Client Guide SEP11.0.5 PDF

Gua del cliente para
Symantec Endpoint
Protection y Symantec
Network Access Control
Gua del cliente para Symantec Endpoint Protection y

Symantec Network Access Control
El software que se describe en este manual se suministra con acuerdo de licencia y slo
puede utilizarse segn los trminos de dicho acuerdo.
Versin de la documentacin 11.00.05.00.00
Aviso legal
Copyright 2009 Symantec Corporation. Todos los derechos reservados.
Symantec, el logotipo de Symantec, Bloodhound, Confidence Online, Digital Immune System,
LiveUpdate, Norton, Sygate y TruScan son marcas comerciales o marcas comerciales
registradas de Symantec Corporation o de sus afiliadas en los EE. UU. y otros pases. Otros
nombres pueden ser marcas comerciales de sus respectivos propietarios.
Este producto de Symantec puede contener software de otros fabricantes para el cual
Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de
los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto
o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn
derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software
gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte
el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo
Lame TPIP que acompaa este producto de Symantec.
El producto descrito en este documento se distribuye de acuerdo con licencias que restringen
su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir
cualquier parte de este documento de cualquier forma y mediante cualquier medio sin
autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder
sus licencias, de haberlos.
LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE
GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS,
REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE
COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE
DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ
LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES
O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE
ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST
SUJETA A CAMBIOS SIN PREVIO AVISO.
El Software y la Documentacin con licencia se consideran programas informticos
comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la
Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo
definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas
informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la
Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los
programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso,

modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software
y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar
exclusivamente de acuerdo con los trminos de este acuerdo.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.com.mx
Soporte tcnico
El soporte tcnico de Symantec cuenta con centros de soporte global. El rol
principal del soporte tcnico es responder a las consultas especficas sobre
funciones del producto y funcionalidad. El grupo de soporte tcnico, adems,
elabora el contenido para nuestra Base de conocimientos en lnea. El grupo de
soporte tcnico trabaja con otras reas funcionales dentro de Symantec para
contestar las preguntas a tiempo. Por ejemplo, el grupo de soporte tcnico trabaja
con el Departamento de Ingeniera y Symantec Security Response para
proporcionar servicios de alertas y actualizaciones de definiciones de virus.
Las ofertas de mantenimiento de Symantec incluyen lo siguiente:
Una gama de opciones de soporte que brindan flexibilidad para seleccionar la

cantidad adecuada de servicio para organizaciones de cualquier tamao
Soporte telefnico y basado en Web que proporciona respuesta rpida e

informacin actualizada
Garanta de actualizacin que brinda proteccin automtica para la

actualizacin de software
Soporte global disponible 24 horas al da, 7 das a la semana
Funciones avanzadas, incluso servicios de administracin de cuentas
Para obtener informacin sobre los Programas de mantenimiento de Symantec,

puede visitar el sitio web en la siguiente URL:
http://www.symantec.com/techsupp
Contactar al soporte tcnico

Los clientes con un acuerdo de mantenimiento existente pueden acceder a la
informacin del soporte tcnico en la siguiente URL:
Antes de contactar al soporte tcnico, asegrese de haber cumplido con los
requisitos de sistema que se enumeran en la documentacin del producto. Adems,
es necesario que est en el equipo en el cual ocurri el problema, en caso de que
sea necesario replicar el problema.
Cuando contacte al soporte tcnico, tenga a mano la siguiente informacin:
Nivel de versin de producto
Informacin de hardware
Memoria disponible, espacio libre en el disco e informacin de la NIC
Sistema operativo
Nmero de versin y parche
Topologa de red
Router, gateway e informacin de la direccin IP
Descripcin del problema:
Mensajes de error y archivos de registro
Sesin de resolucin de problemas llevada a cabo antes de contactar a

Symantec
Cambios recientes en la configuracin del software y en la red
Concesin de licencia y registro

Si su producto de Symantec requiere registro o clave de licencia, acceda a nuestra
pgina web de soporte tcnico en la siguiente URL:
Servicio al cliente
La informacin del servicio al cliente est disponible en la siguiente URL:
El servicio al cliente est disponible para ayudar con los siguientes tipos de
problemas:
Preguntas relacionadas con la concesin de licencias o la serializacin de

productos
Actualizaciones del registro del producto, como cambio de direccin o de

nombre
Informacin general de producto (funciones, disponibilidad de idioma,

distribuidores locales)
La informacin ms reciente sobre actualizaciones del producto
Informacin sobre garanta de actualizacin y contratos de mantenimiento
Informacin sobre los Programas de compras de Symantec
Sugerencia sobre las opciones de soporte tcnico de Symantec
Preguntas no tcnicas previas a las ventas
Problemas relacionados con los CD-ROM o los manuales
Recursos del acuerdo de mantenimiento

Si desea contactar a Symantec con respecto a un acuerdo de mantenimiento
existente, contacte al equipo de administracin del acuerdo de mantenimiento
correspondiente a su regin:
Asia Pacfico y Japn
customercare_apac@symantec.com
Europa, Oriente Medio y frica
semea@symantec.com
Norteamrica y Amrica Latina
supportsolutions@symantec.com
Servicios empresariales adicionales

Symantec ofrece un conjunto completo de servicios que permiten que se maximice
la inversin en productos de Symantec y que se desarrolle el conocimiento, la
experiencia y la penetracin global, lo que permite administrar los riesgos del
negocio de forma proactiva.
Los servicios empresariales disponibles incluyen lo siguiente:
Soluciones de alerta temprana de
Symantec
Estas soluciones proporcionan deteccin temprana de ataques cibernticos,

anlisis integrales de amenazas y contramedidas para evitar ataques.
Servicios de seguridad
administrada
Estos servicios quitan la carga de administrar y supervisar los dispositivos de

seguridad y los sucesos, lo que garantiza una respuesta rpida ante amenazas
reales.
Servicios de consultora
Los Servicios de consultora de Symantec brindan experiencia tcnica presencial

de Symantec y de sus partners de confianza. Los Servicios de consultora de
Symantec ofrecen una variedad de opciones preembaladas y personalizables
que incluyen funcionalidades de evaluacin, diseo, implementacin,
supervisin y administracin. Cada uno se centra en establecer y mantener la
integridad y la disponibilidad de los recursos informticos.
Servicios educativos
Los Servicios educativos proporcionan una gama completa de aprendizaje

tcnico, educacin sobre la seguridad, certificacin de seguridad y programas
de comunicacin del conocimiento.
Para acceder a ms informacin sobre los servicios empresariales, visite nuestro

sitio web en la siguiente URL:
www.symantec.com
Seleccione su pas o idioma del ndice del sitio.
Contenido
Soporte tcnico ................................................................................................... 4
Seccin 1
Gua de inicio en el cliente ..................................... 13
Captulo 1
Conceptos generales del cliente ...................................... 15

Acerca del cliente .........................................................................
Acerca del cliente de Symantec Endpoint Protection ...........................
Acerca del cliente de Symantec Network Access Control ......................
Recursos de soporte tcnico ...........................................................
Captulo 2
Respuesta al cliente ............................................................ 19

Acerca de la interaccin con el cliente ..............................................
Acciones sobre los archivos infectados .............................................
Acerca del dao provocado por virus .........................................
Acerca de las notificaciones y alertas ...............................................
Respuesta a las notificaciones relacionadas con
aplicaciones ....................................................................
Respuesta a las alertas de seguridad ..........................................
Respuesta a las notificaciones de Network Access Control .............
Captulo 3
15
16
17
17
19
20
21
22
22
25
25
Configuracin de la proteccin ........................................ 27

Cmo se mantiene actualizada la proteccin de su equipo ....................
Cmo se actualiza la proteccin en clientes administrados .............
Cmo se actualiza la proteccin en clientes no
administrados .................................................................
Acerca de los clientes administrados centralmente y los clientes
autoadministrados .................................................................
Convertir un cliente no administrado en un cliente
administrado .........................................................................
Acerca de las polticas de seguridad .................................................
Cmo actualizar el archivo de polticas manualmente .........................
Verificar que las polticas se han actualizado .....................................
Cmo habilitar y deshabilitar las tecnologas de proteccin ..................
Habilitacin o deshabilitacin de Auto-Protect ............................
28
29
29
29
31
32
32
33
33
36
Contenido
Cmo habilitar o deshabilitar Proteccin contra amenazas de

red ................................................................................
Habilitar y deshabilitar Proteccin proactiva contra
amenazas .......................................................................
Actualizacin de la proteccin del cliente .........................................
Cmo actualizar su proteccin de forma inmediata .............................
Actualizacin de su proteccin en una programacin ..........................
Probar la seguridad del equipo ........................................................
Acerca de las ubicaciones ...............................................................
Modificar ubicaciones ...................................................................
Acerca de la Proteccin contra intervenciones ...................................
Habilitar, deshabilitar y configurar Proteccin contra
intervenciones .......................................................................
Acerca de evitar que un administrador reinicie su equipo ....................
Acerca del icono del rea de notificacin ..........................................
Ocultar y visualizar el icono del rea de notificacin ...........................
37
38
38
39
40
41
41
42
43
44
45
45
47
Seccin 2
Administracin del cliente de Symantec

Endpoint Protection ............................................. 49
Captulo 4
Administracin del cliente de Symantec Endpoint

Protection .......................................................................
51
De qu forma protege Symantec Endpoint Protection el sistema ...........

Acerca de la Proteccin antivirus y contra software espa ..............
Acerca de la proteccin contra amenazas de red ...........................
Acerca de la proteccin proactiva contra amenazas ......................
Acerca de los virus y los riesgos de seguridad ....................................
Respuesta del cliente ante virus y riesgos de seguridad .......................
Usar el cliente con Windows Security Center .....................................
Cmo analizar su equipo de forma inmediata ....................................
Interrupcin y retraso de anlisis ....................................................
51
52
52
53
53
57
58
59
60
Captulo 5
Administracin de la Proteccin antivirus y contra

software espa ................................................................ 63
Acerca de la configuracin antivirus y contra software espa ................
Acerca del anlisis de archivos .......................................................
Si la aplicacin de correo electrnico utiliza un solo archivo de
bandeja de entrada ...........................................................
Acerca de los anlisis por extensin ...........................................
Acerca del anlisis de todos los tipos de archivos .........................
64
64
64
65
66
Contenido
Acerca de excluir elementos del anlisis .....................................

Acerca de la prevencin de infecciones causadas por virus de
macro ............................................................................
Cuando el cliente detecta un virus o un riesgo de seguridad ..................
Acerca de Auto-Protect .................................................................
Acerca de Auto-Protect y los riesgos de seguridad ........................
Acerca de los anlisis de correo electrnico de Auto-Protect ...........
Deshabilitar el uso de Auto-Protect con conexiones de correo
electrnico cifradas ..........................................................
Ver estadsticas de anlisis de Auto-Protect ................................
Ver la lista de riesgos ..............................................................
Configurar Auto-Protect para determinar tipos de archivo .............
Habilitar y deshabilitar el bloqueo y anlisis de riesgos de
seguridad de Auto-Protect .................................................
Configuracin del anlisis de red ...............................................
Usar anlisis antivirus y de software espa ........................................
Cmo funcionan los anlisis antivirus y contra software
espa ..............................................................................
Acerca de los archivos de definiciones .......................................
Acerca del anlisis de archivos comprimidos ...............................
Configurar anlisis antivirus y de software espa ...............................
Programacin de un anlisis definido por el usuario .....................
Cmo programar un anlisis para que se ejecute manualmente
o cuando se inicia el equipo ................................................
Editar y eliminar anlisis al iniciar, definidos por el usuario y
programados ...................................................................
Interpretar los resultados de los anlisis ...........................................
Acerca de la interaccin con los resultados del anlisis o los
resultados de Auto-Protect .................................................
Cmo enviar la informacin sobre las detecciones del anlisis a
Symantec Security Response ....................................................
Configurar acciones para virus y riesgos de seguridad .........................
Consejos para asignar segundas acciones para virus .....................
Consejos para asignar segundas acciones para riesgos de
seguridad .......................................................................
Acerca de la clasificacin de impacto del riesgo ...........................
Configurar notificaciones para virus y riesgos de seguridad .................
Exclusin de elementos del anlisis .................................................
Acerca de la administracin de archivos en cuarentena .......................
Acerca de los archivos infectados en la cuarentena .......................
Acerca del tratamiento de los archivos infectados en la
cuarentena .....................................................................
66
67
68
69
69
70
71
72
72
72
73
74
77
77
79
79
80
80
82
84
84
85
87
88
91
92
92
93
96
97
98
98
10
Contenido
Acerca del tratamiento de los archivos infectados por riesgos de

seguridad ....................................................................... 99
Administracin de la cuarentena ..................................................... 99
Ver archivos y detalles en el rea de cuarentena ......................... 100
Nuevo anlisis de los archivos en cuarentena en busca de
virus ............................................................................ 100
Cuando un archivo reparado no se puede devolver a su ubicacin
original ........................................................................ 101
Limpiar elementos de copia de seguridad .................................. 101
Eliminar archivos de la cuarentena .......................................... 102
Borrar automticamente archivos de la cuarentena .................... 102
Enviar un archivo potencialmente infectado a Symantec Security
Response para su anlisis ................................................. 103
Captulo 6
Administrar la proteccin proactiva contra

amenazas ......................................................................
Acerca de los anlisis de amenazas proactivos TruScan .....................
Procesos y aplicaciones examinados por los anlisis de amenazas
proactivos TruScan .........................................................
Acerca de las excepciones para los anlisis de amenazas
proactivos TruScan .........................................................
Acerca de las detecciones del anlisis de amenazas proactivo
TruScan ........................................................................
Acerca de la actuacin sobre falsos positivos .............................
Configurar la frecuencia de los anlisis de amenazas proactivos
TruScan ..............................................................................
Administrar detecciones de amenazas proactivas TruScan .................
Configurar una accin para la deteccin de aplicaciones
comerciales ...................................................................
Especificar acciones y niveles de sensibilidad para detectar
caballos de Troya, gusanos y registradores de
pulsaciones ...................................................................
Especificar los tipos de procesos que detectan los anlisis de
amenazas proactivos TruScan ..........................................
Configurar notificaciones para las detecciones del anlisis de
amenazas proactivo TruScan ..................................................
Enviar informacin sobre anlisis de amenazas proactivos TruScan
a Symantec Security Response ................................................
Cmo excluir un proceso de los anlisis de amenazas proactivos
TruScan ..............................................................................
105
105
106
107
108
109
109
110
111
112
113
114
114
115
Contenido
Captulo 7
Administrar la Proteccin contra amenazas de

red ................................................................................... 117
Administrar la Proteccin contra amenazas de red ...........................
Acerca de la Proteccin contra amenazas de red ...............................
Cmo el cliente protege contra ataques de red ..................................
Acerca del firewall de Symantec Endpoint Protection ..................
Acerca del sistema de prevencin de intrusiones ........................
Configuracin del firewall ............................................................
Acerca de las normas de firewall .............................................
Adicin de una norma de firewall ............................................
Cmo cambiar el orden de una norma de firewall ........................
Habilitar e inhabilitar normas .................................................
Exportacin e importacin de normas ......................................
Edicin y eliminacin de normas .............................................
Habilitar la configuracin de trfico y de la navegacin oculta
por la Web .....................................................................
Habilitar el filtro de trfico inteligente .....................................
Habilitar el uso compartido de archivos e impresoras en la
red ...............................................................................
Bloquear trfico ...................................................................
Configurar las opciones de prevencin de intrusiones .......................
Configurar notificaciones de prevencin de intrusiones ...............
Bloquear y desbloquear un equipo atacante ...............................
Configurar valores especficos de una aplicacin ..............................
Quitar restricciones para una aplicacin ...................................
117
119
119
120
121
123
124
129
130
131
131
132
133
133
134
136
138
139
139
140
142
Seccin 3
Administracin del cliente de Symantec

Network Access Control ................................... 145
Captulo 8
Uso del cliente de Symantec Network Access

Control ........................................................................... 147
Cmo funciona Symantec Network Access Control ............................
Ejecutar una comprobacin de integridad del host ............................
Acerca de la actualizacin de la poltica de integridad del host ............
Corregir el equipo .......................................................................
Ver los registros de Network Access Control ....................................
Cmo funciona el cliente con Enforcer ............................................
Configurar el cliente para la autenticacin 802.1x ............................
Reautenticar el equipo ...........................................................
147
149
150
150
150
151
152
155
11
12
Contenido
Seccin 4
Supervisin y registro ............................................. 157
Captulo 9
Uso y administracin de registros ................................. 159

Acerca de los registros .................................................................
Visualizacin de los registros ........................................................
Filtrar las vistas del registro ...................................................
Administrar el tamao del registro ................................................
Configurar el tiempo de retencin para las entradas de registro
de Proteccin antivirus y contra software espa ....................
Configurar el tamao de los registros de Proteccin contra
amenazas de red y de Administracin de clientes .................
Configurar el tiempo de retencin para las entradas de registro
de Proteccin contra amenazas de red y Administracin de
clientes .........................................................................
Acerca del borrado de contenido del Registro del sistema de
Proteccin antivirus y contra software espa .......................
Borrar el contenido de los registros de Proteccin contra
amenazas de red y de Administracin de clientes .................
Poner en cuarentena riesgos y amenazas del Registro de riesgos y del
Registro de amenazas ............................................................
Usar los registros de Proteccin contra amenazas de red y de
Administracin de clientes .....................................................
Actualizar los registros de Proteccin contra amenazas de red y
de Administracin de clientes ...........................................
Habilitar el Registro de paquetes .............................................
Detener una respuesta activa ..................................................
Localizar el origen de los eventos registrados ............................
Usar los registros de Administracin de clientes con Symantec
Network Access Control ...................................................
Exportar datos de registro ............................................................
159
162
162
164
165
165
166
166
166
167
168
168
168
169
169
170
170
ndice .................................................................................................................. 173
Seccin
Gua de inicio en el cliente
Captulo 1. Conceptos generales del cliente
Captulo 2. Respuesta al cliente
Captulo 3. Configuracin de la proteccin
14
Captulo
Conceptos generales del

cliente
En este captulo se incluyen los temas siguientes:
Acerca del cliente
Acerca del cliente de Symantec Endpoint Protection
Acerca del cliente de Symantec Network Access Control
Recursos de soporte tcnico
Acerca del cliente

Symantec produce los dos siguientes productos de proteccin de puntos finales
que se pueden usar juntos o por separado.
Tabla 1-1
Tipo de cliente
Tipos de clientes de proteccin de puntos finales

Descripcin
Symantec Endpoint Protection Symantec Endpoint Protection protege su equipo contra

amenazas de Internet y riesgos de seguridad.
Ver "Acerca del cliente de Symantec Endpoint Protection"
en la pgina 16.
16
Conceptos generales del cliente

Tipo de cliente
Descripcin
Symantec Network Access

Control
Symantec Network Access Control garantiza que la

configuracin de seguridad del equipo se ajuste a las
polticas de red. La configuracin de seguridad puede
incluir software, opciones de configuracin de software,
archivos de firmas, parches u otros elementos.
Ver "Acerca del cliente de Symantec Network Access
Control" en la pgina 17.
Usted o su administrador pueden haber instalado uno o ambos productos de

software de cliente de Symantec en su equipo. Si su administrador instal el cliente,
el administrador determin los productos que se habilitarn en el cliente. El
administrador le informar acerca de las tareas que debe realizar utilizando el
cliente.
Si instal el cliente en su equipo, entonces es una instalacin independiente. Una
instalacin independiente significa que un administrador no administra su
software de cliente.
Ver "Acerca de los clientes administrados centralmente y los clientes
autoadministrados" en la pgina 29.
Nota: Si el usuario o su administrador han instalado solamente uno de estos
productos en su equipo, el nombre de dicho producto aparece en la barra de ttulo.
Cuando se habilitan ambos tipos de proteccin, en la barra de ttulo aparece
Symantec Endpoint Protection.

Las opciones predeterminadas para el cliente proporcionan Proteccin antivirus
y contra software espa, Proteccin proactiva contra amenazas y Proteccin contra
amenazas de red. Es posible ajustar las opciones predeterminadas para adaptarlas
a las necesidades de su compaa, optimizar el rendimiento del sistema y
deshabilitar las opciones que no se aplican.
Ver "De qu forma protege Symantec Endpoint Protection el sistema"
en la pgina 51.
Symantec Endpoint Protection puede realizar las acciones siguientes:
Analizar el equipo en busca de virus, amenazas conocidas y riesgos de

seguridad.
Ver "Cmo analizar su equipo de forma inmediata" en la pgina 59.
Ver "Acerca del anlisis de archivos" en la pgina 64.

Acerca del cliente de Symantec Network Access Control
Supervisar los puertos en busca de firmas de ataques conocidas.
Supervisar los programas del equipo para detectar comportamiento sospechoso.

Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 105.
Proteja su equipo contra ataques de red.

Ver "Administrar la Proteccin contra amenazas de red" en la pgina 117.
Acerca del cliente de Symantec Network Access

Control
El cliente de Symantec Network Access Control evala si un equipo est protegido
correctamente y cumple con las polticas antes de permitirle conectarse a la red
corporativa.
El cliente se asegura de que el equipo cumpla con una poltica de seguridad
configurada por su administrador. La poltica de seguridad comprueba si el equipo
utiliza el software de seguridad ms reciente, tal como aplicaciones antivirus y
de firewall. Si su equipo no cuenta con el software necesario, usted o el cliente
deben actualizar el software. Si su software de seguridad no est actualizado, es
posible que se bloquee la conexin de su equipo a la red. El cliente realiza anlisis
peridicos para verificar que el equipo contine cumpliendo con la poltica de
seguridad.
Ver "Cmo funciona Symantec Network Access Control" en la pgina 147.

Tabla 1-2 enumera los sitios web de Symantec en donde se puede encontrar ms
informacin.
Tabla 1-2
Sitios web de Symantec
Tipo de informacin
Direccin web
Software de prueba de Symantec

Endpoint Protection
http://www.symantec.com/es/mx/business/products/downloads/
17
18

Tipo de informacin
Direccin web
Base de conocimientos pblica
http://www.symantec.com/business/support/overview.jsp?pid=54619
Versiones
http://www.symantec.com/business/support/overview.jsp?pid=52788
Actualizaciones de la documentacin
y manuales
Opciones de contacto
Notas de la versin e informacin
adicional posterior al lanzamiento
Informacin y actualizacin de virus http://www.symantec.com/es/mx/security_response/
y otras amenazas
Noticias y actualizaciones de
productos
http://www.symantec.com/es/mx/business/
Foros de Symantec Endpoint

Protection
http://www.symantec.com/connect/security/forums
http://www.symantec.com/connect/security/forums/network-access-control
Capacitacin tcnica en lnea gratuita http://www.symantec.com/education/endpointsecurity
Captulo
Respuesta al cliente
Acerca de la interaccin con el cliente
Acciones sobre los archivos infectados
Acerca de las notificaciones y alertas
Acerca de la interaccin con el cliente

El cliente funciona en el segundo plano para mantener el equipo protegido contra
actividad maliciosa. El cliente necesita a veces notificar al usuario sobre una
actividad o solicitarle una respuesta.
Si Symantec Endpoint Protection est habilitado en el equipo, es posible que se
experimenten los tipos siguientes de interaccin con el cliente:
Deteccin de virus o
riesgos de seguridad
Si Auto-Protect o un anlisis detecta un virus o un riesgo de

seguridad, el cuadro de dilogo Resultados de la deteccin de
Symantec Endpoint Protection aparece. Los detalles sobre la
infeccin estn incluidos. El cuadro de dilogo tambin muestra
la accin que Symantec Endpoint Protection realiz sobre el
riesgo. Generalmente no es necesario tomar ms medidas, con
excepcin de revisar la actividad y cerrar el cuadro de dilogo.
Es posible tomar medidas si es necesario, sin embargo.
Ver "Acciones sobre los archivos infectados" en la pgina 20.
Notificaciones
relacionadas con
aplicaciones
Cuando un programa del equipo intenta acceder a una red,

Symantec Endpoint Protection puede solicitarle que permita o
niegue el permiso para hacerlo.
Ver "Respuesta a las notificaciones relacionadas con aplicaciones"
en la pgina 22.
20
Alertas de seguridad
Symantec Endpoint Protection le informa cuando bloquea un

programa o cuando detecta un ataque contra su equipo.
Ver "Respuesta a las alertas de seguridad" en la pgina 25.
Si Symantec Network Access Control est habilitado en el equipo, es posible que

vea un mensaje de Network Access Control. Este mensaje aparece cuando su
configuracin de seguridad no se ajusta a los estndares que su administrador ha
configurado.
Ver "Respuesta a las notificaciones de Network Access Control" en la pgina 25.

De forma predeterminada, Auto-Protect se ejecuta continuamente en el equipo.
Para los clientes no administrados, un Active Scan generado automticamente se
ejecuta al iniciar el equipo. Para los clientes administrados, su administrador
configura tpicamente un anlisis completo que se ejecuta por lo menos una vez
a la semana. Auto-Protect muestra un cuadro de dilogo de los resultados cuando
hace una deteccin. Cuando se ejecutan anlisis, aparece un cuadro de dilogo
para mostrar los resultados del anlisis. Para los equipos administrados, el
administrador puede desactivar estos tipos de notificaciones.
Si recibe estos tipos de notificaciones, es posible que necesite actuar sobre un
archivo infectado.
La opcin predeterminada para Auto-Protect y todos los tipos de anlisis es limpiar
el virus del archivo infectado al detectarlo. Si el cliente no puede limpiar un archivo,
registra el incidente y mueve el archivo infectado a la cuarentena. La cuarentena
local es una ubicacin especial reservada para los archivos infectados y los efectos
secundarios del sistema relacionados. Para los riesgos de seguridad, el cliente
pone en cuarentena los archivos infectados y quita o repara sus efectos
secundarios. El cliente registra la deteccin si no puede reparar el archivo.
Nota: En la cuarentena, el virus no puede propagarse. Cuando el cliente mueve
un archivo al rea de cuarentena, no tiene acceso al archivo.
Cuando Symantec Endpoint Protection repara un archivo infectado por virus, no
es necesario tomar otras medidas para proteger el equipo. Si el cliente pone en
cuarentena un archivo infectado por un riesgo de seguridad y luego lo quita y
repara, no es necesario tomar medidas adicionales.
Puede no ser necesario actuar sobre un archivo, pero es posible que quiera realizar
una accin adicional sobre l. Por ejemplo, puede optar por eliminar un archivo
que haya sido limpiado porque desea sustituirlo por un archivo original.
Es posible utilizar las notificaciones para actuar sobre el archivo inmediatamente.

Es posible tambin utilizar la vista del registro o la cuarentena para actuar sobre
el archivo en otro momento.
Ver "Interpretar los resultados de los anlisis" en la pgina 84.
Ver "Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro
de amenazas" en la pgina 167.
Ver "Acerca de la administracin de archivos en cuarentena" en la pgina 97.
Para realizar acciones sobre los archivos infectados
Realice una de las acciones siguientes:
En el cuadro de dilogo de progreso del anlisis, seleccione los archivos

que desee una vez que el anlisis haya finalizado.
En el cuadro de dilogo de los resultados de anlisis, seleccione los archivos

que usted desee.
En el cliente, en la barra lateral, haga clic en Ver registros y, a

continuacin, junto a Proteccin antivirus y contra software espa, haga
clic en Ver registros. En la vista del registro, seleccione los archivos que
usted desee.
Haga clic con el botn secundario en el archivo o los archivos en cuestin y,

a continuacin, haga clic en una de las opciones siguientes. Recuerde que, en
algunos casos, el cliente no podr realizar la accin que usted seleccion.
Deshacer accin: anula el efecto de la accin tomada.
Limpiar (slo para virus): elimina el virus del archivo.
Suprimir permanentemente: elimina el archivo infectado y todos los

efectos secundarios. Para los riesgos de seguridad, utilice esta accin con
precaucin. En algunos casos, si usted borra riesgos de seguridad, es posible
que cause la prdida de funcionalidad de alguna aplicacin.
Poner en cuarentena: pone en cuarentena los archivos infectados. Para

los riesgos de seguridad, el cliente tambin intenta quitar o reparar los
efectos secundarios.
Propiedades: muestra informacin sobre el virus o riesgo de seguridad.
Acerca del dao provocado por virus

Si Symantec Endpoint Protection encuentra una infeccin poco despus de que
esta ocurra, el archivo infectado puede seguir funcionando correctamente despus
de que el cliente lo limpie. A veces, sin embargo, Symantec Endpoint Protection
puede limpiar un archivo infectado que ya fue daado por un virus. Por ejemplo,
21
22
Symantec Endpoint Protection puede encontrar un virus que daa un archivo de

documento. Symantec Endpoint Protection elimina el virus, pero no puede reparar
el dao dentro del archivo infectado.

Es posible ver diversos tipos de notificaciones en el equipo. Estas notificaciones
generalmente describen una situacin e indican cmo el cliente intenta resolver
el problema.
Es posible ver los tipos de notificaciones siguientes:
Notificaciones relacionadas con aplicaciones
Alertas de seguridad
Respuesta a las notificaciones relacionadas con aplicaciones

Es posible ver una notificacin que le pregunte si desea permitir la ejecucin de
una aplicacin o un servicio.
Este tipo de notificacin aparece por uno de los motivos siguientes:
La aplicacin pide acceder a su conexin de red.
Se ha actualizado una aplicacin que ha accedido a su conexin de red.
El cliente conmut a los usuarios con la funcin de Cambio rpido de usuario.
Su administrador actualiz el software de cliente.
Es posible ver el tipo siguiente de mensaje, que le dice cuando una aplicacin o
un servicio intenta acceder a su equipo:
Internet Explorer (IEXPLORE.EXE) est intentando conectarse a
www.symantec.com.mx mediante el puerto remoto 80 (HTTP - World Wide Web).
Desea permitir que este programa acceda a la red?
Para responder a las aplicaciones que intentan acceder a la red
En el cuadro de mensaje, haga clic en Detalle.

Es posible ver ms informacin sobre la conexin y la aplicacin, tal como el
nombre de archivo, el nmero de versin y el nombre de ruta.
Si desea que el cliente recuerde su opcin la prxima vez que esta aplicacin
intente acceder a su conexin de red, haga clic en Recordar mi respuesta y
no solicitarla nuevamente para esta aplicacin.
Realice una de las tareas siguientes:
Para permitir que la aplicacin acceda a la conexin de red, haga clic en

S.
Haga clic en S solamente si usted reconoce la aplicacin y est seguro de
que desea que acceda a la conexin de red. Si no est seguro acerca de
permitir el acceso de la aplicacin a la conexin de red, consulte a su
administrador.
Para bloquear el acceso de la aplicacin a la conexin de red, haga clic en

No.
Tabla 2-1 muestra cmo es posible responder a las notificaciones que le

preguntan si desea permitir o bloquear una aplicacin.
Tabla 2-1
Notificaciones de permiso para aplicaciones
Si selecciona la casilla
de verificacin
Recordar mi
respuesta
Si hace clic en
El cliente
Permite la aplicacin y no vuelve a

preguntar.
No
Permite la aplicacin y pregunta cada vez.
No
Bloquea la aplicacin y no pregunta de

nuevo.
No
No
Bloquea la aplicacin y pregunta cada vez.
Es posible tambin modificar la accin para la aplicacin en el campo Aplicaciones

en ejecucin o en la lista Aplicaciones.
Ver "Configurar valores especficos de una aplicacin" en la pgina 140.
Notificaciones de modificacin de aplicaciones

De vez en cuando, es posible que vea un mensaje que indica que una aplicacin
se ha modificado. El siguiente mensaje es un ejemplo.
Telnet Program se ha modificado desde la ltima vez que se abri
Esto puede deberse a que lo actualiz recientemente.
Desea permitirle el acceso a la red?
La aplicacin que se menciona en el mensaje anterior intenta acceder a su conexin

de red. Aunque el cliente reconozca el nombre de la aplicacin, algn elemento
de la aplicacin se ha modificado desde la ltima vez que el cliente la detect. Muy
probablemente, se ha actualizado el producto recientemente. Cada nueva versin
23
24
del producto utiliza un archivo de huella digital diferente al de la versin anterior.

