Professional Documents
Culture Documents
Symantec Endpoint
Protection y Symantec
Network Access Control
Aviso legal
Copyright 2009 Symantec Corporation. Todos los derechos reservados.
Symantec, el logotipo de Symantec, Bloodhound, Confidence Online, Digital Immune System,
LiveUpdate, Norton, Sygate y TruScan son marcas comerciales o marcas comerciales
registradas de Symantec Corporation o de sus afiliadas en los EE. UU. y otros pases. Otros
nombres pueden ser marcas comerciales de sus respectivos propietarios.
Este producto de Symantec puede contener software de otros fabricantes para el cual
Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de
los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto
o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn
derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software
gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte
el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo
Lame TPIP que acompaa este producto de Symantec.
El producto descrito en este documento se distribuye de acuerdo con licencias que restringen
su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir
cualquier parte de este documento de cualquier forma y mediante cualquier medio sin
autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder
sus licencias, de haberlos.
LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE
GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS,
REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE
COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE
DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ
LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES
O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE
ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST
SUJETA A CAMBIOS SIN PREVIO AVISO.
El Software y la Documentacin con licencia se consideran programas informticos
comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la
Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo
definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas
informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la
Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los
programas informticos comerciales y la documentacin de programas informticos
Soporte tcnico
El soporte tcnico de Symantec cuenta con centros de soporte global. El rol
principal del soporte tcnico es responder a las consultas especficas sobre
funciones del producto y funcionalidad. El grupo de soporte tcnico, adems,
elabora el contenido para nuestra Base de conocimientos en lnea. El grupo de
soporte tcnico trabaja con otras reas funcionales dentro de Symantec para
contestar las preguntas a tiempo. Por ejemplo, el grupo de soporte tcnico trabaja
con el Departamento de Ingeniera y Symantec Security Response para
proporcionar servicios de alertas y actualizaciones de definiciones de virus.
Las ofertas de mantenimiento de Symantec incluyen lo siguiente:
Informacin de hardware
Sistema operativo
Topologa de red
Servicio al cliente
La informacin del servicio al cliente est disponible en la siguiente URL:
http://www.symantec.com/techsupp
El servicio al cliente est disponible para ayudar con los siguientes tipos de
problemas:
customercare_apac@symantec.com
semea@symantec.com
supportsolutions@symantec.com
Servicios de seguridad
administrada
Servicios de consultora
Servicios educativos
Contenido
Seccin 1
Captulo 1
Captulo 2
Captulo 3
15
16
17
17
19
20
21
22
22
25
25
28
29
29
29
31
32
32
33
33
36
Contenido
37
38
38
39
40
41
41
42
43
44
45
45
47
Seccin 2
Captulo 4
51
51
52
52
53
53
57
58
59
60
Captulo 5
64
64
64
65
66
Contenido
66
67
68
69
69
70
71
72
72
72
73
74
77
77
79
79
80
80
82
84
84
85
87
88
91
92
92
93
96
97
98
98
10
Contenido
Captulo 6
105
105
106
107
108
109
109
110
111
112
113
114
114
115
Contenido
Captulo 7
117
119
119
120
121
123
124
129
130
131
131
132
133
133
134
136
138
139
139
140
142
Seccin 3
Captulo 8
147
149
150
150
150
151
152
155
11
12
Contenido
Seccin 4
Captulo 9
159
162
162
164
165
165
166
166
166
167
168
168
168
169
169
170
170
Seccin
14
Captulo
16
Tipo de cliente
Descripcin
Tipo de informacin
Direccin web
http://www.symantec.com/es/mx/business/products/downloads/
17
18
Tipo de informacin
Direccin web
http://www.symantec.com/business/support/overview.jsp?pid=54619
Versiones
http://www.symantec.com/business/support/overview.jsp?pid=52788
Actualizaciones de la documentacin
y manuales
Opciones de contacto
Notas de la versin e informacin
adicional posterior al lanzamiento
Informacin y actualizacin de virus http://www.symantec.com/es/mx/security_response/
y otras amenazas
Noticias y actualizaciones de
productos
http://www.symantec.com/es/mx/business/
http://www.symantec.com/connect/security/forums
http://www.symantec.com/connect/security/forums/network-access-control
Captulo
Respuesta al cliente
En este captulo se incluyen los temas siguientes:
Notificaciones
relacionadas con
aplicaciones
20
Respuesta al cliente
Acciones sobre los archivos infectados
Alertas de seguridad
Respuesta al cliente
Acciones sobre los archivos infectados
21
22
Respuesta al cliente
Acerca de las notificaciones y alertas
Alertas de seguridad
Es posible ver el tipo siguiente de mensaje, que le dice cuando una aplicacin o
un servicio intenta acceder a su equipo:
Internet Explorer (IEXPLORE.EXE) est intentando conectarse a
www.symantec.com.mx mediante el puerto remoto 80 (HTTP - World Wide Web).
Desea permitir que este programa acceda a la red?
Si desea que el cliente recuerde su opcin la prxima vez que esta aplicacin
intente acceder a su conexin de red, haga clic en Recordar mi respuesta y
no solicitarla nuevamente para esta aplicacin.
