Administration Guide

Gua de administracin para
Symantec Endpoint
Protection y Symantec
Network Access Control
Symantec Endpoint Protection y Symantec Network
Access Control
El software que se describe en este manual se suministra con contrato de licencia y slo
puede utilizarse segn los trminos de dicho acuerdo.
Versin de la documentacin 11.00.00.00.03
Aviso legal
Copyright 2007 Symantec Corporation. Todos los derechos reservados. Symantec, el
logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence
Online, Digital Immune System y Norton son marcas comerciales o marcas registradas de
Symantec Corporation o de sus subsidiarias en los EE. UU. y en otros pases. Otros nombres
pueden ser marcas comerciales de sus respectivos propietarios.
El producto descrito en este documento se distribuye de acuerdo con licencias que restringen
su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir
cualquier parte de este documento de cualquier forma y mediante cualquier medio sin
autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder
sus licencias, de haberlos.
LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE

GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS,
REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE
COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE
DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ
LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES
O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE
ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST
SUJETA A CAMBIOS SIN PREVIO AVISO.
El Software y la Documentacin con licencia se consideran programas informticos

comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la
Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo
definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas
informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la
Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los
programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso,
modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software
y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar
exclusivamente de acuerdo con los trminos de este acuerdo.
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014
http://www.symantec.com.mx
Soporte tcnico
El soporte tcnico de Symantec cuenta con centros de soporte global. El rol
principal del soporte tcnico es responder a las consultas especficas sobre
funciones del producto y funcionalidad. El grupo de soporte tcnico, adems,
elabora el contenido para nuestra Base de conocimientos en lnea. El grupo de
soporte tcnico trabaja con otras reas funcionales dentro de Symantec para
contestar las preguntas a tiempo. Por ejemplo, el grupo de soporte tcnico trabaja
con el Departamento de Ingeniera y Symantec Security Response para
proporcionar servicios de alertas y actualizaciones de definiciones de virus.
Las ofertas de soporte de Symantec incluyen lo siguiente:
Una gama de opciones de soporte que brindan flexibilidad para seleccionar la
cantidad adecuada de servicio para organizaciones de cualquier tamao
Soporte telefnico y basado en Web que proporciona respuesta rpida e
informacin actualizada
Garanta de actualizacin que entrega actualizaciones de software
Soporte global comprado segn las horas laborables regionales o 24 horas al
da, 7 das a la semana
Ofertas de servicios superiores que incluyen servicios de administracin de
cuentas
Para obtener informacin sobre las ofertas de soporte de Symantec, puede visitar
el sitio web en la siguiente URL:
http://www.symantec.com/es/mx/business/support/
Todos los servicios de asistencia se prestarn de acuerdo con su acuerdo de soporte
y la poltica empresarial de soporte tcnico vigente en el momento.
Contactar al soporte tcnico

Los clientes con un acuerdo de soporte existente pueden acceder a la informacin
del soporte tcnico en la siguiente URL:
Antes de contactar al soporte tcnico, asegrese de haber cumplido con los
requisitos de sistema que se enumeran en la documentacin del producto. Adems,
es necesario que est en el equipo en el cual ocurri el problema, en caso de que
sea necesario replicar el problema.
Cuando contacte al soporte tcnico, tenga a mano la siguiente informacin:
Nivel de versin de producto
Informacin de hardware
Memoria disponible, espacio libre en el disco e informacin de la NIC
Sistema operativo
Nmero de versin y parche
Topologa de red
Router, gateway e informacin de la direccin IP
Descripcin del problema:
Mensajes de error y archivos de registro
Sesin de resolucin de problemas llevada a cabo antes de contactar a
Symantec
Cambios recientes en la configuracin del software y en la red
Concesin de licencia y registro

Si su producto de Symantec requiere registro o clave de licencia, acceda a nuestra
pgina web de soporte tcnico en la siguiente URL:
Servicio al cliente
La informacin del servicio al cliente est disponible en la siguiente URL:
El servicio al cliente est disponible para ayudar con preguntas no tcnicas, como
los siguientes tipos de problemas:
Preguntas relacionadas con la concesin de licencias o la serializacin de
productos
Actualizaciones del registro del producto, como cambio de direccin o de
nombre
Informacin general de producto (funciones, disponibilidad de idioma,
distribuidores locales)
La informacin ms reciente sobre actualizaciones del producto
Informacin sobre garanta de actualizacin y contratos de soporte
Informacin sobre los Programas de compras de Symantec
Sugerencia sobre las opciones de soporte tcnico de Symantec
Preguntas no tcnicas previas a las ventas
Problemas relacionados con los CD-ROM, los DVD o los manuales
Recursos de acuerdos de soporte

Si desea contactar a Symantec con respecto a un acuerdo de soporte existente,
contacte al equipo de administracin del acuerdo de soporte correspondiente a
su regin:
Asia Pacfico y Japn customercare_apac@symantec.com
Europa, Oriente Medio y frica semea@symantec.com
Norteamrica y Amrica Latina supportsolutions@symantec.com

Contenido
Soporte tcnico
Seccin 1 Tareas administrativas bsicas

Captulo 1 Descripcin general de Symantec Endpoint Protection
Manager
Acerca de este documento .............................................................. 43
Comprender la Consola de Symantec Endpoint Protection
Manager ............................................................................... 45
Iniciar sesin en Symantec Endpoint Protection Manager ............. 45
Cmo se organiza la Consola de Symantec Endpoint Protection
Manager ............................................................................... 49
Pginas de la Consola de Symantec Endpoint Protection
Manager ......................................................................... 49
Acerca de las pginas de la Consola de Symantec Endpoint Protection
Manager ............................................................................... 51
La pgina Principal ................................................................. 51
La pgina Supervisin ............................................................. 53
La pgina Informes ................................................................. 54
La pgina Polticas ................................................................. 54
La pgina Clientes .................................................................. 55
La pgina Administrador ......................................................... 58
Captulo 2 Introduccin a la proteccin bsica

Categoras de proteccin ............................................................... 61
Acerca de la proteccin antivirus y contra software espa .............. 62
Acerca de la proteccin contra amenazas de red ........................... 63
Acerca de la proteccin proactiva contra amenazas ...................... 64
Acerca de Integridad del host y Control de acceso a la red .............. 64
16 Contenido
Captulo 3 Revisar su estructura de organizacin para la

seguridad
Acerca de la configuracin de su estructura de organizacin ................ 67
Su estructura de organizacin y su seguridad equivalen a su topologa
de seguridad .......................................................................... 68
Ver su topologa de seguridad ......................................................... 69
Acerca de los grupos y dominios ..................................................... 69
Acerca de los dominios ............................................................ 69
Ver los dominios para una red de empresa .................................. 70
Acerca de los grupos ............................................................... 70
Ver los grupos de un dominio ................................................... 70
Administrar los dominios para una red de empresa ...................... 71
Acerca de los clientes .................................................................... 71
Ver dnde se ubica el cliente .................................................... 71
Acerca de los usuarios y los equipos ................................................. 72
Ver qu usuarios y equipos existen ............................................ 72
Revisar qu proteccin se aplica ..................................................... 72
Revisar los administradores ........................................................... 73
Revisar opciones de comunicacin de los clientes y el servidor ............. 73
Captulo 4 Configurar su estructura de organizacin

Acerca de la configuracin de su estructura de organizacin ................ 75
Comprender los grupos ................................................................. 76
Comprender los usuarios y los equipos ............................................. 77
Comprender los clientes ................................................................ 78
Acerca de la ficha Clientes ............................................................. 78
Administrar grupos ...................................................................... 79
Replicacin de grupos entre sitios ............................................. 81
Agregar un grupo ................................................................... 81
Eliminar un grupo .................................................................. 82
Cambiar el nombre de un grupo ................................................ 83
Mover un grupo ..................................................................... 83
Ver las propiedades de un grupo ............................................... 84
Bloquear usuarios de los grupos ................................................ 84
Buscar grupos, usuarios y equipos ............................................. 85
Acerca de establecer la comunicacin entre un servidor de
directorios y Symantec Endpoint Protection Manager ............. 88
Acerca de importar informacin de usuario de un servidor de
directorios LDAP o Active .................................................. 88
Acerca de la sincronizacin de la informacin del usuario entre
servidores de directorios y Symantec Endpoint Protection
Manager ......................................................................... 88
Contenido 17
Administrar usuarios y equipos ...................................................... 89

Agregar equipos ..................................................................... 89
Agregar usuarios .................................................................... 91
Eliminar usuarios y equipos ..................................................... 91
Mover usuarios y equipos ........................................................ 92
Acerca de visualizar propiedades del usuario y del equipo .............. 93
Recopilar informacin de usuario .............................................. 93
Filtrar usuarios y equipos ........................................................ 94
Alternar el modo de usuario y de equipo ..................................... 95
Captulo 5 Administrar administradores

Acerca de los administradores ........................................................ 97
Acerca de la administracin de administradores y dominios ................. 98
Tareas del administrador del sistema ............................................... 99
Cambiar el nombre de un administrador ..................................... 99
Modificar la contrasea de un administrador ............................. 100
Editar las propiedades de un administrador ............................... 100
Quitar un administrador ........................................................ 103
Agregar un administrador ...................................................... 103
Tareas del administrador ............................................................. 106
Cambiar el nombre de un administrador ................................... 106
Modificar la contrasea de un administrador ............................. 107
Editar las propiedades de un administrador ............................... 107
Quitar un administrador ........................................................ 110
Agregar un administrador ...................................................... 110
Acerca de los administradores limitados ......................................... 112
Configurar opciones generales de seguridad .............................. 112
Captulo 6 Trabajar con paquetes de instalacin de clientes

Acerca de los paquetes de instalacin de clientes .............................. 115
Configurar opciones de los paquetes de instalacin de clientes ............ 116
Configurar funciones del paquete de instalacin ........................ 116
Configurar opciones del paquete de instalacin .......................... 117
Recopilar informacin de usuarios ........................................... 117
Exportar paquetes de instalacin ................................................... 118
Agregar actualizaciones de paquetes de instalacin de clientes y
actualizar clientes ................................................................ 120
Agregar actualizaciones de paquetes de instalacin de
clientes ......................................................................... 120
Actualizar clientes en uno o ms grupos ................................... 121
Eliminar paquetes de actualizacin ............................................... 122
18 Contenido
Captulo 7 Actualizar definiciones y contenido

Acerca de LiveUpdate y las actualizaciones de definiciones y
contenido ............................................................................ 123
Acerca de las arquitecturas de distribucin de redes ................... 124
Acerca de tipos de actualizaciones ........................................... 128
Configurar un sitio para descargar actualizaciones ........................... 129
Configurar polticas de clientes de LiveUpdate ................................. 131
Configurar una poltica de configuracin de LiveUpdate .............. 132
Configurar una poltica de contenido de LiveUpdate ................... 133
Ver y modificar la poltica de contenido de LiveUpdate que se
aplica a un grupo ............................................................ 135
Configurar un proveedor de actualizaciones grupales en la
poltica de configuracin de LiveUpdate ............................. 135
Opciones avanzadas de distribucin de actualizaciones ..................... 137
Proporcionar actualizaciones de contenido de antivirus con
Intelligent Updater ......................................................... 137
Acerca del uso de las herramientas de distribucin de otro
fabricante para distribuir actualizaciones a los clientes
administrados ................................................................ 138
Habilitar la distribucin del contenido de otro fabricante en
equipos cliente administrados con una poltica de
LiveUpdate .................................................................... 139
Distribuir contenido a equipos cliente administrados con
herramientas de distribucin de terceros ............................ 140
Acerca del uso de las herramientas de distribucin de otro
fabricante para distribuir actualizaciones a los clientes no
administrados ................................................................ 142
Captulo 8 Configurar mecanismos de notificacin de

comunicaciones
Acerca de los mecanismos de notificacin de comunicaciones ............. 145
Acerca de la comunicacin entre Symantec Endpoint Protection
Manager y el servidor de correo electrnico ............................... 146
Notificar al administrador del sistema sobre eventos ........................ 146
Tipos de notificaciones .......................................................... 147
Configuracin de filtro de registro de notificaciones ................... 148
Configurar la notificacin del sistema ...................................... 148
Configurar notificaciones de clientes ....................................... 149
Notificar a otras cuentas de correo electrnico ........................... 151
Configurar la sincronizacin de alertas ..................................... 151
Contenido 19
Captulo 9 Limitar el acceso de usuarios a las funciones de

clientes
Acerca del acceso a la interfaz del cliente ........................................ 153
Bloquear y desbloquear las opciones administradas .......................... 154
Modificar el nivel de control del usuario ......................................... 155
Acerca del control mixto ........................................................ 158
Configurar opciones de la interfaz de usuario ............................ 159
Proteger el cliente con contrasea ................................................. 161
Captulo 10 Fundamentos de la elaboracin de informes

Acerca de los informes ................................................................ 164
Acerca de los informes que puede ejecutar ...................................... 165
Acerca de la visualizacin de registros e informes ............................ 167
Cmo la elaboracin de informes utiliza la base de datos .................... 167
Acerca de eventos registrados de su red .......................................... 167
Acerca de los registros ................................................................. 168
Acceder a las funciones de elaboracin de informes .......................... 168
Acerca del uso de SSL con las funciones de elaboracin de
informes ............................................................................. 170
Usar la pgina principal de Symantec Endpoint Protection ................. 171
Configurar Informes favoritos en la pgina principal .................. 178
Acerca del uso de los vnculos de Security Response .................... 179
Usar la pgina principal de Symantec Network Access Control ............ 181
Configurar preferencias de la elaboracin de informes ...................... 183
Acerca de las opciones de visualizacin de Inicio y
supervisin ................................................................... 184
Configurar umbrales de estado de seguridad .............................. 185
Configurar preferencias para registros e informes ...................... 185
Acerca de los horarios de anlisis de clientes utilizados en informes
y registros ........................................................................... 186
Acerca del uso del filtro ltimas 24 horas para informes y
registros ............................................................................. 187
Acerca del uso de filtros que buscan grupos en informes y
registros ............................................................................. 187
Captulo 11 Ver y configurar informes

Ver informes ............................................................................. 189
Acerca de ver grficos lineales en informes ............................... 190
Acerca de ver grficos de barras .............................................. 191
Ver los informes en idiomas asiticos ....................................... 191
Acerca de los informes ................................................................ 192
20 Contenido
Aspectos importantes de la elaboracin de informes ......................... 206

Crear informes rpidos ................................................................ 207
Guardar y eliminar los filtros de informes guardados ........................ 212
Acerca de los nombres de filtro duplicados ................................ 213
Imprimir y guardar una copia de un informe ................................... 213
Crear y eliminar informes programados .......................................... 214
Captulo 12 Ver y configurar registros y notificaciones

Acerca de los registros ................................................................. 219
Acerca de tipos, contenido y comandos de registros .................... 220
Usar la ficha Resumen de Supervisin ............................................ 226
Ver registros ............................................................................. 229
Visualizar detalles de eventos en los registros ............................ 230
Ver registros de otros sitios .................................................... 231
Guardar y eliminar filtros ............................................................ 232
Acerca de los nombres de filtro duplicados ................................ 233
Configuracin bsica de filtro para los registros ............................... 233
Configuracin avanzada de filtro para los registros ........................... 235
Ejecutar comandos y acciones de registros ...................................... 235
Acerca de la reduccin del volumen de eventos enviados a los
registros ............................................................................. 239
Exportar datos de registro ............................................................ 239
Exportar datos de registro a un archivo de texto ......................... 239
Exportar datos a un servidor Syslog ......................................... 242
Exportar datos de registro a un archivo de texto delimitado por
comas ........................................................................... 243
Usar notificaciones ..................................................................... 244
Ver y filtrar informacin de notificaciones a
administradores ............................................................. 244
Pautas del umbral para las notificaciones del
administrador ................................................................ 245
Crear notificaciones de administrador ...................................... 245
Acerca de la edicin de notificaciones existentes ........................ 250
Captulo 13 Usar Supervisin e Informes para asegurar la red