El cliente detecta que el archivo de huella digital se modific.
Notificaciones de cambio rpido de usuario

Si utiliza Windows Vista/XP, es posible que vea una de las notificaciones siguientes:
Symantec Endpoint Protection no puede mostrar la
interfaz de usuario. Si est utilizando la funcin de cambio rpido
de usuario de Windows XP, asegrese de todos los usuarios cierren
sesin en Windows e intente desconectarse de Windows y despus
volver a iniciar sesin. Si est utilizando los servicios
de terminal, la interfaz de usuario no se admite.
o
Symantec Endpoint Protection no estaba funcionando, pero ser iniciado.
Sin embargo, Symantec Endpoint Protection no puede mostrar la
interfaz de usuario. Si est utilizando la funcin de cambio rpido
de usuario de Windows XP, asegrese de todos los usuarios cierren
sesin en Windows e intente desconectarse de Windows y despus
volver a iniciar sesin. Si est utilizando los servicios
de terminal, la interfaz de usuario no se admite.
La funcin de cambio rpido de usuario es una funcin de Windows que permite

alternar rpidamente entre los usuarios sin tener que desconectar el equipo. Varios
usuarios pueden compartir un equipo simultneamente y alternar entre ellos sin
cerrar las aplicaciones que estn usando. Una de estas ventanas aparece al alternar
usuarios usando la funcin Cambio rpido de usuario.
Para responder a un mensaje de cambio rpido de usuario, siga las instrucciones
del cuadro de dilogo.
Respuesta a notificaciones de actualizacin automtica

Si el software de cliente se actualiza automticamente, es posible ver la notificacin
siguiente:
Symantec Endpoint Protection ha detectado que existe una versin
del software disponible en Symantec Endpoint Protection Manager.
Desea descargarla ahora?
Para responder a una notificacin de actualizacin automtica
Para descargar el software inmediatamente, haga clic en Descargar ahora.
Para recibir un recordatorio despus de un tiempo especificado, haga clic

en Recordrmelo ms tarde.
Si aparece un mensaje despus de que comience el proceso de instalacin

para el software actualizado, haga clic en Aceptar.
Respuesta a las alertas de seguridad

Las alertas de seguridad muestran una notificacin en el icono del rea de
notificacin. Solo es necesario reconocer que ley el mensaje haciendo clic en
Aceptar. Las notificaciones aparecen por alguno de los motivos siguientes:
Mensajes de aplicaciones
bloqueadas
Una aplicacin que se ha iniciado desde su equipo se ha bloqueado de acuerdo

con las normas configuradas por su administrador. Por ejemplo, es posible ver
el mensaje siguiente:
El trfico tiene el acceso bloqueado a esta aplicacin:
(nombre de aplicacin)
Estas notificaciones indican que su cliente ha bloqueado el trfico que usted
especific como que no es de confianza. Si el cliente se configura para bloquear
todo el trfico, estas notificaciones aparecen con frecuencia. Si su cliente est
configurado para permitir todo el trfico, estas notificaciones no aparecen.
Intrusiones
Se inici un ataque contra su equipo y una alerta le informa la situacin o

proporciona instrucciones sobre cmo tratar el ataque. Por ejemplo, es posible
ver el mensaje siguiente:
El trfico de la direccin IP 192.168.0.3 est bloqueado
de 10/10/2006 15:37:58 a 10/10/2006 15:47:58. El ataque
de anlisis de puertos ha sido registrado.
Su administrador pudo haber deshabilitado las notificaciones de prevencin de
intrusiones en el equipo cliente.
Para ver qu tipos de ataques detecta su cliente, puede permitir al cliente que
muestre notificaciones de prevencin de intrusiones.
Ver "Configurar notificaciones de prevencin de intrusiones" en la pgina 139.
Respuesta a las notificaciones de Network Access Control

Si el cliente de Symantec Network Access Control no cumple con las polticas de
seguridad, es posible que no pueda acceder a la red. En este caso, es posible que
se muestre un mensaje que indica que Symantec Enforcer bloque el trfico porque
la comprobacin de integridad del host fall. Su administrador de redes puede
haber agregado texto a este mensaje que sugiere acciones de correccin posibles.
25
26
Despus de cerrar el cuadro de mensaje, abra el cliente para ver si se muestran

pasos sugeridos para restaurar el acceso a la red.
Para responder a las notificaciones de Network Access Control
Siga los pasos sugeridos que aparezcan en el cuadro de mensaje.
En el cuadro de mensaje, haga clic en Aceptar.
Captulo
Configuracin de la
proteccin
Cmo se mantiene actualizada la proteccin de su equipo
Acerca de los clientes administrados centralmente y los clientes

autoadministrados
Convertir un cliente no administrado en un cliente administrado
Acerca de las polticas de seguridad
Cmo actualizar el archivo de polticas manualmente
Verificar que las polticas se han actualizado
Cmo habilitar y deshabilitar las tecnologas de proteccin
Actualizacin de la proteccin del cliente
Cmo actualizar su proteccin de forma inmediata
Actualizacin de su proteccin en una programacin
Probar la seguridad del equipo
Acerca de las ubicaciones
Modificar ubicaciones
Acerca de la Proteccin contra intervenciones
Habilitar, deshabilitar y configurar Proteccin contra intervenciones
Acerca de evitar que un administrador reinicie su equipo
28
Configuracin de la proteccin
Cmo se mantiene actualizada la proteccin de su equipo
Acerca del icono del rea de notificacin
Ocultar y visualizar el icono del rea de notificacin
Cmo se mantiene actualizada la proteccin de su

equipo
Los ingenieros de Symantec hacen un seguimiento de los ataques de virus para
identificar virus nuevos. Tambin investigan amenazas combinadas, riesgos de
seguridad tales como software espa, y otras vulnerabilidades que puedan ser
explotadas cuando su equipo se conecta a Internet. Despus de identificar un
riesgo, escriben una firma (informacin sobre el riesgo) y la almacenan en un
archivo de definiciones. Este archivo de definiciones contiene la informacin
necesaria para detectar, eliminar y reparar los efectos del riesgo. Cuando Symantec
Endpoint Protection realiza anlisis en busca de virus y riesgos de seguridad, lleva
a cabo bsquedas de estos tipos de firmas.
Otros elementos que deben mantenerse actualizados en el cliente son las listas
de procesos permitidos y restringidos, y de firmas de ataques. Las listas de procesos
ayudan a los anlisis de amenazas proactivos TruScan a identificar
comportamiento de programas sospechoso, incluso si el cliente no reconoce una
amenaza especfica. Las firmas de ataques proporcionan la informacin que el
sistema de prevencin de intrusiones necesita para mantener el equipo a salvo
de intrusos.
Adems de los archivos de definiciones, las listas de procesos y las firmas de
ataques, el cliente necesita actualizar sus componentes de vez en cuando. Tales
componentes pueden incluir los motores de anlisis y el firewall. Estas
actualizaciones pueden consistir en reparaciones de defectos de menor importancia
o en mejoras del producto.
Symantec pone actualizaciones a disposicin de los usuarios de manera frecuente
y constante. Las definiciones se actualizan diariamente en el sitio web de Symantec
Security Response. Las nuevas definiciones de virus se ponen a disposicin de los
usuarios semanalmente (como mnimo) para que las descarguen mediante
LiveUpdate, as como en el instante en que surja la amenaza de un nuevo virus
destructivo.
Nota: El administrador puede controlar la frecuencia de actualizacin de las
definiciones de su cliente.
Ver "Actualizacin de la proteccin del cliente" en la pgina 38.
Acerca de los clientes administrados centralmente y los clientes autoadministrados
Cmo se actualiza la proteccin en clientes administrados

El administrador es quien determina el modo en que se actualizan las definiciones
de virus y riesgos de seguridad. Lo ms probable es que usted no tenga que hacer
nada para recibir las nuevas definiciones.
Su administrador puede configurar la funcin LiveUpdate en Symantec Endpoint
Protection para garantizar que la proteccin contra virus y riesgos de seguridad
se mantenga actualizada. LiveUpdate se conecta a un equipo que guarda las
actualizaciones, determina si su cliente necesita ser actualizado y descarga e
instala los archivos apropiados. El equipo que almacena las actualizaciones puede
ser un servidor de Symantec Endpoint Protection Manager interno de su compaa.
Alternativamente, puede usarse un servidor de Symantec LiveUpdate al que se
accede por Internet.
Nota: LiveUpdate no actualiza la configuracin de la proteccin en su equipo. La
configuracin de la proteccin forma parte de las polticas de seguridad que su
administrador configura y descarga a su equipo del servidor de administracin.
Ver "Acerca de las polticas de seguridad" en la pgina 32.
Cmo se actualiza la proteccin en clientes no administrados

Los administradores no actualizan la proteccin en los clientes no administrados.
Es posible actualizar el software y los archivos de definiciones usando LiveUpdate.
Si su cliente no administrado utiliza la configuracin predeterminada de
LiveUpdate, una vez por semana verifica a travs de Internet si hay actualizaciones
en un servidor de Symantec.
Es posible modificar la frecuencia con la cual LiveUpdate verifica si hay
actualizaciones. Se puede tambin ejecutar LiveUpdate manualmente si usted
sabe que hubo un ataque de virus u otro riesgo de seguridad.
Acerca de los clientes administrados centralmente y

los clientes autoadministrados
Su administrador puede instalar el cliente como un cliente administrado
centralmente (instalacin administrada por un administrador) o un cliente
autoadministrado (instalacin independiente).
29
30
Acerca de los clientes administrados centralmente y los clientes autoadministrados
Tabla 3-1
Diferencias entre un cliente administrado centralmente y un cliente

autoadministrado
Tipo de cliente
Descripcin
Cliente
administrado
centralmente
Un cliente administrado centralmente se comunica con un servidor

de administracin en su red. El administrador configura la proteccin
y la configuracin predeterminadas, y el servidor de administracin
descarga la configuracin al cliente. Si el administrador realiza un
cambio en la proteccin, el cambio se descarga casi de forma inmediata
al cliente.
Los administradores pueden cambiar el nivel en el que se interacta
con el cliente de las siguientes maneras:
El administrador administra el cliente totalmente.
No es necesario configurar el cliente. Toda la configuracin est
bloqueada o no disponible, pero se puede ver la informacin sobre
lo que hace el cliente en su equipo.
El administrador administra el cliente, pero se puede cambiar cierta
configuracin del cliente y realizar algunas tareas. Por ejemplo,
puede ejecutar sus propios anlisis y recuperar manualmente
actualizaciones del cliente y actualizaciones de proteccin.
La disponibilidad de las opciones del cliente, adems de los valores
de configuracin mismos, pueden cambiar peridicamente. Por
ejemplo, una opcin puede cambiar cuando el administrador
actualiza la poltica que controla su proteccin del cliente.
El administrador administra el cliente, pero se puede cambiar toda
la configuracin del cliente y realizar todas las tareas de proteccin.
Cliente
Un cliente autoadministrado no se comunica con un servidor de
autoadministrado administracin y un administrador no administra el cliente.
Un cliente autoadministrado puede ser uno de los siguientes tipos:
Un equipo independiente que no se conecta a una red, como un
equipo personal o un equipo porttil. El equipo debe incluir una
instalacin de Symantec Endpoint Protection que utilice las
opciones predeterminadas o una configuracin preestablecida por
un administrador.
Un equipo remoto que se conecte a la red corporativa y que deba
cumplir los requisitos de seguridad para conectarse.
El cliente tiene la configuracin predeterminada cuando se instala

por primera vez. Una vez que el cliente est instalado, se puede
cambiar toda la configuracin del cliente y realizar todas las tareas
de proteccin.
Tabla 3-2 describe las diferencias en la interfaz de usuario entre un cliente

administrado centralmente y un cliente autoadministrado.
Convertir un cliente no administrado en un cliente administrado
Tabla 3-2
Diferencias entre un cliente administrado centralmente y un cliente

autoadministrado por rea de funciones
rea de funciones Cliente administrado

centralmente
Cliente autoadministrado
Opciones de
proteccin y virus
El cliente muestra una opcin de El cliente no muestra un candado

candado bloqueado, que aparece bloqueado ni un candado
atenuada para las opciones que desbloqueado.
no se pueden configurar.
Configuracin de la
administracin de
clientes y de
Proteccin contra
amenazas de red
La configuracin que controla el Toda la configuracin aparece.

administrador no aparece.
Ver "Acerca de la interaccin con el cliente" en la pgina 19.
Convertir un cliente no administrado en un cliente

administrado
Si el cliente est instalado como cliente no administrado, es posible convertirlo
en un cliente administrado. Un cliente administrado se comunica con el servidor
de administracin y recibe actualizaciones de definiciones de contenido e
informacin de configuracin. Un cliente no administrado no se comunica con
un servidor de administracin.
Para convertir un cliente no administrado en un cliente administrado, se importa
un archivo sylink.xml que contiene las opciones de comunicacin. Su administrador
debe enviarle el archivo o guardarlo en una ubicacin a la que pueda acceder. El
nombre predeterminado para el archivo es nombre de grupo_sylink.xml.
Una vez importado el archivo de comunicaciones, el icono del rea de notificacin
aparece en la esquina inferior derecha del escritorio.
Ver "Acerca del icono del rea de notificacin" en la pgina 45.
Para convertir un cliente no administrado en un cliente administrado
En el cliente, haga clic en Ayuda y soporte y despus haga clic en Solucin

de problemas.
En el cuadro de dilogo Administracin, bajo Configuracin de

comunicaciones, haga clic en Importar.
31
32
En el cuadro de dilogo Importar configuracin de comunicaciones, localice

el archivo nombre de grupo_sylink.xml y despus haga clic en Abrir.
Haga clic en Cerrar.

Una poltica de seguridad es una coleccin de opciones de seguridad que el
administrador de un cliente administrado configura y distribuye en los clientes.
Las polticas de seguridad determinan la configuracin del cliente, incluso qu
opciones es posible ver y a cules se puede acceder.
Los clientes administrados se conectan al servidor de administracin y reciben
automticamente las polticas de seguridad ms recientes. Si tiene dificultad con
el acceso a la red, su administrador puede darle instrucciones para actualizar
manualmente su archivo de polticas.
Ver "Cmo actualizar el archivo de polticas manualmente" en la pgina 32.
Cmo actualizar el archivo de polticas manualmente

Las opciones que controlan la proteccin en el cliente se almacenan en el equipo
en un archivo de polticas. El archivo de polticas actualiza la configuracin para
Proteccin antivirus y contra software espa, Proteccin contra amenazas de red,
Proteccin proactiva contra amenazas y Network Access Control. Este archivo de
polticas de seguridad normalmente se actualiza de forma automtica. Sin embargo,
tambin es posible actualizar el archivo de polticas manualmente si no desea
esperar hasta que se actualice el archivo de polticas.
Nota: Es posible ver el registro del sistema para verificar que la operacin actualiz
la poltica correctamente.
Ver "Visualizacin de los registros" en la pgina 162.
Para actualizar el archivo de polticas manualmente
En el rea de notificacin de Windows, haga clic con el botn secundario en

el icono del cliente.
En el men emergente, haga clic en Actualizar poltica.

Cuando se actualiza una poltica en el cliente, es posible comprobar si el cliente
recibi la poltica.
Para verificar que los equipos cliente obtuvieron las polticas actualizadas
En el equipo cliente, en la ventana principal de Symantec Endpoint Protection,

haga clic en Ver registros.
Al lado de Administracin del cliente, haga clic en Ver registros y despus

haga clic en Registro del sistema.
Se muestra una entrada para la actualizacin de la poltica que contiene el
nmero de serie.
Cmo habilitar y deshabilitar las tecnologas de

proteccin
Generalmente, siempre se desea mantener las tecnologas de proteccin habilitadas
en su equipo.
Si tiene un problema con su equipo cliente, puede ser recomendable deshabilitar
temporalmente todas las tecnologas de proteccin o las tecnologas de proteccin
individuales. Por ejemplo, si tiene problemas con una aplicacin que no se ejecuta
o no se ejecuta correctamente, puede ser recomendable deshabilitar Proteccin
contra amenazas de red.
Si an tiene el problema una vez que se deshabilitan todas las tecnologas de
proteccin, se sabe que el problema no es el cliente.
Tabla 3-3 describe los motivos por los que puede ser recomendable deshabilitar
cada tecnologa de proteccin.
33
34
Tabla 3-3
Propsito para deshabilitar una tecnologa de proteccin
Tecnologa de
proteccin
Propsito para deshabilitar la tecnologa de proteccin
Proteccin antivirus y Si deshabilita esta proteccin, se deshabilita Auto-Protect

contra software espa solamente. Los anlisis programados o al iniciar an se ejecutan
si su administrador los ha configurado para hacerlo.
Usted o el administrador pueden habilitar o deshabilitar
Auto-Protect por los siguientes motivos:
Auto-Protect pudo bloquearlo e impedirle abrir un documento.
Por ejemplo, si abre Microsoft Word que tiene macros,
Auto-Protect puede impedir que lo abra. Si sabe que el
documento es seguro, se puede deshabilitar Auto-Protect.
Auto-Protect puede alertar acerca de una actividad vrica que
el usuario sepa con seguridad que no est ocasionada por un
virus. Por ejemplo, es posible que se muestre un aviso cuando
se instalan nuevas aplicaciones informticas. Si planea instalar
ms aplicaciones y desea evitar el aviso, es posible deshabilitar
temporalmente Auto-Protect.
Auto-Protect puede interferir con el reemplazo del controlador
de Windows.
Auto-Protect pudo retrasar el equipo cliente.
Ver "Habilitacin o deshabilitacin de Auto-Protect"

en la pgina 36.
Proteccin proactiva
contra amenazas
Puede ser recomendable deshabilitar Proteccin proactiva contra

amenazas por los siguientes motivos:
Se ven demasiadas advertencias sobre las amenazas que se
sabe que no son amenazas.
Proteccin proactiva contra amenazas pudo retrasar el equipo
cliente.
Ver "Habilitar y deshabilitar Proteccin proactiva contra

amenazas" en la pgina 38.
Tecnologa de
proteccin
Propsito para deshabilitar la tecnologa de proteccin
Proteccin contra
amenazas de red
Puede ser recomendable deshabilitar Proteccin contra amenazas

de red por los siguientes motivos:
Se instala una aplicacin que pudo hacer que el firewall la
bloqueara.
Una norma de firewall o una configuracin del firewall bloquea
una aplicacin debido al error de un administrador.
El firewall o el sistema de prevencin de intrusiones causa
problemas de red relacionados con la conectividad.
El firewall pudo retrasar el equipo cliente.
Ver "Cmo habilitar o deshabilitar Proteccin contra amenazas

de red" en la pgina 37.
Advertencia: Asegrese de habilitar cualquiera de las protecciones cuando haya

completado su tarea de solucin de problemas para asegurarse de que su equipo
sigue protegido.
Si cualquiera de las tecnologas de proteccin causa un problema con una
aplicacin, es mejor crear una excepcin que deshabilitar permanentemente la
proteccin.
Ver "Acerca de excluir elementos del anlisis" en la pgina 66.
Cuando se deshabilita cualquiera de las protecciones:
La barra de estado en la parte superior de la pgina Estado es roja.
El icono del cliente aparece con un signo universal de negacin, un crculo rojo
con una barra diagonal. El icono del cliente aparece como un escudo completo
en la barra de tareas en la esquina inferior derecha del escritorio de Windows.
En algunas configuraciones, el icono no aparece.
Ver "Acerca del icono del rea de notificacin" en la pgina 45.
En un cliente administrado centralmente, su administrador puede habilitar

cualquier proteccin en cualquier momento.
Para habilitar las tecnologas de proteccin desde la pgina Estado
En el cliente, en la parte superior de la pgina Estado, haga clic en Reparar

o Reparar todo.
Para habilitar o deshabilitar las tecnologas de proteccin desde la barra de tareas
En el escritorio de Windows, en el rea de notificacin, haga clic con el botn

secundario en el icono del cliente y realice una de las siguientes acciones:
35
36
Haga clic en Habilitar Symantec Endpoint Protection.
Haga clic en Deshabilitar Symantec Endpoint Protection.
Habilitacin o deshabilitacin de Auto-Protect

Es posible habilitar o deshabilitar Auto-Protect para el sistema de archivos para
los archivos y los procesos, el correo electrnico de Internet y las aplicaciones de
grupo de correo electrnico. Cuando cualquier tipo de Auto-Protect se deshabilita,
el estado de la proteccin antivirus y contra software espa aparece en rojo en la
pgina de estado.
Cuando se haga clic con el botn secundario en el icono, una marca de verificacin
aparece al lado de Habilitar Auto-Protect cuando Auto-Protect para archivos y
procesos est habilitado.
Ver "Cmo habilitar y deshabilitar las tecnologas de proteccin" en la pgina 33.
Nota: En un cliente administrado centralmente, su administrador puede bloquear
Auto-Protect de modo que usted no pueda deshabilitarlo. Adems, el administrador
puede especificar que sea posible deshabilitar Auto-Protect temporalmente, pero
que Auto-Protect se habilite automticamente despus de una cantidad de tiempo
especificada..
En caso de que no se haya modificado la configuracin predeterminada,
Auto-Protect se carga de forma automtica al iniciar el sistema con el fin de
protegerlo frente a los virus y los riesgos de seguridad. Auto-Protect analiza los
programas en busca de virus y riesgos de seguridad cuando se ejecutan. Tambin
supervisa su equipo en busca de cualquier actividad que pudiera indicar la
presencia de un virus o de un riesgo de seguridad. Cuando se detecte un virus, una
actividad vrica (un evento que pudiera estar provocado por un virus) o un riesgo
de seguridad, Auto-Protect emitir una alerta.
Para habilitar o deshabilitar Auto-Protect para el sistema de archivos
En el cliente, en la pgina Estado, al lado de Proteccin antivirus y contra

software espa, realice una de las siguientes acciones:
Para habilitar o deshabilitar Auto-Protect para el correo electrnico
En el cliente, en la barra lateral, haga clic en Cambiar configuracin.
Junto a Proteccin antivirus y contra software espa, haga clic en Configurar

opciones.
En la ficha Auto-Protect para el correo electrnico de Internet, seleccione

o anule la seleccin de Habilitar Auto-Protect para el correo electrnico
de Internet.
En la ficha Auto-Protect para Microsoft Outlook, seleccione o anule la

seleccin de Habilitar Auto-Protect para Microsoft Outlook.
En la ficha Auto-Protect para Lotus Notes, seleccione o anule la seleccin

de Habilitar Auto-Protect para Lotus Notes.
Haga clic en Aceptar.
Cmo habilitar o deshabilitar Proteccin contra amenazas de red

Puede ser recomendable deshabilitar Proteccin contra amenazas de red si no se
puede abrir una aplicacin. Si no est seguro de que Proteccin contra amenazas
de red causa el problema, puede ser recomendable deshabilitar todas las tecnologas
de proteccin.
Ver "Cmo habilitar y deshabilitar las tecnologas de proteccin" en la pgina 33.
Si es posible deshabilitar la proteccin, es posible volver a habilitarla en cualquier
momento. El administrador puede tambin habilitar y deshabilitar la proteccin
en cualquier momento, incluso si reemplaza el estado que usted establece para la
proteccin.
Su administrador pudo haber configurado los lmites siguientes para el momento
y la duracin posibles para deshabilitar la proteccin:
Si el cliente permite todo el trfico o todo el trfico saliente solamente.
La duracin del perodo durante el que se deshabilita la proteccin.
Cuntas veces es posible deshabilitar la proteccin antes de reiniciar el cliente.
Ver "Administrar la Proteccin contra amenazas de red" en la pgina 117.

Ver "Bloquear y desbloquear un equipo atacante" en la pgina 139.
Para habilitar o deshabilitar Proteccin contra amenazas de red
En el cliente, en la pgina Estado, al lado de Proteccin contra amenazas de

red, realice una de las siguientes acciones:
Haga clic en Opciones > Habilitar Proteccin contra amenazas de red.
Haga clic en Opciones > Deshabilitar Proteccin contra amenazas de

red.
37
38
Habilitar y deshabilitar Proteccin proactiva contra amenazas

Puede ser recomendable deshabilitar Proteccin proactiva contra amenazas si los
anlisis muestran demasiadas advertencias o falsos positivos. Los falsos positivos
ocurren cuando el anlisis detecta una aplicacin o un proceso como amenaza
cuando no lo es.
Se habilita Proteccin proactiva contra amenazas cuando se habilitan las opciones
Analizar en busca de caballos de Troya y gusanos y Analizar en busca de
registradores de pulsaciones. Si una de las opciones se deshabilita, el cliente
muestra el estado de Proteccin proactiva contra amenazas como deshabilitado.
En un cliente administrado centralmente, su administrador puede bloquear
Proteccin proactiva contra amenazas de modo que usted no pueda deshabilitarlo.
Proteccin proactiva contra amenazas se deshabilita automticamente en los
equipos cliente que ejecutan Windows XP x64 Edition o Windows Server 2000,
2003 y 2008.
Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 105.
Para habilitar o deshabilitar Proteccin proactiva contra amenazas
En el cliente, en la pgina Estado, al lado de Proteccin proactiva contra

amenazas, realice una de las siguientes acciones:
Haga clic en Opciones > Habilitar proteccin proactiva contra amenazas.
Haga clic en Opciones > Deshabilitar proteccin proactiva contra

amenazas.

Los productos de Symantec dependen de la informacin ms actual para proteger
el sistema de nuevas amenazas descubiertas. Symantec pone a su disposicin esa
informacin a travs de LiveUpdate. LiveUpdate obtiene actualizaciones de
programa y de proteccin para su equipo usando su conexin de Internet.
Las actualizaciones de proteccin son los archivos que mantienen sus productos
de Symantec actualizados con la tecnologa ms ms actual de proteccin contra
amenazas. LiveUpdate obtiene los nuevos archivos de definiciones desde un sitio
de Internet de Symantec y reemplaza los archivos de definiciones anteriores. Las
actualizaciones de proteccin que usted recibe dependen de los productos
instalados en su equipo.
Las actualizaciones de proteccin pueden incluir los siguientes archivos:
Archivos de definiciones de virus para Proteccin antivirus y contra software

espa.
Ver "Cmo funcionan los anlisis antivirus y contra software espa"

en la pgina 77.
Firmas heursticas y listas de aplicaciones comerciales para Proteccin

proactiva contra amenazas.
Archivos de definiciones IPS para Proteccin contra amenazas de red.

Ver "Acerca de la Proteccin contra amenazas de red" en la pgina 119.
Las actualizaciones del programa son mejoras al cliente instalado. Estas son
diferentes de las actualizaciones del producto, que son versiones ms recientes
del producto. Las actualizaciones del producto se crean generalmente para ampliar
la compatibilidad del sistema operativo o del hardware, para ajustar cuestiones
de rendimiento o para reparar errores del producto. Las actualizaciones del
producto aparecen cuando son necesarias. El cliente recibe actualizaciones del
producto directamente de un servidor de LiveUpdate. Un cliente administrado
centralmente puede adems recibir actualizaciones del producto automticamente
de un servidor de administracin en su empresa.
Tabla 3-4
Maneras de actualizar las definiciones en su equipo
Tarea
Descripcin
Actualizar su proteccin en una De forma predeterminada, LiveUpdate se ejecuta

programacin
automticamente en los intervalos programados.
En un cliente autoadministrado, se puede deshabilitar
o cambiar una programacin de LiveUpdate.
Ver "Actualizacin de su proteccin en una
programacin" en la pgina 40.
Actualizar su proteccin de
forma inmediata
De acuerdo con su configuracin de seguridad, es posible

ejecutar LiveUpdate de forma inmediata.
Ver "Cmo actualizar su proteccin de forma inmediata"
en la pgina 39.
Nota: El HTTP se admite para la comunicacin de LiveUpdate, pero el HTTPS no

se admite.

Es posible actualizar los archivos de definiciones de forma inmediata usando
LiveUpdate. Es necesario ejecutar LiveUpdate manualmente por los siguientes
motivos:
39
40
El cliente fue instalado recientemente.
Ha pasado mucho tiempo desde el ltimo anlisis.
Sospecha que tiene un virus.

Para actualizar su proteccin de forma inmediata
En el cliente, en la barra lateral, haga clic en LiveUpdate.

LiveUpdate se conecta con el servidor de Symantec, comprueba si hay
actualizaciones disponibles y las descarga e instala automticamente.

Es posible crear una programacin de modo que LiveUpdate se ejecute
automticamente en intervalos programados. Es conveniente programar la
ejecucin de LiveUpdate durante el tiempo en que usted no usa su equipo.
Nota: Es posible configurar solamente LiveUpdate para ejecutarse en una
programacin si su administrador lo ha habilitado.
Para actualizar su proteccin en una programacin
Al lado de Administracin de clientes, haga clic en Configurar opciones.
En el cuadro de dilogo Configuracin de administracin del cliente, haga

clic en Actualizaciones programadas.
En la ficha Actualizaciones programadas, seleccione Habilitar

actualizaciones automticas.
En el cuadro de grupo Frecuencia, seleccione si desea que las actualizaciones

se ejecuten diaria, semanal o mensualmente.
En el cuadro de grupo Cundo, seleccione el da o la semana y la hora en la

que usted quisiera que las actualizaciones se ejecutaran.
La configuracin del cuadro de grupo Cundo depende de la configuracin
del cuadro de grupo Frecuencia.
Seleccione Continuar intentando durante y despus especifique el intervalo

de tiempo durante el que el cliente intenta ejecutar LiveUpdate de nuevo.
Seleccione Hora de inicio aleatoria antes o despus de y despus especifique

el nmero de horas o de das.
Esta opcin configura un intervalo de tiempo antes o despus de la hora
programada para que la actualizacin se inicie.

Es posible analizar el equipo para probar su eficacia frente a las amenazas
exteriores y de virus. Este anlisis es una medida importante que es posible tomar
para asegurarse de que su equipo est protegido contra posibles intrusos. Los
resultados pueden ayudarlo a configurar varias opciones en el cliente a fin de
proteger su equipo contra ataques.
Para probar la seguridad de su equipo
En el cliente, en la barra lateral, haga clic en Estado.
Al lado de Proteccin contra amenazas de red, haga clic en Opciones > Ver
actividad de la red.
Haga clic en Herramientas > Prueba de seguridad de red.
En el sitio web de Symantec AntiVirus Check, realice una de las siguientes

acciones:
Para comprobar si hay amenazas en lnea, haga clic en Anlisis de

seguridad.
Para comprobar si hay virus, haga clic en Deteccin de virus.
En el cuadro de dilogo Contrato de licencia de usuario final, haga clic en

Acepto y despus haga clic en Siguiente.
Si hizo clic en Deteccin de virus en el paso 4, haga clic en Consiento y despus
haga clic en Siguiente.
Si desea detener el anlisis en cualquier momento, haga clic en Detener.
Cuando el anlisis haya terminado, cierre el cuadro de dilogo.
Acerca de las ubicaciones

Una ubicacin se refiere a una poltica de seguridad basada en su entorno de red.
Por ejemplo, si usted se conecta a la red de la oficina usando su equipo porttil
desde su domicilio, el administrador puede configurar una ubicacin denominada
Hogar. Si utiliza el equipo porttil en la oficina, es posible utilizar una ubicacin
41
42
denominada Oficina. Otras ubicaciones pueden incluir una VPN, una sucursal o
un hotel.
El cliente conmuta entre estas ubicaciones porque sus necesidades de seguridad
y uso pueden variar entre los entornos de red. Por ejemplo, cuando su equipo
porttil se conecta a la red de la oficina, el cliente puede utilizar un grupo de
polticas restrictivas que su administrador configur. Cuando se conecta a la red
domstica, sin embargo, el cliente puede utilizar un grupo de polticas que le da
acceso a ms opciones de configuracin. Su administrador planea y configura su
cliente como corresponde, de modo que el cliente salva esas diferencias
automticamente.
Nota: En un entorno administrado, puede modificar ubicaciones solamente si su
administrador le ha proporcionado el acceso necesario.
Es posible modificar una ubicacin si es necesario. Por ejemplo, puede ser necesario
pasar a una ubicacin que permita a un colega acceder a los archivos en su equipo.
La lista de ubicaciones disponibles depende de sus polticas de seguridad y de la
red activa de su equipo.
Nota: De acuerdo con las polticas de seguridad disponibles, puede tener acceso a
ms de una ubicacin, o no. Puede ocurrir que cuando usted haga clic en una
ubicacin, no pase a esa ubicacin. Esto significa que su configuracin de red no
es apropiada para esa ubicacin. Por ejemplo, una ubicacin denominada Oficina
puede estar disponible solamente cuando detecta la red de rea local (LAN) de la
oficina. Si no est actualmente en esa red, no es posible pasar a esa ubicacin.
Para modificar una ubicacin
En la pgina Cambiar configuracin, junto a Administracin de clientes,

haga clic en Configurar opciones.
En la ficha General, bajo Opciones de ubicacin, seleccione la ubicacin a la

cual usted desea pasar.

Proteccin contra intervenciones ofrece proteccin en tiempo real para las
aplicaciones de Symantec. Frustra ataques de software malicioso tal como gusanos,
caballos de Troya, virus y riesgos de seguridad.
Es posible configurar Proteccin contra intervenciones para que tome las medidas
siguientes:
Bloquear los intentos de intervencin y registrar el evento.
Registrar el evento de intervencin, pero no interferir con el evento de

intervencin.
Proteccin contra intervenciones est habilitada para los clientes administrados

y no administrados, a menos que su administrador haya modificado la
configuracin predeterminada. Cuando Proteccin contra intervenciones detecta
un intento de intervencin, la accin predeterminada es registrar el evento en el
registro de proteccin contra intervenciones. Es posible configurar Proteccin
contra intervenciones para que muestre una notificacin en el equipo cuando
detecte un intento de intervencin. Es posible personalizar el mensaje. Proteccin
contra intervenciones no notifica sobre intentos de intervencin, a menos que
usted habilite esa funcin.
Si utiliza un cliente no administrado, es posible modificar su configuracin de
Proteccin contra intervenciones. Si utiliza un cliente administrado, es posible
modificar esta configuracin si su administrador lo permite.
Las mejores prcticas cuando se utiliza inicialmente Symantec Endpoint Protection
es dejar la accin predeterminada Registrar el evento solamente al supervisar
los registros una vez por semana. Cuando est seguro de que no ve ningn falso
positivo, configure Proteccin contra intervenciones en Bloquear y registrar el
evento.
Nota: Si se utiliza un analizador de riesgos de seguridad de otro fabricante que
detecte y proteja contra publicidad no deseada y software espa, el analizador
afecta tpicamente los procesos de Symantec. Si Proteccin contra intervenciones
est habilitada al tiempo que se ejecuta un analizador de riesgos de seguridad de
otro fabricante, Proteccin contra intervenciones genera una gran cantidad de
notificaciones y de entradas de registro. Las mejores prcticas son siempre dejar
Proteccin contra intervenciones habilitada y utilizar el filtro de registro si el
nmero de eventos que se generan es demasiado grande.
43
44
Habilitar, deshabilitar y configurar Proteccin contra intervenciones
Habilitar, deshabilitar y configurar Proteccin contra

intervenciones
Es posible habilitar y deshabilitar Proteccin contra intervenciones. Si se habilita
Proteccin contra intervenciones, es posible elegir las medidas que se tomarn
cuando se detecta un intento de manipular el software de Symantec. Es posible
tambin configurar Proteccin contra intervenciones para que muestre un mensaje
que notifique sobre intentos de intervencin. Si desea personalizar el mensaje,
puede utilizar las variables predefinidas que Proteccin contra intervenciones
completa con la informacin apropiada.
Nota: Si el equipo est a cargo de un administrador y estas opciones muestran un
icono de un candado, no podr cambiarlas porque el administrador las ha
bloqueado.
Para obtener informacin sobre las variables predefinidas, haga clic en Ayuda en
la ficha Proteccin contra intervenciones.
Para habilitar o deshabilitar Proteccin contra intervenciones
En la ventana principal, en la barra lateral, haga clic en Cambiar

configuracin.
En la ficha Proteccin contra intervenciones, seleccione o anule la seleccin

de Proteger el software de seguridad de Symantec contra intervenciones o
intentos de cierre.
Para configurar Proteccin contra intervenciones

configuracin.
En la ficha Proteccin contra intervenciones, en el cuadro de lista Accin que

se efectuar en caso de que una aplicacin intente intervenir o cerrar el
software de seguridad de Symantec, haga clic en Bloquear y registrar el
evento o Registrar el evento solamente.
Acerca de evitar que un administrador reinicie su equipo
Si desea ser notificado cuando Proteccin contra intervenciones detecta

comportamiento sospechoso, seleccione Mostrar un mensaje de notificacin
al detectar una intervencin.
Si habilita estos mensajes de notificacin, es posible recibir notificaciones
sobre los procesos de Windows, adems de los procesos de Symantec.
Para personalizar el mensaje que aparece, actualice el texto en el campo del

mensaje.
Acerca de evitar que un administrador reinicie su

equipo
Por lo general, los administradores pueden ejecutar comandos remotamente en
su equipo cliente. Por motivos de seguridad, puede ser recomendable evitar que
un administrador reinicie remotamente su equipo.
Es necesario configurar una clave de registro en el equipo cliente, que bloquea
cualquier comando de reinicio del servidor de administracin. En el equipo cliente,
se puede configurar la clave de DisableRebootCommand en 1. A continuacin, si
un administrador selecciona el comando Reiniciar equipos cliente de la consola,
el equipo cliente no se reinicia.