Respuesta al cliente
Acerca de las notificaciones y alertas
Si selecciona la casilla
de verificacin
Recordar mi
respuesta
Si hace clic en
El cliente
No
No
No
No
23
24
Respuesta al cliente
Acerca de las notificaciones y alertas
o
Symantec Endpoint Protection no estaba funcionando, pero ser iniciado.
Sin embargo, Symantec Endpoint Protection no puede mostrar la
interfaz de usuario. Si est utilizando la funcin de cambio rpido
de usuario de Windows XP, asegrese de todos los usuarios cierren
sesin en Windows e intente desconectarse de Windows y despus
volver a iniciar sesin. Si est utilizando los servicios
de terminal, la interfaz de usuario no se admite.
Respuesta al cliente
Acerca de las notificaciones y alertas
Intrusiones
25
26
Respuesta al cliente
Acerca de las notificaciones y alertas
Captulo
Configuracin de la
proteccin
En este captulo se incluyen los temas siguientes:
Modificar ubicaciones
28
Configuracin de la proteccin
Cmo se mantiene actualizada la proteccin de su equipo
Configuracin de la proteccin
Acerca de los clientes administrados centralmente y los clientes autoadministrados
29
30
Configuracin de la proteccin
Acerca de los clientes administrados centralmente y los clientes autoadministrados
Tabla 3-1
Tipo de cliente
Descripcin
Cliente
administrado
centralmente
Cliente
Un cliente autoadministrado no se comunica con un servidor de
autoadministrado administracin y un administrador no administra el cliente.
Un cliente autoadministrado puede ser uno de los siguientes tipos:
Un equipo independiente que no se conecta a una red, como un
equipo personal o un equipo porttil. El equipo debe incluir una
instalacin de Symantec Endpoint Protection que utilice las
opciones predeterminadas o una configuracin preestablecida por
un administrador.
Un equipo remoto que se conecte a la red corporativa y que deba
cumplir los requisitos de seguridad para conectarse.
Configuracin de la proteccin
Convertir un cliente no administrado en un cliente administrado
Tabla 3-2
Cliente autoadministrado
Opciones de
proteccin y virus
Configuracin de la
administracin de
clientes y de
Proteccin contra
amenazas de red
31
32
Configuracin de la proteccin
Acerca de las polticas de seguridad
Configuracin de la proteccin
Verificar que las polticas se han actualizado
33
34
Configuracin de la proteccin
Cmo habilitar y deshabilitar las tecnologas de proteccin
Tabla 3-3
Tecnologa de
proteccin
Configuracin de la proteccin
Cmo habilitar y deshabilitar las tecnologas de proteccin
Tecnologa de
proteccin
Proteccin contra
amenazas de red
El icono del cliente aparece con un signo universal de negacin, un crculo rojo
con una barra diagonal. El icono del cliente aparece como un escudo completo
en la barra de tareas en la esquina inferior derecha del escritorio de Windows.
En algunas configuraciones, el icono no aparece.
Ver "Acerca del icono del rea de notificacin" en la pgina 45.
35
36
Configuracin de la proteccin
Cmo habilitar y deshabilitar las tecnologas de proteccin
Configuracin de la proteccin
Cmo habilitar y deshabilitar las tecnologas de proteccin
37
38
Configuracin de la proteccin
Actualizacin de la proteccin del cliente
Configuracin de la proteccin
Cmo actualizar su proteccin de forma inmediata
Las actualizaciones del programa son mejoras al cliente instalado. Estas son
diferentes de las actualizaciones del producto, que son versiones ms recientes
del producto. Las actualizaciones del producto se crean generalmente para ampliar
la compatibilidad del sistema operativo o del hardware, para ajustar cuestiones
de rendimiento o para reparar errores del producto. Las actualizaciones del
producto aparecen cuando son necesarias. El cliente recibe actualizaciones del
producto directamente de un servidor de LiveUpdate. Un cliente administrado
centralmente puede adems recibir actualizaciones del producto automticamente
de un servidor de administracin en su empresa.
Tabla 3-4
Tarea
Descripcin
39
40
Configuracin de la proteccin
Actualizacin de su proteccin en una programacin
Configuracin de la proteccin
Probar la seguridad del equipo
Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver
actividad de la red.
41
42
Configuracin de la proteccin
Modificar ubicaciones
denominada Oficina. Otras ubicaciones pueden incluir una VPN, una sucursal o
un hotel.
El cliente conmuta entre estas ubicaciones porque sus necesidades de seguridad
y uso pueden variar entre los entornos de red. Por ejemplo, cuando su equipo
porttil se conecta a la red de la oficina, el cliente puede utilizar un grupo de
polticas restrictivas que su administrador configur. Cuando se conecta a la red
domstica, sin embargo, el cliente puede utilizar un grupo de polticas que le da
acceso a ms opciones de configuracin. Su administrador planea y configura su
cliente como corresponde, de modo que el cliente salva esas diferencias
automticamente.
Nota: En un entorno administrado, puede modificar ubicaciones solamente si su
administrador le ha proporcionado el acceso necesario.
Modificar ubicaciones
Es posible modificar una ubicacin si es necesario. Por ejemplo, puede ser necesario
pasar a una ubicacin que permita a un colega acceder a los archivos en su equipo.
La lista de ubicaciones disponibles depende de sus polticas de seguridad y de la
red activa de su equipo.