Acerca del uso de Supervisin e Informes para asegurar la red ............ 251
Acerca de la informacin en los informes y registros de Control
de aplicaciones y Control de dispositivos ............................. 253
Acerca de la informacin del informe y el registro de auditora
................................................................................... 254
Acerca de la informacin en los registros e informes de
cumplimiento ............................................................... 254
Contenido 21
Acerca de la informacin de los informes y el registro de estado

del equipo ..................................................................... 256
Acerca de la informacin en los registros e informes de la
proteccin contra amenazas de red .................................... 259
Acerca de la informacin en los registros e informes de la
proteccin proactiva contra amenazas ............................... 261
riesgos ......................................................................... 262
anlisis ......................................................................... 264
Acerca de la informacin en los registros e informes del
sistema ......................................................................... 265
Acerca de eliminar virus y riesgos de seguridad ................................ 267
Identificar los equipos infectados y en riesgo ............................. 268
Modificar una accin y volver a analizar los equipos
identificados .................................................................. 268
Reiniciar los equipos que necesitan un reinicio para finalizar la
reparacin .................................................................... 269
Actualizar definiciones y volver a analizar ................................ 270
Acerca de investigar y limpiar los riesgos restantes .................... 270
Eliminar los eventos sospechosos ............................................ 271
Encontrar los clientes desconectados ............................................. 271
Seccin 2 Tareas administrativas avanzadas

Captulo 14 Administrar un sitio y varios sitios de la compaa
Acerca de la administracin de sitios .............................................. 275
Lo que puede hacer en un sitio ...................................................... 276
Lo que no puede hacer en un sitio .................................................. 277
Acerca de la replicacin del sitio mediante diferentes sitios de la
empresa .............................................................................. 277
Acerca de los mdulos de Enforcer opcionales en un sitio ................... 277
Acerca de los sitios remotos .......................................................... 278
Editar propiedades del sitio .......................................................... 278
Hacer una copia de respaldo de un sitio .......................................... 280
Eliminar sitios remotos ............................................................... 280
Captulo 15 Administrar servidores

Acerca de la administracin de servidores ....................................... 283
Acerca de las contraseas de servidores y de otros fabricantes ............ 284
22 Contenido
Iniciar y detener el servicio de Symantec Endpoint Protection

Manager ............................................................................. 284
Conceder o negar acceso a una consola de Symantec Endpoint
Protection Manager remota .................................................... 285
Eliminar servidores seleccionados ................................................. 286
Exportar e importar opciones del servidor ....................................... 287
Captulo 16 Administrar servidores de directorio

Acerca de la administracin de servidores de directorios ................... 289
Agregar servidores de directorios .................................................. 290
Sincronizar cuentas de usuario entre servidores de directorios y
Symantec Endpoint Protection Manager ................................... 291
Importar informacin sobre usuarios desde un servidor de directorios
LDAP ................................................................................. 292
Buscar usuarios en un servidor de directorios LDAP .......................... 292
Importar usuarios desde una lista de resultados de bsqueda de un
servidor de directorios LDAP .................................................. 295
Acerca de las unidades organizativas y el servidor LDAP .................... 296
Importacin de unidades organizativas desde un servidor de
directorios activo o LDAP ................................................. 296
Sincronizacin de unidades organizativas ................................. 297
Captulo 17 Administrar servidores de correo electrnico

Acerca de administrar servidores de correo electrnico ..................... 299
Establecer comunicacin entre Symantec Endpoint Protection
Manager y servidores de correo ............................................... 300
Captulo 18 Administrar servidores proxy

Acerca de los servidores proxy ...................................................... 301
Configurar una conexin entre un servidor proxy HTTP y Symantec
Endpoint Protection Manager ................................................. 301
Configurar una conexin entre un servidor proxy FTP y Symantec
Endpoint Protection Manager ................................................. 303
Captulo 19 Administrar servidores RSA

Acerca de los requisitos previos .................................................... 305
Configurar un cliente de RSA ACE ................................................. 306
Configurar el servidor de administracin para admitir la comunicacin
HTTPS ............................................................................... 307
Contenido 23
Captulo 20 Administrar certificados de servidor

Acerca de los tipos de certificado de servidor ................................... 309
Actualizar un certificado de servidor con un asistente ....................... 310
Hacer copia de respaldo de un certificado de servidor ........................ 313
Captulo 21 Administrar bases de datos

Acerca de la administracin de bases de datos .................................. 315
Acerca de las convenciones de nomenclatura de una base de
datos ............................................................................ 316
Asistente para la configuracin del servidor de administracin
y herramientas de base de datos de Symantec ...................... 316
Acerca de la copia de respaldo y la restauracin de una base de
datos ............................................................................ 317
Acerca de la reconfiguracin de una base de datos ...................... 318
Acerca de la programacin de una copia de respaldo de base de
datos ............................................................................ 319
Hacer una copia de respaldo de una base de datos de Microsoft
SQL .................................................................................... 320
Hacer una copia de respaldo manual de una base de datos de
Microsoft SQL desde la consola de Symantec Endpoint
Protection Manager ........................................................ 320
Hacer una copia de respaldo de una base de datos de Microsoft
SQL con el Asistente para la planificacin del mantenimiento
de bases de datos ............................................................ 321
Realizar copia de respaldo de una base de datos cuando sea necesario
desde Symantec Endpoint Protection Manager ........................... 325
Programar copias de respaldo automticas de bases de datos de
Symantec Endpoint Protection Manager ................................... 326
Restaurar una base de datos ......................................................... 327
Editar el nombre y la descripcin de una base de datos en la consola
de Symantec Endpoint Protection Manager ............................... 329
Volver a configurar una base de datos ............................................ 329
Volver a configurar una base de datos de Microsoft SQL .............. 330
Volver a configurar una base de datos integrada ......................... 332
Acerca de administrar datos de registro .......................................... 333
Acerca de los registros de datos y el almacenamiento .................. 334
Barrer datos de registro de la base de datos manualmente ............ 335
Datos de registro de clientes de versiones anteriores ................... 335
Configurar opciones de registro para los servidores en un
sitio ............................................................................. 336
Acerca de configurar la agrupacin de eventos ........................... 336
Configurar opciones de registros de clientes ............................. 337
24 Contenido
Acerca de configurar las opciones de administracin de registros

de los clientes para las polticas antivirus y contra software
espa ............................................................................ 339
Hacer copias de respaldo de los registros para un sitio ................. 339
Acerca de cargar grandes cantidades de datos de registro de
clientes ......................................................................... 339
Acerca de administrar eventos de registro en la base de
datos ............................................................................ 341
Configurar opciones de mantenimiento de base de datos para los
registros ....................................................................... 341
Acerca de uso de la utilidad SQL interactiva con la base de datos
integrada ...................................................................... 343
Cambiar los parmetros de tiempo de espera ............................. 343
Acerca de recuperar un registro del sistema de cliente daado
en equipos de 64 bits ....................................................... 344
Captulo 22 Replicar datos

Acerca de la replicacin de datos ................................................... 345
Comprender el impacto de la replicacin ......................................... 348
Qu opciones se replican ........................................................ 348
Cmo se combinan los cambios durante la replicacin ................. 349
Configurar la replicacin de datos ................................................. 350
Agregar asociados de replicacin y programacin ....................... 350
Programar la replicacin automtica y manual ................................ 352
Replicar la base de datos ahora ............................................... 352
Modificar frecuencias de replicacin ........................................ 353
Replicar paquetes de clientes ........................................................ 354
Replicar registros ....................................................................... 355
Captulo 23 Administrar Proteccin contra intervenciones

Acerca de la Proteccin contra intervenciones ................................. 357
Configurar Proteccin contra intervenciones ................................... 359
Seccin 3 Tareas generales de administracin de

polticas
Captulo 24 Acerca de las polticas
Descripcin general de las polticas ................................................ 365
Acerca de las polticas compartidas y no compartidas ........................ 368
Acerca de las tareas relacionadas con las polticas ............................ 368
Contenido 25
Grupos, herencia, ubicaciones y polticas ........................................ 373

Ejemplos de polticas ................................................................... 373
Captulo 25 Administrar la herencia de un grupo para las

ubicaciones y las polticas
Acerca de los grupos que heredan ubicaciones y polticas de otros
grupos ................................................................................ 375
Cmo anular la herencia de ubicaciones y de polticas de un
grupo ................................................................................. 376
Habilitar la herencia de un grupo para las ubicaciones y las
polticas .............................................................................. 376
Deshabilitar la herencia de un grupo para las ubicaciones y las
polticas .............................................................................. 377
Captulo 26 Extraer o transferir polticas entre los servidores de

administracin, los clientes y los mdulos de Enforcer
opcionales
Acerca de Modo de obtencin y Modo de transferencia ...................... 379
Especificar el Modo de transferencia o el Modo de obtencin .............. 380
Especificar la frecuencia de transfencia de una poltica entre los
servidores de administracin, los clientes y los mdulos de
Enforcer opcionales. ............................................................. 381
Descripcin del latido ............................................................ 381
Utilizar detalles del latido ...................................................... 382
Captulo 27 Administrar las ubicaciones de un grupo

Acerca de las ubicaciones de un grupo ............................................ 385
Acerca de las ubicaciones y el Reconocimiento de ubicacin ......... 386
Programacin de ubicaciones .................................................. 387
Acerca de la ubicacin predeterminada de un grupo .................... 388
Habilitar la asignacin automtica de polticas de un cliente .............. 388
Asignar una ubicacin predeterminada .......................................... 390
Agregar la ubicacin y las condiciones de conmutacin de un grupo
con un asistente ................................................................... 390
Agregar la ubicacin de un grupo sin un asistente ............................ 392
Agregar condiciones de conmutacin de un grupo sin un
asistente ............................................................................. 393
Editar el nombre y la descripcin de la ubicacin de un grupo ............. 395
Eliminar la ubicacin de un grupo .................................................. 396
26 Contenido
Captulo 28 Trabajar con polticas

Acerca de la utilizacin de polticas ................................................ 397
Agregar una poltica ................................................................... 398
Agregar una poltica compartida en la pgina Polticas ................ 399
Agregar una poltica no compartida en la pgina Clientes con un
asistente ....................................................................... 400
Crear una nueva poltica no compartida en la pgina
Clientes ........................................................................ 402
Crear una nueva poltica no compartida de una poltica existente
en la pgina Clientes ....................................................... 403
Crear una nueva poltica no compartida de un archivo de polticas
previamente exportado en la pgina Clientes ....................... 404
Editar una poltica ...................................................................... 404
Editar una poltica compartida en la pgina Polticas .................. 405
Editar una poltica compartida o no compartida en la pgina
Clientes ........................................................................ 406
Asignar una poltica compartida en la pgina Polticas ...................... 408
Eliminar una poltica ................................................................... 409
Eliminar una poltica compartida en la pgina Poltica ................ 409
Eliminar una poltica compartida o no compartida en la pgina
Clientes ........................................................................ 410
Exportar una poltica .................................................................. 411
Exportar una poltica compartida en la pgina Polticas ............... 411
Exportar una poltica compartida o no compartida en la pgina
Clientes ........................................................................ 412
Importar una poltica .................................................................. 412
Importar una poltica compartida en la pgina Poltica ................ 413
Importar una poltica compartida o no compartida en la pgina
Clientes ........................................................................ 413
Retirar una poltica ..................................................................... 414
Retirar una poltica compartida en la pgina Polticas ................. 414
Retirar una poltica compartida o no compartida en la pgina
Clientes ........................................................................ 415
Reemplazar una poltica .............................................................. 416
Reemplazar una poltica compartida en la pgina Polticas ........... 416
Reemplazar una poltica compartida o no compartida en la pgina
Clientes ........................................................................ 417
Copiar una poltica ..................................................................... 418
Copiar una poltica compartida en la pgina Poltica ................... 418
Copiar una poltica compartida o no compartida en la pgina
Clientes ........................................................................ 419
Pegar una poltica ....................................................................... 419
Contenido 27
Pegar una poltica compartida en la pgina Poltica .................... 419

Pegar una poltica compartida o no compartida en la pgina
Clientes ........................................................................ 420
Convertir una poltica compartida en una poltica no compartida
......................................................................................... 420
Captulo 29 Configurar conexiones entre los servidores de

administracin y clientes o autoridades de aplicacin
opcionales
Acerca de los servidores de administracin, la conmutacin por error
y el balanceo de carga ............................................................ 424
Lista predeterminada de servidores de administracin ..................... 424
Especificar la lista de servidores de administracin de un grupo .......... 425
Visualizar los grupos y las ubicaciones con listas de servidores de
administracin asignadas ...................................................... 426
Agregar una lista de servidores de administracin ............................ 426
Asignar una lista de servidores de administracin a un grupo y a una
ubicacin ............................................................................ 429
Editar el nombre de servidor y la descripcin de una lista de servidores
de administracin ................................................................. 430
Editar la direccin IP o el nombre de host de un servidor de
administracin en una lista de servidores de
administracin ..................................................................... 430
Editar protocolos y nmeros de puerto de un servidor de
administracin en una lista de servidores de
administracin ..................................................................... 431
Reasignar direcciones IP, nombres de host y prioridades en una lista
de servidores de administracin .............................................. 432
Reemplazo de una lista de servidores de administracin .................... 433
Copiar y pegar una lista de servidores de administracin ................... 434
Exportar una lista de servidores de administracin ........................... 434
Importar una lista de servidores de administracin ........................... 435
Eliminar una lista de servidores de administracin ........................... 435
Eliminar direcciones IP, nombres de host y prioridades de una lista
de servidores de administracin .............................................. 436
Captulo 30 Configurar aplicaciones aprendidas

Acerca de aplicaciones aprendidas ................................................. 439
Habilitar aplicaciones aprendidas .................................................. 440
Habilitar las aplicaciones aprendidas para un sitio ...................... 440
Habilitar clientes para enviar la lista de aplicaciones aprendidas
al servidor de administracin ........................................... 441
28 Contenido
Buscar aplicaciones ..................................................................... 442

Guardar los resultados de una bsqueda de aplicaciones .............. 444
Seccin 4 Configurar la proteccin antivirus y contra

software espa
Captulo 31 Configuracin bsica de polticas antivirus y contra
software espa
Fundamentos de la proteccin antivirus y contra software espa ......... 448
Acerca de crear un plan para responder ante virus y riesgos de
seguridad ...................................................................... 448
Acerca de ver el estado del antivirus y la proteccin contra
software espa de su red ................................................... 451
Acerca de ejecutar comandos para la proteccin antivirus y contra
software espa ................................................................ 451
Acerca de polticas antivirus y contra software espa ................... 452
Acerca de trabajar con polticas antivirus y contra software
espa .................................................................................. 454
Acerca de los virus y los riesgos de seguridad ................................... 455
Acerca de analizar ...................................................................... 459
Acerca de los anlisis de Auto-Protect ...................................... 460
Acerca de anlisis definidos por el administrador ....................... 464
Acerca de los anlisis de amenazas proactivos ........................... 465
Acerca del anlisis tras la actualizacin de los archivos de
definiciones ................................................................... 466
Acerca de analizar extensiones o carpetas seleccionadas .............. 466
Acerca de la exclusin de carpetas y archivos por nombre ............ 470
Acerca de acciones para los virus y los riesgos de seguridad que los
anlisis detectan .................................................................. 471
Configurar parmetros de gestin de registros en una poltica
antivirus y contra software espa ............................................. 472
Acerca de la interaccin del cliente con opciones de antivirus y
software espa ...................................................................... 473
Modificar la contrasea necesaria para analizar unidades de red
asignadas ............................................................................ 473
Especificar cmo el Centro de Seguridad de Windows interacta con
el cliente de Symantec Endpoint Protection ............................... 474
Configurar el cliente de Symantec Endpoint Protection para
deshabilitar el Centro de seguridad de Windows ................... 474
Configuracin de alertas de Symantec Endpoint Protection en el
equipo host ................................................................... 475
Contenido 29
Configuracin del tiempo de desactualizacin de las definiciones