El cliente utiliza un icono de rea de notificacin para indicar si el cliente est
conectado o desconectado y si el equipo cliente est protegido adecuadamente.
Es posible hacer clic con el botn secundario en este icono para visualizar
comandos utilizados frecuentemente. El icono se encuentra en la esquina inferior
derecha del escritorio.
Nota: En clientes administrados centralmente, el icono del rea de notificacin
no aparece si su administrador lo ha configurado para estar como no disponible.
En la Tabla 3-5, se muestran los iconos de estado de clientes de Symantec Endpoint
Protection.
45
46
Tabla 3-5
Icono
Iconos de estado de Symantec Endpoint Protection

Descripcin
El cliente se ejecuta sin problemas. Puede estar desconectado o
autoadministrado. Los clientes autoadministrados no estn conectados a un
servidor de administracin.
El cliente se ejecuta sin problemas. Est conectado y se comunica con el
servidor. Todos los componentes de la poltica de seguridad protegen el
equipo. El icono muestra un punto verde.
El cliente tiene un problema menor. Por ejemplo, las definiciones de virus
pueden estar desactualizadas. El icono muestra un punto amarillo con un
signo de exclamacin negro.
El cliente no se ejecuta, tiene un problema grave o tiene, por lo menos, una
tecnologa de proteccin deshabilitada. Por ejemplo, la Proteccin contra
amenazas de red puede estar deshabilitada. El icono muestra un punto blanco
con un borde rojo y una lnea roja que cruza el punto.
En la Tabla 3-6, se muestran los iconos de estado de clientes de Symantec Network

Access Control.
Tabla 3-6
Icono
Iconos de estado de Symantec Network Access Control

Descripcin
El cliente se ejecuta sin problemas, aprob la comprobacin de integridad
del host y actualiz la poltica de seguridad. Puede estar desconectado o
autoadministrado. Los clientes autoadministrados no estn conectados a
un servidor de administracin.
El cliente se ejecuta sin problemas, aprob la comprobacin de integridad
del host y actualiz la poltica de seguridad. Se comunica con el servidor.
El icono muestra un punto verde.
El cliente no super la comprobacin de integridad del host o no actualiz
la poltica de seguridad. El icono muestra un punto rojo con una "x" blanca.
En la Tabla 3-7, se describen los comandos que estn disponibles desde el icono
del rea de notificacin.
Tabla 3-7
Comandos del icono del rea de notificacin
Opcin
Descripcin
Abrir Symantec Endpoint

Protection
Abre la ventana principal.
Abrir Symantec Network

Access Control
Actualizar poltica
Obtiene las polticas de seguridad ms recientes del servidor.
Nota: Este comando est disponible en clientes

administrados en forma centralizada solamente.
Reautenticacin
Vuelve a autenticar el equipo cliente.
Nota: Este comando est disponible solamente cuando el

administrador configura el cliente como suplicante de 802.1x
integrado. Este comando no est disponible para los clientes
de Symantec Endpoint Protection.
Ver "Reautenticar el equipo" en la pgina 155.
Deshabilitar Symantec
Endpoint Protection
Desactiva las protecciones que el administrador le ha

permitido deshabilitar.
Una vez que se deshabilita el cliente, el texto del comando
cambia de Deshabilitar a Habilitar. Es posible seleccionar
este comando para activar toda la proteccin del cliente.

Es posible ocultar el icono del rea de notificacin, si es necesario. Por ejemplo,
se lo puede ocultar si se necesita ms espacio en la barra de tareas de Windows.
Nota: En clientes administrados, no es posible ocultar el icono del rea de
notificacin si el administrador ha restringido esta funcin.
Para ocultar o mostrar el icono del rea de notificacin

configuracin.
En la pgina Cambiar configuracin, para Administracin de clientes, haga

clic en Configurar opciones.
47
48
En el cuadro de dilogo Configuracin de administracin de clientes, en la

ficha General, bajo Mostrar opciones, seleccione o anule la seleccin de
Mostrar icono de seguridad de Symantec en el rea de notificacin.
Seccin
Administracin del cliente de

Symantec Endpoint
Protection
Captulo 4. Administracin del cliente de Symantec Endpoint Protection
Captulo 5. Administracin de la Proteccin antivirus y contra software espa
Captulo 6. Administrar la proteccin proactiva contra amenazas
Captulo 7. Administrar la Proteccin contra amenazas de red
50
Captulo
Administracin del cliente

de Symantec Endpoint
Protection
De qu forma protege Symantec Endpoint Protection el sistema
Acerca de los virus y los riesgos de seguridad
Respuesta del cliente ante virus y riesgos de seguridad
Usar el cliente con Windows Security Center
Cmo analizar su equipo de forma inmediata
Interrupcin y retraso de anlisis
De qu forma protege Symantec Endpoint Protection

el sistema
Symantec Endpoint Protection proporciona una poltica de seguridad que contiene
varios tipos de proteccin para su equipo.
Los tipos siguientes de proteccin funcionan juntos para proteger su equipo contra
riesgos:
Proteccin antivirus y contra software espa
Proteccin contra amenazas de red
Proteccin proactiva contra amenazas
52
Administracin del cliente de Symantec Endpoint Protection

De qu forma protege Symantec Endpoint Protection el sistema
Acerca de la Proteccin antivirus y contra software espa

La Proteccin antivirus y contra software espa garantiza que su equipo est
protegido contra virus y riesgos de seguridad conocidos. Los virus que se detecten
y eliminen de forma precoz de la mquina no podrn propagarse a otros archivos
y causar daos. Los efectos de los virus y riesgos de seguridad pueden repararse.
Cuando el cliente de Symantec Endpoint Protection detecta un virus o un riesgo
de seguridad, de forma predeterminada, el cliente notifica sobre la deteccin. Si
no se desea mostrar una notificacin, tanto el usuario como el administrador
podrn configurar el cliente para que trate el riesgo automticamente.
La Proteccin antivirus y contra software espa proporciona anlisis basados en
firmas e incluye lo siguiente:
Anlisis de Auto-Protect
Auto-Protect se ejecuta constantemente y proporciona proteccin en tiempo
real supervisando la actividad de su equipo. Auto-Protect busca virus y riesgos
de seguridad cuando se ejecuta o se abre un archivo. Tambin busca virus y
riesgos de seguridad cuando se hace cualquier modificacin a un archivo. Por
ejemplo, al cambiar el nombre de un archivo, guardarlo, moverlo o copiarlo
en distintas carpetas
Anlisis programados, de inicio y manuales

Usted o su administrador pueden configurar otros anlisis para ejecutarlos en
el equipo. Estos anlisis buscan firmas de virus residuales en archivos
infectados. Estos anlisis tambin buscan firmas de riesgos de seguridad en
archivos infectados e informacin del sistema. Usted o su administrador pueden
iniciar anlisis que verifiquen sistemticamente los archivos de su equipo en
busca de virus y riesgos de seguridad. Los riesgos de seguridad pueden incluir
publicidad no deseada o software espa.
Acerca de la proteccin contra amenazas de red

El cliente de Symantec Endpoint Protection proporciona un firewall personalizable
que protege su equipo contra intrusiones y uso errneo, ya sea malicioso o
involuntario. Detecta e identifica anlisis de puertos conocidos y otros ataques
comunes. En respuesta, el firewall permite o bloquea selectivamente los distintos
servicios de red, aplicaciones, puertos y componentes. Incluye varios tipos de
normas y opciones de seguridad de firewall para proteger los equipos cliente
contra el trfico de red que pueda causar dao.
La proteccin contra amenazas de red proporciona un firewall y las firmas de
prevencin de intrusiones para evitar ataques de intrusin y contenido malicioso.
El firewall permite o bloquea el trfico segn varios criterios.

Las normas de firewall determinan si el equipo permite o bloquea una aplicacin

o un servicio entrante o saliente que intente acceder a su equipo mediante su
conexin de red. Las normas de firewall permiten o bloquean sistemticamente
las aplicaciones entrantes o salientes y el trfico desde direcciones IP y puertos
especficos o hacia ellos. La configuracin de seguridad detecta e identifica ataques
comunes, enva mensajes de correo electrnico despus de un ataque, muestra
mensajes personalizables y realiza otras tareas de seguridad relacionadas.
Acerca de la proteccin proactiva contra amenazas

Proteccin proactiva contra amenazas incluye los anlisis de amenazas proactivos
TruScan, que aseguran que su equipo tenga proteccin de da cero contra amenazas
desconocidas. Estos anlisis utilizan la heurstica para analizar la estructura de
un programa, su comportamiento y otros atributos en busca de caractersticas
tpicas de los virus. En muchos casos puede proteger contra amenazas tales como
gusanos de correo masivos y virus de macro. Es posible que se encuentren gusanos
y virus de macro antes de actualizar sus definiciones de virus y riesgos de
seguridad. Los anlisis de amenazas proactivos buscan amenazas basadas en
scripts en archivos HTML, de VBScript y de JavaScript.
Los anlisis de amenazas proactivos tambin detectan las aplicaciones comerciales
que se pueden utilizar con propsitos maliciosos. Estas aplicaciones comerciales
incluyen programas de control remoto o registradores de pulsaciones.
Es posible configurar los anlisis de amenazas proactivos para que pongan en
cuarentena las detecciones. Es posible restaurar manualmente los elementos
puestos en cuarentena por los anlisis de amenazas proactivos. El cliente puede
tambin restaurar automticamente los elementos de la cuarentena.

El cliente puede analizar en busca de virus y riesgos de seguridad. De forma
predeterminada, los anlisis definidos por el usuario y los anlisis de Auto-Protect
buscan virus, caballos de Troya, gusanos y todas las categoras de riesgos de
seguridad.
Los anlisis antivirus y contra software espa tambin detectan rootkits del nivel
de ncleo. Los rootkits son programas que intentan ocultarse del sistema operativo
de un equipo y podran utilizarse para propsitos maliciosos.
53
54

Figura 4-1
Otros equipos,
archivo de red
compartido
Cmo los virus y los riesgos de seguridad atacan un equipo

Unidad flash
USB
Internet
Virus y
software
malicioso y
riesgos de
seguridad
Virus y software
malicioso y
riesgos de
seguridad
Correo
electrnico,
mensajera
instantnea
Virus y software
malicioso y riesgos
de seguridad
Equipo cliente
Tabla 4-1 describe los tipos de virus y de software malicioso contra los cuales el
cliente protege.
Tabla 4-1
Virus, caballos de Troya y gusanos
Virus
Descripcin
Virus
Programa o cdigo que adjunta una copia de s mismo a otro programa

informtico o documento cuando se ejecuta. Siempre que el programa
infectado se ejecute o un usuario abra un documento que contenga un
virus de macro, el programa de virus asociado se activa. El virus puede
entonces asociarse a otros programas y documentos.
Por regla general, los virus entregan una carga, como puede ser
mostrar un mensaje en una fecha concreta. Sin embargo, otros estn
programados para destruir datos, daar programas, borrar archivos
o formatear unidades.
Un virus de macro es un virus escrito en un lenguaje que est
incorporado en una aplicacin de software, como Microsoft Word.
Caballos de Troya
Programas que contienen cdigo daino que se oculta o disimula tras

una aplicacin benigna, como un juego o una utilidad.
Gusanos
Programas que se reproducen sin infectar otros programas. Algunos

gusanos se propagan copindose a s mismos de disco a disco, mientras
que otros solo se reproducen en la memoria para ralentizar el equipo.

Tabla 4-2 describe los tipos de riesgos de seguridad contra los cuales el cliente
protege.
Tabla 4-2
Riesgo de
seguridad
Tipos de riesgos de seguridad

Descripcin
Bots maliciosos de Programas que ejecutan tareas automatizadas en Internet con

Internet
propsitos maliciosos.
Los bots se pueden utilizar para automatizar ataques en los equipos
o para recoger informacin de sitios web.
Amenazas
combinadas
Amenazas que combinan las caractersticas de virus, gusanos, caballos

de Troya y cdigo con los puntos vulnerables de Internet y de los
servidores para iniciar, transmitir y extender un ataque. Las amenazas
combinadas emplean diversos mtodos y tcnicas para propagarse
con rapidez, y causan un dao generalizado en toda la red.
Publicidad no
deseada
Programas que, de forma secreta, recopilan informacin personal

mediante Internet y la transmiten a otro equipo. La publicidad no
deseada puede realizar un seguimiento de los hbitos de navegacin
del usuario con intereses comerciales. Este tipo de aplicaciones tambin
puede enviar contenido publicitario.
Marcadores
Programas que utiliza un equipo, sin el permiso o el conocimiento del

usuario, para marcar un nmero telefnico o comunicarse con un sitio
ftp. Estos programas suelen aumentar los costos.
Herramientas de
hackeo
Programas que usan los hackers para tener acceso no autorizado al

equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo
es un registrador de pulsaciones del teclado, el cual realiza un
seguimiento de las pulsaciones individuales del teclado, las registra
y enva esta informacin al hacker. Entonces, el hacker puede realizar
anlisis de puerto y de puntos dbiles. Las herramientas de hackeo se
pueden emplear tambin para desarrollar virus.
Programas broma Programas que alteran o interrumpen el funcionamiento de un equipo

con el fin de gastar una broma o asustar al usuario. Por ejemplo, se
puede descargar un programa mediante un sitio web, correo electrnico
o programa de mensajera instantnea. Este programa puede entonces
alejar la papelera de reciclaje del mouse cuando el usuario intenta
borrarlo. Puede tambin invertir los clics del mouse.
Otros
Cualesquiera otros riesgos de seguridad que no se ajusten exactamente

a las definiciones de virus, caballos de Troya, gusanos u otras
categoras de riesgos de seguridad.
55
56

Riesgo de
seguridad
Descripcin
Programas de
acceso remoto
Programas que permiten acceder a travs de Internet desde otro

equipo, de manera que pueden recopilar informacin del equipo de
un usuario, atacarlo o alterar su contenido. Es posible que se instale
un programa de acceso remoto legtimo. Un proceso puede instalar
este tipo de aplicacin sin su conocimiento. Este programa puede
utilizarse con fines dainos, modificando o no el programa original
de acceso remoto.
Software espa
Programas que pueden supervisar, de forma secreta, la actividad del

sistema, as como detectar contraseas y otro tipo de informacin
confidencial para transmitirla a otro equipo.
El software espa se puede descargar de sitios web, mensajes de correo
electrnico, mensajes instantneos y conexiones directas a archivos.
Adems, un usuario puede inadvertidamente recibir software espa
aceptando un acuerdo de licencia para el usuario final de un programa
de software.
Software de
seguimiento
Aplicaciones independientes o anexas a otras que realizan un

seguimiento de la ruta del usuario en Internet y envan la informacin
al sistema de destino. Por ejemplo, la aplicacin puede descargarse
mediante un sitio web, un mensaje de correo electrnico o un programa
de mensajera instantnea. Posteriormente, esta puede obtener
informacin confidencial relativa al comportamiento del usuario.
De forma predeterminada, los anlisis hacen lo siguiente:
Detectan, eliminan y reparan los efectos secundarios de virus, gusanos, caballos

de Troya y amenazas combinadas.
Detectan, eliminan y reparan los efectos secundarios de riesgos de seguridad,

como publicidad no deseada, marcadores, herramientas de hackeo, programas
broma, programas de acceso remoto, software espa, programas de seguimiento,
etc.
El sitio web de Symantec Security Response ofrece la informacin ms reciente

sobre amenazas y riesgos de seguridad. Tambin incluye amplia informacin de
referencia, tal como un glosario general e informacin detallada acerca de virus
y riesgos de seguridad.

Respuesta del cliente ante virus y riesgos de seguridad
Respuesta del cliente ante virus y riesgos de

seguridad
El cliente protege los equipos contra virus y riesgos de seguridad, sea cual fuere
su origen. Los equipos quedan protegidos contra virus y riesgos de seguridad que
se extienden desde los discos duros y disquetes, o que viajan a travs de las redes,
y tambin contra aqullos que se propagan a travs de archivos adjuntos de correo
electrnico o cualquier otro medio. Por ejemplo, un riesgo de seguridad podra
instalarse en el equipo sin su conocimiento cuando acceda a Internet.
Se analizan los archivos incluidos dentro de archivos comprimidos para eliminar
virus y riesgos de seguridad. No es necesario ningn programa adicional ni
modificar las opciones para los virus transmitidos por Internet. Auto-Protect
analiza los programas descomprimidos y los archivos de documentos
automticamente cuando se descargan.
Cuando el cliente detecta un virus, de forma predeterminada, intenta limpiar el
virus del archivo infectado. El cliente tambin intenta reparar los efectos del virus.
Si el cliente limpia el archivo, quita totalmente el riesgo del equipo. Si el cliente
no puede limpiar el archivo, mueve el archivo infectado a la cuarentena. El virus
no puede propagarse desde la cuarentena.
Cuando se actualiza su equipo con nuevas definiciones de virus, el cliente verifica
automticamente la cuarentena. Es posible volver a explorar los elementos de la
cuarentena. Las definiciones ms recientes pueden limpiar o reparar los archivos
puestos previamente en cuarentena.
Nota: El administrador puede configurar el programa para que analice
automticamente los archivos existentes en el rea de cuarentena.
De forma predeterminada, para los riesgos de seguridad, el cliente pone en
cuarentena los archivos infectados. El cliente tambin recupera la informacin
del sistema que el riesgo de seguridad ha modificado. Algunos riesgos de seguridad
no pueden eliminarse totalmente sin generar errores en otros programas del
sistema, como un explorador Web. Es posible que la configuracin de la proteccin
antivirus y contra software espa no pueda manejar el riesgo automticamente.
En ese caso, el cliente pregunta antes de detener un proceso o reiniciar el equipo.
Otra alternativa es configurar las opciones para emplear la accin de slo registro
para los riesgos de seguridad.
Cuando el software de cliente detecta riesgos de seguridad, incluye un vnculo en
la ventana del anlisis a Symantec Security Response. En el sitio Web de Symantec
Security Response es posible aprender ms sobre el riesgo de seguridad. El
administrador tambin puede enviar un mensaje personalizado.
57
58


Si utiliza Windows Security Center en Windows XP con Service Pack 2 para
supervisar el estado de la seguridad, es posible ver el estado de Symantec Endpoint
Protection en WSC.
Tabla 4-3 muestra el informe del estado de proteccin en WSC.
Tabla 4-3
Informe del estado de proteccin en WSC
Estado de los productos de Symantec
Estado de proteccin
Symantec Endpoint Protection no est instalado
NO ENCONTRADO
(rojo)
Symantec Endpoint Protection est instalado con la proteccin ACTIVADO (verde)

completa
Symantec Endpoint Protection est instalado y las definiciones CADUCADO (rojo)
de virus y riesgos de seguridad no estn actualizadas
Symantec Endpoint Protection est instalado y Auto-Protect para DESACTIVADO (rojo)
el sistema de archivos no est habilitado
Symantec Endpoint Protection est instalado, Auto-Protect para DESACTIVADO (rojo)
el sistema de archivos no est habilitado y las definiciones de
virus y riesgos de seguridad no estn actualizadas
Symantec Endpoint Protection est instalado y Rtvscan se
desactiv manualmente
DESACTIVADO (rojo)
Tabla 4-4 muestra el informe del estado del firewall de Symantec Endpoint
Protection en WSC.
Tabla 4-4
Informe del estado del firewall en WSC
Estado de los productos de Symantec
Estado del firewall
El firewall de Symantec no est instalado
NO ENCONTRADO
(rojo)
El firewall de Symantec est instalado y habilitado
ACTIVADO (verde)
El firewall de Symantec est instalado pero no habilitado
DESACTIVADO (rojo)
El firewall de Symantec no est instalado o habilitado, pero est ACTIVADO (verde)

instalado y habilitado un firewall de otro fabricante

Nota: En Symantec Endpoint Protection, el Firewall de Windows est deshabilitado

de forma predeterminada.
Si hay ms de un firewall habilitado, WSC informa que hay mltiples firewalls
instalados y habilitados.

Es posible analizar manualmente en busca de virus y riesgos de seguridad en
cualquier momento. Es necesario analizar su equipo de forma inmediata si usted
instal recientemente el cliente o si piensa que ha recibido recientemente un virus.
Elija qu desea analizar, desde un nico archivo hasta un disquete o todo el sistema.
Los anlisis manuales incluyen Active Scan y Anlisis completo. Es posible tambin
crear un anlisis personalizado para ejecutarlo cuando lo necesite.
Ver "Cmo programar un anlisis para que se ejecute manualmente o cuando se
inicia el equipo" en la pgina 82.
Para obtener ms informacin sobre las opciones en cada cuadro de dilogo, haga
clic en Ayuda.
Para analizar su equipo de forma inmediata

software espa, haga clic en Opciones > Ejecutar Active Scan.
En el cliente, en la barra lateral, haga clic en Analizar en busca de

amenazas.
Haga clic en Ejecutar Active Scan.
Haga clic en Ejecutar anlisis completo.
En la lista de anlisis, haga clic con el botn secundario en cualquier

anlisis y despus haga clic en Analizar ahora.
El anlisis comienza. Aparece una ventana de progreso en su equipo
para mostrar el progreso del anlisis y los resultados.
Es posible tambin pausar o cancelar el anlisis.

Ver "Interrupcin y retraso de anlisis" en la pgina 60.
59
60

Para analizar su equipo desde Windows
Desde la ventana Mi PC o desde el Explorador de Windows, haga clic con el

botn secundario en un archivo, carpeta o unidad y, a continuacin, haga clic
en Analizar en busca de virus.
Esta funcin no es compatible con los sistemas operativos de 64 bits.

La funcin de interrupcin de anlisis permite detener la ejecucin de un anlisis
en cualquier punto y continuarla despus. Un usuario puede interrumpir cualquier
anlisis que haya iniciado.
Su administrador determina si se puede interrumpir un anlisis iniciado por el
administrador. Si la opcin Interrumpir anlisis no est disponible, su
administrador deshabilit la funcin de interrupcin. Si el administrador habilita
la funcin Posponer, los usuarios podrn retrasar los anlisis programados del
administrador por un intervalo de tiempo determinado.
Cuando un anlisis se reanuda, se inicia desde donde el anlisis se detuvo.
Nota: Si interrumpe momentneamente un anlisis al mismo tiempo que el cliente
analiza un archivo comprimido, el cliente puede tardar varios minutos para
responder a la solicitud de interrupcin.
Para interrumpir un anlisis que usted inici
Cuando el anlisis se ejecuta, en el cuadro de dilogo del anlisis, haga clic

en Interrumpir anlisis.
El anlisis se detendr en el preciso lugar en que se encuentre, y el cuadro de
dilogo permanecer abierto hasta que se reanude.
En el cuadro de dilogo del anlisis, haga clic en Reanudar anlisis para

continuar el anlisis.
Para interrumpir o retrasar un anlisis iniciado por el administrador
Mientras el anlisis iniciado por el administrador se est ejecutando, haga

clic en Interrumpir anlisis en el cuadro de dilogo.
En el cuadro de dilogo Interrupcin del anlisis programado, realice una

de las siguientes acciones:
Para interrumpir el anlisis temporalmente, haga clic en Interrumpir.
Para retrasar el anlisis, haga clic en Posponer 1 hora o Posponer 3 horas.

El administrador es quien determina el tiempo durante el que se puede

retrasar el anlisis. Cuando la interrupcin alcanza el lmite, el anlisis
se reinicia desde donde comenz. El administrador tambin determina el
nmero de veces que se puede retrasar un anlisis programado antes de
que esta funcin quede deshabilitada.
Para continuar el anlisis sin interrumpir, haga clic en Continuar.
61
62

Captulo
Administracin de la
Proteccin antivirus y
contra software espa
Acerca de la configuracin antivirus y contra software espa
Acerca del anlisis de archivos
Cuando el cliente detecta un virus o un riesgo de seguridad
Acerca de Auto-Protect
Usar anlisis antivirus y de software espa
Configurar anlisis antivirus y de software espa
Interpretar los resultados de los anlisis
Cmo enviar la informacin sobre las detecciones del anlisis a Symantec

Security Response
Configurar acciones para virus y riesgos de seguridad
Configurar notificaciones para virus y riesgos de seguridad
Exclusin de elementos del anlisis
Acerca de la administracin de archivos en cuarentena
Administracin de la cuarentena
64
Administracin de la Proteccin antivirus y contra software espa

Acerca de la configuracin antivirus y contra software espa
Acerca de la configuracin antivirus y contra software

espa
El cliente incluye la configuracin predeterminada antivirus y contra software
espa apropiada para la mayora de los usuarios. Puede modificar la configuracin
a fin de personalizarla para su red de seguridad. Es posible personalizar la
configuracin de las polticas para los anlisis de Auto-Protect, programados, de
inicio y manuales.
La configuracin antivirus y contra software espa incluye las opciones siguientes:
Qu elementos analizar
Qu hacer cuando se detecta un virus o un riesgo de seguridad

Los anlisis antivirus y contra software espa analizan todos los tipos de archivos
de forma predeterminada. Los anlisis programados, de inicio y manuales tambin
examinan todos los tipos de archivos de forma predeterminada.
Es posible optar por analizar los archivos por la extensin de archivo, pero se
reduce la proteccin contra virus y riesgos de seguridad. Si selecciona las
extensiones de archivo que se analizarn, Auto-Protect puede determinar el tipo
de un archivo incluso si un virus modifica la extensin del archivo.
Ver "Configurar Auto-Protect para determinar tipos de archivo" en la pgina 72.
Tambin existe la posibilidad de excluir del anlisis archivos determinados. Por
ejemplo, puede saber que un archivo no activa una alerta de virus durante un
anlisis. Es posible excluir el archivo de los anlisis subsecuentes.
Si la aplicacin de correo electrnico utiliza un solo archivo de bandeja

de entrada
Si su aplicacin de correo electrnico almacena todo el correo electrnico en un
solo archivo, es necesario crear una excepcin centralizada para excluir de los
anlisis el archivo de la bandeja de entrada. Las aplicaciones de correo electrnico
que almacenan todo el correo electrnico en un solo archivo de bandeja de entrada
incluyen Outlook Express, Eudora, Mozilla o Netscape. El cliente se puede
configurar para poner en cuarentena los virus que detecta. Si el cliente detecta el
virus en el archivo de la bandeja de entrada, pone en cuarentena la bandeja de
entrada entera. Si el cliente pone en cuarentena la bandeja de entrada, no es posible
acceder al correo electrnico.

Generalmente, Symantec no recomienda excluir archivos de los anlisis. Sin

embargo, cuando usted excluye de los anlisis el archivo de la bandeja de entrada,
el cliente puede an detectar cualquier virus cuando se abren los mensajes de
correo electrnico. Si el cliente encuentra un virus cuando usted abre un mensaje
de correo electrnico, puede poner en cuarentena o borrar con seguridad el
mensaje.
Es posible excluir el archivo mediante la configuracin de una excepcin
centralizada.
Acerca de los anlisis por extensin

El cliente puede analizar el equipo por extensiones.
Es posible seleccionar los tipos de extensiones de archivos siguientes:
Archivos de
documento
Se incluyen los documentos de Microsoft Word y Excel y los archivos

de plantilla asociados con esos documentos. El cliente busca
infecciones de virus de macro en los archivos de documentos.
Archivos de
programa
Se incluyen las bibliotecas de vnculos dinmicos (.dll), los archivos

por lotes (.bat), los archivos de comandos (.com), los archivos
ejecutables (.exe) y otros archivos de programa. El cliente analiza
los archivos de programa en busca de infecciones de virus de archivo.
Para agregar extensiones de archivo a la lista de anlisis de Auto-Protect

opciones.
En el cuadro de dilogo Configuracin de Proteccin antivirus y contra

software espa, en la ficha Auto-Protect para el sistema de archivos, bajo
Tipos de archivos, haga clic en Seleccionados.
Haga clic en Extensiones.
En el cuadro de texto, escriba la extensin que desea agregar y despus haga

clic en Agregar.
Repita el paso 5 segn sea necesario y, despus, haga clic en Aceptar.
65
66

Para agregar extensiones de archivo a la lista de un anlisis manual, programado

o de inicio
En el cliente, en la barra lateral, haga clic en Analizar en busca de amenazas.
Haga clic con el botn secundario en el anlisis en el cual desea agregar

extensiones de archivo y despus seleccione Editar.
Los cambios silo se aplicarn al anlisis que haya seleccionado.
En la ficha Opciones de anlisis, bajo Tipos de archivos, seleccione Extensiones

seleccionadas y haga clic en Extensiones.
Escriba la extensin que desea agregar y, a continuacin, haga clic en Agregar.
Repita el paso 4 segn sea necesario y, despus, haga clic en Aceptar.
Acerca del anlisis de todos los tipos de archivos

El cliente puede analizar todos los archivos del equipo, sea cual sea la extensin.
Este tipo de anlisis ofrece la mxima exhaustividad. El anlisis de todos los
archivos requiere mucho ms tiempo para realizarse que el anlisis segn las
extensiones, pero tambin ofrece mayor proteccin contra virus y riesgos de
seguridad.
Acerca de excluir elementos del anlisis

Las excepciones son riesgos de seguridad, archivos, extensiones de archivo,
procesos conocidos que usted desea excluir del anlisis. Si ha analizado su equipo
y sabe que ciertos archivos son seguros, puede excluirlos. En algunos casos, las
excepciones pueden reducir el tiempo de anlisis y aumentar el rendimiento del
sistema. Generalmente, no es necesario crear excepciones.
Para los clientes administrados centralmente, el administrador puede haber creado
excepciones para los anlisis. Si crea una excepcin que est en conflicto con una
excepcin definida por el administrador, la excepcin definida por el administrador
toma precedencia.

Tabla 5-1
Tipo
Tipos de excepcin
Descripcin
Excepciones de riesgos Es posible excluir los riesgos de seguridad siguientes:

de seguridad
Riesgos de seguridad conocidos
Archivos
Carpetas
Extensiones
Su administrador puede haber configurado el cliente de modo que

usted no pueda excluir ninguno de estos elementos del anlisis.
Ver "Exclusin de elementos del anlisis" en la pgina 96.
Excepciones de anlisis Es posible excluir procesos del Anlisis de amenazas proactivos
de amenazas proactivo TruScan. Es posible especificar diversas acciones para realizar
TruScan
para un proceso conocido que detecta Anlisis de amenazas
proactivos TruScan. Es posible forzar la deteccin de un proceso.
Su administrador puede haber configurado el cliente de modo que
usted no pueda excluir un proceso de ser analizado.
Ver "Cmo excluir un proceso de los anlisis de amenazas
proactivos TruScan" en la pgina 115.
Excepcin de
Proteccin contra
intervenciones
Es posible excluir los archivos de la Proteccin contra

intervenciones.
La Proteccin contra intervenciones ofrece proteccin en tiempo
real para las aplicaciones de Symantec que se ejecutan en
servidores y clientes. La Proteccin contra intervenciones evita
que los procesos que no son de Symantec afecten los procesos de
Symantec.
Consulte la Ayuda en el equipo cliente para obtener ms
informacin sobre Proteccin contra intervenciones.
Acerca de la prevencin de infecciones causadas por virus de macro

El cliente detecta y elimina automticamente la mayora de los virus de macro de
Microsoft Word y Excel. Cuando se ejecutan regularmente anlisis programados,
es posible proteger el equipo contra infecciones de virus de macro. Auto-Protect
tambin busca y limpia regularmente cualquier virus de macro que detecte.
Si desea prevenir las infecciones causadas por virus de macro de forma ms eficaz,
lleve a cabo las siguientes acciones:
Active Auto-Protect.
67
68

Cuando el cliente detecta un virus o un riesgo de seguridad
Auto-Protect analiza constantemente los archivos a los que se accede o que se

modifican.
Utilice Auto-Protect con el correo electrnico si est disponible.
Proteja los archivos de plantillas globales mediante la desactivacin de macros

automticas.
Cuando el cliente detecta un virus o un riesgo de

seguridad
Cuando los virus y los riesgos de seguridad infectan los archivos, el cliente responde
a los tipos de riesgo de diversas maneras. Para cada tipo de riesgo, el cliente utiliza
una primera accin y despus aplica una segunda accin si la primera accin falla.
De forma predeterminada, cuando el cliente detecta un virus, intenta primero
limpiar el virus del archivo infectado. Si el cliente no puede limpiar un archivo,
registra el incidente y mueve el archivo infectado a la cuarentena.
De forma predeterminada, cuando el cliente detecta un riesgo de seguridad, pone
en cuarentena el riesgo. Tambin intenta eliminar o reparar cualquier cambio que
el riesgo de seguridad haya realizado. Si el cliente no puede poner en cuarentena
un riesgo de seguridad, registra el riesgo y no aplica ninguna accin.
Nota: En la cuarentena, el riesgo no puede propagarse. Cuando un cliente mueve
un archivo al rea de cuarentena, no tiene acceso al archivo. El cliente puede
tambin invertir los cambios para los elementos que pone en cuarentena.
Para cada tipo de anlisis, es posible modificar la configuracin de cmo el cliente
trata los virus y riesgos de seguridad. Es posible configurar diversas acciones para
cada categora de riesgo y para los riesgos de seguridad individuales.
Nota: En algunos casos, puede llegar a instalar inadvertidamente una aplicacin
que incluya un riesgo de seguridad, como aplicaciones de publicidad no deseada
o software espa. Si Symantec ha determinado que poner en cuarentena el riesgo
no daa el equipo, el cliente pone en cuarentena el riesgo. Si el cliente pone en
cuarentena el riesgo inmediatamente, su accin puede dejar el equipo en un estado
inestable. En cambio, el cliente espera hasta que la instalacin de la aplicacin se
complete antes de poner en cuarentena el riesgo. Despus se reparan los efectos
del riesgo.

Auto-Protect es la mejor defensa contra los ataques de virus. Cuando se copia,
guarda, mueve o abre un archivo, o cuando se accede a l, Auto-Protect lo analiza
para garantizar que no est infectado por un virus.
Auto-Protect analiza las extensiones de archivo que contienen cdigo ejecutable
y todos los archivos .exe y .doc. Auto-Protect puede determinar el tipo de un
archivo, incluso aunque un virus haya cambiado su extensin. Por ejemplo, un
virus puede cambiar una extensin de archivo por una diferente de las extensiones
de archivo configuradas para los anlisis de Auto-Protect.
Es posible habilitar e inhabilitar Auto-Protect si su administrador no bloquea esta
opcin.
Acerca de Auto-Protect y los riesgos de seguridad

De forma predeterminada, Auto-Protect hace las acciones siguientes:
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y

software espa.
Pone en cuarentena los archivos infectados.
Quita o repara los efectos secundarios de los riesgos de seguridad.
Puede inhabilitar el anlisis de riesgos de seguridad en Auto-Protect.