Nota: De acuerdo con las polticas de seguridad disponibles, puede tener acceso a
ms de una ubicacin, o no. Puede ocurrir que cuando usted haga clic en una
ubicacin, no pase a esa ubicacin. Esto significa que su configuracin de red no
es apropiada para esa ubicacin. Por ejemplo, una ubicacin denominada Oficina
puede estar disponible solamente cuando detecta la red de rea local (LAN) de la
oficina. Si no est actualmente en esa red, no es posible pasar a esa ubicacin.
Para modificar una ubicacin
Configuracin de la proteccin
Acerca de la Proteccin contra intervenciones
43
44
Configuracin de la proteccin
Habilitar, deshabilitar y configurar Proteccin contra intervenciones
Configuracin de la proteccin
Acerca de evitar que un administrador reinicie su equipo
45
46
Configuracin de la proteccin
Acerca del icono del rea de notificacin
Tabla 3-5
Icono
En la Tabla 3-7, se describen los comandos que estn disponibles desde el icono
del rea de notificacin.
Configuracin de la proteccin
Ocultar y visualizar el icono del rea de notificacin
Tabla 3-7
Opcin
Descripcin
47
48
Configuracin de la proteccin
Ocultar y visualizar el icono del rea de notificacin
Seccin
50
Captulo
52
Anlisis de Auto-Protect
Auto-Protect se ejecuta constantemente y proporciona proteccin en tiempo
real supervisando la actividad de su equipo. Auto-Protect busca virus y riesgos
de seguridad cuando se ejecuta o se abre un archivo. Tambin busca virus y
riesgos de seguridad cuando se hace cualquier modificacin a un archivo. Por
ejemplo, al cambiar el nombre de un archivo, guardarlo, moverlo o copiarlo
en distintas carpetas
53
54
Figura 4-1
Otros equipos,
archivo de red
compartido
Internet
Virus y
software
malicioso y
riesgos de
seguridad
Virus y software
malicioso y
riesgos de
seguridad
Correo
electrnico,
mensajera
instantnea
Virus y software
malicioso y riesgos
de seguridad
Equipo cliente
Tabla 4-1 describe los tipos de virus y de software malicioso contra los cuales el
cliente protege.
Tabla 4-1
Virus
Descripcin
Virus
Caballos de Troya
Gusanos
Tabla 4-2 describe los tipos de riesgos de seguridad contra los cuales el cliente
protege.
Tabla 4-2
Riesgo de
seguridad
Publicidad no
deseada
Marcadores
Herramientas de
hackeo
55
56
Riesgo de
seguridad
Descripcin
Programas de
acceso remoto
Software espa
Software de
seguimiento
57
58
Estado de proteccin
NO ENCONTRADO
(rojo)
DESACTIVADO (rojo)
Tabla 4-4 muestra el informe del estado del firewall de Symantec Endpoint
Protection en WSC.
Tabla 4-4
NO ENCONTRADO
(rojo)
ACTIVADO (verde)
DESACTIVADO (rojo)
59
60
61
62
Captulo
Administracin de la
Proteccin antivirus y
contra software espa
En este captulo se incluyen los temas siguientes:
Acerca de Auto-Protect
Administracin de la cuarentena
64
Qu elementos analizar
Archivos de
programa
65
66
Tabla 5-1
Tipo
Tipos de excepcin
Descripcin
Archivos
Carpetas
Extensiones
Active Auto-Protect.
67
68
Acerca de Auto-Protect
Auto-Protect es la mejor defensa contra los ataques de virus. Cuando se copia,
guarda, mueve o abre un archivo, o cuando se accede a l, Auto-Protect lo analiza
para garantizar que no est infectado por un virus.
Auto-Protect analiza las extensiones de archivo que contienen cdigo ejecutable
y todos los archivos .exe y .doc. Auto-Protect puede determinar el tipo de un
archivo, incluso aunque un virus haya cambiado su extensin. Por ejemplo, un
virus puede cambiar una extensin de archivo por una diferente de las extensiones
de archivo configuradas para los anlisis de Auto-Protect.
Es posible habilitar e inhabilitar Auto-Protect si su administrador no bloquea esta
opcin.
69
70
Clientes IMAP
Clientes AOL
71
72
Por ejemplo, es posible que quiera analizar solamente las extensiones siguientes:
.exe
.com
.dll
.doc
.xls
Haga clic en Todos los tipos para analizar todos los archivos.
Haga clic en Seleccionados para analizar slo los archivos que coincidan
con las extensiones de archivo enumeradas y, a continuacin, haga clic
en Extensiones para cambiar la lista predeterminada de extensiones.
73
74
75
76
Escriba el nmero de segundos durante los cuales usted quisiera que las
entradas permanecieran en la memoria cach antes de que el equipo la
borre.
Anlisis disponibles
Tipo
Descripcin
Anlisis
personalizado
Active Scan
Anlisis completo
Definido por el
usuario
77
78
Componente
Descripcin
Archivos
seleccionados
Memoria del equipo El cliente analiza la memoria del equipo. Todos los virus de archivo,
de arranque y de macro pueden ser residentes en memoria. Los virus
se convierten en residentes en memoria al copiarse en la memoria
de una mquina. De esta forma, se pueden ocultar hasta que se
produzca un evento desencadenante. Cuando esto ocurre, el virus
puede propagarse a un disquete que se encuentre en la disquetera,
o al disco duro. Si un virus est en la memoria, no puede limpiarse.
