en el cuadro Contrasea. servidor LDAP. Si se marca Mostrar slo usuarios que no se hayan agregado a ningn grupo, slo aparecen los usuarios que no se han agregado.
Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
Es posible tambin importar usuarios desde una lista de resultados de bsqueda de un servidor LDAP. Para importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
1 2
En la consola, haga clic en Clientes. En el rbol de Lista de grupos, seleccione el grupo al que desee agregar usuarios desde el servidor LDAP. Haga clic en Agregar todo si desea agregar todos los usuarios o seleccione usuarios especficos de la lista, y despus haga clic en Agregar.
Haga clic en el nombre del campo segn el cual se clasificar. Es posible clasificar los resultados de la bsqueda por campo en orden ascendente o descendente.
361
Seleccione uno o ms usuarios desde el rea de Lista de usuarios de LDAP. Es posible utilizar las teclas de seleccin estndar de Windows como Ctrl para seleccionar usuarios no continuos.
5 6 7
Haga clic en Agregar de modo que los nombres de nuevos usuarios aparezcan en el rbol del grupo. Repita este proceso para agregar usuarios a otros grupos, como sea necesario, hasta que haya agregado todos los nuevos usuarios a los grupos apropiados. Haga clic en Cerrar.
362
1 2 3 4 5 6
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo en el que desee agregar la unidad organizativa o el contenedor. Bajo Tareas, haga clic en Importar unidad organizativa o contenedor. Elija el dominio. Seleccione la unidad organizativa. Haga clic en Aceptar.
Copiar un usuario de una unidad organizativa a un grupo. Eliminar ese usuario del servidor LDAP posteriormente.
Captulo
18
Acerca de administrar servidores de correo electrnico Establecimiento de la comunicacin entre Symantec Endpoint Protection Manager y los servidores de correo electrnico
Configure notificaciones automticas de correo electrnico para sucesos de seguridad que sern enviadas a los administradores. Configure notificaciones automticas de correo electrnico para sucesos de seguridad que sern enviadas a los clientes.
Las notificaciones automticas de correo electrnico pueden ocurrir solamente si se establece una conexin entre el servidor de administracin y, por lo menos, uno de los servidores de correo electrnico en la red. Ver "Configurar mensajes de correo electrnico para sucesos de trfico" en la pgina 568.
364
Administrar servidores de correo electrnico Establecimiento de la comunicacin entre Symantec Endpoint Protection Manager y los servidores de correo electrnico
Establecimiento de la comunicacin entre Symantec Endpoint Protection Manager y los servidores de correo electrnico
Si desea usar la notificacin por correo electrnico, deber configurar el servidor de correo electrnico en Symantec Endpoint Protection Manager. Para establecer la comunicacin entre Symantec Endpoint Protection Manager y los servidores de correo electrnico
1 2 3 4 5 6
En la consola, haga clic en Administrador y, luego, haga clic en Servidor. Bajo Ver servidores, seleccione el servidor de administracin para el cual desee establecer una conexin al servidor de correo electrnico. Bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor de correo. Escriba la direccin IP, el nombre de host o el nombre de dominio del servidor de correo electrnico en el cuadro de texto Direccin del servidor. Escriba el nombre de usuario de la cuenta en el servidor de correo electrnico en el cuadro de texto Nombre de usuario. Es necesario agregar un nombre de usuario solamente si el servidor de correo electrnico requiere autenticacin.
En el cuadro de dilogo Propiedades del servidor, escriba la contrasea de una cuenta en el servidor de correo electrnico en el cuadro de texto Contrasea. Es necesario agregar una contrasea solamente si el servidor de correo electrnico requiere autenticacin.
Captulo
19
Acerca de los servidores proxy Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager Configuracin de una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
Servidor proxy HTTP Ver "Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager" en la pgina 366. Servidor proxy FTP Ver "Configuracin de una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager" en la pgina 366.
366
Administrar servidores proxy Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager
Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager
Si se admite un servidor proxy HTTP en la red corporativa, es necesario conectar el servidor proxy HTTP a Symantec Endpoint Protection Manager. Puede utilizar el servidor proxy HTTP para descargar automticamente el contenido de LiveUpdate. Para configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager
1 2 3 4 5 6
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, seleccione el servidor de administracin al cual desee conectar un servidor proxy HTTP. Bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor proxy. Bajo Configuracin del proxy HTTP, active Utilizar configuracin de proxy personalizada de la lista Utilizacin del proxy. Escriba la direccin IP del servidor proxy HTTP en el campo Direccin del servidor. Una direccin IP o un nombre de servidor vlido de hasta 256 caracteres.
Escriba el nmero de puerto del servidor proxy en el campo Puerto. Un nmero de puerto vlido va de 0 a 65535.
8 9
Active Para establecer la conexin a travs del servidor proxy se necesita autenticacin. Escriba el nombre de usuario del servidor proxy en el campo Nombre de usuario. Contrasea.
10 Escriba la contrasea del servidor proxy al cual desee conectarse en el campo 11 Haga clic en Aceptar.
Configuracin de una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
Puede utilizar el servidor proxy HTTP para descargar automticamente el contenido de LiveUpdate.
Administrar servidores proxy Configuracin de una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
367
Para configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
1 2 3 4 5 6
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, seleccione el servidor de administracin al cual desee conectar un servidor proxy FTP. Bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor proxy. Bajo Configuracin de proxy FTP, active Utilizar configuracin de proxy personalizada de la lista Utilizacin del proxy. Escriba la direccin IP del servidor proxy FTP en el campo Direccin del servidor. La direccin IP o el nombre de servidor pueden contener hasta 256 caracteres.
Escriba el nmero de puerto del servidor proxy en el campo Puerto. Un nmero de puerto vlido va de 0 a 65535.
368
Administrar servidores proxy Configuracin de una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
Captulo
20
Acerca de los requisitos previos para usar RSA SecurID con Symantec Endpoint Protection Manager Configurar Symantec Endpoint Protection Manager para usar la autenticacin de RSA SecurID Especificar la autenticacin de SecurID para un administrador de Symantec Endpoint Protection Manager Configurar el servidor de administracin para admitir la comunicacin HTTPS
Acerca de los requisitos previos para usar RSA SecurID con Symantec Endpoint Protection Manager
Si desea autenticar a los administradores que utilizan Symantec Endpoint Protection Manager con RSA SecurID, es necesario activar la autenticacin cifrada ejecutando el asistente para la instalacin de RSA. Antes de ejecutar el asistente, asegrese de que:
Tiene un servidor RSA ACE instalado. El equipo en el cual usted instal el servidor de administracin se registra como host vlido en el servidor de RSA ACE Cree el archivo de secreto de nodo para el mismo host. El archivo sdconf.rec en el servidor RSA ACE es accesible en la red. Una tarjeta SecurID sincronizada o un dispositivo de seguridad se ha asignado a una cuenta de servidor de administracin. El nombre de inicio de sesin debe estar activado en el servidor RSA ACE.
370
Administrar servidores RSA Configurar Symantec Endpoint Protection Manager para usar la autenticacin de RSA SecurID
Token RSA SecurID (no tokens de software RSA) Tarjeta RSA SecurID Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
Para iniciar sesin en el servidor de administracin con RSA SecurID, el administrador necesita un nombre de inicio de sesin, el token (hardware) y un nmero de pin.
Configurar Symantec Endpoint Protection Manager para usar la autenticacin de RSA SecurID
Si su red corporativa incluye un servidor RSA, es necesario instalar el software para un agente de RSA ACE en el equipo en el cual usted instal Symantec Endpoint Protection Manager y configurarlo como cliente de autenticacin de SecurID. Para configurar Symantec Endpoint Protection Manager para usar la autenticacin de RSA SecurID
Instale el software para el agente de RSA ACE en el mismo equipo en el cual usted instal el servidor de administracin. Es posible instalar el software ejecutando el archivo .msi de Windows del CD del agente de autenticacin de RSA. Copie los archivos nodesecret.rec, sdconf.rec y agent_nsload.exe del servidor de RSA ACE al equipo en el cual usted instal el servidor de administracin. En la lnea de comandos, escriba el siguiente comando:
agent_nsload -f nodesecret.rec -p contrasea para el archivo nodesecret
2 3
4 5 6 7 8
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, seleccione el servidor de administracin al cual desee conectar un servidor RSA. Bajo Tareas, haga clic en Configurar autenticacin SecurID. En el panel Asistente para configurar la autenticacin SecurID, haga clic en Siguiente. En el panel Aptitudes del panel del Asistente para configurar la autenticacin SecurID, lea los requisitos previos de modo que se puedan cumplir todos los requisitos. Haga clic en Siguiente.
Administrar servidores RSA Especificar la autenticacin de SecurID para un administrador de Symantec Endpoint Protection Manager
371
10 En el panel Cargar archivo RSA del panel del Asistente para configurar la
autenticacin SecurID, busque la carpeta en la cual el archivo sdconf.rec reside. Es posible adems escribir el nombre de ruta.
11 Haga clic en Siguiente. 12 Haga clic en Prueba para probar su configuracin. 13 En el cuadro de dilogo Configuracin de prueba, escriba el nombre de usuario
y la contrasea para su SecurID y despus haga clic en Prueba. Ahora autentica correctamente.
1 2 3 4 5 6
En la consola, haga clic en Administrador y, luego, haga clic en Administradores. Bajo Tareas, haga clic en Agregar administrador. En el cuadro de dilogo Agregar administrador, escriba el nombre de un usuario que usted configur previamente para el cliente RSA ACE. Al lado de Tipo de autenticacin, haga clic en Cambiar. En el cuadro de dilogo Autenticacin del administrador, active Autenticacin de RSA SecurID y despus haga clic en Aceptar. En el cuadro de dilogo Agregar administrador, haga clic en Aceptar.
372
Administrar servidores RSA Configurar el servidor de administracin para admitir la comunicacin HTTPS
Genere o compre un certificado SSL. Agregar el certificado al servidor IIS que est instalado en el mismo equipo que el servidor de administracin. Configure el servidor de administracin para admitir la comunicacin HTTPS.
1 2 3 4 5
Haga clic en Inicio > Programas > Herramientas administrativas > Administrador de Internet Information Services (IIS). Bajo el equipo local, seleccione Symantec Web Server bajo sitios Web. Haga clic con el botn secundario en Symantec Web Server y elija Propiedades. En la ficha Seguridad de directorios, haga clic en Certificado de servidor para iniciar el Asistente para certificados de servidor Web. Cree o importe un certificado de servidor siguiendo los pasos en el asistente. Para obtener ms informacin, vea la ayuda en pantalla de IIS.
En la ficha Sitio Web, especifique el nmero de puerto para el puerto SSL, que es 443 de forma predeterminada.
Captulo
21
Acerca de los tipos de certificado de servidor Actualizar un certificado de servidor Hacer copia de seguridad de un certificado de servidor Localizacin de la contrasea del almacn de claves
374
Una herramienta Java que se llama keytool.exe genera el archivo del almacn de claves. Symantec admite solamente el formato del estndar de claves de Java (JKS). El formato de extensin de criptografa de Java (JCEKS) necesita una versin especfica de Java Runtime Environment (JRE). El servidor de administracin admite solamente un archivo del almacn de claves JCEKS que se genera con la misma versin que el kit de desarrollo de Java (JDK) en el servidor de administracin. El almacn de claves debe contener un certificado y una clave privada. La contrasea del almacn de claves debe ser igual que la contrasea principal. Se exporta generalmente de Internet Information Services (IIS).
Archivo de almacn de claves PKCS12 (.pfx y .p12) Archivo de claves privadas y certificado (formato DER y PEM) Symantec admite certificados y claves privadas no cifrados en los formatos DER o PEM. Los archivos de clave privada PKCS8 cifrados no se admiten.
Sera aconsejable hacer una copia de seguridad de la informacin sobre el certificado como medida de seguridad. Si se daa el servidor de administracin o se olvida la contrasea del almacn de claves, es posible extraer fcilmente la contrasea. Ver "Localizacin de la contrasea del almacn de claves" en la pgina 377. Para obtener informacin sobre la configuracin de certificados de servidor, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Ver "Actualizar un certificado de servidor" en la pgina 374. Ver "Hacer copia de seguridad de un certificado de servidor" en la pgina 377.
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en el servidor de administracin para el cual desee actualizar el certificado de servidor. Bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida del Asistente para administrar certificados del servidor, haga clic en Siguiente.
375
5 6 7
En el panel Administrar certificado del servidor, haga clic en Actualizar el certificado del servidor y despus haga clic en Siguiente. En el panel Actualizar certificado del servidor, haga clic en Archivo de almacn de claves JKS (.jks) y despus haga clic en Siguiente. En el panel Almacn de claves JKS, haga clic en Examinar para localizar el archivo de almacn de claves JKS (.jks) en el servidor de administracin, o escriba la ruta para este archivo en el campo de texto y haga clic en Abrir. Escriba la contrasea del almacn de claves en el cuadro de texto Contrasea del almacn de claves. Escriba la contrasea del almacn de claves en el campo de texto Contrasea de clave por segunda vez. y despus haga clic en Siguiente. servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario cerrar la sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
8 9
1 2 3 4 5 6 7
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en el servidor de administracin para el cual desee actualizar el certificado de servidor. Bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida del Asistente para administrar certificados del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Actualizar el certificado del servidor y despus haga clic en Siguiente. En el panel Actualizar certificado del servidor, haga clic en Archivo de almacn de claves PKCS12 (.pfx y .p12) y despus haga clic en Siguiente. En el panel Almacn de claves PKCS12, haga clic en Examinar para localizar el archivo de almacn de claves PKCS12 (.pfx y .p12) en el servidor de administracin, o escriba la ruta para este archivo en el campo de texto y haga clic en Abrir.
376
En el panel Almacn de claves PKCS12, escriba la contrasea del almacn de claves en el cuadro de texto Contrasea del almacn de claves y despus haga clic en Siguiente. En el panel Ha finalizado el Asistente para administrar certificados del servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario cerrar la sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
Para actualizar los certificados de servidor y las claves privadas no cifrados (formato DER o PEM)
1 2 3 4 5 6
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en el servidor de administracin para el cual desee actualizar el certificado de servidor. Bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida del Asistente para administrar certificados del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Actualizar el certificado del servidor y despus haga clic en Siguiente. En el panel Actualizar certificado del servidor, haga clic en Archivo de claves privadas y certificados (formato DER o PEM) y despus haga clic en Siguiente. El panel Archivo de certificado, haga clic en Examinar para localizar el certificado (formato DER y PEM) en el servidor de administracin o escriba el nombre de ruta para este archivo en el cuadro de texto Ruta del certificado y despus haga clic en Abrir. En el panel Ha finalizado el Asistente para administrar certificados del servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario cerrar la sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
377
1 2 3 4 5 6
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en el servidor de administracin cuyo certificado de servidor desea incluir en una copia de seguridad. Bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida del Asistente para administrar certificados del servidor, haga clic en Siguiente. En el panel Administrar certificados del servidor, haga clic en Hacer copia de seguridad del certificado del servidor y despus haga clic en Siguiente. En el panel Hacer copia de seguridad del certificado del servidor, escriba el nombre de la ruta o haga clic en Examinar para localizar la carpeta en la cual desee hacer copia de seguridad de la clave privada y despus haga clic en Abrir. Observe que se hace una copia de respaldo del certificado del servidor de administracin en la misma carpeta. El archivo del almacn de claves JKS se incluye en una copia de seguridad durante la instalacin inicial. Un archivo denominado servermarca de hora.xml tambin se incluye en una copia de seguridad. El archivo del almacn de claves JKS incluye el par de claves privada y pblica del servidor y el certificado autofirmado.
7 8
En el panel Hacer copia de seguridad del certificado del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Finalizar.
378
Abra Windows Explorer y localice la carpeta en la cual hizo copia de seguridad de los archivos para el certificado. De forma predeterminada, Symantec Endpoint Protection Manager hace copia de seguridad del certificado en directorio_de_instalacin:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup directory.
Captulo
22
Acerca de la administracin de bases de datos Hacer una copia de seguridad de una base de datos de Microsoft SQL Hacer copia de seguridad de una base de datos integrada Cmo programar las copias de seguridad de base de datos automticas Restaurar una base de datos Cmo editar el nombre y la descripcin de una base de datos Volver a configurar una base de datos de Microsoft SQL Volver a configurar una base de datos integrada Acerca de administrar datos de registro
380
Una base de datos contiene informacin sobre polticas de seguridad y de aplicacin. Adems, todas las opciones de configuracin, los datos sobre ataques, los registros y los informes tambin se incluyen en la base de datos. Por lo tanto, puede supervisar brechas de seguridad en la red. La informacin de la base de datos se almacena en las tablas, tambin llamadas esquemas de base de datos. El esquema se proporciona para los administradores que pueden necesitarlo para la elaboracin de informes especializados. Si necesita obtener informacin detallada sobre el esquema de base de datos, puede descargar la Symantec Endpoint Protection ManagerReferencia de base de datos del esquema ms actual del sitio de la documentacin de Symantec Endpoint Protection.
Acerca del Asistente de configuracin del servidor de administracin y las Herramientas de base de datos de Symantec
Es posible hacer copia de seguridad, programar y editar cierta configuracin de base de datos, como el nombre de una base de datos, desde la consola de Symantec Endpoint Protection Manager. Sin embargo, slo puede restaurar y volver a configurar bases de datos con el Asistente de configuracin del servidor de administracin y la utilidad Symantec Database Backup and Restore.
381
Es posible utilizar el Asistente de configuracin del servidor de administracin para volver a configurar todo Microsoft SQL y la configuracin de la base de datos integrada. Ver "Acerca de la reconfiguracin de una base de datos" en la pgina 382. Puede utilizar la utilidad Herramientas de base de datos de Symantec para hacer una copia de seguridad de todas las opciones de Microsoft SQL y de la base de datos integrada, restaurarlas y volver a configurarlas. Ver "Acerca de la copia de seguridad de base de datos" en la pgina 381.
Base de datos de Microsoft SQL solamente Es posible utilizar Microsoft SQL Server Enterprise Manager para configurar un plan de mantenimiento que incluya copias de seguridad automticas. Base de datos integrada o de Microsoft SQL Es posible realizar una copia de seguridad cuando lo necesite y, adems, programar copias de seguridad automticas desde la consola.
Las copias de seguridad se deben almacenar preferiblemente en una unidad de disco diferente. Es necesario hacer una copia de seguridad de la unidad de disco peridicamente.
382
Ver "Hacer una copia de seguridad de una base de datos de Microsoft SQL" en la pgina 383. Ver "Hacer copia de seguridad de una base de datos integrada" en la pgina 388.
Se modific la direccin IP o el nombre de host del servidor de la base de datos. El puerto del servidor de base de datos por medio del que se conecta a Symantec Endpoint Protection Manager fue cambiado. Se modific el nombre de la base de datos. Nota: Es posible cambiar adems el nombre de la base de datos en el servidor de administracin. Ver "Cmo editar el nombre y la descripcin de una base de datos" en la pgina 391.
Microsoft SQL solamente: Se modific el nombre del usuario responsable de la base de datos. Si modifica el nombre de usuario del servidor de la base de datos en un servidor de bases de datos, la consola del servidor de administracin ya no se puede conectar al servidor de bases de datos. Se modific la contrasea del usuario responsable de la base de datos. Puede modificar la contrasea del usuario responsable del servidor de la base de datos. Si modifica la contrasea, el servidor de administracin no podr conectarse al servidor de bases de datos. Microsoft SQL solamente: Se modific la ruta del cliente SQL. Se modific la carpeta de la papelera del cliente SQL que, de forma predeterminada, est ubicada en C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn. Si modific SQL Client Path en el servidor de base de datos de Microsoft SQL, la consola ya no puede conectarse al servidor de base de datos. Se actualiza una base de datos integrada a una base de datos de Microsoft SQL.
Ver "Volver a configurar una base de datos de Microsoft SQL" en la pgina 392. Ver "Volver a configurar una base de datos integrada" en la pgina 394. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Proporciona informacin acerca de cmo actualizar una base de datos integrada a una base de datos de Microsoft SQL.
Administrar bases de datos Hacer una copia de seguridad de una base de datos de Microsoft SQL
383
El tamao de su organizacin. La cantidad de espacio libre en el disco que se ha reservado para las copias de seguridad. Las pautas obligatorias de su compaa.
384
Administrar bases de datos Hacer una copia de seguridad de una base de datos de Microsoft SQL
Para hacer copia de seguridad de una base de datos de Microsoft SQL cuando lo necesite
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en el icono que representa la base de datos Microsoft SQL integrada. Bajo Tareas, haga clic en Hacer copia de seguridad del sitio ahora. Este mtodo hace una copia de respaldo de todos los datos del sitio, incluida la base de datos. Es posible comprobar el registro del sistema y la carpeta de copias de seguridad para conocer el estado durante la copia de seguridad y despus de ella.
Hacer una copia de seguridad de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos
Microsoft SQL Server Enterprise Manager proporciona un asistente para ayudarlo a configurar un plan de mantenimiento de base de datos. Puede utilizar el Asistente para la planificacin del mantenimiento de bases de datos para administrar la base de datos y para programar las copias de seguridad automticas de la base de datos de Microsoft SQL. Nota: Asegrese de iniciar el agente SQL Server. Los derechos de acceso de Sysadmin son obligatorios para ejecutar el Asistente para la planificacin del mantenimiento de bases de datos. Consulte la documentacin de Microsoft SQL Server para obtener informacin acerca de cmo mantener una base de datos de Microsoft SQL Server. Para hacer copia de seguridad de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos en Microsoft SQL Enterprise Manager 2000
1 2
En SQL Server Enterprise Manager, haga clic en Programas > Microsoft SQL Server > Enterprise Manager. Expanda el nombre de servidor donde nombre del servidor es el nombre del servidor en el que est instalada la base de datos.
Administrar bases de datos Hacer una copia de seguridad de una base de datos de Microsoft SQL
385
Haga doble clic en la carpeta Administracin. Cuando se inicia el agente SQL Server, se muestra una flecha verde en el icono. Si no est iniciado, inicie el administrador de servicios de SQL Server seleccionando el agente de SQL Server y haciendo clic con el botn secundario y seleccionando Inicio.
4 5 6 7
Expanda Bases de datos. Haga clic con el botn secundario en sem5 y active Todas las tareas > Plan de mantenimiento. En la pantalla de bienvenida del Asistente para la planificacin del mantenimiento de bases de datos, haga clic en Siguiente. En la pantalla Seleccionar bases de datos, active Las bases de datos: y, al lado, marque sem5 para hacer copia de seguridad de la base de datos. A continuacin, haga clic en Siguiente. En la pantalla Informacin de optimizacin de actualizacin de datos, active Quitar espacio no utilizado de los archivos de base de datos. En el cuadro de texto Cuando se incremente por encima de:, escriba 1024 o un tamao mximo apropiado segn el tamao de su organizacin. Cuando la base de datos excede el tamao especificado, el espacio sin usar se quita automticamente.
8 9
12 Cuando finalice con la optimizacin de la configuracin, haga clic en Siguiente. 13 En la pantalla de comprobacin de integridad de la base de datos, haga clic
en Siguiente sin configurar esta opcin, porque el servidor de administracin mantiene la integridad de la base de datos.
386
Administrar bases de datos Hacer una copia de seguridad de una base de datos de Microsoft SQL
16 Haga clic en Cambiar para modificar la programacin de la copia de seguridad. 17 En el cuadro de dilogo Editar la programacin peridica del trabajo, haga
clic Diario. Seleccione la frecuencia con la que desea que se realice una copia de seguridad de la base de datos. Se recomienda cada 1 da.
18 Marque Activar programacin. 19 Configure cundo desea realizar las copias de seguridad. Tambin puede
elegir una fecha de inicio y de finalizacin, o Sin fecha de finalizacin si es necesario, y luego haga clic en Aceptar.
20 Haga clic en Siguiente. 21 En la pantalla Especificar directorio del disco de copia de seguridad,
especifique un directorio de copia de seguridad mediante un clic en Utilizar el directorio predeterminado de copias de seguridad (la ruta predeterminada es \MSSQL\BACKUP) o Utilizar este directorio.
23 Marque Crear un subdirectorio para cada base de datos. 24 Haga clic en Quitar los archivos anteriores a y, a continuacin, especifique
un plazo despus del cual se quitarn o se eliminarn automticamente las copias de seguridad anteriores. Asegrese de que tiene suficiente espacio libre en el disco para almacenar las copias de seguridad para el plazo especificado y haga clic en Siguiente.
Administrar bases de datos Hacer una copia de seguridad de una base de datos de Microsoft SQL
387
27 Seleccione los medios en los que desea guardar la copia de seguridad. 28 Haga clic en Cambiar para modificar la programacin de la realizacin de
copias de seguridad del registro de transacciones. Aparecer el cuadro de dilogo Editar planificacin de tareas recurrentes. De forma predeterminada, el tamao mximo del registro de transacciones es 8 GB. Si el registro de transacciones alcanza el tamao mximo, deja de funcionar y se puede daar la base de datos. (Puede modificar el tamao mximo del registro de transacciones en SQL Server Enterprise Manager).
32 Haga clic en Siguiente. 33 En la pantalla Especificar directorio del disco de copia de seguridad, seleccione
un directorio de copia de seguridad haciendo clic en Utilizar el directorio predeterminado de copias de seguridad o en Utilizar este directorio. La ruta predeterminada es \MSSQL\BACKUP.
34 Seleccione el directorio en el que desea copiar los archivos. 35 Marque Crear un subdirectorio para cada base de datos. 36 Haga clic en Quitar los archivos anteriores a: 37 Especifique un plazo despus del cual se quitarn o se eliminarn
automticamente las copias de seguridad anteriores. Asegrese de que tiene suficiente espacio libre en el disco para almacenar las copias de seguridad para el plazo especificado y, a continuacin, haga clic en Siguiente.
388
Administrar bases de datos Hacer copia de seguridad de una base de datos integrada
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en el icono que representa la base de datos integrada. Bajo Tareas, haga clic en Hacer copia de seguridad del sitio ahora. Este mtodo hace una copia de respaldo de todos los datos del sitio, incluida la base de datos. Es posible comprobar el registro del sistema y la carpeta de copias de seguridad para conocer el estado durante la copia de seguridad y despus de ella.
4 5
Haga clic en S cuando aparece el mensaje Hacer copia de seguridad. Haga clic en Cerrar.
Administrar bases de datos Cmo programar las copias de seguridad de base de datos automticas
389
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en el icono que representa la base de datos integrada o de Microsoft SQL cuya configuracin de copia de seguridad desea modificar. Bajo Tareas, haga clic en Editar configuracin de la copia de seguridad. En el cuadro de dilogo Sitio de copia de seguridad para el sitio local, haga clic en Programar copias de seguridad. Para especificar la frecuencia de copia de seguridad, active Cada hora, Diaria o Semanalmente y despus especifique una de las siguientes opciones:
3 4 5
Si elige Cada hora, en el cuadro Hora de inicio, especifique el nmero de minutos despus de la hora en que deben realizarse las copias de seguridad. Si elige Diariamente, en el cuadro Hora de inicio, especifique la hora y los minutos para indicar a qu hora de cada da deben realizarse las copias de seguridad.
390
Si elige Semanalmente, en el cuadro Hora de inicio, especifique la hora y los minutos para indicar el momento en que deben realizarse las copias de seguridad. Si elige Semanalmente, especifique el Da de semana para indicar el da en el que se deben llevar a cabo las copias de seguridad.
Haga clic en Aceptar. En el tiempo programado, las copias de seguridad se realizan automticamente y se colocan en un archivo .zip con el nombre de la fecha de la copia de seguridad. El archivo de copia de seguridad se almacena en una carpeta de copias de seguridad que se crea en la ruta, tal como lo especifica la raz de los datos del servidor. Por ejemplo, un archivo de copia de seguridad que se crea el 1 de agosto de 2007 a las 9:46 a. m. se llama 2007-Aug-01_09-46-13-AM.zip.
Ubique el ltimo archivo de copia de seguridad que tiene. Este archivo est en formato .zip y tiene el nombre de la fecha en la que fue creado. El archivo se almacena en una carpeta de copias de seguridad que fue creada en la ruta especificada para la raz de los datos del servidor. Configure el equipo en el cual desea restaurar la base de datos usando una de las siguientes estrategias:
En otro equipo Si el hardware en el equipo anterior fall, es necesario instalar el sistema operativo y el servidor de administracin en el nuevo equipo. Aunque reemplaza la base de datos por nuevos datos, an tiene que configurar una base de datos cuando finaliza la instalacin. En el mismo equipo Si el hardware y el servidor de administracin funcionan correctamente, se puede restaurar la base de datos en el mismo equipo. Si surgen problemas, puede desinstalar el servidor de administracin, reinstalarlo, configurar la base de datos y restaurar los datos.
3 4
Cierre la sesin en la consola de Symantec Endpoint Protection Manager. Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Todos los programas > Herramientas administrativas > Servicios.
Administrar bases de datos Cmo editar el nombre y la descripcin de una base de datos
391
5 6 7 8 9
Localice el servicio del servidor de administracin y despus haga clic con el botn secundario para seleccionar Detener. Active Inicio > Todos los programas > Symantec Endpoint Protection Manager > Database Back Up and Restore. Haga clic en Restaurar y despus haga clic en S en el mensaje que aparece. En el cuadro de dilogo Restaurando la base de datos, seleccione la copia de seguridad que desea utilizar de la lista Haga clic en Aceptar. La restauracin de la base de datos tarda varios minutos. La cantidad de tiempo que lleva terminar la tarea depende del tamao de la base de datos, del nmero de usuarios, de partners de replicacin y de otros criterios.
11 Haga clic en Salir. 12 Haga clic en Inicio > Todos los programas > Symantec Endpoint Protection
Manager si usted restaur la base de datos en un equipo diferente porque es necesario eliminar el antiguo servidor de base de datos. De lo contrario, ha finalizado la restauracin de la base de datos.
13 Inicie sesin en la consola. 14 Haga clic en Administrador. 15 Haga clic en Servidores. 16 En la pgina Administrador, debajo de Tareas, haga clic con el botn
secundario en el servidor de la base de datos anterior y active Eliminar.
392
Administrar bases de datos Volver a configurar una base de datos de Microsoft SQL
1 2 3 4 5 6 7
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, expanda Sitio local. Seleccione la base de datos local o expanda Sitios remotos para seleccionar la base de datos de un sitio remoto cuyas propiedades desea editar. Bajo Tareas, haga clic en Editar propiedades de la base de datos. En el cuadro de dilogo Propiedades de la base de datos, edite el nombre de la base de datos en el campo Nombre. En el cuadro de dilogo Propiedades de la base de datos, edite la descripcin de la base de datos en el campo Descripcin. Haga clic en Aceptar.
1 2 3 4
Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Todos los programas > Herramientas administrativas > Servicios. Localice Symantec Endpoint Protection Manager y despus haga clic con el botn secundario para seleccionar Detener. Haga clic en Inicio > Todos los programas > Symantec Endpoint Protection Manager > Asistente de configuracin del servidor de administracin. En la pantalla de bienvenida del Asistente de configuracin del servidor de administracin, haga clic en Volver a configurar el servidor de administracin. Haga clic en Siguiente para comenzar la reconfiguracin. Edite el nombre del equipo en el cual el servidor de administracin est instalado en el cuadro Nombre del servidor. Edite el nmero de puerto HTTPS del cual el servidor de administracin recibe informacin en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 8443.
5 6 7
Administrar bases de datos Volver a configurar una base de datos de Microsoft SQL
393
Edite la ubicacin de la carpeta de datos del servidor o vaya a la carpeta raz donde los archivos de datos se encuentran. La carpeta raz incluye las copias de seguridad, la replicacin y otros archivos del servidor de administracin. El nombre de ruta predeterminado es C:\Archivos de programa\ Symantec\Symantec Endpoint Protection Manager\data.
10 Haga clic en Microsoft SQL Server. 11 Haga clic en Siguiente. 12 Escriba el nombre del servidor de la base de datos en el cuadro Servidor de
bases de datos, si corresponde. Escriba la direccin IP o el nombre del host del servidor de bases de datos donde el servidor SQL Server Enterprise Manager (SEM) guarda los datos de la aplicacin.
17 Escriba el nombre de la ruta del cliente SQL en Ruta del cliente SQL.
De forma predeterminada, la carpeta de la papelera del cliente SQL contiene el archivo bcp.exe. Por ejemplo, C:\Program Files\Microsoft SQL Server\80\Tools\Binn. El archivo bcp.exe debe residir en el mismo equipo en el cual usted instal el servidor de administracin. Este archivo es parte del paquete del cliente de SQL Server. Se debe adems especificar correctamente el nombre de ruta del cliente de Microsoft SQL en el Asistente de configuracin del servidor de administracin. Si el nombre de la ruta no se especifica correctamente o el paquete del cliente de Microsoft SQL no se instal, no es posible volver a configurar la base de datos.
394
1 2 3 4
Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Todos los programas > Herramientas administrativas > Servicios. Localice Symantec Endpoint Protection Manager y despus haga clic con el botn secundario para seleccionar Detener. Haga clic en Inicio > Todos los programas > Symantec Endpoint Protection Manager > Asistente de configuracin del servidor de administracin. En la pantalla de bienvenida del Asistente de configuracin del servidor de administracin, haga clic en Volver a configurar el servidor de administracin. Haga clic en Siguiente para comenzar la reconfiguracin. Edite el nombre del equipo en el cual el servidor de administracin est instalado en el cuadro Nombre del servidor. Edite el nmero de puerto HTTPS del cual el servidor de administracin recibe informacin en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 8443.
5 6 7
395
Edite la ubicacin de la carpeta de datos del servidor o vaya a la carpeta raz donde los archivos de datos se encuentran. La carpeta raz incluye las copias de seguridad, la replicacin y otros archivos del servidor de administracin. El nombre de ruta predeterminado es C:\Archivos de programa\ Symantec\Symantec Endpoint Protection Manager\data.
10 Haga clic en Base de datos integrada. 11 Haga clic en Siguiente. 12 Escriba el nmero de puerto del servidor en el cuadro Puerto del servidor de
bases de datos. El nmero de puerto predeterminado es 2638.
396
Los datos se almacenan en dos tablas en la base de datos a partir de los siguientes tipos de registros:
Control de aplicaciones y dispositivos Auditora Enforcer Proteccin contra amenazas de red Sistema
Los datos de otros registros se almacenan en una sola tabla. Es posible configurar las opciones de registro para administrar los registros de base de datos que se almacenan en dos tablas. Ver "Configurar opciones de registro para los servidores en un sitio" en la pgina 398. La nica tabla que contiene los otros datos de registro se administra mediante las opciones de mantenimiento de base de datos en las propiedades del sitio. Es posible configurar las opciones de mantenimiento de base de datos que afectan a los datos que se almacenan en una nica tabla. Ver "Configurar opciones de mantenimiento de base de datos para los registros" en la pgina 403. Para los registros que se almacenan en dos tablas, una tabla (tabla A) es la tabla de registro real. Las nuevas entradas de registro se escriben en esta tabla. Cuando se alcanza el umbral o la expiracin del registro, las nuevas entradas de registro se almacenan en la segunda tabla (tabla B). Los datos permanecen en la tabla A hasta que la tabla B alcance su umbral o el nmero de das que se especifica en el campo Caduca despus de. En ese momento, la tabla A se borra totalmente y las nuevas entradas se almacenan all. La informacin de la tabla B permanece hasta que ocurra la conmutacin. La conmutacin de una tabla a la otra, tambin llamada barrido de registros desde la base de datos, se realiza automticamente. La sincronizacin del conmutador depende de la configuracin del registro especificada en las propiedades del sitio. El proceso es igual, sin importar si el barrido es automtico o manual. Es posible realizar un barrido manual del registro despus de hacer una copia de seguridad de la base de datos, si se prefiere utilizar este mtodo como parte del mantenimiento de base de datos de rutina. Si permite que ocurra un barrido automtico, es posible perder algunos datos de registro si las copias de seguridad de la base de datos no se realizan con la suficiente frecuencia. Si realiza regularmente un barrido manual del registro despus de haber realizado una copia de seguridad de la base de datos, sta garantiza que se
397
conserven todos sus datos de registro. Este procedimiento es muy til si es necesario conservar sus registros por un perodo relativamente largo, tal como un ao. Nota: El procedimiento manual que se describe en Barrer datos de registro de la base de datos manualmente no afecta los datos en los registros que se almacenan en una nica tabla en la base de datos.
Para prevenir un barrido automtico de la base de datos hasta despus de crear una copia de seguridad, aumente la Configuracin del registro de las propiedades del sitio al mximo. Ver "Configurar opciones de registro para los servidores en un sitio" en la pgina 398.
2 3
Realice la copia de seguridad, segn corresponda. En el equipo donde est instalado el administrador, abra un navegador Web y escriba la siguiente URL: https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action =SweepLogs Cuando haya realizado esta tarea, las entradas de registro para todos los tipos de registros se guardan en la tabla de base de datos alterna. La tabla original se guarda hasta que se inicie el siguiente barrido.
Para vaciar todo excepto las entradas ms actuales, realice un segundo barrido. Se borra la tabla original y las entradas comienzan a almacenarse all de nuevo. Recuerde volver Configuracin del registro de las propiedades del sitio a sus valores preferidos.
398
limpiar peridicamente esta carpeta temporal. Si lo hace as, asegrese de no eliminar el archivo LegacyOptions.inc, si existe. Si elimina este archivo, se pierden los datos entrantes de registros de versiones anteriores del cliente de Symantec AntiVirus.
1 2 3 4 5
En la consola, haga clic en Administrador. En el sector inferior izquierdo, haga clic en Servidores. Seleccione el sitio que desea configurar. Bajo Tareas, haga clic en Editar propiedades del sitio. En la ficha Configuracin del registro, configure el nmero de entradas y el nmero de das para guardar las entradas de registro para cada tipo de registro. Es posible configurar los tamaos para los registros del servidor de administracin, los registros de clientes y los registros de Enforcer.
399
En la pgina Polticas, Poltica antivirus y contra software espa, Otros, ficha Tratamiento de registros
Ver "Configurar parmetros de gestin de registros en una poltica antivirus y antispyware" en la pgina 453. Ver "Configurar opciones de registros de clientes" en la pgina 399.
400
Si tiene Symantec Network Access Control instalado, se puede activar y desactivar el registro, y enviar los registros de Enforcer al servidor de administracin. Tambin puede configurar el nmero de entradas del registro y el nmero de das que las entradas se conservan en el cliente. Para obtener ms informacin sobre los registros de Enforcer, consulte la Gua de implementacin para la aplicacin Symantec Network Access Control. Para los registros de Seguridad, Riesgo y Trfico, tambin se puede configurar el perodo atenuador y el perodo atenuador inactivo que se usarn para la agregacin de sucesos. Es posible configurar si desea cargar o no cada tipo de registro de clientes al servidor y el tamao mximo de las cargas. Si elige no cargar los registros de clientes, las consecuencias sern las siguientes:
No es posible ver los datos de registro de los clientes de la consola de Symantec Endpoint Protection Manager usando la ficha Registros en la pgina Supervisor. No es posible hacer copias de seguridad de los registros de clientes cuando se realiza una copia de seguridad de la base de datos. No es posible exportar los datos de registro de clientes a un archivo o a un servidor de registros centralizado.
1 2
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin y polticas independientes de la ubicacin, bajo Configuracin, haga clic en Configuracin de registros de clientes. En el cuadro de dilogo Configuracin de registros de clientes para nombre de grupo, configure el tamao mximo del archivo y el nmero de das que se deben conservar las entradas de registro. Active Cargar en servidor de administracin para los registros que desee que los clientes reenven al servidor. Para el registro de Seguridad y el registro de Trfico, configure el perodo atenuador y el perodo atenuador inactivo. Esta configuracin determina la frecuencia con la que se agregan los sucesos de Proteccin contra amenazas de red.
4 5
6 7
Especifique el nmero mximo de entradas que desea que un cliente cargue al administrador al mismo tiempo. Haga clic en Aceptar.
401
Acerca de configurar las opciones de administracin de registros de los clientes para las polticas antivirus y contra software espa
Puede configurar las siguientes opciones de administracin de registros para las polticas antivirus y contra software espa:
Qu sucesos de antivirus y software espa se envan desde los clientes a los registros de proteccin antivirus y contra software espa en el servidor Cunto tiempo se conservan los sucesos en los registros de proteccin antivirus y contra software espa en el servidor Con qu frecuencia los sucesos agregados se cargan desde los clientes al servidor
Ver "Configurar parmetros de gestin de registros en una poltica antivirus y antispyware" en la pgina 453.
1 2 3 4 5
En la consola, haga clic en Administrador. Seleccione un servidor de bases de datos. Bajo Tareas, haga clic en Editar configuracin de la copia de seguridad. En el cuadro de grupo Configuracin de la copia de seguridad, active Hacer copia de seguridad de registros. Haga clic en Aceptar.
402
Es necesario evaluar si desea reducir el volumen de datos usando las opciones siguientes:
Cargue solamente algunos de los registros de clientes al servidor. Ver "Configurar opciones de registros de clientes" en la pgina 399. Filtre los sucesos del sistema y los sucesos de riesgo menos importantes para remitir menos datos al servidor. Ver "Configurar parmetros de gestin de registros en una poltica antivirus y antispyware" en la pgina 453.