Ver "Habilitar y deshabilitar el bloqueo y anlisis de riesgos de seguridad de
Auto-Protect " en la pgina 73.
Si Auto-Protect detecta un proceso que descarga continuamente un riesgo de
seguridad al equipo, Auto-Protect muestra una notificacin y registra la deteccin.
(Auto-Protect se debe configurar para enviar notificaciones). Si el proceso contina
descargando el mismo riesgo de seguridad, varias notificaciones aparecen en el
equipo y Auto-Protect registra varios eventos. Para evitar el exceso de
notificaciones y eventos registrados, Auto-Protect detiene automticamente el
envo de notificaciones sobre el riesgo de seguridad despus de tres detecciones.
Auto-Protect tambin deja de registrar el evento despus de tres detecciones.
En algunas situaciones, Auto-Protect no detiene el envo de notificaciones y el
registro de eventos para el riesgo de seguridad.
Auto-Protect contina enviando notificaciones y registrando eventos cuando
cualquiera de las siguientes situaciones son verdades:
En los equipos cliente, usted o el administrador pueden inhabilitar el bloqueo

de la instalacin de riesgos de seguridad (habilitada de forma predeterminada).
69
70

La accin para el tipo de riesgo de seguridad que descarga el proceso tienen la

accin No hacer nada.
Acerca de los anlisis de correo electrnico de Auto-Protect

Auto-Protect tambin analiza clientes de correo electrnico para trabajo en grupo
compatibles.
Se proporciona proteccin para los siguientes clientes de correo electrnico:
Lotus Notes 4.5x, 4.6, 5.0 y 6.x
Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)
Cliente de Microsoft Exchange 5.0 y 5.5
Nota: Auto-Protect solamente funciona con los clientes de correo electrnico

admitidos y no ofrece proteccin para los servidores de correo.
Auto-Protect tambin analiza programas de correo electrnico adicionales de
Internet supervisando todo el trfico que usa los protocolos de comunicaciones
POP3 o SMTP. Es posible configurar el software de cliente para que analice los
mensajes entrantes y salientes en busca de los riesgos. Los anlisis del correo
saliente ayudan a evitar la propagacin de las amenazas que utilizan clientes de
correo electrnico para reproducirse y para distribuirse a travs de una red.
Nota: Los equipos de 64 bits no admiten el anlisis de correo electrnico de Internet.
Para los anlisis del correo electrnico de Lotus Notes y de Microsoft Exchange,
Auto-Protect analiza solamente los archivos adjuntos asociados al correo
electrnico.
Para el anlisis de correo electrnico de Internet de los mensajes que utilizan los
protocolos POP3 o SMTP, Auto-Protect analiza los elementos siguientes:
El cuerpo del mensaje
Cualesquiera archivos adjuntos al mensaje
Cuando se abre un mensaje con un archivo adjunto, el archivo adjunto se descarga

inmediatamente al equipo y se analiza cuando se dan las siguientes situaciones:
Se utiliza un cliente de Microsoft Exchange o Microsoft Outlook sobre MAPI.
Auto-Protect est habilitado para el correo electrnico.

Si se dispone de una conexin lenta, la descarga de mensajes con archivos adjuntos

de gran tamao puede afectar el rendimiento del correo electrnico. Si suele recibir
regularmente archivos adjuntos extensos, tal vez prefiera deshabilitar esta funcin.
Ver "Habilitar y deshabilitar el bloqueo y anlisis de riesgos de seguridad de
Auto-Protect " en la pgina 73.
Nota: Si se detecta un virus al abrir un correo electrnico, es posible que tarde
varios segundos en abrirlo mientras Auto-Protect termina el anlisis.
El anlisis del correo electrnico no es compatible con los siguientes clientes de
correo:
Clientes IMAP
Clientes AOL
Clientes de correo basados en Web, como Hotmail, Yahoo! Mail y GMAIL
Deshabilitar el uso de Auto-Protect con conexiones de correo

electrnico cifradas
Es posible enviar y recibir correo electrnico a travs de un vnculo seguro. De
forma predeterminada, Auto-Protect para el correo electrnico de Internet admite
contraseas cifradas y correo electrnico sobre conexiones POP3 y SMTP. Si utiliza
POP3 o SMTP con Secure Sockets Layer (SSL), el cliente detecta las conexiones
seguras, pero no analiza los mensajes cifrados.
Aunque Auto-Protect no analiza el correo electrnico que utiliza conexiones
seguras, Auto-Protect contina protegiendo los equipos contra riesgos en archivos
adjuntos. Auto-Protect analiza los archivos adjuntos de correo electrnico al
guardarlos en el disco duro.
Nota: Por motivos de rendimiento, no se admite Auto-Protect para el correo
electrnico de Internet para POP3 en los sistemas operativos de servidor.
Es posible deshabilitar el procesamiento de correo electrnico cifrado, de ser
necesario. Cuando se deshabilitan estas opciones, Auto-Protect analiza el correo
electrnico sin cifrar que se enva o que se recibe, pero bloquea el correo electrnico
cifrado. Si habilitar las opciones y despus intenta enviar correo electrnico
cifrado, Auto-Protect bloquear el correo electrnico hasta que se reinicie la
aplicacin de correo electrnico.
71
72

Nota: Si deshabilita las conexiones cifradas para Auto-Protect, el cambio no surte

efecto hasta que se cierra la sesin de Windows y se inicia sesin de nuevo. Si
necesita asegurarse de que los cambios se apliquen en el momento, cierre la sesin
y vuelva a iniciarla.
Para deshabilitar Auto-Protect con conexiones de correo electrnico cifradas

opciones.
En la ficha Auto-Protect para el correo electrnico de Internet, haga clic en

Avanzadas.
Bajo Configuracin de conexin, anule la seleccin de Permitir conexiones

POP3 cifradas y Permitir conexiones SMTP cifradas.
Ver estadsticas de anlisis de Auto-Protect

Las estadsticas de anlisis de Auto-Protect muestran el estado del anlisis ms
reciente de Auto-Protect, el ltimo archivo analizado e informacin acerca de la
infeccin de virus y riesgos de seguridad.
Para ver las estadsticas de anlisis de Auto-Protect

software espa, haga clic en Opciones > Ver estadsticas de Auto-Protect
para el sistema de archivos.
Ver la lista de riesgos

Es posible ver los riesgos actuales que el cliente detecta. La lista corresponde a
las definiciones de virus actuales.
Para ver la lista de riesgos

software espa, haga clic en Opciones > Ver lista de amenazas.
Configurar Auto-Protect para determinar tipos de archivo

Auto-Protect est preconfigurado para analizar todos los archivos. Los anlisis
se pueden realizar en menos tiempo si slo se analizan los archivos de
determinadas extensiones.

Por ejemplo, es posible que quiera analizar solamente las extensiones siguientes:
.exe
.com
.dll
.doc
.xls
Tpicamente, los virus afectan solamente ciertos tipos de archivos. Si analiza

extensiones seleccionadas, sin embargo, se obtiene menos proteccin porque
Auto-Protect no analiza todos los archivos. La lista predeterminada de extensiones
representa a aquellos archivos que normalmente sufren riesgo de infeccin por
virus.
Auto-Protect analiza las extensiones de archivo que contienen cdigo ejecutable
y todos los archivos .exe y .doc. Tambin puede determinar el tipo de un archivo,
incluso aunque un virus haya cambiado su extensin. Por ejemplo, analiza los
archivos .doc incluso si un virus modifica la extensin del archivo.
Es necesario configurar Auto-Protect para que analice todos los tipos de archivos
a fin de asegurarse de que su equipo recibe la mayor proteccin contra virus y
riesgos de seguridad.
Para configurar Auto-Protect para determinar tipos de archivos

opciones.
En cualquier ficha Auto-Protect, bajo Tipos de archivos, realice una de las

siguientes acciones:
Haga clic en Todos los tipos para analizar todos los archivos.
Haga clic en Seleccionados para analizar slo los archivos que coincidan
con las extensiones de archivo enumeradas y, a continuacin, haga clic
en Extensiones para cambiar la lista predeterminada de extensiones.
Si eligi Seleccionados, marque o deje sin marcar Determinar tipos de

archivos segn su contenido.
Habilitar y deshabilitar el bloqueo y anlisis de riesgos de seguridad

de Auto-Protect
De forma predeterminada, Auto-Protect hace las acciones siguientes:
73
74

Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y

software espa.
Pone en cuarentena los archivos infectados.
Intenta eliminar o reparar los efectos del riesgo de seguridad
En los casos en que bloquear la instalacin de un riesgo de seguridad no afecta la

estabilidad del equipo, Auto-Protect tambin bloquea la instalacin, de forma
predeterminada. Si Symantec determina que el bloqueo de un riesgo de seguridad
podra poner en peligro la estabilidad de un equipo, Auto-Protect permite la
instalacin del riesgo. Auto-Protect tambin toma inmediatamente la medida que
se configura para el riesgo.
De vez en cuando, sin embargo, es posible que necesite deshabilitar temporalmente
el anlisis en busca de riesgos de seguridad en los anlisis de Auto-Protect de
archivos, y despus volver a habilitarlo. Puede tambin ser necesario deshabilitar
el bloqueo de riesgos de seguridad para controlar el momento en que Auto-Protect
reacciona ante ciertos riesgos de seguridad.
Nota: El administrador puede bloquear estos valores.
Para deshabilitar y habilitar el bloqueo y anlisis de riesgos de seguridad de
Auto-Protect

opciones.
En la ficha Auto-Protect para el sistema de archivos, en Opciones, realice una

Seleccione o anule la seleccin de Analizar en busca de riesgos de

seguridad.
Seleccione o anule la seleccin de Bloquear la instalacin de riesgos de

seguridad.
Seleccione o anule la seleccin de Analizar archivos de unidades de red.
Configuracin del anlisis de red

La configuracin de los anlisis de red incluye las siguientes opciones:
Configurar si Auto-Protect confa en los archivos de equipos remotos con

Auto-Protect.

Especificar si su equipo debe utilizar una memoria cach para almacenar un

registro de los archivos que Auto-Protect analiza en una red.
De forma predeterminada, Auto-Protect analiza los archivos al tiempo que se

transmiten de su equipo a un equipo remoto. Auto-Protect tambin analiza los
archivos cuando se transmiten de un equipo remoto a su equipo.
Cuando se leen archivos en un equipo remoto, sin embargo, Auto-Protect no puede
analizar los archivos. De forma predeterminada, Auto-Protect intenta confiar en
las versiones remotas de Auto-Protect. Si la opcin de confianza est habilitada
en ambos equipos, la instancia local de Auto-Protect comprueba la configuracin
de Auto-Protect del equipo remoto. Si la configuracin de Auto-Protect del equipo
remoto proporciona un nivel de seguridad al menos igual al de la configuracin
local, la instancia local de Auto-Protect confa en la instancia remota de
Auto-Protect. Cuando la instancia local de Auto-Protect confa en la instancia
remota de Auto-Protect, la instancia local no analiza los archivos que lee del equipo
remoto. El equipo local confa en que Auto-Protect del equipo remoto ya analiz
los archivos.
Nota: La instancia local de Auto-Protect analiza siempre los archivos que se copian
de un equipo remoto.
La opcin de confianza est habilitada de forma predeterminada. Si deshabilita
la opcin de confianza, es posible que se reduzca el rendimiento de la red.
Para deshabilitar la confianza en versiones remotas de Auto-Protect

opciones.
En la ficha Auto-Protect para el sistema de archivos, haga clic en Avanzadas.
En el cuadro de dilogo Opciones avanzadas de Auto-Protect, bajo Opciones

avanzadas adicionales, haga clic en Red.
75
76

Bajo Configuracin del anlisis de red, anule la seleccin de Confiar en

archivos de equipos remotos en los que se est ejecutando Auto-Protect.
Haga clic en Aceptar hasta que aparezca la ventana principal.

Es posible configurar su equipo para utilizar una memoria cach de red. Una
memoria cach de red almacena un registro de los archivos que Auto-Protect
analiz de un equipo remoto. Si utiliza una memoria cach de red, se evita
que Auto-Protect analice el mismo archivo ms de una vez. Cuando se previene
el anlisis mltiple del mismo archivo, es posible que mejore el rendimiento
del sistema. Puede establecer la cantidad de archivos (entradas) que
Auto-Protect analiza y registra. Es posible tambin configurar el tiempo de
espera antes de que su equipo elimine las entradas de la memoria cach.
Cuando expira el tiempo de espera, su equipo elimina las entradas.
Auto-Protect entonces analiza los archivos si se vuelven a solicitar del equipo
remoto.
Para configurar una memoria cach de red

opciones.
En el cuadro de dilogo Configuracin de antivirus y software espa, en la

ficha Auto-Protect para el sistema de archivos, haga clic en Avanzadas.
En el cuadro de dilogo Opciones avanzadas de Auto-Protect, bajo Opciones

avanzadas adicionales, haga clic en Red.
En el cuadro de dilogo Configuracin del anlisis de red, seleccione o anule

la seleccin Cach de red.
Si habilit la memoria cach de red, utilice la configuracin predeterminada

o realice una de las siguientes acciones:
Utilice las flechas o escriba el nmero de archivos (entradas) que desea

que Auto-Protect analice y registre.
Escriba el nmero de segundos durante los cuales usted quisiera que las
entradas permanecieran en la memoria cach antes de que el equipo la
borre.
Haga clic en Aceptar hasta que aparezca la ventana principal.


Auto-Protect es la defensa de mayor alcance contra la infeccin por virus y riesgos
de seguridad. Adems de Auto-Protect, el cliente incluye varios tipos de anlisis
diferentes para proporcionar proteccin adicional.
Tabla 5-2 describe los anlisis disponibles.
Tabla 5-2
Anlisis disponibles
Tipo
Descripcin
Anlisis
personalizado
Analiza archivos, carpetas, unidades o la totalidad del sistema en

cualquier momento. El usuario selecciona las partes del equipo que
desea analizar.
Active Scan
Permite realizar un anlisis rpido de la memoria del sistema y las

ubicaciones ms comunes atacadas por virus y riesgos de seguridad.
Anlisis completo
Permite analizar todo el sistema, incluso el sector de arranque y la

memoria del sistema. Es posible que tenga que introducir una
contrasea para analizar las unidades de red.
Anlisis programado Se ejecutan en segundo plano segn una frecuencia establecida.

Anlisis al iniciar
Se ejecuta cada vez que se enciende el equipo y se inicia sesin.
Definido por el
usuario
Analiza grupos de archivos especficos en cualquier momento.
Mientras Auto-Protect est habilitado, un Active Scan diario y un anlisis

programado semanal de todos los archivos proporcionan suficiente proteccin.
Si los virus atacan con frecuencia su equipo, considere agregar un anlisis completo
en el inicio o un anlisis programado diario.
Es posible tambin configurar la frecuencia de los anlisis que buscan
comportamiento sospechoso en lugar de riesgos conocidos.
Ver "Configurar la frecuencia de los anlisis de amenazas proactivos TruScan"
en la pgina 109.
Cmo funcionan los anlisis antivirus y contra software espa

Los anlisis de proteccin identifican y neutralizan o eliminan virus y riesgos de
seguridad en sus equipos. Una anlisis elimina un virus o un riesgo usando el
proceso siguiente:
El motor de anlisis busca dentro de los archivos y otros componentes del

equipo rastros de virus dentro de los archivos. Cada virus tiene un patrn
77
78

reconocible llamado firma. En el cliente, est instalado un archivo de

definiciones de virus que contiene las firmas de virus conocidas, sin el cdigo
de virus daino. El motor de anlisis compara cada archivo o componente con
el archivo de definiciones de virus. Si el motor de anlisis encuentra una
coincidencia, el archivo est infectado.
El motor de anlisis usa los archivos de definiciones para determinar si un

virus o un riesgo caus la infeccin. El motor de anlisis entonces realiza accin
de reparacin en el archivo infectado. Para reparar el archivo infectado, el
cliente limpia, elimina o pone en cuarentena el archivo.
Tabla 5-3 describe los componentes que el cliente analiza en su equipo.

Tabla 5-3
Componentes del equipo que el cliente analiza
Componente
Descripcin
Archivos
seleccionados
El cliente analiza archivos individuales. En la mayor parte de los

anlisis, se seleccionan los archivos que se desea analizar.
El software de cliente utiliza el anlisis basado en patrones para
buscar rastros de virus dentro de los archivos. Los rastros de virus
se llaman patrones o firmas. Cada archivo se compara con las firmas
inofensivas contenidas en un archivo de definiciones como mtodo
de identificacin de virus especficos.
Si se detecta un virus, el cliente intenta eliminarlo totalmente del
archivo infectado de forma predeterminada. Si no consigue
eliminarlo, pone el archivo en cuarentena para evitar que la infeccin
se extienda a otras reas del equipo.
El cliente utiliza un anlisis basado en patrones para buscar signos
de riesgos de seguridad dentro de los archivos y las claves de registro.
Si se detecta un riesgo de seguridad, el cliente pone en cuarentena
los archivos infectados y repara los efectos del riesgo de forma
predeterminada. Si el cliente no puede poner en cuarentena los
archivos, registra el intento.
Memoria del equipo El cliente analiza la memoria del equipo. Todos los virus de archivo,
de arranque y de macro pueden ser residentes en memoria. Los virus
se convierten en residentes en memoria al copiarse en la memoria
de una mquina. De esta forma, se pueden ocultar hasta que se
produzca un evento desencadenante. Cuando esto ocurre, el virus
puede propagarse a un disquete que se encuentre en la disquetera,
o al disco duro. Si un virus est en la memoria, no puede limpiarse.
Sin embargo, para eliminar un virus de la memoria se debe reiniciar
el equipo cuando se le solicite.

Componente
Descripcin
Sector de arranque
El cliente verifica el sector de arranque del equipo en busca de virus

de arranque. Se comprueban dos elementos: las tablas de particiones
y el registro de arranque maestro.
Unidad de disquetes Una manera comn en la que un virus se propaga es mediante los
disquetes. Un disquete puede permanecer en una unidad de disco
cuando se enciende o desactiva el equipo. Cuando un anlisis se
inicia, el cliente busca el sector de arranque y las tablas de
particiones de un disquete que se encuentre en la unidad de disco.
Cuando se desactiva el equipo, se le pedir que quite el disco para
evitar posibles infecciones.
Acerca de los archivos de definiciones

Los archivos de virus incluyen bits de cdigo que muestran ciertos patrones cuando
se los analiza. Estos patrones se pueden localizar en archivos infectados. Los
patrones tambin se denominan firmas. Los riesgos de seguridad, como
aplicaciones de publicidad no deseada y software espa, tambin poseen firmas
reconocibles.
Los archivos de definiciones de virus contienen una lista de firmas de virus
conocidas sin el cdigo de virus daino y las firmas conocidas para riesgos de
seguridad. El software de anlisis analiza los archivos del equipo en busca de las
firmas conocidas incluidas en los archivos de definiciones. Si se detectan
coincidencias con un virus, el archivo est infectado. El cliente utiliza el archivo
de definiciones para determinar qu virus caus la infeccin y para reparar sus
efectos secundarios. Si se encuentra un riesgo de seguridad, el cliente utiliza los
archivos de definiciones para poner en cuarentena el riesgo y para reparar sus
efectos secundarios.
Nuevos virus y riesgos de seguridad se introducen en la comunidad informtica
regularmente. Es necesario asegurarse de que los archivos de definiciones del
equipo estn actualizados. Es necesario asegurarse de que el cliente puede detectar
y limpiar incluso los virus y riesgos de seguridad ms recientes.
Acerca del anlisis de archivos comprimidos

La proteccin antivirus y contra software espa analiza dentro de los archivos
comprimidos. Por ejemplo, los anlisis analizan los archivos dentro de los archivos
.zip. El administrador del antivirus puede especificar el anlisis de hasta 10
subniveles para los archivos comprimidos que se encuentren en otros archivos
comprimidos. Consulte al administrador los tipos de anlisis de archivos
comprimidos admitidos en el sistema.
79
80

Si se habilita Auto-Protect, cualquier archivo dentro de un archivo comprimido

se analiza.

Es posible configurar diferentes tipos de anlisis para proteger el equipo contra
virus y riesgos de seguridad.
Programacin de un anlisis definido por el usuario

Los anlisis programados constituyen un importante componente del sistema de
proteccin contra amenazas y riesgos de seguridad. Es necesario programar un
anlisis que se ejecute por lo menos una vez cada semana para asegurarse de que
su equipo se mantenga libre de virus y de riesgos de seguridad. Cuando se crea un
nuevo anlisis, el anlisis aparece en la lista de anlisis en el panel Analizar.
Nota: Si su administrador ha creado un anlisis programado, este aparece en la
lista de anlisis en el panel Analizar.
Es imprescindible que el equipo est en funcionamiento y que los servicios de
Symantec Endpoint Protection estn cargados en el momento en que est
programado el inicio del anlisis para ejecutarse. De forma predeterminada, se
cargan los servicios de Symantec Endpoint Protection cuando se inicia su equipo.
En los clientes administrados centralmente, el administrador puede anular esta
configuracin.
Si programa varios anlisis que ocurrirn en el mismo equipo y los anlisis se
inician al mismo tiempo, estos se ejecutarn en serie. Despus de que un anlisis
finalice, otro anlisis se iniciar. Por ejemplo, es posible programar tres anlisis
separados en su equipo para que ocurran a la 1:00 p. m. Cada anlisis analiza una
unidad diferente. Un anlisis analiza la unidad C. Otro analiza la unidad D. Otro
analiza la unidad E. En este ejemplo, una mejor solucin es crear un anlisis
programado que compruebe las unidades C, D y E.
clic en Ayuda.
Para programar un anlisis definido por el usuario
Haga clic en Crear un anlisis nuevo.

En el cuadro de dilogo Crear nuevo anlisis: Qu elementos analizar,

seleccione uno de los siguientes tipos de anlisis para programar:
Active Scan
analiza las reas del equipo que los virus y los riesgos de
seguridad infectan comnmente.
Anlisis completo analiza el equipo entero en busca de virus y riesgos de seguridad.

Anlisis
personalizado
analiza las reas seleccionadas del equipo en busca de virus y

riesgos de seguridad.
Haga clic en Siguiente.
Si seleccion Personalizar, seleccione las casillas de verificacin apropiadas

para especificar dnde analizar y despus haga clic en Siguiente.
Los smbolos tienen las descripciones siguientes:
El archivo, la unidad o la carpeta no se encuentran seleccionados. Si se
trata de una unidad o una carpeta, los archivos y carpetas que contengan
tampoco estarn seleccionados.
El archivo o la carpeta se encuentran seleccionados.
La carpeta o la unidad se encuentran seleccionadas. Tambin se han

seleccionado todos los elementos dentro de ella.
La carpeta o la unidad no se encuentran seleccionadas, pero se han
seleccionado uno o varios elementos dentro de ella.
81
82

En el cuadro de dilogo Crear nuevo anlisis: Opciones de anlisis, se puede

modificar cualquiera de las siguientes opciones:
Tipos de
archivos
Cambiar las extensiones de archivo que el cliente analiza. De forma

predeterminada se analizan todos los archivos.
Acciones
cambiar la primera y la segunda accin que se llevarn a cabo

cuando se detecten riesgos de seguridad.
Notificaciones
construir un mensaje para visualizar cuando se encuentra un virus

o un riesgo de seguridad. Es posible tambin configurar si desea
ser notificado antes de que ocurran las acciones de reparacin.
Avanzado
Cambiar las funciones adicionales de anlisis, como mostrar el

cuadro de dilogo de los resultados de anlisis.
Mejoras de
anlisis
Cambiar los componentes del equipo que el cliente analiza. Las

opciones que estn disponibles dependen de lo que usted seleccion
en el paso 3.
Excepciones
centralizadas
Agregar elementos que el cliente excluye del anlisis.
En el cuadro de dilogo Crear nuevo anlisis: Cundo analizar, haga clic en

En los horarios especificados y despus haga clic en Siguiente.
Es posible tambin crear una anlisis manual o al iniciar.
Ver "Cmo programar un anlisis para que se ejecute manualmente o cuando
se inicia el equipo" en la pgina 82.
En el cuadro de dilogo Crear nuevo anlisis: Programar, especifique la

frecuencia y cundo analizar y despus haga clic en Siguiente.
10 En el cuadro de dilogo Crear nuevo anlisis: Nombre del anlisis, escriba

un nombre y una descripcin para el anlisis.
Por ejemplo, asigne al anlisis el nombre: viernes por la maana.
11 Haga clic en Finalizar.
Cmo programar un anlisis para que se ejecute manualmente o

cuando se inicia el equipo
Es posible complementar un anlisis programado con un anlisis automtico
cuando inicia su equipo o inicia sesin. A menudo, los anlisis al iniciar se centran

nicamente en carpetas importantes de alto riesgo, como la carpeta Windows o

las carpetas donde se almacenan las plantillas de Word y Excel.
Su cliente tambin incluye un anlisis de inicio que se llama Active Scan
autogenerado. El anlisis autogenerado verifica los puntos comunes de infeccin
en el equipo cada vez que un usuario inicia sesin en l. Es posible editar este
anlisis de la misma manera en que es posible configurar cualquier anlisis manual.
Sin embargo, no es posible deshabilitar los anlisis de los archivos en la memoria
y los otros puntos comunes de infeccin del equipo.
Si normalmente se analiza el mismo conjunto de archivos o carpetas, se puede
crear un anlisis manual restringido nicamente a esos elementos. As, en cualquier
momento, se podrn analizar de forma rpida esos archivos o carpetas especficos
para comprobar que estn libres de virus y riesgos para la seguridad. Es necesario
ejecutar estos anlisis manualmente.
En el supuesto que se hayan creado varios anlisis al iniciar, stos se ejecutarn
de forma secuencial conforme al orden de creacin. El administrador puede haber
configurado el cliente de modo que no se pueda crear un anlisis de inicio.
Para obtener ms informacin sobre las opciones de cada cuadro de dilogo, haga
clic en Ayuda.
Para programar un anlisis para que se ejecute manualmente o cuando se inicia el
equipo
En el cliente, en la barra lateral, haga clic en Analizar.
Haga clic en Crear un anlisis nuevo.
Siga los pasos del 3 al 7 para crear un anlisis programado.

Ver "Programacin de un anlisis definido por el usuario" en la pgina 80.
En el cuadro de dilogo Crear nuevo anlisis: Cundo analizar, realice una

Haga clic en Al iniciar.
Haga clic en De forma manual.
En el cuadro de dilogo Crear nuevo anlisis: Nombre del anlisis, escriba

un nombre y una descripcin para el anlisis.
Por ejemplo, asigne al anlisis el nombre: MiAnlisis1
Haga clic en Finalizar.
83
84

Editar y eliminar anlisis al iniciar, definidos por el usuario y

programados
Cabe la posibilidad de editar y eliminar los anlisis al iniciar, definidos por el
usuario y programados existentes. Algunas opciones pueden no estar disponibles
si no son configurables para un tipo especfico de anlisis.
Para editar un anlisis
En la lista de anlisis, haga clic con el botn secundario en el anlisis que

desea editar y despus haga clic en Editar.
Haga cualquier cambio en las fichas Qu elementos analizar, Opciones y

General.
Para los anlisis programados, es posible tambin modificar la programacin.
Para eliminar un anlisis
En la lista de anlisis, haga clic con el botn secundario en el anlisis que

desea eliminar y, a continuacin, haga clic en Eliminar.
En el cuadro de dilogo Confirmar eliminacin, haga clic en S.

Siempre que se ejecuta un anlisis manual, programado, de inicio o definido por
el usuario, el software de cliente muestra un cuadro de dilogo de progreso del
anlisis para sealar el progreso. Adems, Auto-Protect puede mostrar un cuadro
de dilogo de resultados siempre que detecte un virus o un riesgo de seguridad.
Es posible inhabilitar estas notificaciones.
En redes administradas centralizadas, es posible que el cuadro de dilogo de
progreso del anlisis no aparezca tras los anlisis iniciados por el administrador.
Semejantemente, el administrador puede elegir no mostrar resultados cuando el
cliente detecta un virus o un riesgo de seguridad.
Si el cliente detecta riesgos durante el anlisis, el cuadro de dilogo de progreso
del anlisis muestra los resultados con la siguiente informacin:
Los nombres de los archivos infectados.
Los nombres de los virus o de los riesgos de seguridad.
Las acciones que el cliente realiz sobre los riesgos.

De forma predeterminada, se le notificar cada vez que se detecte un virus o un

riesgo de seguridad.
Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente
no pueda interpretar algunos caracteres en los nombres de virus. Si el sistema
operativo no puede interpretar los caracteres, stos aparecen como signos de
interrogacin en las notificaciones. Por ejemplo, algunos nombres de virus en
unicode pueden contener caracteres de doble byte. En los equipos con el cliente
en un sistema operativo en ingls, estos caracteres aparecen como signos de
interrogacin.
Si configura el cliente para que muestre el cuadro de dilogo de progreso del
anlisis, podr interrumpir, reiniciar o detener el anlisis. Cuando finalice el
anlisis, los resultados aparecern en la lista. Si no se detectan virus ni riesgos
de seguridad, la lista permanecer vaca y el estado se mostrar como completado.
Ver "Interrupcin y retraso de anlisis" en la pgina 60.
Acerca de la interaccin con los resultados del anlisis o los resultados

de Auto-Protect
El cuadro de dilogo de progreso del anlisis y el cuadro de dilogo de resultados
de Auto-Protect tienen opciones similares. Si el cliente necesita terminar un
proceso o una aplicacin, o detener un servicio, se activar el botn Eliminar
riesgo. Es posible que no pueda cerrar el cuadro de dilogo si los riesgos del cuadro
de dilogo necesitan que se tomen medidas.
Tabla 5-4 describe las opciones en el cuadro de dilogo de resultados.
85
86

Tabla 5-4
Botn
Opciones del cuadro de dilogo de resultados

Descripcin
Eliminar riesgos ahora Muestra el cuadro de dilogo Eliminar riesgo.

En el cuadro de dilogo Eliminar riesgo, es posible seleccionar una
de las opciones siguientes para cada riesgo:
S
El cliente elimina el riesgo. Al eliminar un riesgo, puede ser
necesario reiniciar. La informacin del cuadro de dilogo indica
si un reinicio es obligatorio.
No
Al cerrar el cuadro de dilogo de resultados, aparece otro
cuadro de dilogo. El cuadro de dilogo le recuerda que an se
necesita tomar medidas. Sin embargo, se suprime el cuadro de
dilogo Eliminar riesgo hasta que reinicie su equipo.
Cerrar
Cierra el cuadro de dilogo de resultados si no es necesario tomar

medidas en los riesgos.
Si necesita tomar medidas, aparece una de las siguientes
notificaciones:
Se requiere eliminar el riesgo.
Aparece cuando un riesgo requiere finalizar un proceso. Si
opta por eliminar el riesgo, volver al cuadro de dilogo de
resultados. Si, adems, es necesario reiniciar, la informacin
que est en la fila del riesgo en el cuadro de dilogo indica que
es necesario reiniciar.
Debe reiniciar.
Aparece cuando un riesgo requiere reiniciar.
Debe eliminarse el riesgo y reiniciar.
Aparece cuando un riesgo requiere que se finalice un proceso
y otro riesgo requiere reiniciar.
Si un reinicio es obligatorio, la eliminacin o la reparacin no se completa hasta

que se reinicie el equipo.
Es posible que necesite tomar medidas sobre un riesgo, pero puede optar por
tomarlas ms adelante.
El riesgo se puede eliminar o reparar en otro momento de las siguientes maneras:
Es posible abrir el registro del riesgo, hacer clic con el botn secundario en el
riesgo y despus tomar medidas.
Puede ejecutar un anlisis para detectar el riesgo y abrir el cuadro de dilogo

de resultados de nuevo.

Cmo enviar la informacin sobre las detecciones del anlisis a Symantec Security Response
Es posible tambin tomar medidas haciendo clic con el botn secundario en un

riesgo en el cuadro de dilogo y seleccionando una accin. Las medidas que se
pueden tomar dependen de las acciones configuradas para el tipo determinado
de riesgo que el anlisis detect.
Cmo enviar la informacin sobre las detecciones del

anlisis a Symantec Security Response
Es posible especificar que la informacin sobre las tasas de deteccin de
Auto-Protect o de los anlisis se enve automticamente a Symantec Security
Response. La informacin sobre tasas de deteccin puede ayudar a Symantec a
refinar las actualizaciones de las definiciones de virus. Las tasas de deteccin
muestran los virus y los riesgos de seguridad detectados con mayor frecuencia
por los clientes. Symantec Security Response puede eliminar las firmas que no se
detectan y proporcionar una lista de firmas dividida en segmentos para los clientes
que la solicitan. Las listas divididas en segmentos aumentan el rendimiento del
anlisis.
El envo de tasas de deteccin est habilitado de forma predeterminada.
Nota: Su administrador puede bloquear la configuracin de envo.
Es posible tambin enviar elementos de la cuarentena a Symantec.
Ver "Enviar un archivo potencialmente infectado a Symantec Security Response
para su anlisis" en la pgina 103.
Para enviar la informacin sobre las detecciones del anlisis a Symantec Security
Response

opciones.
En la ficha Envos, seleccione Enviar automticamente las detecciones

antivirus y riesgos de seguridad.
87
88


Es posible configurar las acciones que usted quisiera que el cliente de Symantec
Endpoint Protection realizara cuando detecta un virus o un riesgo de seguridad.
Puede configurar una primera y una segunda accin, en caso de que falle la
primera.
Nota: Si el equipo est a cargo de un administrador y estas opciones muestran un
icono de un candado, no podr cambiarlas porque el administrador las ha
bloqueado.
Se configuran las acciones para cualquier tipo de anlisis de la misma manera.
Cada anlisis tiene su propia configuracin para las acciones. Es posible configurar
diversas acciones para diversos anlisis.
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones
que se utilizan en los procedimientos.
Para configurar acciones para virus y riesgos de seguridad

opciones.
En la ficha Auto-Protect para el sistema de archivos, haga clic en Acciones.
En el cuadro de dilogo Acciones de anlisis, seleccione en el rbol un tipo de

virus o riesgo de seguridad.
De forma predeterminada, cada subcategora de riesgos de seguridad se
configura automticamente para utilizar las acciones establecidas para la
categora entera de riesgos de seguridad.
Para configurar acciones diferentes para una categora o para elementos

particulares de ella, marque Anular acciones configuradas para riesgos de
seguridad y, a continuacin, establezca las acciones exclusivas para esa
categora.