Sin embargo, para eliminar un virus de la memoria se debe reiniciar
el equipo cuando se le solicite.
Componente
Descripcin
Sector de arranque
Unidad de disquetes Una manera comn en la que un virus se propaga es mediante los
disquetes. Un disquete puede permanecer en una unidad de disco
cuando se enciende o desactiva el equipo. Cuando un anlisis se
inicia, el cliente busca el sector de arranque y las tablas de
particiones de un disquete que se encuentre en la unidad de disco.
Cuando se desactiva el equipo, se le pedir que quite el disco para
evitar posibles infecciones.
79
80
analiza las reas del equipo que los virus y los riesgos de
seguridad infectan comnmente.
81
82
Acciones
Notificaciones
Avanzado
Mejoras de
anlisis
Excepciones
centralizadas
83
84
85
86
Tabla 5-4
Botn
Cerrar
Es posible abrir el registro del riesgo, hacer clic con el botn secundario en el
riesgo y despus tomar medidas.
87
88
89
90
Suprimir riesgo
Ver "Consejos para asignar segundas acciones para virus" en la pgina 91.
Ver "Consejos para asignar segundas acciones para riesgos de seguridad"
en la pgina 92.
Repita los pasos 1 y 6 para cada categora para la cual desee configurar
acciones especficas y, despus, haga clic en Aceptar.
91
92
El tipo de anlisis que En todos los anlisis se desarrollan acciones automticas sin el
se ejecuta en su equipo consentimiento expreso del usuario. Si no se modifican las acciones
antes de llevar a cabo un anlisis, se ejecutarn las acciones
predeterminadas. As, las segundas acciones predeterminadas
sirven para otorgar un mayor control al usuario en casos de
alarmas de virus. Para los anlisis que se ejecuta automticamente,
por ejemplo, los anlisis programados y los anlisis de
Auto-Protect, no asigne las segundas acciones que tienen efectos
permanentes. Por ejemplo, es posible realizar un anlisis manual
cuando ya se sepa que un archivo est infectado. Es posible limitar
las acciones Suprimir riesgo y Limpiar riesgo para este anlisis
manual.
Impacto en la privacidad
Impacto en el rendimiento
Ocultacin
Dificultad de la eliminacin
Un factor con clasificacin baja tiene un impacto mnimo. Un factor con una
clasificacin media tiene cierto impacto. Un factor con una clasificacin alta tiene
un impacto significativo en esa rea. Si an no se ha evaluado un riesgo de
seguridad especfico, se utiliza la clasificacin predeterminada. Si ya se ha evaluado
un riesgo, pero un factor en particular no se aplica, se emplea una clasificacin
nula.
Estas clasificaciones aparecen en el cuadro de dilogo Excepciones de riesgos de
seguridad cuando usted configura una excepcin centralizada para los riesgos de
Factor de
clasificacin
Descripcin
Impacto en la
privacidad
Impacto en el
rendimiento
Clasificacin de
ocultacin
Clasificacin de
eliminacin
Clasificacin general
93
94
Campo
Descripcin
NombreVirus
AccinEfectuada
Estado
Nombre de archivo
Equipo
Campo
Descripcin
Usuario
Evento
RegistradoPor
FechaDeteccin
95
96
Detener servicios
automticamente
97
98
Riesgo
Tipo
Ubicacin original
Estado
Fecha
Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente
no pueda interpretar algunos caracteres en los nombres de riesgos. Si el sistema
operativo no puede interpretar los caracteres, stos aparecen como signos de
interrogacin en las notificaciones. Por ejemplo, algunos nombres de riesgos en
unicode pueden contener caracteres de doble byte. En los equipos con el cliente
en un sistema operativo en ingls, estos caracteres aparecen como signos de
interrogacin.
Cuando el cliente mueve un archivo infectado a la cuarentena, el riesgo no puede
copiarse e infectar otros archivos. Esta accin es una de las segundas acciones
recomendadas para las infecciones de virus de macro y de virus que no son de
macro.
Sin embargo, la accin Poner en cuarentena no limpia el riesgo. El riesgo
permanece en el equipo hasta que el cliente limpie el riesgo o borre el archivo.
Los virus y los virus de macro pueden ser puestos en cuarentena. Los virus de
arranque no pueden ser puestos en cuarentena. Normalmente, los virus de
arranque se encuentran en el sector de arranque o en la tabla de particiones de
las mquinas, y estos elementos no se pueden poner en cuarentena.
Tambin se pueden ver las propiedades del archivo infectado.
Ver "Ver archivos y detalles en el rea de cuarentena" en la pgina 100.
Administracin de la cuarentena
Los archivos se ponen en cuarentena de las siguientes formas:
99
100
Haga clic con el botn secundario en el archivo que desee ver y, a continuacin,
haga clic en Propiedades.
Haga clic con el botn secundario en el archivo reparado y, despus, haga clic
en Restaurar.