Si an planea cargar grandes cantidades de datos de registro de los clientes a un servidor, es necesario considerar los factores siguientes:
El nmero de clientes en su red La frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor La cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos
Una configuracin que carga una gran cantidad de datos de registro de clientes al servidor puede causar frecuentemente problemas de espacio. Si es necesario cargar un gran volumen de datos de registro de clientes, es posible tener que ajustar algunos valores predeterminados para evitar estos problemas de espacio. A medida que se implementan clientes, es necesario supervisar el espacio en el servidor en el directorio de insercin de registros y ajustar estos valores segn sea necesario. El directorio predeterminado donde los registros se convierten en archivos .dat y, luego, se incluyen en la base de datos es unidad:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\data\inbox\log. La ubicacin del directorio de datos del servidor se configura durante la instalacin, cuando se le solicita que seleccione la carpeta de datos del servidor. Es posible ejecutar el Asistente de configuracin del servidor de administracin desde el men Inicio para modificar este directorio, si lo desea. El directorio \inbox\log se agrega automticamente al directorio especificado. La frecuencia con la cual se cargan los registros de clientes se configura en la pgina Polticas de la pgina Clientes, bajo Configuracin de comunicaciones. La frecuencia predeterminada indica que se carguen los registros cada cinco minutos. Para ajustar los valores que controlan el espacio disponible en el servidor, es necesario modificar estos valores en el registro de Windows. Las claves de registro de Windows que se necesitan cambiar se encuentran en el servidor en HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\ SEPM. Tabla 22-2 enumera las claves de registro de Windows y sus valores predeterminados, y describe sus funciones.
403
Tabla 22-2
Claves de registro de Windows que contienen opciones de carga de registro Valor predeterminado y descripcin
MaxInboxSpace especifica el espacio asignado para el directorio donde los archivos de registro se convierten a archivos .dat antes de que se almacenen en la base de datos. El valor predeterminado es de 200 MB.
MinDataFreeSpace
MinDataFreeSpace especifica la cantidad de espacio mnima que se debe mantener libre en este directorio. Esta clave es til para asegurarse de que otras aplicaciones que utilizan el mismo directorio tengan suficiente espacio para ejecutarse sin afectar el rendimiento. El valor predeterminado es 0.
IntervalOfInboxSpaceChecking IntervalOfInboxSpaceChecking especifica cunto tiempo Symantec Endpoint Protection espera entre las comprobaciones de espacio en la bandeja de entrada que est disponible para los datos de registro. El valor predeterminado es 30 segundos.
404
datos mediante la especificacin de opciones de compresin y de cunto tiempo se guardan los datos. Para obtener informacin sobre las opciones de mantenimiento de bases de datos especficas, consulte la ayuda contextual en el cuadro de dilogo Propiedades del sitio para nombre del sitio en la ficha Base de datos. Para configurar opciones de mantenimiento de base de datos para los registros
1 2 3 4
En la consola, haga clic en Administrador. Seleccione un sitio. Bajo Tareas, haga clic en Editar propiedades del sitio. En la ficha Base de datos, configure el nmero de das para guardar los sucesos de riesgo. Para conservar el subconjunto de sucesos de riesgo de infeccin despus del umbral especificado para los sucesos de riesgo, marque la casilla de verificacin No eliminar sucesos de infecciones.
5 6
Configure cun frecuentemente se desea comprimir los sucesos en que se hallaron riesgos idnticos en un solo suceso. Configure el nmero de das durante los que se guardarn los sucesos que han sido comprimidos. Este valor incluye el tiempo previo a la compresin de los sucesos. Por ejemplo, suponga que especifica que se eliminen los sucesos comprimidos despus de diez das y se compriman los sucesos despus de siete das. En este caso, se eliminan los sucesos tres das despus de que son comprimidos.
7 8 9
Configure el nmero de das para guardar las notificaciones reconocidas y no reconocidas. Configure el nmero de das para guardar los sucesos de anlisis. Configure el nmero de das para guardar los comandos que se han ejecutado desde la consola y su informacin de estado del comando asociada. Despus de esta vez, Symantec Endpoint Protection no puede distribuir ms los comandos a sus destinatarios previstos.
405
Modificar el tiempo de espera de conexin de Microsoft SQL Server Modificar el tiempo de espera de comandos de Microsoft SQL Server
El tiempo de espera de conexin es 300 segundos (5 minutos) El tiempo de espera de comandos es 300 segundos (5 minutos)
Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Consulte el artculo "Reporting server does not report or shows a timeout error message when querying large amounts of data" (El servidor de informes no genera informes o presenta un mensaje de error de tiempo de espera al consultar una gran cantidad de datos) en la base de conocimientos de Symantec (en ingls).
406
Abra el archivo Reporter.php , que se encuentra en el directorio \Archivos de programa\Symantec\Symantec Endpoint Protection Manager\Inetpub\ Reporting\Resources. Utilice un editor de texto para agregar los siguientes valores al archivo:
$CommandTimeout =xxxx $ConnectionTimeout =xxxx Los valores del tiempo de espera se especifican en segundos. Si se especifica un valor igual a cero o se dejan los campos en blanco, se usar la configuracin predeterminada.
Captulo
23
Replicar datos
En este captulo se incluyen los temas siguientes:
Acerca de la replicacin de datos Acerca del impacto de la replicacin Cmo agregar y desconectar a un partner de replicacin Programar la replicacin automtica y manual Replicar paquetes de clientes y contenido de LiveUpdate Replicar registros
408
Por ejemplo, es posible configurar un sitio en su oficina principal (sitio 1) y un segundo sitio (sitio 2). El sitio 2 es un partner de replicacin del primer sitio. Las bases de datos en el sitio 1 y el sitio 2 son reconciliadas usando una programacin de sincronizacin que se debe configurar. Si se realiza un cambio en el sitio 1, aparece automticamente en el sitio 2 despus de que ocurra la replicacin. Si se realiza un cambio en el sitio 2, aparece automticamente en el sitio 1 despus de que ocurra la replicacin. Es posible adems instalar un tercer sitio (el sitio 3) que puede replicar datos del sitio 1 o del sitio 2. El tercer sitio es un partner de replicacin de los otros dos sitios. Figura 23-1 ilustra cmo ocurre la replicacin de datos de un sitio local a otros dos sitios.
409
Figura 23-1
Una descripcin general de la replicacin de los datos entre un sitio local y dos partners
Sitio 2 Symantec Endpoint Protection Manager Base de datos de MS SQ Replicacin
Base de datos de MS SQ
Base de datos de MS SQ
Los partners de replicacin se mencionan en la pgina Administrador. Es posible visualizar la informacin sobre partners de replicacin seleccionando el partner en el rbol. Todos los sitios tienen tpicamente el mismo tipo de base de datos. Es posible, sin embargo, configurar la replicacin entre sitios que usan diversos tipos de bases de datos. Adems, es posible configurar la replicacin entre una base de datos integrada y una base de datos de MS SQL.
Replicacin
410
Si usa una base de datos integrada, se puede conectar solamente un Symantec Endpoint Protection Manager a ella debido a requisitos de configuracin. Si usa una base de datos de MS SQL, se pueden conectar varios servidores de administracin o compartir una base de datos. Solamente el primer servidor de administracin necesita ser configurado como partner de replicacin. Se considera que todos los sitios que se configuran como partners de replicacin estn en la misma granja de sitios. Inicialmente, se instala el primer sitio y despus se instala un segundo sitio como partner de replicacin. Un tercer sitio se puede instalar y configurarse para conectarse a cualquiera de los primeros dos sitios. Es posible agregar tantos sitios como sea necesario a la granja de sitios. Es posible eliminar partners de replicacin para detener la replicacin. Es posible agregar ms tarde ese partner de replicacin nuevamente para que las bases de datos sean coherentes. Sin embargo, algunos cambios pueden ser incompatibles. Ver "Acerca de la configuracin que se replica" en la pgina 410. Es posible configurar la replicacin de datos durante la instalacin inicial o en un momento posterior. Cuando se configura la replicacin durante la instalacin inicial, es posible adems configurar una programacin para la sincronizacin de los partners de replicacin.
Cree opciones de comunicacin genricas de forma que la conexin de un cliente se base en el tipo de conexin. Por ejemplo, es posible utilizar un nombre DNS genrico, tal como symantec.com para todos los sitios en una granja de
411
sitios. Siempre que los clientes se conectan, el servidor DNS resuelve el nombre y conecta al cliente al Symantec Endpoint Protection Manager local.
Cree opciones de comunicacin especficas asignando grupos a los sitios de modo que todos los clientes en un grupo se conecten al servidor de administracin indicado. Por ejemplo, es posible crear dos grupos para los clientes en el sitio 1, dos grupos diferentes para el sitio 2 y otros dos grupos para el sitio 3. Es posible aplicar las opciones de comunicacin en el nivel de grupo de forma que los clientes se conecten al servidor de administracin indicado.
Sera aconsejable configurar pautas para administrar las opciones de ubicacin para los grupos. Las pautas pueden ayudar a evitar que ocurran conflictos en las mismas ubicaciones. Es posible adems ayudar a evitar que ocurran conflictos para cualquier grupo que se encuentre en diversos sitios.
412
Si realiza las siguientes tareas con la replicacin programada para ocurrir cada hora durante la hora:
Se edita AvAsPolicy1 en el sitio 1 a las 2:00 p. m. Se edita la misma poltica en el sitio 2 a las 2:30 p. m.
A continuacin, solamente los cambios que se han realizado en el sitio 2 aparecen despus de que la replicacin se completa, cuando la replicacin ocurre a las 3:00 p. m. Si uno de los asociados de replicacin est desconectado, el sitio remoto puede an indicar el estado como conectado.
Una direccin IP o un nombre de host de Symantec Endpoint Protection Manager para los que desee hacer un partner de replicacin. El servidor de administracin al que desee conectarse debe haber sido un partner de replicacin anteriormente. Adems, el servidor de administracin puede haber sido un partner de otro sitio en la misma granja de sitios.
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, seleccione un sitio. Bajo Tareas, haga clic en Agregar partner de replicacin. En el asistente Agregar partner de replicacin, haga clic en Siguiente.
413
5 6
Escriba la direccin IP o el nombre de host del servidor de administracin que desee para hacer un partner de replicacin. Escriba el nmero de puerto del servidor remoto en el que usted instal el servidor de administracin. La configuracin predeterminada para el puerto del servidor remoto es 8443.
7 8 9
Escriba el nombre de usuario y la contrasea del administrador. Haga clic en Siguiente. En el panel Programar replicacin, especifique la programacin para la replicacin entre los dos partners haciendo una de las siguientes tareas:
Marque Replicar automticamente. Hace que la replicacin frecuente y automtica ocurra entre dos sitios. sta es la opcin predeterminada. Por lo tanto, no es posible configurar una programacin personalizada para la replicacin. Desactive Replicar automticamente Es posible ahora configurar una programacin personalizada para la replicacin:
Seleccione una Frecuencia de replicacin cada hora, diaria o semanal. Seleccione el da especfico durante el cual debe ocurrir la replicacin en la lista Da de semana para configurar una programacin semanal.
10 Haga clic en Siguiente. 11 En el panel Replicacin de paquetes de cliente y archivos de registro, active
o desactive las opciones dependiendo de si desea replicar los registros. La configuracin predeterminada es desactivado.
Si la base de datos se ha restaurado en el sitio de replicacin del partner, haga clic en S. Es necesario restaurar la base de datos en cada sitio de replicacin del partner antes de que contine si es que se va a actualizar o a restaurar una base de datos. Haga clic en No si la base de datos no se ha restaurado. Despus, restaure la base de datos y reinicie este procedimiento.
414
1 2 3 4 5
En la consola, haga clic en Administrador. En la pgina Administrador, bajo Ver servidores, haga clic en Partners de replicacin. Expanda Partners de replicacin y seleccione el partner que desee desconectar. En la pgina Administrador, debajo del panel Tareas, haga clic en Eliminar partner de replicacin. Escriba S cuando se le pida que verifique que desea eliminar el partner de replicacin.
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, expanda Asociados de replicacin y seleccione el asociado cuya base de datos desea replicar de forma inmediata.
415
3 4
Bajo Tareas, haga clic en Replicar ahora. Haga clic en S cuando se le pida que verifique que desea iniciar una replicacin ahora. El siguiente mensaje aparece:
La replicacin se ha programado. Para obtener detalles con respecto al resultado del suceso programado, consulte los registros de sistema del servidor despus de unos minutos de retraso. El retraso depende de la carga del servidor, el nmero de cambios que se deben replicar, y el ancho de banda del canal de comunicacin.
Haga clic en Aceptar. La base de datos se replica inmediatamente. Si utiliza una base de datos de Microsoft SQL con ms de un servidor, es posible iniciar solamente la replicacin desde el primer servidor en ese sitio. Si intenta realizar la replicacin ahora desde el segundo servidor, el siguiente mensaje aparece:
Slo el primer servidor del sitio puede llevar a cabo la replicacin. Inicie sesin en el servidor <nombre del primer servidor> para comenzar la replicacin.
1 2 3 4
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en Asociados de replicacin. Bajo Tareas, haga clic en Editar asociado de replicacin. En el cuadro de dilogo Editar asociado de replicacin, especifique la programacin para la replicacin entre los dos asociados haciendo una de las siguientes tareas:
416
Marque Replicar automticamente. Hace que la replicacin frecuente y automtica ocurra entre dos sitios. sta es la opcin predeterminada. Por lo tanto, no es posible configurar una programacin personalizada para la replicacin. Deje sin marcar Replicar automticamente Es posible ahora configurar una programacin personalizada para la replicacin.
Seleccione una Frecuencia de replicacin cada hora, diaria o semanal. Seleccione el da especfico durante el cual debe ocurrir la replicacin en la lista Da de semana para configurar una programacin semanal.
1 2 3
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en Asociados de replicacin. Expanda Asociados de replicacin y seleccione el asociado de replicacin con el cual desee replicar los paquetes de clientes.
417
4 5 6
Bajo Tareas, haga clic en Editar propiedades del asociado de replicacin. En el cuadro de dilogo Propiedades del asociado de replicacin, bajo Asociado, haga clic en Replicar paquetes de cliente entre el sitio local y el sitio asociado. Haga clic en Aceptar.
Replicar registros
Es posible especificar que desea replicar o duplicar los registros adems de la base de datos de un asociado de replicacin. Es posible especificar la replicacin de registros agregando asociados de replicacin o editando las propiedades de un asociado de replicacin. Si planea replicar registros, asegrese de que tiene suficiente espacio libre en el disco para registros adicionales en todos los equipos de asociados de replicacin. Ver "Visualizacin de registros de otros sitios" en la pgina 298. Para replicar registros entre los asociados de replicacin
1 2 3 4 5
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, haga clic en Asociados de replicacin. Expanda Asociados de replicacin y seleccione el asociado de replicacin para el cual desee iniciar la generacin de registros de replicacin. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del asociado de replicacin. En el cuadro de dilogo Propiedades del asociado de replicacin, bajo Asociado, haga clic en Registros replegados del sitio local a este sitio del asociado o Replicar registros desde el sitio asociado al sitio local. Haga clic en Aceptar.
418
Captulo
24
420
La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es bloquear el intento y registrar el suceso. La Proteccin contra intervenciones enva al usuario un mensaje predeterminado cuando detecta un intento de intervencin.
Es posible desactivar las notificaciones de Proteccin contra intervenciones en los equipos cliente. Es posible tambin crear las excepciones para las aplicaciones que Proteccin contra intervenciones detecta. Ver "Configurar Proteccin contra intervenciones" en la pgina 420. Ver "Configurar una excepcin centralizada para la proteccin contra intervenciones" en la pgina 651. Ver "Agregar una excepcin centralizada para sucesos de Proteccin contra intervenciones" en la pgina 654. Cuando un cliente se instala como cliente administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:
Se activa Proteccin contra intervenciones. La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es slo registrar el suceso. La Proteccin contra intervenciones no enva un mensaje al usuario cuando detecta un intento de intervencin.
Nota: Si habilita el envo de notificaciones cuando Symantec Endpoint Protection detecta un intento de intervencin, las notificaciones sobre los procesos de Windows se envan a los equipos afectados, as como las notificaciones sobre los procesos de Symantec. Ver "Configurar Proteccin contra intervenciones" en la pgina 420.
421
Ver "Acerca de la Proteccin contra intervenciones" en la pgina 419. Es posible configurar un mensaje que aparecer en los clientes cuando Symantec Endpoint Protection detecte un intento de intervencin. De forma predeterminada, los mensajes de notificacin aparecen cuando el software detecta un intento de intervencin. El mensaje que se crea puede contener una mezcla de texto y variables. Las variables se rellenan con los valores que identifican las caractersticas del ataque. Si utiliza una variable, debe escribirla exactamente como aparece. Tabla 24-1 describe las variables que es posible utilizar para configurar un mensaje. Tabla 24-1 Variables y descripciones del mensaje de Proteccin contra intervenciones Descripcin
Accin que Proteccin contra intervenciones llev a cabo para responder al ataque. Nmero de ID del proceso que atac una aplicacin de Symantec. Nombre del proceso que atac una aplicacin de Symantec. Nombre del equipo atacado. Fecha del ataque. Tipo de objetivo que atac el proceso. Nombre del archivo que atac procesos protegidos. rea del hardware o software del equipo que se protegi contra intervenciones. Para los mensajes de Proteccin contra intervenciones, este campo es una aplicacin de Symantec. La ruta completa y el nombre del archivo que atac procesos protegidos. El tipo de intento de intervencin que ocurri. Ubicacin del objetivo atacado por el proceso. Identificacin del proceso que recibi el ataque. Identificacin de la sesin de la terminal en que ocurri el suceso.
Campo
[AccinEfectuada]
[IdProcesoActor]
[RutaYNombreDeArchivo]
422
Campo
[Usuario]
Descripcin
Nombre del usuario que inici la sesin cuando se produjo el ataque.
1 2 3
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, active o desactive Proteger el software de seguridad de Symantec contra intervenciones o intentos de cierre. Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen esta configuracin. Haga clic en Aceptar.
4 5
1 2 3
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, en el cuadro de lista, seleccione una de las siguientes acciones:
Para bloquear y registrar actividad no autorizada, haga clic en Bloquear y registrar el suceso. Para registrar actividades no autorizadas y permitir que se lleven a cabo, haga clic en Registrar el suceso solamente.
4 5
Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen esta configuracin. Haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, haga clic en Mostrar un mensaje de notificacin al detectar una intervencin. En el cuadro del campo del texto, si desea modificar el mensaje predeterminado, es posible escribir texto adicional y eliminar texto. Si utiliza una variable, debe escribirla exactamente como aparece.
423
5 6
Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen esta configuracin. Haga clic en Aceptar.
424
Seccin
Captulo 25. Configuracin bsica de polticas antivirus y antispyware Captulo 26. Configurar Auto-Protect Captulo 27. Usar anlisis definidos por el administrador
426
Captulo
25
Fundamentos de la proteccin antivirus y antispyware Acerca de trabajar con polticas antivirus y antispyware Acerca de los virus y los riesgos de seguridad Acerca de analizar Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Windows Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Mac Configurar parmetros de gestin de registros en una poltica antivirus y antispyware Acerca de la interaccin del cliente con opciones de antivirus y antispyware Modificar la contrasea necesaria para analizar unidades de red asignadas Configuracin del Centro de seguridad de Windows para que funcione con el cliente de Symantec Endpoint Protection Exhibir una advertencia de definiciones desactualizadas o ausentes Especificacin de la URL que se debe mostrar en las notificaciones de error de antivirus y antispyware
428
Especificar una URL para una pgina principal del navegador Configurar las opciones que se aplican a los anlisis antivirus y de software espa Enviar informacin sobre anlisis a Symantec Administrar los archivos en cuarentena
Crear un plan para responder ante virus y riesgos de seguridad. Ver "Acerca de crear un plan para responder ante virus y riesgos de seguridad" en la pgina 428. Ver el estado de su red en la pgina principal de la consola. Ver "Acerca de la pgina principal de Symantec Endpoint Protection" en la pgina 217. Ejecutar comandos de la consola para activar Auto-Protect, iniciar un anlisis manual o actualizar definiciones. Ver "Ejecucin de comandos en clientes desde la consola" en la pgina 81. Ver "Ejecutar anlisis manuales" en la pgina 504. Ver "Cmo administrar el contenido para los clientes" en la pgina 140. Utilice las polticas antivirus y antispyware para modificar la configuracin de Auto-Protect y de anlisis en los equipos cliente. Ver "Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows" en la pgina 479. Ver "Configurar opciones avanzadas de anlisis y supervisin" en la pgina 482.
429
Realizar un mapa de la topologa Prepara un mapa de la topologa de la red que permite de la red aislar y limpiar sistemticamente los equipos por segmentos antes de volver a conectarlos a la red local. El mapa debe incluir la siguiente informacin:
Es necesario entender la topologa de su red y la implementacin del cliente en la red. Es necesario tambin entender la puesta en prctica de cualquier otro producto de seguridad que se utilice en su red. Considere las preguntas siguientes: Cules son los programas de seguridad que protegen los servidores y las estaciones de trabajo de la red? Cul es la planificacin para actualizar las definiciones? De qu mtodos alternativos se dispone para obtener las actualizaciones si los canales normales son atacados? Qu archivos de registro estn disponibles para realizar un seguimiento de los virus en la red?
430
Tarea
Contar con un plan de copias de seguridad
Descripcin
En caso de infeccin catastrfica, es posible que necesite restaurar equipos cliente. Asegrese de que tiene un plan de copia de seguridad pensado para restaurar equipos crticos. Las amenazas combinadas, como los gusanos, pueden transmitirse a travs de los recursos compartidos sin necesidad de que intervenga el usuario. Cuando se deba responder a una infeccin provocada por gusanos informticos, es fundamental aislar los equipos afectados desconectndolos de la red. Los informes y los registros de la consola de administracin son una buena fuente de informacin sobre riesgos en su red. Es posible utilizar la enciclopedia de virus de Symantec Security Response para aprender ms sobre un riesgo determinado que usted identifique en informes o registros. En algunos casos, es posible que encuentre instrucciones adicionales para manejar el riesgo.
Identificar el riesgo
Responder a riesgos desconocidos Es necesario consultar el sitio Web de Symantec Security Response para obtener informacin actualizada cuando las situaciones siguientes son verdaderas: No es posible identificar un archivo sospechoso examinando los registros y los informes. Los ltimos archivos de definiciones de virus no limpian el archivo sospechoso.
En el sitio Web, es posible que encuentre informacin reciente sobre el archivo sospechoso. Consulte las ltimas amenazas y recomendaciones de seguridad de virus. http://www.symantec.com/es/mx/security_response/
431
432
Es posible ejecutar un anlisis personalizado, activo o completo. Si elige ejecutar un anlisis personalizado, el cliente utiliza la configuracin para los anlisis manuales que usted configure en la poltica antivirus y contra software espa. Ver "Ejecutar anlisis manuales" en la pgina 504.
Anlisis de Auto-Protect Anlisis definidos por el administrador (anlisis programados y manuales) Anlisis de amenazas proactivos TruScan Opciones de cuarentena Opciones de Envos Parmetros de Otros
Cuando se instala Symantec Endpoint Protection, aparecen varias Polticas antivirus y antispyware en la lista de polticas de la consola. Es posible modificar una de las polticas preconfiguradas o crear nuevas polticas. Nota: Las polticas antivirus y antispyware incluyen la configuracin para los anlisis de amenazas proactivos TruScan. Ver "Acerca de analizar" en la pgina 439.
Poltica antivirus y antispyware Poltica antivirus y antispyware: Seguridad elevada Poltica antivirus y antispyware: Alto rendimiento
La poltica de seguridad elevada es la ms rigurosa de todas las polticas antivirus y antispyware preconfiguradas. Debe tener en cuenta que puede afectar el rendimiento de otras aplicaciones. La poltica de alto rendimiento proporciona un mejor rendimiento que la poltica de seguridad elevada, pero no proporciona la misma proteccin. Utiliza sobre todo Auto-Protect para el sistema de archivos para analizar archivos con las extensiones de archivo seleccionadas y detectar amenazas.
433
La poltica antivirus y antispyware predeterminada contiene las siguientes opciones de configuracin importantes:
Auto-Protect para el sistema de archivos se carga en el inicio del equipo y se habilita para todos los archivos. Auto-Protect para correo electrnico de Internet, Microsoft Outlook y Lotus Notes se habilita para todos los archivos. Se habilita el anlisis de red de Auto-Protect para el sistema de archivos. Los anlisis de amenazas proactivos TruScan se habilitan y ejecutan una vez por hora. ActiveScan no se ejecuta automticamente cuando llegan nuevas definiciones. Un anlisis programado se ejecuta una vez por semana, con el ajuste de anlisis configurado en Mximo rendimiento de aplicaciones.
Auto-Protect para el sistema de archivos se carga cuando Symantec Endpoint Protection se inicia y se habilita para los archivos con las extensiones seleccionadas. Se deshabilita el anlisis de red de Auto-Protect para el sistema de archivos. Se deshabilita Auto-Protect para correo electrnico de Internet, Microsoft Outlook y Lotus Notes. Los anlisis de amenazas proactivos se habilitan y ejecutan una vez cada 6 horas. ActiveScan no se ejecuta automticamente cuando llegan nuevas definiciones. Un anlisis programado se ejecuta una vez por mes, con el ajuste de anlisis configurado en Mximo rendimiento de aplicaciones.
Auto-Protect para el sistema de archivos se carga en el inicio del equipo y se habilita para todos los archivos. Auto-Protect para correo electrnico de Internet, Microsoft Outlook y Lotus Notes se habilita para todos los archivos. Se habilita el anlisis de red de Auto-Protect para el sistema de archivos. Los anlisis de amenazas proactivos se habilitan y ejecutan una vez por hora, adems de cada vez que se inicia un nuevo proceso. ActiveScan se ejecuta automticamente cuando llegan nuevas definiciones. Un anlisis programado se ejecuta una vez por semana, con el ajuste de anlisis configurado en Rendimiento equilibrado.
434
El cliente intenta reparar el archivo. Si el archivo no se puede reparar con el grupo actual de definiciones, el cliente mueve el archivo infectado a la cuarentena local. Adems, el cliente hace una entrada de registro del suceso de riesgo. El cliente transmite los datos al servidor de administracin. Es posible ver los datos de registro de la consola.
Se pueden llevar a cabo las acciones adicionales que se indican a continuacin con el fin de completar la estrategia para el tratamiento de virus:
Configurar la funcin de informes para notificarle cuando se encuentren los virus. Ver "Acerca del uso de notificaciones" en la pgina 311. Definir las diferentes acciones de reparacin que se basan en el tipo de virus. Por ejemplo, es posible configurar el cliente para reparar virus de macro automticamente. Luego, puede configurar una accin diferente para que el cliente realice cuando detecte un archivo de programa. Asignar una accin de copia de seguridad para los archivos que el cliente no puede reparar. Ver "Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows" en la pgina 463.
Configurar el rea de cuarentena local para que enve los archivos infectados a un servidor de Cuarentena central. Es posible configurar Cuarentena central
Configuracin bsica de polticas antivirus y antispyware Acerca de trabajar con polticas antivirus y antispyware
435
para que intente realizar una reparacin. Cuando Cuarentena central intenta realizar una reparacin, utiliza su grupo de definiciones de virus. Las definiciones de Cuarentena central pueden estar ms actualizadas que las definiciones del equipo local. Es posible adems remitir automticamente las muestras de archivos infectados a Symantec Security Response para realizar un anlisis. Para obtener ms informacin, consulte la Gua de implementacin de la Cuarentena central de Symantec.
Una ruta del directorio de la cuarentena local Si los clientes envan manualmente elementos en cuarentena a Symantec Security Response Si los clientes envan automticamente elementos en cuarentena a un servidor de Cuarentena central Cmo maneja la cuarentena local la correccin cuando se obtienen nuevas definiciones de virus
Ver "Administrar los archivos en cuarentena" en la pgina 471. Es posible tambin eliminar elementos en cuarentena en sus equipos cliente desde el registro de riesgos en la consola. Ver "Supervisar la proteccin de puntos finales" en la pgina 209.
436
Configuracin bsica de polticas antivirus y antispyware Acerca de los virus y los riesgos de seguridad
Los pasos de este captulo asumen que usted est familiarizado con los fundamentos de la configuracin de polticas. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98.
Detecta, elimina y repara los efectos secundarios de virus, gusanos, caballos de Troya y amenazas combinadas. Detecta, elimina y repara los efectos secundarios de riesgos de seguridad, como publicidad no deseada, marcadores, herramientas de piratera, programas broma, programas de acceso remoto, spyware, programas de seguimiento, etc.
Ver "Fundamentos de la proteccin antivirus y antispyware" en la pgina 428. Tabla 25-2 describe los tipos de riesgos que busca el software del cliente. Tabla 25-2 Riesgo
Virus
Programas que ejecutan tareas automatizadas en Internet con propsitos maliciosos. Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger informacin de sitios web.
Configuracin bsica de polticas antivirus y antispyware Acerca de los virus y los riesgos de seguridad
437
Riesgo
Gusanos
Descripcin
Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copindose a s mismos de disco a disco, mientras que otros solo se reproducen en la memoria para ralentizar el equipo. Programas maliciosos que se ocultan en algo benigno, por ejemplo, un juego o una utilidad.
Caballos de Troya
Amenazas combinadas Amenazas que combinan las caractersticas de virus, gusanos, caballos de Troya y cdigo con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas emplean diversos mtodos y tcnicas para propagarse con rapidez, y causan un dao generalizado en toda la red. Publicidad no deseada Programas independientes o anexos a otros que recogen, de forma secreta, informacin personal a travs de Internet y la transmiten a otro equipo. La publicidad no deseada puede realizar un seguimiento de los hbitos de navegacin del usuario con intereses comerciales. Este tipo de aplicaciones tambin puede enviar contenido publicitario. Tambin es posible descargarlas de sitios web sin advertirlo, por lo general, dentro de aplicaciones gratuitas o de uso compartido, y recibirlas a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, publicidad no deseada cuando acepta un acuerdo de licencia de usuario final de un programa de software. Marcadores Programas que utilizan un equipo, sin el permiso ni conocimiento del usuario, para realizar llamadas a travs de Internet a un nmero 900 (de pago especial) o a un sitio FTP. Tpicamente, estos nmeros se marcan para acumular gastos.
Herramientas de hackeo Programas utilizados por un hacker para obtener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y enva esta informacin al hacker. Entonces, el hacker puede realizar anlisis de puerto y de puntos dbiles. Las herramientas de hackeo se pueden emplear tambin para desarrollar virus.
438
Configuracin bsica de polticas antivirus y antispyware Acerca de los virus y los riesgos de seguridad
Riesgo
Programas broma
Descripcin
Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, se puede descargar un programa mediante un sitio web, correo electrnico o programa de mensajera instantnea. Dicho programa podra hacer que la Papelera de reciclaje se aleje del puntero cuando el usuario intente eliminar un archivo, o invertir las funciones de los botones del mouse. Otros riesgos de seguridad que no se ajusten exactamente a las definiciones de virus, caballos de Troya, gusanos u otras categoras de riesgos de seguridad. Programas que permiten acceder a travs de Internet desde otro equipo, de manera que pueden recopilar informacin del equipo de un usuario, atacarlo o alterar su contenido. Por ejemplo, un usuario puede instalar un programa u otro proceso puede instalar un programa sin el conocimiento del usuario. Este programa puede utilizarse con fines dainos, modificando o no el programa original de acceso remoto. Programas independientes que pueden supervisar, de forma secreta, la actividad del sistema, as como detectar contraseas y otro tipo de informacin confidencial para transmitirla a otro equipo. Tambin es posible descargarlos de sitios web sin advertirlo, por lo general dentro de aplicaciones gratuitas o de uso compartido, y recibirlos a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, spyware cuando acepta un acuerdo de licencia de usuario final de un programa de software.
Otros
Spyware
Software de seguimiento
Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envan la informacin al sistema de destino. Por ejemplo, la aplicacin puede descargarse mediante un sitio web, un mensaje de correo electrnico o un programa de mensajera instantnea. Posteriormente, esta puede obtener informacin confidencial relativa al comportamiento del usuario.
De forma predeterminada, Auto-Protect analiza en busca de virus, caballos de Troya, gusanos y riesgos de seguridad cuando se ejecuta. Algunos riesgos, como Back Orifice, se detectaban como virus en versiones anteriores del software de cliente. Se siguen detectando como virus a fin de que
439
el software de cliente pueda seguir proporcionando proteccin a equipos con versiones anteriores.
Acerca de analizar
Es posible incluir los tipos siguientes de anlisis en una poltica antivirus y antispyware:
Anlisis de Auto-Protect Ver "Acerca de los anlisis de Auto-Protect" en la pgina 439. Anlisis definidos por el administrador Ver "Acerca de anlisis definidos por el administrador" en la pgina 444.
Anlisis de amenazas proactivos TruScan Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 446.
De forma predeterminada, todos los anlisis antivirus y antispyware detectan virus y riesgos para la seguridad, tales como publicidad no deseada y spyware; los anlisis ponen en cuarentena los virus y los riesgos para la seguridad, y quitan o reparan sus efectos secundarios. Los anlisis de Auto-Protect y definidos por el administrador detectan virus conocidos y riesgos de seguridad. Los anlisis de amenazas proactivos detectan virus y riesgos de seguridad desconocidos analizando en busca de conducta potencialmente maliciosa. Nota: En ocasiones, se puede llegar a instalar inadvertidamente una aplicacin que incluya un riesgo para la seguridad, como aplicaciones de publicidad no deseada o spyware. Si Symantec determina que bloquear el riesgo no causar ningn dao al equipo, el software de cliente lo bloquear. Si el bloqueo del riesgo deja el equipo en condicin inestable, el cliente espera a que finalice la instalacin de la aplicacin para poner el riesgo en cuarentena. Despus se reparan los efectos secundarios del riesgo.
Anlisis de Auto-Protect para el sistema de archivos Anlisis de Auto-Protect para archivos adjuntos de correo electrnico para Lotus Notes y Outlook (MAPI e Internet) Anlisis de Auto-Protect para mensajes de correo electrnico de Internet y para archivos adjuntos que utilizan los protocolos de comunicacin POP3 o
440
SMTP; los anlisis de Auto-Protect para correo electrnico de Internet tambin incluyen anlisis heursticos del correo saliente Nota: Por motivos de rendimiento, no se admite Auto-Protect para correo electrnico de Internet para POP3 en los sistemas operativos de servidor. En Microsoft Exchange Server, no es necesario instalar Auto-Protect para Microsoft Outlook. Auto-Protect analiza de forma continua archivos y mensajes de correo electrnico en busca de virus y riesgos para la seguridad, como spyware y aplicaciones de publicidad no deseada, a medida que se los lee o se los escribe en un equipo. Es posible configurar Auto-Protect para que analice solamente las extensiones de archivo seleccionadas. Cuando analiza extensiones seleccionadas, Auto-Protect puede tambin determinar el tipo de un archivo, incluso si un virus modifica la extensin del archivo. Durante la configuracin, es posible bloquear ciertas opciones de Auto-Protect en los clientes para aplicar una directiva de seguridad de la empresa sobre virus o riesgos de seguridad. Los usuarios no podrn modificar las opciones que se bloqueen. Auto-Protect se encuentra habilitado de forma predeterminada. Es posible ver el estado Auto-Protect en la consola, bajo la ficha Clientes o generando los informes y los registros que muestran el estado del equipo. Es posible tambin ver el estado de Auto-Protect directamente en el cliente. Mediante el anlisis de Auto-Protect, se pueden analizar archivos adjuntos de correo electrnico de las siguientes aplicaciones:
Lotus Notes 4.5x, 4.6, 5.0 y 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)
Si utiliza Microsoft Outlook sobre MAPI o el cliente de Microsoft Exchange, y Auto-Protect est habilitado para el correo electrnico, los archivos adjuntos se descargan inmediatamente al equipo que est ejecutando el cliente de correo electrnico. Se analizan los archivos adjuntos cuando el usuario abre el archivo adjunto. Si descarga un archivo adjunto de gran tamao con una conexin lenta, el rendimiento del correo se ver afectado. En el caso de usuarios que reciban con regularidad datos adjuntos extensos, tal vez prefiera deshabilitar esta funcin.
441
Nota: Si Lotus Notes o Microsoft Outlook est instalado en el equipo cuando se realiza una instalacin de software de cliente, el software de cliente detecta la aplicacin de correo electrnico. El cliente luego instala el tipo de correo electrnico correcto de Auto-Protect. Ambos tipos se instalan si se selecciona una instalacin completa cuando se realiza una instalacin manual. Si su programa de correo electrnico no se encuentra entre los formatos de datos admitidos, podr proteger la red mediante la activacin de Auto-Protect en el sistema de archivos. Si un usuario recibe un mensaje con un archivo adjunto infectado en un sistema de correo electrnico Novell GroupWise, Auto-Protect puede detectar el virus cuando el usuario abre el archivo adjunto. Esto se debe a que la mayora de los programas de correo electrnico guardan los archivos adjuntos en un directorio temporal cuando se ejecutan desde el programa. Si habilita Auto-Protect en su sistema de archivos, Auto-Protect detecta el virus cuando se los escribe al directorio temporal. Auto-Protect tambin detecta el virus si el usuario intenta guardar el archivo adjunto infectado en una unidad local o de red. Ver "Acerca de configurar Auto-Protect" en la pgina 477. Ver "Acerca de la deteccin Auto-Protect de los procesos que descargan continuamente el mismo riesgo de seguridad" en la pgina 441. Ver "Acerca de la exclusin automtica de archivos y carpetas" en la pgina 442. Ver "Si las aplicaciones de correo electrnico cliente utilizan una sola bandeja de entrada" en la pgina 444.
Acerca de la deteccin Auto-Protect de los procesos que descargan continuamente el mismo riesgo de seguridad
Si Auto-Protect detecta un proceso que descarga continuamente un riesgo de seguridad al equipo cliente, Auto-Protect muestra una notificacin y registra la deteccin. (Auto-Protect se debe configurar para enviar notificaciones). Si el proceso contina descargando el mismo riesgo para la seguridad, aparecen varias notificaciones en el equipo del usuario y Auto-Protect registra varios eventos. Para evitar el exceso de notificaciones y eventos registrados, Auto-Protect detiene automticamente el envo de notificaciones sobre el riesgo de seguridad despus de tres detecciones. Auto-Protect tambin deja de registrar el evento despus de tres detecciones. En algunas situaciones, Auto-Protect no detiene el envo de notificaciones y el registro de eventos para el riesgo de seguridad. Auto-Protect contina enviando notificaciones y registrando eventos cuando cualquiera de las siguientes situaciones son verdades:
442
Usted o los usuarios de los equipos cliente deshabilitan los bloqueos de la instalacin de riesgos de seguridad (la configuracin predeterminada es habilitado). La accin para el tipo de riesgo de seguridad que descarga el proceso tienen la accin No hacer nada.
Nota: Para ver las exclusiones que el cliente crea en equipos de 32 bits, es posible examinar el contenido del registro de Windows HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Exclusions. No es necesario editar el registro de Windows directamente. En los equipos de 64 bits, consulte en HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions. El cliente no excluye las carpetas temporales del sistema de los anlisis, ya que se originara una importante vulnerabilidad del sistema en el equipo. Es posible configurar cualquier exclusin adicional usando excepciones centralizadas. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643.
443
agrupados. El software de cliente busca cambios en la ubicacin de los archivos y las carpetas apropiados de Microsoft Exchange a intervalos regulares. Si instala Microsoft Exchange en un equipo donde el software de cliente ya est instalado, se crean las exclusiones cuando el cliente busca cambios. El cliente excluye los archivos y las carpetas; si un solo archivo se mueve desde una carpeta excluida, el archivo permanece excluido. El software de cliente crea exclusiones de anlisis de carpetas y archivos para las versiones siguientes de Microsoft Exchange Server:
Exchange 5.5 Exchange 6.0 Exchange 2000 Exchange 2003 Exchange 2007 Exchange 2007 SP1
Para Exchange 2007, vea la documentacin para el usuario para ver la informacin sobre compatibilidad con software antivirus. En algunas circunstancias, puede ser recomendable crear exclusiones de anlisis para algunas carpetas de Exchange 2007 manualmente. Por ejemplo, en un entorno agrupado, puede ser recomendable crear algunas exclusiones. Para obtener ms informacin, consulte el documento siguiente en Base de conocimientos de Symantec: Cmo evitar que Symantec Endpoint Protection 11.0 analice la estructura de directorios de Microsoft Exchange 2007
Symantec Mail Security 4.0, 4.5, 4.6, 5.0 y 6.0 para Microsoft Exchange Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange Norton AntiVirus 2.x para Microsoft Exchange Base de datos integrada y registros de Symantec Endpoint Protection Manager
444
Active Directory. El cliente supervisa las aplicaciones que estn instaladas en el equipo cliente. Si el software detecta Active Directory en el equipo cliente, el software crea automticamente las exclusiones.
Si las aplicaciones de correo electrnico cliente utilizan una sola bandeja de entrada
Las aplicaciones que almacenan todo el correo electrnico en un solo archivo incluyen Outlook Express, Eudora, Mozilla y Netscape. Si sus equipos cliente utilizan aplicaciones de correo electrnico que usan una sola bandeja de entrada, es necesario crear una excepcin centralizada para excluir el archivo de la bandeja de entrada. La excepcin se aplica a todos los anlisis antivirus y de software espa, as como de Auto-Protect. El cliente de Symantec Endpoint Protection pone en cuarentena la bandeja de entrada entera y los usuarios no pueden acceder a su correo electrnico si las declaraciones siguientes son verdaderas:
El cliente detecta un virus en el archivo de la bandeja de entrada durante un anlisis manual o programado. La accin que se configura para el virus es Poner en cuarentena.
Symantec no recomienda generalmente excluir los archivos de los anlisis. Cuando se excluye de los anlisis el archivo de la bandeja de entrada, sta no puede ser puesta en cuarentena; sin embargo, si el cliente detecta un virus cuando un usuario abre un mensaje de correo electrnico, puede poner en cuarentena o eliminar con seguridad el mensaje.
Anlisis programados
445
Tpicamente, es posible que desee crear un anlisis programado completo para que se ejecute una vez por semana y un Active Scan que se ejecute una vez por da. De forma predeterminada, el cliente de Symantec Endpoint Protection genera un Active Scan que se ejecuta durante el inicio en los equipos cliente.
446
Tipo
Anlisis completo
Descripcin
Analiza el equipo entero en busca de virus y riesgos de seguridad, incluso el sector de arranque y la memoria del sistema. Analiza las carpetas y los archivos seleccionados en busca de virus y riesgos de seguridad.