Seleccione una primera y segunda accin entre las siguientes opciones:

Limpiar riesgo
Elimina el virus del archivo infectado. sta es la primera

opcin predeterminada para los virus.
Nota: Esta accin est disponible solamente como primera

accin para los virus. Esta accin no se aplica a los riesgos
de seguridad.
Esta opcin debe ser siempre la primera accin para los virus.
Si el cliente consigue limpiar con xito el virus de un archivo,
no ser necesario llevar a cabo ninguna otra accin. El equipo
quedar limpio de virus y no se podr propagar la infeccin
a otros elementos del sistema.
Cuando el cliente limpia un archivo, quita el virus del archivo,
del sector de arranque o de las tablas de particiones
infectados. Adems elimina la capacidad de propagacin del
virus. El cliente, a veces, puede encontrar y limpiar un virus
antes de que cause daos en el equipo. De forma
predeterminada, el cliente hace una copia de seguridad del
archivo.
Sin embargo, es posible que el archivo limpiado no pueda
usarse. El virus pudo haber causado demasiado dao.
Es necesario tener en cuenta que algunos archivos infectados
no se pueden limpiar.
Poner riesgo en
cuarentena
Mueve el archivo infectado desde su ubicacin original y lo

lleva hasta el rea de cuarentena. Los virus que se encuentren
en los archivos en cuarentena no podrn propagarse.
Para los virus, elimina los archivos infectados de su ubicacin
original y los lleva hasta el rea de cuarentena. Esta es la
segunda accin predeterminada para los virus.
Para los riesgos para la seguridad, el cliente quita los archivos
infectados de su ubicacin original, los pone en cuarentena
e intenta eliminar o reparar cualquier efecto secundario. Esta
es la primera accin predeterminada para los riesgos para la
seguridad.
La cuarentena contiene un registro de todas las acciones que
fueron realizadas. Es posible volver el equipo al estado previo
a la eliminacin del riesgo.
89
90

Suprimir riesgo
Elimina de forma permanente el archivo infectado del disco

duro del equipo. Si el cliente no puede eliminar un archivo,
aparece la informacin sobre la accin que el cliente realiz
en el cuadro de dilogo Notificacin. La informacin tambin
aparece en Registro de eventos.
Utilice esta accin solamente si es posible reemplazar el
archivo con una copia de seguridad que est limpia de virus
o de riesgos para la seguridad. Cuando el cliente borra un
riesgo, borra el riesgo permanentemente. El archivo infectado
no se puede recuperar de la papelera de reciclaje.
Nota: Utilice esta accin con precaucin al configurar

acciones para los riesgos para la seguridad. En algunos casos,
la eliminacin de riesgos para la seguridad provoca la prdida
de funcionalidad de algunas aplicaciones.
No hacer nada
(registrar)
Deja el archivo como est.

Si utiliza esta accin para los virus, el virus permanece en
los archivos infectados. El virus puede propagarse a otras
partes de su equipo. Se crea una entrada en el Historial de
riesgos para guardar la informacin sobre el archivo
infectado.
Es posible usar No hacer nada (registrar) como segunda
accin para virus de macro y virus que no son de macro.
No seleccione esta accin cuando se realizan anlisis en gran
escala, automatizados, tales como anlisis programados. Es
posible que quiera utilizar esta accin si desea ver los
resultados de anlisis y tomar medidas adicionales ms
adelante. Una accin adicional puede ser mover el archivo a
la cuarentena.
Para los riesgos para la seguridad, esta accin deja los
archivos infectados como estn y crea una entrada en el
Historial de riesgos para guardar un registro del riesgo. Use
esta opcin para controlar de forma manual el modo en que
el cliente maneja un riesgo para la seguridad. Esta es la
segunda accin predeterminada para los riesgos para la
seguridad.
El administrador puede enviar un mensaje personalizado
para informarle acerca de cmo responder.
Ver "Consejos para asignar segundas acciones para virus" en la pgina 91.
Ver "Consejos para asignar segundas acciones para riesgos de seguridad"
en la pgina 92.

Repita los pasos 1 y 6 para cada categora para la cual desee configurar
acciones especficas y, despus, haga clic en Aceptar.
Si seleccion una categora de riesgo de seguridad, es posible seleccionar

acciones personalizadas para uno o ms casos especficos de esa categora de
riesgo de seguridad. Es posible excluir un riesgo de seguridad del anlisis.
Por ejemplo, puede excluir una aplicacin de publicidad no deseada que
necesite utilizar en su trabajo.
Consejos para asignar segundas acciones para virus

Al seleccionar una segunda accin para virus, tenga en cuenta las siguientes
situaciones:
Cmo se administran
los archivos en su
equipo
Si almacena archivos importantes en su equipo sin hacerles copia

de seguridad, no debe utilizar acciones como Suprimir riesgo.
Aunque es posible eliminar un virus de este modo, tambin es
posible perder datos importantes.
Otra consideracin son sus archivos del sistema. Los virus
generalmente atacan los archivos ejecutables. Es posible utilizar
la accin No hacer nada (registrar) o Poner riesgo en cuarentena
de modo que se pueda comprobar si los archivos estn infectados.
Por ejemplo, un virus puede atacar Command.com. Si el cliente
no pudo limpiar la infeccin, puede no ser posible restaurar el
archivo. El archivo es fundamental para su sistema. Es posible
utilizar la accin No hacer nada para asegurarse de que se pueda
acceder al archivo.
El tipo de virus que

haya infectado el
equipo
Los distintos tipos de virus infectan reas diferentes del sistema.

Los virus de arranque pueden infectar los sectores de arranque,
las tablas de particiones, los registros de arranque maestro y, a
veces, la memoria. Cuando los virus de arranque son mltiples,
tambin pueden infectar los archivos ejecutables y la infeccin
puede tratarse como si se debiera a un virus de archivo. Los virus
de archivo suelen infectar los archivos ejecutables que tienen
extensiones .exe, .com o .dll. Los virus de macro suelen infectar
los archivos de documentos y las macros asociadas a ellos.
Seleccione las acciones ms adecuadas para los tipos de archivos
que necesite recuperar.
91
92

El tipo de anlisis que En todos los anlisis se desarrollan acciones automticas sin el
se ejecuta en su equipo consentimiento expreso del usuario. Si no se modifican las acciones
antes de llevar a cabo un anlisis, se ejecutarn las acciones
predeterminadas. As, las segundas acciones predeterminadas
sirven para otorgar un mayor control al usuario en casos de
alarmas de virus. Para los anlisis que se ejecuta automticamente,
por ejemplo, los anlisis programados y los anlisis de
Auto-Protect, no asigne las segundas acciones que tienen efectos
permanentes. Por ejemplo, es posible realizar un anlisis manual
cuando ya se sepa que un archivo est infectado. Es posible limitar
las acciones Suprimir riesgo y Limpiar riesgo para este anlisis
manual.
Consejos para asignar segundas acciones para riesgos de seguridad

Al seleccionar una segunda accin para riesgos de seguridad, tenga en cuenta el
nivel de control que necesita sobre los archivos. Si en el sistema se almacenan
archivos importantes sin copia de respaldo, no se debe efectuar la accin Suprimir
riesgo. Aunque con este mtodo se pueden eliminar riesgos de seguridad, es posible
que otras aplicaciones del equipo dejen de funcionar. En cambio, con la accin
Poner riesgo en cuarentena, podr revertir los cambios que realice el cliente, si
fuera necesario.
Acerca de la clasificacin de impacto del riesgo

Symantec evala los riesgos de seguridad para determinar la gravedad de su efecto
sobre el equipo.
Los siguientes factores se clasifican como bajo, medio o alto:
Impacto en la privacidad
Impacto en el rendimiento
Ocultacin
Dificultad de la eliminacin
Un factor con clasificacin baja tiene un impacto mnimo. Un factor con una
clasificacin media tiene cierto impacto. Un factor con una clasificacin alta tiene
un impacto significativo en esa rea. Si an no se ha evaluado un riesgo de
seguridad especfico, se utiliza la clasificacin predeterminada. Si ya se ha evaluado
un riesgo, pero un factor en particular no se aplica, se emplea una clasificacin
nula.
Estas clasificaciones aparecen en el cuadro de dilogo Excepciones de riesgos de
seguridad cuando usted configura una excepcin centralizada para los riesgos de

seguridad conocidos. Estas clasificaciones pueden utilizarse como ayuda para

determinar qu riesgos de seguridad desea excluir de los anlisis y conservar en
el equipo.
Tabla 5-5 describe los factores de clasificacin y qu significa una calificacin
alta en cada uno de ellos.
Tabla 5-5
Factores de impacto del riesgo
Factor de
clasificacin
Descripcin
Impacto en la
privacidad
Mide el nivel de privacidad que se pierde debido a la presencia de

un riesgo de seguridad en el equipo.
Una calificacin alta indica que puede ocurrir un robo de
informacin personal u otros datos confidenciales.
Impacto en el
rendimiento
Especifica hasta qu punto se ver afectado el rendimiento del

equipo.
Una calificacin alta indica que el rendimiento se ve seriamente
afectado.
Clasificacin de
ocultacin
Especifica cun fcil es determinar si hay un riesgo para la

seguridad en un equipo.
Una calificacin alta indica que el riesgo de seguridad intenta
ocultarse.
Clasificacin de
eliminacin
Especifica cun difcil es eliminar un riesgo para la seguridad de

un equipo.
Una calificacin alta indica que el riesgo es difcil de eliminar.
Clasificacin general
La clasificacin general es un promedio de los otros factores.
Programa dependiente Esta calificacin indica si otra aplicacin depende de la presencia

de este riesgo para la seguridad para funcionar correctamente.
Configurar notificaciones para virus y riesgos de

seguridad
De forma predeterminada, recibir una notificacin cuando un anlisis detecte
un virus o un riesgo de seguridad. De forma predeterminada, tambin recibir
una notificacin cuando el software de anlisis necesita finalizar servicios o
detener procesos. El software de anlisis puede tambin necesitar eliminar o
reparar los efectos del virus o del riesgo de seguridad.
93
94

Puede configurar las siguientes notificaciones para los anlisis:

Opciones de deteccin Construya el mensaje que desee que aparezca cuando el cliente
encuentra un virus o un riesgo de seguridad en el equipo.
Cuando configura Auto-Protect para el sistema de archivos, es
posible seleccionar una opcin adicional para visualizar un cuadro
de dilogo. El cuadro de dilogo contiene los resultados cuando
Auto-Protect encuentra riesgos en su equipo.
Opciones de
reparacin
Configure si desea ser notificado cuando el cliente encuentre un

virus o un riesgo de seguridad. Es posible tambin ser notificado
cuando el cliente necesita finalizar un proceso o detener un
servicio para eliminar o para reparar un riesgo.
Es posible construir el mensaje de deteccin que desee mostrar en su equipo. Para

construir el mensaje, escriba directamente en el campo del mensaje. Es posible
hacer clic con el botn secundario en el campo del mensaje para seleccionar las
variables que se incluirn en el mensaje.
Tabla 5-6 describe los campos variables disponibles para los mensajes de
notificacin.
Tabla 5-6
Campos variables de mensajes
Campo
Descripcin
NombreVirus
Nombre del virus o del riesgo de seguridad detectado.
AccinEfectuada
La accin que el cliente realiz cuando detect el virus o el riesgo

de seguridad. Puede ser la primera o la segunda accin configurada.
Estado
Estado del archivo: Infectado, No infectado o Eliminado.

Esta variable de mensaje no se usa de forma predeterminada. Para
mostrar esta informacin, agregue manualmente esta variable al
mensaje.
Nombre de archivo
Nombre del archivo infectado por el virus o el riesgo de seguridad.
RutaYNombreDeArchivo Nombre y ruta completa del archivo infectado por el virus o el

riesgo de seguridad.
Ubicacin
Unidad del equipo en la que se ubic el virus o el riesgo de

seguridad.
Equipo
Nombre del equipo donde se detect el virus o el riesgo de

seguridad.

Campo
Descripcin
Usuario
Nombre del usuario conectado al detectar el virus o el riesgo de

seguridad.
Evento
Tipo de evento, como Riesgo detectado.
RegistradoPor
El tipo de anlisis que detect el virus o el riesgo de seguridad.
FechaDeteccin
Fecha en la que se detect el virus o el riesgo de seguridad.
NombreDeAlmacenamiento El rea afectada de la aplicacin, por ejemplo, Auto-Protect para

el sistema de archivos o Auto-Protect para Lotus Notes.
DescripcinDeLaAccin Descripcin completa de las acciones efectuadas en respuesta a
la deteccin del virus o del riesgo de seguridad.
Es posible configurar notificaciones para los anlisis definidos por el usuario y

para Auto-Protect. La configuracin de la notificacin incluye las opciones de
correccin. Las opciones de correccin solamente estn disponibles para los
anlisis y para Auto-Protect para el sistema de archivos.
que se utilizan en este procedimiento.
Para configurar notificaciones de virus y riesgos de seguridad
Para un nuevo anlisis, en el cuadro de dilogo Crear nuevo anlisis:

Opciones de anlisis, haga clic en Notificaciones.
Para un anlisis existente, en la ficha Opciones de anlisis, haga clic en

Notificaciones.
Para Auto-Protect, en el cuadro de dilogo Configuracin de la Proteccin

antivirus y contra software espa, en cualquiera de las fichas de
Auto-Protect, haga clic en Notificaciones.
En el cuadro de dilogo Opciones de notificacin de anlisis, en Opciones

de deteccin, seleccione Mostrar un mensaje de notificacin al detectar un
riesgo. Seleccione esta opcin si desea que aparezca un mensaje en su equipo
cuando el anlisis encuentre un virus o un riesgo de seguridad.
En el cuadro de mensajes, realice alguna de las siguientes acciones, o todas,

para crear el mensaje que desee:
Haga clic para escribir o editar el texto.
Haga clic con el botn secundario en Insertar campo y, a continuacin,

seleccione el campo de variable que desee insertar.
95
96

Haga clic con el botn secundario y despus seleccione Cortar, Copiar,

Pegar, Borrar o Deshacer.
Para la configuracin de Auto-Protect, seleccione o anule la seleccin de

Mostrar el cuadro de dilogo de resultados de Auto-Protect.
Este parmetro permite o suprime el cuadro de dilogo que contiene resultados
cuando Auto-Protect para el sistema de archivos encuentra virus y riesgos
de seguridad.
En Opciones de correccin, seleccione las opciones que desea configurar

para el anlisis o para Auto-Protect para el sistema de archivos. Estn
disponibles las opciones siguientes:
Terminar procesos
automticamente
Configura el anlisis para terminar procesos

automticamente cuando necesita hacerlo para eliminar o
reparar un virus o un riesgo de seguridad. No se le solicitar
que guarde los datos antes de que el anlisis termine los
procesos.
Detener servicios
automticamente
Configura el anlisis para que detenga los servicios

automticamente cuando cuando necesite hacerlo para
eliminar o reparar un virus o un riesgo de seguridad. No se
solicitar que guarde los datos antes de que el anlisis
detenga los servicios.

Es posible crear una excepcin de la pgina Cambiar configuracin. Es posible
tambin configurar excepciones cuando se crea o modifica un anlisis definido
por el usuario o cuando se modifica la configuracin de Auto-Protect.
Las excepciones se aplican en todos los anlisis. Si configura una excepcin cuando
usted crea o edita un anlisis determinado, la excepcin se aplica a todos los
anlisis.
Nota: En la instalacin Server Core de Windows Server 2008, la apariencia de los
cuadros de dilogo pueden diferir de los que se describen en estos procedimientos.
clic en Ayuda.

Para excluir un riesgo de seguridad de los anlisis
Al lado de Excepciones centralizadas, haga clic en Configurar opciones.
En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones

definidas por el usuario, haga clic en Agregar > Excepciones de riesgos de
seguridad > Riesgos conocidos.
En el cuadro de dilogo Agregar excepciones de riesgos de seguridad

conocidos, compruebe los riesgos de seguridad que desee excluir de los
anlisis.
Si desea registrar un evento cuando se detecta un riesgo de seguridad y no

se hace nada con l, seleccione Registrar la deteccin del riesgo de seguridad.
En el cuadro de dilogo Excepciones centralizadas, haga clic en Cerrar.
Para excluir un archivo o una carpeta de los anlisis
En el cuadro de dilogo Excepciones centralizadas, en la ficha Excepciones

definidas por el usuario, haga clic en Agregar > Excepciones de riesgos de
seguridad.
Realice una de las tareas siguientes:
Haga clic en Archivo. En el cuadro de dilogo Agregar excepciones de

archivos de riesgos de seguridad, seleccione el archivo que desee excluir
y despus haga clic en Agregar.
Haga clic en Carpeta. En el cuadro de dilogo Agregar excepciones de

carpetas de riesgos de seguridad, seleccione la carpeta, seleccione o anule
la seleccin de Incluir subcarpetas y despus haga clic en Agregar.

El cliente detecta a veces un virus desconocido que no puede ser eliminado con el
grupo actual de definiciones de virus. Es posible que tenga un archivo que usted
cree que est infectado, pero que los anlisis no detecten una infeccin. El rea
de cuarentena permite aislar con total seguridad los archivos potencialmente
infectados que se encuentren en el sistema. Cuando se pone en cuarentena un
virus, este no puede propagarse en el equipo o a otros equipos en su red.
97
98

Acerca de los archivos infectados en la cuarentena

Es posible ver los archivos infectados en la cuarentena.
Es posible ver la siguiente informacin sobre los archivos:
Riesgo
Nombre del archivo
Tipo
Ubicacin original
Estado
Fecha
Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente
no pueda interpretar algunos caracteres en los nombres de riesgos. Si el sistema
operativo no puede interpretar los caracteres, stos aparecen como signos de
interrogacin en las notificaciones. Por ejemplo, algunos nombres de riesgos en
unicode pueden contener caracteres de doble byte. En los equipos con el cliente
en un sistema operativo en ingls, estos caracteres aparecen como signos de
interrogacin.
Cuando el cliente mueve un archivo infectado a la cuarentena, el riesgo no puede
copiarse e infectar otros archivos. Esta accin es una de las segundas acciones
recomendadas para las infecciones de virus de macro y de virus que no son de
macro.
Sin embargo, la accin Poner en cuarentena no limpia el riesgo. El riesgo
permanece en el equipo hasta que el cliente limpie el riesgo o borre el archivo.
Los virus y los virus de macro pueden ser puestos en cuarentena. Los virus de
arranque no pueden ser puestos en cuarentena. Normalmente, los virus de
arranque se encuentran en el sector de arranque o en la tabla de particiones de
las mquinas, y estos elementos no se pueden poner en cuarentena.
Tambin se pueden ver las propiedades del archivo infectado.
Ver "Ver archivos y detalles en el rea de cuarentena" en la pgina 100.
Acerca del tratamiento de los archivos infectados en la cuarentena

Despus de mover un archivo a la cuarentena, es posible realizar una de las
Restaurar el archivo seleccionado a su ubicacin original.

Borrar permanentemente el archivo seleccionado.
Volver a analizar los archivos despus de recibir definiciones de virus

actualizadas.
Exportar el contenido de la cuarentena a un archivo delimitado por comas

(*.csv) o a un archivo de base de datos de Access (*.mdb).
Agregar manualmente un archivo a la cuarentena. Es posible desplazarse hasta

una ubicacin y seleccionar el archivo que desea pasar a la cuarentena.
Enviar un archivo a Symantec Security Response. Siga las instrucciones del

asistente en pantalla para enviar el archivo seleccionado para su anlisis.
Ver "Administracin de la cuarentena" en la pgina 99.
Acerca del tratamiento de los archivos infectados por riesgos de

seguridad
Es posible dejar los archivos con riesgos de seguridad que se colocaron en el rea
de cuarentena all o suprimirlos. Se aconseja conservarlos en el rea de cuarentena
hasta que est seguro de que las aplicaciones del equipo no han perdido
funcionalidad.
Si borra los archivos asociados con un riesgo de seguridad, alguna aplicacin del
equipo puede dejar de funcionar correctamente. La aplicacin puede depender de
los archivos asociados que usted borr. Ponerlos en cuarentena es una opcin ms
segura, ya que puede revertirse. Es posible restaurar los archivos si alguna de las
aplicaciones del equipo pierde su funcionalidad despus de poner en cuarentena
los archivos de programa de los que depende la aplicacin.
Nota: Despus de ejecutar la aplicacin correctamente, usted puede querer borrar
los archivos para ahorrar espacio libre en el disco.
Los archivos se ponen en cuarentena de las siguientes formas:
El cliente se configura para mover a la cuarentena los elementos infectados

que se detectan con Auto-Protect o en un anlisis.
Seleccionando un archivo y ponindolo en cuarentena manualmente.
La opcin predeterminada para Auto-Protect y todos los tipos de anlisis es limpiar

el virus del archivo infectado al detectarlo. El software de anlisis pone el archivo
en cuarentena si el archivo no puede ser limpiado. Para los riesgos de seguridad,
99
100

la opcin predeterminada es colocar los archivos infectados en cuarentena y

reparar los efectos secundarios.
Para poner en cuarentena un archivo manualmente
En el cliente, en la barra lateral, haga clic en Ver Cuarentena.
Haga clic en Agregar.
Seleccione el archivo que usted desea agregar a la cuarentena y despus haga

clic en Agregar.
Ver archivos y detalles en el rea de cuarentena

Es posible ver los archivos que se han puesto en cuarentena. Es posible ver detalles
sobre los archivos. Los detalles incluyen el nombre del virus y el nombre del equipo
en el cual fue encontrado el archivo.
Para visualizar archivos y detalles sobre archivos en el rea de cuarentena
Haga clic con el botn secundario en el archivo que desee ver y, a continuacin,
haga clic en Propiedades.
Nuevo anlisis de los archivos en cuarentena en busca de virus

Al colocar un archivo en cuarentena, actualice sus definiciones. Cuando se
actualizan las definiciones, los archivos en cuarentena pueden analizarse, limpiarse
y restaurarse automticamente. Es posible volver a analizar los archivos en
cuarentena si aparece el Asistente de reparacin.
Si el cliente no puede quitar el virus despus de volver a analizar los archivos en
la cuarentena, es posible enviar el archivo infectado a Symantec Security Response
para su anlisis.
Ver "Enviar un archivo potencialmente infectado a Symantec Security Response
para su anlisis" en la pgina 103.
Para volver a analizar los archivos en cuarentena mediante el Asistente de
reparacin
Cuando aparezca el Asistente de reparacin, haga clic en S.
Siga las instrucciones que se muestran en la pantalla para volver a analizar

los archivos en cuarentena.

Nuevo anlisis manual de archivos

Puede volver a analizar de forma manual un archivo del rea de cuarentena para
detectar virus, pero no riesgos de seguridad.
Para volver a analizar manualmente un archivo que se encuentre en cuarentena en
busca de virus
Actualice las definiciones.
Seleccione el archivo y despus haga clic en Limpiar.
Cuando un archivo reparado no se puede devolver a su ubicacin

original
En algunas ocasiones, no existe una ubicacin a la cual devolver los archivos una
vez que se han limpiado. Por ejemplo, en el caso de que se haya separado un archivo
infectado adjunto a un mensaje de correo electrnico y se haya puesto en
cuarentena. Se debe liberar el archivo y especificar una ubicacin.
Para liberar un archivo limpiado desde la cuarentena
Haga clic con el botn secundario en el archivo reparado y, despus, haga clic
en Restaurar.
Especifique la ubicacin en la que desee almacenar el archivo.
Limpiar elementos de copia de seguridad

Antes de intentar limpiar o reparar elementos, el cliente hace copias de seguridad
de los elementos infectados, de forma predeterminada. Despus de que el cliente
limpie correctamente un virus, es necesario borrar manualmente el elemento de
la cuarentena porque la copia de seguridad an est infectada. Tambin se puede
establecer un perodo para que los archivos se eliminen de forma automtica.
Ver "Borrar automticamente archivos de la cuarentena" en la pgina 102.
Para eliminar manualmente los elementos de copia de seguridad
Seleccione uno o ms archivos de copia de seguridad.
Haga clic en Eliminar.
101
102

Eliminar archivos de la cuarentena

Es posible eliminar manualmente los archivos de la cuarentena que dejen de ser
necesarios. Tambin se puede establecer un perodo para que los archivos se
eliminen de forma automtica.
Nota: Puede darse el caso de que el administrador especifique un lmite mximo
de das para que los elementos permanezcan en cuarentena. Estos elementos se
eliminarn automticamente de la cuarentena una vez superado ese lmite de
tiempo.
Para eliminar manualmente los archivos de la cuarentena
Seleccione uno o ms archivos.
Haga clic en Eliminar.
Borrar automticamente archivos de la cuarentena

Es posible configurar el software para que elimine automticamente elementos
de la lista Cuarentena despus de un intervalo de tiempo especificado. Es posible
tambin especificar que el cliente elimine los elementos cuando la carpeta donde
estn almacenados alcance un tamao determinado. De este modo se evita la
concentracin de archivos cuya eliminacin manual puede olvidarse.
Para borrar automticamente los archivos
Haga clic en Opciones de depuracin.
En el cuadro de dilogo Opciones de depuracin, seleccione una de las fichas

siguientes:
Elementos en cuarentena
Elementos de copia de seguridad
Elementos reparados
Seleccione o anule la seleccin de El tiempo de almacenamiento excede para

habilitar o para deshabilitar la capacidad del cliente de eliminar los archivos
despus de que el tiempo configurado caduque.
Si selecciona la casilla El tiempo de almacenamiento excede:, escriba la

cantidad de tiempo o haga clic en una flecha para especificarla.

Seleccione la unidad de tiempo de la lista desplegable. El valor predeterminado

es 30 das.
Si selecciona la casilla El tamao total de la carpeta excede:, escriba el tamao

mximo de la carpeta que se permitir, en megabytes. El valor predeterminado
es 50 megabytes.
Si selecciona ambas casillas de verificacin, se eliminarn primero todos los
archivos de antigedad mayor a la especificada. Si el tamao de la carpeta
an excede el lmite especificado, el cliente borra los archivos ms antiguos
individualmente. El cliente borra los archivos ms antiguos hasta que el
tamao de la carpeta no exceda el lmite.
Repita los pasos 4 a 7 para cualquiera de las otras fichas.
Enviar un archivo potencialmente infectado a Symantec Security

Response para su anlisis
A veces, el cliente no puede limpiar un virus de un archivo. En otros casos, usted
sospecha que un archivo est infectado y el cliente no detecta la infeccin. Si enva
el archivo a Symantec Security Response, se analizar el archivo para confirmar
que no se encuentra infectado. Es preciso disponer de una conexin a Internet
para enviar una muestra.
Nota: La opcin Enviar a Symantec Security Response no est disponible si su
administrador inhabilita estos tipos de envos.
Para enviar un archivo a Symantec Security Response desde la cuarentena
Seleccione el archivo en la lista de elementos en cuarentena.
Haga clic en Enviar.
Siga las instrucciones que se muestran en la pantalla del asistente para

proporcionar la informacin necesaria y enviar el archivo para su anlisis.
103
104

Captulo
Administrar la proteccin
proactiva contra amenazas
Acerca de los anlisis de amenazas proactivos TruScan
Configurar la frecuencia de los anlisis de amenazas proactivos TruScan
Administrar detecciones de amenazas proactivas TruScan
Configurar notificaciones para las detecciones del anlisis de amenazas

proactivo TruScan
Enviar informacin sobre anlisis de amenazas proactivos TruScan a Symantec

Security Response
Cmo excluir un proceso de los anlisis de amenazas proactivos TruScan
Acerca de los anlisis de amenazas proactivos

TruScan
Los anlisis de amenazas proactivos TruScan ofrecen proteccin contra ataques
de da cero. La proteccin contra ataques de da cero significa proteccin contra
amenazas desconocidas o vulnerabilidades. Los anlisis de amenazas proactivos
examinan su equipo en busca de procesos activos que exhiban comportamiento
que pueda ser malicioso. Puesto que las amenazas desconocidas no tienen firmas
para identificarlas, los anlisis de amenazas proactivos identifican riesgos
potenciales marcando el comportamiento sospechoso.
La configuracin predeterminada de los anlisis de amenazas proactivos es
apropiada para muchos usuarios. Es posible modificar la configuracin de acuerdo
con el nivel de proteccin heurstica que su equipo necesita.
106
Administrar la proteccin proactiva contra amenazas

Es necesario hacer las preguntas siguientes antes de realizar cambios en la

configuracin de los anlisis de amenazas proactivos:
Desea ser informado cuando ocurre una amenaza en su equipo?
Con qu frecuencia y en qu momento desea analizar procesos?
Qu cantidad de recursos del equipo desea proporcionar para los anlisis de

amenazas proactivos?
Nota: Si su administrador no bloquea la configuracin del anlisis de amenazas

proactivo, es posible modificar la configuracin. Las opciones bloqueadas incluyen
un icono de candado bloqueado. Las etiquetas de las opciones bloqueadas aparecen
en gris.
Procesos y aplicaciones examinados por los anlisis de amenazas

proactivos TruScan
Los anlisis de amenazas proactivos examinan ciertos tipos de procesos o de
aplicaciones que exhiban comportamiento sospechoso. Los anlisis detectan los
procesos que parecen actuar como caballos de Troya o gusanos, o registradores
de pulsaciones. Es posible habilitar y deshabilitar la deteccin.
Adems de caballos de Troya, gusanos y registradores de pulsaciones, los anlisis
de amenazas proactivos detectan los procesos que se comportan de forma
semejante a la publicidad no deseada y al software espa. No es posible configurar
cmo los anlisis de amenazas proactivos manejan estos tipos de detecciones. Si
los anlisis de amenazas proactivos detectan publicidad no deseada o software
espa que usted desea permitir en sus equipos cliente, usted o su administrador
deben crear una excepcin centralizada.
Ver "Cmo excluir un proceso de los anlisis de amenazas proactivos TruScan"
en la pgina 115.
Los anlisis de amenazas proactivos tambin detectan las aplicaciones comerciales
conocidas que se pueden utilizar con propsitos maliciosos. Symantec mantiene
una lista de estas aplicaciones comerciales y la actualiza peridicamente. Estas
aplicaciones incluyen las aplicaciones comerciales que supervisan o registran las
pulsaciones del teclado de un usuario o que controlan el equipo de un usuario
remotamente. Es posible configurar acciones para que Symantec Endpoint
Protection administre estas detecciones.
Tabla 6-1 describe los procesos que los anlisis de amenazas proactivos detectan.

Tabla 6-1
Procesos detectados por los anlisis de amenazas proactivos

TruScan
Tipo de procesos
Descripcin
Caballos de Troya y
gusanos
Procesos que exhiben caractersticas de caballos de Troya o de

gusanos.
Los anlisis de amenazas proactivos utilizan la heurstica para
buscar los procesos que se comportan como caballos de Troya
o gusanos. Estos procesos pueden ser amenazas o no.
Registradores de
pulsaciones
Procesos con caractersticas de registradores de pulsaciones.

Los anlisis de amenazas proactivos detectan registradores de
pulsaciones comerciales, pero tambin detectan los procesos
desconocidos que exhiben comportamiento de registrador de
pulsaciones.
Aplicaciones comerciales Aplicaciones comerciales conocidas que se pueden utilizar con

propsitos maliciosos.
Los anlisis de amenazas proactivos detectan varios tipos de
aplicaciones comerciales. Es posible configurar acciones para
dos tipos: registradores de pulsaciones y aplicaciones de control
remoto.
Publicidad no deseada y Procesos que exhiben caractersticas de publicidad no deseada
software espa
y de software espa
Los anlisis de amenazas proactivos utilizan la heurstica para
detectar procesos desconocidos que se comportan como
publicidad no deseada y software espa. Estos procesos pueden
ser riesgos o no.
Acerca de las excepciones para los anlisis de amenazas proactivos

TruScan
Es posible crear algunas excepciones para los anlisis de amenazas proactivos, a
menos que su administrador haya bloqueado la configuracin de las excepciones
centralizadas.
Su administrador puede tambin crear excepciones centralizadas para anlisis
de amenazas proactivos. No es posible modificar las excepciones que su
administrador crea.
en la pgina 115.
107
108

Acerca de las detecciones del anlisis de amenazas proactivo TruScan

Los anlisis de amenazas proactivos registran, ponen en cuarentena o terminan
los procesos potencialmente maliciosos que detectan. Es posible ver las detecciones
usando el cuadro de dilogo de resultados de anlisis, los registros de la proteccin
proactiva contra amenazas o la lista de cuarentena.
Ver "Acerca de la interaccin con los resultados del anlisis o los resultados de
Auto-Protect" en la pgina 85.
Ver "Administracin de la cuarentena" en la pgina 99.
Nota: La configuracin del anlisis de amenazas proactivo no tiene ningn efecto
sobre los anlisis antivirus y contra software espa, que utilizan firmas para
detectar riesgos conocidos. Symantec Endpoint Protection detecta primero los
riesgos conocidos.
De forma predeterminada, el cliente hace las acciones siguientes:
Registra la deteccin de aplicaciones comerciales conocidas.
Registra la deteccin de procesos que se comportan como caballos de Troya,

gusanos o registradores de pulsaciones.
Pone en cuarentena los procesos que se comportan como caballos de Troya,

gusanos o registradores de pulsaciones y que deben corregirse.
Cuando un anlisis de amenazas proactivo pone en cuarentena una deteccin,

trata cualquier efecto secundario del proceso. Si el cliente vuelve a analizar la
deteccin despus de descargar actualizaciones de contenido a su equipo, el cliente
puede restaurar el proceso a su equipo. El cliente restaura el proceso si el proceso
ya no se considera malicioso. El cliente tambin restaura cualquier efecto
secundario del proceso. Sin embargo, el cliente no reinicia automticamente el
proceso.
Para la deteccin de registradores de pulsaciones comerciales o de aplicaciones
de control remoto, usted o su administrador pueden especificar una accin
diferente. Por ejemplo, es posible que no quiera hacer caso de la deteccin de
aplicaciones comerciales de registradores de pulsaciones. Cuando el cliente no
hace caso de una aplicacin, autoriza la aplicacin y no registra su deteccin.
Para las detecciones de caballos de Troya, gusanos o registradores de pulsaciones,
es posible especificar una accin determinada que el cliente siempre utilice cuando
hace una deteccin.