................................................................................... 476
Exhibir una advertencia de definiciones desactualizadas o
ausentes ............................................................................. 476
Especificar la URL que se debe mostrar en las notificaciones de error
de antivirus y software espa .................................................. 477
Especificar una URL para una pgina principal del navegador ............ 478
Configurar las opciones que se aplican a los anlisis antivirus y de
software espa ...................................................................... 478
Configurar anlisis de las extensiones de archivo
seleccionadas ................................................................. 479
Configurar anlisis de carpetas seleccionadas ............................ 480
Acerca de excepciones para riesgos de seguridad ........................ 481
Configurar las acciones para las detecciones de virus y riesgos
de seguridad conocidos .................................................... 481
Acerca de los mensajes de notificacin en los equipos
infectados ..................................................................... 482
Personalizar y mostrar advertencias en equipos infectados .......... 483
Enviar informacin sobre anlisis a Symantec ................................. 485
Acerca de la aceleracin de envos ........................................... 486
Configurar opciones de envo .................................................. 487
Administrar los archivos en cuarentena .......................................... 488
Acerca de la configuracin de cuarentena ................................. 488
Especificar un directorio de cuarentena local ............................. 488
Configurar opciones de limpieza automtica .............................. 489
Enviar elementos en cuarentena a un servidor de Cuarentena
central ......................................................................... 491
Enviar elementos en cuarentena a Symantec ............................. 491
Configurar acciones ante el arribo de nuevas definiciones ........... 492
Captulo 32 Configurar Auto-Protect

Acerca de configurar Auto-Protect ................................................. 493
Acerca de los tipos de Auto-Protect ................................................ 494
Habilitar Auto-Protect para el sistema de archivos ........................... 494
Configuracin de Auto-Protect para el sistema de archivos ................. 495
Acerca de anlisis y bloqueo de riesgos de seguridad con
Auto-Protect .................................................................. 496
Configurar opciones avanzadas de anlisis y supervisin ............. 497
Acerca del Buscador de riesgos ................................................ 498
Configurar Auto-Protect para correo electrnico de Internet .............. 499
Configurar Auto-Protect para Microsoft Outlook .............................. 501
Configurar Auto-Protect para Lotus Notes ...................................... 502
30 Contenido
Configurar opciones de notificacin para Auto-Protect ...................... 503

Visualizar los resultados de Auto-Protect en los equipos
infectados ..................................................................... 505
Adicin de avisos a los mensajes de correo electrnico
infectados ..................................................................... 505
Notificar a los remitentes de mensajes de correo electrnico
infectados ..................................................................... 507
Notificar a otros usuarios sobre la recepcin de mensajes de
correo electrnico infectados ............................................ 508
Configurar notificaciones de progreso para anlisis de
Auto-Protect de correo electrnico de Internet ..................... 510
Captulo 33 Usar anlisis definidos por el administrador

Acerca del uso de los anlisis definidos por administrador ................. 511
Agregar anlisis programados a una poltica antivirus y contra
software espa ...................................................................... 512
Establecer opciones para anlisis programados no
realizados ..................................................................... 513
Editar, suprimir o deshabilitar anlisis planificados .................... 515
Configurar opciones de anlisis manual .......................................... 515
Ejecutar anlisis manuales ........................................................... 517
Configurar opciones de progreso del anlisis para los anlisis definidos
por el administrador ............................................................. 518
Configurar opciones avanzadas para anlisis definidos por el
administrador ...................................................................... 520
Seccin 5 Configurar la proteccin contra amenazas

de red
Captulo 34 Configuracin bsica de la proteccin contra
amenazas de red
Acerca de la proteccin contra amenazas de red ............................... 524
Cmo Symantec Endpoint Protection protege los equipos contra
ataques de red ................................................................ 524
Acerca del firewall ...................................................................... 525
Acerca de trabajar con polticas de firewall ...................................... 526
Acerca de las normas de firewall ................................................... 527
Acerca de los elementos de una norma ..................................... 527
Acerca de la orden de procesamiento de norma .......................... 532
Acerca de la inspeccin de estado ............................................ 535
Agregar normas vacas ................................................................ 537
Contenido 31
Agregar normas con el asistente para la configuracin de

normas ............................................................................... 539
Agregar normas heredadas de un grupo principal ............................. 541
Importar y exportar normas ......................................................... 542
Editar y eliminar normas ............................................................. 542
Copiar y pegar normas ................................................................ 543
Alteracin del orden de las normas ................................................ 544
Habilitar e deshabilitar normas ..................................................... 544
Habilitar el filtro de trfico inteligente ........................................... 545
Habilitar configuracin de trfico y de ocultacin ............................. 546
Captulo 35 Configurar la prevencin de intrusiones

Acerca del sistema de prevencin de intrusiones .............................. 547
Acerca de las firmas IPS de Symantec ....................................... 548
Acerca de las firmas IPS personalizadas .................................... 548
Configurar la prevencin de intrusiones ......................................... 549
Acerca del uso de Polticas de prevencin de intrusiones .............. 550
Habilitar opciones de prevencin de intrusiones ......................... 550
Modificar el comportamiento de las firmas IPS de
Symantec ...................................................................... 551
Bloquear un equipo atacante .................................................. 553
Configurar una lista de equipos excluidos ................................. 553
Importar firmas IPS personalizadas preconfiguradas ........................ 555
Crear firmas personalizadas de IPS ................................................ 556
Asignar varias bibliotecas IPS personalizadas a un grupo ............. 558
Modificar el orden de las firmas .............................................. 558
Copiar y pegar firmas ............................................................ 559
Definir variables para las firmas .............................................. 560
Captulo 36 Personalizar la proteccin contra amenazas de red

Habilitar e deshabilitar Proteccin contra amenazas de red ................ 564
Configurar las opciones de proteccin contra amenazas de red para
el control mixto .................................................................... 565
Agregar hosts y grupos de hosts .................................................... 566
Editar y eliminar grupos de hosts .................................................. 567
Agregar hosts y grupos de hosts a una norma .................................. 568
Agregar servicios de red .............................................................. 569
Editar y eliminar servicios de red personalizados ............................. 570
Agregar servicios de red a una norma ............................................. 571
Agregar adaptadores de red .......................................................... 571
Agregar adaptadores de red a una norma ........................................ 572
Editar y eliminar adaptadores de red personalizados ......................... 573
32 Contenido
Agregar aplicaciones a una norma ................................................. 574

Agregar programaciones a una norma ............................................ 575
Configurar notificaciones de proteccin contra amenazas de red ......... 576
Configurar mensajes de correo electrnico para eventos de
trfico .......................................................................... 578
Configurar la supervisin de aplicaciones de red .............................. 579
Seccin 6 Configurar la proteccin proactiva contra

amenazas
Captulo 37 Configurar anlisis de amenazas proactivos
Acerca de los anlisis de amenazas proactivos ................................. 583
Acerca del uso de la configuracin predeterminada de Symantec ......... 584
Acerca de los procesos que los anlisis de amenazas proactivos
detectan ............................................................................. 585
Acerca de la administracin de falsos positivos detectados por los
anlisis de amenazas proactivos .............................................. 587
Acerca de los procesos que los anlisis de amenazas proactivos
ignoran .............................................................................. 590
Cmo funcionan los anlisis de amenazas proactivos con la
Cuarentena ......................................................................... 590
Cmo funcionan los anlisis de amenazas proactivos con excepciones
centralizadas ....................................................................... 591
Informacin sobre las detecciones de amenazas proactivas ................ 592
Especificar los tipos de procesos que detectan los anlisis de
amenazas proactivos ....................................................... 594
Especificar las acciones y los niveles de sensibilidad para detectar
caballos de Troya, gusanos y registradores de
pulsaciones ................................................................... 595
Especificar acciones para las detecciones de aplicaciones
comerciales ................................................................... 596
Configurar la frecuencia del anlisis de amenazas proactivo ............... 596
Configurar notificaciones para anlisis de amenazas proactivos .......... 597
Captulo 38 Administrar Polticas de control de aplicaciones y

dispositivos
Acerca de las Polticas de control de aplicaciones y dispositivos .......... 600
Acerca de la estructura de una Poltica de control de aplicaciones y
dispositivos ......................................................................... 600
Acerca del control de aplicaciones ................................................. 602
Contenido 33
Acerca de los conjuntos de normas de control de

aplicaciones .................................................................. 602
Acerca del control de dispositivos .................................................. 603
Acerca de trabajar con polticas de control de aplicaciones y
dispositivos ......................................................................... 603
Poltica de control de aplicaciones y dispositivos
predeterminada ................................................................... 604
Polticas personalizadas de control de aplicaciones y
dispositivos ......................................................................... 604
Antes de crear polticas de control de aplicaciones y dispositivos ........ 604
Para crear una Poltica de control de aplicaciones y dispositivos .......... 605
Crear una poltica de control de aplicaciones y dispositivos .......... 607
Crear un conjunto de normas de control de aplicaciones .............. 608
Crear Control de dispositivos .................................................. 610
Asignar una poltica de control de aplicaciones y
dispositivos ................................................................... 611
Comparacin de polticas compartidas y no compartidas ............. 612
Modo de prueba ................................................................... 612
Tareas adicionales de las polticas de control de aplicaciones y
dispositivos ......................................................................... 613
Configurar prioridades del Conjunto de normas de control de
aplicaciones .................................................................. 613
Modificar un modo del conjunto de normas de control de
aplicaciones .................................................................. 613
Deshabilitar una norma en una Poltica de control de aplicaciones
y dispositivos ................................................................. 614
Administrar la lista de dispositivos de hardware .............................. 615
Administrar Polticas de control de aplicaciones y dispositivos ........... 616
Editar una Poltica de control de aplicaciones y dispositivos ......... 617
Reemplazar una poltica de control de aplicaciones y
dispositivos ................................................................... 618
Copiar una Poltica de control de aplicaciones y
dispositivos ................................................................... 619
Exportar una poltica de control de aplicaciones y
dispositivos ................................................................... 621
Importar una poltica de control de aplicaciones y
dispositivos ................................................................... 622
Retirar una poltica de control de aplicaciones y
dispositivos ................................................................... 622
Eliminar una poltica de control de aplicaciones y
dispositivos ................................................................... 623
Ver el historial de cambios de la poltica de control de aplicaciones
y dispositivos ................................................................. 624
34 Contenido
Captulo 39 Configurar dispositivos de hardware

Acerca de los dispositivos de hardware ........................................... 625
Para agregar un dispositivo de hardware ........................................ 625
Editar un dispositivo de hardware ................................................. 626
Eliminar un dispositivo de hardware .............................................. 627
Captulo 40 Personalizar polticas de control de aplicaciones y de

dispositivos
Acerca de la autorizacin del uso de aplicaciones, parches y
utilidades ............................................................................ 629
Crear e importar una lista de huellas digitales de archivos ................. 630
Crear una huella digital de archivos ......................................... 631
Editar una lista de huellas digitales de archivos .......................... 632
Importar una lista de huellas digitales de archivos ...................... 633
Combinar listas de huellas digitales de archivos ......................... 634
Eliminar una lista de huellas digitales de archivos ...................... 635
Acerca de la autorizacin de aplicaciones ........................................ 635
Ver la lista de excepciones ...................................................... 636
Acerca del bloqueo del sistema ................................................ 637
Ver la lista de excepciones ...................................................... 638
Habilitar bloqueo del sistema .................................................. 639
Requisitos previos de bloqueo del sistema ................................. 639
Seccin 7 Configurar excepciones centralizadas

Captulo 41 Configurar polticas de excepciones centralizadas
Acerca de las polticas de excepciones centralizadas ......................... 643
Acerca de la utilizacin de polticas de excepciones
centralizadas ................................................................. 644
Acerca de las excepciones centralizadas para los anlisis antivirus
y contra software espa .................................................... 645
Acerca de las excepciones centralizadas para los anlisis de
Acerca de las excepciones centralizadas para la proteccin contra
intervenciones ............................................................... 646
Acerca de la interaccin del cliente con excepciones
centralizadas ................................................................. 646
Configurar una poltica de excepciones centralizada ......................... 646
Configurar una excepcin centralizada para los anlisis antivirus
y contra software espa .................................................... 647
Contenido 35
Configurar una excepcin centralizada para los anlisis de

Configurar una excepcin centralizada para la proteccin contra
intervenciones ............................................................... 652
Configurar restricciones de clientes para las excepciones
centralizadas ....................................................................... 653
Crear excepciones centralizadas de eventos de registro ..................... 654
Agregar una excepcin centralizada para eventos de riesgo .......... 654
Agregar una excepcin centralizada para eventos de proteccin
proactiva contra amenazas ............................................... 655
Agregar una excepcin centralizada para eventos de Proteccin
contra intervenciones ..................................................... 656
Seccin 8 Tareas de Network Access Control e

integridad del host
Captulo 42 Configurar polticas de integridad del host
Acerca de las polticas de integridad del host ................................... 659
Cmo funciona la aplicacin de integridad del host ........................... 660
Consideraciones para la planificacin de requisitos de integridad del
host ................................................................................... 663
Crear polticas de integridad del host ............................................. 664
Crear polticas de integridad del host ....................................... 665
Crear una poltica de integridad del host para una
ubicacin ...................................................................... 667
Poltica de integridad del host predeterminada al agregar una
ubicacin ...................................................................... 668
Configuracin para la comprobacin de integridad del host ................ 669
Configurar cundo ejecutar comprobaciones de integridad del
host ............................................................................. 669
Comprobaciones de integridad del host cuando se modifican las
polticas ........................................................................ 670
Configurar el tiempo de retencin para los resultados de
integridad del host .......................................................... 671
Continuar comprobando los requisitos de integridad del host
despus de un error ........................................................ 672
Habilitar o deshabilitar el registro detallado de integridad del
host ............................................................................. 672
Configurar mensajes emergentes de integridad del host ............... 673
Permitir que se apruebe la comprobacin de integridad del host
si un requisito falla ......................................................... 674
36 Contenido
Configurar requisitos de integridad del host .................................... 675

Agregar, editar o eliminar requisitos de integridad del host .......... 676
Habilitar o deshabilitar requisitos de integridad del host ............. 677
Modificar la secuencia de requisitos de integridad del host ........... 678
Copiar y pegar requisitos de integridad del host ......................... 678
Exportar e importar requisitos de integridad del host .................. 679
Importar requisitos de integridad del host desde plantillas ........... 679
Requisitos predefinidos de integridad del host ................................. 680
Requisitos personalizados de integridad del host .............................. 681
Crear un requisito personalizado de integridad del host ............... 681
Uso del editor de requisitos personalizados ............................... 683
Opciones de antivirus en un requisito personalizado de integridad
del host ........................................................................ 685
Opciones de proteccin contra software espa en un requisito
personalizado de integridad del host .................................. 686
Opciones de firewall en un requisito personalizado de integridad
del host ........................................................................ 687
Opciones de archivo en un requisito personalizado de integridad
del host ........................................................................ 688
Opciones del sistema operativo en un requisito personalizado de
Identificadores de idioma del sistema operativo ......................... 691
Opciones de registro en un requisito personalizado de integridad
del host ........................................................................ 693
Comprobar si un proceso o un servicio est ejecutndose en un
requisito personalizado de integridad del host ..................... 695
Ejecutar una opcin de programa en un requisito personalizado
de integridad del host ...................................................... 695
Ejecutar una opcin de script en un requisito personalizado de
Registrar una opcin de mensaje en un requisito personalizado
Comprobar una marca de hora en un requisito personalizado de
Opciones del cuadro de mensaje en un requisito personalizado
Especificar la opcin de espera en un requisito personalizado de
Opciones para reparacin de integridad del host .............................. 700
Configurar la cancelacin de la reparacin de integridad del
host ............................................................................. 700
Configurar el tiempo que se esperar la reparacin de integridad
del host ........................................................................ 700
Contenido 37
Acerca de la restauracin de aplicaciones y archivos para