Anlisis personalizado
447
proactivos en una poltica antivirus y contra software espa. Los usuarios en los equipos cliente pueden habilitar o deshabilitar este tipo de anlisis si usted no bloquea la configuracin. Aunque incluya una configuracin para anlisis de amenazas proactivos en una poltica antivirus y contra software espa, usted establece la configuracin de anlisis de manera diferente que en los anlisis antivirus y de software espa. Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 576.
448
En el cuadro de dilogo Editar carpetas, se seleccionan carpetas de Windows, en lugar de las rutas completas de las carpetas. Los equipos cliente en su red de seguridad pueden utilizar diversas rutas para estas carpetas. Puede seleccionar cualquiera de las siguientes carpetas:
Cuando se analizan carpetas o extensiones de archivo seleccionados, es posible mejorar el rendimiento del anlisis. Por ejemplo, si se copia una carpeta grande que no est en la lista seleccionada de carpetas, el proceso de copia es ms rpido porque se excluye el contenido de la carpeta. Es posible excluir archivos de anlisis por tipo de extensin o directorio. Para excluir archivos, configure una poltica de excepciones centralizada que contenga las exclusiones. Cuando se especifican exclusiones en una poltica, las exclusiones se aplican en cualquier momento con cualquier anlisis antivirus y de software espa ejecutado en clientes con esa poltica. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643. Cuando se analizan extensiones seleccionadas, el software de cliente no lee el encabezado del archivo para determinar el tipo de archivo. Cuando se analizan extensiones seleccionadas, el cliente solamente analiza los archivos con las extensiones especificadas. Advertencia: Como el software de cliente excluye los archivos y las carpetas de los anlisis, no protege las carpetas y los archivos seleccionados contra virus y riesgos de seguridad. La Tabla 25-4 describe las extensiones que se recomienda analizar.
449
Tabla 25-4
Extensin de archivo
CHM
CSC CSH DLL DOC DOT DRV EXE HLP HTA HTM
450
Extensin de archivo
Archivo HTML HTT INF INI JPEG JPG JS JSE JTD MDB MP? MSO OBD OBT OCX
Descripcin
Archivo HTML Archivo HTML Secuencia de comandos de instalacin Archivo de inicio Archivo de grficos Archivo de grficos Script de Java JavaScript codificado Ichitaro Microsoft Access Microsoft Project Microsoft Office 2000 Cuaderno de Microsoft Office Cuaderno de Microsoft Office Objeto de Microsoft que integra un control personalizado y tiene un vnculo a l Archivo de superposicin Formato de documento portable de Adobe Archivo de informacin de programa Cdigo fuente de programa PERL (UNIX) Grficos de mapas de bits de Presentation Manager Microsoft PowerPoint Microsoft PowerPoint Microsoft PowerPoint Documento de texto enriquecido Fax, protector de pantalla, instantnea o script para Farview o Microsoft Windows
451
Extensin de archivo
SH SHB SHS SMM SYS VBE VBS VSD VSS VST VXD WSF WSH XL? XL?? ACCD? DOC? DOT? PP? PP??
Descripcin
Archivo de intrprete de comandos (UNIX) Archivo de Corel Show Background Archivo temporal de intrprete de comandos Lotus AmiPro Controlador de dispositivo BIOS VESA (funciones principales) VBScript Microsoft Office Visio Microsoft Office Visio Microsoft Office Visio Controlador virtual de dispositivo Archivo de secuencia de comandos de Windows Archivo de configuracin de Windows Script Host Microsoft Excel Microsoft Excel Microsoft Office Access Microsoft Office Word Microsoft Office Word Microsoft Office PowerPoint Microsoft Office PowerPoint
452
Configuracin bsica de polticas antivirus y antispyware Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Windows
Puede excluir los archivos que activan alertas positivas falsas. Por ejemplo, si usted utiliz otro programa de anlisis de virus para limpiar un archivo infectado, es posible que el programa no pueda quitar totalmente el cdigo del virus. El archivo puede ser inofensivo pero el cdigo del virus deshabilitado podra hacer que el software de cliente registre un falso positivo. Consulte con el soporte tcnico de Symantec si no est seguro de que un archivo est infectado. Cuando se crea una exclusin, se aplica a todos los tipos de anlisis antivirus y de software espa que ejecute. Se crea una exclusin como parte de una excepcin centralizada. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643.
Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Windows
Muchas de las opciones estn disponibles en distintos tipos de anlisis. Sin embargo, las acciones que se pueden asignar cuando un anlisis encuentra virus y riesgos para la seguridad son diferentes para los diferentes sistemas operativos de clientes. Para los equipos Windows, se pueden asignar acciones en primer y en segundo lugar que el software toma cuando un anlisis manual, programado o de Auto-Protect encuentra virus y riesgos para la seguridad. Es posible asignar primeras y segundas acciones individuales que se deben aplicar cuando el cliente detecta los siguientes tipos de riesgos:
Virus de macro Virus no de macro Todos los riesgos de seguridad (aplicaciones de publicidad no deseada, spyware, programas broma, marcadores, herramientas de piratera, programas de acceso remoto, software de seguimiento y otros) Categoras individuales de riesgos de seguridad, como spyware Acciones personalizadas para determinados riesgos de seguridad
De forma predeterminada, el cliente de Symantec Endpoint Protection primero intenta limpiar un archivo que est infectado por un virus. Si el software de cliente no puede limpiar el archivo, realiza las acciones siguientes:
Configuracin bsica de polticas antivirus y antispyware Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Mac
453
Registra el suceso
De forma predeterminada, el cliente mueve cualquier archivo infectado por riesgos para la seguridad a la Cuarentena en el equipo infectado. El cliente tambin intenta quitar o reparar los efectos secundarios del riesgo. De forma predeterminada, la Cuarentena contiene un registro de todas las acciones que el cliente realiz. Es posible devolver el equipo cliente al estado que existi antes de que el cliente intentara la eliminacin y la reparacin. Si un riesgo de seguridad no puede ser puesto en cuarentena y ser reparado, la segunda accin es registrar el riesgo. Para las detecciones del anlisis de amenazas proactivo TruScan, las acciones dependen de si se usan valores predeterminados administrados por Symantec o si configura las acciones usted mismo. Las acciones para anlisis de amenazas proactivos se configuran en una parte separada de la poltica antivirus y antispyware. Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones" en la pgina 587. Ver "Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Mac" en la pgina 453.
Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Mac
Para los equipos cliente Mac, es posible elegir que el software intente reparar cualquier archivo infectado detectado por un anlisis. Es posible tambin elegir que el software mueva a la cuarentena cualquier archivo infectado que no pueda reparar. Estas opciones estn disponibles para los anlisis programados y los anlisis de Auto-Protect. Ver "Acerca de las acciones para virus y riesgos para la seguridad que los anlisis detectan en clientes Windows" en la pgina 452.
454
Configuracin bsica de polticas antivirus y antispyware Acerca de la interaccin del cliente con opciones de antivirus y antispyware
iniciado). Es posible elegir enviar o no enviar otros tipos de sucesos (como Archivo no analizado). Los sucesos que los clientes envan al servidor de administracin afectan la informacin de informes y registros. Es necesario decidir qu tipo de eventos usted desea reenviar al servidor de administracin. Es posible reducir el tamao de los registros y la cantidad de informacin que se incluye en los informes si usted selecciona solamente ciertos tipos de sucesos. Es posible tambin configurar cunto tiempo el cliente conserva elementos de registro. La opcin no afecta los sucesos que los clientes enven a la consola de administracin. Es posible utilizar la opcin para reducir el tamao real del registro en los equipos cliente. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Configurar los parmetros de gestin de registros para una poltica antivirus y antispyware
1 2
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Otros. En la ficha Tratamiento de registros, bajo Filtrado de sucesos de registros de antivirus y antispyware, seleccione los sucesos que usted desea reenviar al servidor de administracin. Bajo Retencin de registros, seleccione la frecuencia con la que el cliente debe eliminar lneas del registro. En Registrar agregacin de sucesos, seleccione con qu frecuencia se deben enviar sucesos agregados al servidor. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
3 4 5
Configuracin bsica de polticas antivirus y antispyware Modificar la contrasea necesaria para analizar unidades de red asignadas
455
Tanto para clientes de Windows como de Mac, se puede mostrar una advertencia cuando las definiciones estn desactualizadas o son inexistentes. Para los clientes de Windows, tambin se puede realizar una de las siguientes las acciones:
Configurar opciones de progreso de anlisis para anlisis programados. Configurar opciones de anlisis para clientes. Modificar la contrasea necesaria para analizar unidades asignadas. Especificar cmo Windows Security Center interacciona con el cliente de Symantec Endpoint Protection. Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y antispyware. Especificar la URL que se debe utilizar para volver a dirigir un navegador de Internet si un riesgo de seguridad intenta modificar la URL.
Nota: Es posible tambin bloquear configuraciones de polticas de modo que los usuarios no puedan modificar la configuracin.
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Otros. En la ficha Otros, en Analizar unidad de red, seleccione Solicitar una contrasea antes de analizar una unidad de red asignada. Haga clic en Cambiar la contrasea.
456
Configuracin bsica de polticas antivirus y antispyware Configuracin del Centro de seguridad de Windows para que funcione con el cliente de Symantec Endpoint Protection
4 5 6
En el cuadro de dilogo Configuracin de contrasea, escriba la nueva contrasea y vuelva a escribirla para confirmarla. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configuracin del Centro de seguridad de Windows para que funcione con el cliente de Symantec Endpoint Protection
El Centro de seguridad de Windows proporciona alertas en sus equipos cliente si algn software de seguridad est desactualizado o si es necesario reforzar la configuracin de seguridad. Se incluye con Windows XP Service Pack 2, Windows Vista y Windows 7. Es posible usar una poltica antivirus y antispyware para configurar ciertos parmetros del Centro de seguridad de Windows en los equipos cliente que ejecutan Windows XP Service Pack 2. Nota: No es posible usar una poltica antivirus y antispyware para configurar el Centro de seguridad de Windows en los equipos cliente que ejecutan Windows Vista o Windows 7.
Configuracin bsica de polticas antivirus y antispyware Configuracin del Centro de seguridad de Windows para que funcione con el cliente de Symantec Endpoint Protection
457
Tabla 25-5
Opciones para configurar cmo el Centro de seguridad de Windows funciona con el cliente Cundo usar
Opcin
Deshabilitar Centro de seguridad de Windows
Descripcin
Le permite permanentemente o Deshabilite el Centro de seguridad de temporalmente deshabilitar el Centro de Windows permanentemente si es necesario seguridad de Windows en sus equipos cliente. evitar que los usuarios del cliente reciban las alertas de seguridad que ste proporciona. Opciones disponibles: Los usuarios del cliente an pueden recibir Nunca. El Centro de seguridad de las alertas de Symantec Endpoint Protection. Windows se habilita siempre en el equipo Habilite el Centro de seguridad de Windows cliente. permanentemente si desea que los usuarios Una vez. El Centro de seguridad de del cliente reciban las alertas de seguridad Windows se deshabilita solamente una que ste proporciona. Es posible configurar vez. Si un usuario lo habilita, no se el Centro de seguridad de Windows para que deshabilita de nuevo. muestre las alertas de Symantec Endpoint Siempre. El Centro de seguridad de Protection. Windows se deshabilita permanentemente en el equipo cliente. Si un usuario lo habilita, se deshabilita de forma inmediata. Restaurar. El Centro de seguridad de Windows se habilita si la poltica antivirus y antispyware lo deshabilit previamente. Le permite configurar las alertas antivirus del cliente de Symantec Endpoint Protection para que se muestren en el rea de notificaciones de Windows. Habilite esta configuracin si desea que los usuarios del cliente reciban alertas de Symantec Endpoint Protection, as como otras alertas de seguridad, en el rea de notificaciones de Windows de sus equipos.
458
Configuracin bsica de polticas antivirus y antispyware Exhibir una advertencia de definiciones desactualizadas o ausentes
Opcin
Mostrar un mensaje del Centro de seguridaddeWindows cuando las definiciones estn desactualizadas
Descripcin
Le permite configurar la cantidad de das que deben transcurrir para que el Centro de seguridad de Windows considere que las definiciones estn desactualizadas. De forma predeterminada, el Centro de seguridad de Windows enva este mensaje despus de 30 das.
Cundo usar
Configure esta opcin si desea que el Centro de seguridad de Windows notifique a los usuarios del cliente sobre las definiciones desactualizadas con ms frecuencia que el tiempo predeterminado (30 das).
Para configurar el Centro de seguridad de Windows para que funcione con Symantec Endpoint Protection
1 2
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Otros. En Centro de seguridad de Windows, configure las opciones que las polticas de seguridad de su compaa necesitan.
Nota: El estado del producto de Symantec est siempre disponible en la consola de administracin, sin importar si el Centro de Seguridad de Windows est habilitado o deshabilitado.
Configuracin bsica de polticas antivirus y antispyware Especificacin de la URL que se debe mostrar en las notificaciones de error de antivirus y antispyware
459
1 2
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Otros. En la ficha Notificaciones, en Notificaciones, seleccione una de las siguientes opciones, o ambas:
Mostrar una advertencia cuando las definiciones estn desactualizadas Mostrar una advertencia cuando Symantec Endpoint Protection se est ejecutando sin definiciones de virus
3 4
Fije el nmero de das que las definiciones de virus y riesgos de seguridad pueden permanecer desactualizadas antes de que aparezca la advertencia. Para las definiciones inexistentes de virus y riesgos de seguridad, configure el nmero de intentos de reparacin que Symantec Endpoint Protection debe hacer antes de que aparezca la advertencia. Haga clic en Advertencia para cada opcin marcada, y personalice el mensaje predeterminado. En el cuadro de dilogo de alerta, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
5 6 7
Especificacin de la URL que se debe mostrar en las notificaciones de error de antivirus y antispyware
En casos poco comunes, los usuarios podran ver aparecer errores en los equipos cliente. Por ejemplo, es posible que el equipo cliente encuentre desbordamientos de bfer o problemas de descompresin durante los anlisis. Es posible especificar una URL que lleve al sitio web de soporte de Symantec o a una URL personalizada. Por ejemplo, en cambio, es posible que tenga un sitio web interno que usted desee especificar. Nota: La URL tambin aparece en el registro de eventos del sistema para el equipo cliente en el cual se produce el error.
460
Configuracin bsica de polticas antivirus y antispyware Especificar una URL para una pgina principal del navegador
Para especificar una URL que se debe mostrar en las notificaciones de error de antivirus y antispyware
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Otros. En la ficha Notificaciones, active Mostrar mensajes de error con la URL de una solucin. Seleccione una de las siguientes opciones:
Mostrar la URL de un artculo de la base de conocimientos de soporte tcnico de Symantec Mostrar una URL personalizada
4 5 6
Haga clic en Personalizar mensaje de error si desea personalizar el mensaje. Escriba el texto personalizado que usted desea incluir y haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Otros. En la ficha Otros, en Proteccin del navegador de Internet, escriba la URL. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Algunas opciones son comunes para todos los anlisis antivirus y de software espa. Los anlisis antivirus y de software espa incluyen anlisis de Auto-Protect y definidos por el administrador. La poltica incluye las siguientes opciones:
Configuracin bsica de polticas antivirus y antispyware Configurar las opciones que se aplican a los anlisis antivirus y de software espa
461
Configurar las excepciones centralizadas para los riesgos para la seguridad Configurar acciones para las detecciones de virus y riesgos para la seguridad conocidos Administrar los mensajes de notificacin en equipos infectados Personalizar y mostrar notificaciones en los equipos infectados Agregar avisos a los mensajes de correo electrnico infectados Notificar a los remitentes de mensajes de correo electrnico infectados. Notificaciones para los usuarios sobre la recepcin de mensajes de correo electrnico infectados
La informacin sobre acciones y notificaciones para los anlisis de amenazas proactivos se incluye en una seccin separada. Ver "Configurar notificaciones para anlisis de amenazas proactivos TruScan" en la pgina 590.
La cantidad de proteccin que su red necesita La cantidad de tiempo y recursos necesarios para proporcionar proteccin
Por ejemplo, es posible analizar slo los archivos con las extensiones ms expuestas a virus y a otros riesgos. Cuando se analizan slo algunas extensiones, se excluyen de forma automtica todos los archivos con extensiones diferentes. Cuando se excluyen archivos de los anlisis, se disminuye la cantidad de recursos del equipo necesarios para ejecutar el anlisis. Advertencia: Cuando se seleccionan extensiones para el anlisis, cualquier otra extensin no estar protegida contra virus y riesgos de seguridad.
462
Configuracin bsica de polticas antivirus y antispyware Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para incluir solamente los archivos con extensiones determinadas para anlisis de Auto-Protect o definidos por el administrador
1 2 3
En la ficha Detalles del anlisis, bajo Tipos de archivos, haga clic en Analizar slo las extensiones seleccionadas. Haga clic en Seleccionar extensiones. En el cuadro de dilogo Extensiones de archivos, es posible realizar las siguientes acciones:
Agregar extensiones propias escribindolas y haciendo clic en Agregar. Quitar cualquier extensin seleccionndolas y despus haciendo clic en Eliminar. Devolver la lista a su configuracin predeterminada haciendo clic en Predeterminadas. Agregar todas las extensiones de programa haciendo clic en Agregar programas comunes. Agregar todas las extensiones de documento haciendo clic en Agregar documentos comunes.
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definido por el administrador. En la ficha Anlisis, realice una de las siguientes acciones:
Haga clic en Agregar. Bajo Anlisis programados, seleccione un anlisis existente y haga clic en Editar.
Configuracin bsica de polticas antivirus y antispyware Configurar las opciones que se aplican a los anlisis antivirus y de software espa
463
En la ficha Detalles del anlisis, en la lista desplegable de Tipo de anlisis, haga clic en Anlisis personalizado. Los anlisis manuales se preestablecen en Anlisis personalizado.
4 5
Bajo Anlisis, haga clic en Editar carpetas. En el cuadro de dilogo Editar carpetas, haga clic en Analizar las carpetas seleccionadas y, en la lista de carpetas, seleccione todas las carpetas que desea incluir en este anlisis. El campo Carpetas seleccionadas muestra todas las opciones.
6 7
Haga clic en Aceptar hasta volver a la pgina Anlisis definido por el administrador. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows
Las acciones se utilizan para especificar cmo responden los clientes cuando un anlisis de antivirus y antispyware detecta un virus o un riesgo para la seguridad conocido. Estas acciones se aplican a Auto-Protect y a los anlisis definidos por
464
Configuracin bsica de polticas antivirus y antispyware Configurar las opciones que se aplican a los anlisis antivirus y de software espa
el administrador. Las acciones para los anlisis de amenazas proactivos se configuran por separado. Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 576. Las acciones permiten configurar cmo responde el software de cliente cuando detecta un virus o un riesgo de seguridad conocidos. Para los equipos cliente Windows, se puede asignar una primera accin y, en caso de que la primera accin no sea posible, una segunda accin. El cliente Symantec Endpoint Protection utiliza estas acciones cuando detecta un virus o un riesgo de seguridad, como publicidad no deseada o spyware. Los tipos de virus y riesgos de seguridad se presentan en la jerarqua. Se configuran las acciones de manera diferente para los equipos cliente Mac. Ver "Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Mac" en la pgina 465. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Nota: Para riesgos de seguridad, use la accin de eliminar con precaucin. En algunos casos, la eliminacin de riesgos de seguridad provoca la prdida de funcionalidad de algunas aplicaciones.
Advertencia: Si configura el software de cliente para eliminar los archivos afectados por los riesgos de seguridad, no puede restaurar los archivos. Para hacer copia de seguridad de los archivos afectados por los riesgos de seguridad, configure el software de cliente para ponerlos en Cuarentena. Para configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows
En la ficha Acciones, bajo Deteccin, seleccione un tipo de virus o riesgo para la seguridad. De forma predeterminada, cada subcategora de riesgos para la seguridad se configura automticamente para utilizar las acciones establecidas para la categora entera de Riesgos de seguridad.
A fin de configurar una situacin especfica de una categora de riesgo de seguridad para que se efecten acciones diferentes, marque Anular acciones configuradas para Riesgos de seguridad y, a continuacin, fije las acciones exclusivas para esa categora.
Configuracin bsica de polticas antivirus y antispyware Configurar las opciones que se aplican a los anlisis antivirus y de software espa
465
Bajo Acciones para, seleccione la primera y la segunda accin que el software de cliente toma cuando detecta esa categora de virus o riesgo para la seguridad. Puede bloquear acciones de modo que los usuarios no puedan modificar la accin en los equipos cliente que utilizan esta poltica. Para riesgos para la seguridad, use la accin Eliminar con precaucin. En algunos casos, la eliminacin de riesgos de seguridad provoca la prdida de funcionalidad de algunas aplicaciones.
4 5
Repita el paso 3 para cada categora a la que desee asignar acciones (virus y riesgos para la seguridad). Cuando termine de configurar esta poltica, haga clic en Aceptar.
Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Mac
Las acciones se utilizan para especificar cmo responden los clientes cuando un anlisis de antivirus y antispyware detecta un virus o un riesgo para la seguridad conocido. Estas acciones se aplican a Auto-Protect y a los anlisis definidos por el administrador. Para los equipos cliente Mac, se elige si se reparan los archivos y si se ponen en cuarentena los archivos que no pueden ser reparados. Se configuran las acciones de manera diferente para los equipos Windows. Ver "Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows" en la pgina 463. Para configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Mac
Reparar automticamente los archivos infectados Poner en cuarentena los archivos que no pueden ser reparados
Puede bloquear acciones de modo que los usuarios no puedan modificar la accin en los equipos cliente que utilizan esta poltica.
466
Configuracin bsica de polticas antivirus y antispyware Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros.
Ver "Configurar opciones de notificacin para Auto-Protect" en la pgina 490. Las notificaciones para los resultados del anlisis de amenazas proactivo se configura por separado. Ver "Configurar notificaciones para anlisis de amenazas proactivos TruScan" en la pgina 590.
Configuracin bsica de polticas antivirus y antispyware Configurar las opciones que se aplican a los anlisis antivirus y de software espa
467
nombre del archivo infectado, el estado del riesgo. Un mensaje de aviso podra tener el siguiente aspecto:
Tipo de anlisis: Anlisis programado Suceso: Riesgo detectado NombreDeRiesgoDeSeguridad: Stoned-C Archivo: C:\Autoexec.bat Ubicacin C: Equipo: ACCTG-2 Usuario: JSmith Accin efectuada: Limpiado
Tabla 25-6 describe los campos variables disponibles para las notificaciones. Tabla 25-6 Etiqueta
Tipo de anlisis
Descripcin
Tipo de anlisis (manual, programado, etc.) que detect el virus o el riesgo de seguridad. Tipo de evento, como "Riesgo detectado". Nombre del virus o del riesgo de seguridad detectado.
Suceso
Suceso
NombreDeRiesgoDeSeguridad
RutaYNombreDeArchivo
Nombre y ruta completa del archivo infectado por el virus o el riesgo de seguridad. Unidad del equipo en la que se ubic el virus o el riesgo de seguridad. Nombre del equipo donde se detect el virus o el riesgo de seguridad. Nombre del usuario conectado al detectar el virus o el riesgo de seguridad.
Ubicacin
Ubicacin
Equipo
Equipo
Usuario
Usuario
468
Configuracin bsica de polticas antivirus y antispyware Enviar informacin sobre anlisis a Symantec
Etiqueta
Campo
Descripcin
La accin efectuada al detectar el virus o el riesgo de seguridad. Puede ser la primera o la segunda accin configurada. Fecha en la que se detect el virus o el riesgo de seguridad.
Fecha de deteccin
FechaDeteccin
En la pgina Poltica antivirus y contra software espa, haga clic en una de las siguientes opciones:
Anlisis definidos por el administrador Auto-Protect para el sistema de archivos Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Auto-Protect para Lotus Notes
2 3 4
Si seleccion Anlisis definidos por el administrador, en la ficha Anlisis, haga clic en Agregar o Editar. En la ficha Notificaciones, active Mostrar un mensaje de notificacin en el equipo infectado y modifique el cuerpo del mensaje de notificacin. Haga clic en Aceptar.
Configuracin bsica de polticas antivirus y antispyware Enviar informacin sobre anlisis a Symantec
469
El archivo ejecutable La informacin de estado interno La informacin sobre el archivo y los puntos de carga del registro de Windows relacionados con la amenaza La versin del contenido que utiliz el anlisis de amenazas proactivo
No se enva ninguna informacin personal que permita identificar el equipo cliente. La informacin sobre tasas de deteccin puede ayudar a Symantec a refinar las actualizaciones de las definiciones de virus. Las tasas de deteccin muestran los virus y los riesgos de seguridad detectados con mayor frecuencia por los clientes. Symantec Security Response puede quitar las firmas que no se detectan y proporcionar una lista de definiciones de virus dividida en segmentos para los clientes que la solicitan. Las listas divididas en segmentos aumentan el rendimiento del anlisis antivirus y antispyware. Cuando un anlisis de amenazas proactivo hace una deteccin, el software de cliente verifica si la informacin sobre el proceso se ha enviado. Si se ha enviado la informacin, el cliente no enva la informacin de nuevo. Nota: Cuando los anlisis de amenazas proactivos detectan elementos de la lista de aplicaciones comerciales, la informacin sobre estas detecciones no se enva a Symantec Security Response. Cuando se habilita el envo para los procesos, se actualizan los elementos que son puestos en cuarentena por los anlisis de amenazas proactivos. Cuando se actualizan los elementos, la ventana Cuarentena indica que las muestras se han enviado a Symantec Security Response. El software de cliente no notifica a los usuarios, y la consola de administracin muestra una indicacin cuando se envan detecciones con otros tipos de acciones. Otros tipos de acciones incluyen el registro o la finalizacin. Es posible enviar muestras de cuarentena a Symantec. Ver "Enviar elementos en cuarentena a Symantec" en la pgina 474.
La fecha del archivo de control de datos del envo El porcentaje de los equipos que pueden realizar envos
470
Configuracin bsica de polticas antivirus y antispyware Enviar informacin sobre anlisis a Symantec
Symantec publica su archivo de datos de control del envo (SCD) y lo incluye como parte de un paquete de LiveUpdate. Cada producto de Symantec tiene su propio archivo SCD. El archivo controla la configuracin siguiente:
Cuntos envos un cliente puede realizar en un da Cunto tiempo se debe esperar para que el software de cliente vuelva a intentar envos Cuntas veces se debe volver a intentar un envo con errores Qu direccin IP del servidor de Symantec Security Response recibe el envo
Si el archivo SCD queda obsoleto, los clientes detienen los envos. Symantec considera que el archivo SCD est desactualizado cuando un equipo cliente no ha descargado contenido de LiveUpdate en 7 das. Si los clientes detienen la transmisin de envos, el software de cliente no recopila la informacin de envos y la enva ms tarde. Cuando los clientes se inician para realizar envos de nuevo, envan solamente la informacin sobre los eventos que ocurren despus del reinicio de la transmisin. Los administradores pueden tambin configurar el porcentaje de equipos que pueden realizar envos. Cada equipo cliente determina si debe enviar informacin o no. El equipo cliente selecciona aleatoriamente un nmero de 1 a 100. Si el nmero es inferior o igual al porcentaje configurado en la poltica de ese equipo, el equipo enva informacin. Si el nmero es mayor que el porcentaje configurado, el equipo no enva la informacin.
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Envos. En Anlisis de amenazas proactivos TruScan, seleccione o anule la seleccin de Permitir que los equipos cliente enven procesos detectados por anlisis. Cuando se selecciona este parmetro, es posible modificar el porcentaje de equipos cliente que deben enviar informacin sobre procesos.
471
4 5
Si habilit los envos, utilice las flechas hacia arriba o hacia abajo para seleccionar el porcentaje o escriba el valor deseado en el cuadro de texto. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Para especificar si se enva informacin sobre Auto-Protect y tasas de deteccin de anlisis manual
1 2
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Envos. En Tasas de deteccin, seleccione o anule la seleccin de Permitir que los equipos cliente enven tasas de deteccin de amenazas. Cuando se selecciona este parmetro, es posible modificar el porcentaje de equipos cliente que deben enviar tasas de deteccin.
Especificacin de un directorio de cuarentena local Envo de elementos en cuarentena a Symantec Configuracin de acciones ante el arribo de nuevas definiciones
472
%COMMON_APPDATA%
Esta ruta generalmente es C:\Documents and Settings\All Users\Application Data Esta ruta generalmente se refiere a C:\Program Files Esta ruta generalmente se refiere a C:\Program Files\Common Esta ruta generalmente es C:\Documents and Settings\All Users\Start Menu\Programs Esta ruta generalmente es C:\Documents and Settings\All Users\Start Menu\Programs\ Startup Esta ruta generalmente es C:\Documents and Settings\All Users\Desktop Esta ruta generalmente es C:\Documents and Settings\All Users\Documents Esta ruta generalmente es C:\Windows\ System32 Esta ruta generalmente es C:\Windows
%PROGRAM_FILES%
%PROGRAM_FILES_COMMON%
%COMMON_PROGRAMS%
%COMMON_STARTUP%
%COMMON_DESKTOPDIRECTORY%
%COMMON_DOCUMENT%
%SYSTEM%
%WINDOWS%
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Cuarentena. En la ficha Otros, bajo Opciones locales de cuarentena, haga clic en Especificar directorio de cuarentena. En el cuadro de texto, escriba el nombre de un directorio local en los equipos cliente. Es posible utilizar la extensin de ruta, para ello use el signo de porcentaje al escribir la ruta. Por ejemplo, es posible escribir %COMMON_APPDATA%, pero las rutas relativas no se permiten. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
473
automticamente los archivos de cuarentena cuando el directorio donde estn almacenados alcanza un tamao determinado. Es posible configurar estas opciones desde la poltica antivirus y antispyware. Es posible configurar individualmente el nmero de das durante los que se conservarn los archivos reparados, de copia de seguridad y en cuarentena. Es posible tambin configurar el tamao mximo permitido para el directorio antes de que los archivos se quiten automticamente del equipo cliente. Se puede usar una de estas opciones, o ambas. Si se configuran los dos tipos de lmites, se depurarn primero todos los archivos de antigedad mayor a la especificada. Si el tamao del directorio an excede el lmite de tamao especificado, se eliminan los archivos anteriores uno por uno. Se eliminan archivos hasta que el tamao del directorio sea inferior al lmite. De forma predeterminada, estas opciones no estn habilitadas. Para configurar opciones de limpieza automtica
1 2 3 4
En la pgina Poltica antivirus y antispyware, haga clic en Cuarentena. En la ficha Limpieza, en Archivos reparados, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos reparados. En el cuadro Suprimir despus de, escriba un valor o haga clic en las flechas para seleccionar el intervalo en das. Seleccione Eliminar los archivos ms antiguos para limitar el tamao de la carpeta en y escriba el tamao de directorio mximo permitido, en megabytes. La configuracin predeterminada es 50 MB. En Archivos de copia de seguridad, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos de copia de seguridad. En el cuadro Suprimir despus de, escriba el intervalo o haga clic en las flechas para seleccionarlo. Seleccione Eliminar los archivos ms antiguos para limitar el tamao de la carpeta en y escriba el tamao de directorio mximo permitido, en megabytes. El valor predeterminado es 50 MB. En Archivos en cuarentena, seleccione o anule la seleccin de Habilitar la eliminacin automtica de archivos en cuarentena que no se pudieron reparar. En el cuadro Suprimir despus de, escriba un valor o haga clic en las flechas para seleccionar el intervalo en das.
5 6 7
474
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Elementos en cuarentena, marque Permitir que los equipos cliente enven automticamente elementos de la cuarentena a un servidor de cuarentena. Escriba el nombre del Servidor de cuarentena. Escriba el nmero de puerto que desea utilizar y seleccione el nmero de segundos para reintentar la conexin. Cuando haya terminado de establecer la configuracin para esta poltica, haga clic en Aceptar.
3 4 5
475
cifrado estndar de la industria y puede mantener los datos annimos para ayudar a proteger la integridad del contenido y su privacidad. Ver "Enviar informacin sobre anlisis a Symantec" en la pgina 468. En algunos casos, Symantec puede rechazar un archivo. Por ejemplo, Symantec puede rechazar un archivo porque no parece estar infectado. Es posible habilitar el reenvo de archivos si desea permitir a los usuarios reenviar archivos seleccionados. Los usuarios pueden reenviar los archivos una vez por da. Para habilitar el envo de elementos en cuarentena a Symantec
1 2
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Envos. En Elementos en cuarentena, seleccione Permitir que los equipos cliente enven manualmente elementos de la cuarentena a Symantec Security Response. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Cuarentena. En la ficha General, bajo Cuando lleguen nuevas definiciones de virus, haga clic en una de las siguientes opciones:
Reparar y restaurar automticamente los archivos de la cuarentena de forma silenciosa Reparar los archivos de la cuarentena de forma silenciosa sin restaurarlos Preguntar al usuario No hacer nada
476
Captulo
26
Configurar Auto-Protect
En este captulo se incluyen los temas siguientes:
Acerca de configurar Auto-Protect Acerca de los tipos de Auto-Protect Habilitar Auto-Protect para el sistema de archivos Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows Cmo configurar Auto-Protect para el sistema de archivos para clientes Mac Configurar Auto-Protect para correo electrnico de Internet Configurar Auto-Protect para Microsoft Outlook Configurar Auto-Protect para Lotus Notes Configurar opciones de notificacin para Auto-Protect
478
Ver "Configurar las opciones que se aplican a los anlisis antivirus y de software espa" en la pgina 460.
Auto-Protect para el sistema de archivos Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect
De forma predeterminada, se habilitan todos los tipos de Auto-Protect. Si los equipos cliente ejecutan otros productos de seguridad de correo electrnico, como Symantec Mail Security, es posible que no necesite habilitar Auto-Protect para el correo electrnico. Ver "Acerca de los anlisis de Auto-Protect" en la pgina 439.
Configurar Auto-Protect Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows
479
1 2 3
En la consola, haga clic en Clientes y, bajo Ver clientes, seleccione el grupo que incluye los equipos para los cuales se desea habilitar Auto-Protect. En el panel derecho, seleccione la ficha Clientes. Realice una de las acciones siguientes:
En el panel izquierdo, bajo Ver clientes, haga clic con el botn secundario en el grupo para el cual desea habilitar Auto-Protect. En el panel derecho, en la ficha Clientes, seleccione los equipos y los usuarios para los cuales desea habilitar Auto-Protect y, despus, haga clic con el botn secundario en la seleccin.
Ejecutar comando en el grupo > Habilitar Auto-Protect Ejecutar comando en los clientes > Habilitar Auto-Protect
En el mensaje que aparece, haga clic en Aceptar. Si desea habilitar o deshabilitar Auto-Protect para el correo electrnico, debe incluir la configuracin en la poltica antivirus y contra software espa.
Nota: Cuando se configuran las opciones de Auto-Protect, es posible hacer clic en el icono del candado que est al lado de la configuracin de Auto-Protect. Los usuarios con los equipos cliente que utilizan esta poltica no pueden modificar las configuraciones bloqueadas.
480
Configurar Auto-Protect Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar Auto-Protect para el sistema de archivos
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Auto-Protect para el sistema de archivos. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para el sistema de archivos. Bajo anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:
En Opciones adicionales, active o desactive Analizar en busca de riesgos de seguridad y Bloquear la instalacin de riesgos de seguridad. Ver "Acerca de anlisis y bloqueo de riesgos de seguridad con Auto-Protect" en la pgina 481.
5 6 7
En Configuracin de red, active o desactive Red para habilitar o deshabilitar el anlisis de Auto-Protect de archivos de red. Si activ Red, haga clic en Configuracin de red. En el cuadro de dilogo Configuracin de red, realice una de las siguientes acciones:
Habilite o deshabilite Auto-Protect para que confe en los archivos de los equipos remotos que ejecutan Auto-Protect. Configure las opciones de memoria cach de la red para los anlisis de Auto-Protect.
8 9
Haga clic en Aceptar. Bajo Configuracin para disquetes, active o desactive Buscar virus de arranque en los disquetes al acceder a ellos. configure la accin que desee que se tome cuando se encuentra un virus de arranque. Es posible limpiarlo del registro de arranque o registrarlo y no hacer nada con l.
Configurar Auto-Protect Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows
481
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y software espa. Pone en cuarentena los archivos infectados. Quita o repara los efectos secundarios de los riesgos de seguridad.
En los casos en que bloquear la instalacin de un riesgo de seguridad no afecta la estabilidad del equipo, Auto-Protect tambin bloquea la instalacin, de forma predeterminada. Si Symantec determina que el bloqueo de un riesgo de seguridad podra poner en peligro la estabilidad de un equipo, Auto-Protect permite la instalacin del riesgo. Auto-Protect tambin toma inmediatamente la medida que se configura para el riesgo. Sin embargo, de vez en cuando quizs sea necesario deshabilitar temporalmente el anlisis de riesgos de seguridad en Auto-Protect y volver a habilitarlo. Puede tambin ser necesario deshabilitar el bloqueo de riesgos de seguridad para controlar el momento en que Auto-Protect reacciona ante ciertos riesgos de seguridad.
482
Configurar Auto-Protect Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows
Nota: No es posible deshabilitar el anlisis de riesgos de seguridad en otros tipos de anlisis. Sin embargo, es posible configurar Symantec Endpoint Protection para que no haga nada con los riesgos de seguridad y registre la deteccin. Puede tambin excluir riesgos especficos de forma global de todos los tipos de anlisis agregndolos a la lista de excepciones centralizadas. Ver "Acerca de las polticas de excepciones centralizadas" en la pgina 639.
1 2 3 4
En la pgina Poltica antivirus y antispyware, haga clic en Auto-Protect para el sistema de archivos. En la ficha Detalles del anlisis, bajo Anlisis, haga clic en Anlisis y supervisin avanzados. Bajo Analizar archivos, especifique qu actividades activan anlisis. Bajo Opciones de deteccin Bloodhound(TM), active o desactive Habilitar deteccin de virus Bloodhound (TM). Es posible tambin modificar el nivel de proteccin.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar Auto-Protect Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows
483
Cuando Auto-Protect detecta una infeccin, enva la informacin a Rtvscan, el servicio principal de Symantec Endpoint Protection. Rtvscan determina si la infeccin se ha originado local o remotamente. Si la infeccin vino de un equipo remoto, Rtvscan puede hacer las siguientes acciones:
Buscar y registrar el nombre del equipo NetBIOS del equipo y su direccin IP. Buscar y registrar al usuario que inici sesin en el equipo en momento del envo. Mostrar la informacin en el cuadro de dilogo Propiedades de riesgos.
Rtvscan sondea cada segundo de forma predeterminada en busca de sesiones de red y guarda en la memoria cach esta informacin como una lista de origen secundaria de equipos remotos. Esta informacin maximiza la frecuencia con la que el Buscador de riesgos puede identificar correctamente el equipo remoto infectado. Por ejemplo, un riesgo puede cerrar el recurso de red compartido antes de que Rtvscan pueda registrar la sesin de red. Entonces, el Buscador de riesgos utilizar la lista de origen secundaria para intentar identificar el equipo remoto. Es posible configurar esta informacin en el cuadro de dilogo Opciones avanzadas de Auto-Protect. La informacin del Buscador de riesgos aparece en el cuadro de dilogo Propiedades del riesgo y slo est disponible para las entradas de riesgos causadas por archivos infectados. Cuando el Buscador de riesgos determina que la actividad del host local caus una infeccin, enumera el origen como el host local. El Buscador de riesgos clasifica un origen como desconocido cuando las condiciones siguientes son verdades:
No logra identificar el equipo remoto. El usuario autenticado para compartir un archivo remite a varios equipos. Esto puede ocurrir cuando un ID de usuario se asocia a varias sesiones de red. Por ejemplo, varios equipos pueden iniciar sesin en un servidor de archivos compartidos con el mismo ID de usuario de servidor.
Es posible registrar la lista completa de los equipos remotos que infectan actualmente el equipo local. Configure el valor de la cadena HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\ AV\ProductControl\Debug a THREATTRACER X en el equipo cliente local. El valor THREATTRACER activa el resultado de la depuracin y la X garantizan que slo aparezcan los resultados de la depuracin relacionados con el Buscador de riesgos. Tambin puede agregar una L para asegurarse de que los resultados se incluyan en el archivo de registro <Carpeta_programa_SAV>\vpdebug.log. Para asegurarse de que no aparezca la ventana de depuracin, agregue XW.
484
Configurar Auto-Protect Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows
Si desea intentar esta opcin, utilice el archivo de prueba de virus Eicar.com, disponible en: www.eicar.org El Buscador de riesgos tambin incluye una opcin para bloquear las direcciones IP de los equipos de origen. Para que esta opcin tenga efecto, es necesario configurar la opcin correspondiente en la poltica de firewall para activar este tipo de bloqueo automtico. Ver "Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows" en la pgina 479.
El equipo cliente descarga nuevas definiciones. Auto-Protect detecta que los archivos pudieron haberse modificado cuando Auto-Protect no estaba en ejecucin.
Es posible deshabilitar la cach de archivos si desea que Auto-Protect analice siempre cada archivo. Si deshabilita la cach de archivos, es posible que esto afecte el rendimiento de los equipos cliente. Es posible tambin configurar los parmetros siguientes:
El tamao de la cach de archivos El tamao predeterminado de la memoria cach es de 10 000 archivos por volumen. Es posible modificar el tamao del memoria cach si desea que Auto-Protect para el sistema de archivos vuelva a analizar ms o menos archivos. Si desea que Auto-Protect vuelva a analizar la memoria cach cuando se cargan nuevas definiciones Es posible que desee deshabilitar este parmetro para mejorar el rendimiento de Auto-Protect para el sistema de archivos. Ver "Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows" en la pgina 479.