Configurar la frecuencia de los anlisis de amenazas proactivos TruScan
Acerca de la actuacin sobre falsos positivos

Los anlisis de amenazas proactivos TruScan a veces detectan falsos positivos.
Estos anlisis buscan aplicaciones y procesos con comportamiento sospechoso
en lugar de virus o riesgos de seguridad conocidos. Por su naturaleza, estos anlisis
sealan tpicamente elementos que podra no ser necesario detectar.
Si un anlisis de amenazas proactivo detecta un proceso que usted determina que
no es un problema, es posible crear una excepcin de modo que los anlisis futuros
no marquen el proceso. Si hay un conflicto entre una excepcin definida por el
usuario y una excepcin definida por el administrador, la excepcin definida por
el administrador toma precedencia.
en la pgina 115.
Para reducir al mnimo las detecciones positivas falsas, asegrese de que el
contenido de Symantec para los anlisis de amenazas proactivos est actualizado.
La versin aparece en la pgina Estado, bajo Proteccin proactiva contra amenazas.
Es posible descargar el contenido ms reciente ejecutando LiveUpdate.
Nota: Su administrador puede programar actualizaciones automticas.
Si elige administrar la deteccin de caballos de Troya, gusanos y registradores de
pulsaciones usted mismo, es posible modificar la sensibilidad de los anlisis de
amenazas proactivos. Sin embargo, modificar la sensibilidad puede no modificar
el nmero de falsos positivos, ya que solamente cambia el nmero de detecciones
totales.
Ver "Administrar detecciones de amenazas proactivas TruScan" en la pgina 110.
Configurar la frecuencia de los anlisis de amenazas

proactivos TruScan
Es posible configurar la frecuencia con la que se ejecutan los anlisis de amenazas
proactivos.
Nota: Si aumenta la frecuencia de los anlisis de amenazas proactivos, es posible
que afecte el rendimiento del equipo.
que se utilizan en el procedimiento.
109
110

Para configurar la frecuencia de los anlisis de amenazas proactivos TruScan
Al lado de Proteccin proactiva contra amenazas, haga clic en Configurar

opciones.
En el cuadro de dilogo Configuracin de proteccin proactiva contra

amenazas, en la ficha Frecuencia del anlisis, marque Con una frecuencia
personalizada de anlisis.
Haga una o ms de las acciones siguientes:
Al lado de Analizar cada, configure el perodo en nmero de das, horas y

minutos entre los procesos de anlisis.
Marque Analizar procesos nuevos inmediatamente para analizar nuevos

procesos cuando se detectan.
Administrar detecciones de amenazas proactivas

TruScan
Los administradores pueden bloquear la configuracin de la deteccin de amenazas
proactiva. Si las opciones estn desbloqueadas, o si usted est ejecutando un
cliente no administrado, es posible configurar los tipos de procesos que las
detecciones de amenazas proactivas detectan.
Nota: La deteccin de caballos de Troya, gusanos y registradores de pulsaciones
no se admite actualmente en los sistemas operativos del servidor de Windows o
Windows XP Professional de 64 bits. La deteccin de registradores de pulsaciones
tampoco es admitida en Windows 7. En los clientes que se ejecutan en los sistemas
operativos del servidor, las opciones de anlisis no estn disponibles. Si su
administrador modifica estas opciones en una poltica que se aplique a su equipo,
las opciones pueden aparecer seleccionadas y no disponibles.
Cuando la deteccin de caballos de Troya, gusanos o registradores de pulsaciones
est habilitada, es posible elegir la forma en que se administrarn las detecciones.
De forma predeterminada, los anlisis de amenazas proactivos utilizan la
configuracin predeterminada de Symantec. Esto significa que el cliente determina
la accin para la deteccin. (Las opciones predeterminadas que no estn disponibles
en la interfaz de usuario no reflejan la configuracin predeterminada de Symantec.
Las opciones no disponibles reflejan la configuracin predeterminada que usted
utiliza cuando administra detecciones manualmente).

Tpicamente, las opciones predeterminadas de Symantec proporcionan la mejor

manera de manejar las detecciones. Sin embargo, si tiene experiencia con los
resultados de anlisis en su equipo, puede configurar las acciones y los niveles de
sensibilidad manualmente. Para configurar estos parmetros, deshabilite la
configuracin predeterminada de Symantec.
Para reducir al mnimo las detecciones positivas falsas, Symantec recomienda
utilizar la configuracin predeterminada de Symantec inicialmente. Despus de
cierto tiempo, es posible observar el nmero de falsos positivos que los clientes
detectan. Si el nmero es bajo, se puede ajustar la configuracin del anlisis de
amenazas proactivo gradualmente. Por ejemplo, para la deteccin de caballos de
Troya y gusanos, es posible mover el control deslizante para aumentar levemente
la sensibilidad predeterminada. Es posible observar los resultados de los anlisis
de amenazas proactivos que se ejecutan despus de establecer la nueva
configuracin.
Nota: Para los clientes administrados, el administrador suele configurar las
opciones del anlisis de amenazas proactivo apropiadas para su equipo.
Para las aplicaciones comerciales, es posible especificar el tipo de accin que se
efectuar cuando un anlisis de amenazas proactivo detecta programas
registradores de pulsaciones comerciales o programas de control comerciales. Es
posible modificar estas opciones sin importar la configuracin para los caballos
de Troya, los gusanos o los registradores de pulsaciones.
Configurar una accin para la deteccin de aplicaciones comerciales

Es posible modificar la accin que el cliente efecta cuando un anlisis de amenazas
proactivo detecta ciertos tipos de aplicaciones comerciales.
Para configurar una accin para las detecciones de aplicaciones comerciales

opciones.

amenazas, en la ficha Detalles del anlisis, bajo Aplicaciones comerciales,
realice una de las siguientes acciones:
Configure la accin para los registradores de pulsaciones comerciales en

Omitir, Registro, Finalizar o Cuarentena.
111
112

Configure la accin para las aplicaciones de control remoto comerciales

en Omitir, Registro, Finalizar o Cuarentena.
Especificar acciones y niveles de sensibilidad para detectar caballos

de Troya, gusanos y registradores de pulsaciones
Si elige administrar las detecciones de caballos de Troya, gusanos o registradores
de pulsaciones usted mismo, puede configurar la accin que se efectuar cuando
se detectan estos procesos. Esa accin se utiliza siempre que los anlisis de
amenazas proactivos hacen una deteccin. Por ejemplo, es posible configurar la
accin para registrar solamente. Si un anlisis de amenazas proactivo detecta un
proceso que se categoriza como positivo verdadero, el cliente registra la deteccin.
El cliente no pone en cuarentena el proceso.
Es posible tambin configurar diversos niveles de sensibilidad para la deteccin
de caballos de Troya y gusanos y las detecciones de registradores de pulsaciones.
El nivel de sensibilidad determina cun sensibles son los anlisis de amenazas
proactivos cuando analizan procesos. Una mayor sensibilidad genera ms
detecciones. Tenga presente que algunas de estas detecciones pueden ser falsos
positivos. Es posible que configurar un nivel de sensibilidad ms bajo o ms alto
no modifique el porcentaje de falsos positivos que producen los anlisis de
amenazas proactivos. Modifica solamente el nmero de detecciones totales.
Es posible que quiera mantener el nivel de sensibilidad ms bajo hasta que vea
los resultados de los anlisis de amenazas proactivos en su equipo. Si los anlisis
de amenazas proactivos no producen ninguna deteccin con un nivel de
sensibilidad bajo, es posible aumentar la sensibilidad.
Para configurar la accin y el nivel de sensibilidad para los caballos de Troya y los
gusanos

opciones.

amenazas, en la ficha Detalles del anlisis, bajo Caballos de Troya y gusanos,
asegrese de que Analizar en busca de caballos de Troya y gusanos est
activada, y despus desactive Usar los valores definidos por Symantec.
Bajo Sensibilidad, mueva el control deslizante hacia la izquierda o la derecha

para disminuir o aumentar la sensibilidad.

En la lista desplegable, haga clic en Registrar, Finalizar o Cuarentena.
Para configurar la accin y el nivel de sensibilidad para los registradores de

pulsaciones

opciones.

amenazas, en la ficha Detalles del anlisis, bajo Registradores de pulsaciones,
asegrese de que Analizar en busca de registradores de pulsaciones est
marcado, y deje sin marcar Usar los valores definidos por Symantec.
Para el nivel de sensibilidad, haga clic en Bajo o Alto.
En la lista desplegable, haga clic en Registrar, Finalizar o Cuarentena.
Especificar los tipos de procesos que detectan los anlisis de amenazas

proactivos TruScan
Es posible configurar si los anlisis de amenazas proactivos analizan en busca de
caballos de Troya y gusanos o registradores de pulsaciones. Su administrador
puede bloquear algunas de estas opciones.
Para especificar los tipos de procesos que detectan los anlisis de amenazas
proactivos TruScan

opciones.

amenazas, en la ficha Detalles del anlisis, bajo Caballos de Troya y gusanos,
marque o deje sin marcar Analizar en busca de caballos de Troya y gusanos.
Bajo Registradores de pulsaciones, marque o deje sin marcar Analizar en

busca de registradores de pulsaciones.
113
114

Configurar notificaciones para las detecciones del anlisis de amenazas proactivo TruScan
Configurar notificaciones para las detecciones del

anlisis de amenazas proactivo TruScan
Es posible configurar mensajes que aparecern cuando los anlisis de amenazas
proactivos hacen detecciones. De forma predeterminada, el cliente muestra
mensajes cuando ocurren detecciones. Tambin se notifica cuando una deteccin
necesita que el cliente termine servicios o detenga procesos.
Nota: El administrador puede bloquear estos valores.
Para habilitar o deshabilitar notificaciones para las detecciones del anlisis de
amenazas proactivo TruScan
En el cliente, haga clic en Cambiar configuracin.

opciones.

amenazas, en la ficha Notificaciones, seleccione Mostrar un mensaje cuando
se produzca una deteccin.
Seleccione o anule la seleccin de Avisar antes de terminar un proceso y

Avisar antes de detener un servicio.
Enviar informacin sobre anlisis de amenazas

proactivos TruScan a Symantec Security Response
De forma predeterminada, los anlisis de amenazas proactivos envan informacin
sobre los procesos detectados a Symantec Security Response. Cuando los anlisis
envan informacin, Symantec analiza la informacin para determinar si una
amenaza es verdadera. Si Symantec determina que la amenaza es verdadera,
Symantec puede generar una firma para tratar la amenaza. Symantec incluye la
firma en las versiones actualizadas de las definiciones.
Cuando se enva informacin sobre un proceso, el envo incluye la siguiente
informacin:
La ruta del archivo ejecutable
El archivo ejecutable

La informacin sobre el archivo y los puntos de carga del registro relacionados

con la amenaza
La informacin de estado interno
La versin del contenido que utiliz el anlisis de amenazas proactivo
No se enva ninguna informacin personal que permita identificar su equipo.

El envo de detecciones de los anlisis de amenazas proactivos a Symantec Security
Response est habilitado de forma predeterminada.
Nota: Su administrador puede bloquear la configuracin de los envos.
Para enviar informacin sobre anlisis de amenazas proactivos TruScan a Symantec
Security Response

opciones.
En el cuadro de dilogo Configuracin de la proteccin antivirus y contra

software espa, en la ficha Envos, seleccione o anule la seleccin Enviar
automticamente las detecciones de anlisis proactivo de amenazas
TruScan.
Cmo excluir un proceso de los anlisis de amenazas

proactivos TruScan
Es posible crear excepciones para los anlisis de amenazas proactivos, a menos
que el administrador bloquee la configuracin.
Para crear una excepcin, seleccione un archivo que est disponible en su equipo
actualmente. Cuando un anlisis de amenazas proactivo detecta un proceso activo
que utilice el archivo, el cliente aplica la accin especificada en la excepcin.
Por ejemplo, es posible que ejecute una aplicacin en su equipo que utiliza un
archivo llamado foo.exe. Un anlisis de amenazas proactivo se ejecuta al ejecutar
foo.exe. El cliente determina que foo.exe puede ser malicioso. Aparece el cuadro
de dilogo de los resultados del anlisis y se muestra que el cliente puso el archivo
115
116

foo.exe en cuarentena. Es posible crear una excepcin que especifique que los
anlisis de amenazas proactivos omitan el archivo foo.exe. El cliente entonces
restaura foo.exe. Cuando se vuelva a ejecutar foo.exe, el cliente lo omitir.
Su administrador puede tambin crear excepciones centralizadas para los anlisis.
Si crea una excepcin centralizada que est en conflicto con una excepcin definida
por el administrador, la excepcin definida por el administrador toma precedencia.
Para excluir un proceso de los anlisis de amenazas proactivos TruScan
En la ficha Excepciones definidas por el usuario, haga clic en Agregar y

despus seleccione Excepcin de anlisis de amenazas proactivo TruScan.
En el cuadro de dilogo Agregar excepcin de anlisis de amenazas proactivo

TruScan, localice el proceso o el archivo para los cuales desee crear una
excepcin.
En la lista desplegable Accin, seleccione Omitir, Solo registrar, Cuarentena

o Finalizar.
Haga clic en Agregar.
Captulo
Administrar la Proteccin
contra amenazas de red
Administrar la Proteccin contra amenazas de red
Acerca de la Proteccin contra amenazas de red
Cmo el cliente protege contra ataques de red
Configuracin del firewall
Configurar las opciones de prevencin de intrusiones
Configurar valores especficos de una aplicacin

En un cliente administrado centralmente, su administrador establece la
configuracin del firewall y la configuracin de prevencin de intrusiones por
usted. No es necesario establecer ninguna configuracin adicional.
De forma predeterminada, se habilita el motor de firewall, pero no el firewall. De
forma predeterminada, el firewall permite todo el trfico de red entrante y saliente.
En cualquier cliente, se puede deshabilitar Proteccin contra amenazas de red
temporalmente para solucionar problemas. Por ejemplo, es posible que no pueda
abrir una aplicacin.
Ver "Cmo habilitar o deshabilitar Proteccin contra amenazas de red"
en la pgina 37.
118

En un cliente autoadministrado, usted establece su propia configuracin del

firewall y de prevencin de intrusiones. No es necesario cambiar ninguna otra
configuracin del firewall predeterminada ni de la prevencin de intrusiones.
Ver "Acerca de los clientes administrados centralmente y los clientes
autoadministrados" en la pgina 29.
Tabla 7-1 muestra las tareas de Proteccin contra amenazas de red que se pueden
realizar en un cliente autoadministrado, pero que no estn disponibles en un
cliente administrado centralmente.
Tabla 7-1
Pasos que se pueden realizar en el cliente autoadministrado

solamente
Paso
Descripcin
Paso 1: Leer sobre cmo

funciona el firewall
Aprenda cmo el firewall protege su equipo contra ataques

de red.
Paso 2: Agregar normas de

firewall
Complemente las normas de firewall predeterminadas del

cliente con las normas de firewall que configura. Por
ejemplo, puede ser recomendable bloquear una aplicacin
que no desee ejecutar en su equipo, como una aplicacin de
publicidad no deseada.
Ver "Adicin de una norma de firewall" en la pgina 129.
Paso 3: Descargar las firmas Descargue las firmas IPS ms actuales.

IPS ms actuales
Ver "Actualizacin de la proteccin del cliente"
en la pgina 38.
Paso 4: Consultar el registro Consulte el registro de trfico para ver si:
de trfico
Las normas de firewall que usted cre funcionan
correctamente.
El cliente bloque cualquier ataque de red.
El cliente bloque cualquier aplicacin que esperaba

ejecutar.
El registro de paquetes no est habilitado para un cliente

administrado centralmente ni para un cliente
autoadministrado.


Symantec Endpoint Protection puede proteger su equipo al supervisar la
informacin que entra en el equipo y sale de l, y al bloquear cualquier intento de
ataque de red. Proteccin contra amenazas de red bloquea las amenazas y evita
que accedan a su equipo mediante normas de firewall y firmas.
Tabla 7-2 muestra las herramientas que Proteccin contra amenazas de red usa
para proteger su equipo contra ataques de red.
Tabla 7-2
Herramientas de Proteccin contra amenazas de red
Herramienta
Descripcin
Firewall
El firewall evita que los usuarios no autorizados accedan a su

equipo y a las redes que se conectan a Internet. El firewall detecta
posibles ataques de hacker, protege la informacin personal y
elimina fuentes no deseadas de trfico de red. El firewall permite
o bloquea el trfico entrante y saliente.
Sistema de prevencin El sistema de prevencin de intrusiones (IPS) detecta y bloquea

de intrusiones
automticamente ataques de red. El IPS analiza cada paquete que
entra y sale de un equipo en busca de las firmas de ataques.
IPS se basa en una detallada lista de firmas de ataques para
detectar y bloquear las actividades de red sospechosas. Symantec
proporciona la lista de amenazas conocidas, la cual se puede
actualizar en el cliente mediante Symantec LiveUpdate. El motor
IPS de Symantec y el correspondiente grupo de firmas IPS se
instalan en el cliente de forma predeterminada.

El cliente incluye las herramientas siguientes que protegen el equipo contra
intentos de intrusin:
Firewall
Supervisa todas las comunicaciones de Internet y acta como

escudo que bloquea o limita los intentos de ver la informacin en
su equipo. El firewall protege a los usuarios remotos contra ataques
de hacker y evita que los hackers utilicen la puerta trasera para
acceder a la red corporativa a travs de estos equipos.
Ver "Cmo el firewall supervisa comunicaciones" en la pgina 121.
Ver "Acerca del firewall de Symantec Endpoint Protection"
en la pgina 120.
119
120

Prevencin de
intrusiones
Analiza toda la informacin entrante y saliente en busca de los

patrones de datos tpicos de un ataque.
Ver "Cmo analiza el trfico la funcin prevencin de intrusiones"
en la pgina 122.
Ver "Acerca del sistema de prevencin de intrusiones"
en la pgina 121.
Para evaluar cmo proteger mejor el equipo, es posible comprobar su vulnerabilidad

a los ataques de red exteriores y a los virus. Para hacerlo, se pueden ejecutar varios
anlisis.
Ver "Probar la seguridad del equipo" en la pgina 41.
Acerca del firewall de Symantec Endpoint Protection

Un firewall es un software que proporciona una barrera entre el equipo e Internet.
Un firewall impide a los usuarios no autorizados el acceso a equipos privados y
redes conectadas a Internet. Detecta posibles ataques de hacker, protege la
informacin personal y elimina fuentes no deseadas de trfico de red, tales como
intentos de intrusin.
Figura 7-1
Flujo de informacin en una red cuando un equipo tiene un firewall
El firewall supervisa los intentos

de acceso desde Internet
Equipo cliente
Internet
El firewall permite o bloquea el

trfico de red especificado en
la poltica de firewall
Toda la informacin que ingresa en la red privada o sale de ella debe pasar por el
firewall. El firewall examina los paquetes de informacin y bloquea aquellos que

no cumplen los criterios de seguridad especificados. Examina los paquetes de

informacin mediante normas de firewall. Las polticas de firewall tienen una o
ms normas que trabajan juntas para permitir o bloquear el acceso de usuarios a
la red. Solamente el trfico autorizado puede pasar a travs del firewall. Las
polticas de firewall definen el trfico autorizado.
El firewall se ejecuta en segundo plano. El administrador determina el nivel de
interaccin que usted tiene con el cliente al permitir o bloquear su capacidad de
configurar las normas de firewall y los valores del firewall. Se puede interactuar
con el cliente solamente cuando le notifica que existen nuevas conexiones de red
y problemas posibles, o se puede tener acceso completo a la interfaz de usuario.
Ver "Configuracin del firewall" en la pgina 123.
Cmo el firewall supervisa comunicaciones

Cuando el firewall se encuentra activo, supervisa las comunicaciones entre el
equipo y los otros equipos de Internet.
El firewall lo protege de intentos de conexin indebidos mediante cualquiera de
los mtodos siguientes:
Bloquea el trfico entrante y saliente.
Advierte tanto de los intentos de conexin procedentes de otros equipos como

de los intentos de las aplicaciones instaladas en su sistema de conectarse a
otros equipos.
Es posible controlar el nivel de proteccin personalizando la proteccin del firewall.

Acerca del sistema de prevencin de intrusiones

El sistema de prevencin de intrusiones (IPS) es la segunda lnea de defensa del
cliente de Symantec Endpoint Protection despus del firewall. El sistema de
prevencin de intrusiones es un sistema basado en redes que funciona en todos
los equipos en que se instale el cliente y se habilite el sistema de IPS. Si se detecta
un ataque conocido, una o ms tecnologas de prevencin de intrusiones pueden
bloquearlo automticamente.
El sistema de prevencin de intrusiones analiza toda la informacin entrante y
saliente en busca de los patrones de datos tpicos de un ataque. Detecta y bloquea
el trfico malintencionado y los intentos de ataque al equipo por parte de usuarios
externos. La prevencin de intrusiones tambin controla el trfico saliente y evita
la propagacin de gusanos.
Ver "Cmo analiza el trfico la funcin prevencin de intrusiones" en la pgina 122.
121
122

Tabla 7-3 detalla los problemas de seguridad comunes que supervisa el sistema
de prevencin de intrusiones.
Tabla 7-3
Problemas de seguridad habituales
Problema
Proteccin
Anlisis de puertos
Oculta los puertos inactivos del equipo y detecta anlisis de

puertos.
Ataque de negacin de Examina todos los paquetes de red en busca de ataques conocidos
servicio
especficos que limitan el uso de los servicios normales del equipo.
Intrusiones
Detecta y bloquea el trfico malicioso y los intentos de usuarios

externos por atacar el equipo, y analiza el trfico saliente para
evitar la propagacin de gusanos.
Cmo analiza el trfico la funcin prevencin de intrusiones

El sistema de prevencin de intrusiones analiza todos los paquetes que ingresan
en los equipos de la red y salen de ellos en busca de firmas de ataques y secuencias
de paquetes que identifican el intento de un atacante de explotar una
vulnerabilidad conocida del sistema operativo o del programa.
Si la informacin coincide con un ataque conocido, IPS desecha automticamente
el paquete. IPS puede tambin bloquear la conexin con el equipo que envi los
datos por una cantidad de tiempo especificada. Esta funcin se llama respuesta
activa y protege los equipos de la red.
El cliente incluye los tipos siguientes de motores IPS que identifican firmas de
ataques:

Firmas IPS de Symantec Las firmas IPS de Symantec utilizan un motor basado en
secuencias que analiza varios paquetes. Las firmas IPS de
Symantec interceptan datos de red en el nivel de las sesiones y
capturan segmentos de los mensajes que pasan de un lado a otro
entre una aplicacin y la pila de red.
El IPS de Symantec examina los paquetes de dos maneras. Analiza
todos los paquetes de forma individual en busca de patrones que
no se ajusten a las especificaciones y que puedan dejar fuera de
servicio la pila TCP/IP. Tambin supervisa los paquetes en forma
de flujo de informacin en busca de comandos dirigidos a un
servicio particular para aprovecharse de alguna vulnerabilidad
del sistema o dejarlo fuera de servicio. Adems, puede recordar
la lista de patrones o de patrones parciales de paquetes anteriores
y aplicar esta informacin a inspecciones posteriores de paquetes.
IPS se basa en una detallada lista de firmas de ataques para
detectar y bloquear las actividades de red sospechosas. Symantec
proporciona la lista de amenazas conocidas, la cual se puede
actualizar en el cliente mediante Symantec LiveUpdate. El motor
IPS de Symantec y el correspondiente grupo de firmas IPS se
instalan en el cliente de forma predeterminada.
Firmas IPS
personalizadas
Las firmas IPS personalizadas utilizan un motor basado en

paquetes que analiza cada paquete individualmente.
Los motores basados en secuencias y en paquetes detectan firmas
en los datos de red que atacan la pila TCP/IP, los componentes
del sistema operativo y la capa de aplicacin. Sin embargo, las
firmas basadas en paquetes pueden detectar ataques a la pila
TCP/IP antes que las firmas basadas en secuencias. El motor
basado en paquetes no detecta las firmas que abarcan varios
paquetes. El motor IPS basado en paquetes es ms limitado,
porque no almacena coincidencias parciales y analiza solamente
cargas de un solo paquete.
El sistema de prevencin de intrusiones registra los ataques detectados en los

registros de seguridad. Las firmas IPS personalizadas pueden registrar ataques
detectados en el registro de paquetes.
Ver "Configurar las opciones de prevencin de intrusiones" en la pgina 138.

La configuracin predeterminada del firewall protege su equipo. Si la configuracin
predeterminada no es apropiada, se la puede personalizar.
123
124

Para personalizar el firewall, se agregan o cambian las siguientes funciones del

firewall:
Normas de firewall
Controlan el modo en que el cliente protege el equipo cliente de

trfico entrante saliente malicioso.
Ver "Acerca de los elementos de una norma de firewall"
en la pgina 125.
Filtros de trfico
inteligentes
Permiten los tipos de trfico especficos necesarios para la

mayora de las redes. Este tipo de trfico incluye trfico DHCP,
DNS y WINS.
Ver "Habilitar el filtro de trfico inteligente" en la pgina 133.
Configuracin de trfico Habilita las funciones adicionales del trfico tales como
y modo de ocultacin
proteccin de NetBIOS, trfico de token ring, operaciones de
bsqueda inversa de DNS y configuracin del modo de ocultacin.
Ver "Habilitar la configuracin de trfico y de la navegacin
oculta por la Web" en la pgina 133.
Su administrador puede haberle dado permiso para personalizar normas y

configuraciones del firewall o no. Si no tiene permiso, el administrador crea normas
de firewall y habilita la configuracin en polticas de firewall que distribuye al
cliente. Si tiene permiso, podr crear normas y modificar la configuracin del
cliente para adaptarlo a su entorno de red. Su administrador puede haber
configurado el cliente para combinar las normas creadas por su administrador y
las creadas por usted.
Usted podr deshabilitar la proteccin en determinados momentos, por ejemplo,
durante la instalacin de software nuevo. Es posible configurar una notificacin
que aparezca cuando el firewall bloquea una aplicacin en el equipo cliente.
en la pgina 37.
Es posible tambin establecer la configuracin de Redes de Microsoft Windows.
Ver "Habilitar el uso compartido de archivos e impresoras en la red"
en la pgina 134.
Acerca de las normas de firewall

Cuando un equipo intenta conectarse a otro equipo, el firewall compara el tipo de
conexin con su lista de normas de firewall. El firewall comprueba
automticamente todos los paquetes de trfico entrante y saliente con estas

normas. A continuacin, el firewall permite o bloquea los paquetes que se basan

en la informacin que se especifica en las normas.
Ver "Acerca de los elementos de una norma de firewall" en la pgina 125.
Acerca de los elementos de una norma de firewall

Una norma de firewall describe las condiciones en las cuales una conexin de red
se puede permitir o bloquear. Por ejemplo, una norma puede permitir el trfico
de red entre el puerto remoto 80 y la direccin IP 192.58.74.0, entre las 9 a. m. y
las 5 p. m todos los das.
Tabla 7-4 describe los criterios que utiliza para definir una norma de firewall.
Tabla 7-4
Condiciones de las normas de firewall
Condicin
Descripcin
Activadores
Aplicaciones, hosts, protocolos y adaptadores de red.

Es posible combinar las definiciones de activacin para crear normas
ms complejas, por ejemplo, para identificar un protocolo determinado
en lo referente a una direccin de destino especfica. Cundo el firewall
evala la norma, todos los activadores deben ser verdaderos para que
se produzca una coincidencia. Si algn activador no es verdadero en
relacin con el paquete actual, el firewall no podr aplicar la norma.
Condiciones
Estado de programacin y protector de pantalla.

Los parmetros condicionales no describen un aspecto de una conexin
de red. En cambio, los parmetros condicionales determinan el estado
activo de una norma. Los parmetros condicionales son opcionales y si
no se definen, no son significativos. Es posible configurar una
programacin o identificar el estado de un protector de pantalla que
dicta cundo se considera que una norma est activa o inactiva. El
firewall no evala las normas inactivas cuando recibe los paquetes.
Acciones
Permitir o bloquear, y registrar o no registrar.

Los parmetros de accin especifican qu medidas toma el firewall
cuando una norma coincide. Si la norma se selecciona en respuesta a
un paquete recibido, el firewall realiza todas las acciones. El firewall
permite o bloquea el paquete, y registra o no el paquete.
Si el firewall permite el trfico, permite que el trfico especificado por
la norma acceda a su red.
Si el firewall bloquea el trfico, bloquea el trfico especificado por la
norma para que no acceda a su red.
Tabla 7-5 describe los activadores que se pueden definir en una norma de firewall.
125
126

Tabla 7-5
Disparadores de la norma de firewall
Disparador
Descripcin
Aplicacin
Cuando la aplicacin es el nico disparador que usted define en una

norma de permiso de trfico, el firewall permite que la aplicacin realice
cualquier operacin de red. La aplicacin es el valor significativo, no las
operaciones de red que la aplicacin realiza. Por ejemplo: se permite
Internet Explorer y no se define ningn otro disparador. Los usuarios
podrn acceder a los sitios remotos que utilizan HTTP, HTTPS, FTP,
Gopher y cualquier otro protocolo compatible con el navegador web. Es
posible definir activadores adicionales para describir los hosts y
protocolos de red con los que se permite comunicacin.
Host
El host local siempre es el equipo del cliente local y el host remoto

siempre es un equipo remoto ubicado en otra parte de la red. Esta
expresin del vnculo del host es independiente de la direccin del trfico.
Cuando se definen disparadores de hosts, se especifica el host del
componente remoto de la conexin de red descrita.
Protocolo
Un activador de protocolo identifica uno o ms protocolos de red

significativos en relacin con el trfico de red descrito.
El equipo host local maneja siempre el puerto local, y el equipo remoto
maneja siempre el puerto remoto. Esta expresin del vnculo del puerto
es independiente de la direccin del trfico.
Es posible definir las siguientes clases de protocolos:
Adaptador de
red
Todos los protocolos IP

Cualquier protocolo.
TCP
Puerto o intervalos de puerto.
UDP
Puerto o intervalos de puerto.
ICMP
Tipo y cdigo.
Protocolo IP especfico
Nmero de protocolo (tipo de IP).
Ejemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Si define un disparador de adaptador de red, la norma es relevante

solamente para el trfico transmitido o recibido usando el tipo
especificado de adaptador. Es posible especificar cualquier adaptador o
el que se asocia actualmente al equipo cliente.
Ver "Acerca de la inspeccin de estado" en la pgina 127.


Acerca de la inspeccin de estado

El firewall utiliza la inspeccin de estado, un proceso que realiza un seguimiento
de la informacin sobre conexiones actuales, como direcciones IP de fuente y
destino, puertos, aplicaciones, etc. El cliente toma decisiones sobre el flujo de
trfico usando esta informacin de conexin antes de examinar las normas de
firewall.
Por ejemplo, si una norma de firewall permite que un cliente se conecte a un
servidor Web, el firewall registra informacin sobre la conexin. Cuando el servidor
responde, el firewall detecta que se espera una respuesta del servidor Web al
cliente y permite el flujo del trfico del servidor Web hacia el cliente que inici la
comunicacin sin inspeccionar la base de normas. Una norma debe permitir al
trfico saliente inicial antes de que el firewall registre la conexin.
La inspeccin de estado permite simplificar las bases de normas, dado que evita
la necesidad de crear normas que permitan el trfico en las dos direcciones para
el trfico que normalmente slo se inicia en una direccin. El trfico del cliente
que se inicia normalmente en una direccin incluye Telnet (puerto 23), HTTP
(puerto 80) y HTTPS (puerto 443). Los clientes inician este trfico saliente, de
forma que slo es necesario crear una norma que permita el trfico saliente para
estos protocolos. El firewall permite el trfico de retorno.
Al configurar solamente las normas de salida, se aumenta la seguridad del cliente
de las siguientes maneras:
Se reduce la complejidad de las bases de normas.
Se elimina la posibilidad de que un gusano o cualquier otro programa malicioso

pueda iniciar conexiones con clientes en puertos configurados slo para el
trfico de salida. Tambin se pueden configurar slo las normas de entrada
para el trfico con los clientes que no haya sido iniciado por ellos.
La inspeccin de estado es compatible con todas las normas que dirigen el trfico
TCP. No es compatible con las normas que filtran el trfico ICMP. Para ICMP, se
deben crear normas que permitan el trfico en ambas direcciones cuando sea
necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban
respuestas, deber crear una norma que permita el trfico ICMP en ambas
direcciones.
Ver "Acerca de las conexiones UDP" en la pgina 127.
Acerca de las conexiones UDP

Para las comunicaciones UDP, el cliente analiza el primer datagrama UDP y aplica
la accin que se efecta sobre el datagrama inicial a los siguientes datagramas
UDP de la sesin de programa en curso. El trfico entrante o saliente entre los
mismos equipos se considera parte de la conexin UDP.
127
128

Para el trfico de estado de UDP, cuando se establece una conexin UDP, se permite
la comunicacin UDP entrante, incluso si la norma de firewall la bloquea. Por
ejemplo, si una norma bloquea las comunicaciones UDP entrantes para una
aplicacin especfica, pero usted elige permitir un datagrama UDP saliente, se
permiten todas las comunicaciones UDP entrantes para la sesin actual de la
aplicacin. Para UDP sin estado, es necesario crear una norma de firewall para
permitir la respuesta entrante de la comunicacin UDP.
El tiempo de espera de una sesin de UDP finaliza a los 60 segundos si la aplicacin
cierra el puerto.
Ver "Acerca de la inspeccin de estado" en la pgina 127.
Acerca del orden de procesamiento de normas

Las normas de firewall se ordenan secuencialmente, desde la prioridad ms alta
hasta la prioridad ms baja, o desde arriba abajo en la lista de normas. Si la primera
norma no especifica cmo administrar un paquete, el firewall examina la segunda
norma. Este proceso contina hasta que el firewall encuentre una coincidencia.
Una vez que el firewall encuentra una coincidencia, el firewall toma las medidas
que la norma especifica. Las normas subsiguientes de prioridad ms baja no se
examinan. Por ejemplo, si una norma que bloquea todo el trfico se enumera
primero, seguida por una norma que permita todo el trfico, el cliente bloquea
todo el trfico.
Es posible ordenar las normas segn la exclusividad. Las normas ms restrictivas
se evalan primero y la mayora de las normas generales se evalan en ltimo
lugar. Por ejemplo, debe poner las normas que bloquean el trfico cerca de la parte
superior de la lista de normas. Las normas que estn ms abajo en la lista podran
permitir el trfico.
Las mejores prcticas para crear una base de normas incluyen el orden siguiente
de normas:
1.
Normas que bloquean todo el trfico.
2.
Normas que permiten todo el trfico.
3.
Normas que permiten o bloquean equipos especficos.
4.
Normas que permiten o bloquean aplicaciones, servicios de red y puertos

especficos.
Tabla 7-6 muestra el orden en el que el firewall procesa las normas y la

configuracin.