Permitir que los usuarios pospongan una reparacin de integridad
del host ........................................................................ 701
Reparacin de integridad del host y configuracin de
Enforcer ....................................................................... 703
Administrar polticas de integridad del host .................................... 704
Aplicar polticas de integridad del host ..................................... 704
Ver informacin acerca de polticas de integridad del host ........... 705
Editar polticas de integridad del host ...................................... 705
Reemplazar polticas de integridad del host ............................... 706
Alternar polticas de integridad del host ................................... 707
Copiar polticas de integridad del host ...................................... 707
Exportar polticas de integridad del host ................................... 708
Importar polticas de integridad del host .................................. 709
Retirar polticas de integridad del host ..................................... 710
Eliminar polticas de integridad del host ................................... 710
Ver el historial de cambios de la poltica de integridad del
host ............................................................................. 711
Captulo 43 Usar Symantec Enforcer para mantener fuera de la

red los puntos finales que no cumplen las polticas
Acerca de los mdulos de Enforcer de Symantec ............................... 714
Diferentes tipos de mdulos de Enforcer ......................................... 714
Enforcer y las comprobaciones de la integridad del host .................... 715
Informacin que verifica el mdulo Enforcer ................................... 716
Comunicacin entre un mdulo de Enforcer y un servidor de
administracin ..................................................................... 716
Comunicacin entre un mdulo de Enforcer y los clientes .................. 717
Descripcin de Gateway Enforcer .................................................. 717
Cmo funciona Gateway Enforcer .................................................. 718
Descripcin general de DHCP Enforcer ........................................... 719
Cmo funciona DHCP Enforcer ..................................................... 720
Descripcin de LAN Enforcer ........................................................ 721
Acerca de la autenticacin 802.1x .................................................. 722
Cmo funciona LAN Enforcer ....................................................... 724
Cmo funciona la configuracin bsica de LAN Enforcer .................... 726
Cmo funciona el modo transparente de LAN Enforcer ...................... 726
Usar la autenticacin 802.1x ......................................................... 727
Acerca de la reautenticacin en el equipo cliente ........................ 730
Compatibilidad con productos de aplicacin de otros
proveedores ........................................................................ 731
38 Contenido
Captulo 44 Administrar mdulos de Enforcer desde la consola

Acerca de la administracin de mdulos de Enforcer desde la
consola ............................................................................... 733
Acerca de la administracin de mdulos de Enforcer desde la pgina
Servidores ........................................................................... 734
Acerca de los grupos de Enforcer ................................................... 735
Cmo la consola determina el nombre de grupo de Enforcer ......... 735
Acerca de los grupos de Enforcer de conmutacin por error .......... 735
Acerca de la creacin de un nuevo grupo de Enforcer .................. 736
Acerca de la modificacin de un nombre de grupo ....................... 736
Acerca de la informacin de Enforcer que aparece en la consola .......... 736
Visualizar informacin acerca de Enforcer desde la consola ............... 737
Modificar el nombre y la descripcin de un mdulo de Enforcer .......... 738
Eliminar un mdulo de Enforcer o un grupo de Enforcer .................... 738
Exportar e importar opciones de grupo de Enforcer .......................... 739
Mensajes emergentes para los clientes bloqueados ........................... 740
Mensajes para los equipos que ejecutan el cliente ....................... 740
Mensajes para los equipos de Windows que no estn ejecutando
un cliente (Gateway o DHCP Enforcer solamente) ................. 741
Configurar los mensajes de Enforcer ........................................ 741
Acerca de la configuracin de clientes y Enforcer ............................. 742
Configurar clientes para utilizar una contrasea para detener el
servicio del cliente ................................................................ 742
Captulo 45 Informes y registros de Enforcer

Acerca de los informes de Enforcer ................................................ 743
Acerca de los registros de Enforcer ................................................ 744
Acerca del registro del servidor de Enforcer .............................. 744
Acerca del registro del cliente Enforcer .................................... 745
Acerca del registro de trfico de gateway de Enforcer .................. 746
Acerca del registro de actividades de Enforcer ........................... 747
Configurar opciones de registro de Enforcer .................................... 748
Deshabilitar el registro de Enforcer ......................................... 748
Enviar registros de Enforcer a la consola .................................. 748
Configurar el tamao y la antigedad de los registros de
Enforcer ....................................................................... 749
Filtrar los registros de trfico para Enforcer .............................. 749
Apndice A Usar la interfaz de lnea de comandos

El servicio del cliente .................................................................. 751
Cdigos de error ................................................................... 755
Contenido 39
Escribir un parmetro si el cliente est protegido con

contrasea .................................................................... 755
ndice
40 Contenido
Seccin 1
Tareas administrativas
bsicas
Descripcin general de Symantec Endpoint Protection Manager
Introduccin a la proteccin bsica
Revisar su estructura de organizacin para la seguridad
Configurar su estructura de organizacin
Administrar administradores
Trabajar con paquetes de instalacin de clientes
Actualizar definiciones y contenido
Configurar mecanismos de notificacin de comunicaciones
Limitar el acceso de usuarios a las funciones de clientes
Fundamentos de la elaboracin de informes
Ver y configurar informes
Ver y configurar registros y notificaciones
Usar Supervisin e Informes para asegurar la red

42
Captulo 1
Descripcin general de
Symantec Endpoint
Protection Manager
En este captulo se incluyen los temas siguientes:
Acerca de este documento
Comprender la Consola de Symantec Endpoint Protection Manager
Cmo se organiza la Consola de Symantec Endpoint Protection Manager
Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager

Este documento es la Gua de administracin para Symantec Endpoint Protection
y Symantec Network Access Control. Se asume que se ha ledo la Gua de instalacin
y se ha instalado el software en un entorno de prueba. La audiencia prevista es el
administrador del sistema que instala Symantec Endpoint Protection Manager
para administrar Symantec Endpoint Protection y Symantec Network Access
Control.
Las tareas administrativas se dividen en dos secciones: bsicas y avanzadas. La
mayora de las organizaciones necesitan realizar solamente las tareas que se
encuentran en los captulos de Tareas administrativas bsicas en la Gua de
administracin para Symantec Endpoint Protection y Symantec Network Access
Control. Es menos probable que estas organizaciones ms pequeas, o menos
complejas, deban realizar las tareas que se describen en la seccin avanzada. La
mayor parte de las opciones predeterminadas deben ser suficientes para sus
requisitos. Estas opciones predeterminadas se describen primero.
44 Descripcin general de Symantec Endpoint Protection Manager
Las organizaciones que deciden hacer un ajuste adicional para requisitos

particulares deben consultar los captulos de Tareas administrativas avanzadas
en la Gua de administracin para Symantec Endpoint Protection y Symantec
Network Access Control. Deben adems consultar las opciones descritas ms tarde
en este documento.
La Tabla 1-1 describe la organizacin de las secciones del documento, quin debe
leer cada seccin y una descripcin del contenido.
Tabla 1-1 Organizacin y contenido del documento
Seccin Audiencia
Seccin 1: Para todos.
Tareas administrativas bsicas Incluye administracin de administradores,

administracin de clientes, actualizacin de
definiciones y contenido, y los fundamentos de la
elaboracin de informes y de la supervisin.
Seccin 2: Para organizaciones ms grandes.
Tareas administrativas avanzadas Incluye administracin de varios sitios,

administracin de servidores de varios tipos,
replicacin de datos de un sitio a otro y administracin
de Proteccin contra intervenciones.
Tareas generales de administracin Incluye una descripcin de las polticas de todos los
de polticas tipos, los conceptos de herencia y de ubicaciones, y el
uso de aplicaciones incorporadas.
Configurar la proteccin antivirus Incluye configuracin de polticas antivirus y contra

y contra software espa software espa, configuracin de Auto-Protect y
configuracin de anlisis definidos por el
administrador.
Seccin 5: Para los que necesitan configurar firewalls.
Configurar la proteccin contra Las opciones predeterminadas generalmente son

amenazas de red suficientes, pero quienes tienen una comprensin
detallada de redes pueden ajustar su configuracin
aqu.
Descripcin general de Symantec Endpoint Protection Manager 45
Seccin Audiencia
Seccin 6: Para los que necesitan ir ms all de las tecnologas

de proteccin antivirus, contra software espa, de
Configurar la proteccin proactiva
prevencin de intrusiones y de firewall.
contra amenazas
Utiliza la heurstica para detectar amenazas
desconocidas.
Seccin 7: Para organizaciones ms grandes.
Configurar excepciones Incluye informacin sobre cmo configurar

centralizadas excepciones para los anlisis antivirus y de software
espa, los anlisis de amenazas proactivos y los
anlisis de Proteccin contra intervenciones.
Seccin 8: Componente opcional.
Tareas de Network Access Control Network Access Control incluye el dispositivo

e integridad del host Enforcer. Esta seccin describe cmo configurar el
appliance para mantener los puntos finales que no
cumplen fuera de la red. Tambin incluye la
configuracin de polticas de integridad del host para
asegurar el cumplimiento de los puntos finales con la
poltica de seguridad.
Apndice A: Para todos.
Usar la interfaz de lnea de Enumera los parmetros de servicio de clientes que

comandos es posible utilizar con el comando smc.
Comprender la Consola de Symantec Endpoint

Protection Manager
La Consola de Symantec Endpoint Protection Manager proporciona una vista
profundizada de la seguridad de su red. Proporciona una ubicacin central desde
la cual administrar Symantec Endpoint Protection y Symantec Network Access
Control. La consola es el lugar donde se realizan cambios de las polticas de
seguridad de los clientes.
Iniciar sesin en Symantec Endpoint Protection Manager

Inicie sesin en la Consola de Symantec Endpoint Protection Manager despus
de instalar Symantec Endpoint Protection. Es posible iniciar sesin en la Consola
de Symantec Endpoint Protection Manager de cualquiera de dos maneras. Es
posible iniciar sesin remotamente, desde otro equipo que cumpla los requisitos
del sistema para una Consola remota. Es posible adems iniciar sesin en la Consola
de Symantec Endpoint Protection Manager localmente, usando el equipo en el
cual Symantec Endpoint Protection Manager est instalado.
Muchos administradores inician sesin remotamente y pueden hacer las mismas
tareas que los administradores que inician sesin localmente. Usted inici sesin
localmente cuando instal Symantec Endpoint Protection. Para iniciar sesin
remotamente, es necesario saber la direccin IP o el nombre de host de Symantec
Endpoint Protection Manager. Debe adems asegurarse de que las opciones de
Internet del navegador Web permitan que se vea el contenido del servidor en el
que se va a registrar.
Qu es posible ver y hacer desde la Consola de Symantec Endpoint Protection
Manager depende del tipo de administrador que usted sea. Es posible iniciar sesin
como administrador del sistema, administrador o administrador limitado. Un
administrador del sistema tiene privilegios completos a travs de todos los
dominios. Un administrador tiene privilegios que se limitan a un dominio
especfico. Un administrador limitado tiene un subconjunto de los privilegios de
administrador y adems est limitado a un dominio especfico. Si usted es la
persona que instal Symantec Endpoint Protection Manager, usted es
administrador del sistema. Si otro usuario instal el administrador, su estado
puede ser diferente. Si es as, debe leer el material en el vnculo que sigue. La
mayora de las organizaciones, sin embargo, no necesitan ocuparse de los dominios
o el estado de administrador limitado.
La mayora de los administradores en organizaciones ms pequeas inician sesin
como administrador del sistema.
Ver "Acerca de los administradores" en la pgina 97.
Para iniciar sesin en la Consola de Symantec Endpoint Protection Manager

remotamente
1 Abra un navegador Web y escriba la direccin siguiente en el cuadro de
direccin:
http://nombre de host:9090
donde nombre de host es el nombre de host o la direccin IP de Symantec
Endpoint Protection Manager. De forma predeterminada, la Consola de
Symantec Endpoint Protection Manager utiliza el nmero de puerto 9090,
pero es posible modificarlo manualmente en el servidor de administracin.
2 Cuando se vea la pgina Web de la Consola de Symantec Endpoint Protection
Manager, haga clic en el vnculo para visualizar la pantalla de inicio de sesin.
El equipo desde el cual usted inici sesin debe tener el entorno Java 2 Runtime
Environment (JRE, Java Runtime Environment) instalado. Si no, se le pedir
que lo descargue e instale. Siga las indicaciones para instalar JRE.
El equipo debe adems tener Active X y generacin de script habilitados.
3 Cuando usted inicia sesin, es posible ver otro mensaje que advierte de una
discordancia del nombre de host. Si aparece este mensaje, en respuesta a la
indicacin, haga clic en S.
Este mensaje significa que la URL de la Consola de Symantec Endpoint
Protection Manager remota que usted especific no coincide con el nombre
del certificado de Symantec Endpoint Protection. Este problema ocurre si se
inicia sesin y se especifica una direccin IP en lugar del nombre del equipo
de la Consola de Symantec Endpoint Protection Manager.
4 En la ventana de la descarga de Symantec Endpoint Protection Manager que
aparece, haga clic en el vnculo para descargar Symantec Endpoint Protection
Manager.
5 Haga clic en S o No segn lo deseado cuando se le consulte si desea crear
accesos directos de escritorio y del men de inicio.
Ambas son opciones aceptables.
6 En la ventana de inicio de sesin de la Consola de Symantec Endpoint
Protection Manager que se visualiza, escriba su nombre de usuario y
contrasea. Si este inicio de sesin es su primer inicio de sesin de Symantec
Endpoint Protection despus de la instalacin, escriba el nombre de cuenta:
admin. A continuacin, escriba la contrasea que usted configur cuando
instal el producto.
7 Si su red tiene solamente un dominio, omita este paso.

Si su red tiene varios dominios, en el cuadro de texto Dominio, escriba el
nombre del dominio en el cual desee iniciar sesin.
Si el cuadro de texto Dominio no se ve, haga clic en Opciones>>. Que el cuadro
de texto Dominio sea visible depende de su estado la vez ltima que usted
inici sesin.
8 Haga clic en Iniciar sesin.
Es posible recibir uno o ms mensajes de advertencia de seguridad al iniciar
la Consola de Symantec Endpoint Protection Manager remota. De ser as,
haga clic en S, Ejecutar, Inicio, o su equivalente y contine hasta que se
visualice la Consola de Symantec Endpoint Protection Manager.
Para modificar el nmero de puerto que se utiliza para los inicios de sesin de la
Consola de Symantec Endpoint Protection Manager remota
1 En el servidor de administracin, abra el archivo unidad:\Program
Files\Symantec\Symantec Endpoint Protection
Manager\tomcat\conf\server.xml con WordPad o un editor similar. No utilice
el Bloc de notas.
2 En el archivo que usted abri, busque el elemento <Service name="SCM">.
3 Localice el subelemento <Connector acceptCount> que tiene el atributo de
puerto igual a 9090.
El elemento <Service name="SCM"> contiene ms de un subelemento
<Connector acceptCount>.
4 Cambie el 9090 en el atributo port=9090 por el nmero de puerto que desee

utilizar para los inicios de sesin remotos.
5 Guarde y cierre el archivo server.xml.
Para iniciar sesin en la Consola de Symantec Endpoint Protection Manager
localmente
1 Desde el men Inicio de Windows, seleccione Programas>SymantecEndpoint
Protection Manager > Consola de Symantec Endpoint Protection Manager.
2 En la pantalla de inicio de sesin de la Consola de Symantec Endpoint
Protection Manager, escriba su nombre de usuario y contrasea.
Si este inicio de sesin es el primer inicio de sesin en Symantec Endpoint
Protection despus de la instalacin, escriba el nombre de cuenta (admin) y
la contrasea que usted configur durante la instalacin.
3 Si su sistema tiene solamente un dominio, vaya al paso 4.