Configurar Auto-Protect Cmo configurar Auto-Protect para el sistema de archivos para clientes Mac
485
Las medidas que Auto-Protect toma cuando encuentra un riesgo Los archivos y las carpetas por analizar o excluir de anlisis Si se analizan dispositivos o discos montados, o cmo hacerlo
Nota: Se configura Auto-Protect para el sistema de archivos para clientes Windows por separado. Ver "Cmo configurar Auto-Protect para el sistema de archivos para clientes Windows" en la pgina 479. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar Auto-Protect para el sistema de archivos para clientes Mac
1 2
En la pgina Poltica antivirus y antispyware, en Configuracin de Mac, haga clic en Auto-Protect para el sistema de archivos. En la parte superior de la ficha Detalles del anlisis, haga clic en el icono de bloqueo para bloquear o desbloquear la configuracin de Auto-Protect para el sistema de archivos. Seleccionar o anular la seleccin de cualquiera de las siguientes opciones:
Habilitar Auto-Protect para el sistema de archivos Reparar automticamente los archivos infectados Poner en cuarentena los archivos que no pueden ser reparados Analizar archivos comprimidos
486
En Detalles de anlisis generales, especifique los archivos que Auto-Protect analiza. Nota: Para excluir los archivos del anlisis, es necesario seleccionar Analizar todas las ubicaciones, excepto las carpetas especificadas y, a continuacin, agregar una poltica de excepciones centralizadas para especificar los archivos que se deben excluir. Ver "Configuracin de una excepcin centralizada para los archivos o las carpetas en clientes de Mac" en la pgina 648.
En Detalles de anlisis de disco montado, seleccione o anule la seleccin de cualquiera de las opciones disponibles. Para obtener ms informacin, consulte la ayuda. En la ficha Notificaciones, configure cualquiera de las opciones de notificacin y, a continuacin, haga clic en Aceptar. Ver "Configurar opciones de notificacin para Auto-Protect" en la pgina 490.
487
El cliente de Symantec Endpoint Protection, adems, proporciona el anlisis heurstico del correo electrnico saliente. El anlisis heurstico utiliza la deteccin de virus Bloodhound para identificar los riesgos que se pueden contener en mensajes de salida. Cuando el cliente analiza los mensajes de correo electrnico salientes, el anlisis ayuda a prevenir la extensin de riesgos. Estos riesgos incluyen los gusanos que pueden utilizar clientes de correo electrnico para replicarse y distribuirse a travs de una red. El anlisis del correo electrnico no es compatible con los siguientes clientes de correo:
Clientes IMAP Clientes AOL Correo electrnico basado en HTTP como Hotmail y Yahoo! Correo
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar Auto-Protect para correo electrnico de Internet
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Auto-Protect para correo electrnico de Internet. En la ficha Detalles del anlisis, seleccione o anule la seleccin de Habilitar Auto-Protect para correo electrnico de Internet. En Anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:
4 5 6
Active o desactive Analizar archivos incluidos en archivos comprimidos. Haga clic en Aceptar. En la ficha Acciones, configure las opciones. Ver "Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows" en la pgina 463.
7 8
Haga clic en Aceptar. En la ficha Notificaciones, en Notificaciones por correo electrnico, seleccione o anule la seleccin de cualquiera de las siguientes opciones:
488
10 En la ficha Avanzada, bajo Conexiones cifradas, habilite o deshabilite las 11 En Anlisis heurstico de gusanos en correo masivo, seleccione o anule la
seleccin de Anlisis heurstico de gusanos en el correo saliente.
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Auto-Protect para Microsoft Outlook. En la ficha Detalles del anlisis, seleccione o anule la seleccin de Habilitar Auto-Protect para Microsoft Outlook. En Anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:
4 5
Active o desactive Analizar archivos incluidos en archivos comprimidos. En la ficha Acciones, configure las opciones. Ver "Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows" en la pgina 463.
489
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Auto-Protect para Lotus Notes. En la ficha Detalles del anlisis, seleccione o anule la seleccin de Habilitar Auto-Protect para Lotus Notes. En Anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:
4 5
Active o desactive Analizar archivos incluidos en archivos comprimidos. En la ficha Acciones, configure las opciones. Ver "Cmo configurar acciones para detecciones de virus y riesgos para la seguridad conocidos en clientes Windows" en la pgina 463.
Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros
490
Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros.
Es posible personalizar los mensajes de correo electrnico que se envan para notificar a los usuarios. Nota: Tenga precaucin cuando se configure opciones para notificar a los remitentes y a otros usuarios sobre mensajes de correo electrnico infectados. La direccin del mensaje de correo electrnico infectado puede ser falsificada. Si enva notificaciones, es posible que genere correo electrnico no deseado y aumente el trfico de la red. Los campos variables que usted personaliza para los mensajes y el correo electrnico de las notificaciones son levemente diferentes. Es posible personalizar la informacin del cuerpo del mensaje y la informacin del campo de infeccin. Tabla 26-1 describe los tipos de informacin que es posible personalizar para el cuerpo del mensaje. Tabla 26-1 Campo
Usuario
FechaDeteccin RemitenteDeCorreo
491
Campo
ListaDeDestinatarios
Descripcin
La lista de direcciones a las cuales el correo electrnico con el archivo adjunto infectado fue enviado.
Tabla 26-2 describe los tipos de informacin que es posible personalizar para los campos de la infeccin. Tabla 26-2 Campo Campos de informacin de la infeccin Descripcin
NombreDeRiesgoDeSeguridad Nombre del virus o del riesgo de seguridad detectado. AccinEfectuada La accin efectuada al detectar el virus o el riesgo de seguridad. Puede ser la primera o la segunda accin configurada. Estado del archivo: Infectado, No infectado o Eliminado. Esta variable de mensaje no se usa de forma predeterminada. Para mostrar esta informacin, agregue manualmente esta variable al mensaje. NombreArchivo Nombre del archivo infectado por el virus o el riesgo de seguridad. Nombre y ruta completa del archivo infectado por el virus o el riesgo de seguridad. Nombre del equipo donde se detect el virus o el riesgo de seguridad. Nombre del usuario conectado al detectar el virus o el riesgo de seguridad. Fecha en la que se detect el virus o el riesgo de seguridad.
Estado
RutaYNombreDeArchivo
Equipo
Usuario
FechaDeteccin
NombreDelArchivoAdjuntoOriginal Nombre del archivo adjunto que contiene el virus o el riesgo de seguridad. NombreDeAlmacenamiento El rea afectada de la aplicacin. Por ejemplo, el nombre del almacenamiento puede ser Auto-Protect para el sistema de archivos o Auto-Protect para Lotus Notes.
492
posible tambin desactivar la visualizacin si usted no desea que los resultados aparezcan en los equipos cliente. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para visualizar resultados de Auto-Protect en equipos infectados
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Notificaciones, active o desactive Mostrar el cuadro de dilogo de resultados de Auto-Protect en el equipo infectado. Cuando haya terminado de establecer la configuracin de polticas, haga clic en Aceptar.
El nombre del archivo adjunto El nombre del riesgo Las medidas tomadas El estado de infeccin del archivo
Se pueden personalizar el asunto y el cuerpo del mensaje. El mensaje de correo electrnico contiene un campo llamado RemitenteDeCorreo. Es posible personalizar el mensaje predeterminado. El aviso aparecer ante el destinatario de la siguiente forma:
493
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para agregar avisos de correo electrnico a los mensajes de correo electrnico infectados
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en una de las siguientes opciones:
Activar Auto-Protect para correo electrnico de Internet. Auto-Protect para Microsoft Outlook. Auto-Protect para Lotus Notes.
2 3
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active Insertar un aviso en el mensaje de correo electrnico. Haga clic en Advertencia y realice una de las siguientes acciones:
Haga clic en Aceptar para aceptar el mensaje predeterminado. Personalice el mensaje de advertencia.
494
Para asegurarse de que los destinatarios puedan usar los archivos que usted envi, realice un anlisis de virus en su equipo, limpie cualquier archivo infectado y despus vuelva a enviar este archivo adjunto. Adems, se aade al mensaje la siguiente informacin relativa a cada archivo infectado:
El nombre del archivo adjunto El nombre del riesgo Las medidas tomadas El estado de infeccin del archivo
Tambin es posible personalizar este mensaje. Para notificar a los remitentes de mensajes de correo electrnico infectados
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en una de las siguientes opciones:
Activar Auto-Protect para correo electrnico de Internet. Auto-Protect para Microsoft Outlook. Auto-Protect para Lotus Notes.
2 3 4
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active Enviar correo electrnico al remitente. Haga clic en Remitente. En el cuadro de dilogo Enviar correo electrnico al remitente, en la ficha Mensaje, bajo Texto del mensaje, realice una de las siguientes acciones:
Haga clic en Aceptar para aceptar el mensaje predeterminado. Escriba el asunto, el cuerpo del mensaje y la informacin de la infeccin para que aparezcan en cada mensaje. Luego, haga clic en Aceptar. Es posible hacer clic en Ayuda para obtener informacin sobre las variables que puede utilizar en el mensaje.
Para Auto-Protect para el correo electrnico de Internet solamente, en la ficha Servidor de correo electrnico, escriba la siguiente informacin:
El nombre y el puerto del servidor de correo El nombre de usuario y la contrasea La ruta inversa del correo electrnico
495
El nombre del archivo adjunto El nombre del riesgo Las medidas tomadas El estado de infeccin del archivo
Tambin es posible personalizar este mensaje. Para notificar a otros usuarios sobre mensajes de correo infectado
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en una de las siguientes opciones:
Activar Auto-Protect para correo electrnico de Internet. Auto-Protect para Microsoft Outlook. Auto-Protect para Lotus Notes.
2 3
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active Enviar correo electrnico a otros. Haga clic en Otros.
496
En el cuadro de dilogo Enviar correo electrnico a otros, en la ficha Otros, proporcione una o ms direcciones de correo electrnico a las cuales deben enviarse las notificaciones. Haga clic en la ficha Mensaje y escriba la lnea de asunto, el cuerpo del mensaje y la informacin de infeccin que aparecer en cada mensaje. Es posible hacer clic en Ayuda para obtener informacin sobre las variables que puede utilizar en el mensaje.
Para Auto-Protect para el correo electrnico de Internet solamente, en la ficha Servidor de correo electrnico, escriba la siguiente informacin:
El nombre y el puerto del servidor de correo El nombre de usuario y la contrasea La ruta inversa del correo electrnico
7 8
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Si se debe mostrar o no una ventana de progreso en el equipo cliente cuando se enva un mensaje de correo electrnico. Si se debe mostrar o no un icono en el rea de notificacin para indicar el estado de transmisin del correo electrnico.
Estas opciones estn activadas de forma predeterminada. Para configurar notificaciones de progreso
1 2
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Auto-Protect para correo electrnico de Internet. En la ficha Notificaciones, bajo Notificaciones de progreso, active o desactive las siguientes opciones:
Mostrar un indicador de progreso al enviar correo electrnico. Mostrar un icono en el rea de notificacin.
Captulo
27
Acerca del uso de los anlisis definidos por administrador Cmo configurar un anlisis programado para clientes Windows Cmo configurar un anlisis programado para clientes Mac Cmo configurar un anlisis manual para los clientes Windows Cmo configurar un anlisis manual para los clientes Mac Ejecutar anlisis manuales Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador Configurar opciones avanzadas para anlisis definidos por el administrador
498
Usar anlisis definidos por el administrador Cmo configurar un anlisis programado para clientes Windows
tambin proteger memoria, los puntos de carga y otras ubicaciones importantes en sus equipos cliente. Nota: Para los clientes administrados, Symantec Endpoint Protection proporciona un anlisis programado predeterminado que analiza todos los archivos, carpetas y ubicaciones en los equipos cliente. Algunas opciones para los anlisis definidos por el administrador son similares a las opciones para los anlisis de Auto-Protect. Las opciones similares incluyen las acciones de deteccin y las notificaciones que usted especifica. Ver "Configurar las opciones que se aplican a los anlisis antivirus y de software espa" en la pgina 460.
1 2 3 4
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, en Anlisis programados, haga clic en Agregar. En el cuadro de dilogo Agregar anlisis programado, haga clic en Crear un nuevo anlisis programado. Haga clic en Aceptar.
Usar anlisis definidos por el administrador Cmo configurar un anlisis programado para clientes Windows
499
En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del anlisis, escriba un nombre y una descripcin para este anlisis programado. Haga clic en Active Scan, Anlisis completo o Anlisis personalizado. Si seleccion Personalizado, en Anlisis, es posible especificar qu carpetas se deben analizar. Bajo Tipos de archivos, haga clic en Analizar todos los archivos o Analizar slo las extensiones seleccionadas. Ver "Configurar anlisis de las extensiones de archivo seleccionadas" en la pgina 461.
6 7 8
En Comprobar lo siguiente para mejorar el anlisis, seleccione Memoria, Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y riesgos de seguridad.
10 Haga clic en Opciones de anlisis avanzadas. 11 Configure las opciones para los archivos comprimidos, la migracin del
almacenamiento o la optimizacin del rendimiento.
12 Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis. 13 En la ficha Programacin, en Programacin de anlisis, configure la
frecuencia y la hora en las cuales el anlisis se debe ejecutar.
16 Si desea guardar este anlisis como plantilla, seleccione Guardar una copia
como plantilla de anlisis programado.
500
Usar anlisis definidos por el administrador Cmo configurar un anlisis programado para clientes Mac
1 2 3 4 5 6
En la pgina Poltica antivirus y antispyware, en Configuracin de Mac, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, en Anlisis programados, haga clic en Agregar. En el cuadro de dilogo de Agregar anlisis programados, haga clic en Crear un nuevo anlisis programado y, a continuacin, haga clic en Aceptar. En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del anlisis, escriba un nombre y una descripcin para el anlisis. En Analizar unidades y carpetas, especifique los elementos para analizar. Mueva el control deslizante para establecer la prioridad del anlisis. La prioridad del anlisis en clientes Mac es equivalente a optimizar o ajustar el rendimiento en clientes Windows. La prioridad alta significa que el anlisis se ejecuta tan rpido como sea posible, pero las aplicaciones pueden ejecutarse ms lentamente durante el anlisis. La prioridad baja significa que otras aplicaciones se ejecutan tan rpido como sea posible, pero el anlisis puede ejecutarse ms lentamente. La prioridad media equilibra la velocidad en la cual las aplicaciones y los anlisis se ejecutan.
7 8 9
En la ficha Programacin, en Programacin de anlisis, configure la frecuencia y la hora en las cuales el anlisis se debe ejecutar. Si desea guardar este anlisis como plantilla, seleccione Guardar una copia como plantilla de anlisis programado. Haga clic en Aceptar.
Usar anlisis definidos por el administrador Cmo configurar un anlisis manual para los clientes Windows
501
1 2 3
En la pgina Poltica antivirus y antispyware, en Configuracin de Windows, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis manual del administrador, haga clic en Editar. En el cuadro de dilogo Editar anlisis manual del administrador, en la ficha Detalles del anlisis, bajo Anlisis, haga clic en Editar carpetas. De forma predeterminada, el anlisis incluye todas las carpetas.
En el cuadro de dilogo Editar carpetas, seleccione las carpetas deseadas y haga clic en Aceptar.
502
Usar anlisis definidos por el administrador Cmo configurar un anlisis manual para los clientes Mac
En el cuadro de dilogo Editar anlisis manual del administrador, bajo Tipos de archivos, haga clic en Analizar todos los archivos o Analizar slo las extensiones seleccionadas. Ver "Acerca de analizar extensiones o carpetas seleccionadas" en la pgina 447.
Bajo Comprobar lo siguiente para mejorar el anlisis, marque o deje sin marcar Memoria, Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y riesgos de seguridad. Haga clic en Opciones de anlisis avanzadas. Configure las opciones para los archivos comprimidos, la migracin del almacenamiento o la optimizacin del rendimiento. Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis.
7 8 9
Usar anlisis definidos por el administrador Cmo configurar un anlisis manual para los clientes Mac
503
Ver "Cmo configurar un anlisis manual para los clientes Windows" en la pgina 501. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Advertencia: Si no elige Reparar automticamente los archivos infectados, ningn archivo infectado se pondr en cuarentena, incluso si se elige Poner en cuarentena los archivos que no pueden ser reparados. El software pregunta si desea reparar un archivo infectado. Si no repara el archivo, este queda en el equipo. Si elige Reparar automticamente los archivos infectados, pero no elige Poner en cuarentena los archivos que no pueden ser reparados, se elimina todo archivo infectado. Para configurar un anlisis manual para los clientes Mac
1 2 3 4
En la pgina Poltica antivirus y antispyware, en Configuracin de Mac, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, en Anlisis manual del administrador, haga clic en Editar. En la ficha Detalles del anlisis, en Analizar unidades y carpetas, seleccione los elementos que desee incluir en este anlisis. En Acciones, seleccione o anule la seleccin de las siguientes opciones.
Reparar automticamente los archivos infectados Symantec Endpoint Protection intenta automticamente reparar el archivo infectado cuando se encuentra un riesgo. Si no elige esta opcin, cualquier reparacin debe realizarse manualmente.
Poner en cuarentena los archivos que no Symantec Endpoint Protection pone pueden ser reparados automticamente en cuarentena cualquier archivo que no se pueda reparar.
En la ficha Notificaciones, configure cualquiera de las opciones y, a continuacin, haga clic en Aceptar. Ver "Acerca de los mensajes de notificacin en los equipos infectados" en la pgina 466.
504
Desde la ficha Clientes Desde los registros de estado del equipo que se generan en la ficha Supervisin Ver "Ejecutar comandos y acciones de registros" en la pgina 303.
Para los equipos cliente Windows, es posible ejecutar un anlisis manual personalizado o activo y completo. De forma predeterminada, se incluyen los siguientes elementos en el anlisis:
Todos los directorios Todos los tipos de archivo Memoria Ubicaciones comunes de infecciones Ubicaciones conocidas de virus y riesgos de seguridad
Para los equipos cliente Mac, es posible ejecutar solamente un anlisis manual personalizado. El anlisis personalizado utiliza las opciones establecidas para los anlisis manuales en la poltica antivirus y antispyware. Ver "Cmo configurar un anlisis manual para los clientes Windows" en la pgina 501. Ver "Cmo configurar un anlisis manual para los clientes Mac" en la pgina 502. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Nota: Si se emite un comando de reinicio en un equipo cliente que ejecuta un anlisis manual, el anlisis se detiene y el equipo cliente se reinicia. El anlisis no se reinicia. Para ejecutar un anlisis manual en un grupo
1 2 3
En la consola, haga clic en Clientes. En Ver clientes, haga clic con el botn secundario en el grupo que incluye los equipos que desea analizar. Haga clic en Ejecutar comando en el grupo > Anlisis.
Usar anlisis definidos por el administrador Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
505
4 5 6 7
En el cuadro de dilogo Seleccionar tipo de anlisis, seleccione Active Scan, Anlisis completo o Anlisis personalizado. Haga clic en Aceptar. En el mensaje que aparece, haga clic en S. En el mensaje de confirmacin que aparece, haga clic en Aceptar.
1 2 3 4 5 6 7
En la consola, haga clic en Clientes. En el panel derecho, en Clientes, seleccione los equipos y los usuarios para los cuales desea ejecutar un anlisis. Haga clic con el botn secundario en la seleccin y despus haga clic en Ejecutar comando en los clientes > Anlisis. En el mensaje que aparece, haga clic en S. En el cuadro de dilogo Seleccionar tipo de anlisis, seleccione Active Scan, Anlisis completo o Anlisis personalizado. Haga clic en Aceptar. En el mensaje de confirmacin que aparece, haga clic en Aceptar.
Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
Es posible configurar si el cuadro de dilogo Resultados del anlisis aparece en los equipos cliente. Si permite que el cuadro de dilogo aparezca en los equipos cliente, siempre se permite a los usuarios interrumpir momentneamente o retrasar un anlisis definido por el administrador. Es posible permitir que los usuarios detengan un anlisis por completo. Es posible tambin configurar las opciones sobre cmo los usuarios podrn interrumpir o retrasar los anlisis. Es posible permitir que el usuario realice las siguientes acciones de anlisis:
Interrumpir Cuando un usuario interrumpe el anlisis, el cuadro de dilogo de resultados del anlisis permanece abierto, en espera de que el usuario reanude o cancele el anlisis. Si se apaga el equipo, el anlisis interrumpido no continuar.
506
Usar anlisis definidos por el administrador Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
Posponer
Cuando un usuario pospone un anlisis programado, el usuario tiene la opcin de posponer el anlisis por una o por tres horas. Es posible configurar la cantidad de veces que puede posponerlo. Cuando se pospone un anlisis, el cuadro de dilogo de resultados se cierra; reaparece cuando finaliza el perodo de aplazamiento y se reanuda el anlisis. Cuando un usuario detiene un anlisis, ste generalmente se detiene de inmediato. Si un usuario detiene un anlisis mientras el software de cliente analiza un archivo comprimido, el anlisis no se detiene inmediatamente. En ese caso, la detencin se produce al finalizar el anlisis del archivo comprimido. Los anlisis que se hayan detenido no se reanudarn.
Detener
Los anlisis interrumpidos se reanudan automticamente una vez que transcurre el intervalo de tiempo especificado. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Avanzadas, bajo Opciones de progreso de anlisis, haga clic Mostrar el progreso del anlisis o Mostrar el progreso del anlisis si se detecta un riesgo. Para cerrar automticamente el indicador de progreso del anlisis despus de que el anlisis termine, marque Cerrar la ventana de progreso del anlisis al finalizar. Marque la opcin Permitir al usuario detener el anlisis. Haga clic en Opciones para interrumpir. En el cuadro de dilogo Opciones de pausa del anlisis, realice una de las siguientes acciones:
4 5 6
Para limitar el tiempo durante el que un usuario puede interrumpir un anlisis, marque Limitar el tiempo durante el que puede interrumpirse el anlisis y escriba una cantidad de minutos. El intervalo es de 3 a 180. Para limitar el nmero de veces que un usuario puede retrasar (o posponer) un anlisis, en el cuadro Cantidad mxima de oportunidades para posponer, escriba un nmero entre 1 y 8.
Usar anlisis definidos por el administrador Configurar opciones avanzadas para anlisis definidos por el administrador
507
De forma predeterminada, el usuario puede posponer un anlisis durante una hora. Para modificar este lmite a 3 horas, marque Permitir a los usuarios posponer el anlisis durante 3 horas.
1 2
En la pgina Poltica antivirus y antispyware, haga clic en Anlisis definidos por el administrador. En la ficha Avanzadas, bajo Anlisis programados, active o desactive las siguientes opciones:
Retrasar los anlisis programados cuando el equipo est funcionando con batera Permitir que se ejecuten anlisis programados definidos por el usuario cuando el autor no est conectado Mostrar notificaciones sobre detecciones cuando el usuario inicia sesin
En Anlisis al iniciar y anlisis activados, seleccione o anule la seleccin de las siguientes opciones:
Ejecutar anlisis al iniciar cuando los usuarios inicien sesin Permitir a los usuarios modificar los anlisis al iniciar Ejecutar Active Scan cuando lleguen nuevas definiciones
508
Usar anlisis definidos por el administrador Configurar opciones avanzadas para anlisis definidos por el administrador
Seccin
Captulo 28. Configuracin bsica de la proteccin contra amenazas de red Captulo 29. Configurar la prevencin de intrusiones Captulo 30. Personalizar la proteccin contra amenazas de red
510
Captulo
28
Acerca de Proteccin contra amenazas de red y los ataques de red Acerca del firewall Acerca de trabajar con polticas de firewall Acerca de las normas de firewall Agregar normas vacas Agregar normas con un asistente Agregar normas heredadas de un grupo principal Importar y exportar normas Copiar y pegar normas Alteracin del orden de las normas Activar y desactivar normas Activar el filtro de trfico inteligente Activar configuracin de trfico y de ocultacin Configurar la autenticacin punto a punto
512
Configuracin bsica de la proteccin contra amenazas de red Acerca de Proteccin contra amenazas de red y los ataques de red
Cmo Symantec Endpoint Protection protege los equipos contra ataques de red
El cliente Symantec Endpoint Protection incluye las siguientes herramientas que protegen los equipos de su organizacin contra intentos de intrusin:
513
Firewall
Supervisa todas las comunicaciones de Internet y crea un escudo que bloquea o limita los intentos de ver la informacin en el equipo. Ver "Acerca del firewall" en la pgina 513.
Prevencin de intrusiones
Analiza toda la informacin entrante y saliente en busca de patrones de datos tpicos de un ataque. Ver "Acerca del sistema de prevencin de intrusiones" en la pgina 537.
Internet
Toda la informacin que entra en la red privada o sale de ella debe pasar a travs del firewall, que examina los paquetes de informacin. El firewall bloquea los paquetes que no cumplen con los criterios de seguridad especificados. La manera en que el firewall examina los paquetes de informacin es con el uso de polticas
514
Configuracin bsica de la proteccin contra amenazas de red Acerca de trabajar con polticas de firewall
de firewall. Las polticas de firewall tienen una o ms normas que trabajan juntas para permitir o bloquear el acceso de usuarios a la red. Solamente el trfico autorizado puede pasar. Las polticas de firewall definen el trfico autorizado. El firewall se ejecuta en segundo plano. Usted determina el nivel de interaccin que desea que los usuarios tengan con el cliente permitiendo o bloqueando su capacidad de configurar normas de firewall y opciones del firewall. Los usuarios pueden interactuar con el cliente solamente cuando les notifica sobre nuevas conexiones de red y problemas posibles, o puede ser que tengan total acceso a la interfaz de usuario. Ver "Acerca de las normas de firewall" en la pgina 515. Ver "Acerca de trabajar con polticas de firewall" en la pgina 514.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
515
Filtros de trfico inteligentes Permite los tipos de trfico especficos que son obligatorios en la mayora de las redes, como el trfico DHCP, DNS y WINS. Ver "Activar el filtro de trfico inteligente" en la pgina 533. Configuracin de trfico y modo de ocultacin Detecta y bloquea el trfico que viene de ciertos controladores, de los protocolos y de otras fuentes. Ver "Activar configuracin de trfico y de ocultacin" en la pgina 534. Configuracin de la Bloquea la conexin de un equipo remoto a un equipo cliente autenticacin punto a punto hasta que el equipo cliente haya autenticado ese equipo remoto. Ver "Configurar la autenticacin punto a punto" en la pgina 535.
Es posible configurar una ubicacin en control del cliente o en control mixto de modo que el usuario pueda personalizar las polticas de firewall. Ver "Configurar las opciones de proteccin contra amenazas de red para el control mixto" en la pgina 553. Las polticas de firewall se crean y editan de forma similar a otros tipos de polticas. Puede asignar, quitar, reemplazar, copiar, exportar, importar o eliminar polticas de firewall. Se asigna tpicamente una poltica a varios grupos de su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Debe estar familiarizado con los fundamentos de la configuracin de polticas para trabajar con polticas. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98.
516
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
Una norma que combina todos los criterios puede permitir trfico a la direccin IP 192.58.74.0 en el puerto remoto 80 todos los das entre las 9 y las 5 P.M. Ver "Acerca de las normas de firewall" en la pgina 515.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
517
518
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
Origen y destino
El host de origen y el host de destino dependen de la direccin del trfico. En un caso, el equipo cliente local puede ser el origen, mientras que en otro caso el equipo remoto puede ser el origen. La relacin de origen y destino se utiliza ms comnmente en firewalls basados en redes.
El host local siempre es el equipo del cliente local y el host remoto siempre es un equipo remoto ubicado en otra parte de la red. Esta expresin del vnculo del host es independiente de la direccin del trfico. La relacin local y remota se utiliza ms comnmente en firewalls basados en host, y es una manera ms simple de mirar el trfico.
Figura 28-2 ilustra la relacin de origen y destino con respecto a la direccin del trfico. Figura 28-2 La relacin entre el origen y los host de destino
Origen
` Cliente de SEP HTTP
Destino
Symantec.com
Destino
` Cliente de SEP RDP
Origen
` Otro cliente
Figura 28-3 ilustra la relacin del host local y el host remoto con respecto a la direccin del trfico.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
519
Figura 28-3
Local
` Cliente de SEP HTTP
Remoto
Symantec.com
Local
` Cliente de SEP RDP
Remoto
` Otro cliente
Es posible definir varios hosts de origen y varios hosts de destino. Los hosts que usted define de cualquier lado de la conexin se evalan mediante la instruccin O. La relacin entre los hosts seleccionados se evala mediante una instruccin Y. Por ejemplo, considere una norma que defina un solo host local y varios host remotos. Como el firewall examina los paquetes, el host local debe coincidir con la direccin IP relevante. Sin embargo, las caras de oposicin de la direccin pueden coincidir con cualquier host remoto. Por ejemplo, es posible definir una norma para permitir la comunicacin HTTP entre el host local y symantec.com, yahoo.com, o google.com. La norma es igual que tres normas. Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 556. Ver "Acerca de los elementos de una norma de firewall" en la pgina 516.
520
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
IP
Nmero de protocolo (tipo de IP) Ejemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Ethernet
Tipo de trama Ethernet Ejemplos: Tipo 0x0800 = IPv4, Tipo = 0x8BDD = IPv6, Tipo 0x8137 = IPX
Cuando usted define elementos que activan servicios basados en TCP o UDP, identifica los puertos en ambos lados de la conexin de red descrita. Tradicionalmente, los puertos se consideran el origen o el destino de una conexin de red. Es posible definir la relacin del servicio de red de cualquiera de las siguientes maneras:
Origen y destino El puerto de origen y el puerto de destino dependen de la direccin del trfico. En algn caso, es posible que el equipo cliente local maneje el puerto de origen, mientras que, en otro caso, puede manejarlo el equipo remoto. El equipo host local maneja siempre el puerto local, y el equipo remoto maneja siempre el puerto remoto. Esta expresin del vnculo del puerto es independiente de la direccin del trfico.
Se especifica la direccin del trfico cuando usted define el protocolo. Es posible definir varios protocolos. Por ejemplo, una norma puede incluir los protocolos ICMP, IP y TCP. La norma describe varios tipos de conexiones establecidos entre los equipos cliente identificados o utilizados por una aplicacin. Ver "Acerca de los elementos de una norma de firewall" en la pgina 516.
Ethernet Inalmbrico Acceso telefnico Cualquier VPN Adaptadores virtuales especficos de distribuidores
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
521
Cuando se define un tipo determinado de adaptador, tenga en cuenta cmo se utiliza ese adaptador. Por ejemplo, si una norma permite trfico saliente HTTP de los adaptadores de Ethernet, HTTP se permite a travs de todos los adaptadores instalados del mismo tipo. La nica excepcin es si tambin especifica direcciones del host local. El equipo cliente puede utilizar los servidores multi NIC y las estaciones de trabajo que conectan dos o ms segmentos de la red. Para controlar el trfico concerniente a un adaptador determinado, se debe utilizar el esquema de la direccin de cada segmento en lugar del adaptador mismo. Ver "Acerca de los elementos de una norma de firewall" en la pgina 516.
Prioridad
Primer lugar
Segundo lugar Configuracin de la prevencin de intrusiones, configuracin del trfico y modo de ocultacin Tercer lugar Cuarto lugar Quinto lugar Sexto lugar Filtros de trfico inteligentes Normas de firewall Comprobacin de anlisis de puertos Firmas IPS que se descargan con LiveUpdate
La lista Normas contiene una lnea divisoria azul. La lnea divisoria configura la prioridad de las normas en las siguientes situaciones:
522
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
Cuando el cliente se configura en control mixto. El firewall procesa normas del servidor y normas de clientes. Lista de normas
Figura 28-4
Sobre la lnea divisoria azul, las normas que la poltica hereda toman precedencia sobre las normas que usted crea. Bajo la lnea divisoria azul, las normas que usted crea toman precedencia sobre las normas que la poltica hereda.
Figura 28-5 muestra cmo la lista de normas ordena las normas cuando un subgrupo hereda normas de un grupo principal. En este ejemplo, el grupo de ventas es el grupo principal. El grupo de ventas de Europa hereda del grupo de ventas.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
523
Figura 28-5
Grupo Ventas
Norma 1
Norma 3 Norma 3
Lnea azul
Lnea azul
Lnea azul
Norma 2
Norma 4
Norma 4
Toma precedencia
Norma 2
Control mixto
Control de clientes
524
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
Para los clientes de control mixto, el firewall procesa las normas del servidor y las normas de clientes en un orden determinado. Tabla 28-3 enumera el orden en que el firewall procesa las normas del servidor, las normas de clientes y la configuracin de los clientes. Tabla 28-3 Prioridad de procesamiento de normas del servidor y de normas de clientes Tipo o configuracin de la norma
Normas del servidor con los niveles prioritarios (normas ubicadas sobre la lnea azul en la lista de normas) Normas de clientes Normas del servidor con los niveles prioritarios ms bajos (normas ubicadas bajo la lnea azul en la lista de normas) En el cliente, las normas del servidor ubicadas bajo la lnea azul se procesan despus de normas de clientes. Cuarto lugar Quinto lugar Configuracin de seguridad de los clientes Configuracin especfica de la aplicacin del cliente
Prioridad
Primer lugar
En el cliente, los usuarios pueden modificar las normas de clientes o la configuracin de seguridad, pero no pueden modificar una norma del servidor. Advertencia: Si el cliente est en control mixto, los usuarios pueden crear una norma de cliente que permita todo el trfico. Esta norma anula todas las normas del servidor ubicadas bajo la lnea azul. Ver "Alteracin del orden de las normas" en la pgina 532.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
525
Web hacia el cliente que inici la comunicacin. Una norma debe permitir el trfico saliente inicial antes de que el firewall registre la conexin. La inspeccin de estado permite simplificar las bases de normas, dado que evita la necesidad de crear normas que permitan el trfico en las dos direcciones para el trfico que normalmente slo se inicia en una direccin. El trfico del cliente que se inicia normalmente en una direccin incluye Telnet (puerto 23), HTTP (puerto 80) y HTTPS (puerto 443). Los clientes inician este trfico saliente, de forma que slo es necesario crear una norma que permita el trfico saliente para estos protocolos. El firewall permite el trfico de retorno. Al configurar solamente las normas de salida, se aumenta la seguridad del cliente de las siguientes maneras:
Se reduce la complejidad de las bases de normas. Se elimina la posibilidad de que un gusano o cualquier otro programa malicioso pueda iniciar conexiones con clientes en puertos configurados slo para el trfico de salida. Tambin puede configurar slo las normas de entrada para el trfico con los clientes que no haya sido iniciado por ellos.
La inspeccin de estado es compatible con todas las normas que dirigen el trfico TCP. No es compatible con las normas que filtran el trfico ICMP. Para el trfico ICMP, se deben crear normas que permitan el trfico en ambas direcciones cuando sea necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban respuestas, deber crear una norma que permita el trfico ICMP en ambas direcciones. Ya que el firewall tiene estados incluidos, slo se deben crear las normas que inician una conexin, no las caractersticas de un paquete determinado. Todos los paquetes que pertenecen a una conexin permitida se permiten implcitamente, como una parte integral de esa misma conexin. Ver "Acerca de las normas de firewall" en la pgina 515.
526
aplicacin. Para UDP sin estado, es necesario crear una norma de firewall para permitir la respuesta entrante de la comunicacin UDP. El tiempo de espera de una sesin de UDP finaliza a los 40 segundos si la aplicacin cierra el puerto.
Agregue una norma vaca a la lista y configrela manualmente. Ejecute al Asistente para normas de firewall. Ver "Agregar normas con un asistente" en la pgina 529.
Para simplificar la administracin de la base de normas, es necesario especificar el trfico entrante y saliente en la norma siempre que sea posible. No es necesario crear normas de entrada para el trfico tal como HTTP. El cliente de Symantec Endpoint Protection utiliza la inspeccin de estado para el trfico TCP y no necesita una norma para filtrar el trfico de retorno que los clientes inician. Ver "Acerca de la inspeccin de estado" en la pgina 524. Para agregar normas vacas
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3 4 5
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma vaca. En el cuadro de texto Nombre, escriba un nombre para la norma. En el campo Gravedad, haga clic en la lista desplegable y seleccione una de las siguientes opciones:
527
Haga clic con el botn secundario en el campo Aplicacin, haga clic en Editar y, en el cuadro de dilogo Lista de aplicaciones, defina una aplicacin. Ver "Agregar aplicaciones a una norma" en la pgina 564.
7 8
Haga clic en Aceptar y despus haga clic en Aceptar de nuevo. Haga clic con el botn secundario en el campo Host, haga clic en Editar y, en la lista Host, defina un host. Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 556.
Haga clic en Aceptar y despus haga clic en Aceptar de nuevo. configure una programacin. Ver "Agregar programaciones a una norma" en la pgina 565.
10 Haga clic con el botn secundario en el campo Hora, haga clic en Editar y
11 Haga clic en Aceptar y despus haga clic en Aceptar de nuevo. 12 Haga clic con el botn secundario en el campo Servicio y haga clic en Editar
para agregar o para configurar un servicio de red personalizado. Ver "Agregar servicios de red a una norma" en la pgina 559.
13 Haga clic en Aceptar. 14 Haga clic con el botn secundario en el campo Adaptador y seleccione uno
o ms de los puntos siguientes:
Todos los adaptadores Cualquier VPN Acceso telefnico Ethernet Inalmbrico Ms adaptadores Es posible agregar y seleccionar elementos desde una lista de adaptadores de distribuidores especficos
528
Escribir en el registro de trfico Escribir en el registro de paquetes Enviar alerta de correo electrnico Ver "Configurar mensajes de correo electrnico para sucesos de trfico" en la pgina 568.
El campo Creada el no es editable. Si la poltica es compartida, el campo muestra el trmino Compartido. Si la poltica no es compartida, el campo muestra el nombre del grupo al que la poltica no compartida est asignada.
Agregue otra norma. Agregue la configuracin de filtrado inteligente del trfico o la configuracin de trfico y ocultacin. Ver "Activar el filtro de trfico inteligente" en la pgina 533. Ver "Activar configuracin de trfico y de ocultacin" en la pgina 534. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configuracin bsica de la proteccin contra amenazas de red Agregar normas con un asistente
529
Normas de servicios Norma que se basa en los protocolos que son utilizados por las conexiones de red.
Es posible que deba incluir dos o ms criterios para describir el trfico de red especfico, tal como un protocolo determinado que se origina en un host especfico. Es necesario configurar la norma despus de agregarla, porque el Asistente para agregar normas de firewall no configura nuevas normas con varios criterios. Cuando se familiarice con cmo se definen y se procesan las normas, puede agregar normas vacas y configurar los campos segn sea necesario. Una norma vaca permite todo el trfico. Ver "Agregar normas vacas" en la pgina 526. Para agregar normas con un asistente
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3 4 5 6 7 8 9
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma. En el Asistente para agregar normas de firewall, haga clic en Siguiente. En el panel Seleccionar tipo de norma, seleccione uno de los tipos de normas. Haga clic en Siguiente. Escriba los datos en cada panel para crear el tipo de norma que seleccion. Para las aplicaciones y los hosts, haga clic en Agregar ms para agregar aplicaciones y servicios adicionales. Cuando haya terminado, haga clic en Finalizar. para editar la norma.
10 En la lista de normas, haga clic con el botn secundario en cualquier campo 11 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
530
Configuracin bsica de la proteccin contra amenazas de red Agregar normas heredadas de un grupo principal
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, sobre Lista de normas, marque Heredar normas de firewall del grupo principal. Para quitar las normas heredadas, desactive Heredar normas de firewall del grupo principal.
531
importar un conjunto de normas parcial de una poltica a otra. Para importar normas, primero tiene que exportar las normas a un archivo .dat y tener acceso al archivo. Las normas se agregan en el mismo orden que estn enumeradas en la poltica principal con respecto a la lnea azul. Es posible entonces modificar el orden de procesamiento. Para exportar normas
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3 4
En la pgina Poltica de firewall, haga clic en Normas. En la lista Normas, seleccione las normas que desea exportar, haga clic con el botn secundario y, despus, haga clic en Exportar. En el cuadro de dilogo Exportar poltica, seleccione un directorio para guardar el archivo .dat, escriba un nombre de archivo y haga clic en Exportar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3 4 5 6
En la pgina Poltica de firewall, haga clic en Normas. Haga clic con el botn secundario en la lista de normas y, despus, haga clic en Importar. En el cuadro de dilogo Importar poltica, busque el archivo .dat que contiene las normas de firewall que desea importar y haga clic en Importar. En el cuadro de dilogo de entrada, escriba un nuevo nombre para la poltica y haga clic en Aceptar. Haga clic en Aceptar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
532
Configuracin bsica de la proteccin contra amenazas de red Alteracin del orden de las normas
3 4 5
En la ficha Normas, haga clic con el botn secundario en la norma que usted desea copiar y, despus, haga clic en Copiar norma. Haga clic con el botn secundario en la fila donde usted desea pegar la norma y, despus, haga clic en Pegar norma. Haga clic en Aceptar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina de Polticas de firewall, haga clic en Normas y seleccione la norma que usted desea mover. Realice una de las tareas siguientes:
Para procesar esta norma antes que la norma anterior, haga clic en Subir. Para procesar esta norma despus de la que est debajo de ella, haga clic en Bajar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
Configuracin bsica de la proteccin contra amenazas de red Activar el filtro de trfico inteligente
533
3 4
En la ficha Normas, seleccione la norma que usted desea activar o desactivar y, despus, active o desactive la casilla de verificacin en la columna activada. Haga clic en Aceptar.
Si el cliente enva una solicitud al servidor, el cliente espera cinco segundos para permitir una respuesta entrante. Si el cliente no enva una solicitud al servidor, los filtros no admiten el paquete.
Los filtros inteligentes admiten el paquete si efectu una solicitud. No bloquean los paquetes. Las normas de firewall admiten o bloquean los paquetes. Nota: Para configurar estas opciones en el control mixto, es necesario tambin activar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 182. Para activar los filtros de trfico inteligentes
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Filtrado de trfico inteligente. Si no estn marcadas, marque cualquiera de las siguientes casillas de verificacin:
534
Configuracin bsica de la proteccin contra amenazas de red Activar configuracin de trfico y de ocultacin
4 5
Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin. Ver "Asignar una poltica compartida" en la pgina 106.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Configuracin de trfico y modo de ocultacin. Si an no hay una casilla de verificacin seleccionada, seleccione cualquiera de las casillas de verificacin del cuadro de grupo Configuracin de trfico y del cuadro de grupo Opciones de modo de ocultacin. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
4 5
Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin. Ver "Asignar una poltica compartida" en la pgina 106.