Tabla 7-6
Orden en el que el firewall procesa las normas de firewall y la

configuracin
Prioridad
Configuracin
Primer lugar
Firmas IPS personalizadas
Segundo lugar
Configuracin de la prevencin de intrusiones, configuracin del trfico

y modo de ocultacin
Tercer lugar
Filtros de trfico inteligentes
Cuarto lugar
Normas de firewall
Quinto lugar
Comprobaciones de anlisis de puertos
Sexto lugar
Firmas IPS que se descargan con LiveUpdate
Ver "Cmo cambiar el orden de una norma de firewall" en la pgina 130.
Adicin de una norma de firewall

Cuando se agrega una norma de firewall, es necesario decidir qu efecto debe
tener la norma. Por ejemplo, es posible permitir todo el trfico de una fuente
determinada o bloquear los paquetes de UDP de un sitio web.
Ver "Acerca de las normas de firewall" en la pgina 124.
Ver "Acerca de los elementos de una norma de firewall" en la pgina 125.
Ver "Edicin y eliminacin de normas" en la pgina 132.
Para agregar una norma de firewall
Al lado de Proteccin contra amenazas de red, haga clic en Opciones >

Configurar normas de firewall.
En el cuadro de dilogo Configurar normas de firewall, haga clic en Agregar.
En la ficha General, escriba un nombre para la norma y despus haga clic en

Bloquear este trfico o Permitir este trfico.
Para definir los disparadores para la norma, seleccione de las siguientes

fichas:
Hosts
Puertos y protocolos
Aplicaciones
129
130

Para obtener ms informacin sobre las opciones de cada ficha, haga clic en
Ayuda.
Para definir el plazo cuando la norma se encuentra activa o inactiva, haga

clic en Habilitar programacin y despus configure una programacin.
Cuando termine de realizar los cambios, haga clic en Aceptar.
En el cuadro de dilogo Configurar normas de firewall, compruebe que la

columna Nombre de la norma tenga una marca de verificacin para que la
norma quede habilitada.
Es posible cambiar adems el orden en el que el firewall procesa la norma.
Ver "Cmo cambiar el orden de una norma de firewall" en la pgina 130.
Cmo cambiar el orden de una norma de firewall

El firewall procesa la lista de normas de firewall desde abajo hacia arriba. Es posible
determinar cmo el firewall procesa las normas de firewall modificando su orden.
Las alteraciones de orden solo afectan el orden de la ubicacin seleccionada en
ese momento.
Nota: Para una mejor proteccin, ponga las normas ms restrictivas primero y las
normas menos restrictivas al final.
Ver "Acerca del orden de procesamiento de normas" en la pgina 128.
Para cambiar el orden de una norma de firewall

En el cuadro de dilogo Configurar normas de firewall, seleccione la norma

que desea cambiar de lugar.
Para que el firewall procese esta norma antes de la norma que se encuentra
encima de ella, haga clic en la flecha hacia arriba.
Para que el firewall procese esta norma despus de la norma que se

encuentra debajo de ella, haga clic en la flecha hacia abajo.
Cuando haya terminado de cambiar las normas de lugar, haga clic en Aceptar.

Habilitar e inhabilitar normas

Es necesario habilitar las normas para que el firewall pueda procesarlas. Cuando
se agregan normas, quedan automticamente habilitadas.
Puede inhabilitar una norma de firewall si necesita permitir el acceso especfico
de un programa o equipo.
Para habilitar o inhabilitar normas

En el cuadro de dilogo Configurar normas de firewall, en la columna Nombre

de la norma, marque o deje sin marcar la casilla de verificacin ubicada al
lado de la norma que desea habilitar e inhabilitar.
Exportacin e importacin de normas

Es posible compartir las normas con otro cliente para no tener que volver a
crearlas. Es posible exportar las normas de otro equipo e importarlas en su equipo.
Cuando se importan normas, se agregan a la parte inferior de la lista de normas
de firewall. Las normas importadas no sobrescriben las normas existentes, incluso
si una norma importada es idntica a una norma existente.
Las normas exportadas y las normas importadas se guardan en un archivo .sar.
Para exportar normas

En el cuadro de dilogo Configurar normas de firewall, seleccione las normas

que desea exportar.
Haga clic con el botn secundario en las normas y, a continuacin, haga clic
en Exportar normas seleccionadas.
En el cuadro de dilogo Exportar, escriba un nombre de archivo y despus

haga clic en Guardar.
131
132

Para importar normas

En el cuadro de dilogo Configurar normas de firewall, haga clic con el botn

secundario en la lista de normas de firewall y despus haga clic en Importar
norma.
En el cuadro de dilogo Importar, localice el archivo .sar que contiene las

normas que desea importar.
Haga clic en Abrir.
Edicin y eliminacin de normas

Es posible modificar las normas si no funcionan de la manera que usted desea.
Es posible quitar las normas de firewall que usted ha agregado cuando ya no son
necesarias.
Para editar las normas

En el cuadro de dilogo Configurar normas de firewall, seleccione la norma

y despus haga clic en Editar.
Modifique la configuracin de cualquier ficha.
Cuando termine de modificar las normas, haga clic en Aceptar.
Para borrar las normas

En el cuadro de dilogo Configurar normas de firewall, seleccione una o ms

normas y haga clic en Eliminar.
En el cuadro de mensaje que aparece, haga clic en S.

Habilitar la configuracin de trfico y de la navegacin oculta por la

Web
Es posible habilitar varias opciones de configuracin del trfico y la navegacin
oculta por la Web para protegerse contra ciertos tipos de ataques a la red del
cliente. Es posible permitir que la configuracin del trfico detecte y bloquee el
trfico que se comunica a travs de los controladores, de NetBIOS y de token rings.
Tambin es posible configurar las opciones para detectar el trfico que utiliza
ms ataques invisibles. Tambin es posible controlar el comportamiento para el
trfico IP que no coincide con ninguna norma de firewall. Despus de que el firewall
haya terminado ciertas operaciones, el control pasa a un nmero de componentes.
Cada componente est diseado para realizar un diferente tipo de anlisis del
paquete.
Ver "Habilitar el filtro de trfico inteligente" en la pgina 133.
Para habilitar la configuracin de trfico y de navegacin oculta por la Web
Al lado de Proteccin contra amenazas de red, haga clic en Configurar

opciones.
En el cuadro de dilogo Configuracin de proteccin contra amenazas de red,

haga clic en Firewall.
En la ficha Firewall, en los cuadros agrupados Configuracin de trfico y

Configuracin de ocultacin, marque las casillas de verificacin para habilitar
la configuracin.
Habilitar el filtro de trfico inteligente

Los filtros de trfico inteligentes permiten el intercambio normal de ciertos
servicios de red esenciales sin definir normas para permitir explcitamente esos
servicios. Los filtros inteligentes se pueden definir para los servicios DHCP, DNS
y WINS. Los filtros inteligentes se evalan antes de las normas de firewall, lo que
significa que cualquier paquete que coincida con una incidencia activa de un filtro
inteligente est permitido. El mecanismo del filtro inteligente tiene ms
capacidades que la de permitir protocolos admitidos. La solicitud DHCP, DNS o
WINS debe originarse en el equipo cliente y la respuesta debe ocurrir dentro de
un perodo predefinido de cinco segundos. El servidor enva la respuesta y el tipo
de respuesta se verifica como vlido en lo referente a la solicitud del cliente
original.
Los filtros inteligentes admiten el paquete si efectu una solicitud. No bloquean
los paquetes. Las normas de firewall admiten o bloquean los paquetes.
133
134

Ver "Habilitar la configuracin de trfico y de la navegacin oculta por la Web"

en la pgina 133.
Para habilitar los filtros de trfico inteligentes

opciones.

Marque una o ms de las casillas siguientes:
Habilitar Smart DHCP
Habilitar Smart DNS
Habilitar Smart WINS
Habilitar el uso compartido de archivos e impresoras en la red

Es posible habilitar el cliente para que comparta sus archivos o para que busque
archivos e impresoras compartidos en la red local. Para impedir ataques basados
en red, es posible deshabilitar el uso compartido de archivos e impresoras en la
red.
Es posible habilitar el uso compartido de archivos e impresoras de red de las
siguientes maneras:
Habilite automticamente la configuracin el uso compartido de archivos e

impresoras en la red desde la ficha Redes de Microsoft Windows.
Si una norma de firewall bloquea este trfico, la norma de firewall tiene
prioridad sobre esta configuracin.
Habilite manualmente el uso compartido de archivos e impresoras en la red

agregando normas de firewall.
Es posible agregar las normas de firewall si desea ms flexibilidad que la que
la configuracin proporciona. Por ejemplo, cuando se crea una norma, es posible
especificar un host determinado y no todos los hosts. Las normas de firewall
permiten que el acceso a los puertos para buscar y compartir archivos e
impresoras. Es posible crear un conjunto de normas de firewall de modo que
el cliente pueda compartir sus archivos. Se crea un segundo conjunto de normas
de firewall de modo que el cliente pueda buscar otros archivos e impresoras.
Su administrador pudo no haber habilitado esta opcin en el cliente. Usuarios
en el cliente puede habilitar esta configuracin automticamente.


Para habilitar automticamente el uso compartido de archivos e impresoras de red

opciones.

haga clic en Redes de Microsoft Windows.
En la ficha Redes de Microsoft Windows, para buscar otros equipos y otras

impresoras de la red, haga clic en Examinar archivos e impresoras en la red.
A fin de permitir que otros equipos exploren los archivos de su equipo, haga
clic en Compartir mis archivos e impresoras con otros en la red.
Para permitir de forma manual que los clientes busquen archivos e impresoras

En la ficha General, escriba un nombre para la norma y haga clic en Permitir

este trfico.
En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic

en TCP.
En la lista desplegable Puertos remotos, escriba 88, 135, 139, 445.

este trfico.
10 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic

en UDP.
11 En la lista desplegable Puertos remotos, escriba 88.

12 En la lista desplegable Puertos locales, escriba 137, 138.
13 Haga clic en Aceptar.
135
136

Para permitir de forma manual que otros equipos busquen archivos en el cliente


este trfico.
En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic

en TCP.
En la lista desplegable Puertos locales, escriba 88, 135, 139, 445.

este trfico.
10 En la ficha Puertos y protocolos, en la lista desplegable Protocolo, haga clic

en UDP.
11 En la lista desplegable Puertos locales, escriba 88, 137, 138.

Bloquear trfico
Es posible configurar su equipo para bloquear el trfico entrante y saliente en las
situaciones siguientes:
Cuando el protector de pantalla de su equipo se activa.

Es posible configurar su equipo para que bloquee todo el trfico entrante y
saliente del Entorno de red cuando el protector de pantalla de su equipo se
activa. Tan pronto como el protector de pantalla se desactiva, su equipo vuelve
al nivel de seguridad previamente asignado.
Cuando el firewall no se ejecuta.

El equipo no estar protegido hasta que el equipo cliente se active y antes de
que el servicio del firewall comience o despus de que el servicio del firewall
se detenga y el equipo se desactive. Este plazo constituye una pequea
vulnerabilidad que puede permitir la comunicacin no autorizada.
Cuando se desea bloquear todo el trfico entrante y saliente en cualquier

momento.
Es posible que desee bloquear todo el trfico cuando un virus especialmente
destructivo ataque la red o la subred de su compaa. No es necesario bloquear

todo el trfico bajo circunstancias normales. Su administrador puede haber

configurado esta opcin de forma que no est disponible.
Es posible permitir todo el trfico inhabilitando la Proteccin contra amenazas
de red.
en la pgina 37.
Para bloquear el trfico cuando el protector de pantalla se activa

opciones.

haga clic en Redes de Microsoft Windows.
En la ficha Redes de Microsoft Windows, haga clic en Bloquear el trfico de

Redes de Microsoft Windows cuando se ejecute el protector de pantalla.
Para bloquear el trfico cuando el firewall no se ejecuta

opciones.

En la ficha Firewall, haga clic en Bloquear todo el trfico hasta que el firewall
se inicie y despus de que se detenga.
Puede tambin hacer clic en Permitir trfico inicial de DHCP y NetBIOS.
Para bloquear todo el trfico en cualquier momento
Haga clic en Herramientas > Bloquear todo el trfico.
Para confirmar, haga clic en S.
Para volver a la configuracin anterior del firewall que el cliente utiliza, deje
sin marcar Herramientas > Bloquear todo el trfico.
137
138


Es posible personalizar la configuracin de la prevencin de intrusiones a fin de
modificar la proteccin predeterminada.
Es posible habilitar la siguiente configuracin:
Firmas del sistema de prevencin de intrusiones que detectan y previenen

ataques de red.
Opciones de la prevencin de intrusiones que impiden anlisis de puertos y

ataques de negacin de servicio.
Una respuesta activa, que bloquea automticamente los equipos que envan
ataques.
Tpicamente, cuando se inhabilitan las opciones de la prevencin de intrusiones

en el equipo, ste es menos seguro. Sin embargo, puede ser necesario inhabilitar
esta configuracin para evitar falsos positivos o para solucionar problemas en los
equipos cliente.
El cliente registra los ataques y los eventos de seguridad que el sistema de
prevencin de intrusiones detecta en el Registro de seguridad. El cliente puede
registrar los ataques y los eventos en el Registro de paquetes.
Ver "Cmo analiza el trfico la funcin prevencin de intrusiones" en la pgina 122.
Nota: Su administrador puede haber configurado estas opciones de forma que no
estn disponibles.
Para configurar las opciones de prevencin de intrusiones

opciones.

haga clic en Prevencin de intrusiones.
Para habilitar una configuracin, en la ficha Prevencin de intrusiones, active

cualquiera de las siguientes casillas de verificacin:
Habilitar prevencin de intrusiones
Habilitar la deteccin de negacin de servicio
Habilitar la deteccin de anlisis de puertos
Para obtener ms informacin sobre estos valores, haga clic en Ayuda.

Configurar notificaciones de prevencin de intrusiones

Es posible configurar notificaciones que aparecern cuando el cliente detecta un
ataque de red en el equipo o cuando el cliente bloquea el acceso de una aplicacin
al equipo. Es posible configurar el tiempo durante el que estas notificaciones
aparecen y si la notificacin incluye un aviso con audio.
Se debe habilitar el sistema de prevencin de intrusiones para que las notificaciones
de prevencin de intrusiones aparezcan.
Nota: Su administrador puede haber configurado estas opciones de forma que no
estn disponibles.
Para configurar notificaciones de prevencin de intrusiones

opciones.

Marque Mostrar notificaciones de prevencin de intrusiones.
Para or una seal sonora cuando aparece la notificacin, marque Usar sonido
al notificar a los usuarios.
Escriba una cantidad de tiempo durante la cual aparecern las notificaciones

en el campo Nmero de segundos que se deben mostrar las notificaciones.
Bloquear y desbloquear un equipo atacante

Cuando el cliente de Symantec Endpoint Protection detecta un ataque de red,
puede bloquear automticamente la conexin para asegurarse de que el equipo
cliente est seguro. El cliente inicia una respuesta activa, que bloquea
automticamente toda la comunicacin hacia la direccin IP del equipo atacante
y desde ella por un perodo determinado. La direccin IP del equipo atacante se
bloquea para una sola ubicacin.
Las firmas de IPS actualizadas, las firmas actualizadas de negacin de servicio y
los anlisis de puertos tambin inician una respuesta activa.
Es posible ver la direccin IP del equipo atacante en el Registro de seguridad. Es
posible tambin desbloquear un ataque deteniendo la respuesta activa en el
Registro de seguridad.
139
140

Ver "Configurar las opciones de prevencin de intrusiones" en la pgina 138.

Ver "Bloquear trfico" en la pgina 136.
Para bloquear un equipo atacante

opciones.

Seleccione Nmero de segundos de bloqueo automtico de la direccin IP

de un atacante y despus escriba el nmero de segundos.
Escriba un nmero entre 1 y 999 999 segundos. El tiempo predeterminado es
de 600 segundos, o 10 minutos.

Si no desea esperar la cantidad de tiempo predeterminada para desbloquear
la direccin IP, es posible desbloquearla inmediatamente.
Para desbloquear un equipo atacante
En el cliente, en la barra lateral, haga clic en Ver registros.
Al lado de Administracin de clientes, haga clic en Ver registros > Registro

de seguridad.
En el Registro de seguridad, seleccione la fila que contiene la respuesta activa

en la columna Tipo de evento y despus haga clic en Accin > Detener
respuesta activa.
Para desbloquear las direcciones IP bloqueadas, haga clic en Accin > Detener
todas las respuestas activas. Si desbloquea una respuesta activa, la columna
Tipo de evento indica Respuesta activa cancelada. Si finaliza el tiempo de
espera de la respuesta activa, la columna Tipo de evento indica Respuesta
activa deshabilitada.
En el cuadro de mensaje que aparece, haga clic en Aceptar.
Haga clic en Archivo > Salir.

Es posible configurar las opciones de una aplicacin que se ha ejecutado desde
que se inici el servicio del cliente o que ha solicitado permiso para acceder a la
red.

Puede configurar restricciones, como las direcciones IP y los puertos que la

aplicacin puede utilizar. Tambin puede ver y modificar la accin que el cliente
realiza para cada aplicacin que intenta acceder a travs de la conexin de red.
Al configurar las opciones de una aplicacin especfica, se crea una norma de
firewall basada en la aplicacin.
Nota: Si hay un conflicto entre una norma de firewall y una configuracin especfica
de la aplicacin, la norma de firewall tiene prioridad. Por ejemplo, una norma de
firewall que bloquea todo el trfico entre la 1 a. m. y las 8 a. m. anula la
programacin de una aplicacin de video especfica.
Las aplicaciones que aparecen en el cuadro de dilogo Actividad de red son las
aplicaciones y los servicios que se ejecutaron desde que se inici el servicio del
cliente.
Para configurar opciones especficas de una aplicacin
opciones de aplicacin.
En el cuadro de dilogo Ver opciones de aplicacin, seleccione la aplicacin

que desea configurar y haga clic en Configurar.
En el cuadro de dilogo Configurar opciones de la aplicacin, en el cuadro IP

de confianza para la aplicacin, escriba una direccin IP o un intervalo de
IP.
En los cuadros de grupo de los puertos del servidor remoto o los puertos
locales, seleccione un puerto TCP o UDP.
Para especificar la direccin del trfico, haga clic en una de las siguientes
opciones o en ambas:
Para permitir el trfico saliente, haga clic en Permitir conexiones

salientes.
Para permitir el trfico entrante, haga clic en Permitir conexiones

entrantes.
Para aplicar la norma cuando se ejecute el protector de pantalla, haga clic en

Permitir mientras el protector de pantalla est activado.
Para configurar una programacin cuando las restricciones estn o no estn

activadas, haga clic en Habilitar programacin.
Seleccione una de las siguientes opciones:
141
142

Para especificar el perodo durante el cual las restricciones estarn

activadas, haga clic en Durante el siguiente perodo.
Para especificar el perodo durante el cual las restricciones no estarn

activadas, haga clic en Excluido el siguiente perodo.
10 Configure la programacin.
12 En el cuadro de dilogo Ver opciones de aplicacin, para modificar la accin,
haga clic con el botn secundario en la aplicacin y, a continuacin, haga clic
en Permitir o Bloquear.

Para detener una aplicacin o un servicio
En el campo Aplicaciones en ejecucin, haga clic con el botn secundario en

la aplicacin y, a continuacin, haga clic en Terminar.
Para confirmar, haga clic en S y despus haga clic en Cerrar.
Quitar restricciones para una aplicacin

Es posible quitar las restricciones de la aplicacin, tales como la hora en que el
firewall bloquea una aplicacin. Cuando se quitan las restricciones, la accin que
el cliente aplica sobre la aplicacin tambin se borra. Cuando la aplicacin o el
servicio intenta conectarse a la red de nuevo, es posible que se le pregunte de
nuevo si desea permitir o bloquear la aplicacin.
Es posible evitar que una aplicacin o un servicio se ejecute hasta que la aplicacin
intente acceder a su equipo de nuevo, por ejemplo, cuando se reinicia el equipo.
Ver "Configurar valores especficos de una aplicacin" en la pgina 140.
Para quitar las restricciones de una aplicacin
opciones de aplicacin.
En el cuadro de dilogo Ver opciones de aplicacin, realice una de las

Para quitar una aplicacin de la lista, seleccinela y despus haga clic en

Eliminar.

Para quitar todas las aplicaciones de la lista, haga clic en Eliminar todo.
Haga clic en S.
143
144

Seccin
Administracin del cliente de

Symantec Network Access
Control
Captulo 8. Uso del cliente de Symantec Network Access Control
146
Captulo
Uso del cliente de Symantec

Cmo funciona Symantec Network Access Control
Ejecutar una comprobacin de integridad del host
Acerca de la actualizacin de la poltica de integridad del host
Corregir el equipo
Ver los registros de Network Access Control
Cmo funciona el cliente con Enforcer
Configurar el cliente para la autenticacin 802.1x

El cliente de Symantec Network Access Control valida y aplica el cumplimiento
de polticas para los equipos que intentan conectarse a la red. Este proceso de
validacin y aplicacin comienza antes de que el equipo se conecte a la red y
contina durante toda la conexin. La poltica de integridad del host es la poltica
de seguridad que sirve como base para todas las evaluaciones y acciones.
Tabla 8-1 describe el proceso que el control de acceso a la red usa para aplicar el
cumplimiento de las polticas en el equipo cliente.
148
Uso del cliente de Symantec Network Access Control

Proceso para aplicar Network Access Control
Tabla 8-1
Paso
Accin
Descripcin
Paso 1
El cliente evala
continuamente el
cumplimiento.
Se activa el equipo cliente. El cliente realiza una

comprobacin de integridad del host que compara
la configuracin del equipo con la poltica de
integridad del host descargada del servidor de
administracin.
La comprobacin de integridad del host evala el
equipo para verificar el cumplimiento de la
poltica de integridad del host para el software
antivirus, los parches, las correcciones y otros
requisitos de seguridad. Por ejemplo, la poltica
puede comprobar la antigedad de las definiciones
de virus y los parches ms recientes aplicados al
sistema operativo.
Paso 2
Symantec Enforcer autentica

el equipo cliente y concede al
equipo acceso a la red o
bloquea y pone en
cuarentena los equipos que
no cumplen la poltica.
Si el equipo cumple todos los requisitos de la

poltica, aprueba la comprobacin de integridad
del host. Enforcer concede acceso de red completo
a los equipos que aprueban la comprobacin de
integridad del host.
Si el equipo no cumple los requisitos de la poltica,
no aprueba la comprobacin de integridad del
host. Cuando no se aprueba una comprobacin de
integridad del host, el cliente o Symantec Enforcer
bloquean o ponen en cuarentena el equipo hasta
que se lo corrija. Los equipos en cuarentena tienen
acceso limitado a la red o no tienen ningn acceso.
Ver "Cmo funciona el cliente con Enforcer"
en la pgina 151.
Paso 3
Su administrador puede
haber configurado la poltica
de modo que se apruebe la
comprobacin de integridad
del host incluso si falta un
requisito especfico.
El cliente puede visualizar una notificacin cada

vez que se aprueba la comprobacin de integridad
del host.
Ver "Respuesta a las notificaciones de Network
Access Control" en la pgina 25.

Paso
Accin
Descripcin
Paso 4
El cliente corrige los equipos Si el cliente encuentra que no se cumple un

que no cumplen con la
requisito de la poltica de integridad del host,
poltica.
instala o solicita al cliente que instale el software
necesario. Despus de corregir el equipo, intenta
acceder a la red de nuevo. Si el equipo cumple
totalmente con la poltica, se concede al equipo
el acceso a la red.
Ver "Corregir el equipo" en la pgina 150.
Paso 5
El cliente supervisa de forma El cliente supervisa activamente el estado de

dinmica el cumplimiento.
cumplimiento de todos los equipos cliente. Si en
cualquier momento cambia el estado de
cumplimiento del equipo, tambin lo hacen los
privilegios de acceso a la red red del equipo.
Es posible ver ms informacin sobre los resultados de la comprobacin de

integridad del host en el Registro de seguridad.

Su administrador configura la frecuencia que el cliente utiliza para ejecutar una
comprobacin de integridad del host. Es posible que necesite ejecutar una
comprobacin de integridad del host inmediatamente, en lugar de esperar la
comprobacin siguiente. Por ejemplo, una comprobacin de integridad del host
puede detectar que es necesario actualizar la aplicacin antivirus del equipo. El
cliente puede permitir que usted elija si descargar el software necesario de
inmediato o posponer la descarga. Si descarga el software de inmediato, es
necesario ejecutar la comprobacin de integridad del host nuevamente para
verificar que tiene el software correcto. Puede esperar hasta la prxima
comprobacin de integridad del host programada o ejecutar la comprobacin
inmediatamente.
Para ejecutar una comprobacin de integridad del host
Junto a Network Access Control, haga clic en Opciones > Comprobar ahora.
Si aparece un mensaje que confirma que se ejecut la comprobacin de

integridad del host, haga clic en Aceptar.
Si se haba bloqueado el acceso a la red, es necesario recuperar el acceso a
ella cuando su equipo se haya actualizado para cumplir con la poltica de
seguridad.
149
150

Acerca de la actualizacin de la poltica de integridad del host
Acerca de la actualizacin de la poltica de integridad

del host
El cliente actualiza la poltica de integridad del host en intervalos regulares. Su
administrador puede solicitarle que actualice la poltica de integridad del host
antes de la prxima actualizacin programada con fines de prueba. Si no, no es
necesario actualizar la poltica.
Corregir el equipo
Si el cliente encuentra que no se cumple un requisito de la poltica de integridad
del host, responde en una de las maneras siguientes:
El cliente descarga la actualizacin de software automticamente.
El cliente le solicita que descargue la actualizacin de software necesaria.
Para corregir el equipo
En el cuadro de dilogo de Symantec Endpoint Protection que aparece, realice

una de las siguientes acciones:
Para ver qu requisitos de seguridad no se cumplen en su equipo, haga

clic en Detalles.
Para instalar inmediatamente el software, haga clic en Restaurar ahora.

La opcin para cancelar la instalacin despus de que se haya iniciado
puede aparecer o no.
Para posponer la instalacin de software, haga clic en Recordrmelo ms

tarde y seleccione un intervalo de tiempo en la lista desplegable.
El administrador puede configurar el nmero mximo de veces que es
posible posponer la instalacin.
Ver los registros de Network Access Control

El cliente de Symantec Network Access Control usa los siguientes registros para
supervisar diferentes aspectos del funcionamiento y de la comprobacin de
integridad del host:
Seguridad
Registra los resultados y el estado de las comprobaciones de integridad

del host.

Sistema
Registra todos los cambios operacionales del cliente, tales como la

conexin al servidor de administracin y las actualizaciones a la
poltica de seguridad del cliente.
Si se utiliza un cliente administrado, ambos registros se pueden cargar

regularmente al servidor. El administrador puede utilizar el contenido de los
registros para analizar el estado de seguridad general de la red.
Es posible exportar los datos desde estos registros.
Para ver los registros de Symantec Network Access Control
Para ver el Registro del sistema, al lado de Network Access Control, haga clic
en Opciones > Ver registros.
Para ver el Registro de seguridad, en el cuadro de dilogo Registros de

Administracin de clientes - Registro del sistema, haga clic en Ver > Registro
de seguridad.
Haga clic en Archivo > Cerrar.

Ver "Acerca de los registros" en la pgina 159.

El cliente interacta con Symantec Enforcer. Enforcer se asegura de que todos los
equipos que se conectan a la red que protege cuenten con el software de cliente
y tengan una poltica de seguridad correcta.
Enforcer debe autenticar el usuario o el equipo cliente antes de permitir que el
equipo cliente acceda a la red. Symantec Network Access Control utiliza varios
tipos de mdulos de Enforcer para autenticar el equipo cliente. Symantec Enforcer
es el dispositivo de hardware de red que verifica los resultados de la integridad
del host y la identidad del equipo cliente antes de permitirle el acceso a la red.
Enforcer comprueba la siguiente informacin antes de permitir el acceso de un
cliente a la red:
La versin del software del cliente que el equipo ejecuta.
El cliente tiene un identificador nico (UID).
El cliente fue actualizado con la poltica de integridad del host ms reciente.
El equipo cliente aprob la comprobacin de integridad del host.
151
152


Si la red corporativa utiliza LAN Enforcer para la autenticacin, el equipo cliente
se debe configurar para realizar la autenticacin 802.1x. Usted o el administrador
pueden configurar el cliente. Su administrador puede o no haberle otorgado
permisos para configurar la autenticacin 802.1x.
El proceso de autenticacin 802.1x incluye los pasos siguientes:
Un cliente no autenticado o un suplicante de otro fabricante enva la

informacin del usuario y del cumplimiento a un conmutador de red 802.1x
administrado.
El conmutador de red retransmite la informacin a LAN Enforcer. LAN Enforcer

enva la informacin del usuario al servidor de autenticacin para su
autenticacin. El servidor RADIUS es el servidor de autenticacin.
Si el cliente no aprueba la autenticacin de nivel de usuario o no cumple con

la poltica de integridad del host, Enforcer puede bloquearle el acceso a la red.
Enforcer coloca los equipos cliente que no cumplen en una red de cuarentena
donde el equipo puede ser corregido.
Una vez que el cliente repara el equipo y alcanza el cumplimiento, el protocolo

802.1x vuelve a autenticar el equipo y le concede acceso a la red.
Para funcionar con LAN Enforcer, el cliente puede utilizar un suplicante de otro
fabricante o un suplicante integrado.
Tabla 8-2 describe los tipos de opciones que es posible configurar para la
autenticacin 802.1x.
Tabla 8-2
Opciones de la autenticacin 802.1x
Opcin
Descripcin
Suplicante de otro
fabricante
Utiliza un suplicante de 802.1x de otro fabricante.

LAN Enforcer funciona con un servidor RADIUS y suplicantes
de 802.1x de otro fabricante para realizar la autenticacin de
usuarios. El suplicante 802.1x solicita informacin del usuario,
que LAN Enforcer transmite al servidor RADIUS para la
autenticacin de nivel de usuario. El cliente enva el perfil
del cliente y el estado de integridad del host a Enforcer a fin
de que Enforcer autentique el equipo.
Nota: Si desea utilizar el cliente de Symantec Network Access

Control con un suplicante de otro fabricante, el mdulo
Proteccin contra amenazas de red del cliente de Symantec
Endpoint Protection debe estar instalado.

Opcin
Descripcin
Modo transparente
Utiliza el cliente para ejecutarse como suplicante de 802.1x.

Se utiliza este mtodo si el administrador no desea utilizar
un servidor RADIUS para realizar la autenticacin de
usuarios. LAN Enforcer se ejecuta en modo transparente y
acta como servidor RADIUS falso.
El modo transparente implica que el suplicante solicite
informacin del usuario. En el modo transparente, el cliente
acta como suplicante de 802.1x. El cliente responde a la
solicitud de EAP del conmutador con el perfil del cliente y el
estado de integridad del host. El conmutador, en su momento,
transmite la informacin a LAN Enforcer, que acta como
servidor RADIUS falso. LAN Enforcer valida la informacin
de integridad del host y del perfil del cliente provista por el
conmutador y puede permitir, bloquear o asignar
dinmicamente una VLAN, segn sea necesario.
Nota: Para utilizar un cliente como suplicante de 802.1x, es

necesario desinstalar o deshabilitar los suplicantes de 802.1x
de otros fabricantes en el equipo cliente.
Suplicante integrado
Utiliza el suplicante de 802.1x integrado del equipo cliente.

Los protocolos de autenticacin integrados incluyen Smart
Card, PEAP o TLS. Despus de habilitar la autenticacin
802.1x, es necesario especificar qu protocolo de
autenticacin se utilizar.
Advertencia: Pngase en contacto con su administrador antes de configurar su

cliente para la autenticacin 802.1x. Es necesario saber si su red corporativa utiliza
el servidor RADIUS como servidor de autenticacin. Si configura la autenticacin
802.1x incorrectamente, es posible que se corte su conexin a la red.
Para configurar el cliente para utilizar un suplicante de otro fabricante
Al lado de Control de acceso a la red, haga clic en Opciones > Configuracin

802.1x.
153
154

En el cuadro de dilogo Configuracin de Network Access Control, haga clic

en Habilitar la autenticacin 802.1x.

Es necesario tambin configurar una norma de firewall que permita
controladores de suplicante de 802.1x de otro fabricante en la red.
Es posible configurar el cliente para que utilice el suplicante integrado. Se
habilita el cliente para la autenticacin 802.1x y como suplicante de 802.1x.
Para configurar el cliente para utilizar el modo transparente o un suplicante

integrado
Al lado de Control de acceso a la red, haga clic en Opciones > Configuracin

802.1x.
En el cuadro de dilogo Configuracin de Network Access Control, haga clic

en Habilitar la autenticacin 802.1x.
Haga clic en Usar el cliente como suplicante de 802.1x.
Para seleccionar el modo transparente, seleccione Usarmodotransparente

de Symantec.
Para configurar un suplicante integrado, haga clic en Permitir elegir el

protocolo de autenticacin.
A continuacin, debe elegir el protocolo de autenticacin para su conexin
de red.
Para elegir un protocolo de autenticacin
En el equipo cliente, haga clic en Inicio > Configuracin > Conexiones de red
y despus haga clic en Conexin de rea local.
En el cuadro de dilogo Estado de Conexin de rea local, haga clic en

Propiedades.
En el cuadro de dilogo Propiedades de conexin de rea local, haga clic en

la ficha Autenticacin.
En la ficha Autenticacin, haga clic en la lista desplegable Tipo de EAP y

seleccione uno de los protocolos de autenticacin siguientes:
Smart Card u otro certificado

EAP protegido (PEAP)
Modo transparente de Symantec
Asegrese de que la casilla de verificacin Habilitar el control de acceso a la

red mediante IEEE 802.1x est seleccionada.
Haga clic en Cerrar.
Reautenticar el equipo
Si su equipo aprob la comprobacin de integridad del host, pero Enforcer lo
bloquea, puede ser necesario reautenticar el equipo. Bajo circunstancias normales,
nunca debera ser necesario reautenticar el equipo.
Enforcer puede bloquear el equipo cuando ocurre uno de los siguientes eventos:
El equipo cliente no aprob la autenticacin de usuario porque se escribi el

nombre de usuario o la contrasea incorrectamente.
El equipo cliente est en la VLAN incorrecta.
El equipo cliente no obtiene una conexin de red. Los problemas de conexin

de red suceden generalmente porque el conmutador entre el equipo cliente y
LAN Enforcer no autentic el nombre de usuario y la contrasea.
Es necesario iniciar sesin en un equipo cliente que haya autenticado un usuario

anterior.
El equipo cliente no aprob la comprobacin de cumplimiento.
Es posible reautenticar el equipo solamente si usted o su administrador

configuraron el equipo con un suplicante integrado.
Nota: Su administrador puede no haber configurado el cliente para mostrar el
comando Reautenticacin.
Para reautenticar el equipo
Haga clic con el botn secundario en el icono del rea de notificacin.
Haga clic en Reautenticacin.
En el cuadro de dilogo Reautenticar, escriba su nombre de usuario y

contrasea.
155
156

Seccin
Supervisin y registro
Captulo 9. Uso y administracin de registros
158
Captulo
Uso y administracin de
registros
Acerca de los registros
Visualizacin de los registros
Administrar el tamao del registro
Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro

de amenazas
Usar los registros de Proteccin contra amenazas de red y de Administracin

de clientes
Exportar datos de registro

Los registros contienen informacin sobre los cambios de configuracin del cliente,
las actividades relacionadas con la seguridad y los errores. Estos registros se
llaman eventos. Los registros muestran estos eventos con cualquier informacin
adicional relevante.
Las actividades relacionadas con la seguridad incluyen informacin sobre las
detecciones de virus, el estado del equipo y el trfico que entra o sale de su equipo.
Si utiliza un cliente administrado, los registros se pueden cargar regularmente
en el servidor de administracin. Un administrador puede utilizar sus datos para
analizar el estado general de la seguridad de la red.
Los registros son un mtodo importante para conocer la actividad del equipo y su
interaccin con otros equipos y redes. Es posible utilizar la informacin de los
160
Uso y administracin de registros

registros para realizar seguimientos de las tendencias relacionadas con los virus,
los riesgos de seguridad y los ataques al equipo. Si varias personas utilizan el
mismo equipo, es posible que pueda identificar quin introduce riesgos, y ayudar
a esa persona a tomar mayores precauciones.
Para obtener ms informacin sobre un registro, es posible presionar F1 y ver la
ayuda para ese registro.
Tabla 9-1 describe los tipos de evento que cada registro muestra.
Tabla 9-1
Registros de clientes
Registro
Descripcin
Registro de anlisis
Contiene entradas sobre los anlisis que se han ejecutado en su

equipo a lo largo del tiempo.
Registro de riesgos
Contiene entradas sobre virus y riesgos de seguridad, como

publicidad no deseada y software espa, que han infectado su
equipo. Riesgos de seguridad incluyen un vnculo a la pgina web
de Symantec Security Response, que proporciona informacin
adicional.
Registro del sistema de Contiene informacin sobre las actividades del sistema en su
Proteccin antivirus y equipo que estn relacionadas con los virus y los riesgos de
contra software espa seguridad. Esta informacin incluye cambios de configuracin,
errores e informacin de archivos de definiciones.
Registro de amenazas Contiene informacin sobre las amenazas que el Anlisis de
amenazas proactivo TruScan ha detectado en su equipo. Estas
incluyen las aplicaciones comerciales que se pueden utilizar con
propsitos maliciosos. Algunos ejemplos son los caballos de Troya,
gusanos, registradores de pulsaciones o los gusanos de correo
masivo y las amenazas basadas en scripts.
Registro del sistema de Contiene informacin sobre las actividades del sistema en su
Proteccin proactiva equipo que estn relacionadas con los anlisis proactivos de
contra amenazas
amenazas de TruScan.