En el cuadro de texto Dominio, escriba el nombre del dominio en el cual desee
iniciar sesin.
Si el cuadro de texto Dominio no se ve, haga clic en Ms opciones>>. Que el
cuadro de texto Dominio sea visible depende de su estado la vez ltima que
usted inici sesin.
Cmo se organiza la Consola de Symantec Endpoint

Protection Manager
Cuando usted inicia sesin por primera vez en Symantec Endpoint Protection
Manager, se ve la pgina principal de la Consola de Symantec Endpoint Protection
Manager y una barra de navegacin que contiene fichas de la pgina.
Pginas de la Consola de Symantec Endpoint Protection Manager

La barra de navegacin de la Consola de Symantec Endpoint Protection Manager
se ubica sobre la cara izquierda del panel. Symantec Endpoint Protection Manager
contiene seis pginas. Cada una de las pginas representa una categora funcional
de administracin importante. Un icono representa cada categora funcional,
junto con el texto descriptivo sobre la funcin de esa pgina. Es posible hacer clic
en un icono en la barra de navegacin para visualizar su pgina correspondiente.
Los iconos estn siempre disponibles para ayudarlo a navegar de pgina en pgina.
La Figura 1-1 muestra una barra de navegacin de Symantec Endpoint Protection
Manager de ejemplo.
Figura 1-1 Barra de navegacin
Nota: Los administradores del sistema y los administradores limitados pueden

ver pocas opciones, dependiendo de los permisos que se asignan a sus cuentas.
La pgina principal, la pgina Supervisin y la pgina Informes proporcionan las

funciones de elaboracin de informes que se utilizan para supervisar la seguridad
de su red. La pgina Polticas, la pgina Clientes y la pgina Administrador se
utilizan para configurar y administrar su poltica de seguridad de red.
La Tabla 1-2 enumera cada icono de la barra de navegacin y describe las funciones
a las cuales conecta.
Tabla 1-2 Iconos de navegacin
Etiqueta Descripcin
Pgina Muestra el estado de seguridad de su red e informacin de resumen de las

principal definiciones de virus. Esta pgina es su panel de control y es la pgina
predeterminada en la cual se abre la Consola de Symantec Endpoint
Protection Manager.
Supervisin Muestra los registros de supervisin. Es posible adems utilizar estas pginas
para ver y configurar notificaciones, y para supervisar el estado de los
comandos.
Informes Muestra los informes. Tiene una variedad de informes rpidos predefinidos
y personalizables, e informes programados configurables.
Polticas Muestra las polticas para cada tipo de polticas. Utilice esta pgina para
administrar sus polticas.
Clientes Muestra la informacin de polticas para los clientes y los grupos. Utilice
esta pgina para administrar las polticas que se transfieren a los clientes
a travs de paquetes de instalacin.
Administrador Muestra informacin de configuracin especfica para el administrador.
Acerca de las pginas de la Consola de Symantec

Endpoint Protection Manager
En esta seccin se discute cada una de las pginas de la Consola de Symantec
Endpoint Protection Manager y se describe la funcionalidad disponible en cada
pgina.
La pgina Principal
La pgina Principal muestra informacin general del estado de seguridad e
informacin de resumen de definiciones de virus. Si tiene Symantec Endpoint
Protection instalado, su pgina principal muestra informacin sobre la seguridad
de su red. Si ha instalado Symantec Network Access Control solamente, su pgina
principal muestra informes generados automticamente sobre el estado de

cumplimiento de su red.
La pgina principal de Symantec Endpoint Protection contiene las secciones
siguientes:
Estado de seguridad
Resumen de acciones por cantidad de detecciones
Ataques, Detecciones o Infecciones por hora: ltimas 24 horas
Resumen del estado, incluidas las notificaciones no reconocidas de las ltimas
24 horas
Distribucin de definiciones de virus o Firmas de prevencin de intrusiones
Informacin y vnculos de Security Response
Resumen de aplicaciones en observacin
Informes favoritos
Ver "Usar la pgina principal de Symantec Endpoint Protection" en la pgina 171.
La pgina principal de Symantec Network Access Control contiene las secciones
siguientes:
Error en el estado de cumplimiento de la red
Distribucin del estado de cumplimiento
Resumen de clientes por error de cumplimiento
Detalles del error de cumplimiento
Ver "Usar la pgina principal de Symantec Network Access Control"
en la pgina 181.
Estado de seguridad
El estado de seguridad es Bueno o Se necesita atencin. Si el estado es Se necesita
atencin, es posible hacer clic en el icono de X rojo o en el vnculo Ms detalles
para obtener ms informacin. Es posible hacer clic en el vnculo Preferencias a
la derecha para configurar los umbrales que definen un estado de seguridad Se
necesita atencin.
Ver "Configurar umbrales de estado de seguridad" en la pgina 185.
Informes favoritos
De forma predeterminada, la seccin Informes favoritos de la pgina principal
contiene los informes siguientes:
Principales fuentes de ataque

Correlacin principal de detecciones de riesgos
Distribucin de amenazas proactiva
Es posible hacer clic en el icono del signo ms a la derecha de Informes favoritos
para modificar qu informes aparecen en esta seccin de la pgina principal.
Ver "Configurar Informes favoritos en la pgina principal" en la pgina 178.
La pgina Supervisin
Utilice la pgina Supervisin para visualizar informacin de registros, para ver
y configurar notificaciones, y para ver el estado de los comandos. Esta pgina
contiene los registros y las notificaciones que los administradores pueden utilizar
para supervisar sus redes.
La pgina Supervisin contiene las fichas siguientes:
Resumen
Si tiene Symantec Endpoint Protection instalado, hay varias vistas de resumen
para elegir. Es posible optar por ver Antivirus y proteccin proactiva contra
amenazas, Proteccin contra amenazas de red, Cumplimiento o Estado del
sitio. Si ha instalado Symantec Network Access Control solamente, despus la
ficha Resumen muestra la informacin de Estado del sitio. Si ha instalado
Symantec Network Access Control solamente, la informacin de Cumplimiento
aparece en la pgina principal.
Ver "Usar la ficha Resumen de Supervisin" en la pgina 226.
Registros
Los registros presentan informacin detallada que se recoge de sus productos
de seguridad. Registros contiene datos de eventos de los servidores de
administracin y de los clientes. Es posible adems realizar acciones desde
algunos de los registros. Algunos administradores prefieren supervisar su red
principalmente usando registros.
Ver "Acerca de tipos, contenido y comandos de registros" en la pgina 220.
Estado del comando
La ficha Estado del comando muestra el estado de los comandos que se han
ejecutado desde la Consola de Symantec Endpoint Protection Manager y sus
detalles.
Ver "Ejecutar comandos y acciones de registros" en la pgina 235.
Notificaciones
Una notificacin es un mensaje que advierte sobre potenciales problemas de
seguridad en su red. Es posible configurar muchas clases diferentes de eventos
para activar una notificacin. Las notificaciones en la ficha Notificaciones se

dirigen a los administradores, no a los usuarios.
Ver "Usar notificaciones" en la pgina 244.
La pgina Informes
Utilice la pgina Informes para obtener descripciones amplias del estado de
seguridad en su red. Los informes son instantneas grficas de los eventos que
suceden en su red y estadsticas sobre los eventos. Es posible utilizar los filtros
en la pgina Informes para elaborar informes predefinidos o personalizados. Los
informes predefinidos se encuentran en la ficha Informes rpidos. En la ficha
Informes programados, es posible programar informes que se ejecuten en
intervalos regulares y enviarlos por correo electrnico a usted mismo o a otros
usuarios.
Ver "Acerca de los informes" en la pgina 192.
La pgina Polticas
Utilice la pgina Polticas para administrar la aplicacin de polticas de seguridad,
la comprobacin de integridad del host y la reparacin automatizada para todos
los clientes. Los clientes se conectan al servidor para conseguir las ltimas polticas
y opciones de seguridad, y las actualizaciones de software se implementan desde
all. Las polticas que se visualizan dependen de los componentes del producto
que usted instal.
La pgina Polticas contiene los paneles siguientes:
Ver polticas
El panel Ver polticas enumera los tipos de polticas que se pueden ver en el
panel superior derecho: Antivirus y proteccin contra software espa, Firewall,
Prevencin de intrusiones, Control de aplicaciones y dispositivos, LiveUpdate
y Excepciones centralizadas. Haga clic en la flecha al lado de Componentes de
polticas para expandir la lista de componentes, si an no se visualiza.
Componentes de polticas
El panel Componentes de polticas enumera los distintos tipos de componentes
de polticas que estn disponibles. Estos componentes incluyen listas de
servidores de administracin, listas de huellas digitales de archivos, entre
otros.
Tareas
El panel Tareas enumera las tareas apropiadas para la poltica que se selecciona
bajo Ver polticas.
El panel derecho
El panel derecho se modifica en respuesta a la poltica que se selecciona bajo

Ver polticas. Para algunas opciones, el panel est dividido horizontalmente.
En estos casos, la mitad inferior del panel muestra los cambios recientes para
la poltica seleccionada.
Para obtener informacin sobre los diversos tipos de polticas y sus opciones,
consulte los captulos que describen las polticas.
La pgina Clientes
Utilice la pgina Clientes para administrar los equipos y los usuarios de su red.
La pgina Clientes de Symantec Endpoint Protection Manager contiene los paneles
siguientes:
Ver clientes
Los grupos de la estructura de administracin de clientes, dispuestos
jerrquicamente en una estructura de rbol. Inicialmente, esta estructura
contiene el grupo Global y debajo de ste, el grupo Temporal.
Tareas
El panel Tareas enumera las tareas relacionadas con el cliente que es posible
realizar.
El panel derecho
El panel derecho contiene cuatro fichas: Clientes, Polticas, Detalles y Paquetes
de instalacin. Cada ficha muestra el contenido que pertenece al grupo que
usted seleccion en el rbol Ver.
Es posible realizar las siguientes tareas desde la ficha Clientes:
Agregar grupos, cuentas de equipo y cuentas de usuario.
Importar una unidad organizativa o un contenedor.
Importar usuarios directamente desde Active Directory o un servidor LDAP.
Ejecutar comandos en los grupos.
Buscar clientes.
Configurar el filtro de visualizacin para un grupo.
Buscar equipos no administrados.
Desde la ficha Polticas, es posible configurar algunas opciones independientes
de la ubicacin para el contenido de LiveUpdate, los registros de clientes, las
comunicaciones y algunas opciones generales. Es posible adems configurar
algunas opciones especficas de la ubicacin, tales como el modo de control y la
transferencia u obtencin de comunicacin entre el servidor y el cliente. Es posible
realizar las siguientes tareas desde la ficha Polticas:
Agregar ubicaciones.
Administrar ubicaciones.
Copiar polticas de grupo.
Agregar grupos.
Es posible realizar las siguientes tareas desde la ficha Detalles:
Agregar grupos.
Importar una unidad organizativa o un contenedor.
Eliminar grupos.
Cambiar nombres de grupos.
Mover grupos.
Editar propiedades de grupos.
Desde la ficha Instalacin de cliente, es posible configurar y agregar un nuevo
paquete de instalacin de clientes. Utilice Symantec Endpoint Protection Manager
para crear y despus exportar uno o ms paquetes de instalacin de clientes a un
servidor de administracin en el sitio. Despus de exportar el paquete de
instalacin de clientes al servidor de administracin, se instalan los archivos del
paquete en los equipos cliente.
Acerca de los iconos de estado de los clientes

Cuando se ven los clientes en los grupos, aparecen iconos al lado de los clientes
que indican el estado.
La Tabla 1-3 ilustra y describe los iconos.
Tabla 1-3
Icono Descripcin
Este icono indica el estado siguiente:
El cliente se est comunicando con Symantec Endpoint Protection

Manager.
El cliente est en modo de equipo.
El cliente no se est comunicando con Symantec Endpoint

Protection Manager.
El cliente se pudo haber agregado desde la consola y puede no tener
ningn software de cliente de Symantec instalado.
Icono Descripcin

Manager.
El cliente es un detector no administrado.

Protection Manager.

Manager.
El cliente est en modo de usuario.

Protection Manager.
El cliente est en modo de usuario.
El cliente se pudo haber agregado desde la consola y puede no tener
ningn software de cliente de Symantec instalado.

Manager en otro sitio.


La pgina Administrador
Utilice la pgina Administrador para administrar las cuentas de administrador,
las propiedades de dominio, de servidor y de sitio, y los paquetes de instalacin
de clientes para su red. Cuando se selecciona la ficha Administradores, el panel
Ver muestra todos los administradores que administran el dominio en el cual el
administrador inici sesin. Incluye todos los administradores del sistema,
administradores y administradores limitados.
La pgina Administrador de Symantec Endpoint Protection Manager contiene los
paneles siguientes:
Ver administradores, Dominios, Servidores o Paquetes de instalacin. La vista
que aparece depende de la seleccin que se hace en la parte inferior del panel
de navegacin.
Tareas
El panel Tareas enumera las tareas que es posible realizar desde la pgina
Administrador. Estas tareas se modifican de acuerdo con la seleccin que se
hace en la parte inferior del panel de navegacin.
El panel derecho
El panel derecho muestra el contenido relacionado con la seleccin que se hace
en la parte inferior del panel de navegacin.
Cuando se selecciona Administradores, es posible agregar, eliminar y editar cuentas
de administrador.
Cuando se selecciona Dominios, es posible agregar dominios, cambiar su nombre
y editar sus propiedades. Dominios proporciona una manera lgica de agrupar
los equipos en redes grandes. Si tiene una red pequea, probablemente utilice
solamente el dominio predeterminado, cuyo nombre es Predeterminado.
Cuando se selecciona Servidores, las tareas que estn disponibles cambian basadas
en lo que se ha seleccionado en el rbol de navegacin Ver servidores. Es posible
seleccionar Sitio local, un servidor especfico o el host local.
Cuando se selecciona Sitio local, es posible realizar las siguientes tareas:
Editar las propiedades del sitio, tales como el perodo de tiempo de espera de
la consola, opciones de LiveUpdate y opciones de la base de datos.
Configurar el registro externo para enviar datos de registro a un servidor de
archivos o a un servidor Syslog.
Agregar un asociado para la replicacin del sitio.
Descargar contenido de LiveUpdate.
Ver el estado de LiveUpdate.
Ver descargas de LiveUpdate.

Cuando se selecciona un servidor especfico, es posible realizar las siguientes
tareas:
Editar las propiedades de servidor, tales como las opciones del servidor de
correo, el servidor de directorios y el servidor proxy.
Eliminar servidores.
Administrar certificados de autenticacin de servidor.
Configurar la autenticacin RSA SecurID.
Importar y exportar las propiedades de este servidor como un archivo XML.
Cuando se selecciona Paquetes de instalacin, es posible agregar, eliminar, editar
y exportar los paquetes de instalacin de clientes. Es posible adems enviar un
paquete a los grupos y configurar opciones para recoger informacin del usuario.
Captulo 2
Introduccin a la proteccin
bsica
Categoras de proteccin
Symantec Endpoint Protection proporciona varias categoras de proteccin para
los equipos de su red de seguridad.
Estas categoras incluyen:
Proteccin antivirus y contra software espa
Proteccin contra amenazas de red
Proteccin proactiva contra amenazas
Integridad del host y Control de acceso a la red (parte de Symantec Network
Access Control)
Nota: Integridad del host y Control de acceso a la red estn disponibles solamente
con el producto Symantec Network Access Control. Symantec Network Access
Control puede ser instalado solo, o puede ser instalado con Symantec Endpoint
Protection. El resto de las categoras de proteccin vienen estndar con Symantec
Endpoint Protection y no vienen con Symantec Network Access Control.
La Figura 2-1 muestra las categoras de amenazas bloqueadas por cada tipo de
proteccin.
62 Introduccin a la proteccin bsica
Figura 2-1 Descripcin de la capa de proteccin
Internet Red
empresarial
Puertas traseras Vulnerabilidades Modificaciones Publicidad no

Ataques de de aplicaciones de archivos/ deseada
denegacin de Puertas traseras procesos/registro Puertas traseras
servicio Vulnerabilidades Amenazas Software espa
Anlisis de del SO internas Caballos de
puertos Caballos de Registradores de Troya
Ataques de pila Troya pulsaciones Gusanos
Caballos de Gusanos Retrovirus Virus
Troya Software espa
Gusanos Ataques dirigidos
Proteccin Caballos de
Troya
contra Gusanos
amenazas Amenazas de
de red da cero
Poltica
de firewall
Poltica de
prevencin de
intrusiones
Tarjeta de interfaz de red
Poltica de
control de
aplicaciones y
Sistema de archivos dispositivos
Proteccin antivirus y contra software espa
Poltica
antivirus y
contra software
Memoria/perifricos espa
Punto final
Acerca de la proteccin antivirus y contra software espa

La proteccin antivirus y contra software espa de Symantec Endpoint Protection
proporciona proteccin contra virus y riesgos de seguridad y, en muchos casos,
puede reparar sus efectos secundarios. La proteccin incluye el anlisis en tiempo
real de archivos y del correo electrnico, as como anlisis programados y anlisis
Introduccin a la proteccin bsica 63
que es posible ejecutar cuando lo necesite. Los anlisis antivirus y contra software
espa detectan virus y riesgos de seguridad, como aplicaciones de publicidad no
deseada, software espa y otros archivos riesgosos para un equipo o una red.
Los anlisis adems detectan rootkits de nivel de ncleo. Los rootkits son
programas que intentan ocultarse del sistema operativo de un equipo y podran
utilizarse para propsitos maliciosos.
Es posible aplicar la poltica antivirus y contra software espa predeterminada a
los equipos cliente en su red. Es posible crear polticas antivirus y contra software
espa adicionales y aplicarlas segn sea necesario. Es posible editar la poltica
cuando los requisitos de su red de seguridad cambien.
La poltica antivirus y contra software espa predeterminada est diseada para
compaas de todos los tamaos. Proporciona una proteccin fuerte al mismo
tiempo que reduce al mnimo el impacto a los recursos de punto final.
Ver "Acerca de trabajar con polticas antivirus y contra software espa"
en la pgina 454.
Acerca de la proteccin contra amenazas de red