Configuracin bsica de la proteccin contra amenazas de red Configurar la autenticacin punto a punto
535
El equipo remoto tiene Symantec Endpoint Protection y Symantec Network Access Control instalados. El equipo remoto cumple los requisitos de poltica de integridad del host.
Si el equipo remoto pasa la comprobacin de integridad del host, el autenticador permite que el equipo remoto se conecte a l. Si el equipo remoto no pasa la comprobacin de integridad del host, el autenticador contina bloqueando el equipo remoto. Es posible especificar cunto tiempo el equipo remoto estar bloqueado antes de que pueda intentar conectarse con el autenticador de nuevo. Es posible tambin especificar ciertos equipos remotos que se permitirn siempre, incluso si no pasan la comprobacin de integridad del host. Si no activa una poltica de integridad del host para el equipo remoto, el equipo remoto pasa la comprobacin de integridad del host. La informacin de autenticacin punto a punto se muestra en el registro de cliente Enforcer de cumplimiento y en el registro de trfico de proteccin contra amenazas de red. Nota: Trabajos de autenticacin punto a punto en control del servidor y control mixto, pero no en control del cliente.
Advertencia: No active la autenticacin punto a punto para los clientes que estn instalados en el mismo equipo que el servidor de administracin. Si no, el servidor de administracin no puede descargar polticas en el equipo remoto si el equipo remoto no pasa la comprobacin de integridad del host. Para configurar la autenticacin punto a punto
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
536
Configuracin bsica de la proteccin contra amenazas de red Configurar la autenticacin punto a punto
3 4
En el panel Configuracin de la autenticacin punto a punto, marque Activar autenticacin punto a punto. Configure cada uno de los valores que se muestra en la pgina. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
Para permitir que los equipos remotos se conecten al equipo cliente sin ser autenticados, marque Excluir hosts de la autenticacin y haga clic en Hosts excluidos. El equipo cliente permite el trfico a los equipos que se muestran en la lista de hosts.
6 7 8 9
En el cuadro de dilogo Hosts excluidos, haga clic en Agregar para agregar los equipos remotos que no tienen que ser autenticados. En el cuadro de dilogo Host, defina el host segn la direccin IP, el intervalo de IP o la subred y despus haga clic en Aceptar. En el cuadro de dilogo Hosts excluidos, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Captulo
29
Acerca del sistema de prevencin de intrusiones Configurar la prevencin de intrusiones Crear firmas personalizadas de IPS
538
Las firmas IPS de Symantec utilizan un motor basado en secuencias que analiza varios paquetes. Las firmas IPS de Symantec interceptan datos de red en el nivel de las sesiones y capturan segmentos de los mensajes que pasan de un lado a otro entre una aplicacin y la pila de red. Ver "Acerca de las firmas IPS de Symantec" en la pgina 538.
Las firmas IPS personalizadas utilizan un motor basado en paquetes que analiza cada paquete individualmente. Ver "Acerca de las firmas IPS personalizadas" en la pgina 538.
El sistema de prevencin de intrusiones registra los ataques detectados en los registros de seguridad. Es posible permitir a las firmas personalizadas IPS que registren los ataques detectados en el registro Paquete.
539
red que atacan la pila TCP/IP, los componentes del sistema operativo y la capa de aplicacin. Sin embargo, las firmas basadas en paquetes pueden detectar ataques a la pila TCP/IP antes que las firmas basadas en secuencias. El motor basado en paquetes no detecta las firmas que abarcan varios paquetes. El motor IPS basado en paquetes es ms limitado porque no almacena coincidencias parciales y analiza solamente cargas de un solo paquete. Las firmas basadas en paquetes examinan un solo paquete que coincida con una norma. La norma se basa en varios criterios, tales como el puerto, el protocolo, la direccin IP de origen o de destino, el nmero de indicador TCP o una aplicacin. Por ejemplo, una firma personalizada puede supervisar los paquetes de informacin que se reciben en busca de la cadena "phf" en GET / cgi-bin/phf? como indicador de un ataque de un programa CGI. Cada paquete se evala en busca de ese patrn especfico. Si el paquete de trfico coincide con la norma, el cliente permite o bloquea el paquete y registra opcionalmente el suceso en el registro de paquetes. Una firma IPS personalizada incluye los siguientes elementos:
Nombre descriptivo El nombre y la descripcin aparecen en el Registro de seguridad y opcionalmente el Registro de paquetes. Descripcin opcional Gravedad Proporciona un nivel de gravedad para el suceso en el Registro de seguridad si el suceso activa la firma. Direccin del trfico Contenido El contenido es la sintaxis. Utilice la siguiente sintaxis estndar:
rule tipo_de_protocolo, [opciones_de_protocolo,] [opciones_de_protocolo_ip,] msg, content...
rule tipo_de_protocolo, [opciones_de_protocolo,] [opciones_de_protocolo_ip,] = descripcin del trfico. msg = cadena de texto que aparece en el Registro de seguridad. content = cadena que se compara con el componente de la carga en el paquete en busca de una posible coincidencia.
Aplicacin opcional Opcionalmente, es posible proporcionar el nombre de la aplicacin que activa la firma. El motor IPS, entonces, puede coincidir la firma solamente para aplicaciones especficas y no para todas las aplicaciones. Si se proporciona el
540
nombre de la aplicacin, tambin es posible ayudar a reducir los falsos positivos que otras aplicaciones pueden generar.
Accin que se toma cuando el suceso activa la firma. Cuando se activa una firma, el trfico est permitido o bloqueado y esta accin se incorpora en el Registro de seguridad. Es necesario bloquear el trfico si la gravedad es alta. Permita el trfico si solamente desea supervisar el trfico. Es posible escribir el suceso en el Registro de paquetes. El Registro de paquetes contiene un volcado de paquetes de la transaccin.
Las firmas pueden ocasionar falsos positivos porque se basan a menudo en coincidencias con expresiones regulares y cadenas. Las firmas personalizadas utilizan ambos criterios para buscar cadenas al buscar coincidencias con un paquete. De forma predeterminada, el cliente no incluye las firmas personalizadas. Usted crea firmas IPS personalizadas. Ver "Crear firmas personalizadas de IPS" en la pgina 545.
Habilitar la configuracin de prevencin de intrusiones. Ver "Activar opciones de prevencin de intrusiones" en la pgina 541. Modificar el comportamiento de firmas de ataques especficas. Ver "Modificar el comportamiento las firmas IPS de Symantec" en la pgina 542. Excluir equipos especficos del anlisis. Ver "Configurar una lista de equipos excluidos" en la pgina 544. Bloquear un equipo atacante automticamente. Ver " Bloquear un equipo atacante" en la pgina 543. Habilitar notificaciones de prevencin de intrusiones. Ver "Configurar notificaciones de proteccin contra amenazas de red" en la pgina 566. Crear firmas personalizadas de IPS. Ver "Crear firmas personalizadas de IPS" en la pgina 545.
541
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. En la pgina Configuracin, marque las casillas de verificacin siguientes que se apliquen:
542
Activar prevencin de intrusiones Activar la deteccin de negacin de servicio Activar la deteccin de anlisis de puertos
Cuando termine de configurar esta poltica, haga clic en Aceptar. Ver "Configurar una lista de equipos excluidos" en la pgina 544.
Para reducir la posibilidad de un falso positivo. Hay algunos casos en los que una actividad de red benigna puede asemejarse a una firma de ataque. Si recibe repetidas advertencias acerca de posibles ataques y sabe que esos ataques se deben a un comportamiento seguro, puede excluir la firma de ataque que coincida con la actividad benigna. Para reducir el consumo de recursos reduciendo el nmero de firmas de ataques que el cliente comprueba. Sin embargo, debe estar seguro de que una firma de ataque no supone ninguna amenaza antes de excluirla del bloqueo.
Es posible modificar las medidas que el cliente toma cuando el IPS reconoce una firma de ataque. Es posible tambin modificar si el cliente registra el suceso en el registro de seguridad. Nota: Para modificar el comportamiento de una firma IPS personalizada que usted cree o importe, se edita la firma directamente. Para modificar el comportamiento de firmas IPS de Symantec
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 105.
2 3 4
En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones. En la pgina Excepciones, haga clic en Agregar. En el cuadro de dilogo Agregar excepciones de prevencin de intrusiones, realice una de las siguientes acciones para filtrar las firmas:
Para visualizar las firmas de una categora determinada, seleccione una opcin de la lista desplegable Mostrar categora. Para visualizar las firmas clasificadas con una gravedad determinada, seleccione una opcin de la lista desplegable Mostrar gravedad.
543
Seleccione una o ms firmas IPS. Para hacer que el comportamiento de todas las firmas sea igual, haga clic en Seleccionar todos.
6 7 8
Haga clic en Siguiente. En el cuadro de dilogo Accin de la firma, modifique la accin de Bloquear a Permitir o de Permitir a Bloquear. Opcionalmente, modifique la accin de registro de una de las siguientes maneras:
Cambie Registrar el trfico a No registrar el trfico. Cambie No registrar el trfico a Registrar el trfico.
Haga clic en Aceptar. Si desea quitar la excepcin y recuperar el comportamiento de la firma original, seleccione la firma y haga clic en Eliminar.
10 Haga clic en Aceptar. 11 Si desea modificar el comportamiento de otras firmas, repita del paso 3 a 10. 12 Cuando termine de configurar esta poltica, haga clic en Aceptar.
Para quitar la excepcin
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 105.
2 3 4
En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones. En el panel Excepciones, seleccione la excepcin que desea quitar y haga clic en Eliminar. Cuando se le solicite que confirme la eliminacin, haga clic en S.
544
Si configura el cliente al control mixto, es posible especificar si la configuracin est disponible o no en el cliente para que el usuario la active. Si no est disponible, es necesario activarla en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Ver "Configurar las opciones de proteccin contra amenazas de red para el control mixto" en la pgina 553. Las firmas de IPS actualizadas, las firmas actualizadas de negacin de servicio, los anlisis de puertos y la falsificacin de MAC tambin inician una respuesta activa. Para bloquear un equipo atacante
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 105.
2 3 4
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. En la pgina Configuracin, active Bloquear automticamente la direccin IP de un atacante. En el cuadro de texto Nmero de segundos durante los que se bloquea la direccin IP: ... segundos, especifique el nmero de segundos que se deben bloquear los atacantes potenciales. Escriba un nmero entre 1 y 999 999 segundos.
545
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 105.
2 3 4 5
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. Si no est activada, active la opcin Activar hosts excluidos y, despus, haga clic en Hosts excluidos. En el cuadro de dilogo Hosts excluidos, haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable, seleccione uno de los siguientes tipos de hosts:
Escriba la informacin apropiada que se asocia al tipo de hosts que usted seleccion. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
7 8 9
Haga clic en Aceptar. Repita los pasos 4 y 7 para agregar los dispositivos y los equipos adicionales a la lista de equipos excluidos. Para editar o eliminar los hosts excluidos, seleccione una fila y haga clic en Editar o Eliminar.
10 Haga clic en Aceptar. 11 Cuando termine de configurar esta poltica, haga clic en Aceptar.
546
Advertencia: Es necesario est familiarizado con los protocolos TCP, UDP o ICMP antes de desarrollar firmas de prevencin de intrusiones. Una firma incorrectamente creada puede daar la biblioteca IPS personalizada y la integridad de los clientes. Para crear firmas IPS personalizadas, es necesario realizar los pasos siguientes:
1 2 3
En la consola, haga clic en Polticas y en Prevencin de intrusiones. Bajo Tareas, haga clic en Agregar firmas de prevencin de intrusiones personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, escriba un nombre y una descripcin opcional para la biblioteca. El Grupo NetBIOS es un grupo de firmas de muestra con una firma de ejemplo. Es posible editar el grupo existente o agregar un nuevo grupo.
4 5
Para agregar un nuevo grupo, en la ficha Firmas de la lista Grupos de firmas, haga clic en Agregar. En el cuadro de dilogo Grupo de firmas de prevencin de intrusiones, escriba un nombre de grupo y una descripcin opcional, y haga clic en Aceptar. El grupo est activado de forma predeterminada. Si el grupo de firmas est activado, todas las firmas del grupo se activan automticamente. Para conservar el grupo como referencia pero desactivado, desactive la opcin Activar este grupo.
1 2 3 4
Cree una biblioteca IPS personalizada. En la ficha Firmas, bajo Firmas para este grupo, haga clic en Agregar. En el cuadro de dilogo Agregar firma, escriba un nombre y una descripcin opcional para la firma. En la lista desplegable Gravedad, seleccione un nivel de gravedad. Los sucesos que coinciden con las condiciones de la firma se registran con esta gravedad.
En la lista desplegable Direccin, especifique la direccin del trfico que desea que la firma controle.
547
En el campo Contenido, escriba la sintaxis de la firma. Para obtener ms informacin sobre la sintaxis, haga clic en Ayuda.
7 8
Si desea que una aplicacin active la firma, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba el nombre de archivo y una descripcin opcional para la aplicacin. Por ejemplo, para agregar la aplicacin Internet Explorer, escriba el nombre de archivo de las siguientes formas: iexplore o iexplore.exe. Si no especifica un nombre de archivo, cualquier aplicacin puede activar la firma.
Haga clic en Aceptar. La aplicacin agregada queda activada de forma predeterminada. Si desea desactivar la aplicacin hasta un momento posterior, desactive la casilla de verificacin en la columna Activada.
10 En el grupo del cuadro Accin, seleccione la accin que desea que el cliente
tome cuando la firma detecta el suceso:
Bloquear Identifica y bloquea el suceso o el ataque y lo registra en el registro de seguridad. Identifica y permite el suceso o el ataque y lo registra en el registro de seguridad.
Permitir
13 Para agregar firmas adicionales al grupo, repita los pasos del 2 al 12.
Para editar o eliminar una firma, seleccinela y haga clic en Editar o en Eliminar.
14 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 15 Si se le pide, asigne las firmas IPS personalizadas a un grupo.
Ver "Asignar una poltica compartida" en la pgina 106. Es posible tambin asignar varias bibliotecas IPS personalizadas a un grupo. Ver "Asignar varias bibliotecas IPS personalizadas a un grupo" en la pgina 548.
548
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo al cual desee asignar las firmas personalizadas. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Prevencin de intrusiones personalizada. En el cuadro de dilogo Prevencin de intrusiones personalizada para nombre de grupo, marque la casilla de la columna activada para cada biblioteca IPS personalizada que desee asignar a ese grupo. Haga clic en Aceptar.
Si la firma Bloquear todo el trfico se enumera primero, la firma Permitir todo el trfico nunca se aplica. Si la firma Permitir todo el trfico se enumera primero, la firma Bloquear todo el trfico nunca se aplica y todo el trfico HTTP se permite siempre.
549
1 2
Abra una biblioteca IPS personalizada. Agregue o edite una firma. Ver "Para agregar una firma personalizada" en la pgina 546.
En la ficha Firmas, en la tabla Firmas para este grupo, seleccione la firma que desea mover y realice una de las siguientes acciones:
Para procesar esta firma antes que la firma que est sobre ella, haga clic en Subir. Para procesar esta firma despus de la firma que est debajo de ella, haga clic en Bajar.
1 2
Abra una biblioteca IPS personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, en la ficha Firmas, en la tabla Firmas para este grupo, haga clic con el botn secundario en la firma que desea copiar y, a continuacin, haga clic en Copiar. Haga clic con el botn secundario en la lista de firmas y, despus, haga clic en Pegar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
3 4
550
1 2 3 4 5
Cree una biblioteca IPS personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, haga clic en la ficha Variables. Haga clic en Agregar. En el cuadro de dilogo Agregar variable, escriba un nombre y una descripcin opcional para la variable. Agregue una cadena de contenido para el valor variable, de hasta 255 caracteres. Cuando escriba la cadena variable de contenido, siga las mismas guas de sintaxis que se utilizan para escribir valores en el contenido de la firma.
Haga clic en Aceptar. Despus de agregar la variable a la tabla, es posible utilizar la variable en cualquier firma de la biblioteca personalizada.
En la ficha Firmas, agregue o edite una firma. Ver "Para agregar una firma personalizada" en la pgina 546.
En el cuadro de dilogo Agregar firma o Editar firma, en el campo Contenido, escriba el nombre de la variable con un signo de dlar ($) delante de ella. Por ejemplo, si usted crea una variable llamada HTTP para especificar puertos HTTP, escriba lo siguiente: $HTTP
3 4
Haga clic en Aceptar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
Captulo
30
Activar y desactivar Proteccin contra amenazas de red Configurar las opciones de proteccin contra amenazas de red para el control mixto Agregar hosts y grupos de hosts Editar y eliminar grupos de hosts Agregar hosts y grupos de hosts a una norma Agregar servicios de red Editar y eliminar servicios de red personalizados Agregar servicios de red a una norma Activar el uso compartido de archivos e impresoras en la red Agregar adaptadores de red Agregar adaptadores de red a una norma Editar y eliminar adaptadores de red personalizados Agregar aplicaciones a una norma Agregar programaciones a una norma Configurar notificaciones de proteccin contra amenazas de red Configurar la supervisin de aplicaciones de red
552
Personalizar la proteccin contra amenazas de red Activar y desactivar Proteccin contra amenazas de red
El usuario cierra y reinicia el equipo cliente. La ubicacin del cliente cambia de control del servidor a control del cliente. Se configur el cliente para activar la proteccin despus de cierto perodo. Se descarga en el cliente una nueva poltica de seguridad que activa la proteccin.
Es posible tambin activar manualmente la proteccin contra amenazas de red desde los registros de estado del equipo. Ver "Ejecutar comandos y acciones de registros" en la pgina 303. Puede tambin otorgar al usuario del equipo cliente permisos para activar o desactivar la proteccin. Sin embargo, es posible anular la configuracin del cliente. O es posible desactivar la proteccin en el cliente, incluso si los usuarios la han activado. Se puede activar la proteccin incluso si los usuarios la han desactivado. Ver "Configurar opciones de la interfaz de usuario" en la pgina 183. Para activar y desactivar la proteccin contra amenazas de red para un grupo
1 2 3
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo para el cual desee activar o desactivar la proteccin. Realice una de las acciones siguientes:
Para todos los equipos y usuarios del grupo, haga clic con el botn secundario en el grupo, haga clic en Ejecutar comando en el grupo y despus en Activar proteccin contra amenazas de red o Desactivar proteccin contra amenazas de red. Para los usuarios o equipos seleccionados dentro de un grupo, en la ficha Clientes, seleccione los usuarios o equipos. A continuacin, haga clic con el botn secundario en la seleccin y haga clic en Ejecutar comando en
Personalizar la proteccin contra amenazas de red Configurar las opciones de proteccin contra amenazas de red para el control mixto
553
los clientes > activar proteccin contra amenazas de red o Desactivar proteccin contra amenazas de red.
4 5
Configurar las opciones de proteccin contra amenazas de red para el control mixto
Es posible configurar el cliente de modo que los usuarios no tengan ningn control, tengan pleno control o tengan control limitado sobre las opciones de Proteccin contra amenazas de red que pueden configurar. Cuando configure el cliente, utilice las pautas siguientes:
Si configura el cliente para que sea controlado por el servidor, el usuario no podr crear ninguna norma de firewall ni activar opciones de firewall y de prevencin de intrusiones. Si configura el cliente para que sea controlado por el cliente, el usuario puede crear normas de firewall y activar todas las opciones de firewall y de prevencin de intrusiones. Si configura el cliente para que tenga un control mixto, el usuario puede crear normas de firewall y usted decide qu opciones de firewall y de prevencin de intrusiones puede activar el usuario.
Ver "Configurar opciones de la interfaz de usuario" en la pgina 183. Para configurar las opciones de proteccin contra amenazas de red para el control mixto
1 2 3 4 5 6
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo con el nivel de control de usuario que desee modificar. En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin, bajo una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin del modo de control, haga clic en Control mixto y despus haga clic en Personalizar. En la ficha Configuracin de control de clientes y servidores, bajo la categora de Poltica de firewall y Poltica de prevencin de intrusiones, realice una de las siguientes acciones:
554
Para hacer que una opcin del cliente est disponible para que los usuarios la configuren, haga clic en Cliente. Para configurar una opcin del cliente, haga clic en Servidor.
7 8 9
Haga clic en Aceptar. Haga clic en Aceptar. Para cada opcin de firewall y de prevencin de intrusiones que usted establezca en Servidor, active o desactive la opcin en la poltica de firewall o de prevencin de intrusiones. Ver "Activar el filtro de trfico inteligente" en la pgina 533. Ver "Activar configuracin de trfico y de ocultacin" en la pgina 534. Ver "Configurar la prevencin de intrusiones" en la pgina 540.
1 2 3 4
En la consola, haga clic en Polticas. Expanda Componentes de polticas y despus haga clic en Grupos de hosts. Bajo Tareas, haga clic en Agregar un grupo de hosts. En el cuadro de dilogo Grupo de hosts, escriba un nombre y haga clic en Agregar.
555
En el cuadro de dilogo Host, en la lista desplegable Tipo, seleccione uno de los siguientes tipos de hosts:
6 7 8 9
Escriba la informacin apropiada para cada tipo de host. Haga clic en Aceptar. Agregue hosts adicionales, si es necesario. Haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Grupos de hosts. En el panel Grupos de hosts, seleccione el grupo de hosts que desea editar. Bajo Tareas, haga clic en Editar el grupo de hosts. En el cuadro de dilogo Grupo de hosts, edite el nombre del grupo (opcional), seleccione un host y, a continuacin, haga clic en Editar. Para quitar el host del grupo, haga clic en Eliminar y, luego, en S.
5 6 7
En el cuadro de dilogo Host, modifique el tipo de hosts o edite la configuracin de hosts. Haga clic en Aceptar. Haga clic en Aceptar.
556
Personalizar la proteccin contra amenazas de red Agregar hosts y grupos de hosts a una norma
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Grupos de hosts. En el panel Grupos de hosts, seleccione el grupo de hosts que desea eliminar. Bajo Tareas, haga clic en Eliminar el grupo de hosts. Cuando se le solicite confirmacin, haga clic en Eliminar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Host y despus haga clic en Editar. En el cuadro de dilogo Lista de hosts, realice una de las siguientes acciones:
En las tablas Origen y Destino o Local y remota, realice una de las siguientes tareas:
Para activar un grupo de hosts que se haya agregado por medio de la lista Componentes de polticas, vaya al paso 10. Ver "Agregar hosts y grupos de hosts" en la pgina 554. Para agregar un host para la norma seleccionada solamente, haga clic en Agregar.
En el cuadro de dilogo Host, seleccione un tipo de host de la lista desplegable Tipo y escriba la informacin apropiada para cada tipo de host. Para obtener informacin ms detallada sobre cada opcin en este cuadro de dilogo, haga clic en Ayuda.
557
8 9
Agregue hosts adicionales, si es necesario. En el cuadro de dilogo Lista de hosts, para cada host o grupo de hosts que desee que active la norma de firewall, asegrese de que la casilla activada est marcada en la columna.
1 2 3 4
En la consola, haga clic en Polticas. Expanda Componentes de polticas y despus haga clic en Servicios de red. Bajo Tareas, haga clic en Agregar un servicio de red. En el cuadro de dilogo Servicio de red, escriba un nombre para el servicio y haga clic en Agregar.
558
Personalizar la proteccin contra amenazas de red Editar y eliminar servicios de red personalizados
Las opciones se modifican de acuerdo con el protocolo que usted selecciona. Para obtener ms informacin, haga clic en Ayuda.
6 7 8
Complete los campos apropiados y haga clic en Aceptar. Agregue uno o ms protocolos adicionales, segn sea necesario. Haga clic en Aceptar. Es posible agregar el servicio a cualquier norma de firewall.
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Servicios de red. En el panel Servicios de red, seleccione el servicio que desea editar. Bajo Tareas, haga clic en Editar el servicio de red. En el cuadro de dilogo Servicio de red, modifique el nombre del servicio o seleccione el protocolo y haga clic en Editar. Modifique la configuracin del protocolo. Para obtener informacin acerca de las opciones en este cuadro de dilogo, haga clic en Ayuda.
6 7
Personalizar la proteccin contra amenazas de red Agregar servicios de red a una norma
559
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Servicios de red. En el panel Servicios de red, seleccione el servicio que desea eliminar. Bajo Tareas, haga clic en Eliminar el servicio de red. Cuando se le solicite confirmacin, haga clic en S.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Servicio y despus haga clic en Editar. En el cuadro de dilogo Lista de servicios, marque la casilla de verificacin de Activar para cada servicio que desee que active la norma. Para agregar un servicio adicional solamente para la norma seleccionada, haga clic en Agregar. En el cuadro de dilogo Protocolo, seleccione un protocolo de la lista desplegable Protocolo. Complete los campos apropiados. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
4 5 6 7
8 9
560
Personalizar la proteccin contra amenazas de red Activar el uso compartido de archivos e impresoras en la red
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Normas. Agregue una norma en blanco y en la columna Nombre, escribe un nombre para la norma. Ver "Agregar normas vacas" en la pgina 526.
4 5 6 7 8 9
Haga clic con el botn secundario en el campo Servicio y, despus, haga clic en Editar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic en TCP y despus haga clic en Local o remoto. En la lista desplegable Puerto remoto, escriba 88, 135, 139, 445 Haga clic en Aceptar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. en UDP.
10 En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic 11 En la lista desplegable Puerto local, escriba 137, 138
Personalizar la proteccin contra amenazas de red Activar el uso compartido de archivos e impresoras en la red
561
12 En la lista desplegable Puerto remoto, escriba 88 13 Haga clic en Aceptar. 14 En el cuadro de dilogo Lista de servicios, asegrese de que los dos servicios
estn activados y despus haga clic en Aceptar.
16 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 17 Si se le pide, asigne la poltica a una ubicacin.
Ver "Asignar una poltica compartida" en la pgina 106. Para permitir que otros equipos busquen archivos en el cliente
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Normas. Agregue una norma en blanco y en la columna Nombre, escribe un nombre para la norma. Ver "Agregar normas vacas" en la pgina 526.
4 5 6 7 8 9
Haga clic con el botn secundario en el campo Servicio y, despus, haga clic en Editar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic en TCP y despus haga clic en Local o remoto. En la lista desplegable Puerto locales, escriba 88, 135, 139, 445 Haga clic en Aceptar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. en UDP.
10 En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic 11 En la lista desplegable Puerto local, escriba 88, 137, 138 12 Haga clic en Aceptar. 13 En el cuadro de dilogo Lista de servicios, asegrese de que los dos servicios
estn activados y despus haga clic en Aceptar.
562
15 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 16 Si se le pide, asigne la poltica a una ubicacin.
Ver "Asignar una poltica compartida" en la pgina 106.
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. Bajo Tareas, haga clic en Agregar un adaptador de red. En el cuadro de dilogo Adaptador de red, en la lista desplegable Tipo de adaptador, seleccione un adaptador. En el campo Nombre del adaptador, escriba opcionalmente una descripcin. En el cuadro de texto Identificacin del adaptador, escriba la marca del adaptador, con diferenciacin entre maysculas y minsculas. Para encontrar la marca del adaptador, abra una lnea de comandos en el cliente y escriba el texto siguiente:
ipconfig/all
Haga clic en Aceptar. Es posible entonces agregar el adaptador a cualquier norma de firewall.
Personalizar la proteccin contra amenazas de red Agregar adaptadores de red a una norma
563
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Adaptador y despus haga clic en Ms adaptadores. En el cuadro de dilogo Adaptador, realice una de las siguientes acciones:
Para activar la norma para cualquier adaptador, incluso si no est en la lista, haga clic en Aplicar la norma a todos los adaptadores y despus vaya al paso 8. Para activar la norma para los adaptadores seleccionados, haga clic en Aplicar la norma a los siguientes adaptadores y despus active la casilla de verificacin Activado para cada adaptador que desee que active la norma.
5 6
Para agregar un adaptador personalizado para la norma seleccionada solamente, haga clic en Agregar. En el cuadro de dilogo Adaptador de red, seleccione el tipo de adaptador y escriba la marca del adaptador en el campo de texto Identificacin del adaptador. Haga clic en Aceptar. Haga clic en Aceptar. Haga clic en Aceptar.
7 8 9
564
normas que se refieren al adaptador. La configuracin que usted edita se cambia en todas las normas que se refieren al adaptador. Ver "Agregar adaptadores de red" en la pgina 562. Para editar un adaptador de red personalizado
1 2 3 4 5 6
En la consola, haga clic en Polticas. Bajo Componentes de polticas, haga clic en Adaptadores de red. En el panel Adaptadores de red, seleccione el adaptador personalizado que desea editar. Bajo Tareas, haga clic en Editar el adaptador de red. En el cuadro de dilogo Adaptador de red, modifique el tipo, el nombre o el texto de identificacin del adaptador. Haga clic en Aceptar.
1 2 3 4 5
En la consola, haga clic en Polticas. Bajo Componentes de polticas, haga clic en Adaptadores de red. En el panel Adaptadores de red, seleccione el adaptador personalizado que desea eliminar. Bajo Tareas, haga clic en Eliminar el adaptador de red. Cuando se le solicite confirmacin, haga clic en S.
Es posible definir las caractersticas de una aplicacin escribiendo la informacin manualmente. Si no tiene suficiente informacin, puede buscarla en la lista de aplicaciones incorporadas. Es posible definir las caractersticas de una aplicacin buscando en la lista de aplicaciones incorporadas. Las aplicaciones de la lista de aplicaciones incorporadas son las aplicaciones que los equipos cliente de su red ejecutan.
565
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3 4 5
En la pgina Polticas de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, haga clic con el botn secundario en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba uno o varios de los campos siguientes:
Ruta y nombre de archivo Descripcin Tamao, en bytes Fecha en que la aplicacin fue modificada por ltima vez Huella digital de archivos
6 7
1 2 3 4
En la pgina Polticas de firewall, haga clic en Normas. En la ficha Normas, seleccione una norma, haga clic con el botn secundario en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar desde. En el cuadro de dilogo Buscar aplicaciones, busque una aplicacin. Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 124.
Bajo la tabla de Resultados de la consulta, para agregar la aplicacin a la lista Aplicaciones, seleccione la aplicacin, haga clic en Agregar y, a continuacin, en Aceptar. Haga clic en Cerrar. Haga clic en Aceptar.
6 7
566
Personalizar la proteccin contra amenazas de red Configurar notificaciones de proteccin contra amenazas de red
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3 4 5 6 7
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Hora y despus haga clic en Editar. En el cuadro de dilogo Lista de programacin, haga clic en Agregar. En el cuadro de dilogo Agregar programacin, configure el momento de inicio y finalizacin durante el que la norma estar activa o inactiva. En la lista desplegable Mes, active Todos o un mes especfico. Marque una de las siguientes casillas de verificacin:
Todos los das Fines de semana Das de semana Especificar das Si marca Especificar das, elija uno o varios de los das mencionados.
8 9
Haga clic en Aceptar. En la Lista de programacin, realice una de las siguientes acciones:
Para mantener la norma activa durante este tiempo, desactive la casilla en la columna Cualquier momento excepto. Para que la norma quede inactiva durante este tiempo, marque la casilla de verificacin en la columna Cualquier momento excepto.
Personalizar la proteccin contra amenazas de red Configurar notificaciones de proteccin contra amenazas de red
567
Tabla 30-1
Tipo de notificacin
Mostrar notificacin en el Firewall equipo cuando el cliente bloquea una aplicacin Texto adicional que se Firewall mostrar si la accin para una norma de firewall es Preguntar
Mostrar notificaciones de Prevencin de El cliente detecta un ataque de prevencin de prevencin de intrusiones intrusiones intrusiones. Es posible activar o desactivar esta notificacin en el control del servidor o mixto.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3 4
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Notificaciones, active Mostrar notificacin en el equipo cuando el cliente bloquea una aplicacin. Para agregar texto personalizado al mensaje estndar que aparece cuando la accin de una norma es Preguntar, active Texto adicional que se mostrar si la accin para una norma de firewall es "Preguntar". Para cualquier notificacin, haga clic en Establecer texto adicional. En el cuadro de dilogo Introducir texto adicional, escriba el texto adicional que desea mostrar en la notificacin y despus haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
5 6 7
1 2
En la consola, haga clic en Clientes y bajo Ver clientes, seleccione un grupo. En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin, bajo una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas y despus haga clic en Editar configuracin.
568
Personalizar la proteccin contra amenazas de red Configurar notificaciones de proteccin contra amenazas de red
En el cuadro de dilogo Configuracin de controles de interfaz de usuario del cliente para nombre de grupo, haga clic en Control de servidores o Control mixto. Al lado de Control mixto o de Control de servidores, haga clic en Personalizar. Si hace clic en Control mixto, en la ficha Configuracin de control de clientes y servidores , al lado de Mostrar/ocultar notificaciones de prevencin de intrusiones , haga clic en Servidor. A continuacin, haga clic en la ficha Configuracin de la interfaz de usuario del cliente.
6 7 8
En el cuadro de dilogo o la ficha Configuracin de la interfaz de usuario del cliente, haga clic en Mostrar notificaciones de prevencin de intrusiones. Para activar una seal sonora cuando aparece la notificacin, haga clic en Usar sonido al notificar a los usuarios. En el campo de texto Nmero de segundos que se deben mostrar las notificaciones, escriba el nmero de segundos durante los que usted quisiera que la notificacin apareciera. Para agregar texto a la notificacin estndar que aparece, haga clic en Texto adicional. mostrar en la notificacin y despus haga clic en Aceptar.
10 En el cuadro de dilogo Texto adicional, escriba el texto adicional que desea 11 Haga clic en Aceptar. 12 Haga clic en Aceptar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 105.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione una norma, haga clic con el botn secundario en el campo Registro y haga lo siguiente:
Para enviar un mensaje de correo electrnico cuando se activa una norma de firewall, marque Enviar alerta de correo electrnico.
569
Para generar un suceso de registro cuando se activa una norma de firewall, marque Escribir en el registro de trfico y Escribir en el registro de paquetes.
4 5
Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. Configure una alerta de seguridad. Ver "Crear notificaciones de administrador" en la pgina 313.
Configure un servidor de correo. Ver "Establecimiento de la comunicacin entre Symantec Endpoint Protection Manager y los servidores de correo electrnico" en la pgina 364.
Un caballo de Troya atac la aplicacin. La aplicacin fue actualizada con una nueva versin o una actualizacin.
Si sospecha que un caballo de Troya ha atacado una aplicacin, es posible utilizar la supervisin de aplicaciones de red a fin de configurar el cliente para que bloquee la aplicacin. Es posible tambin configurar el cliente para que pregunte a los usuarios si desean permitir o bloquear la aplicacin. La supervisin de aplicaciones de red sigue el comportamiento de una aplicacin en el Registro de seguridad. Si el contenido de una aplicacin se modifica con demasiada frecuencia, es probable que un caballo de Troya haya atacado la aplicacin y que el equipo cliente no sea seguro. Si el contenido de una aplicacin se modifica con menor frecuencia, es probable que se haya instalado un parche y que el equipo cliente sea seguro. Es posible utilizar esta informacin para crear una norma de firewall que permita o bloquee una aplicacin. Es posible agregar aplicaciones a una lista, de modo que el cliente no las supervise. Puede excluir las aplicaciones que usted piense que estn a salvo de un ataque de caballo de Troya, pero que tengan actualizaciones frecuentes y automticas de parches. Es posible desactivar la supervisin de aplicaciones de red si usted confa en que los equipos cliente reciben proteccin antivirus y antispyware adecuada. Puede
570
tambin querer reducir al mnimo el nmero de notificaciones que solicitan a los usuarios que permitan o bloqueen una aplicacin de red. Para configurar la supervisin de aplicaciones de red
1 2 3 4 5
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo y haga clic en Polticas. En la ficha Polticas, bajo Configuracin y polticas independientes de la ubicacin, haga clic en Supervisin de aplicaciones de red. En el cuadro de dilogo Supervisin de aplicaciones de red para nombre de grupo, haga clic en Activar supervisin de aplicaciones de red. En la lista desplegable Cuando se detecta un cambio en una aplicacin, seleccione la accin que el firewall realizar sobre la aplicacin que se ejecuta en el cliente:
Preguntar Pregunta al usuario si desea permitir o bloquear la aplicacin. Bloquear trfico Bloquea la ejecucin de la aplicacin. Permitir y registrar Permite que se ejecute la aplicacin y registra la informacin en el Registro de seguridad. El firewall toma esta medida solamente sobre las aplicaciones que se han modificado.
6 7 8
Si seleccion Preguntar, haga clic en Texto adicional. En el cuadro de dilogo Texto adicional, escriba el texto que desea mostrar bajo el mensaje estndar y despus haga clic en Aceptar. Para excluir una aplicacin de la supervisin, bajo Lista de aplicaciones sin supervisin, realice una de las siguientes acciones:
Para definir una aplicacin manualmente, haga clic en Agregar, complete uno o ms campos y despus haga clic en Aceptar. Para definir una aplicacin desde una lista de aplicaciones incorporadas, haga clic en Agregar desde. Ver "Cmo buscar la informacin sobre las aplicaciones que ejecutan los equipos" en la pgina 124. La funcin de incorporacin de aplicaciones debe estar activada. Ver "Configuracin del servidor de administracin para recopilar la informacin sobre las aplicaciones que los equipos cliente ejecutan" en la pgina 122.
571
La lista de aplicaciones incorporadas supervisa las aplicaciones de red y las que no estn conectadas. Es necesario seleccionar aplicaciones de red solamente de la lista de aplicaciones incorporadas. Despus de agregar aplicaciones a la Lista de aplicaciones sin supervisin, es posible activarlas, desactivarlas, editarlas o eliminarlas.
572
Seccin
Captulo 31. Configurar anlisis de amenazas proactivos TruScan Captulo 32. Configurar el control de aplicaciones y dispositivos Captulo 33. Personalizar polticas de control de aplicaciones y dispositivos
574
Captulo
31
Acerca de los anlisis de amenazas proactivos TruScan Acerca del uso de la configuracin predeterminada de Symantec Acerca de los procesos que detectan los anlisis de amenazas proactivos TruScan Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan Acerca de los procesos que los anlisis de amenazas proactivos TruScan omiten Cmo funcionan los anlisis de amenazas proactivos TruScan con la Cuarentena Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas Informacin sobre las detecciones de amenazas proactivas de TruScan Configurar la frecuencia del anlisis de amenazas proactivo TruScan Configurar notificaciones para anlisis de amenazas proactivos TruScan
576
Configurar anlisis de amenazas proactivos TruScan Acerca de los anlisis de amenazas proactivos TruScan
Qu tipos de amenazas debe buscar el anlisis Con qu frecuencia ejecutar anlisis de amenazas proactivos Independientemente de si las notificaciones deben aparecer en el equipo cliente cuando ocurre una deteccin de una amenaza proactiva
Se habilitan los anlisis de amenazas proactivos TruScan cuando se habilitan las opciones Analizar en busca de caballos de Troya y gusanos, o Analizar en busca de registradores de pulsaciones. Si se deshabilita cualquier opcin, la pgina de estado en el cliente de Symantec Endpoint Protection muestra la proteccin proactiva contra amenazas como deshabilitada. El anlisis de amenazas proactivo est habilitado de forma predeterminada.
Configurar anlisis de amenazas proactivos TruScan Acerca del uso de la configuracin predeterminada de Symantec
577
Nota: Puesto que los anlisis de amenazas proactivos analizan aplicaciones y procesos en busca de anomalas en el comportamiento, pueden afectar el rendimiento de su equipo.
Acerca de los procesos que detectan los anlisis de amenazas proactivos TruScan
Los anlisis de amenazas proactivos detectan los procesos que se comportan como caballos de Troya, gusanos o registradores de pulsaciones. Los procesos generalmente exhiben un tipo de comportamiento que una amenaza puede explotar, por ejemplo, la apertura de un puerto en el equipo de un usuario. Es posible configurar las opciones para algunos tipos de detecciones de amenazas proactivas. Es posible habilitar o deshabilitar la deteccin de procesos que se
578
Configurar anlisis de amenazas proactivos TruScan Acerca de los procesos que detectan los anlisis de amenazas proactivos TruScan
comporten como caballos de Troya, gusanos o registradores de pulsaciones. Por ejemplo, es posible que necesite detectar los procesos que se comportan como caballos de Troya y gusanos, pero no los procesos que se comportan como aplicaciones de registradores de pulsaciones. Symantec mantiene una lista de aplicaciones comerciales que se podran utilizar para propsitos maliciosos. La lista incluye las aplicaciones comerciales que registran las pulsaciones del teclado del usuario. Tambin incluye las aplicaciones que controlan un equipo cliente de forma remota. Es posible que desee saber si estos tipos de aplicaciones estn instaladas en los equipos cliente. De forma predeterminada, los anlisis de amenazas proactivos detectan estas aplicaciones y registran el evento. Es posible especificar diversas acciones de reparacin. Es posible configurar el tipo de correccin que el cliente efecta cuando detecta tipos determinados de aplicaciones comerciales. Las detecciones incluyen las aplicaciones comerciales que supervisan o registran las pulsaciones del teclado de un usuario o que controlan el equipo de un usuario remotamente. Si un anlisis detecta un registrador de pulsaciones comercial o un programa de control remoto comercial, el cliente utiliza la accin configurada en la poltica. Es posible tambin permitir que el usuario controle las acciones. Los anlisis de amenazas proactivos tambin detectan los procesos que se comportan como aplicaciones de publicidad no deseada y spyware. No es posible configurar cmo los anlisis de amenazas proactivos manejan estos tipos de detecciones. Si los anlisis de amenazas proactivos detectan publicidad no deseada o spyware que usted desea permitir en sus equipos cliente, debe crear una excepcin centralizada. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643. Tabla 31-1 describe los procesos que los anlisis de amenazas proactivos detectan. Tabla 31-1 Procesos detectados por los anlisis de amenazas proactivos TruScan Descripcin
Procesos que exhiben caractersticas de caballos de Troya o de gusanos. Los anlisis de amenazas proactivos utilizan la heurstica para buscar los procesos que se comportan como caballos de Troya o gusanos. Estos procesos pueden ser amenazas o no. Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones" en la pgina 587.