101
102
Elementos en cuarentena
Elementos reparados
103
104
Captulo
Administrar la proteccin
proactiva contra amenazas
En este captulo se incluyen los temas siguientes:
106
Tabla 6-1
Tipo de procesos
Descripcin
Caballos de Troya y
gusanos
Registradores de
pulsaciones
107
108
109
110
111
112
113
114
El archivo ejecutable
115
116
foo.exe en cuarentena. Es posible crear una excepcin que especifique que los
anlisis de amenazas proactivos omitan el archivo foo.exe. El cliente entonces
restaura foo.exe. Cuando se vuelva a ejecutar foo.exe, el cliente lo omitir.
Su administrador puede tambin crear excepciones centralizadas para los anlisis.
Si crea una excepcin centralizada que est en conflicto con una excepcin definida
por el administrador, la excepcin definida por el administrador toma precedencia.
Para excluir un proceso de los anlisis de amenazas proactivos TruScan
Captulo
Administrar la Proteccin
contra amenazas de red
En este captulo se incluyen los temas siguientes:
118
Paso
Descripcin
Herramienta
Descripcin
Firewall
119
120
Prevencin de
intrusiones
Equipo cliente
Internet
Toda la informacin que ingresa en la red privada o sale de ella debe pasar por el
firewall. El firewall examina los paquetes de informacin y bloquea aquellos que
121
122
Tabla 7-3 detalla los problemas de seguridad comunes que supervisa el sistema
de prevencin de intrusiones.
Tabla 7-3
Problema
Proteccin
Anlisis de puertos
Ataque de negacin de Examina todos los paquetes de red en busca de ataques conocidos
servicio
especficos que limitan el uso de los servicios normales del equipo.
Intrusiones
Firmas IPS de Symantec Las firmas IPS de Symantec utilizan un motor basado en
secuencias que analiza varios paquetes. Las firmas IPS de
Symantec interceptan datos de red en el nivel de las sesiones y
capturan segmentos de los mensajes que pasan de un lado a otro
entre una aplicacin y la pila de red.
El IPS de Symantec examina los paquetes de dos maneras. Analiza
todos los paquetes de forma individual en busca de patrones que
no se ajusten a las especificaciones y que puedan dejar fuera de
servicio la pila TCP/IP. Tambin supervisa los paquetes en forma
de flujo de informacin en busca de comandos dirigidos a un
servicio particular para aprovecharse de alguna vulnerabilidad
del sistema o dejarlo fuera de servicio. Adems, puede recordar
la lista de patrones o de patrones parciales de paquetes anteriores
y aplicar esta informacin a inspecciones posteriores de paquetes.
IPS se basa en una detallada lista de firmas de ataques para
detectar y bloquear las actividades de red sospechosas. Symantec
proporciona la lista de amenazas conocidas, la cual se puede
actualizar en el cliente mediante Symantec LiveUpdate. El motor
IPS de Symantec y el correspondiente grupo de firmas IPS se
instalan en el cliente de forma predeterminada.
Firmas IPS
personalizadas
123
124
Filtros de trfico
inteligentes
Configuracin de trfico Habilita las funciones adicionales del trfico tales como
y modo de ocultacin
proteccin de NetBIOS, trfico de token ring, operaciones de
bsqueda inversa de DNS y configuracin del modo de ocultacin.
Ver "Habilitar la configuracin de trfico y de la navegacin
oculta por la Web" en la pgina 133.
Condicin
Descripcin
Activadores
Condiciones
Acciones
Tabla 7-5 describe los activadores que se pueden definir en una norma de firewall.
125
126
Tabla 7-5
Disparador
Descripcin
Aplicacin
Host
Protocolo
Adaptador de
red
La inspeccin de estado es compatible con todas las normas que dirigen el trfico
TCP. No es compatible con las normas que filtran el trfico ICMP. Para ICMP, se
deben crear normas que permitan el trfico en ambas direcciones cuando sea
necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban
respuestas, deber crear una norma que permita el trfico ICMP en ambas
direcciones.
Ver "Acerca de las conexiones UDP" en la pgina 127.
127
128
Para el trfico de estado de UDP, cuando se establece una conexin UDP, se permite
la comunicacin UDP entrante, incluso si la norma de firewall la bloquea. Por
ejemplo, si una norma bloquea las comunicaciones UDP entrantes para una
aplicacin especfica, pero usted elige permitir un datagrama UDP saliente, se
permiten todas las comunicaciones UDP entrantes para la sesin actual de la
aplicacin. Para UDP sin estado, es necesario crear una norma de firewall para
permitir la respuesta entrante de la comunicacin UDP.
El tiempo de espera de una sesin de UDP finaliza a los 60 segundos si la aplicacin
cierra el puerto.
Ver "Acerca de la inspeccin de estado" en la pgina 127.
2.
3.
4.
Tabla 7-6
Prioridad
Configuracin
Primer lugar
Segundo lugar
Tercer lugar
Cuarto lugar
Normas de firewall
Quinto lugar
Sexto lugar
Hosts
Puertos y protocolos
Aplicaciones
129
130
Para obtener ms informacin sobre las opciones de cada ficha, haga clic en
Ayuda.
Para que el firewall procese esta norma antes de la norma que se encuentra
encima de ella, haga clic en la flecha hacia arriba.
Cuando haya terminado de cambiar las normas de lugar, haga clic en Aceptar.
Haga clic con el botn secundario en las normas y, a continuacin, haga clic
en Exportar normas seleccionadas.