La proteccin contra amenazas de red proporciona proteccin de firewall y
prevencin de intrusiones para evitar que los ataques de intrusin y el contenido
malicioso alcancen el equipo que ejecuta el cliente de Symantec Endpoint
Protection. El firewall permite o bloquea el trfico de red basado en diversos
criterios establecidos por el administrador o el usuario final.
Las normas de firewall determinan si un punto final permite o bloquea el acceso
de una aplicacin o un servicio entrante o saliente mediante su conexin de red.
Las normas de firewall permiten que el cliente permita o bloquee sistemticamente
aplicaciones y trfico entrantes o salientes hacia direcciones IP y puertos
especficos o desde ellos. La configuracin de seguridad detecta e identifica ataques
comunes, enva mensajes de correo electrnico despus de un ataque, muestra
mensajes personalizables y realiza otras tareas de seguridad relacionadas.
El cliente adems analiza toda la informacin entrante y saliente en busca de los
patrones de datos tpicos de un ataque. Detecta y bloquea el trfico
malintencionado y los intentos de ataque al equipo cliente por parte de usuarios
externos. La prevencin de intrusiones tambin controla el trfico saliente y evita
la propagacin de gusanos.
La poltica de proteccin contra amenazas de red predeterminada est diseada
para compaas de todos los tamaos. Proporciona una proteccin fuerte al mismo
tiempo que reduce al mnimo el impacto a los recursos de punto final. Es posible
editar la poltica predeterminada o crear nuevas polticas y aplicarlas a los puntos
finales en su red.
Ver "Acerca de la proteccin contra amenazas de red" en la pgina 524.
Acerca de la proteccin proactiva contra amenazas

La proteccin proactiva contra amenazas proporciona proteccin contra
vulnerabilidades de ataques de da cero en su red. Las vulnerabilidades de ataque
de da cero son las nuevas vulnerabilidades que todava no son pblicamente
conocidas. Las amenazas que aprovechan estas vulnerabilidades pueden evadir
la deteccin basada en firmas (tal como sofware espa y definiciones contra
software espa). Los ataques de da cero se pueden utilizar en ataques dirigidos y
en la propagacin de cdigo malicioso.
La proteccin proactiva contra amenazas incluye lo siguiente:
Anlisis de amenazas proactivo
Polticas de control de aplicaciones y dispositivos
Las opciones predeterminadas para la proteccin proactiva contra amenazas estn
diseadas para compaas de todos los tamaos. Es posible editar esa configuracin
y crear nuevas a medida que sus necesidades se modifican.
El anlisis de amenazas proactivo utiliza la heurstica para sealar procesos y
aplicaciones potencialmente dainos. La heurstica inspecciona el comportamiento
de los procesos en un equipo cliente. Por ejemplo, la apertura de un puerto.
Ver "Acerca de los anlisis de amenazas proactivos" en la pgina 583.
Las polticas de control de aplicaciones y dispositivos proporcionan una manera
de bloquear o limitar procesos o dispositivos de hardware en los equipos cliente.
Ver "Acerca de las Polticas de control de aplicaciones y dispositivos"
en la pgina 600.
Acerca de Integridad del host y Control de acceso a la red

Integridad del host es la capacidad de definir, imponer y restaurar la seguridad
de los clientes para asegurar redes y datos de la empresa. Se pueden configurar
polticas de integridad del host para verificar que los clientes que intentan acceder
a la red estn ejecutando el software antivirus, los parches, las correcciones y
otros criterios de aplicacin. Las polticas de integridad del host son configuradas
por los administradores para ejecutarse en los equipos cliente en el inicio y
peridicamente. Cuando se combina con un dispositivo Enforcer opcional,
Integridad del host puede bloquear el acceso de red a los equipos cliente que no
cumplen las polticas.
Introduccin a la proteccin bsica 65
Nota: Integridad del host es una parte de Symantec Network Access Control. Es
ms eficaz cuando se utiliza con el appliance de hardware opcional, Symantec
Enforcer.
Ver "Acerca de las polticas de integridad del host" en la pgina 659.

Enforcer es un appliance de hardware que funciona con Integridad del host para
permitir o bloquear los equipos del acceso de red. Hay varias versiones del
dispositivo Enforcer. Cada una est diseada para diferentes necesidades de red.
Ver "Acerca de los mdulos de Enforcer de Symantec" en la pgina 714.
Captulo 3
Revisar su estructura de
organizacin para la
seguridad
Acerca de la configuracin de su estructura de organizacin
Su estructura de organizacin y su seguridad equivalen a su topologa de

seguridad
Ver su topologa de seguridad
Acerca de los grupos y dominios
Acerca de los clientes
Acerca de los usuarios y los equipos
Revisar qu proteccin se aplica
Revisar los administradores
Revisar opciones de comunicacin de los clientes y el servidor
Acerca de la configuracin de su estructura de

organizacin
La estructura de organizacin para Symantec Endpoint Protection est compuesta
por grupos, usuarios y equipos. La idea de los grupos es central para la
configuracin de su estructura. Es muy similar al concepto de grupos de usuario
68 Revisar su estructura de organizacin para la seguridad
Su estructura de organizacin y su seguridad equivalen a su topologa de seguridad
en Windows. El propsito de los grupos es simplificar la aplicacin de polticas

de seguridad. En vez de asignarlas a cada equipo cliente individual, es posible
asignarlas a un grupo o a varios grupos.
Los grupos son colecciones de equipos cliente. El servidor de Symantec Endpoint
Protection Manager administra estos equipos cliente. Estas colecciones se pueden
basar en diversos parmetros. Por ejemplo, el grupo puede basarse en la geografa
(todos los clientes de una sucursal). Puede tambin basarse en la organizacin
(todos los clientes del departamento de ventas). Defina sus grupos de una manera
que corresponda a su estructura de organizacin. Un usuario es un cliente definido
por el nombre de inicio de sesin. Un equipo es un cliente definido por el
componente fsico de hardware.
Es posible crear y ordenar los grupos en una estructura de rbol jerrquica para
representar la estructura de su empresa. Se pueden asignar polticas de seguridad
a los grupos y las ubicaciones dentro de esos grupos. Por lo tanto, la creacin de
grupos puede ser una de las primeras cosas que hacen los administradores cuando
configuran Symantec Endpoint Protection Manager. Es posible despus definir
las polticas de seguridad que se basan en las necesidades de seguridad de cada
grupo y aplicarlas usando el administrador.
Es posible adems importar la unidad organizativa (UO) desde un servidor de
directorios (LDAP o Active Directory). Configure su estructura de organizacin
de esta manera. Esta estructura sincroniza automticamente los grupos de
Symantec Endpoint Protection Manager con los grupos del servidor de directorios.
Ver "Sincronizar cuentas de usuario entre servidores de directorios y Symantec
Endpoint Protection Manager" en la pgina 291.
Ver "Importar informacin sobre usuarios desde un servidor de directorios LDAP"
en la pgina 292.
Ver "Acerca de las unidades organizativas y el servidor LDAP" en la pgina 296.
Su estructura de organizacin y su seguridad

equivalen a su topologa de seguridad
La configuracin de la proteccin de su red se puede considerar su topologa de
seguridad. La topologa de seguridad hace referencia a la configuracin de
seguridad de su empresa, incluidos los componentes reales de hardware y software
de servidores y clientes. Para contener una infeccin por virus o proteger sus
equipos contra otras amenazas de seguridad es fundamental poseer una
comprensin de la topologa de seguridad de su red. Varias herramientas lo ayudan
a comprender su topologa de seguridad. Una herramienta es crear un mapa, o
utilizar un mapa que tenga, para ver la ubicacin lgica de sus equipos cliente.
Revisar su estructura de organizacin para la seguridad 69
Disee este mapa de forma que sea posible aislar y limpiar sistemticamente los
equipos de cada seccin antes de volver a conectarlos a su red local.

El primer paso era comprender su topologa de red. A continuacin, es necesario
comprender cmo funcionan los productos antivirus y de seguridad para proteger
su red. A continuacin, es necesario comprender cmo estos productos distribuyen
las actualizaciones de definiciones de virus y de seguridad.
Tenga en cuenta la siguiente informacin:
Qu programas de seguridad protegen actualmente los servidores y los equipos
cliente?
Cul es el plan para comprobar, evaluar e instalar actualizaciones del sistema
operativo y de la red?
Cul es la programacin para actualizar el contenido, incluidas las definiciones
de virus?
De qu mtodos alternativos se dispone para obtener las actualizaciones si
los canales normales son atacados?
Qu archivos de registro estn disponibles para los administradores?

Los grupos y los dominios son construcciones estructurales dentro de las empresas
que se administran desde Symantec Endpoint Protection Manager. El propsito
de los grupos y los dominios es proporcionar a los administradores una manera
de administrar grupos de equipos como una unidad. Los dominios se configuran
tpicamente slo como parte de una empresa grande. Un modelo comercial pequeo
o mediano generalmente no se divide en dominios. Los dominios son una funcin
opcional.
Acerca de los dominios

Symantec Endpoint Protection Manager puede organizarse en segmentos
administrativos llamados dominios. Un dominio contiene un grupo de equipos y
usuarios (clientes) administrado por un administrador que tiene una vista limitada
de la consola de Symantec Endpoint Protection Manager. Un administrador de
dominio no tiene ningn icono de Servidores en la pgina Administrador y ve
solamente los clientes del dominio. Un dominio puede representar, por ejemplo,
una divisin dentro de una compaa, un departamento, una compaa separada

o cualquier otro segmento aislado de usuarios.
Los administradores del sistema tienen acceso a todos los dominios, mientras que
los administradores de dominio pueden acceder solamente al dominio al cual estn
asignados para trabajar. Todos los datos de cada dominio estn totalmente
separados, lo cual impide que los administradores de un dominio vean los datos
de otros dominios. Adems, los administradores no tienen acceso al icono
Servidores en la pgina Administrador, y es posible restringir an ms su acceso
dentro de la consola.
Ver "Acerca de los administradores" en la pgina 97.
Ver los dominios para una red de empresa

Solamente un administrador del sistema puede ver los dominios de una red de
empresa.
Para ver los dominios para una red de empresa
1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Administrador.
2 En la pgina Administrador, en el panel Tareas, haga clic en la opcin
Dominios.
Es necesario ser administrador del sistema para acceder a la opcin Dominios.
Acerca de los grupos

Todos los clientes de una red de empresa se ordenan en grupos con necesidades
y opciones de seguridad similares. Los grupos pueden contener clientes que se
agregan como usuarios o equipos. Si importa usuarios desde un servidor de Active
Directory, la estructura del grupo tambin se importa.
Es posible crear subgrupos bajo todos los grupos existentes, a excepcin del grupo
Temporal. Es posible crear un grupo que se base en ubicacin, departamento o
cualquier otra clasificacin que cumpla las necesidades de su empresa.
Ver los grupos de un dominio

Los grupos se ven en la pgina Clientes. Si hay ms de un dominio, los grupos se
asocian a dominios especificados.
Para ver los grupos de un dominio
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes.
El rbol Ver muestra cada grupo asociado al dominio que se administra.
Administrar los dominios para una red de empresa

Si usted es administrador del sistema, puede crear y administrar dominios. Los
administradores de dominio y los administradores limitados no pueden crear ni
administrar dominios.
Para administrar los dominios para una red de empresa
1 En la pgina Administrador, en el panel Tareas, haga clic en Dominios.
2 En el panel Ver, haga clic en el dominio que desea administrar.
3 En el panel Tareas, haga clic en Administrar dominio.
4 Haga clic en S para confirmar que desea administrar este dominio.
5 En el cuadro de dilogo que identifica el dominio administrado, haga clic en
Aceptar.

Un cliente es cualquier dispositivo de red que se conecte a la red de la empresa y
ejecute aplicaciones basadas en red. Los dispositivos de red pueden incluir equipos
porttiles, equipos de escritorio y servidores.
Ver dnde se ubica el cliente

La funcin de ubicaciones de Symantec Endpoint Protection Manager permite
aplicar diversas polticas de seguridad a diversas ubicaciones. Por ejemplo, el
agente puede ser configurado para pasar automticamente a una poltica de
seguridad diferente si la ubicacin fsica del cliente cambia. Una poltica puede
aplicarse cuando el cliente se conecta en la oficina y otra cuando el cliente se
conecta remotamente.
La poltica de cuarentena es una poltica de firewall, una poltica de proteccin de
acceso, o ambas, que se configura y se aplica a una ubicacin. Usted configura las
normas de la poltica de cuarentena segn sea necesario para la seguridad de la
red. Se utilizan estas funciones para implementar la proteccin de punto final. El
cliente ejecuta la comprobacin de integridad del host. Si los requisitos de la
poltica de integridad del host no se cumplen, el cliente intenta la reparacin. Si
la reparacin falla, el cliente pasa automticamente a una poltica de seguridad
de cuarentena.
Nota: La funcin de comprobacin de integridad del host es un complemento del

grupo predeterminado de funciones de producto.

Los usuarios y los equipos se administran usando las funciones de la pgina
Clientes. Es posible agregarlos individualmente, o importarlos desde Active
Directory o LDAP.
Ver qu usuarios y equipos existen

Los usuarios se ven en la pgina Clientes. Administre un dominio especfico para
visualizar sus usuarios y equipos. Se visualizan bajo la ficha Clientes dentro de la
ventana principal. Si hay ms de un dominio, haga clic para administrar cada
dominio para el cual desee ver sus usuarios y equipos.
Para ver qu usuarios y equipos existen
1 En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes.
El rbol Ver muestra todos los grupos asociados al dominio que se administra.
Si hay solamente un dominio, el rbol Ver muestra todos los grupos.
2 En el panel Grupo, haga clic en Clientes.
Se visualiza cada usuario y equipo que existe dentro del grupo seleccionado
en la pgina.
Revisar qu proteccin se aplica

Cuando se inicia la consola de Symantec Endpoint Protection Manager (la consola),
primero se ve la pgina principal. La pgina principal muestra el nmero de
informes que se especifica en la pgina Informes. Estos informes proporcionan
una vista de qu proteccin se est aplicando.
Ver "La pgina Principal" en la pgina 51.
En el panel principal de la pgina principal, el primer indicador es Estado de
seguridad. Estado de seguridad puede mostrar una marca verde cuando el estado
es correcto o una X roja cuando el estado no es seguro. Haga clic en el icono de X
roja para ver informacin detallada que explica por qu el estado de seguridad es
bajo.
Ver "Estado de seguridad" en la pgina 52.
Las distintas fichas de la pgina Supervisin muestran ms informacin sobre la
proteccin de su equipo.
Ver "La pgina Supervisin" en la pgina 53.
La pgina Polticas muestra las polticas que estn en efecto.
Ver "La pgina Polticas" en la pgina 54.

La ficha Polticas de la pgina Clientes demuestra qu polticas se aplican para
todos los equipos y usuarios en su equipo.
Ver "La pgina Clientes" en la pgina 55.