Tipo de procesos
Caballos de Troya y gusanos
Configurar anlisis de amenazas proactivos TruScan Acerca de los procesos que detectan los anlisis de amenazas proactivos TruScan
579
Tipo de procesos
Registradores de pulsaciones
Descripcin
Procesos con caractersticas de registradores de pulsaciones. Los anlisis de amenazas proactivos detectan registradores de pulsaciones comerciales, pero tambin detectan todos los procesos desconocidos que exhiben comportamiento de registrador de pulsaciones. Los registradores de pulsaciones son aplicaciones de registro de las pulsaciones del teclado que capturan la actividad de los usuarios. Estas aplicaciones se pueden utilizar para recopilar informacin sobre contraseas y otra informacin vital. Pueden ser amenazas o no. Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones" en la pgina 587.
Aplicaciones comerciales Aplicaciones comerciales conocidas que se pueden utilizar con propsitos maliciosos. Los anlisis de amenazas proactivos detectan varios tipos de aplicaciones comerciales. Es posible configurar acciones para dos tipos: registradores de pulsaciones y aplicaciones de control remoto. Ver "Especificar acciones para las detecciones de aplicaciones comerciales" en la pgina 589. Publicidad no deseada y Procesos que exhiben caractersticas de publicidad no deseada spyware y de spyware. Los anlisis de amenazas proactivos utilizan la heurstica para detectar procesos desconocidos que se comportan como publicidad no deseada y spyware. Estos procesos pueden ser riesgos o no.
Ver "Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan" en la pgina 587. Es posible configurar si el software de cliente enva informacin sobre detecciones de amenazas proactivas a Symantec. Se incluye esta opcin como parte de una poltica antivirus y antispyware. Ver "Enviar informacin sobre anlisis a Symantec" en la pgina 468.
580
Configurar anlisis de amenazas proactivos TruScan Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan
Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan
Los anlisis de amenazas proactivos TruScan a veces devuelven falsos positivos. Estos anlisis buscan aplicaciones y procesos con comportamiento sospechoso en lugar de virus o riesgos de seguridad conocidos. Por su naturaleza, estos anlisis sealan tpicamente elementos que podra no ser necesario detectar. Para la deteccin de caballos de Troya, gusanos o registradores de pulsaciones, es posible elegir utilizar la accin y los niveles de sensibilidad predeterminados que Symantec especifica. O es posible elegir administrar las acciones y los niveles de sensibilidad de la deteccin usted mismo. Si administra las opciones usted mismo, se arriesga a la deteccin de muchos falsos positivos. Si desea administrar las acciones y los niveles de sensibilidad, debe tener en cuenta el impacto sobre su red de seguridad. Nota: Si modifica el nivel de sensibilidad, modifica el nmero total de detecciones. Si modifica el nivel de sensibilidad, es posible que se reduzca el nmero de falsos positivos que los anlisis de amenazas proactivos producen. Symantec recomienda que si usted modifica los niveles de sensibilidad, los modifique gradualmente y supervise los resultados. Si un anlisis de amenazas proactivo detecta un proceso que usted determina que no es un problema, es posible crear una excepcin. Una excepcin garantiza que los anlisis futuros no sealen el proceso. Los usuarios de los equipos cliente pueden tambin crear excepciones. Si hay un conflicto entre una excepcin definida por el usuario y una excepcin definida por el administrador, la excepcin definida por el administrador toma precedencia. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643. Tabla 31-2 indica las tareas para crear un plan para administrar falsos positivos.
Configurar anlisis de amenazas proactivos TruScan Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan
581
Asegrese de que Symantec administre las detecciones de caballos de Troya, gusanos y registradores de pulsaciones.
582
Configurar anlisis de amenazas proactivos TruScan Acerca de los procesos que los anlisis de amenazas proactivos TruScan omiten
Tarea
Asegrese de que los envos estn habilitados.
Descripcin
Las opciones de envos estn incluidas en la poltica antivirus y antispyware. Asegrese de que los equipos cliente estn configurados para enviar informacin automticamente a Symantec Security Response sobre los procesos detectados por los anlisis de amenazas proactivos. Estas opciones estn habilitadas de forma predeterminada. Ver "Enviar informacin sobre anlisis a Symantec" en la pgina 468.
Cree excepciones para Es posible crear una poltica que incluya excepciones para los los falsos positivos que falsos positivos que usted detecta. Por ejemplo, es posible que usted detecta. tenga que ejecutar un determinado proceso o aplicacin en su red de seguridad. Sabe que es seguro ejecutar el proceso en su entorno. Si los anlisis de amenazas proactivos TruScan detectan el proceso, se puede crear una excepcin de modo que los anlisis futuros no detecten el proceso. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643.
Acerca de los procesos que los anlisis de amenazas proactivos TruScan omiten
Los anlisis de amenazas proactivos TruScan permiten ciertos procesos y los eximen de los anlisis. Symantec mantiene esta lista de procesos. Symantec generalmente rellena la lista con las aplicaciones que son falsos positivos conocidos. Los equipos cliente de su red de seguridad reciben peridicamente actualizaciones para la lista cuando descargan nuevo contenido. Los equipos cliente pueden descargar el contenido de varias maneras. El servidor de administracin puede enviar el contenido actualizado. Usted o los usuarios pueden tambin ejecutar LiveUpdate en los equipos cliente. Los anlisis de amenazas proactivos TruScan omiten algunos procesos. Estos procesos pueden incluir las aplicaciones para las cuales Symantec no tiene suficiente informacin o las aplicaciones que cargan otros mdulos. Es posible tambin especificar que los anlisis de amenazas proactivos TruScan omitan ciertos procesos. Usted especifica que los anlisis de amenazas proactivos omitan ciertos procesos creando una excepcin centralizada. Los usuarios de los equipos cliente pueden tambin crear excepciones para los anlisis de amenazas proactivos. Si una excepcin definida por el administrador
Configurar anlisis de amenazas proactivos TruScan Cmo funcionan los anlisis de amenazas proactivos TruScan con la Cuarentena
583
est en conflicto con una excepcin definida por el usuario, los anlisis de amenazas proactivos aplican solamente la excepcin definida por el administrador. El anlisis omite la excepcin de usuario. Ver "Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas" en la pgina 583.
Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas
Es posible crear listas de excepciones propias para que el cliente de Symantec Endpoint Protection compruebe cuando ejecuta anlisis de amenazas proactivo. Se crean estas listas mediante excepciones. Las excepciones especifican el proceso
584
Configurar anlisis de amenazas proactivos TruScan Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas
y la accin que se debe tomar cuando un anlisis de amenazas proactivo detecta un proceso especificado. Es posible crear solamente excepciones para los procesos que no se incluyen en la lista definida por Symantec de procesos y aplicaciones conocidos. Por ejemplo, es posible que desee crear una excepcin para realizar una de las siguientes acciones:
Omitir cierto registrador de pulsaciones comercial Poner en cuarentena una aplicacin determinada que usted no desee ejecutar en los equipos cliente Permitir que se ejecute una aplicacin de control remoto especfica
Para evitar conflictos entre excepciones, los anlisis de amenazas proactivos utilizan el orden de precedencia siguiente:
Excepciones definidas por Symantec Excepciones definidas por el administrador Excepciones definidas por el usuario
La lista definida por Symantec toma siempre precedencia sobre excepciones definidas por el administrador. Las excepciones definidas por el administrador siempre toman precedencia sobre las excepciones definidas por el usuario. Es posible utilizar una poltica de excepciones centralizada para especificar que los procesos detectados conocidos se permiten configurando la accin de deteccin Omitir. Es posible tambin crear una excepcin centralizada para especificar que ciertos procesos no se permiten configurando la accin Poner en cuarentena o Terminar. Los administradores pueden forzar detecciones de amenazas proactivas creando una excepcin centralizada que especifique un nombre de archivo que deben detectar los anlisis de amenazas proactivos. Cuando el anlisis de amenazas proactivo detecta el archivo, el cliente registra el caso. Dado que los nombres de archivo no son exclusivos, es posible que varios procesos utilicen el mismo nombre de archivo. Es posible utilizar detecciones forzadas para ayudarlo a crear excepciones para omitir, poner en cuarentena o terminar un proceso determinado. Cuando un anlisis de amenazas proactivo en el equipo cliente registra la deteccin, sta se convierte en parte de una lista de procesos conocidos. Es posible seleccionar un elemento de la lista cuando usted crea una excepcin para anlisis de amenazas proactivos. Puede configurar una accin determinada para la deteccin. Es posible tambin utilizar el registro de deteccin proactiva bajo la ficha Supervisin en la consola para crear la excepcin. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643.
Configurar anlisis de amenazas proactivos TruScan Informacin sobre las detecciones de amenazas proactivas de TruScan
585
Ver "Ver registros" en la pgina 296. Los usuarios pueden crear excepciones en el equipo cliente con uno de los siguientes mtodos:
La lista Ver Cuarentena El cuadro de dilogo de resultados del anlisis Excepciones centralizadas
Un administrador puede bloquear una lista de excepciones de modo que un usuario no pueda crear ninguna excepcin. Si un usuario cre excepciones antes de que el administrador bloqueara la lista, se deshabilitan las excepciones creadas por el usuario.
586
Configurar anlisis de amenazas proactivos TruScan Informacin sobre las detecciones de amenazas proactivas de TruScan
El cliente utiliza la configuracin predeterminada de Symantec para determinar qu accin tomar sobre los elementos detectados. Si el motor de anlisis determina que el elemento no necesita ser reparado, el cliente registra la deteccin. Si el motor de anlisis determina que el elemento debe ser reparado, el cliente pone en cuarentena el elemento. Nota: Las opciones Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones no se admiten actualmente en los sistemas operativos del servidor de Windows o Windows XP Professional de 64 bits. La opcin Analizar en busca de registradores de pulsaciones no se admite adems en Windows 7. Es posible modificar las opciones en la poltica antivirus y antispyware para los clientes que se ejecutan en sistemas operativos de servidor, pero los anlisis no se ejecutan. En la interfaz de usuario del cliente de los sistemas operativos de servidor, las opciones de anlisis no aparecen disponibles. Si activa las opciones de anlisis en la poltica, estas opciones estn marcadas y no disponibles. La configuracin predeterminada de Symantec tambin se utiliza para determinar la sensibilidad del anlisis de amenazas proactivo. Cuando el nivel de sensibilidad es mayor, se sealan ms procesos. Cuando el nivel de sensibilidad es ms bajo, se sealan menos procesos. El nivel de sensibilidad no indica el nivel de certeza sobre la deteccin. Tampoco afecta el ndice de detecciones positivas falsas. Mientras mayor sea el nivel de sensibilidad, ms falsos positivos y positivos verdaderos detectar el anlisis. Es necesario utilizar la configuracin predeterminada de Symantec para ayudar a reducir al mnimo el nmero de falsos positivos que se detectan. Es posible desactivar la configuracin predeterminada definida por Symantec. Cuando se desactiva la configuracin predeterminada de Symantec, es posible configurar las acciones y el nivel de sensibilidad para la deteccin de caballos de Troya, gusanos o registradores de pulsaciones. En la interfaz de usuario del cliente, las opciones predeterminadas que aparecen no reflejan la configuracin predeterminada de Symantec. Reflejan las opciones predeterminadas que se utilizan cuando se administran las detecciones manualmente. Para las aplicaciones comerciales, es posible especificar las medidas que el cliente toma cuando un anlisis de amenazas proactivo hace una deteccin. Es posible especificar acciones separadas para la deteccin de un registrador de pulsaciones comercial y la deteccin de una aplicacin de control remoto comercial. Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones" en la pgina 587.
Configurar anlisis de amenazas proactivos TruScan Informacin sobre las detecciones de amenazas proactivas de TruScan
587
Ver "Especificar acciones para las detecciones de aplicaciones comerciales" en la pgina 589. Nota: Los usuarios de los equipos cliente pueden modificar las opciones del anlisis de amenazas proactivo si estn desbloqueadas en la poltica antivirus y antispyware. En el equipo cliente, las opciones del anlisis de amenazas proactivo TruScan aparecen bajo Proteccin proactiva contra amenazas.
Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan
De forma predeterminada, los anlisis de amenazas proactivos TruScan detectan caballos de Troya, gusanos y registradores de pulsaciones. Es posible deshabilitar la deteccin de caballos de Troya y gusanos, o de registradores de pulsaciones. Ver "Informacin sobre las detecciones de amenazas proactivas de TruScan" en la pgina 585. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones de tipo de proceso del anlisis. Para especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan
1 2
En la pgina Poltica antivirus y antispyware, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Detalles del anlisis, bajo Anlisis, marque o deje sin marcar Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones. Haga clic en Aceptar.
Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones
Los anlisis de amenazas proactivos TruScan se diferencian de los anlisis antivirus y antispyware. Los anlisis antivirus y antispyware buscan riesgos conocidos. Los anlisis de amenazas proactivos buscan riesgos desconocidos basados en el comportamiento de ciertos tipos de procesos o de aplicaciones. Los anlisis detectan cualquier comportamiento que sea similar al comportamiento de caballos de Troya, de gusanos o registradores de pulsaciones. Ver "Informacin sobre las detecciones de amenazas proactivas de TruScan" en la pgina 585.
588
Configurar anlisis de amenazas proactivos TruScan Informacin sobre las detecciones de amenazas proactivas de TruScan
Cuando se permite que Symantec administre las detecciones, la accin de deteccin es poner en cuarentena positivos verdaderos y slo registrar los falsos positivos. Cuando administra las detecciones usted mismo, es posible configurar la accin de deteccin. Esa accin se utiliza siempre que los anlisis de amenazas proactivos hacen una deteccin. Por ejemplo, es posible que tenga que especificar que el cliente de Symantec Endpoint Protection registre la deteccin de procesos que se comporten como caballos de Troya y gusanos. Cuando el cliente realiza una deteccin, no pone en cuarentena el proceso; slo registra el suceso. Es posible configurar el nivel de sensibilidad. Los anlisis de amenazas proactivos hacen ms detecciones (verdaderos y falsos positivos) cuando configura el nivel de sensibilidad superior. Nota: Si activa esta configuracin, se arriesga a detectar muchos falsos positivos. Es necesario tener en cuenta los tipos de procesos que se ejecuten en su red de seguridad. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones de acciones y sensibilidad de los anlisis. Para especificar la accin y la sensibilidad para los caballos de Troya, los gusanos o los registradores de pulsaciones
1 2
En la pgina Poltica antivirus y antispyware, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Detalles del anlisis, bajo Anlisis, asegrese de activar Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones. Para cualquier tipo de riesgo, desactive Usar los valores definidos por Symantec. Para cualquier tipo de riesgo, configure la accin en Registrar, Terminar o Cuarentena. Se envan notificaciones si una accin se configura en Poner en cuarentena o Terminar, y se han activado notificaciones. (Las notificaciones estn activadas de forma predeterminada). Utilice la accin Terminar con precaucin. En algunos casos, es posible que una aplicacin pierda funcionalidad.
3 4
Mueva el control deslizante a la izquierda o a la derecha para disminuir o aumentar la sensibilidad respectivamente.
Configurar anlisis de amenazas proactivos TruScan Configurar la frecuencia del anlisis de amenazas proactivo TruScan
589
1 2 3
En la pgina Poltica antivirus y antispyware, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Detalles del anlisis, bajo Deteccin de aplicaciones comerciales, establezca la accin en Omitir, Registrar, Finalizar o Cuarentena. Haga clic en Aceptar.
1 2
En la pgina Poltica antivirus y antispyware, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Frecuencia del anlisis, bajo Frecuencia del anlisis, seleccione una de las siguientes opciones:
590
Configurar anlisis de amenazas proactivos TruScan Configurar notificaciones para anlisis de amenazas proactivos TruScan
Con la frecuencia de anlisis predeterminada El software del motor de anlisis determina la frecuencia del anlisis. sta es la opcin predeterminada. Con una frecuencia personalizada de anlisis Si habilita esta opcin, es posible especificar que el cliente analice los nuevos procesos inmediatamente cuando los detecta. Es posible tambin configurar la frecuencia del anlisis.
Configurar anlisis de amenazas proactivos TruScan Configurar notificaciones para anlisis de amenazas proactivos TruScan
591
1 2
En la pgina Poltica antivirus y antispyware, haga clic en Anlisis de amenazas proactivo TruScan. En la ficha Notificaciones, active o desactive cualquiera de las siguientes opciones:
Mostrar un mensaje cuando se produzca una deteccin Avisar antes de terminar un proceso Avisar antes de detener un servicio
592
Configurar anlisis de amenazas proactivos TruScan Configurar notificaciones para anlisis de amenazas proactivos TruScan
Captulo
32
Acerca del control de aplicaciones y dispositivos Acerca de la estructura de una poltica de control de aplicaciones y dispositivos Acerca del control de aplicaciones Acerca del control de dispositivos Acerca de trabajar con control de aplicaciones y dispositivos Activar un conjunto predeterminado de normas de control de aplicaciones Crear una poltica de control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos
Para impedir que software malicioso secuestre aplicaciones en equipos cliente Para impedir la eliminacin por error de datos de los equipos cliente Para restringir las aplicaciones que puedan ejecutarse en un equipo cliente
594
Configurar el control de aplicaciones y dispositivos Acerca de la estructura de una poltica de control de aplicaciones y dispositivos
Para reducir al mnimo la posibilidad de que un equipo se infecte con amenazas de seguridad de un dispositivo perifrico
El control de aplicaciones y dispositivos se implementa en equipos cliente usando una poltica de control de aplicaciones y dispositivos. Una poltica de control de aplicaciones y dispositivos ofrece los siguientes tipos de proteccin para los equipos cliente:
Control de aplicaciones para supervisar las llamadas de la API de Windows hechas en equipos cliente y para controlar el acceso a los archivos, las carpetas, las claves de registro de Windows y los procesos de los clientes. Protege recursos del sistema de las aplicaciones. Ver "Acerca del control de aplicaciones" en la pgina 596. Control de dispositivos para administrar los dispositivos perifricos que pueden asociarse a los equipos. Ver "Acerca del control de dispositivos" en la pgina 602.
Es posible definir cada uno de estos dos tipos de proteccin cuando se crea una nueva poltica de control de aplicaciones y dispositivos. Tambin tiene la opcin de primero agregar el control de aplicaciones o dispositivos y luego el otro tipo de proteccin. Ver "Acerca de la estructura de una poltica de control de aplicaciones y dispositivos" en la pgina 594. Es posible aplicar solamente una Poltica de control de aplicaciones y dispositivos a cada ubicacin dentro de un grupo. Es necesario definir el control de la aplicacin y el del dispositivo en la misma poltica si desea implementar ambos tipos de proteccin. Ver "Acerca de trabajar con control de aplicaciones y dispositivos " en la pgina 602. Nota: La informacin de este captulo se aplica solamente a los equipos cliente de 32 bits. Las Polticas de control de aplicaciones y dispositivos no funcionan en los equipos cliente de 64 bits.
Configurar el control de aplicaciones y dispositivos Acerca de la estructura de una poltica de control de aplicaciones y dispositivos
595
El control de normas intenta acceder a entidades de equipos, como archivos o claves del registro, que supervisa Symantec Endpoint Protection. Se configuran estos diferentes tipos de intentos como condiciones. Para cada condicin, es posible configurar las acciones que se deben tomar cuando se cumple la condicin. Se configuran normas para aplicarlas solamente a ciertas aplicaciones y es posible configurarlas opcionalmente a fin de excluir su aplicacin en otras aplicaciones. Ver "Acerca de las propiedades de la norma de control de aplicaciones " en la pgina 599. Ver "Acerca de las condiciones de normas de control de aplicaciones" en la pgina 599. Ver "Acerca de las propiedades de la condicin de normas de control de la aplicacin " en la pgina 600. Ver "Acerca de las acciones de condicin de normas de control de aplicaciones" en la pgina 601. El control de dispositivos incluye una lista de dispositivos bloqueados y una lista de dispositivos que se excluyen del bloqueo. Es posible agregar estas dos listas y administrar sus contenidos. Figura 32-1 ilustra los componentes del control de aplicaciones y dispositivos y cmo se relacionan entre ellos.
596
Figura 32-1
597
Se utiliza el control de aplicaciones para proteger los equipos cliente de las siguientes maneras:
Proteger valores y claves de registro especficos de Windows. Proteger directorios tales como \WINDOWS\system. Evitar que los usuarios alteren los archivos de configuracin. Proteger los archivos de programa importantes, tales como el directorio principal de Symantec donde se instala el cliente. Proteger procesos especficos o excluir procesos de la proteccin. Controlar el acceso a DLL.
Ver "Crear una poltica de control de aplicaciones y dispositivos" en la pgina 604. Ver "Acerca del modo de prueba" en la pgina 597. Ver "Acerca de normas y conjuntos de normas de control de aplicaciones" en la pgina 597.
598
acciones que permitan, bloqueen y supervisen una tarea dada. Siga este principio para ayudar a mantener las normas ordenadas. Por ejemplo, suponga que desee bloquear intentos de escritura para todas las unidades extrables y desea bloquear aplicaciones para que no manipulen una aplicacin determinada. Para conseguir estos objetivos, es necesario crear dos conjuntos de normas diferentes. No es necesario crear todas las normas necesarias para conseguir estos dos objetivos con un conjunto de normas. Nota: Actualmente, Symantec Endpoint Protection Manager no admite un conjunto de normas que especifique el bloqueo de los intentos de escritura en las unidades de CD o DVD. Es posible seleccionar la opcin en la Poltica de control de aplicaciones y dispositivos, sin embargo, la opcin no se impone. En lugar, se puede crear una Poltica de control de aplicaciones y dispositivos que bloquee las aplicaciones especficas que escriben en las unidades de CD o DVD. Se deben, adems, crear una poltica de integridad del host que configure la clave de registro de Windows para bloquear intentos de escritura en las unidades de CD o DVD. Para obtener la informacin ms actual, consulte el documento de Base de conocimientos de Symantec: Una vez configurada una poltica de control de aplicaciones y dispositivos para bloquear la escritura de CD, la escritura de CD no se bloquea segn lo esperado y el intento de escritura no se registra.. Se aplica una norma a una o ms aplicaciones para definir las aplicaciones que se supervisan. Las normas contienen condiciones. Estas condiciones supervisan las operaciones especificadas en la aplicacin o las aplicaciones que se definen en la norma. Las condiciones definen lo que desea permitir que las aplicaciones hagan o no hagan. Las condiciones contienen las acciones que se deben realizar cuando se observa la operacin que se especifica en la condicin. Nota: Recuerde que las acciones se aplican siempre al proceso que se define en la norma. No se aplican a los procesos que se definen en la condicin. Ver "Crear un nuevo conjunto de normas de control de aplicaciones y agregar una nueva norma al conjunto" en la pgina 606. Ver "Acerca de las propiedades de la norma de control de aplicaciones " en la pgina 599. Ver "Acerca de las condiciones de normas de control de aplicaciones" en la pgina 599. Ver "Acerca de las propiedades de la condicin de normas de control de la aplicacin " en la pgina 600.
599
Ver "Acerca de las acciones de condicin de normas de control de aplicaciones" en la pgina 601.
Nombre Descripcin (opcional) Si la norma est activada o desactivada Una lista de las aplicaciones a las que se les debe aplicar la norma Una lista de las aplicaciones a las que no se les debe aplicar la norma (opcional)
Ver "Acerca de la estructura de una poltica de control de aplicaciones y dispositivos" en la pgina 594.
Intentos de acceso al registro Permite o bloquea el acceso a la configuracin del registro de Windows de un equipo cliente. Es posible permitir o bloquear el acceso a datos, valores y claves del Registro especficos de Windows. Intentos de acceso a archivos Permitir o bloquear el acceso a archivos o carpetas y carpetas especificados en un equipo cliente. Es posible restringir la supervisin de archivos y carpetas a tipos de unidades especficos. Intentos de iniciar procesos Permitir o bloquear la capacidad de iniciar un proceso en un equipo cliente.
600
Condicin
Intentos de terminar procesos
Descripcin
Permite o bloquea la capacidad de terminar un proceso en un equipo cliente. Por ejemplo, es posible bloquear la detencin de una aplicacin determinada. Esta condicin busca las aplicaciones que intentan cerrar una aplicacin especificada.
Ver "Acerca de la estructura de una poltica de control de aplicaciones y dispositivos" en la pgina 594. Ver "Agregar condiciones a una norma" en la pgina 608. Ver "Configurar propiedades de condicin para una norma" en la pgina 609. Ver "Configurar las acciones que se deben tomar cuando se cumple una condicin" en la pgina 611.
Nombre Descripcin (opcional) Si la condicin de la norma est activada o desactivada Una lista de las entidades del equipo que deben ser supervisadas para la condicin Una lista de las entidades del equipo que deben ser excluidas de supervisar la condicin (opcional)
601
Ver "Acerca de la estructura de una poltica de control de aplicaciones y dispositivos" en la pgina 594.
Continuar procesando otras normas. Permita que la aplicacin acceda a la entidad. Bloquee el acceso de la aplicacin a la entidad. Finalizar el proceso de la aplicacin.
Por ejemplo, es posible configurar un conjunto de acciones que se deben realizar cuando un proceso intenta leer una entidad supervisada. Es posible configurar un conjunto de acciones diferente que se deben realizar cuando el mismo proceso intenta crear, eliminar o escribir una entidad supervisada. Es posible configurar una accin en cada caso para tantos procesos como desee. Es posible tambin configurar el control de aplicaciones para registrar los intentos y para mostrar un mensaje personalizado al usuario cuando se produzca un intento. Advertencia: Utilice la accin Terminar proceso cuidadosamente porque puede no tener el efecto que se espera cuando lo utiliza en una norma. Termina el proceso que realiza la accin configurada, no el proceso que el usuario est iniciando actualmente. Por ejemplo, suponga que desee terminar Winword.exe cuando cualquier proceso inicie Winword.exe. Decide crear una norma y la configura con la condicin Intentos de iniciar procesos y la accin Terminar proceso. Se aplica la condicin a Winword.exe y la norma a todos los procesos. Uno puede esperar que esta norma termine Winword.exe, pero eso no es lo que lo hace una norma con esta configuracin. Si intenta iniciar Winword.exe desde Windows Explorer, una norma con esta configuracin termina Explorer.exe, no Winword.exe. Ver "Acerca de la estructura de una poltica de control de aplicaciones y dispositivos" en la pgina 594.
602
Nota: Nunca se debe bloquear un teclado. Por ejemplo, puede decidir bloquear todos los puertos, pero excluir un mouse USB de modo que pueda conectarse a un equipo cliente. En esta situacin, el mouse USB funciona en el equipo cliente aunque ese puerto est bloqueado. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 593. Ver "Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos" en la pgina 616.
Configurar el control de aplicaciones y dispositivos Activar un conjunto predeterminado de normas de control de aplicaciones
603
predeterminada. Para habilitar el controlador, es necesario habilitar una norma existente, o agregar y habilitar una norma nueva en la poltica. Despus de que la poltica se descargue en el equipo cliente, una notificacin solicita que se reinicie el equipo cliente. El usuario debe reiniciar el cliente a fin de habilitar la poltica para proteger el equipo cliente. Si la poltica de control de aplicaciones y dispositivos predeterminada no proporciona la proteccin que se necesita, tiene las siguientes opciones:
Ver "Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos" en la pgina 605. Si quita o deshabilita la poltica de control de aplicaciones y dispositivos, se deshabilita el controlador y no se protege al cliente. Para habilitar la proteccin de nuevo, el usuario debe reiniciar el equipo cliente otra vez. Advertencia: Una poltica de control de aplicaciones y dispositivos es una herramienta de gran alcance que le permite crear polticas personalizadas de aplicacin para su entorno. Sin embargo, los errores de configuracin pueden deshabilitar un equipo o un servidor. El equipo cliente puede fallar, o su comunicacin con Symantec Endpoint Protection Manager se puede bloquear, cuando se implementa una poltica de control de aplicaciones y dispositivos. Si ocurre este tipo de error, no es posible configurar el equipo cliente de forma remota. Su nica opcin puede ser restaurar el equipo cliente localmente. Symantec le recomienda primero utilizar una poltica en modo de prueba antes de implementarla. Es posible buscar errores en el registro de control. Los eventos de control de aplicaciones y dispositivos se incluyen en el registro de control de clientes. Es posible verlos en la consola en el registro de control de aplicaciones y el registro de control de dispositivos.
604
Configurar el control de aplicaciones y dispositivos Crear una poltica de control de aplicaciones y dispositivos
Nota: No edite estos conjuntos de normas de control de aplicaciones predeterminados. Si los conjuntos predeterminados de normas y los controles no cumplen sus requisitos, cree un nuevo conjunto de normas de control de aplicaciones que los cumpla. Si desea utilizar los conjuntos de normas predeterminados en una poltica de control de aplicaciones y dispositivos, debe activarlos. Ver "Acerca de normas y conjuntos de normas de control de aplicaciones" en la pgina 597. Para activar un conjunto predeterminado de normas de control de aplicaciones
1 2 3
En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. En el panel Polticas de control de aplicaciones y dispositivos, haga clic en la poltica a la que desea agregar un conjunto predeterminado de norma de control de aplicaciones. Bajo Tareas, haga clic en Editar la poltica. En el panel Poltica de control de aplicaciones y dispositivos, haga clic en Control de aplicaciones. Para revisar la configuracin en un conjunto predeterminado de normas de control de aplicaciones, haga clic en el nombre que est debajo de Conjunto de normas y haga clic en Editar. Asegrese de no realizar cambios.
4 5 6
7 8 9
Cuando haya finalizado de revisar las normas y la configuracin de condiciones, haga clic en Cancelar. Active la casilla de verificacin que est al lado de cada conjunto de normas que desea activar. Haga clic en Aceptar.
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
605
aplicaciones y dispositivos debe tener control de aplicaciones y control de dispositivos si desea implementar ambos. Es posible asignar solamente una poltica de control de aplicaciones y dispositivos al mismo tiempo a un grupo o a una ubicacin. Ver "Acerca de la estructura de una poltica de control de aplicaciones y dispositivos" en la pgina 594. Para crear y asignar una poltica de control de aplicaciones y dispositivos
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. Bajo Tareas, haga clic en Agregar una poltica de control de aplicaciones y dispositivos. En el panel Descripcin general, en el campo Nombre de la poltica, escriba el nombre de la nueva poltica de control de aplicaciones y dispositivos. El nombre predeterminado para una nueva poltica es Nueva poltica de control de aplicaciones y dispositivos.
En el campo Descripcin, escriba una descripcin de la nueva poltica. Esta informacin es opcional; se utiliza como referencia solamente.
Si no desea aplicar la poltica de forma inmediata, desactive Activar esta poltica. Las nuevas polticas estn, de forma predeterminada, activadas.
Haga clic en Aceptar. Ver "Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos" en la pgina 605. Ver "Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos" en la pgina 616.
Crear un nuevo conjunto de normas de control de aplicaciones. Ver "Crear un nuevo conjunto de normas de control de aplicaciones y agregar una nueva norma al conjunto" en la pgina 606.
606
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
Agregar una o ms normas al conjunto de normas. Ver "Crear un nuevo conjunto de normas de control de aplicaciones y agregar una nueva norma al conjunto" en la pgina 606. Agregar una o ms condiciones a las normas. Ver "Agregar condiciones a una norma" en la pgina 608. Ver "Configurar propiedades de condicin para una norma" en la pgina 609. Configurar las acciones que se tomarn cuando se cumplan las condiciones. Ver "Configurar las acciones que se deben tomar cuando se cumple una condicin" en la pgina 611. Aplicar las condiciones a las entidades. Ver "Aplicar una norma a aplicaciones especficas y excluir aplicaciones de una norma" en la pgina 612. Opcionalmente, excluir las entidades de la aplicacin de las condiciones. Ver "Aplicar una norma a aplicaciones especficas y excluir aplicaciones de una norma" en la pgina 612. Aplicar las normas a los procesos. Ver "Aplicar una norma a aplicaciones especficas y excluir aplicaciones de una norma" en la pgina 612. Opcionalmente, excluir los procesos de la aplicacin de las normas. Ver "Aplicar una norma a aplicaciones especficas y excluir aplicaciones de una norma" en la pgina 612. Activar las normas. Ver "Crear un nuevo conjunto de normas de control de aplicaciones y agregar una nueva norma al conjunto" en la pgina 606. Activar el conjunto de normas. Ver "Activar un conjunto predeterminado de normas de control de aplicaciones" en la pgina 603. Ver "Desactivar los conjuntos de normas de control de aplicaciones y las normas individuales en una Poltica de control de aplicaciones y dispositivos" en la pgina 615.
Crear un nuevo conjunto de normas de control de aplicaciones y agregar una nueva norma al conjunto
Un nuevo conjunto de normas de aplicaciones contiene una o ms normas definidas por el administrador. Cada conjunto de normas y cada norma tienen propiedades. Cada norma puede, adems, contener una o ms condiciones para supervisar aplicaciones y su acceso a los archivos, las carpetas, las claves de registro de Windows y los procesos especificados.
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
607
Es posible crear varias normas y agregarlas a un solo conjunto de normas de control de aplicaciones. Cree tantas normas y tantos conjuntos de normas como sea necesario para implementar la proteccin que desee. Es posible eliminar normas de la lista y modificar su posicin en la jerarqua del conjunto de normas si es necesario. Es posible tambin habilitar y deshabilitar los conjuntos de normas o las normas individuales de un conjunto. El orden en el cual las normas se enumeran es importante para el funcionamiento del control de aplicaciones. Las normas del control de aplicaciones funcionan de manera similar a la mayora de las normas de firewall basadas en redes, ya que ambas utilizan la funcin de coincidencia de la primera norma. Cuando hay varias normas en las que las condiciones son verdaderas, la norma principal es la nica que se aplica a menos que la accin configurada para la norma sea continuar procesando otras normas. Debe considerar el orden de las normas y sus condiciones cuando las configura para evitar consecuencias inesperadas. Considere la situacin siguiente: Suponga que un administrador desea impedir que todos los usuarios muevan, copien y creen archivos en las unidades USB. El administrador tiene una norma existente con una condicin que permite el acceso de escritura en un archivo llamado Test.doc. El administrador agrega una segunda condicin a este conjunto de normas existente para bloquear todas las unidades USB. En esta situacin, los usuarios an pueden crear y modificar un archivo Test.doc en unidades USB. Como la condicin de permitir acceso de escritura en Test.doc est antes de bloquear el acceso de escritura en unidades USB en la norma, la condicin de bloquear acceso de escritura en unidades USB no se procesa cuando la condicin que la precede en la lista es verdadera. Es posible revisar la estructura de los conjuntos de normas predeterminados para ver cmo se construyen. Advertencia: Solamente los administradores avanzados deben crear los conjuntos de normas de control de aplicaciones. Los errores de configuracin en los conjuntos de normas que se utilizan en una poltica de control y aplicaciones pueden deshabilitar un equipo o un servidor. El equipo cliente puede fallar o su comunicacin con Symantec Endpoint Protection Manager se puede bloquear. Para crear un nuevo conjunto de normas y agregar normas a ella
Cree una nueva poltica de control de aplicaciones y dispositivos. Ver "Agregar una poltica compartida" en la pgina 103.
608
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
En el cuadro de dilogo Agregar conjunto de normas de control de aplicaciones, anule la seleccin de Habilitar registro si no desea registrar eventos sobre este conjunto de normas. El registro se activa de forma predeterminada.
4 5 6 7 8 9
En el cuadro de texto de nombre del conjunto de normas, modifique el nombre predeterminado del conjunto de normas. En el campo Descripcin, escriba una descripcin. Modifique el nombre predeterminado de la norma en el cuadro de texto del nombre de la norma y escriba una descripcin. Si no desea de forma inmediata habilitar esta nueva norma, anule la seleccin de Habilitar esta norma. Para agregar una segunda norma, haga clic en Agregar y, despus, haga clic en Agregar norma. Haga clic en Aceptar. Una vez que cree un conjunto de normas y una norma, es necesario definir las aplicaciones a las cuales la norma debe aplicarse. Si es necesario, se debe adems definir cualquier aplicacin que deba excluirse del cumplimiento de la norma. Es posible agregar condiciones a la norma y configurar las acciones que se tomarn si se cumplen las condiciones. Ver "Aplicar una norma a aplicaciones especficas y excluir aplicaciones de una norma" en la pgina 612.
1 2 3 4
En el panel Control de aplicaciones, haga clic en el conjunto de normas que cre y haga clic en Editar. En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en la norma a la cual desea agregar una condicin. Bajo Lista de normas, haga clic en Agregar y, despus, en Agregar condicin. Seleccione una de las condiciones siguientes:
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
609
Intentos de acceso al registro Intentos de acceso a archivos y carpetas Intentos de iniciar procesos Intentos de terminar procesos Intentos de cargar DLL
1 2 3 4
En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en la condicin que desea aplicar. Si lo desea, modifique el nombre predeterminado en el cuadro de texto Nombre y agregue opcionalmente una descripcin. Si desea activar de forma inmediata esta condicin, active Activar esta condicin. A la derecha de Aplicar a la siguiente entidad, donde entidad representa procesos, claves de registro de Windows, archivos y carpetas, o DLL, haga clic en Agregar. En el cuadro de dilogo Agregar definicin de entidad, configure uno de los siguientes conjuntos de opciones:
Para Intentos de acceso al registro, escriba el nombre de la clave de registro de Windows y el nombre y los datos del valor.
610
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida.
Para Intentos de acceso a archivos y carpetas, escriba el nombre del archivo o la carpeta. Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida. Si lo desea, marque los tipos de unidad especficos en los cuales buscar coincidencias con archivos y carpetas. Si lo desea, active Slo buscar coincidencias con archivos del siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID. Para Intentos de iniciar procesos, escriba el nombre del proceso. Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida. Si lo desea, marque los tipos de unidad especficos con los cuales debe coincidir el proceso. Si lo desea, active Slo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID. Si lo desea, haga clic en Opciones para que coincidan los procesos basados en huellas digitales de archivos y para que coincidan solamente los procesos que tienen un argumento designado. Es posible optar por que coincidan los argumentos exactamente o mediante expresiones regulares. Para Intentos de terminar procesos o Intentos de cargar DLL, escriba el nombre del proceso. Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida. Si lo desea, marque los tipos de unidad especficos con los cuales debe coincidir el proceso. Si lo desea, active Slo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID.
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
611
Si lo desea, haga clic en Opciones para buscar coincidencias con los procesos segn la huella digital de archivos.
6 7
Haga clic en Aceptar. A la derecha del panel No aplicar esta norma a los siguientes procesos, haga clic en Agregar y repita la configuracin segn lo deseado. Tiene las mismas opciones para las exclusiones que para las inclusiones.
8 9
Haga clic en los controles adecuados para hacer sus selecciones y escriba la informacin obligatoria en los cuadros de texto. Haga clic en Aceptar. Una vez configuradas las propiedades para la condicin, es necesario configurar las medidas que se toman cuando se cumple la condicin. Ver "Configurar las acciones que se deben tomar cuando se cumple una condicin" en la pgina 611.
Configurar las acciones que se deben tomar cuando se cumple una condicin
Las acciones siguientes estn disponibles para todas las condiciones:
Continuar procesando otras normas Permite que se registre solamente el suceso y seguir procesando otras normas en la lista Para el resto de las acciones, el equipo cliente detiene el procesamiento de normas despus de que el primer criterio coincide Permitir acceso Bloquear acceso Terminar proceso Permite que la operacin contine Impide que se realice la operacin Cierra la aplicacin que ha hecho la solicitud
Nota: Se recomienda utilizar la accin de bloqueo de acceso para impedir una condicin en lugar de utilizar la accin Terminar proceso. La accin Terminar proceso se debe utilizar solamente en configuraciones avanzadas. Ver "Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos" en la pgina 605.
612
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
Para configurar las acciones que se deben tomar cuando se cumple una condicin
1 2
En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en la condicin para la que desea configurar acciones. En la ficha Acciones, realice una de las siguientes acciones:
Para las condiciones Intentos de iniciar proceso e Intentos de terminar procesos, haga clic en una de las siguientes opciones: Continuar que procesa otras normas, Permitir el acceso, Bloquear el acceso o Terminar proceso. Para la condicin Intentos de acceso a DLL, haga clic en una de las siguientes opciones: Continuar que procesa otras normas, Permitir el acceso, Bloquear el acceso o Terminar proceso. Para la condicin Intentos de acceso al registro e Intentos de acceso a archivos y carpetas, puede configurar dos conjuntos de acciones. Un conjunto se aplica cuando hay un intento de lectura; el otro conjunto se aplica cuando hay un intento de creacin, eliminacin o escritura. Bajo Intento de lectura, haga clic en una de las siguientes opciones: Continuar que procesa otras normas, Permitir el acceso, Bloquear el acceso o Terminar proceso.
3 4 5 6
Si lo desea, active Activar el registro y seleccione un nivel de gravedad para asignar a las entradas que se registran. Si lo desea, marque Notificar al usuario y escriba el texto que desea que el usuario vea. Repita los pasos de 2 a 4 para configurar las mismas opciones para los intentos de creacin, eliminacin o escritura. Haga clic en Aceptar.
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
613
En el cuadro de texto Aplicar esta norma a los siguientes procesos, defina un carcter comodn para todos los procesos (*). En el cuadro de texto de No aplicar esta norma a los siguientes procesos, incluya las aplicaciones que necesitan una excepcin.