131
132
133
134
A fin de permitir que otros equipos exploren los archivos de su equipo, haga
clic en Compartir mis archivos e impresoras con otros en la red.
Para permitir de forma manual que los clientes busquen archivos e impresoras
135
136
Para permitir de forma manual que otros equipos busquen archivos en el cliente
Bloquear trfico
Es posible configurar su equipo para bloquear el trfico entrante y saliente en las
situaciones siguientes:
En la ficha Firewall, haga clic en Bloquear todo el trfico hasta que el firewall
se inicie y despus de que se detenga.
Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver
actividad de la red.
Para volver a la configuracin anterior del firewall que el cliente utiliza, deje
sin marcar Herramientas > Bloquear todo el trfico.
137
138
Una respuesta activa, que bloquea automticamente los equipos que envan
ataques.
Para or una seal sonora cuando aparece la notificacin, marque Usar sonido
al notificar a los usuarios.
139
140
Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver
opciones de aplicacin.
En los cuadros de grupo de los puertos del servidor remoto o los puertos
locales, seleccione un puerto TCP o UDP.
Para especificar la direccin del trfico, haga clic en una de las siguientes
opciones o en ambas:
141
142
10 Configure la programacin.
11 Haga clic en Aceptar.
12 En el cuadro de dilogo Ver opciones de aplicacin, para modificar la accin,
haga clic con el botn secundario en la aplicacin y, a continuacin, haga clic
en Permitir o Bloquear.
Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver
actividad de la red.
Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver
opciones de aplicacin.
Para quitar todas las aplicaciones de la lista, haga clic en Eliminar todo.
Haga clic en S.
143
144
Seccin
146
Captulo
Corregir el equipo
148
Tabla 8-1
Paso
Accin
Descripcin
Paso 1
El cliente evala
continuamente el
cumplimiento.
Paso 2
Paso 3
Su administrador puede
haber configurado la poltica
de modo que se apruebe la
comprobacin de integridad
del host incluso si falta un
requisito especfico.
Paso
Accin
Descripcin
Paso 4
Paso 5
Junto a Network Access Control, haga clic en Opciones > Comprobar ahora.
149
150
Corregir el equipo
Si el cliente encuentra que no se cumple un requisito de la poltica de integridad
del host, responde en una de las maneras siguientes:
Sistema
Para ver el Registro del sistema, al lado de Network Access Control, haga clic
en Opciones > Ver registros.
151
152
Para funcionar con LAN Enforcer, el cliente puede utilizar un suplicante de otro
fabricante o un suplicante integrado.
Tabla 8-2 describe los tipos de opciones que es posible configurar para la
autenticacin 802.1x.
Tabla 8-2
Opcin
Descripcin
Suplicante de otro
fabricante
Opcin
Descripcin
Modo transparente
153
154
En el equipo cliente, haga clic en Inicio > Configuracin > Conexiones de red
y despus haga clic en Conexin de rea local.
Reautenticar el equipo
Si su equipo aprob la comprobacin de integridad del host, pero Enforcer lo
bloquea, puede ser necesario reautenticar el equipo. Bajo circunstancias normales,
nunca debera ser necesario reautenticar el equipo.
Enforcer puede bloquear el equipo cuando ocurre uno de los siguientes eventos:
155
156
Seccin
Supervisin y registro
158
Captulo
Uso y administracin de
registros
En este captulo se incluyen los temas siguientes:
160
registros para realizar seguimientos de las tendencias relacionadas con los virus,
los riesgos de seguridad y los ataques al equipo. Si varias personas utilizan el
mismo equipo, es posible que pueda identificar quin introduce riesgos, y ayudar
a esa persona a tomar mayores precauciones.
Para obtener ms informacin sobre un registro, es posible presionar F1 y ver la
ayuda para ese registro.
Tabla 9-1 describe los tipos de evento que cada registro muestra.
Tabla 9-1
Registros de clientes
Registro
Descripcin
Registro de anlisis
Registro de riesgos
Registro del sistema de Contiene informacin sobre las actividades del sistema en su
Proteccin antivirus y equipo que estn relacionadas con los virus y los riesgos de
contra software espa seguridad. Esta informacin incluye cambios de configuracin,
errores e informacin de archivos de definiciones.
Registro de amenazas Contiene informacin sobre las amenazas que el Anlisis de
amenazas proactivo TruScan ha detectado en su equipo. Estas
incluyen las aplicaciones comerciales que se pueden utilizar con
propsitos maliciosos. Algunos ejemplos son los caballos de Troya,
gusanos, registradores de pulsaciones o los gusanos de correo
masivo y las amenazas basadas en scripts.
Registro del sistema de Contiene informacin sobre las actividades del sistema en su
Proteccin proactiva equipo que estn relacionadas con los anlisis proactivos de
contra amenazas
amenazas de TruScan.
Registro
Descripcin
Registro de trfico
Registro de paquetes
Registro de control
Registro de seguridad
Registro del sistema de Contiene informacin sobre todos los cambios operativos que han
Administracin de
ocurrido en su equipo. Los ejemplos incluyen actividades como
clientes
cuando un servicio se inicia o se detiene, el equipo detecta
aplicaciones de red, cuando se configura el software o el estado
de un cliente que acta como proveedor de actualizaciones de
grupo (GUP).