Las opciones del administrador del sistema, el administrador y el administrador
limitado se configuran usando el Administrador de administradores en la ficha
Administrador. Se ve una lista de administradores en el panel Ver. Haga clic para
seleccionar el nombre de administrador apropiado para ver sus detalles.
La Tabla 3-1 enumera las tareas que es posible realizar en el administrador
seleccionado.
Tabla 3-1 Tareas de administrador de administradores
Tarea Definicin
Cambiar nombre Cambie el nombre del administrador seleccionado.
Establecer Cree una contrasea para el administrador seleccionado.

contrasea
Editar propiedades Edite las propiedades de seguridad general, derechos de acceso y

autenticacin para el administrador seleccionado.
Eliminar Elimina el administrador seleccionado. Se le pedir que confirme la

cancelacin.
Importante: no es posible eliminar el administrador del sistema: admin.
Agregar Cree un nuevo administrador, elija su tipo de autenticacin y seleccione

administrador cualquier restriccin de acceso o elaboracin de informes.
Revisar opciones de comunicacin de los clientes y

el servidor
La configuracin para la comunicacin entre el cliente y el servidor, junto con
otras opciones del cliente, se configuran en la ficha Polticas de Symantec Endpoint
Protection Manager. Estas opciones de comunicacin se almacenan en archivos
en el equipo cliente.
La Tabla 3-2 describe los archivos utilizados para almacenar el estado de la GUI
del cliente.
Revisar opciones de comunicacin de los clientes y el servidor
Tabla 3-2 Archivos de los clientes
Nombre de Descripcin
archivo
SerDef.dat Un archivo cifrado que almacena opciones de comunicacin por

ubicacin. Cada vez que el usuario cambia de ubicacin, se lee el
archivo SerDef.dat y las opciones de comunicacin apropiadas para
la nueva ubicacin se aplican al cliente.
sylink.xml Almacena las opciones de comunicacin globales. Este archivo es para

uso interno solamente y no debe ser editado. Contiene opciones de
Symantec Endpoint Protection Manager. Si edita este archivo, la
mayora de las opciones sern sobrescritas por las opciones de
Symantec Endpoint Protection Manager la prxima vez que el cliente
se conecte a Symantec Endpoint Protection Manager.
SerState.dat Un archivo cifrado que almacena informacin sobre la GUI, tal como
el tamao de la pantalla, si la consola de mensajes se visualiza y si los
servicios de Windows se visualizan. Cuando el cliente se inicia, lee
este archivo y vuelve al mismo estado de GUI que antes de que fuera
detenido.
Captulo 4
Configurar su estructura de
organizacin
Acerca de la configuracin de su estructura de organizacin
Comprender los grupos
Comprender los usuarios y los equipos
Comprender los clientes
Acerca de la ficha Clientes
Administrar grupos
Administrar usuarios y equipos
Acerca de la configuracin de su estructura de

organizacin
Symantec Endpoint Protection utiliza una estructura de organizacin que consta
de grupos, usuarios y equipos. Un grupo es un concepto bsico que es fundamental
para configurar su estructura de organizacin. Un grupo es un conjunto de usuarios
o de equipos. Este concepto es similar al concepto de grupo de usuarios en
Windows.
Su primera tarea cuando se configura Symantec Endpoint Protection es decidir
una estructura jerrquica de grupos. Esta estructura jerrquica de rbol es una
reflexin de la estructura de organizacin de su empresa. A continuacin, usted
define las polticas de seguridad que se basan en las necesidades de seguridad de
76 Configurar su estructura de organizacin
cada grupo. Utilice la ficha Polticas para asignar estas polticas de seguridad a
los grupos y a las ubicaciones dentro de esos grupos.
Symantec Endpoint Protection le proporciona la opcin de importar las estructuras
de grupo de un servidor de directorios (LDAP o Active Directory). Hace esta tarea
permitindole importar las unidades organizativas (OU). Configure su estructura
de organizacin de esta manera para permitir que Symantec Endpoint Protection
sincronice automticamente los grupos en la ficha Clientes con los del servidor
de directorios.

El grupo global es la cima de la estructura jerrquica de rbol. Debajo de l, es
posible agregar los grupos y los subgrupos para reflejar la estructura empresarial
de su organizacin. La estructura jerrquica de rbol incluye tambin, de manera
predeterminada, el grupo Temporary. Los usuarios y los equipos no siempre se
asignan a un grupo apenas se registran en Symantec Endpoint Protection. Se
asignan al grupo Temporary cuando no pertenecen a un grupo predefinido.
Nota: No es posible crear subgrupos en el grupo Temporary.
Ver Figura 4-1 en la pgina 77. para ver un ejemplo de la jerarqua de rbol de
grupos de una organizacin. Es posible crear los grupos que se basan en la
ubicacin, el departamento o cualquier otra clasificacin que cumpla los requisitos
de su empresa.
Configurar su estructura de organizacin 77
Figura 4-1 Ejemplo de jerarqua de rbol de grupos

Otro concepto bsico de Symantec Endpoint Protection es el de usuarios y equipos.
Este entorno es como cualquier entorno de Windows. Es posible definir usuarios
y perfiles de equipos. Es posible adems crear y agregar usuarios y equipos a los
grupos que usted defini. Despus de agregar un usuario o un equipo a un grupo,
se asume la poltica de seguridad que fue asignada al grupo. Utilice la ficha Polticas
para asignar polticas de seguridad a los grupos. Ver "Asignar una poltica
compartida en la pgina Polticas" en la pgina 408. para obtener ms informacin
sobre este proceso.
Es posible decidir dividir los usuarios y los equipos en grupos separados. Se puede
presentar un conflicto, por ejemplo, cuando un usuario de un grupo inicia sesin
en un equipo de otro grupo. La poltica de seguridad que se aplica depende del
modo en el que se ejecuta el software del equipo cliente. El modo puede ser basado
en equipo o basado en usuario. Si el modo es basado en equipo, el software del

equipo cliente obtiene la poltica de seguridad del grupo al que pertenece el equipo.
Si el modo es basado en usuario, el software del equipo cliente obtiene la poltica
del grupo al que pertenece el usuario.
La manera en que se administran los usuarios y los equipos es similar a la manera
en que se administran los grupos. Es posible agregar, eliminar y mover usuarios
y equipos.

Un paquete de software de cliente se implementa en cada equipo o dispositivo
dentro de la red. Existen dos tipos de clientes: los clientes de Symantec Endpoint
Protection y los clientes de Enforcer. Los clientes de Symantec Endpoint Protection
se instalan en los equipos que dependen de Symantec Endpoint Protection para
todas sus necesidades de firewall. Los clientes de Enforcer se instalan en los
equipos que no necesitan un firewall o ya tienen un firewall de otro fabricante.
Puede ejecutar ambos tipos de clientes en su red. Puede modificar tambin el tipo
de software de cliente en un equipo si las necesidades de firewall del equipo se
modifican. Utilice la ficha Clientes en el administrador de polticas para
administrar esta configuracin.
Acerca de la ficha Clientes

Utilice la ficha Clientes para crear su estructura de organizacin. Esta estructura
consta de grupos, usuarios y equipos. Adems usted crea paquetes de instalacin
y de actualizacin de software de cliente desde esta ficha.
La ficha Clientes se ordena en las secciones siguientes: el panel Ver clientes, el
panel Tareas y la pgina Clientes.
El panel Ver clientes se encuentra en la parte superior izquierda de esta pgina.
Muestra la jerarqua de grupos. Utilice este panel para crear y para administrar
grupos, cuentas de usuario y cuentas de equipo. Utilicelo tambin para crear
y administrar paquetes de instalacin de clientes.
El panel Tareas se encuentra en la parte inferior izquierda de esta pgina.
Muestra una lista de todas las acciones que se pueden realizar en la pgina
actual. Esta lista es diferente para cada pgina: Clientes, Polticas, Detalles y
Paquetes de instalacin.
La pgina Clientes se encuentra en la parte central de esta pgina. Esta pgina
enumera los clientes que estn en el grupo seleccionado.
Administrar grupos
Administrar grupos
La estructura de grupo que se define coincide muy probablemente con la estructura
de organizacin de su empresa. Es posible agrupar usuarios y equipos con
necesidades informticas y requisitos de acceso a la red similares. Es posible
administrar estos grupos usando la ficha Clientes de Symantec Endpoint Protection
Manager. Cuando se selecciona un grupo en el rbol Ver clientes, cuatro fichas de
pgina se visualizan en la pgina a la derecha. Cada una de estas fichas se asocia
a la administracin del grupo seleccionado. Las cuatro fichas son Clientes, Polticas,
Detalles y Paquetes de instalacin. Cada una de estas fichas proporciona diversas
opciones para administrar el grupo seleccionado.
El grupo global es la raz de la estructura de rbol. Debajo de ella, es posible agregar
grupos y subgrupos para que se adapten a la estructura de su organizacin. Adems
incluye al grupo temporal de manera predeterminada. Los usuarios y los equipos
no siempre se asignan a un grupo apenas se registran en Symantec Endpoint
Protection. Se asignan al grupo temporal cuando no pertenecen a un grupo
predefinido.
Nota: No es posible crear subgrupos en el grupo temporal.
Ver Figura 4-2 en la pgina 80. para ver un ejemplo de la jerarqua de rbol de
grupos de una organizacin. Base la estructura de grupo de su organizacin en la
ubicacin, el departamento o cualquier otra clasificacin que cumpla los requisitos
de su empresa.
Administrar grupos
Figura 4-2 Ejemplo de jerarqua de rbol de grupos
Tiene la opcin para importar unidades organizativas desde un servidor LDAP.

No es posible utilizar la ficha Clientes para administrar estos grupos despus de
que se importan. No es posible agregar, eliminar o mover los grupos dentro de
una unidad organizativa importada. Es posible asignar polticas de seguridad a la
unidad organizativa importada. Es posible adems copiar usuarios de una unidad
organizativa importada a otros grupos que se enumeren en el panel Ver clientes.
La poltica que fue asignada a un grupo antes de ser importada tiene prioridad.
Una cuenta de usuario puede existir en la unidad organizativa y en un grupo
externo. La poltica que fue aplicada al grupo externo tiene prioridad en esta
situacin.
Si crea un paquete de instalacin para la implementacin, puede incluir polticas
de seguridad para un grupo especfico. En este caso, ese grupo se transforma en
el grupo de equipos cliente preferido. Despus de que se instale el software de
cliente de Symantec Endpoint Protection, ste se conecta a la red. Se agrega
Administrar grupos
automticamente al grupo de equipos cliente preferido, a menos que alguna otra

configuracin del administrador de polticas lo anule. Por ejemplo, usted pudo
haber agregado manualmente un usuario o un equipo en otro grupo en la ficha
Clientes. Despus de que el cliente se conecta a Symantec Endpoint Protection
Manager, el grupo que se especifica en la pgina Clientes anula el especificado en
el paquete de instalacin. Es posible agregar el cliente como equipo o como usuario
en distintos grupos. El cliente se conecta al grupo al que se agreg en modo de
equipo. El grupo que fue especificado en el paquete de cliente pudo haber sido
eliminado previamente. El nombre predeterminado del grupo de equipos cliente
es temporal. El cliente se coloca en este grupo predeterminado cuando no se ha
especificado ningn otro grupo para el usuario o el equipo en la pgina Clientes.
Replicacin de grupos entre sitios

Es posible planificar tener ms de un sitio y replicar su estructura de grupo entre
estos sitios. Si desea replicar grupos entre sitios, verifique que primero haya
configurado su estructura de grupo. Es posible entonces instalar el software de
cliente de Symantec Endpoint Protection en los equipos cliente. Cada cliente que
se instala sin un grupo asignado se asigna al grupo temporal. En un entorno
replicado, hay solamente un grupo temporal. Este grupo temporal reside en el
administrador de polticas para el primer sitio.
Cree su estructura de grupo para cada sitio primero y, a continuacin, cree los
paquetes de instalacin que se basan en esos sitios individuales. Si no crea esta
estructura de grupo primero, todos los clientes se asignan al grupo temporal en
el primer sitio.
Consulte la Installation Guide para Symantec Endpoint Protection y Symantec
Network Access Control para obtener ms informacin sobre la replicacin.
Agregar un grupo
Es posible agregar grupos despus de definir la estructura de grupo para su
organizacin. La estructura de grupo coincide muy probablemente con la estructura
de organizacin de su empresa. Los nombres de los grupos pueden tener hasta
256 caracteres de largo. Las descripciones de los grupos pueden tener hasta 1024
caracteres de largo. Los nombres y las descripciones de los grupos pueden constar
de cualquier carcter, excepto los siguientes: [" / \ * ? < > | :].
Nota: No es posible agregar grupos al grupo temporal.

Administrar grupos
Para agregar un grupo

1 Desde la consola de Symantec Endpoint Protection Manager, haga clic en la
ficha Clientes.
2 Desde el panel Ver clientes, seleccione el grupo al que desea agregar un nuevo
grupo.
3 En el panel Tareas, haga clic en Agregar grupo.
4 En Agregar grupo, para la ventana emergente del nombre de grupo, escriba
el nombre del grupo y su descripcin.
5 Haga clic en Aceptar.
Eliminar un grupo
Es posible eliminar los grupos que ya no se utilizan o que ya no reflejan su
estructura de organizacin. Es posible eliminar un grupo solamente cuando est
vaco. No puede contener ningn subgrupo, usuario o equipo. Si un grupo no est
vaco, se deben mover o eliminar primero los subgrupos, los usuarios o los equipos.
A continuacin, es posible eliminar el grupo. Adems, no es posible eliminar el
grupo global o el grupo temporal.
En ciertas condiciones, Symantec Endpoint Protection Manager reconstruye un
grupo eliminado para un cliente. Esta condicin puede incluir la situacin siguiente.
Se crea un paquete de instalacin (un paquete de actualizacin o un paquete de
nueva instalacin) que especifica ese grupo antes de eliminarlo. Adems, la
configuracin de instalacin Conservar funciones existentes del cliente al
actualizar est habilitada para ese paquete de instalacin. En este caso, cuando
el equipo cliente se conecta a Symantec Endpoint Protection, Symantec Endpoint
Protection Manager reconstruye el grupo que fue especificado en el paquete de
instalacin de cliente.
Para eliminar un grupo
ficha Clientes.
2 En el panel Ver clientes, haga clic con el botn secundario en el grupo que
desee eliminar.
3 En la lista desplegable, haga clic en Eliminar.
4 En la ventana emergente Eliminar, haga clic en S cuando se le pida confirmar
la eliminacin del grupo.
Administrar grupos
Cambiar el nombre de un grupo

Es posible cambiar el nombre de los grupos y los subgrupos para reflejar cambios
en su estructura de organizacin. Es posible cambiar el nombre de un grupo para
actualizar automticamente ese nombre de grupo para todos los usuarios y los
equipos que ya estn asignados a ese grupo. Los equipos cliente en un grupo al
que se le ha cambiado el nombre no deben cambiar de grupo ni descargar un nuevo
perfil de grupo.
Para cambiar el nombre de un grupo
ficha Clientes.
desee eliminar.
3 Haga clic en Cambiar nombre.
4 En la ventana emergente Cambiar nombre del grupo, escriba el nuevo nombre
del grupo.
Mover un grupo
Cualquier grupo junto con sus subgrupos, equipos y usuarios puede moverse de
un nodo del rbol de grupos a otro. Sin embargo, no pueden moverse ni el grupo
global ni el grupo temporal. Adems, no es posible mover los grupos del grupo
temporal o mover un grupo bajo uno de sus subgrupos.
Si un grupo utiliza una poltica heredada, adquiere la nueva poltica heredada del
grupo al cual se mueve. Si tiene una poltica especfica aplicada, mantiene esa
poltica despus del movimiento.
Si no hay una poltica de grupo aplicada explcitamente al grupo que se mueve,
utiliza la poltica de grupo del grupo de destino. Los clientes del grupo que se
mueve utilizan el nuevo perfil.
Para mover un grupo
ficha Clientes.
desee mover.
3 Haga clic en Mover.
Administrar grupos
4 En la ventana emergente Mover grupo, navegue a los nodos del rbol del
grupo para encontrar el grupo de destino al cual desee mover el grupo.
5 Con el grupo de destino seleccionado, haga clic en Aceptar.
Ver las propiedades de un grupo

Cada grupo tiene una pgina de propiedades. Esta pgina enumera la informacin
sobre el grupo. Es posible ver la pgina de propiedades de un grupo de dos maneras.
Puede hacer clic con el botn secundario en el grupo o utilizar el panel Tareas.
Para un grupo existente, es posible modificar solamente dos propiedades en la
ventana emergente Propiedades del grupo: Descripcin y Bloquear nuevos clientes.
El resto de las propiedades que se enumeran en el cuadro de dilogo son de slo
lectura.
Para ver las propiedades de un grupo haciendo clic con el botn secundario en el
nombre del grupo
ficha Clientes.
2 En el panel Ver clientes, elija el grupo cuyas propiedades desea ver.
3 Haga clic con el botn secundario en el nombre del grupo y, a continuacin,
haga clic en Propiedades.
4 Revise los detalles del grupo que se visualizan en la ventana emergente
Propiedades del grupo.
5 Haga clic en Aceptar para cerrar la ventana emergente.
Para ver las propiedades de un grupo desde el panel Tareas
ficha Clientes.
2 En el panel Ver clientes, elija el grupo cuyas propiedades desea ver.
3 Haga clic para seleccionar la ficha Detalles.
Bloquear usuarios de los grupos