Es posible definir tantas aplicaciones como desee para cada lista. Nota: Cada norma debe tener, por lo menos, una aplicacin enumerada en el cuadro de texto Aplicar esta norma a los siguientes procesos. Cuando se agregan aplicaciones a una norma, es posible utilizar las maneras siguientes de especificar la aplicacin:
El nombre del proceso Caracteres comodn Expresiones regulares Huellas digitales de archivos Los tipos de unidad desde donde la aplicacin fue iniciada ID de dispositivo
Ver "Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos" en la pgina 605. Para aplicar una norma a aplicaciones especficas
1 2 3
En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en la norma que desea aplicar. Si desea configurar una aplicacin a la cual aplicar la norma, a la derecha de Aplicar esta norma a los siguientes procesos, haga clic en Agregar. En el cuadro de dilogo Agregar definicin de proceso, configure los puntos siguientes:
Escriba el nombre de la aplicacin con la que debe coincidir la norma. Haga clic en Usar un comodn que coincida (se admiten * y ?) o Usar una expresin comn que coincida para que coincida el nombre. Si lo desea, marque los tipos de unidad especficos con los cuales debe coincidir el proceso. Si lo desea, active Slo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de
614
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID.
Si lo desea, haga clic en Opciones para que coincidan los procesos basados en huellas digitales de archivos y para que coincidan solamente los procesos que tienen un argumento designado. Es posible optar por que coincidan los argumentos exactamente o mediante expresiones regulares.
Haga clic en Aceptar. Es posible repetir los pasos 2 a 4 para aadir tantas aplicaciones mientras desee.
Si desea configurar una o ms aplicaciones que se deben excluir de la norma, a la derecha del campo de texto No aplicar esta norma a los siguientes procesos, haga clic en Agregar. Repita la configuracin de las aplicaciones que se deben excluir, segn lo desee. Tiene las mismas opciones cuando se define una aplicacin para excluir que cuando se aplica la norma a una aplicacin.
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en Control de aplicaciones y dispositivos. Haga clic en la poltica que desee editar. Bajo Tareas, haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Haga clic en conjunto de normas de control de aplicaciones que desee mover. Haga clic en Subir o Bajar para modificar su prioridad dentro de la lista.
Configurar el control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
615
8 9
Repita los dos pasos anteriores para cada conjunto de normas que desee repriorizar. Haga clic en Aceptar.
Desactivar los conjuntos de normas de control de aplicaciones y las normas individuales en una Poltica de control de aplicaciones y dispositivos
Es posible que sea necesario desactivar un conjunto determinado de normas del control de aplicaciones en una Poltica de control de aplicaciones y dispositivos sin retirar ni eliminar la poltica entera. Ver "Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos" en la pgina 605. Para desactivar un conjunto de normas de control de aplicaciones en una Poltica de control de aplicaciones y dispositivos
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. Haga clic en la poltica que contiene el conjunto de normas que desee desactivar. Bajo Tareas, haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Desactive la casilla que se encuentra junto al conjunto de normas que desee desactivar. Haga clic en Aceptar. Ha desactivado un nico conjunto de normas sin desactivar la poltica entera.
Para desactivar una norma individual en una Poltica de control de aplicaciones y dispositivos
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. Haga clic en la poltica que contiene la norma que desee desactivar. Bajo Tareas, haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Haga clic en conjunto de normas que contiene la norma que desee desactivar y haga clic en Editar. Bajo Normas, en la lista de normas, haga clic en la norma que desee desactivar.
616
Configurar el control de aplicaciones y dispositivos Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos
8 9
En la ficha Propiedades, desactive Activar esta norma. En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en Aceptar.
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. Haga clic en la poltica que contiene al conjunto de normas del control de aplicaciones que desee modificar. Haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Haga clic en conjunto de normas que desee modificar. Bajo Prueba o produccin, haga clic en la flecha correspondiente de la lista desplegable para visualizar la lista de modos. Haga clic en el nuevo modo. Haga clic en Aceptar.
Configurar el control de aplicaciones y dispositivos Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos
617
1 2 3 4 5 6 7
En el panel Poltica de control de aplicaciones y dispositivos, haga clic en Control de dispositivos. Bajo Dispositivos bloqueados, haga clic en Agregar. Revise la lista de dispositivos de hardware y haga clic en cualquier dispositivo cuyo acceso al equipo cliente desee bloquear. Haga clic en Aceptar. Bajo Dispositivos excluidos del bloqueo, haga clic en Agregar. Revise la lista de dispositivos de hardware y haga clic para seleccionar el dispositivo que desea excluir del bloqueo cuando acceden al equipo cliente. Si no desea que se registre la informacin de control de dispositivos, desactive Registrar los dispositivos bloqueados. La informacin se registra de forma predeterminada.
Si desea que se notifiquen los usuarios, marque Notificar a los usuarios cuando los dispositivos estn bloqueados. Si activ la notificacin, haga clic en Especificar texto del mensaje y escriba el texto que los usuarios deben ver.
618
Configurar el control de aplicaciones y dispositivos Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos
Captulo
33
Acerca de los dispositivos de hardware Obtencin de un ID de clase o un ID de dispositivo Agregar un dispositivo de hardware a la lista Dispositivos de hardware Editar un dispositivo de hardware en la lista Dispositivos de hardware Acerca de la autorizacin del uso de aplicaciones, parches y utilidades Acerca de la creacin y la importacin de una lista de huellas digitales de archivos Acerca del bloqueo del sistema Configurar el bloqueo del sistema
620
Dos valores numricos identifican los dispositivos de hardware: ID del dispositivo e ID de clase. Es posible utilizar cualquiera de estos dos valores para identificar los dispositivos en la lista Dispositivos de hardware. Ver "Acerca de los ID de dispositivo" en la pgina 620. Ver "Acerca de los ID de clase" en la pgina 620. La consola de Symantec Endpoint Protection Manager incluye las listas de los dispositivos que pueden ser bloqueados y de los dispositivos que se pueden excluir del bloqueo, segn sea necesario. Un administrador puede agregar, eliminar o editar dispositivos de la lista. Nota: No es posible editar ni eliminar los dispositivos predeterminados.
621
Lo que sigue es un ID de dispositivo con un comodn que indica cualquier dispositivo de disco USB: USBSTOR\DISK* Lo que sigue es un ID de dispositivo con un comodn que indica cualquier dispositivo de almacenamiento USB: USBSTOR* Ver "Obtencin de un ID de clase o un ID de dispositivo" en la pgina 621. Ver "Acerca de los dispositivos de hardware" en la pgina 619.
En el disco del producto, localice la carpeta \TOOLS\NOSUPPORT\DEVVIEWER y despus descargue la herramienta DevViewer.exe al equipo cliente. En el equipo cliente, ejecute DevViewer.exe. Expanda el rbol Dispositivo y localice el dispositivo para el que desee el ID de dispositivo o el GUID. En el panel derecho, haga clic con el botn secundario en el ID de dispositivo (comienza con [ID de dispositivo]) y despus haga clic en Copiar ID de dispositivo. Haga clic en Salir. En el servidor de administracin, pegue el ID de dispositivo en la lista de dispositivos de hardware.
2 3 4
5 6
1 2 3
En la barra de tareas de Windows, haga clic en Inicio > Configuracin > Panel de control > Sistema. En la ficha Hardware, haga clic en Administrador de dispositivos. En la lista Administrador de dispositivos, haga doble clic en el dispositivo.
622
Personalizar polticas de control de aplicaciones y dispositivos Agregar un dispositivo de hardware a la lista Dispositivos de hardware
En el cuadro de dilogo Propiedades del dispositivo, en la ficha Detalles, seleccione el ID de dispositivo. De forma predeterminada, el ID de dispositivo es el primer valor que se muestra.
5 6
Presione Control+C para copiar la cadena del ID. Haga clic en Aceptar o Cancelar. Ver "Agregar un dispositivo de hardware a la lista Dispositivos de hardware" en la pgina 622.
1 2 3 4
En la consola, haga clic en Polticas. Bajo Componentes de polticas, haga clic en Dispositivos de hardware. Bajo Tareas, haga clic en Agregar un dispositivo de hardware. Escriba el nombre del dispositivo que desee agregar. Los ID de clase y de Dispositivo se incluyen entre llaves por convencin.
5 6
Active ID de clase o ID del dispositivo y pegue el ID que copi del Administrador de dispositivos de Windows o de la herramienta DevViewer. Es posible usar los caracteres comodn para definir un conjunto de ID del dispositivo. Por ejemplo, es posible utilizar la siguiente cadena: *IDE\CDROM*. Ver "Obtencin de un ID de clase o un ID de dispositivo" en la pgina 621.
Personalizar polticas de control de aplicaciones y dispositivos Editar un dispositivo de hardware en la lista Dispositivos de hardware
623
1 2 3 4 5 6
En la consola, haga clic en Polticas. Bajo Componentes de polticas, haga clic en Dispositivos de hardware. En la lista Dispositivos de hardware, haga clic en el dispositivo de hardware que desea editar. Haga clic en Eliminar el dispositivo de hardware. Edite el nombre del dispositivo, el ID de clase o el ID del dispositivo. Haga clic en Aceptar. La informacin actualizada del dispositivo se visualiza en la lista Identificacin.
624
Personalizar polticas de control de aplicaciones y dispositivos Acerca de la creacin y la importacin de una lista de huellas digitales de archivos
ltimo, configure la accin que se realizar sobre el cliente cuando una aplicacin no aprobada intente acceder a ese equipo. Por ejemplo, cree una lista de huellas digitales de archivos para cada tipo de cliente del entorno. Asuma que el entorno contiene clientes Windows Vista de 32 bits, Windows Vista de 64 bits y Windows XP SP2. Ejecute el archivo Checksum.exe en una imagen de cada uno de estos tres tipos de clientes que existan en su entorno. Checksum.exe genera huellas digitales de archivos para todas las aplicaciones de cada tipo de cliente y las coloca en una lista de huellas digitales de archivos. En este ejemplo, obtendr tres listas de huellas digitales de archivos: una para cada imagen. A continuacin, utilice Symantec Endpoint Protection para crear una lista de huellas digitales de archivos a la cual se agregarn las tres listas de huellas digitales de archivos que usted gener: una lista de huellas digitales de archivos para cada tipo de cliente. A continuacin, defina qu accin realiza Symantec Endpoint Protection cuando una aplicacin no aprobada intenta acceder a un equipo cliente. Es posible desactivar el bloqueo del sistema y permitir el acceso de la aplicacin. Es posible optar por solamente registrar las aplicaciones no aprobadas. Para obtener mayor proteccin, es posible activar el bloqueo del sistema en el equipo cliente al cual la aplicacin no autorizada est intentando acceder. Ver "Acerca de la creacin y la importacin de una lista de huellas digitales de archivos" en la pgina 624.
Personalizar polticas de control de aplicaciones y dispositivos Acerca de la creacin y la importacin de una lista de huellas digitales de archivos
625
Es posible ejecutar esta herramienta desde la lnea de comandos. Checksum.exe crea un archivo de texto que contiene una lista de todos los archivos ejecutables en ese equipo y sus sumas de comprobacin correspondientes. Ver "Crear una lista de huellas digitales de archivos" en la pgina 625. Es posible usar Symantec Endpoint Protection Manager para importar las listas de huellas digitales de archivos para cada tipo de equipo cliente en una lista de huellas digitales de archivos principales. Tambin es posible agregar huellas digitales para los archivos individuales que usted desee autorizar. Por ejemplo, es posible crear una lista de huellas digitales de archivos para cada tipo de cliente del entorno. Asuma que el entorno contiene clientes Windows Vista de 32 bits, Windows Vista de 64 bits y Windows XP SP2. Ejecute la utilidad de suma de comprobacin en una imagen de cada uno de estos tres tipos de clientes que exista en el entorno. Despus, es posible importar las tres listas de huellas digitales de archivos en Symantec Endpoint Protection Manager. Ver "Cmo importar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager" en la pgina 628. Tambin es posible combinar varias listas de huellas digitales de archivos de una poltica compartida. Ver "Cmo combinar listas de huellas digitales de archivos en Symantec Endpoint Protection Manager " en la pgina 628. Tambin es posible eliminar las huellas digitales de archivos si ya no las usa en su configuracin. Ver "Eliminar una lista de huellas digitales de archivos" en la pgina 629.
626
Personalizar polticas de control de aplicaciones y dispositivos Acerca de la creacin y la importacin de una lista de huellas digitales de archivos
0bb018fad1b244b6020a40d7c4eb58b7 35162d98c2b445199fef95e838feae4b 77e4ff0b73bc0aeaaf39bf0c8104231f f59ed5a43b988a18ef582bb07b2327a7 60e1604729a15ef4a3b05f298427b3b1 4f3ef8d2183f927300ac864d63dd1532 dcd15d648779f59808b50f1a9cc3698d eeaea6514ba7c9d273b5e87c4e1aab30 0a7782b5f8bf65d12e50f506cad6d840 9a6d7bb226861f6e9b151d22b977750d d97e4c330e3c940ee42f6a95aec41147
c:\dell\openmanage\remind.exe c:\dell\pnp\m\co\HSFCI008.dll c:\dell\pnp\m\co\HSFHWBS2.sys c:\dell\pnp\m\co\HSF_CNXT.sys c:\dell\pnp\m\co\HSF_DP.sys c:\dell\pnp\m\co\HXFSetup.exe c:\dell\pnp\m\co\MdmXSdk.dll c:\dell\pnp\m\co\MDMXSDK.sys c:\dell\pnp\mgmt\drac2wdm.sys c:\dell\pnp\mgmt\racser.sys c:\dell\pnp\n\bc\b57xp32.sys
Vaya al equipo que contiene la imagen para la que desea crear una lista de huellas digitales de archivos. El equipo debe tener el software de cliente Symantec Endpoint Protection instalado. Abra una ventana de la lnea de comandos. Desplcese hasta el directorio que contiene el archivo Checksum.exe. De forma predeterminada, este archivo se encuentra en la siguiente ubicacin: C:\Archivos de programa\Symantec\Symantec Endpoint Protection
2 3
donde outputfile es el nombre del archivo de texto que contiene las sumas de comprobacin para todos los archivos ejecutables que se encuentran en la unidad especificada. El archivo de salida es un archivo de texto (outputfile.txt). Lo que sigue es un ejemplo de la sintaxis que utiliza:
checksum.exe cdrive.txt c:\
Este comando crea un archivo que se llama cdrive.txt. Contiene las sumas de comprobacin y las rutas de los archivos de todos los archivos ejecutables y DLL que se encontraron en la unidad de C del equipo cliente en el que se ejecut.
Cmo editar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager
No es posible editar directamente una lista de huellas digitales de archivos existente. En cambio, es posible aadir una lista existente de huellas digitales a
Personalizar polticas de control de aplicaciones y dispositivos Acerca de la creacin y la importacin de una lista de huellas digitales de archivos
627
una lista que usted cre de Checksum.exe. Tambin se puede combinar una lista existente de huellas digitales con otra lista de huellas digitales ya importada. Ver "Acerca de la creacin y la importacin de una lista de huellas digitales de archivos" en la pgina 624. Si desea combinar listas de huellas digitales en una lista nueva con un nombre diferente, use el Asistente para agregar huellas digitales de archivos. Ver "Cmo combinar listas de huellas digitales de archivos en Symantec Endpoint Protection Manager " en la pgina 628. Para editar una lista de huellas digitales de archivos
1 2 3 4 5 6
En la consola, haga clic en Polticas. En Ver polticas, expanda Componentes de polticas y, a continuacin, haga clic en Listas de huellas digitales de archivos. En el panel Listas de huellas digitales de archivos, seleccione la lista de la huella digital que desee editar. Haga clic en Editar. En el Asistente para editar huellas digitales de archivos, haga clic en Siguiente. Realice uno de los pasos siguientes:
Elija Agregar un archivo de huella digital a esta huella digital de archivo para agregar un nuevo archivo al archivo existente y haga clic en Siguiente. Haga clic en Agregar otra huella digital de archivo a esta huella digital de archivo para combinar las listas de huellas digitales de archivos ya importadas.
En el panel de Importar huella digital de archivo, haga clic en Navegar para localizar el archivo o para escribir la ruta completa de la lista de huellas digitales de archivos en el cuadro de texto. En el panel Combinar varias huellas digitales de archivos, seleccione las huellas digitales de archivos que desee combinar.
8 9
628
Personalizar polticas de control de aplicaciones y dispositivos Acerca de la creacin y la importacin de una lista de huellas digitales de archivos
Cmo importar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager
Es posible agregar una lista de huellas digitales de archivos a una poltica compartida importando un archivo. Es necesario haber creado la lista previamente. Ver "Acerca de la creacin y la importacin de una lista de huellas digitales de archivos" en la pgina 624. Ver "Crear una lista de huellas digitales de archivos" en la pgina 625. Para importar una lista de huellas digitales de archivos en una poltica compartida
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas En Ver polticas, expanda Componentes de polticas y, a continuacin, haga clic en Listas de huellas digitales de archivos. En Tareas, haga clic en Agregar una lista de huellas digitales de archivos. En Bienvenido al Asistente para agregar huellas digitales de archivos, haga clic en Siguiente. En el panel Informacin acerca de la nueva huella digital de archivo, escriba un nombre y una descripcin para la nueva lista combinada. Haga clic en Siguiente. En el panel Crear una huella digital de archivo, haga clic en Crear la huella digital de archivo importando un archivo de huella digital de archivo. Haga clic en Siguiente. Haga clic en Examinar para localizar el archivo o escriba la ruta completa de la lista de huellas digitales de archivos en el cuadro de texto.
Cmo combinar listas de huellas digitales de archivos en Symantec Endpoint Protection Manager
Es posible combinar varias listas de huellas digitales de archivos de una poltica compartida. Es necesario haber agregado ya las listas que se desea combinar antes de iniciar esta tarea. Ver "Acerca de la creacin y la importacin de una lista de huellas digitales de archivos" en la pgina 624.
Personalizar polticas de control de aplicaciones y dispositivos Acerca de la creacin y la importacin de una lista de huellas digitales de archivos
629
Ver "Cmo importar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager" en la pgina 628. Para combinar listas de huellas digitales de archivos
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En Ver polticas, expanda Componentes de polticas y, a continuacin, haga clic en Listas de huellas digitales de archivos. En Tareas, haga clic en Agregar una lista de huellas digitales de archivos. En Bienvenido al Asistente para agregar huellas digitales de archivos, haga clic en Siguiente. En el panel Informacin acerca de la nueva huella digital de archivo, escriba un nombre y una descripcin para la nueva lista combinada. Haga clic en Siguiente. En el panel Crear una huella digital de archivos, haga clic en Crear la huella digital de archivo combinando varias huellas digitales de archivos existentes. Esta opcin est disponible solamente si ya import varias listas de huellas digitales de archivos.
8 9
Haga clic en Siguiente. Seleccione la listas de huellas digitales que desea combinar.
630
Personalizar polticas de control de aplicaciones y dispositivos Acerca del bloqueo del sistema
1 2 3 4 5
En la consola, haga clic en Polticas. Bajo Ver polticas, expanda Componentes de polticas y despus haga clic en Lista de huellas digitales de archivos. En el panel Listas de huellas digitales de archivos, haga clic en la lista de huellas digitales de archivos que desee eliminar. Bajo Tareas, haga clic en Eliminar la lista. Haga clic en S para confirmar. La lista de huellas digitales de archivo se elimina de Symantec Endpoint Protection Manager, pero sigue estando en el equipo en la ubicacin desde la cual se la import.
Symantec recomienda que implemente el bloqueo del sistema en las siguientes fases:
Personalizar polticas de control de aplicaciones y dispositivos Acerca del bloqueo del sistema
631
cree una imagen de software que incluya todas las aplicaciones que usted desea que los usuarios utilicen en sus equipos. Utilice esta imagen para crear una lista de huellas digitales de archivos. Habilite el bloqueo del sistema registrando las aplicaciones que no se incluyen en la lista de huellas digitales de archivos. Podr ajustar su huella digital de archivos para que incluya las aplicaciones necesarias de los usuarios. Es posible avisarles adecuadamente antes de bloquear las aplicaciones no aprobadas. Agregue los archivos ejecutables que desea permitir incluso si no estn en la lista de huellas digitales de archivos. refuerce el bloqueo del sistema y bloquee las aplicaciones no aprobadas.
Tiene la opcin de definir un mensaje personalizado para mostrar a los usuarios que tienen aplicaciones bloqueadas. Ver "Requisitos previos de bloqueo del sistema" en la pgina 631. Ver "Configurar el bloqueo del sistema" en la pgina 632. Ver "Acerca de la autorizacin del uso de aplicaciones, parches y utilidades" en la pgina 623.
632
Se pueden combinar varias listas de huellas digitales de archivos. Por ejemplo, es posible utilizar diferentes imgenes para diferentes grupos en su compaa.
Consultar la lista de aplicaciones no Despus de algunos das de prueba del bloqueo del aprobadas sistema, es posible ver la lista de aplicaciones no aprobadas. Esta lista muestra las aplicaciones no aprobadas que ejecutan los usuarios del grupo. Es posible decidir si desea agregar ms aplicaciones a la huella digital de archivos o a la lista permitida. Active el bloqueo del sistema Luego, puede activar el bloqueo del sistema para bloquear las aplicaciones que no se incluyen en las listas de huellas digitales de archivos.
En el paso 1, se supervisan las aplicaciones que ejecutan los equipos cliente. En este paso, es posible realizar un seguimiento de estas aplicaciones en una lista de aplicaciones no aprobadas. La lista de aplicaciones no aprobadas incluye las aplicaciones que los clientes ejecutan pero que no se muestran en la lista de huellas digitales de archivos de aplicaciones aprobadas. El cliente no bloquea las aplicaciones no aprobadas. Es posible realizar un seguimiento de las aplicaciones que los clientes utilizan para propsitos informativos antes de bloquear esas aplicaciones. Es posible tambin probar si algunas aplicaciones aparecen en la lista de aplicaciones no aprobadas. Si se ejecuta una prueba, el estado indica cunto tiempo se ha estado ejecutando y si han ocurrido excepciones. Ejecute el bloqueo del sistema en el modo de prueba bastante tiempo para detectar qu aplicaciones no aprobadas ejecutan los equipos cliente. A continuacin active el bloqueo del sistema. Ver "Acerca del bloqueo del sistema" en la pgina 630.
633
En el paso 2, se activa el bloqueo del sistema. Una vez que ejecute el bloqueo del sistema en el modo de prueba suficiente tiempo para ver qu aplicaciones no aprobadas se ejecutan, active las opciones siguientes:
Aprobar el uso de las aplicaciones adicionales Agregue aplicaciones a la lista de aplicaciones aprobadas o agregue las aplicaciones a la imagen donde usted cre la huella digital de archivo. Puede notificar a un usuario que no tiene ms acceso a un equipo. Tambin puede informar al usuario que las aplicaciones especificadas se pueden utilizar en una cierta fecha futura que usted indique. Es posible entonces proceder a activar el bloqueo del sistema en esa fecha. No se necesita ninguna accin adicional.
Nota: Es posible tambin crear normas de firewall para permitir las aplicaciones aprobadas en el cliente. Para configurar el bloqueo del sistema
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, localice al grupo para el que desea configurar el bloqueo del sistema. En la ficha Polticas, haga clic en Bloqueo del sistema. En el cuadro de dilogo Bloqueo del sistema para nombre de grupo, haga clic en Paso 1: Registrar slo aplicaciones no aprobadas si desea activar esta proteccin en modo de prueba. Esta opcin registra las aplicaciones de red no aprobadas que los clientes estn ejecutando actualmente.
Haga clic en Paso 2: Activar bloqueo del sistema si desea activar esta proteccin. Este paso bloquea las aplicaciones no aprobadas que los clientes intentan ejecutar.
634
En Aplicaciones aprobadas, agregue o elimine las listas de huellas digitales de archivos o los archivos especficos. Ver "Cmo editar una lista de huellas digitales de archivos en Symantec Endpoint Protection Manager" en la pgina 626.
Seleccione Probar antes de eliminar para las listas de huellas digitales de archivos o las aplicaciones que desee probar antes de eliminarlas permanentemente. Cuando se selecciona esta opcin, las aplicaciones asociadas se registran en el registro de control como aplicaciones no aprobadas. Sin embargo, las aplicaciones no son bloqueadas en los equipos cliente. Es posible eliminar permanentemente la lista de huellas digitales de archivos o las aplicaciones ms tarde.
Para ver la lista de aplicaciones no aprobadas, haga clic en Ver aplicaciones no aprobadas. En el cuadro de dilogo Aplicaciones no aprobadas, revise las aplicaciones. Esta lista incluye la informacin sobre la hora en que la aplicacin fue ejecutada, el nombre de host del equipo, el nombre de usuario del cliente y el nombre del archivo ejecutable.
Determine cmo desea administrar las aplicaciones no aprobadas. Es posible agregar los nombres de las aplicaciones que desea permitir a la lista de aplicaciones aprobadas. Puede agregar el archivo ejecutable en la imagen del equipo la prxima vez que cree una huella digital de archivo.
10 Haga clic en Cerrar. 11 Para especificar los archivos ejecutables que se permiten siempre incluso si
no se incluyen en la lista de huellas digitales de archivos, en la lista Nombre del archivo, haga clic en Agregar.
635
16 Haga clic en el dispositivo que desee en la lista y despus haga clic en Aceptar. 17 Haga clic en Aceptar. 18 Para visualizar un mensaje en el equipo cliente cuando el cliente bloquea una
aplicacin, active Notificar al usuario si se bloquea una aplicacin.
636
Seccin
638
Captulo
34
Acerca de las polticas de excepciones centralizadas Configurar una poltica de excepciones centralizadas Configurar restricciones de clientes para las excepciones centralizadas Crear excepciones centralizadas de sucesos de registro
Anlisis antivirus y antispyware Ver "Cmo configurar una excepcin centralizada para anlisis antivirus y antispyware en clientes Windows" en la pgina 644. Ver "Configuracin de una excepcin centralizada para los archivos o las carpetas en clientes de Mac" en la pgina 648. Anlisis de amenazas proactivos TruScan Ver "Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan" en la pgina 649. Anlisis de Proteccin contra intervenciones Ver "Configurar una excepcin centralizada para la proteccin contra intervenciones" en la pgina 651.
640
Nota: Los anlisis antivirus y antispyware incluyen todos los anlisis de Auto-Protect, anlisis programados, anlisis manuales o anlisis definidos por el usuario. Tpicamente, las excepciones son riesgos o procesos que usted desea que el software cliente excluya del anlisis. Si utiliza excepciones en equipos cliente, es posible que se reduzca el tiempo del anlisis. Si reduce el tiempo del anlisis, aumenta el rendimiento del sistema en los equipos cliente. Para los anlisis de amenazas proactivos TruScan, es posible que desee adems que el software de cliente detecte un proceso especfico que no se detecta de forma predeterminada. Es posible crear una excepcin para forzar la deteccin. Cuando la deteccin aparece en la lista de procesos detectados, puede crear otra excepcin para especificar una accin para la deteccin. Ver "Configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso" en la pgina 650. Nota: Para los anlisis antivirus y antispyware o la Proteccin contra intervenciones, se utilizan excepciones centralizadas para especificar elementos determinados que se deben excluir de los anlisis. Para los anlisis de amenazas proactivos, sin embargo, se utilizan excepciones centralizadas para especificar acciones para los procesos detectados o para forzar una deteccin. Cuando se crea una poltica de excepciones centralizadas, las excepciones se aplican a todos los anlisis de ese tipo en el equipo cliente que utiliza la poltica. Es posible incluir todas las excepciones en la misma poltica. A diferencia de otras polticas, la consola de Symantec Endpoint Protection Manager no incluye una poltica de excepciones centralizadas predeterminada. Es necesario crear una nueva poltica. Es posible crear polticas de excepciones centralizadas desde la pgina de polticas o puede crear polticas de excepciones centralizadas desde la pgina clientes en la consola de administracin. Puede agregar excepciones a una poltica de excepciones centralizadas usando los registros de la consola de administracin. Es necesario crear una poltica de excepciones centralizadas para poder utilizar este mtodo para crear excepciones. Ver "Crear excepciones centralizadas de sucesos de registro" en la pgina 652.
641
Se asigna tpicamente una poltica a varios grupos de su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Para trabajar con polticas de excepciones centralizadas, debe estar familiarizado con los fundamentos de la configuracin de polticas. Ver "Cmo usar las polticas para administrar la seguridad de red" en la pgina 98.
Acerca de las excepciones centralizadas para los anlisis de amenazas proactivos TruScan
Es posible que desee excluir ciertos procesos de los anlisis de amenazas proactivos. Es necesario determinar que los procesos que desea excluir sean seguros de ejecutar en los equipos cliente en su red de seguridad. Para excluir un proceso detectado, configure la accin de deteccin en Omitir.
642
Tambin puede crear una excepcin centralizada para especificar que ciertos procesos no estn permitidos. Para especificar que los procesos no estn permitidos, configure la accin de deteccin en Cuarentena o Finalizar. Ver "Agregar una excepcin centralizada para sucesos de anlisis de amenazas proactivos TruScan" en la pgina 654. Es posible forzar una deteccin de la amenaza proactiva creando una excepcin centralizada que especifique un nombre de archivo. Cuando el anlisis de amenazas proactivo detecta el archivo, el cliente registra el evento. Dado que los nombres de archivo no son exclusivos, es posible que varios procesos utilicen el mismo nombre de archivo. Es posible utilizar una deteccin forzada para crear una excepcin para poner en cuarentena o para finalizar un proceso que se asocie al archivo. Ver "Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas" en la pgina 583.
643
De forma predeterminada, los usuarios en los equipos cliente tienen derechos de configuracin limitados para las excepciones centralizadas. De forma predeterminada, los usuarios tienen las siguientes restricciones:
No pueden crear excepciones para forzar las detecciones para los anlisis de amenazas proactivos. No pueden hacer una seleccin de una lista de procesos detectados para crear una excepcin para los anlisis de amenazas proactivos. Sin embargo, pueden seleccionar un archivo del equipo cliente para crear una excepcin del anlisis de amenazas proactivo. Los usuarios no pueden crear ninguna excepcin para la proteccin contra intervenciones.
Puede restringir usuarios en los equipos cliente de modo que no puedan crear excepciones para los anlisis antivirus y contra software espa, o para los anlisis de amenazas proactivos. Ver "Configurar restricciones de clientes para las excepciones centralizadas" en la pgina 652.
1 2
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. En Excepciones centralizadas, haga clic en Agregar y, a continuacin, realice una de las siguientes acciones:
Haga clic en Excepciones de Windows > Excepciones de riesgos para la seguridad o Excepciones de Mac > Excepcin de riesgos para la seguridad para archivos o carpetas. A continuacin, agregue las excepciones de riesgos para la seguridad que desee incluir en la poltica. Ver "Cmo configurar una excepcin centralizada para anlisis antivirus y antispyware en clientes Windows" en la pgina 644. Ver "Configuracin de una excepcin centralizada para los archivos o las carpetas en clientes de Mac" en la pgina 648. Haga clic en Excepciones de Windows > Excepciones de anlisis de amenazas proactivo TruScan y, a continuacin, agregue una excepcin de anlisis de amenazas proactivo que desee incluir en la poltica.
644
Ver "Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan" en la pgina 649.
Haga clic en Excepciones de Windows > Excepcin de Proteccin contra intervenciones y, a continuacin, agregue una excepcin del anlisis de Proteccin contra intervenciones que quiera incluir en la poltica. Ver "Configurar una excepcin centralizada para la proteccin contra intervenciones" en la pgina 651.
3 4
Repita el paso 2 para aadir ms excepciones. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Cmo configurar una excepcin centralizada para anlisis antivirus y antispyware en clientes Windows
Puede crear las excepciones para riesgos de seguridad conocidos, archivos, carpetas o extensiones de archivo. Las excepciones se aplican a todos los anlisis antivirus y antispyware que se ejecuten en los equipos cliente que utilizan la poltica. Nota: Es posible crear una excepcin solamente para los archivos o las carpetas de clientes Mac. Ver "Configuracin de una excepcin centralizada para los archivos o las carpetas en clientes de Mac" en la pgina 648. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar una excepcin centralizada para anlisis antivirus y antispyware en clientes Windows
1 2
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. En Excepciones centralizadas, haga clic en Agregar > Excepciones de Windows > Excepciones de riesgos para la seguridad y, a continuacin, realice una de las siguientes acciones:
Haga clic en Riesgos conocidos y, luego, configure la excepcin. Ver "Configurar excepciones centralizadas para los riesgos de seguridad conocidos" en la pgina 645. Haga clic en Archivo y, luego, configure la excepcin. Ver "Cmo configurar una excepcin centralizada para un archivo de clientes Windows" en la pgina 646. Haga clic en Carpeta y, luego, configure la excepcin.
645
Ver "Cmo configurar una excepcin centralizada para una carpeta de clientes Windows" en la pgina 646.
Haga clic en Extensiones y, luego, configure la excepcin. Ver "Configurar una excepcin centralizada para una extensin de archivo" en la pgina 647.
3 4
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. En Excepciones centralizadas, haga clic en Agregar > Excepciones de Windows > Excepciones de riesgos para la seguridad > Riesgos conocidos. En el cuadro de dilogo Excepciones de riesgos de seguridad conocidos, seleccione uno o ms riesgos de seguridad que desee excluir de los anlisis antivirus y antispyware. Marque Registrar la deteccin del riesgo de seguridad si desea registrar la deteccin. Si no activa esta opcin, el cliente ignora el riesgo cuando detecta los riesgos seleccionados. Por lo tanto, el cliente no registra la deteccin.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
646
1 2 3
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. En Excepciones centralizadas, haga clic en Agregar > Excepciones de Windows > Excepciones de riesgos para la seguridad > Archivo. Bajo Excepcin de archivos de riesgos de seguridad, en el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows. Active [NINGUNO] si desea escribir la ruta absoluta y el nombre de archivo. Nota: Las rutas de carpetas de clientes Windows se deben indicar usando una barra diagonal invertida.
En el cuadro de texto Archivo, escriba el nombre del archivo. Si seleccion una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si seleccion [NINGUNO], escriba el nombre de ruta completo del archivo.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Cmo configurar una excepcin centralizada para una carpeta de clientes Windows
Las excepciones para las carpetas se agregan individualmente. Si desea crear excepciones para ms de una carpeta, repita el procedimiento. Ver "Cmo configurar una excepcin centralizada para anlisis antivirus y antispyware en clientes Windows" en la pgina 644.
647
Para configurar una excepcin centralizada para una carpeta de clientes Windows
1 2 3
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. En Excepciones centralizadas, haga clic en Agregar > Excepciones de Windows > Excepciones de riesgos para la seguridad > Carpeta. Bajo Excepcin de carpeta de riesgos de seguridad, en el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows. Active [NINGUNO] si desea escribir la ruta absoluta y el nombre de archivo. Nota: Las rutas de carpetas de clientes Windows se deben indicar usando una barra diagonal invertida.
En el cuadro de texto Carpeta, escriba el nombre del archivo. Si seleccion una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si seleccion [NINGUNO], escriba el nombre de ruta completo.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
648
1 2 3 4 5 6
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. En Excepciones centralizadas, haga clic en Agregar > Excepciones de Windows > Excepciones de riesgos para la seguridad > Extensin. En el cuadro de texto, escriba la extensin que desea excluir y despus haga clic en Agregar. Repita el paso 3 para aadir ms extensiones a la excepcin. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configuracin de una excepcin centralizada para los archivos o las carpetas en clientes de Mac
Si configura una excepcin centralizada para los archivos o las carpetas en clientes de Mac, es necesario seleccionar la opcin apropiada en la poltica antivirus y antispyware para los anlisis de Auto-Protect. Ver "Cmo configurar Auto-Protect para el sistema de archivos para clientes Mac" en la pgina 485. Ver "Configurar una poltica de excepciones centralizadas" en la pgina 643. Para configurar una excepcin centralizada para los archivos o las carpetas en clientes de Mac
1 2 3
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. En Excepciones centralizadas, haga clic en Agregar > Excepciones para Mac > Excepciones de riesgos para la seguridad para archivos o carpetas. En Excepcin de archivos o carpetas de riesgos para la seguridad, en el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Seleccione [NINGUNO] para escribir la ruta absoluta y el nombre del archivo. Nota: Las rutas de carpetas de clientes de Mac se deben indicar usando una barra diagonal.
En el cuadro de texto Carpeta, escriba el nombre de la carpeta. Si selecciona una variable de prefijo, la ruta debe estar relacionada con el prefijo. Si selecciona [NINGUNO], escriba el nombre completo de la ruta.
649
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
Puede configurar excepciones para excluir procesos detectados de los anlisis de amenazas proactivos futuros. Tambin puede forzar un anlisis de amenazas proactivo para detectar un proceso determinado. Para configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
1 2
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de Windows > Excepciones de anlisis de amenazas proactivo TruScan y, a continuacin, realice una de las siguientes acciones:
Haga clic en Procesos detectados. Ver "Configurar una excepcin centralizada para un proceso detectado" en la pgina 649. Haga clic en Proceso. Ver "Configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso" en la pgina 650.
3 4
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
650
consola de administracin recibe el suceso, el proceso aparece en la lista de procesos detectados. Ver "Configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso" en la pgina 650. Para configurar una excepcin centralizada para un proceso detectado
1 2 3 4 5 6
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de Windows > Excepciones de anlisis de amenazas proactivo TruScan > Procesos detectados. Seleccione los procesos para los cuales desee crear una excepcin. En el cuadro desplegable Accin, active Omitir, Finalizar, Cuarentena o Slo registrar. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso
Es posible configurar una excepcin para forzar anlisis de amenazas proactivos para detectar un proceso. Es posible que tenga que configurar este tipo de excepcin cuando los anlisis de amenazas proactivos no detectan un proceso determinado. Una vez que los anlisis se ejecutan y detectan el proceso especificado, es posible crear otra excepcin para manejar el proceso. Ver "Configurar una excepcin centralizada para un proceso detectado" en la pgina 649. Para configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso
1 2 3
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de Windows > Excepciones de anlisis de amenazas proactivo TruScan > Procesos. En el cuadro de dilogo, escriba el nombre del proceso. Por ejemplo, es posible que tenga que escribir el nombre de un archivo ejecutable de la siguiente forma: foo.exe
651
4 5
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3
En la pgina Poltica de excepciones centralizadas, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de Windows > Excepcin de proteccin contra intervenciones. En el cuadro de dilogo Agregar excepcin de proteccin contra intervenciones, en el cuadro desplegable Variable de prefijo, seleccione una carpeta comn. Cuando se selecciona un prefijo, la excepcin se puede usar en diversos sistemas operativos de Windows. Active [NINGUNO] si desea escribir la ruta absoluta y el nombre de archivo.
En el cuadro de texto Archivo, escriba el nombre del archivo. Si seleccion un prefijo, la ruta debe estar relacionada con el prefijo. Si seleccion [NINGUNO] para el prefijo, escriba el nombre de ruta completo.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
652
Configurar polticas de excepciones centralizadas Configurar restricciones de clientes para las excepciones centralizadas
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Restricciones del cliente. Bajo Restricciones del cliente, active o desactive Excepciones de riesgos de seguridad y Excepciones de anlisis de amenazas proactivo TruScan. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
653
1 2
En la ficha Supervisin, haga clic en la ficha Registros. En la lista desplegable Tipo de registro, seleccione una de las siguientes opciones:
3 4 5
Si seleccion Control de aplicaciones y dispositivos, active Control de aplicaciones en la lista Contenido del registro. Haga clic en Ver registro. Siga las instrucciones para agregar las excepciones centralizadas para el tipo de registro que seleccion. Ver "Agregar una excepcin centralizada para sucesos de riesgo" en la pgina 653. Ver "Agregar una excepcin centralizada para sucesos de anlisis de amenazas proactivos TruScan" en la pgina 654. Ver "Agregar una excepcin centralizada para sucesos de Proteccin contra intervenciones" en la pgina 654.
1 2
En la pgina Registros de riesgos, seleccione uno o ms sucesos para los cuales desee agregar una excepcin centralizada. Al lado de Accin, seleccione una de las siguientes opciones:
Agregar riesgo a la poltica de excepciones centralizada Agregar archivo a la poltica de excepciones centralizada Agregar carpeta a la poltica de excepciones centralizada Agregar extensin a la poltica de excepciones centralizada
654
En el cuadro de dilogo, puede quitar cualquier riesgo, archivo, carpeta o extensin asociados al suceso. Si quita elementos, no se los incluye en la excepcin. Si ningn elemento aparece en los riesgos, los archivos, las carpetas o las listas de extensiones, no es posible crear una excepcin.
5 6 7
Para los riesgos de seguridad, active Registrar la deteccin del riesgo de seguridad si desea que el software de cliente registre la deteccin. Seleccione todas las polticas de excepciones centralizadas que deban utilizar esta excepcin. Haga clic en Aceptar.
Agregar una excepcin centralizada para sucesos de anlisis de amenazas proactivos TruScan
Es posible agregar una excepcin centralizada para sucesos de anlisis de amenazas proactivos. Ver "Crear excepciones centralizadas de sucesos de registro" en la pgina 652. Para agregar una excepcin centralizada para sucesos de anlisis de amenazas proactivos TruScan
1 2 3 4
En la pgina Registros de anlisis de amenazas proactivos TruScan, seleccione uno o ms sucesos para los cuales desee agregar una excepcin centralizada. Junto a Accin, active Agregar proceso a la poltica de excepciones centralizada. Haga clic en Iniciar. En el cuadro de dilogo, en la lista desplegable Respuesta, seleccione la accin de deteccin para el proceso. Opcionalmente, es posible quitar cualquier proceso que usted no desee incluir en la excepcin.
5 6
Seleccione las polticas de excepciones centralizadas que debe incluir esta excepcin. Haga clic en Aceptar.
655
bloqueado ya la aplicacin que desea permitir. Despus de que Proteccin contra intervenciones bloquea la aplicacin, el equipo cliente registra el suceso y lo enva al servidor de administracin. Es posible utilizar el suceso del registro para crear la excepcin. Ver "Crear excepciones centralizadas de sucesos de registro" en la pgina 652. Para agregar una excepcin centralizada para sucesos de Proteccin contra intervenciones
En la pgina de registros de Control de aplicaciones y dispositivos, seleccione uno o ms sucesos para los cuales usted desee agregar una excepcin centralizada. Por ejemplo, es posible que tenga que seleccionar uno o ms sucesos que se aplican a las aplicaciones de tecnologa de asistencia que desea ejecutar.