Registro de proteccin Contiene entradas sobre los intentos de intervenir las aplicaciones
contra intervenciones de Symantec en su equipo. Estas entradas contienen informacin
sobre los intentos que la Proteccin contra intervenciones haya
detectado o haya detectado y frustrado.
Registros de
depuracin
161
162
En el panel Registros, haga clic en el nombre del registro y haga clic en Ver
registro.
Informacin
Cambio de configuracin
Omisiones de anlisis
163
164
Envo de registros
El nmero de eventos que aparece en los dos Registros del sistema se puede reducir
mediante la visualizacin de determinados tipos de evento nicamente. Por
ejemplo, si desea ver solamente los eventos que se relacionan con Auto-Protect,
podra seleccionar solamente el tipo de carga o descarga de Auto-Protect. Si
selecciona un tipo, no se detiene la grabacin de eventos en las otras categoras.
Slo se ocultan las otras categoras cuando se visualiza el Registro del sistema.
Nota: Solamente los eventos relevantes estn disponibles para la exclusin de la
vista.
Para filtrar los Registros del sistema por categora del evento
165
166
167
168
169
170
Nota: Si filtra los datos del registro de cualquier manera y despus los exporta, se
exportan solamente los datos filtrados actualmente. Esta restriccin no se aplica
a los registros que se exportan a un archivo de texto delimitado por tabulaciones.
Todos los datos de esos registros se exportan.
Ver "Filtrar las vistas del registro" en la pgina 162.
Es posible exportar los registros siguientes a un archivo .txt delimitado por
tabulaciones:
En la ventana del registro, asegrese de que los datos que desee guardar
aparezcan y despus haga clic en Exportar.
171
172
Haga clic en el nombre del registro del cual desea exportar datos.
ndice
A
Acciones
asignacin de segundas acciones para virus 91
acciones
consejos para asignar segundas acciones para
riesgos de seguridad 92
Actualizar
definiciones 3840
Adaptadores
definicin 126
Anlisis. Ver Antivirus y contra software espa
anlisis de archivos por extensin 65
cmo funcionan 77
componentes que analizan 77
ejecucin 59
excluir archivos y carpetas 96
exclusin de los anlisis de amenazas proactivos
TruScan 115
interrupcin 60
manual y de inicio 83
programados 80
retraso 60
anlisis
archivos 64
archivos comprimidos 79
interpretacin de resultados 84
opciones de posposicin 60
todos los tipos de archivo 66
Anlisis activos
ejecucin 81
Anlisis al iniciar
analizar por extensin 65
anlisis al iniciar
edicin y eliminacin 84
Anlisis completos
ejecucin 81
anlisis de amenazas proactivo. Ver Anlisis de
amenazas proactivos TruScan
Anlisis de amenazas proactivos TruScan
acerca de 106
administracin 110
detecciones 108
envo de informacin 114
excepciones para 115
frecuencia 109
notificaciones 114
registros 160
anlisis de amenazas proactivos TruScan
acciones 112
acerca de 105
aplicaciones comerciales 111
falsos positivos 109
nivel de sensibilidad 112
tipos de procesos que se detectan 113
anlisis de inicio
creacin 83
Anlisis de puertos
puerto 122
Anlisis de red
opciones de Auto-Protect 75
Anlisis de riesgos de seguridad
deshabilitar en Auto-Protect 73
anlisis definidos por el usuario
edicin y eliminacin 84
Anlisis del correo electrnico. Ver Auto-Protect
Anlisis manuales
analizar por extensin 65
ejecucin 59
anlisis manuales
creacin 83
Anlisis personalizados
ejecucin 81
Anlisis programados
analizar por extensin 65
creacin 80
varios 80
anlisis programados
edicin y eliminacin 84
Aplicacin
acerca de 151
Aplicaciones
definicin 126
exclusin de anlisis 67, 96
174
ndice
B
Bloquear trfico 140
normas de firewall 129
bloquear trfico 136
C
Caballos de Troya
acerca de 54
carpeta Elementos de copia de seguridad
limpieza 101
Clasificacin de impacto del riesgo 92
Cliente
acerca de 15
apertura 46
deshabilitacin 46
interaccin 19
Clientes
administrados centralmente frente a
autoadministrados 29
deshabilitar la proteccin 33
Clientes administrados. Ver Clientes administrados
centralmente
actualizacin 29
Clientes administrados centralmente
frente a independientes 29
Clientes autoadministrados
acerca de 29
frente a administrados centralmente 29
Clientes independientes. Ver Clientes
autoadministrados
Clientes no administrados. Ver Clientes
autoadministrados
clientes no administrados
actualizacin 29
Comandos
icono del rea de notificacin 46
compartir archivos e impresoras 134
comprobacin de integridad del host
ejecucin 149
conexiones UDP
acerca de 127
Configuracin
firewall 123
Control de acceso a la red
acerca de 17, 147
aplicacin 151
control de acceso a la red
corregir el equipo 150
Correo electrnico
conexiones cifradas 71
ndice
correo electrnico
exclusin del archivo de bandeja de entrada de
los anlisis 64
liberacin de archivos adjuntos desde la