Registro
Descripcin
Registro de trfico
Contiene los eventos que se refieren al trfico de firewall y los

ataques de prevencin de intrusiones. El registro contiene
informacin sobre las conexiones del equipo a travs de la red.
Los registros de la Proteccin contra amenazas de red pueden
ayudarlo a detectar actividad potencialmente peligrosa, como
anlisis de puertos. Pueden tambin ser utilizados para rastrear
el origen del trfico. Es posible tambin utilizar los registros de
la proteccin de red para ayudar a solucionar problemas de
conectividad o posibles ataques de red. Los registros pueden
indicar cundo el equipo fue bloqueado de la red y ayudarlo a
determinar por qu se ha bloqueado su acceso.
Registro de paquetes
Contiene la informacin sobre los paquetes de datos que entran

o salen por medio de los puertos en su equipo.
De forma predeterminada, se deshabilita el Registro de paquetes.
En un cliente administrado, no se puede habilitar el Registro de
paquetes. En un cliente no administrado, se puede habilitar el
Registro de paquetes.
Registro de control
El Registro de control contiene informacin sobre las claves de

registro, los archivos y las DLL a los que accede una aplicacin,
adems de las aplicaciones que el equipo ejecuta.
Registro de seguridad
Contiene informacin sobre las actividades que se dirigieron a su

equipo que pueden potencialmente plantear una amenaza. Algunos
ejemplos son las actividades como los ataques de negacin de
servicio, los anlisis de puertos y las alteraciones de archivos
ejecutables.
Registro del sistema de Contiene informacin sobre todos los cambios operativos que han
Administracin de
ocurrido en su equipo. Los ejemplos incluyen actividades como
clientes
cuando un servicio se inicia o se detiene, el equipo detecta
aplicaciones de red, cuando se configura el software o el estado
de un cliente que acta como proveedor de actualizaciones de
grupo (GUP).
Registro de proteccin Contiene entradas sobre los intentos de intervenir las aplicaciones
contra intervenciones de Symantec en su equipo. Estas entradas contienen informacin
sobre los intentos que la Proteccin contra intervenciones haya
detectado o haya detectado y frustrado.
Registros de
depuracin
Contiene informacin sobre el cliente, los anlisis y el firewall

para solucionar problemas. Su administrador puede pedirle que
se habilite o que configure los registros y que luego los exporte.
161
162


Es posible ver los registros de su equipo para conocer los detalles de los eventos
que han ocurrido.
Advertencia: Si algunas partes de la interfaz de usuario del cliente no aparecen,
por ejemplo, Proteccin contra amenazas de red y Network Access Control, no es
posible ver el Registro de seguridad, el Registro del sistema ni el Registro de
control.
Para ver un registro
En el cliente, haga clic en Ayuda > Solucin de problemas.
En el cuadro de dilogo Solucin de problemas, haga clic en Registros.
En el panel Registros, haga clic en el nombre del registro y haga clic en Ver
registro.
Filtrar las vistas del registro

Es posible filtrar la vista de algunos registros de maneras diferentes. Es posible
filtrar los eventos de los registros de Proteccin contra amenazas de red y de
Administracin de clientes segn el perodo durante el cual ocurrieron. Es posible
filtrar los eventos de algunos de los registros de Proteccin contra amenazas de
red segn su nivel de gravedad. Es posible filtrar los eventos del Registro del
sistema de Proteccin antivirus y contra software espa y del Registro del sistema
de Proteccin proactiva contra amenazas segn el tipo de evento.
Filtrar entradas por perodo

Es posible filtrar algunos registros segn el perodo durante el cual ocurrieron
los eventos.
Para filtrar entradas de registro por perodo
A la derecha de Proteccin contra amenazas de red o de Administracin de

clientes, haga clic en Ver registros.
Haga clic en el nombre del registro que desea ver.
En la ventana de vista del registro, haga clic en Filtrar y despus seleccione

el perodo para el cual desea ver los eventos del registro.
Por ejemplo, si selecciona Registros de 2 semanas, el visor de registros muestra
los eventos registrados durante los ltimos 14 das.

Filtrar entradas por nivel de gravedad

Es posible filtrar la informacin del Registro de seguridad o del Registro del sistema
de Proteccin contra amenazas de red y de Administracin de clientes segn el
nivel de gravedad. De forma predeterminada, aparecen eventos de todos los niveles
de gravedad.
Para filtrar entradas de registro por nivel de gravedad

Haga clic en el nombre del registro que desea ver.
En la ventana de visualizacin del registro, haga clic en Filtrar y despus

haga clic en Gravedad.
Deje sin marcar una de las siguientes opciones:
Crtico (Registro de seguridad solamente)
Importante (Registro de seguridad solamente)
Menor (Registro de seguridad solamente)
Error (Registro del sistema solamente)
Advertencia (Registro del sistema solamente)
Informacin
Al dejar sin marcar un elemento, se eliminan los eventos de ese nivel de

gravedad de la vista.
Es posible hacer clic en Gravedad y seleccionar otro nivel para eliminar

niveles adicionales de gravedad de la vista.
Filtrar los Registros del sistema por categora del evento

En el Registro del sistema de Proteccin antivirus y contra software espa y en el
Registro del sistema de Proteccin proactiva contra amenazas, se categorizan los
siguientes eventos:
Cambio de configuracin
Inicio o cierre de Symantec Endpoint Protection
Archivo de definiciones de virus
Omisiones de anlisis
Enviar al servidor de cuarentena
163
164

Enviar a Symantec Security Response
Carga o descarga de Auto-Protect
Administracin y uso mvil de clientes
Envo de registros
Advertencias de comunicacin no autorizada (acceso denegado)
Administracin de certificados e inicio de sesin
Cumplimiento del cliente
Error de carga del motor de TruScan
Error de carga de aplicaciones conocidas de TruScan
Sistema operativo de TruScan no compatible
El nmero de eventos que aparece en los dos Registros del sistema se puede reducir
mediante la visualizacin de determinados tipos de evento nicamente. Por
ejemplo, si desea ver solamente los eventos que se relacionan con Auto-Protect,
podra seleccionar solamente el tipo de carga o descarga de Auto-Protect. Si
selecciona un tipo, no se detiene la grabacin de eventos en las otras categoras.
Slo se ocultan las otras categoras cuando se visualiza el Registro del sistema.
Nota: Solamente los eventos relevantes estn disponibles para la exclusin de la
vista.
Para filtrar los Registros del sistema por categora del evento
Al lado de Proteccin antivirus y contra software espa o Proteccin proactiva

contra amenazas, haga clic en Ver registros.
Haga clic en Registro del sistema.
Haga clic en Filtrar.
Marque o deje sin marcar una o ms categoras de eventos.

Es posible configurar durante cuanto tiempo se conservan las entradas en los
registros. Borrar las entradas ms antiguas ayuda a evitar que los registros usen
demasiado espacio en el disco. Para los registros de Proteccin contra amenazas

de red y los registros de Administracin de clientes, es posible tambin configurar

la cantidad de espacio utilizada.
Configurar el tiempo de retencin para las entradas de registro de

Para configurar el tiempo de retencin para las entradas de registro de Proteccin
antivirus y contra software espa

software espa, haga clic en Opciones y, a continuacin, en Cambiar
configuracin.
En la ficha General, configure el valor numrico y la unidad de tiempo para

conservar las entradas en estos registros. Las entradas ms antiguas que el
valor asignado se borran.
Configurar el tamao de los registros de Proteccin contra amenazas

de red y de Administracin de clientes
Es posible configurar el tamao de cada registro de Proteccin contra amenazas
de red y Administracin de clientes.
Para modificar el tamao de los registros
En el cliente, en la pgina Estado, a la derecha de Proteccin contra amenazas

de red, haga clic en Opciones y despus haga clic en Cambiar configuracin.

en la ficha Registros, en el campo de texto Tamao mximo del archivo de
registro, escriba el nmero mximo de kilobytes para el tamao del archivo
de registro.
Es necesario mantener reducido el tamao del archivo de registro debido al
espacio disponible en el equipo. El tamao predeterminado para todos los
registros es de 512 KB, a excepcin del registro de control y el registro de
paquetes. El tamao predeterminado para el registro de control y el registro
de paquetes es de KB 1024.
165
166

Configurar el tiempo de retencin para las entradas de registro de

Proteccin contra amenazas de red y Administracin de clientes
Es posible especificar cuntos das se guardarn las entradas en cada registro.
Despus de que se alcanza el nmero mximo de das, las entradas ms antiguas
se sustituyen. Sera aconsejable eliminar entradas para ahorrar espacio o conservar
entradas para revisar la seguridad de su equipo.
Para configurar el nmero de das para conservar entradas de registro


en la ficha Registros, en el campo de texto Guardar cada entrada de registro
para, escriba el nmero mximo de das para guardar las entradas de registro.
Acerca del borrado de contenido del Registro del sistema de Proteccin

antivirus y contra software espa
No es posible quitar permanentemente registros de eventos del Registro del sistema
mediante la interfaz de usuario.
Borrar el contenido de los registros de Proteccin contra amenazas

de red y de Administracin de clientes
Si su administrador lo permite, es posible borrar el contenido de los registros de
Proteccin contra amenazas de red y de Administracin de clientes. Despus de
borrar un registro, ste comienza inmediatamente a guardar entradas de nuevo.
Nota: Si la opcin de borrado no est disponible, no tendr permisos para borrar
contenido del registro.
Si tiene permiso para hacerlo, tambin es posible borrar el contenido de un registro
desde el men Archivo del registro.
Para borrar el contenido de un registro

En el cuadro de dilogo Configurar la proteccin contra amenazas de red, en

la ficha de Registros, al lado del registro que desee, haga clic en Borrar
registro.

Poner en cuarentena riesgos y amenazas del Registro de riesgos y del Registro de amenazas
Cuando se le solicite confirmacin, haga clic en S.
Poner en cuarentena riesgos y amenazas del Registro

de riesgos y del Registro de amenazas
Es posible poner en cuarentena las amenazas que se han registrado en el historial
de amenazas de Proteccin proactiva contra amenazas. Es posible poner en
cuarentena riesgos del Registro de riesgos de Proteccin antivirus y contra software
espa. Es posible tambin limpiar y borrar riesgos del Registro de riesgos de
Proteccin antivirus y contra software espa.
Para poner en cuarentena un riesgo o una amenaza

contra amenazas, haga clic en Ver registros y despus haga clic en el nombre
del registro que desee.
Seleccione un riesgo o una amenaza y despus haga clic en Cuarentena.

De acuerdo con la accin preseleccionada para una deteccin de riesgo,
Symantec Endpoint Protection podr o no podr realizar la accin que usted
seleccione. Si la amenaza o el riesgo fueron puestos correctamente en
cuarentena, se mostrar un mensaje de resultado correcto. No es necesario
tomar ms medidas para mantener el equipo a salvo de este riesgo o amenaza.
Es posible dejar los archivos con riesgos que se colocaron en el rea de
cuarentena all o suprimirlos. Se aconseja conservarlos en el rea de
cuarentena hasta que est seguro de que las aplicaciones del equipo no han
perdido funcionalidad.
Ver "Acerca de los archivos infectados en la cuarentena" en la pgina 98.
En los casos en queSymantec Endpoint Protection no puede poner el riesgo
o la amenaza en cuarentena, se muestra un mensaje de error. En estos casos,
puede ponerse en contacto con su administrador.
Es posible tambin limpiar y borrar riesgos y amenazas, adems de deshacer
acciones de estos registros, cuando sea pertinente.
167
168

Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes
Usar los registros de Proteccin contra amenazas de

red y de Administracin de clientes
Los registros de Proteccin contra amenazas de red y de Administracin de
clientes permiten realizar un seguimiento de la actividad de su equipo y su
interaccin con otros equipos y redes. Estos registros almacenan informacin
sobre el trfico que intenta entrar en su equipo o salir de l mediante su conexin
de red. Estos registros tambin contienen informacin sobre los resultados de las
polticas de firewall que se aplican al cliente.
Es posible administrar los registros de clientes de Proteccin contra amenazas
de red y de Administracin de clientes desde una ubicacin central. Los registros
de Seguridad, Trfico y Paquete permiten rastrear el origen de ciertos datos. Se
los localiza usando ICMP para determinar todos los saltos entre su equipo y un
intruso en otro equipo.
Nota: Algunas opciones para estos registros pueden no estar disponibles, segn
el tipo de control que su administrador haya configurado para su cliente.
Actualizar los registros de Proteccin contra amenazas de red y de

Administracin de clientes
Para actualizar un registro

clientes, haga clic en Ver registros y despus haga clic en el nombre del
registro que desee.
En el men Ver, haga clic en Actualizar.
Habilitar el Registro de paquetes

Todos los registros de Proteccin contra amenazas de red y de Administracin de
clientes estn habilitados de forma predeterminada, a excepcin del Registro de
paquetes. Si su administrador lo permite, podr habilitar e inhabilitar el Registro
de paquetes.

Usar los registros de Proteccin contra amenazas de red y de Administracin de clientes
Para habilitar el Registro de paquetes


haga clic en Registros.
Marque Habilitar el registro de paquetes.
Detener una respuesta activa

Cualquier intrusin que se detecte en el cliente desencadena una respuesta activa.
Esta respuesta activa bloquea automticamente la direccin IP de un intruso
conocido durante una cantidad de tiempo especfica. Si su administrador lo permite,
puede detener la respuesta activa inmediatamente desde el Registro de seguridad.
Localizar el origen de los eventos registrados

Es posible rastrear algunos eventos para identificar el origen de datos de un evento
registrado. Como un detective que sigue el camino de un criminal en la escena del
crimen, un seguimiento regresivo muestra los pasos exactos, o los saltos, realizados
por el trfico entrante. Un salto es un punto de transicin, tal como un router,
por el que viaja un paquete al ir de un equipo a otro en Internet. Un seguimiento
regresivo desanda la ruta de un paquete de datos, detectando los routers que
utilizaron los datos para alcanzar su equipo.
Para algunas entradas de registro, es posible localizar un paquete de datos que
fue utilizado en un intento de ataque. Cada router por el que pasa un paquete de
datos tiene una direccin IP. Es posible ver la direccin IP y otros detalles. La
informacin que se visualiza no garantiza que se haya detectado quin es el hacker.
La direccin IP del salto final menciona al propietario del router mediante el cual
se conectaron los hackers, pero no necesariamente a los hackers mismos.
Es posible realizar un seguimiento regresivo de algunos eventos registrados en
el Registro de seguridad y el Registro de trfico.
Para realizar un seguimiento regresivo de un evento registrado

clientes, haga clic en Ver registros. A continuacin, haga clic en el registro
que contiene la entrada que desea localizar.
169
170

En la ventana de visualizacin del registro, seleccione la fila de la entrada

que usted desea localizar.
Haga clic en Accin y despus haga clic en Realizar seguimiento regresivo.
En el cuadro de dilogo Informacin de seguimiento regresivo, haga clic en

Quin es >> para ver informacin detallada sobre cada salto.
Se muestra un panel desplegable con informacin detallada sobre el
propietario de la direccin IP en la cual se origin el evento de trfico. Es
posible utilizar Ctrl+C y Ctrl+V para cortar y pegar la informacin del panel
en un mensaje de correo electrnico para su administrador.
Haga clic en Quin es << de nuevo para ocultar la informacin.
Cuando haya terminado, haga clic en Aceptar.
Usar los registros de Administracin de clientes con Symantec Network

Access Control
Si Symantec Network Access Control est instalado, es posible realizar las tareas
siguientes desde el men Accin del Registro de seguridad y el Registro del sistema:
Actualizar una poltica

Comprobar la integridad del host

Ver "Ejecutar una comprobacin de integridad del host" en la pgina 149.

Es posible exportar la informacin de algunos registros a un archivo de valores
separados por comas (.csv) o a un formato de base de datos de Access (*.mdb). El
formato csv es un formato de archivo comn que la mayora de los programas de
hoja de clculo y de base de datos utilizan para importar datos. Despus de importar
los datos en otro programa, es posible utilizarlos para crear presentaciones,
grficos o combinarlos con otra informacin. Es posible exportar la informacin
de los registros de Proteccin contra amenazas de red y de Administracin de
clientes a archivos de texto delimitado por tabulaciones.
Nota: Si ejecuta el software de cliente en Windows Server 2008 Server Core, no
es posible exportar datos de registro a un archivo .mdb. El formato .mdb necesita
aplicaciones de Microsoft que no estn disponibles en Server Core.
Es posible exportar los registros siguientes a un archivo .csv o .mdb:

Registro del sistema de Proteccin antivirus y contra software espa
Registro de riesgos de Proteccin antivirus y contra software espa
Registro de anlisis antivirus y de software espa
Registro del sistema de Proteccin proactiva contra amenazas
Registro de amenazas de Proteccin proactiva contra amenazas
Registro de proteccin contra intervenciones
Nota: Si filtra los datos del registro de cualquier manera y despus los exporta, se
exportan solamente los datos filtrados actualmente. Esta restriccin no se aplica
a los registros que se exportan a un archivo de texto delimitado por tabulaciones.
Todos los datos de esos registros se exportan.
Ver "Filtrar las vistas del registro" en la pgina 162.
Es posible exportar los registros siguientes a un archivo .txt delimitado por
tabulaciones:
Registro de control de Administracin de clientes
Registro de paquetes de Proteccin contra amenazas de red
Registro de seguridad de Administracin de clientes
Registro del sistema de Administracin de clientes
Registro de trfico de Proteccin contra amenazas de red
Nota: Adems de un archivo de texto delimitado por tabulaciones, es posible

tambin exportar los datos del Registro de paquetes en formato de supervisor de
red o formato de NetXray.
En la instalacin Server Core de Windows Server 2008, los cuadros de dilogo de
la interfaz de usuario pueden diferir de los que se describen en estos
procedimientos.
Para exportar datos a un archivo .csv

contra amenazas, haga clic en Ver registros.
Haga clic en el nombre del registro que desee.
En la ventana del registro, asegrese de que los datos que desee guardar
aparezcan y despus haga clic en Exportar.
171
172

En la lista desplegable Guardar en, vaya al directorio donde desee guardar el

archivo.
En el cuadro de texto Nombre de archivo, escriba un nombre para el archivo.
Haga clic en Guardar.
Para exportar datos de registros de Proteccin contra amenazas de red o de

Administracin de clientes a un archivo de texto

Haga clic en el nombre del registro del cual desea exportar datos.
Haga clic en Archivo y despus haga clic en Exportar.

Si seleccion el Registro de paquetes, puede hacer clic en Exportar al formato
de supervisor de red o Exportar al formato de NetXray.
En la lista desplegable Guardar en, vaya al directorio donde desee guardar el

archivo.
En el cuadro de texto Nombre de archivo, escriba un nombre para el archivo.
Haga clic en Guardar.
Haga clic en Archivo > Salir.
ndice
A
Acciones
asignacin de segundas acciones para virus 91
acciones
consejos para asignar segundas acciones para
riesgos de seguridad 92
Actualizar
definiciones 3840
Adaptadores
definicin 126
Anlisis. Ver Antivirus y contra software espa
anlisis de archivos por extensin 65
cmo funcionan 77
componentes que analizan 77
ejecucin 59
excluir archivos y carpetas 96
exclusin de los anlisis de amenazas proactivos
TruScan 115
interrupcin 60
manual y de inicio 83
programados 80
retraso 60
anlisis
archivos 64
archivos comprimidos 79
interpretacin de resultados 84
opciones de posposicin 60
todos los tipos de archivo 66
Anlisis activos
ejecucin 81
Anlisis al iniciar
analizar por extensin 65
anlisis al iniciar
edicin y eliminacin 84
Anlisis completos
ejecucin 81
anlisis de amenazas proactivo. Ver Anlisis de
amenazas proactivos TruScan
Anlisis de amenazas proactivos TruScan
acerca de 106
administracin 110
detecciones 108
envo de informacin 114
excepciones para 115
frecuencia 109
notificaciones 114
registros 160
anlisis de amenazas proactivos TruScan
acciones 112
acerca de 105
aplicaciones comerciales 111
falsos positivos 109
nivel de sensibilidad 112
tipos de procesos que se detectan 113
anlisis de inicio
creacin 83
Anlisis de puertos
puerto 122
Anlisis de red
opciones de Auto-Protect 75
Anlisis de riesgos de seguridad
deshabilitar en Auto-Protect 73
anlisis definidos por el usuario
Anlisis del correo electrnico. Ver Auto-Protect
Anlisis manuales
ejecucin 59
anlisis manuales
creacin 83
Anlisis personalizados
ejecucin 81
Anlisis programados
creacin 80
varios 80
anlisis programados
Aplicacin
acerca de 151
Aplicaciones
definicin 126
exclusin de anlisis 67, 96
174
ndice
permitir o bloquear 129, 140

Archivo de definiciones 28, 79
archivo infectado
actuacin 20
Archivos
archivos
anlisis 64
copia de seguridad 101
envo a Symantec Security Response 103
liberacin de archivos desde la cuarentena 101
nuevo anlisis automtico de los archivos en
cuarentena 100
nuevo anlisis manual de los archivos en
cuarentena 101
ubicacin de reparados 101
uso compartido 134
Ataques
firmas 122
red 122
Autenticacin 802.1x
acerca de 152
configuracin 153
Auto-Protect
clientes de correo electrnico para trabajo en
grupo 70
conexiones cifradas de correo electrnico 71
confiar en versiones remotas 75
configuracin del anlisis de red 75
deshabilitar el anlisis de riesgos de
seguridad 73
determinacin de tipos de archivo 73
habilitar o deshabilitar 34, 36
memoria cach de red 76
para clientes de Microsoft Exchange 70
para correo electrnico de Internet 70
para Lotus Notes 70
riesgos de seguridad 69
utilizacin 69
ver la lista de riesgos 72
visualizacin de las estadsticas de anlisis 72
Auto-Protect para el sistema de archivos
habilitar o deshabilitar 36
B
Bloquear trfico 140
normas de firewall 129
bloquear trfico 136
bloquear un equipo atacante 139
C
Caballos de Troya
acerca de 54
carpeta Elementos de copia de seguridad
limpieza 101
Clasificacin de impacto del riesgo 92
Cliente
acerca de 15
apertura 46
deshabilitacin 46
interaccin 19
Clientes
administrados centralmente frente a
autoadministrados 29
deshabilitar la proteccin 33
Clientes administrados. Ver Clientes administrados
centralmente
actualizacin 29
Clientes administrados centralmente
frente a independientes 29
Clientes autoadministrados
acerca de 29
frente a administrados centralmente 29
Clientes independientes. Ver Clientes
autoadministrados
Clientes no administrados. Ver Clientes
autoadministrados
clientes no administrados
actualizacin 29
Comandos
icono del rea de notificacin 46
compartir archivos e impresoras 134
comprobacin de integridad del host
ejecucin 149
conexiones UDP
acerca de 127
Configuracin
firewall 123
Control de acceso a la red
acerca de 17, 147
aplicacin 151
control de acceso a la red
corregir el equipo 150
Correo electrnico
conexiones cifradas 71
ndice
correo electrnico
exclusin del archivo de bandeja de entrada de
los anlisis 64
liberacin de archivos adjuntos desde la
cuarentena 101
Cuarentena 97
administracin 99
borrar archivos 102
cuarentena
borrar archivos 99
eliminacin de archivos de copia de
seguridad 101
envo de archivos a Symantec Security
Response 103
liberacin de archivos 101
nuevo anlisis automtico de archivos 100
nuevo anlisis manual de archivos 101
supresin manual de archivos 102
traslado de archivos 98
tratamiento de archivos infectados 98
tratamiento de archivos infectados por riesgos
de seguridad 99
ver archivos infectados 98
visualizacin de detalles de archivo 100
D
Definicin
anlisis 122
Definiciones
actualizar 3840
definiciones
acerca de 78
Definiciones de virus
acerca de 78
actualizar 3840
desbloquear un equipo atacante 140
Deshabilitar
Auto-Protect 34, 36
proteccin antivirus y contra software espa 34
proteccin contra amenazas de red 35, 37
proteccin proactiva contra amenazas 34, 38
agregar a los anlisis 96

anlisis de amenazas proactivos TruScan 67,
115
proteccin contra intervenciones 67
Excepciones centralizadas
acerca de 66
creacin 96
para las detecciones del anlisis de amenazas
proactivo TruScan 115
Excepciones del anlisis. Ver Excepciones
centralizadas
Extensiones
incluir en anlisis 65
F
filtros de trfico inteligentes
definicin 133
Firewall
acerca de 120
configuracin 123
definidos 119
firewall
valores 133
Firmas 28
Firmas IPS
acerca de 122
G
Gusanos 54
H
Habilitar
Auto-Protect 36
proteccin contra amenazas de red 37
proteccin proactiva contra amenazas 38
Herramientas de hackeo 55
Host
definicin 126
I
E
Equipos
actualizar la proteccin 38
equipos de 64 bits 60
Excepciones
acerca de 66
Icono de la bandeja del sistema 45

Icono del rea de notificacin
acerca de 45
ocultar y visualizar 47
Icono del escudo 45
Iconos
candado 31
175
176
ndice
escudo 45
Iconos de candado 31
infecciones de virus de macro
prevencin 67
inspeccin de estado
acerca de 127
creacin de normas de trfico 127
IPS
acerca de 119
actualizar definiciones 3839
L
LiveUpdate
crear una programacin 40
descripcin general 38
ejecutar de forma inmediata 39
funcionamiento 29
M
Manuales, anlisis. Ver Anlisis manuales
Memoria cach de red
opciones de Auto-Protect 76
mensajes
prevencin de intrusiones 139
respuesta 22
N
navegacin oculta por la Web
habilitar 133
notificaciones 25
Normas de firewall
acerca de 125
agregar 129
modificacin del orden de 128, 130
programacin 125
registro 125
normas de firewall
acerca de 124
edicin 132
eliminacin 132
exportacin 131
habilitar e inhabilitar 131
importacin 132
Notificaciones
acerca de 19
interaccin de los usuarios 85
notificaciones
control de acceso a la red 25
respuesta 22
O
Opciones
no disponible 30
Opciones bloqueadas y desbloqueadas 31
P
Permitir trfico 140
normas de firewall 129
Polticas
actualizacin 46
polticas
acerca de 32
actualizacin 32
Prevencin de intrusiones. Ver IPS
acerca de 121
respuesta 25
prevencin de intrusiones
configuracin 138
habilitacin 138
notificaciones 139
Probar su equipo 41
Proteccin
actualizacin 2829
actualizar 3840
tipos 15
proteccin
actualizacin 29
acerca de 52, 64
deshabilitacin 36
deshabilitar 34
registro del sistema 160
Proteccin contra amenazas de red
acerca de 52, 119
administracin 117
registros 161
Proteccin contra intervenciones
acerca de 43
configuracin 44
habilitar y deshabilitar 44
ndice
proteccin contra la falsificacin de direccin MAC

habilitar 133
proteccin de controladores
habilitacin 133
proteccin de da cero 105
Proteccin de NetBIOS
habilitar 133
Proteccin proactiva contra amenazas
acerca de 53
Protocolo
definicin 126
Publicidad no deseada 55
R
reautenticacin 155
Registro de amenazas 160
Registro de anlisis 160
Registro de control 161
Registro de depuracin 161
Registro de paquetes 161
habilitacin 168
Registro de proteccin contra intervenciones 161
Registro de riesgos 160
Registro de seguridad 161
Registro de trfico 118, 161
Registro del sistema
administracin de clientes 161
proteccin antivirus y contra software espa 160
proteccin proactiva contra amenazas 160
supresin de entradas 166
Registros
acerca de 159
administracin de clientes 168
configurar por cunto tiempo se guardan las
entradas 165
proteccin contra amenazas de red 168
visualizacin 162
registros
actualizacin 168
configuracin de por cunto tiempo se guardan
las entradas 166
configuracin del tamao 165
control de acceso a la red 150
eliminacin 166
exportacin de datos 170
exportacin de entradas de registro filtradas 171
filtrado 162
filtrar por categora del evento 164
filtrar por nivel de gravedad 163

filtrar por perodo 162
formatos de exportacin 170171
habilitar el Registro de paquetes 168
limitacin del tamao 165
localizar entradas 169
poner en cuarentena riesgos y amenazas 167
respuesta activa
acerca de 139
Riesgos. Ver riesgos de seguridad
Riesgos de seguridad
acerca de 55
configuracin de notificaciones 93
deteccin del cliente 78
opciones 94
opciones de reparacin 94
qu hacer cuando se detectan 68
riesgos de seguridad
configuracin de acciones 88
consejos para asignar segundas acciones 92
respuesta del cliente 57
riesgos para la seguridad
proceso que contina descargando 69
S
Servidor
clientes administrados 30
conectar a 45
Smart DHCP 133
Smart DNS 133
Smart WINS 133
Software espa
acerca de 56
Symantec Security Response
envo de archivos 103
T
Tasas de deteccin
envo de informacin a Symantec 87
Trfico
permitir o bloquear 140
trfico
bloqueo 136
trfico de token ring
habilitar 133
177
178
ndice
U
Ubicaciones
modificacin 42
ubicaciones
acerca de 41
uso compartido de impresoras 134
V
valores
Virus
acerca de 53
asignacin de segundas acciones 91
configuracin de notificaciones 93
dao de archivos 22
deteccin del cliente 78
opciones de deteccin 94
qu hacer cuando se detectan 68
virus
configuracin de acciones 88
no reconocidos 103
opciones de reparacin 94
respuesta del cliente 57
W
Windows Security Center
visualizacin del estado del antivirus 58
visualizacin del estado del firewall 58

Client Guide SEP11.0.5 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Client Guide SEP11.0.5 PDF

Uploaded by

Copyright:

Available Formats

Gua del cliente para

Gua del cliente para Symantec Endpoint Protection y

comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso,

Una gama de opciones de soporte que brindan flexibilidad para seleccionar la

Soporte telefnico y basado en Web que proporciona respuesta rpida e

Garanta de actualizacin que brinda proteccin automtica para la

Soporte global disponible 24 horas al da, 7 das a la semana

Funciones avanzadas, incluso servicios de administracin de cuentas

Para obtener informacin sobre los Programas de mantenimiento de Symantec,

Contactar al soporte tcnico

Nivel de versin de producto

Memoria disponible, espacio libre en el disco e informacin de la NIC

Nmero de versin y parche

Router, gateway e informacin de la direccin IP

Descripcin del problema:

Mensajes de error y archivos de registro

Sesin de resolucin de problemas llevada a cabo antes de contactar a

Cambios recientes en la configuracin del software y en la red

Concesin de licencia y registro

Preguntas relacionadas con la concesin de licencias o la serializacin de

Actualizaciones del registro del producto, como cambio de direccin o de

Informacin general de producto (funciones, disponibilidad de idioma,

La informacin ms reciente sobre actualizaciones del producto

Informacin sobre garanta de actualizacin y contratos de mantenimiento

Informacin sobre los Programas de compras de Symantec

Sugerencia sobre las opciones de soporte tcnico de Symantec

Preguntas no tcnicas previas a las ventas

Problemas relacionados con los CD-ROM o los manuales

Recursos del acuerdo de mantenimiento

Europa, Oriente Medio y frica

Norteamrica y Amrica Latina

Servicios empresariales adicionales

Estas soluciones proporcionan deteccin temprana de ataques cibernticos,

Estos servicios quitan la carga de administrar y supervisar los dispositivos de

Los Servicios de consultora de Symantec brindan experiencia tcnica presencial

Los Servicios educativos proporcionan una gama completa de aprendizaje

Para acceder a ms informacin sobre los servicios empresariales, visite nuestro

Soporte tcnico ................................................................................................... 4

Gua de inicio en el cliente ..................................... 13

Conceptos generales del cliente ...................................... 15

Respuesta al cliente ............................................................ 19

Configuracin de la proteccin ........................................ 27

Cmo habilitar o deshabilitar Proteccin contra amenazas de

Administracin del cliente de Symantec

Administracin del cliente de Symantec Endpoint

De qu forma protege Symantec Endpoint Protection el sistema ...........

Administracin de la Proteccin antivirus y contra

Acerca de excluir elementos del anlisis .....................................

Acerca del tratamiento de los archivos infectados por riesgos de

Administrar la proteccin proactiva contra

Administrar la Proteccin contra amenazas de

Administracin del cliente de Symantec

Uso del cliente de Symantec Network Access

Supervisin y registro ............................................. 157

Uso y administracin de registros ................................. 159

ndice .................................................................................................................. 173

Gua de inicio en el cliente

Captulo 1. Conceptos generales del cliente

Captulo 2. Respuesta al cliente

Captulo 3. Configuracin de la proteccin

Conceptos generales del

Acerca del cliente

Acerca del cliente de Symantec Endpoint Protection