2 3 4
Al lado de Accin, active Agregar archivo a la poltica de excepciones centralizada. Haga clic en Iniciar. Para quitar un archivo que usted no desee incluir en la excepcin, seleccione el archivo y haga clic en Quitar. Repita este paso para quitar ms archivos.
5 6
Seleccione las polticas de excepciones centralizadas que debe incluir esta excepcin. Haga clic en Aceptar.
656
Apndice
smc -checkrunning
658
Usar la interfaz de lnea de comandos Comandos Windows para el servicio del cliente
Parmetro
smc -dismissgui
Descripcin
Cierra la interfaz de usuario del cliente de Symantec Endpoint Protection o Symantec Network Access Control e incluye el icono del rea de notificacin. El cliente an se ejecuta y protege el equipo cliente. Devuelve 0.
smc -exportlog
Exporta todo el contenido de un registro a un archivo .txt. Para exportar un registro, utilice la siguiente sintaxis: smc -exportlog tipo_registro 0 -1 archivo_de_salida Donde: tipo_registro es:
0 = Registro del sistema 1 = Registro de seguridad 2 = Registro de trfico 3 = Registro de paquetes 4 = Registro de control Por ejemplo, es posible que escriba la siguiente sintaxis: smc -exportlog 2 0 -1 c:\temp\TrafficLog Donde: 0 es el comienzo del archivo -1 es el fin del archivo Es posible exportar solamente los registros de control, de paquetes, de seguridad, del sistema y de trfico.
archivo_de_salida es el nombre de ruta y el nombre del archivo asignados al archivo exportado. Devuelve 0, -2, -5. smc -runhi Si Symantec Network Access Control est instalado, ejecuta una comprobacin de integridad del host. Devuelve 0. smc -showgui Muestra la interfaz de usuario del cliente de Symantec Endpoint Protection o Symantec Network Access Control. Devuelve 0.
Usar la interfaz de lnea de comandos Comandos Windows para el servicio del cliente
659
Parmetro
smc -updateconfig
Descripcin
Comprueba si el archivo de configuracin del servidor de administracin es ms reciente que el archivo de configuracin del cliente. El archivo de configuracin incluye toda la configuracin del servidor de administracin, tal como las polticas, los grupos, la configuracin del registro, la configuracin de seguridad y la configuracin de la interfaz de usuario. Si el archivo de configuracin del cliente est desactualizado, updateconfig descarga el archivo de configuracin ms reciente y sustituye el existente, que es serdef.dat. Devuelve 0.
Es posible ejecutar los parmetros en Tabla A-2 solamente si se cumplen las siguientes condiciones:
El cliente ejecuta Windows 2003/XP/Vista o Windows Server 2008 y los usuarios son miembros del grupo de administradores de Windows. El cliente ejecuta Windows 2003/XP y los usuarios son miembros del grupo de usuarios avanzados.
Si el cliente ejecuta Windows Vista y el control de cuentas de usuario est habilitado, el usuario pasa a ser automticamente un miembro del grupo de administradores y de usuarios. Para utilizar los siguientes parmetros, el usuario debe ser miembro del grupo de administradores solamente. Tabla A-2 Parmetros que los miembros del grupo de administradores pueden utilizar Descripcin
Exporta el archivo de configuracin del cliente a un archivo .xml. El archivo de configuracin incluye toda la configuracin del servidor de administracin, tal como las polticas, los grupos, la configuracin del registro, la configuracin de seguridad y la configuracin de la interfaz de usuario. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -exportconfig C:\My Documents\MyCompanyprofile.xml Devuelve 0, -1, -5, -6.
Parmetro
smc -exportconfig
660
Usar la interfaz de lnea de comandos Comandos Windows para el servicio del cliente
Parmetro
smc -importconfig
Descripcin
Reemplaza el contenido del archivo de configuracin actual del cliente con un archivo de configuracin importado. El cliente debe ejecutarse para importar el contenido del archivo de configuracin. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -importconfig C:\My Documents\MyCompanyprofile.xml. Devuelve 0, -1, -5, -6.
smc -exportadvrule
Exporta las normas de firewall del cliente a un archivo .sar. Las normas exportadas se pueden importar solamente en un cliente no administrado o en un cliente administrado en modo de control del cliente o modo mezclado. El cliente administrado omite estas normas en el modo de control del servidor. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -exportadvrule C:\myrules.sar Devuelve 0, -1, -5, -6.
smc -importadvrule
Agrega las normas de firewall importadas a la lista del cliente de normas de firewall existentes. Estas normas no sobrescriben las normas existentes. El cliente enumera las normas existentes y las normas importadas, incluso si cada norma tiene el mismo nombre y los mismos parmetros. Es posible importar solamente normas de firewall en un cliente no administrado o un cliente administrado en el modo de control del cliente o en el modo mezclado. El cliente administrado omite estas normas en el modo de control del servidor. Para importar normas de firewall, usted importa un archivo .sar. Por ejemplo, es posible escribir el siguiente comando: smc -importadvrule C:\myrules.sar Se agrega una entrada al registro del sistema despus de importar normas. Devuelve 0, -1, -5, -6.
smc -start
Inicia el servicio del cliente de Symantec Endpoint Protection o Symantec Network Access Control. Devuelve 0, -1.
Usar la interfaz de lnea de comandos Comandos Windows para el servicio del cliente
661
Parmetro
smc -stop
Descripcin
Detiene el servicio del cliente de Symantec Endpoint Protection o Symantec Network Access Control y lo descarga de la memoria. Devuelve 0, -1.
Cuando importe archivos de configuracin y normas de firewall, recuerde que se aplican las siguientes normas:
No es posible importar archivos de configuracin o de normas de firewall directamente desde una unidad de red asignada. El cliente no admite rutas UNC (convencin de nomenclatura universal).
Cdigos de error
La Tabla A-3 muestra los cdigos de error que el comando smc devuelve cuando los parmetros obligatorios faltan o no son vlidos. Tabla A-3 Cdigo de error
0 -1
-2
-3 -4 -5
El servicio del cliente smc no est instalado. El servicio del cliente smc no se est ejecutando. Archivo de entrada no vlido. Por ejemplo, los parmetros importconfig, exportconfig, updateconfig, importadv, exportadvrule y exportlog necesitan el nombre de ruta y el nombre de archivo correctos.
662
Usar la interfaz de lnea de comandos Comandos Windows para el servicio del cliente
Cdigo de error
-6
Descripcin
El archivo de entrada no existe. Por ejemplo, los parmetros importconfig, updateconfig y importadvrule necesitan el nombre de ruta, el nombre de archivo de configuracin (.xml) o el nombre de archivo de las normas de firewall (.sar) correctos.
-importconfig
-exportconfig
Ver "Proteger el cliente con contrasea" en la pgina 185. Nota: La contrasea se limita a 15 caracteres o menos. Para escribir un parmetro si el cliente est protegido con contrasea
1 2
En el equipo cliente, en la barra de tareas, haga clic en Inicio > Ejecutar. En el cuadro de dilogo Ejecutar, escriba cmd.
Usar la interfaz de lnea de comandos Comandos Windows para el servicio del cliente
663
En el smbolo del sistema de MS-DOS de Windows, escriba una de las siguientes opciones:
smc -parmetro -p contrasea smc -p contrasea -parmetro
Donde: parmetro es -stop, -importconfig o -exportconfig. contrasea es la contrasea que usted especific en la consola. Por ejemplo, es posible escribir cualquiera de las siguientes sintaxis:
smc -exportconfig c:\perfil.xml -p contrasea o smc -p contrasea -exportconfig c:\perfil.xml
664
Usar la interfaz de lnea de comandos Comandos Windows para el servicio del cliente
Apndice
sylink.xml
666
Acerca de las opciones de comunicacin de clientes y servidores Acerca de las opciones de comunicacin de clientes y servidores
Nombre de archivo
SerState.dat
Descripcin
Un archivo cifrado que almacena informacin sobre la interfaz de usuario, tal como el tamao de la pantalla del cliente, si aparece la consola del cliente para la Proteccin contra amenazas de red y si aparecen los servicios de Windows. Cuando el cliente inicia el equipo, lee este archivo y vuelve al mismo estado de la interfaz de usuario que antes de detenerlo.
Apndice
Funciones de administracin por plataforma Funciones de proteccin de clientes por plataforma Configuracin de la poltica antivirus y antispyware disponible para Windows y Mac Configuracin de la poltica de LiveUpdate disponible para Windows y Mac
Funcin
Implementar el cliente remotamente desde Symantec Endpoint Protection Manager Administrar el cliente desde Symantec Endpoint Protection Manager
Mac
No
668
Proteccin del cliente y detalles de administracin por plataforma Funciones de administracin por plataforma
Funcin
Windows
Mac
No
Actualizar definiciones de virus S y productos desde el servidor de administracin Ejecutar comandos desde el servidor de administracin
Habilitar Auto-Protect
Reiniciar equipos cliente Reiniciar equipos Habilitar Auto-Protect cliente Habilitar Auto-Protect Habilitar Proteccin contra amenazas de red Deshabilitar Proteccin contra amenazas de red
No
S No*
Combinar actualizaciones de S herramientas de otro fabricante en el servidor de administracin Configurar anlisis aleatorios Configurar actualizaciones aleatorias S S
No S
* Sin embargo, es posible ejecutar Intelligent Updater para obtener actualizaciones de contenido de Mac. Es posible, entonces, transferir actualizaciones a clientes Mac usando una herramienta de otro fabricante, como Apple Remote Desktop. Ver "Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin" en la pgina 167. Ver "Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin" en la pgina 167.
Proteccin del cliente y detalles de administracin por plataforma Funciones de proteccin de clientes por plataforma
669
Ver "Configuracin de la poltica antivirus y antispyware disponible para Windows y Mac" en la pgina 670. Ver "Configuracin de la poltica de LiveUpdate disponible para Windows y Mac" en la pgina 671. Ver "Funciones de proteccin de clientes por plataforma" en la pgina 669.
Windows 2000 Professional Edition, Windows XP, Windows Vista, Windows 7, de 32 bits
S S
S S S
S S S
S S S
S S S
S S S
No
No
No
No
No
Auto-Protect para Microsoft S Outlook Auto-Protect para Lotus Notes Anlisis de amenazas proactivos TruScan Firewall Prevencin de intrusiones S
No
No
No
No
No
No
No
No
No
No
S S
S S
S S
S S
No No
No No
670
Proteccin del cliente y detalles de administracin por plataforma Configuracin de la poltica antivirus y antispyware disponible para Windows y Mac
Windows 2000 Professional Edition, Windows XP, Windows Vista, Windows 7, de 32 bits
S
Linux
No
No
No
No
S S
S No
S S
S No
No No
No No
Ver "Funciones de administracin por plataforma" en la pgina 667. Ver "Configuracin de la poltica antivirus y antispyware disponible para Windows y Mac" en la pgina 670. Ver "Configuracin de la poltica de LiveUpdate disponible para Windows y Mac" en la pgina 671.
Definir las acciones para los Es posible especificar las primeras y Es posible especificar cualquiera de las anlisis segundas acciones cuando se detectan siguientes acciones: diferentes tipos de virus o riesgos. Es Reparar automticamente los archivos posible especificar las siguientes acciones: infectados Limpieza Poner en cuarentena los archivos que no pueden ser reparados Cuarentena
Proteccin del cliente y detalles de administracin por plataforma Configuracin de la poltica de LiveUpdate disponible para Windows y Mac
671
Mac
La reparacin se asocia automticamente a acciones.
Determinar tipo de anlisis Volver a ejecutar anlisis programados Configurar anlisis para comprobar ubicaciones adicionales (mejora del anlisis) Configurar anlisis de migracin del almacenamiento Configurar excepciones de anlisis
No
No
Solamente es posible configurar la poltica Es posible especificar la configuracin en de excepciones centralizadas la poltica antivirus y antispyware, y configurar la poltica de excepciones centralizadas
Ver "Funciones de administracin por plataforma" en la pgina 667. Ver "Configuracin de la poltica de LiveUpdate disponible para Windows y Mac" en la pgina 671. Ver "Funciones de proteccin de clientes por plataforma" en la pgina 669.
672
Proteccin del cliente y detalles de administracin por plataforma Configuracin de la poltica de LiveUpdate disponible para Windows y Mac
Tabla C-4
Configuracin de polticas
Usar el servidor de administracin predeterminado Usar un servidor de LiveUpdate (interno o externo) Usar un proveedor de actualizaciones grupales
Mac
No
No
Habilitar administracin de contenido S de otros fabricantes Programacin de LiveUpdate Configuracin del usuario Configuracin de actualizacin de productos S S S
No*
S No S
* Sin embargo, es posible ejecutar Intelligent Updater para obtener actualizaciones de contenido de Mac. Es posible, entonces, transferir actualizaciones a clientes Mac usando una herramienta de otro fabricante, como Apple Remote Desktop. Ver "Uso de Intelligent Updater para descargar actualizaciones de contenido de antivirus para la distribucin" en la pgina 167. Ver "Funciones de administracin por plataforma" en la pgina 667. Ver "Configuracin de la poltica antivirus y antispyware disponible para Windows y Mac" en la pgina 670. Ver "Funciones de proteccin de clientes por plataforma" en la pgina 669.
ndice
A
activadores adaptador de red 520 aplicacin 517 host 517 normas de firewall 516 servicio de red 519 activadores de hosts normas de firewall 517 activadores de la aplicacin normas de firewall 517 Actualizacin de clientes en uno o ms grupos 136 actualizacin de clientes 135 adaptadores. Ver adaptadores de red adaptadores de red activadores 520 adicin a la lista predeterminada 562 adicin a una norma 563 edicin y eliminacin 564 adicin un administrador 329 Administrador acerca de 327 adicin 329 bloquear cuenta despus de inicio de sesin fallido 334 cambiar nombre 336 tipos de 326 administrador autenticacin 335 cambiar contrasea 337 cambiar el tipo de 333 derechos de acceso 330 Administrador del dominio 327 Administrador del sistema acerca de 327 Administrador limitado acerca de 328 configurar derechos de acceso 332
administrar dominios 325 Agregar un grupo 61 agrupacin 398 Amenazas 255 Ver tambin Proteccin proactiva contra amenazas combinadas 436 amenazas 512 Ver tambin Proteccin contra amenazas de red Amenazas combinadas 437 Anlisis 445 Ver tambin Anlisis programados antivirus y antispyware excepciones centralizadas para 641 asignacin de acciones 452 Auto-Protect 439 ejecucin manual 504 informes 260 opciones avanzadas para anlisis definidos por el administrador 507 registros 260, 295 anlisis acerca de 439 antivirus y proteccin contra software espa 460 detenido 506 exclusin de archivos en los anlisis 452 extensiones de archivo recomendadas 449 interrumpido 505 opciones de progreso del anlisis 505 pospuesto 506 seleccin de archivos y carpetas para analizar 447 visualizacin de mensaje de aviso en el cliente 466 anlisis de amenazas proactivo. Ver Anlisis de amenazas proactivos TruScan Anlisis de amenazas proactivo TruScan configuracin predeterminada 577 registro 255, 294
674
ndice
Anlisis de amenazas proactivos TruScan deteccin de procesos 577 deteccin forzada 584 excepciones centralizadas 641, 649 falsos positivos 580 forzar una deteccin 650 nivel de sensibilidad 587 anlisis de amenazas proactivos TruScan acciones 587 administracin de detecciones 585 aplicaciones comerciales 589 configuracin predeterminada de Symantec 577 Cuarentena 583 excepciones centralizadas 584 frecuencia 589 notificaciones 590 omitir procesos 582 procesos 587 anlisis definidos por el administrador 497 Ver tambin anlisis manuales Ver tambin anlisis programados Anlisis manuales. Ver Anlisis manuales. Ver anlisis manuales configuracin 501 configurar para Mac 502 ejecucin 504 opciones avanzadas 507 anlisis manuales opciones de progreso del anlisis 505 Anlisis programados 445 Ver tambin Anlisis acerca de 445 agregar a una poltica 498, 500 guardar como plantilla 498, 500 opciones avanzadas 507 anlisis programados opciones de progreso del anlisis 505 Aplicaciones adicin a una norma 564 autorizar 630 buscar 124 bsqueda 565 definicin 565 aplicaciones 565 Ver tambin aplicaciones aprendidas supervisin de aplicaciones de red 569 Aplicaciones aprendidas buscar 124 habilitar 123
aplicaciones aprendidas 565 Ver tambin aplicaciones acerca de 121 guardado de resultados de la bsqueda 126 lista 565 Archivo de almacn de claves JKS 373 Archivo del almacn de claves PKCS12 374 archivos exclusin del anlisis 452 uso compartido 560 Archivos de definiciones analizar despus de actualizar 447 exhibicin de desactualizacin o ausencia 458 archivos de definiciones configurar acciones ante nuevas definiciones 475 Archivos MSI 147 Archivos MSP 147 Archivos sospechosos 434 Arquitectura Symantec Protection Center 48 Asistente de configuracin del servidor de administracin 380 Asistente para normas de firewall 529 Ataques bloqueo 543 firmas 537 ataques bloqueo 512 ataques de da cero 576 Auditora registro 289 Autenticacin certificado 373 autenticacin para administradores 335 punto a punto 535 Autenticacin de SecurID configurar en el servidor de administracin 370 autenticacin punto a punto 535 autenticacin SecurID especificar para un administrador 371 Auto-Protect anlisis 439 anlisis y bloqueo de riesgos de seguridad 481 cach de archivos 484 configuracin 477 configuracin de opciones de notificacin 490 configurar notificaciones de progreso 496
ndice
675
Lotus Notes 489 Microsoft Outlook 488 opciones avanzadas de anlisis y supervisin 482 para correo electrnico de Internet 486 para el sistema de archivos configuracin 479 habilitacin 478 para el sistema de archivos en clientes de Mac configuracin 485 tipos de 478 visualizar resultados en equipos infectados 492 Auto-Protect para correo electrnico de Internet 486 Auto-Protect para el sistema de archivos. Ver Auto-Protect
Bloqueo equipos atacantes 543 bloqueo clientes de grupos 73 Bloqueo del sistema activacin 632 bloqueos en polticas antivirus y antispyware 434 Bots 436 Bots de Internet 436 Buscador de riesgos 482 bloquear direcciones IP 484 buscar grupos, usuarios y equipos 78
B
Base de datos administracin 379 volver a configurar 382 base de datos asistente de configuracin del servidor de administracin 380 cambio de los parmetros de tiempo de espera 405 copia de seguridad 381 automtica 389 edicin descripcin 391 nombre 391 errores 405 errores CGI 405 errores de proceso terminados 405 integrada convencin de nomenclatura 380 mantenimiento 403404 Microsoft SQL archivo bcp.exe 393 convenciones de nomenclatura 380 programar copia de seguridad automtica 389 restaurar paso 390 tamao 381 Utilidad Symantec Database Backup and Restore 380 volver a configurar integrada 394 Microsoft SQL 392 bibliotecas. Ver firmas IPS
C
Caballos de Troya 437, 569 cach de archivos para Auto-Protect para el sistema de archivos 484 Cambiar nombre grupo 63 un administrador 336 cambio de contrasea administrador 337 Candados iconos de candado 178 carpetas anlisis de seleccin 462 Categora de riesgo Otros 438 Centro de seguridad de Windows 456 Certificado archivo de almacn de claves JKS 373 archivo de claves privadas y certificado (formato DER y PEM) 374 archivo del almacn de claves PKCS12 374 digital 373 servidor 373 certificado actualizacin 374 Cifrado 373 ClassGuid 620 Cliente 416 Ver tambin replicacin actualizaciones herramientas de distribucin de otro fabricante 169 Intelligent Updater 167 comandos 657
676
ndice
interfaz de usuario configuracin 183 configurar 178 registro de control 603 replicacin de paquetes 416 cliente definicin 65 desconectado 239 eliminacin de paquetes de actualizacin 137 interfaz de usuario acceso a 177 configuracin 179 normas 523 proteccin mediante contrasea 185 Cliente administrado bloquear y desbloquear 178 Cliente de Mac Auto-Protect para el sistema de archivos 485 excepciones centralizadas 485, 648 Clientes autoadministrados distribucin de actualizaciones con herramientas de otro fabricante 173 Clientes de una versin anterior 158 clientes de versiones anteriores polticas antivirus y antispyware para 434 clientes desconectados 239 clientes, tipos 65 Comando smc 657 Comandos cliente 657 ejecutar de registros 303 ejecutar en clientes desde la consola 81 Cmo agregar productos a Protection Center 53 Cmo registrar productos en Protection Center 53 compartir archivos e impresoras 560 Componentes producto 31 comunicacin problemas entre el cliente y el servidor 200 Conectividad usar un navegador para probar 203 conectividad comunicacin entre el cliente y el servidor 200 ejecutar una actualizacin de polticas manual 120 establecer una comunicacin ping para probar 202
usar el comando telnet para probar 204 conexin del cliente icono de estado 197 Configuracin firewall 514, 534 Configuracin de ocultacin 534 enmascaramiento de huella digital del sistema operativo 534 nueva secuencia TCP 534 Configuracin del servidor exportacin e importacin 353 Configuracin del servidor XML 353 conjunto de normas de control de aplicaciones configuracin de prioridades 614 modos 597, 616 consideraciones alternar de modo 71 Consola acerca de 44 consola aumentar tiempo de espera 343 consolas remotas concesin del acceso 351 Contenido acerca de almacenar revisiones 148 actualizar en clientes y servidores de administracin 140 clculo aleatorio 150 mtodos de distribucin 142 contenido revisiones que no son la ltima versin 151 Contrasea tercero 350 Contrasea de otro fabricante 350 Control de aplicaciones configurar 606 Control de aplicaciones y dispositivos informes 245 normas 599 registros 245, 290, 603 control de clientes 180 Control de nivel de aplicaciones 596 Control de nivel de dispositivos control de aplicaciones y dispositivos 602 control de servidores 180 control mixto 181 acerca de 182 configuracin de opciones de proteccin contra amenazas de red 553
ndice
677
Controlador de dominio de Active Directory exclusiones automticas 444 copia de seguridad base de datos 381 Base de datos de Microsoft SQL con el asistente Microsoft SQL 384 Base de datos de Microsoft SQL de la consola 383 base de datos integrada desde la consola 388 Cuarentena acerca de 435 administrar elementos 435 borrar archivos 304 envo de elementos a Symantec 475 opciones de limpieza 473 cuarentena directorio local 471 opciones 471 remisin de elementos a la Cuarentena central 474 Cuenta de administrador acerca de 322 Cuenta de administrador limitada en Protection Center 53 Cuentas en Protection Center 51 Cumplimiento informes 246 registros 246, 291
E
Elaboracin de informes aspectos importantes 283 conceptos bsicos 215 horarios de anlisis de equipos cliente 283 idioma 283 marcas de fecha 283 SSL 283 Symantec AntiVirus de versin anterior 283 Symantec Endpoint Protection pgina principal 217 zonas horarias 283 elaboracin de informes Preferencias de la pgina principal 231 registros 287 Symantec Network Access Control pgina principal 226 Enmascaramiento de huella digital del sistema operativo 534 Envo de informacin de amenazas a Symantec 468 Envos configuracin de opciones 470 envo de elementos a Symantec 475 envo de informacin a Symantec 468 envos 470 envo al servidor de Cuarentena central 474 Equipo cliente ejecutar comandos en 77 modos 68 reinicio 77 solucin de problemas 202 equipo cliente modos 65 Equipo virtual clculo aleatorio de descargas de contenido simultneas 150 equipos buscar 78 equipos infectados visualizar resultados de Auto-Protect en 492 errores CGI base de datos 405 errores de proceso terminados base de datos 405 Estado clientes y equipos 75 Estado del cliente ver 75
D
datos del cliente buscar 78 Depurar registros. Ver registros derechos de acceso 330 Distribucin de contenido de otro fabricante acerca de 169 activar con una poltica de LiveUpdate 170 en clientes administrados 170 requisito de la clave de registro de Windows para autoadministrados 173 usar con los clientes autoadministrados 173 Documentacin Symantec Protection Center 55 dominio actual 325 dominios actual 325 adicin 324
678
ndice
Estado del equipo informes 248 registros 248, 293 ver 75 Estructura del grupo acerca de 60 Eventos acerca de 216 Excepciones 640 Ver tambin Excepciones centralizadas excepciones firmas IPS 542 Excepciones centralizadas 640 Ver tambin Polticas de excepciones centralizadas aplicaciones de tecnologa de asistencia 651 archivos 646 carpetas 646 extensiones 647 forzar una deteccin de TruScan 650 para anlisis antivirus y antispyware 641 para anlisis de amenazas proactivos TruScan 641, 649 para el cliente de Mac 485, 648 para procesos detectados 649 Proteccin contra intervenciones 651 proteccin contra intervenciones 642 riesgos de seguridad conocidos 645 excepciones centralizadas aplicaciones de tecnologa de asistencia 655 para anlisis de amenazas proactivos 584 Sucesos de anlisis de amenazas proactivos TruScan 654 Sucesos de Proteccin contra intervenciones 655 sucesos de riesgos 653 excepciones de IPS 542 Exclusiones. Ver Excepciones centralizadas creado automticamente 442 Exclusiones automticas acerca de 442 para Microsoft Exchange Server 443 exclusiones automticas para el controlador de dominio de Active Directory 444 para los productos de Symantec 443 Exportacin Lista de servidores de administracin 196 paquetes de instalacin de clientes 132
exportacin normas de firewall 531 polticas 110 extensiones anlisis de seleccin 461
F
Falsos positivos 580 falsos positivos 540 reduccin al mnimo 545 Filtrado de trfico inteligente 533 Filtro grupos 282 Filtros usuarios y equipos 76 filtros guardar en registros 299 Firewall configuracin del trfico 534 firewall acerca de 512513 notificaciones 567 firmas. Ver firmas IPS firmas IPS personalizadas acerca de 539 asignacin de bibliotecas a un grupo 548 bibliotecas 546, 548 copiado y pegado 549 creacin 545 crear una biblioteca 546 modificar el orden 548 variables 549 Symantec acerca de 538 excepciones 542 modificacin del comportamiento 542 Formato DER 374 PEM 374 Formato DER 374 Formato PEM 374
G
Grupo agregar 61 cambiar nombre 63
ndice
679
grupo bloqueo 73 mover 64 Grupo Mi empresa 60 Grupo predeterminado 60 grupo principal. Ver herencia Grupos definicin 60 herencia 65 predeterminado 60 grupos asignacin de lista de servidores de administracin 194 buscar 78 en paquetes de instalacin de clientes 70 especificar una lista de servidores de administracin 192 grupos de hosts adicin a una norma 556 creacin 554 edicin 555 eliminacin 555 GUID como control de dispositivos 602 GUID de Windows ID de clase 620 Gusanos 437
H
Herencia habilitacin 65 herencia normas de firewall 522, 530 Herramienta de distribucin de clientes Buscar equipos no administrados 133 Herramientas de piratera 437 hosts adicin a una norma 556 equipo local y remoto 518 exclusin de la prevencin de intrusiones 544 origen y destino 518 hosts excluidos 544 Huellas digitales de archivos 624
I
icono de estado. Ver conexin del cliente Iconos candado 178
Iconos de candado 178 ID de clase acerca de 619 ID del dispositivo acerca de 619620 como control de dispositivos 602 obtencin 621 Implementacin con Buscar equipos no administrados 133 Importacin polticas 111 importacin informacin de usuario desde bsqueda del servidor de directorios LDAP 360 normas de firewall 531 Importar archivos de polticas limitaciones 661 informacin de usuario desde un servidor LDAP 358 normas de firewall limitaciones 661 importar unidades organizativas 361 Informacin de usuario recopilar 131 Informes 278 Ver tambin informes programados almacenamiento de las opciones de configuracin 276 anlisis 260 configurar los filtros 243 control de aplicaciones y dispositivos 245 cumplimiento 246 descripcin general 242 eliminacin de las opciones de configuracin 276 en Protection Center 55 estado del equipo 248 proteccin contra amenazas de red 252 proteccin proactiva contra amenazas 255 resolucin de pantalla 266 riesgo 256 sistema 262 tipos 242 ver 266 informes almacenamiento 282 auditora 245
680
ndice
filtro ltimas 24 horas 281 Impresin 282 Informes favoritos Symantec Endpoint Protection personalizacin 223 Informes programados 278 Ver tambin informes acerca de 278 creacin 279 eliminacin 280 modificacin 279 Informes rpidos configuracin bsica de filtro 271 creacin 275 Inicio de sesin en Symantec Protection Center 50 inspeccin. Ver inspeccin de estado inspeccin de estado acerca de 524 creacin de normas de trfico 524 Integridad del host acerca de 38 Intelligent Updater 166167 Interfaz de usuario configuracin 183 configurar 178 interfaz de usuario acerca de 177 configurar 179 IPv4 557 IPv6 557
visualizacin de grupos y ubicaciones asignados 195 LiveUpdate acerca de actualizar contenido 140 actualizar definiciones y contenido 141 administrador de LiveUpdate 144 archivos MSI y MSP 147 cmo cambiar las polticas de contenidos aplicadas a los grupos 155 configuracin de Poltica de configuracin 152 configuracin de una Poltica de contenido 154 configurar un sitio para descargar actualizaciones 147 firmas y definiciones 141 Intelligent Updater 166 opciones de la distribucin de otro fabricante 142 polticas acerca de 151 configurar 152, 154 Proveedor de actualizaciones grupales 156 proveedor de actualizaciones grupales 162 revisiones de contenido 148 tipos de actualizaciones 141 usar con la replicacin 147 uso de las herramientas de distribucin de otro fabricante en lugar del 169
M
Marcadores 437 Mensaje de aviso adicin a mensaje de correo infectado 493 mensaje de aviso ejemplo 467 visualizacin en equipos infectados 466 Mensajes de correo electrnico 486, 495 Ver tambin Auto-Protect para correo electrnico de Internet Ver tambin mensajes de correo electrnico infectados mensajes de correo electrnico para normas de firewall 568 Mensajes de correo electrnico infectados agregar advertencia a 492 notificacin a otros usuarios 495 notificacin de remitentes 493 mensajes de notificacin para anlisis antivirus y contra software espa 466
L
Lista de huellas digitales de archivos combinacin 628 edicin 627 Lista de servidores de administracin agregar 191 exportacin e importacin 196 lista de servidores de administracin acerca de 190 asignacin a grupo y ubicacin 194 copiado 196 especificacin para un grupo 192 lista predeterminada 190 pegado 196 prioridad del servidor 193 reemplazo 195
ndice
681
Microsoft SQL administrar base de datos 379 Modo de equipo 68 modo de equipo 65 Modo de produccin 597, 616 Modo de prueba 597, 616 Modo de usuario 68 modo de usuario 65 Modos equipo cliente 68 modos 616 equipo cliente 65 Motores IPS 537 motores IPS basado en paquete 539 basado en secuencia 538 mover grupo 64 mover usuarios y equipos acerca de 74
N
niveles de control 179 niveles de control del usuario 179 normas. Ver normas de firewall Normas de firewall importar limitaciones 661 normas de firewall acciones 516 acerca de 515, 523 activacin 532 activadores 516 activadores de adaptador de red 520 activadores de servicio de red 519 adaptadores de red adicin 562563 edicin y eliminacin 564 adicin mediante el asistente 529 usar norma vaca 526 aplicaciones 517 adicin 564 cliente 523 condiciones 516 copiar 531 desactivacin 532 elementos 516 exportacin 531
grupos de hosts adicin 556 creacin 554 edicin y eliminacin 555 herencia 522, 530 hosts 517 importacin 531 lista 521 mensajes de correo electrnico 568 modificar el orden 532 orden de procesamiento 521 modificacin 532 pegar 531 programaciones adicin 565 servicios de red adicin 557, 559 edicin y eliminacin 558 servidor 523 normas vacas 526 notificaciones anlisis de amenazas proactivo TruScan 590 opciones de Auto-Protect 490 Proteccin contra amenazas de red 566 Nueva secuencia TCP 534 Nmero de serie. Ver Nmero de serie de polticas Nmero de serie de polticas ver en el cliente 119
O
opciones Proteccin contra amenazas de red 553 opciones administradas configurar en el cliente 177 Opciones bloqueadas y desbloqueadas cliente 178 Opciones de arquitectura de redes para la administracin de otro fabricante de actualizaciones 142 opciones de comunicacin cliente y servidor 665
P
Pgina principal Symantec Endpoint Protection acerca de 217 utilizacin 217
682
ndice
pgina principal Symantec Endpoint Protection personalizacin 223 vnculos de Security Response 225 Symantec Network Access Control acerca de 226 utilizacin 226 Paquetes de instalacin de clientes acerca de 127 adicin de actualizaciones 135 configuracin 129 exportacin 132 recopilacin de informacin de usuarios 131 paquetes de instalacin de clientes adicin 135 configuracin 129130 parmetros de tiempo de espera base de datos 405 PC-cillin 517 Plan para ataques de virus 428 Plantillas para anlisis programados 498, 500 Poltica acerca de 99 agregar compartida pgina Poltica 103 compartida 101 edicin 105 edicin de polticas compartidas pgina Polticas 105 herencia 65 importacin 111 importacin de archivos de polticas 661 no compartida 101 predeterminada 98 retirar 107 poltica adicin de polticas no compartidas desde exportado 105 pgina Clientes 104 agregar compartida desde una carpeta compartida existente 104 asignar compartida 107 eliminar compartida 108 eliminar no compartida 109 exportar compartida pgina Polticas 110 LiveUpdate 151 Poltica compartida. Ver poltica
poltica heredada mover un grupo con 64 Poltica predeterminada 98 Polticas antivirus y antispyware acerca de 432 administrar la interaccin del cliente 454 anlisis programados 498 anlisis programados para los clientes de Mac 500 bloquear configuracin 434 clientes de versiones anteriores 434 configurar la gestin de registros 454 configurar opciones del Centro de Seguridad de Windows 456 opciones de envos 468 poltica de alto rendimiento 433 poltica de seguridad elevada 433 poltica predeterminada 433 trabajar con 435 Polticas de control de aplicaciones y dispositivos 37 creacin 604 estructura 594 normas desactivacin 615 prioridades 614 tipos de controles 594 trabajar con 603 Polticas de excepciones centralizadas 640 Ver tambin Excepciones centralizadas configuracin 643 crear excepciones de sucesos de registro 652 excepciones para los anlisis de amenazas proactivos TruScan 649 interaccin del cliente 642 para anlisis antivirus y antispyware 644 restricciones de clientes 652 trabajar con 640 Polticas de firewall acerca de 514 preferencias elaboracin de informes 231 Prevencin de intrusiones acerca de 537 bloquear equipos atacantes 543 configurar 540 prevencin de intrusiones acerca de 512 activacin 541 desactivar en los equipos especificados 544
ndice
683
notificaciones 567 prioridades de normas Polticas de control de aplicaciones y dispositivos 614 Producto acerca de 29 componentes 31 funciones principales 35 Productos de Symantec exclusiones automticas 443 Programa de lectura de pantalla aplicacin bloqueada por Proteccin contra intervenciones 642 programacin copia de seguridad automtica de base de datos 389 copia de seguridad cuando sea necesaria de la base de datos integrada 388 copia de seguridad manual de base de datos de Microsoft SQL 383 copia de seguridad manual de la base de datos con el Asistente para el mantenimiento de bases de datos Microsoft SQL 384 programaciones adicin a una norma 565 Programas broma 438 Programas de acceso remoto 438 propiedades grupo 64 propiedades del grupo visualizacin 64 propiedades del usuario y del equipo visualizacin 77 Proteccin antivirus y antispyware bloquear y desbloquear funciones 178 conceptos bsicos 428 Proteccin contra amenazas de red activacin 552 configuracin para el control mixto 553 creacin de notificaciones 566 desactivacin 552 descripcin general 512 informes 252 registros 252, 294 Proteccin contra intervenciones administracin 419 bloquear y desbloquear funciones 178 excepciones centralizadas 642, 651 mensajes 421
Proteccin mediante contrasea anlisis de unidades asignadas 455 cambio de contrasea 455 proteccin mediante contrasea cliente 185 parmetros 662 Proteccin proactiva contra amenazas acerca de 37 informes 255 proteccin proactiva contra amenazas 576 Protocolo HTTP 191 Protocolo HTTPS 191 Protocolo LDAP 358 Protocolos HTTP 191 HTTPS 191, 373 LDAP 358 protocolos adicin 557 adicin a una norma 559 edicin y eliminacin 558 Proveedor de actualizaciones grupales administracin 156 bsqueda 165 clientes de una versin anterior 158 controlar descargas de contenido 162 tipos 158 nico 158, 162163 varios 158, 162, 164 Proveedores de actualizaciones de grupo varios 160 Publicidad no deseada 437 Puertos personalizados en Protection Center 53
R
reconfiguracin Base de datos de Microsoft SQL 392 base de datos integrada 394 Recopilar informacin de usuario 131 registro externo 307 Registros acceso remoto 298 actualizacin 296 anlisis 260, 295 anlisis de amenazas proactivo TruScan 255, 294 auditora 289
684
ndice
cliente configuracin de tamao 400 comprobar los registros de depuracin en el cliente 204 comprobar los registros de la bandeja de entrada 205 control de aplicaciones y dispositivos 245, 290 cumplimiento 246, 291 ejecutar comandos de 303 errores de la base de datos 296 estado del equipo 248, 293 proteccin contra amenazas de red 252, 294 registro de control de clientes 603 replicar 298 riesgo 256, 295 eliminar archivos de Cuarentena 304 sistema 262, 295 tipos 288 ver remotamente 298 visualizacin 296 registros 245, 287 administracin 403 almacenamiento 395 borrar de base de datos 397 detalles de sucesos 297 eliminacin de las opciones de configuracin 300 exportacin de datos 307 filtrado 299 filtro ltimas 24 horas 299 guardar configuraciones de filtro 299 IIS 205 mantenimiento de la base de datos opciones 404 servidor configuracin de tamao 398 Registros de sucesos 296 registros de sucesos filtro ltimas 24 horas 281, 299 Registros e informes de firewall. Ver Proteccin contra amenazas de red Reinicio 77. Ver Reinicio comando 81 Replicacin LiveUpdate y 147 paquete de clientes 416 replicacin agregar partner de replicacin 412 combinacin de datos 411
configuracin inicial 407 posterior a la instalacin 407 desconexin de partner de replicacin 414 descripcin general 407 ejemplo 410 ejemplo ilustrado 409 frecuencia 415 opciones de comunicacin 410 programacin manual 414 registros 417 Respuesta activa configuracin 543 Retirar una poltica 107 Riesgo 436 Ver tambin Riesgos de seguridad deteccin 436 eliminacin 234 informes 256 registros 256, 295 riesgo registros eliminar archivos de Cuarentena 304 Riesgos de seguridad 436 Ver tambin Riesgo acciones 434 configuracin de acciones 464 sobre las acciones para los clientes de Mac 453 sobre las acciones para los clientes de Windows 452 riesgos de seguridad ignorar durante el anlisis 463 proceso que contina descargando 441 Rootkits 436 RSA SecurID requisitos previos de autenticacin 335
S
servicios adicin 557 adicin a una norma 559 edicin y eliminacin 558 servicios de red activadores 519 adicin a la lista predeterminada 557 adicin a una norma 559 edicin 558 eliminacin 558
ndice
685
Servidor adicin de servidor de directorios 356 proxy FTP 365 proxy HTTP 365 servidor administracin 349 directorio 355 normas 523 registros 398 Servidor de Active Directory filtro 356 importacin de la informacin de usuarios de 61 Servidor de Microsoft Exchange exclusiones automticas 443 Servidor proxy Servidor proxy FTP 365 Servidor proxy HTTP 365 servidor RSA configurar la autenticacin de SecurID 370 usar con Symantec Endpoint Protection Manager 369 Servidores de directorios agregar 356 servidores de directorios acerca de 355 sincronizacin 357 Servidores de directorios LDAP filtro 356 importar informacin de usuario de 358 servidores de directorios LDAP bsqueda de usuarios 358 importar informacin de usuario de 360 unidades organizativas 361 sincronizacin servidores de directorios 357 unidades organizativas 362 Sistema informes 262 registros 262, 295 Sitio Web de Security Response Symantec Endpoint Protection acceso desde pgina principal 225 Software de seguimiento 438 Solucin de problemas con Buscar equipos no administrados 133 problemas de los clientes 202 reiniciar los equipos cliente 77
Spyware 438 Sucesos agrupacin 400 sucesos agrupacin 398 mantenimiento de la base de datos opciones 404 supervisin de aplicaciones de red 569 Symantec Endpoint Protection Manager comienzo automtico del servicio 350 eliminar varias instalaciones 352 Symantec Protection Center. Ver Protection Center arquitectura 48 cmo agregar productos 51 cuentas 51 documentacin 55 informes 55 inicio de sesin 50 inicio de sesin predeterminado 50 registrar/agregar productos 53 tablero 51 Symantec Security Response 430 envos 470
T
Tablero Symantec Protection Center 51 Tasas de deteccin envo de informacin a Symantec 469 Tecnologa de asistencia crear excepciones centralizadas para 642, 651 tecnologa de asistencia crear excepciones centralizadas para 655 tipos de clientes 65 Trfico activar trfico inteligente 533 configuracin 534 Trfico DHCP 533 Trfico DNS 533 Trfico ICMP 525 Trfico TCP 525 Trfico UDP 525 Trfico WINS 533 Trend Micro PC-cillin 517 TruScan envo de informacin a Symantec 468
686
ndice
U
unidades organizativas importacin 361 importar 61 sincronizacin 362 URL especificar la pgina principal del navegador 460 que aparece en notificaciones de error 459 uso compartido de impresoras 560 usuarios buscar 78 Usuarios y equipos filtrado 76 Utilidad Symantec Database Backup and Restore 380
V
variables en firmas 549 Virus 436 acciones 434 configuracin de acciones 464 sobre las acciones para los clientes de Mac 453 sobre las acciones para los clientes de Windows 452 visualizar propiedades del usuario y del equipo 77 Volver a configurar una base de datos 382