cuarentena 101
Cuarentena 97
administracin 99
borrar archivos 102
cuarentena
borrar archivos 99
eliminacin de archivos de copia de
seguridad 101
envo de archivos a Symantec Security
Response 103
liberacin de archivos 101
nuevo anlisis automtico de archivos 100
nuevo anlisis manual de archivos 101
supresin manual de archivos 102
traslado de archivos 98
tratamiento de archivos infectados 98
tratamiento de archivos infectados por riesgos
de seguridad 99
ver archivos infectados 98
visualizacin de detalles de archivo 100
D
Definicin
anlisis 122
Definiciones
actualizar 3840
definiciones
acerca de 78
Definiciones de virus
acerca de 78
actualizar 3840
desbloquear un equipo atacante 140
Deshabilitar
Auto-Protect 34, 36
proteccin antivirus y contra software espa 34
proteccin contra amenazas de red 35, 37
proteccin proactiva contra amenazas 34, 38
F
filtros de trfico inteligentes
definicin 133
Firewall
acerca de 120
configuracin 123
definidos 119
habilitar o deshabilitar 37
firewall
valores 133
Firmas 28
Firmas IPS
acerca de 122
G
Gusanos 54
H
Habilitar
Auto-Protect 36
proteccin contra amenazas de red 37
proteccin proactiva contra amenazas 38
Herramientas de hackeo 55
Host
definicin 126
I
E
Equipos
actualizar la proteccin 38
equipos de 64 bits 60
Excepciones
acerca de 66
175
176
ndice
escudo 45
Iconos de candado 31
infecciones de virus de macro
prevencin 67
inspeccin de estado
acerca de 127
creacin de normas de trfico 127
IPS
acerca de 119
actualizar definiciones 3839
L
LiveUpdate
crear una programacin 40
descripcin general 38
ejecutar de forma inmediata 39
funcionamiento 29
M
Manuales, anlisis. Ver Anlisis manuales
Memoria cach de red
opciones de Auto-Protect 76
mensajes
prevencin de intrusiones 139
respuesta 22
N
navegacin oculta por la Web
habilitar 133
Network Access Control
notificaciones 25
Normas de firewall
acerca de 125
agregar 129
modificacin del orden de 128, 130
programacin 125
registro 125
normas de firewall
acerca de 124
edicin 132
eliminacin 132
exportacin 131
habilitar e inhabilitar 131
importacin 132
Notificaciones
acerca de 19
interaccin de los usuarios 85
notificaciones
control de acceso a la red 25
prevencin de intrusiones 139
respuesta 22
O
Opciones
no disponible 30
Opciones bloqueadas y desbloqueadas 31
P
Permitir trfico 140
normas de firewall 129
Polticas
actualizacin 46
polticas
acerca de 32
actualizacin 32
Prevencin de intrusiones. Ver IPS
acerca de 121
respuesta 25
prevencin de intrusiones
configuracin 138
habilitacin 138
notificaciones 139
Probar su equipo 41
Proteccin
actualizacin 2829
actualizar 3840
habilitar o deshabilitar 33
tipos 15
proteccin
actualizacin 29
Proteccin antivirus y contra software espa
acerca de 52, 64
deshabilitacin 36
deshabilitar 34
registro del sistema 160
Proteccin contra amenazas de red
acerca de 52, 119
administracin 117
habilitar o deshabilitar 35, 37
registros 161
Proteccin contra intervenciones
acerca de 43
configuracin 44
habilitar y deshabilitar 44
ndice
R
reautenticacin 155
Registro de amenazas 160
Registro de anlisis 160
Registro de control 161
Registro de depuracin 161
Registro de paquetes 161
habilitacin 168
Registro de proteccin contra intervenciones 161
Registro de riesgos 160
Registro de seguridad 161
Registro de trfico 118, 161
Registro del sistema
administracin de clientes 161
proteccin antivirus y contra software espa 160
proteccin proactiva contra amenazas 160
supresin de entradas 166
Registros
acerca de 159
administracin de clientes 168
configurar por cunto tiempo se guardan las
entradas 165
proteccin contra amenazas de red 168
visualizacin 162
registros
actualizacin 168
configuracin de por cunto tiempo se guardan
las entradas 166
configuracin del tamao 165
control de acceso a la red 150
eliminacin 166
exportacin de datos 170
exportacin de entradas de registro filtradas 171
filtrado 162
filtrar por categora del evento 164
S
Servidor
clientes administrados 30
conectar a 45
Smart DHCP 133
Smart DNS 133
Smart WINS 133
Software espa
acerca de 56
Symantec Security Response
envo de archivos 103
T
Tasas de deteccin
envo de informacin a Symantec 87
Trfico
permitir o bloquear 140
trfico
bloqueo 136
trfico de token ring
habilitar 133
177
178
ndice
U
Ubicaciones
modificacin 42
ubicaciones
acerca de 41
uso compartido de impresoras 134
V
valores
prevencin de intrusiones 138
Virus
acerca de 53
asignacin de segundas acciones 91
configuracin de notificaciones 93
dao de archivos 22
deteccin del cliente 78
opciones de deteccin 94
qu hacer cuando se detectan 68
virus
configuracin de acciones 88
no reconocidos 103
opciones de reparacin 94
respuesta del cliente 57
W
Windows Security Center
visualizacin del estado del antivirus 58
visualizacin del estado del firewall 58