Es posible configurar paquetes de instalacin de clientes con su calidad de miembro
de grupo definida ya. Si define un grupo en el paquete, el cliente se agrega
automticamente al grupo apropiado. Se agrega la primera vez que establece una
conexin con Symantec Endpoint Protection Manager.
Es posible activar el bloqueo si no desea que los clientes se agreguen
automticamente a un grupo especfico cuando se conectan a la red.
Administrar grupos
Nota: La opcin de bloqueo evita que se agreguen usuarios a un grupo

automticamente. Es posible bloquear un nuevo cliente para que no se agregue
al grupo al que fue asignado en el paquete de instalacin de clientes. En este caso,
el cliente se agrega al grupo temporal. Es posible mover manualmente un usuario
o un equipo a un grupo bloqueado.
Para bloquear nuevos agentes para que no se agreguen a un grupo

ficha Clientes.
2 En el rbol Ver clientes, elija el grupo en el cual desea bloquear nuevos
clientes.
3 En el panel del grupo, haga clic en la ficha Detalles.
4 Desde el panel Tareas, haga clic en Editar propiedades de grupo.
5 Haga clic para seleccionar la casilla de verificacin Bloquear nuevos clientes.
Buscar grupos, usuarios y equipos

Es posible que tenga que buscar el nombre de un equipo o de un usuario especfico
cuando tiene muchos grupos, equipos y usuarios en su dominio. Utilice la tarea
Buscar clientes para realizar la bsqueda de los clientes basada en los criterios
de bsqueda que usted defina.
La Tabla 4-1 en la pgina 85. enumera los criterios de bsqueda para usuarios y
equipos.
Para buscar clientes
1 Desde la consola de Symantec Endpoint Protection Manager, elija la ficha
Clientes.
2 Desde el panel Ver clientes, elija el grupo que desea buscar.
3 Desde el panel Tareas, elija Buscar clientes.
4 Desde la pgina Buscar clientes, defina su consulta.
5 Utilice Criterios de bsqueda para definir los criterios por los cuales desea
buscar usuarios y equipos.
Tabla 4-1 Criterios de bsqueda de clientes
Usuarios Equipos
Departamento Nombre del equipo

Administrar grupos
Usuarios Equipos
Descripcin Departamento
Direccin de correo electrnico Descripcin
Nmero de empleado Direccin de correo electrnico
Estado de empleo Nmero de empleado
Nombre completo Estado de empleo
Nmero de telfono particular Nombre completo
Puesto Nmero de telfono particular
Nombre del equipo de inicio de sesin Puesto
Nmero de telfono celular Nombre del usuario de inicio de sesin
Nmero de telfono del trabajo Nmero de telfono celular
Sistema operativo Nmero de telfono del trabajo
Nombre de usuario Sistema operativo
Es posible utilizar operadores booleanos estndar en sus criterios de bsqueda.

Utilice estos criterios de bsqueda cuando defina su consulta en 4. La Tabla 4-2
enumera los operadores booleanos y sus descripciones correspondientes.
Tabla 4-2 Criterios de bsqueda de clientes: Operadores booleanos
Operador de comparacin Descripcin
= Igual a
!= No es igual a
> Mayor que
< Menor que
>= Mayor o igual que
<= Menor o igual que
COMO Es similar al valor correspondiente

Administrar grupos
Iniciar una bsqueda

Puede definir los criterios de su bsqueda por el tipo de datos que obtuvo del
usuario y de las propiedades del equipo. Por ejemplo, usted pudo haber decidido
no recopilar informacin de usuario durante la instalacin del software de clientes.
En esta situacin, no es posible hacer bsquedas correctamente en la informacin
contenida en la ficha Informacin del usuario del cuadro de dilogo Propiedades.
Haga clic con el botn secundario en los usuarios y los equipos para acceder al
men que se activa con el botn secundario. Utilice este men para realizar una
variedad de tareas. Estas tareas incluyen ver propiedades, alternar el modo del
cliente, mover, eliminar y habilitar o deshabilitar un sensor LAN de la ventana de
resultados de bsqueda.
Para realizar una bsqueda
1 Desde la consola de Symantec Endpoint Protection Manager, elija la ficha
Clientes.
2 En el panel Ver clientes, elija el grupo que desea buscar.
3 En el panel Tareas, elija Buscar clientes.
4 En la pgina Buscar clientes, seleccione la lista desplegable Buscar y elija
Usuarios o Equipos.
5 El grupo que usted seleccion se muestra en el campo En el grupo. Elija
Examinar para buscar otro grupo.
6 Defina sus criterios de bsqueda. Elija Campo de bsqueda para seleccionar
el campo que desea buscar.
7 Elija Operador de comparacin para seleccionar una opcin de la lista de
operadores de comparacin.
8 Elija Valor para escribir la cadena de bsqueda.
9 Elija Buscar.
10 Repita del Paso 4 en la pgina 87. al Paso 9 en la pgina 87. para cada
bsqueda de cliente.
11 Elija Cerrar cuando haya terminado de buscar clientes.
Desplazarse por los resultados de la bsqueda

En la parte superior del panel de informacin, hay una barra de herramientas de
navegacin de la pgina. Cuando hay varias pginas, es posible desplazarse por
ellas con la opcin Siguiente y la opcin Anterior. Tambin es posible pasar
directamente a una pgina determinada escribiendo el nmero de pgina en el
cuadro que aparece entre las dos opciones.
Administrar grupos
Exportar datos de una bsqueda

Los datos de la bsqueda se pueden exportar en formato .txt o .csv.
Para exportar los datos de la bsqueda
1 Realice su bsqueda segn lo descrito en Para realizar una bsqueda.
2 Cuando aparecen los resultados de la bsqueda, haga clic en el icono de
Exportar.
3 En el cuadro de dilogo Exportar, escriba un nombre para el archivo y una
extensin. Las extensiones no se agregan automticamente.
4 Haga clic en Exportar.
Acerca de establecer la comunicacin entre un servidor de directorios

y Symantec Endpoint Protection Manager
Si desea importar informacin sobre cuentas de usuario y de equipo, debe primero
establecer una conexin entre un servidor de directorios y Symantec Endpoint
Protection Manager. Si no establece una conexin, no es posible importar
informacin sobre usuarios desde Active Directory o servidores de directorios
LDAP, ni sincronizarla con ellos.
Ver "Agregar servidores de directorios" en la pgina 290.
Acerca de importar informacin de usuario de un servidor de directorios

LDAP o Active
Es posible importar informacin sobre cuentas de usuario y de equipo de un
servidor de directorios LDAP o Active. Sin embargo, es necesario establecer una
conexin entre el servidor LDAP y Symantec Endpoint Protection Manager antes
de que pueda importar cualquier informacin sobre usuarios.
Ver "Importar informacin sobre usuarios desde un servidor de directorios LDAP"
en la pgina 292.
Ver "Importacin de unidades organizativas desde un servidor de directorios
activo o LDAP" en la pgina 296.
Acerca de la sincronizacin de la informacin del usuario entre

servidores de directorios y Symantec Endpoint Protection Manager
Sera aconsejable sincronizar la informacin sobre los usuarios entre los servidores
de directorios y Symantec Endpoint Protection Manager.

Ver "Sincronizacin de unidades organizativas" en la pgina 297.

Los clientes se pueden configurar como usuarios o equipos, segn cmo es
necesario que funcionen sus polticas de seguridad. Los clientes que se configuran
como usuarios aplican las polticas de seguridad que se basan en el nombre del
usuario que inicia sesin en la red. Los clientes que se configuran como equipos
aplican las polticas de seguridad que se basan en el equipo que inicia sesin en
la red. Para configurar clientes como usuarios o equipos, se agregan los usuarios
y los equipos a un grupo existente. Estos grupos pueden haber sido creados
mediante la ficha Clientes o puede ser que hayan sido importados de un servidor
de directorios. Los usuarios y los equipos pueden ser importados de un servidor
de directorios, ser agregados manualmente o ser agregados automticamente al
registrar el cliente.
Despus de que un usuario o un equipo se agrega a un grupo, utiliza la poltica de
seguridad del grupo o de la ubicacin asignada. Las polticas de seguridad para
los grupos y las ubicaciones dentro de los grupos son administradas mediante la
ficha Polticas.
Los equipos cliente pueden ejecutarse en dos modos distintos: modo de equipo o
modo de usuario. El modo de equipo toma siempre precedencia sobre el modo de
usuario. La mayora de los administradores definen los equipos cuando hay un
equipo situado en un rea sin seguridad, como un pasillo. De esa manera, pueden
controlar la poltica de seguridad sin tener en cuenta quin inicia sesin.
Puede presentarse un conflicto cuando un usuario en un grupo inicia sesin en
un equipo que est en otro grupo. La poltica de seguridad que se entrega depende
del modo en el que se ejecuta el cliente. En el modo de equipo, el cliente obtiene
su poltica de seguridad del grupo al que pertenece el equipo. En el modo de usuario,
el cliente obtiene la poltica del grupo al que pertenece el usuario que inicia sesin.
Es posible agregar, eliminar y mover usuarios y equipos. Es posible adems
configurar los equipos como sensores LAN en la red.
Agregar equipos
Se pueden agregar equipos a cualquier grupo dentro de Symantec Endpoint
Protection Manager. La razn principal para agregar un equipo a un grupo es
proteger ese equipo. Las polticas de seguridad de ese grupo protegen el equipo.
Por ejemplo, un equipo puede estar en una ubicacin vulnerable, como un pasillo
pblico. En esta situacin, el equipo se agrega a un grupo de otros equipos pblicos.

Las polticas de seguridad que se aplican a este grupo se aplican tambin a cada
equipo dentro del grupo.
Acerca de agregar equipos a los grupos:
Es posible agregar un equipo a ms de un grupo.
Es necesario saber el nombre real del equipo y el dominio antes de que se pueda
agregar un equipo.
La longitud mxima del nombre del equipo es de 64 caracteres.
La longitud mxima del campo de descripcin es de 256 caracteres.
Tiene la opcin de agregar manualmente un equipo a un grupo especfico y luego
instalar el cliente con un grupo preferido asignado a l. Haga esta tarea asociando
polticas de grupo durante la creacin del paquete. En este caso, el cliente se agrega
al grupo especificado en el servidor. El cliente no se agrega al grupo especificado
en el paquete de instalacin.
Para agregar un equipo
1 Asegrese de que los clientes no estn bloqueados para poder agregarlos a
los grupos. Ver "Bloquear usuarios de los grupos" en la pgina 84..
ficha Clientes.
3 En el rbol Ver clientes, seleccione el grupo al que desea agregar el equipo.
4 Haga clic en Agregar cuenta de equipo.
5 En Nombre del equipo de la ventana emergente Agregar equipo, escriba el
nombre del equipo que desea agregar.
6 En Dominio, escriba el nombre del dominio en el cual desea que resida el
equipo.
7 En Descripcin, escriba una breve descripcin del equipo (opcional).
Modo de equipo predeterminado

Despus de agregar un equipo, ste se establece de forma predeterminada en el
modo de equipo. De esa manera, los usuarios que inician sesin en el equipo estn
restringidos a la poltica que se aplica al grupo al cual pertenece el equipo. Los
usuarios no estn restringidos por la poltica que se aplica a otro grupo al que
pueden estar asociados por el nombre de usuario.
Agregar usuarios
Es posible agregar manualmente usuarios a un dominio. Sin embargo, en la mayora
de los casos, este procedimiento no es prctico, a menos que se desee agregar un
nmero limitado de usuarios por motivos de mantenimiento. La mayora de los
administradores importa listas de usuarios de un servidor LDAP o de dominios.
Es posible primero agregar manualmente un usuario a un grupo especfico e
instalar ms tarde el cliente con un grupo preferido asignado a l. Esta tarea se
hace asociando polticas de grupo durante la creacin del paquete. El cliente se
agrega al grupo especificado en el servidor en lugar de hacerlo al especificado en
el paquete.
Para agregar usuarios manualmente
1 Asegrese de que los clientes no estn bloqueados para poder agregarlos a
los grupos.
2 Desde la consola de Symantec Endpoint Protection Manager, haga clic en
Clientes.
3 En el rbol Ver clientes, elija el grupo al que desea agregar un usuario.
4 Haga clic en Agregar cuenta de usuario.
5 En Nombre de usuario de Agregar usuario, escriba el nombre del nuevo
usuario.
6 En Nombre de dominio, elija si se desea iniciar sesin en un dominio
especificado o iniciar sesin en el equipo local.
7 En Descripcin, escriba una descripcin del usuario.
9 Repita los pasos 3 a 8 para agregar usuarios adicionales.
Eliminar usuarios y equipos

Es posible eliminar usuarios y equipos de cualquier grupo en Symantec Endpoint
Protection Manager. Tenga cuidado al eliminar usuarios y equipos. Eliminar
usuarios y equipos puede afectar la poltica de seguridad que se ejecuta en el
cliente.
De manera predeterminada, Symantec Endpoint Protection Manager elimina
automticamente los clientes inactivos despus de 30 das. Es posible deshabilitar
o modificar esta opcin como configuracin de propiedades del sitio, en la ficha
Servidores. Consulte "Editar propiedades del sitio" en la pgina 278. para obtener
informacin adicional.
Un cliente puede estar ejecutndose cuando usted lo elimina manualmente de un

grupo. La prxima vez que el cliente se conecta a Symantec Endpoint Protection
Manager, se volver a registrar, y se aplicarn las normas para el registro de
clientes.
Si su estructura de grupo incluye grupos y unidades organizativas importadas,
las normas se aplican si se elimina un cliente.
Si un cliente est en modo de equipo, se aplican las normas siguientes:
El cliente alterna a una unidad organizativa si existe el nombre del equipo all.
El cliente se vuelve a registrar en el servidor.
Si un cliente est en modo de usuario, se aplican las normas siguientes:
El cliente alterna a una unidad organizativa si existe el nombre del usuario
all.
El cliente se vuelve a registrar en el servidor.
Para eliminar usuarios o equipos:
1 Desde Symantec Endpoint Protection Manager, haga clic en la ficha Clientes.
2 En el panel Ver clientes, elija el grupo en el que reside el usuario o el equipo.
3 En la ficha Clientes, elija el usuario o el equipo.
4 En el panel Tareas, elija Eliminar clientes.
5 En la ventana emergente Eliminar, haga clic en S.
Mover usuarios y equipos

Es posible mover usuarios y equipos entre grupos y subgrupos. No es posible
mover usuarios o equipos dentro de una unidad organizativa. Es posible copiar
usuarios y equipos de una unidad organizativa a grupos de Symantec Endpoint
Protection Manager.
El cliente alterna al nuevo grupo despus de que usted mueve el equipo o el usuario
a otro grupo.
Para mover usuarios y equipos
1 Desde Symantec Endpoint Protection Manager, haga clic en Clientes.
2 En el panel Ver clientes, elija el grupo en el que reside actualmente el usuario
o el equipo.
3 En la pgina Cliente, elija el grupo que desea mover.
4 Haga clic con el botn secundario en el grupo, luego en Mover y despus en
Tareas > Mover clientes.
5 En la ventana emergente Mover grupo, elija el grupo al que desea mover el

cliente seleccionado.
Acerca de visualizar propiedades del usuario y del equipo

Cada usuario y cada equipo tienen una pgina de propiedades. La pgina incluye
las fichas siguientes:
General
Red
Clientes
Informacin del usuario
La ficha General incluye informacin sobre el grupo, el dominio, el nombre de
inicio de sesin y la configuracin del hardware del equipo.
La ficha Red incluye informacin sobre el servidor DNS, el servidor DHCP, el
servidor WINS y la direccin IP del equipo.
La ficha Clientes muestra la informacin que se recopila del equipo cliente. Esta
informacin incluye el tipo de cliente que se ejecuta en el equipo. Adems, enumera
informacin especfica del software y de las polticas. Esta informacin incluye
la versin del software del cliente, el nmero de serie del perfil actual, el nmero
de serie de la firma actual y la ltima vez que estuvo en lnea.
La ficha Informacin del usuario incluye informacin sobre la persona que tiene
iniciada la sesin en el equipo actualmente. Se completa esta informacin cuando
el administrador elige habilitar la recopilacin de informacin del usuario.
Recopilar informacin de usuario

La informacin de usuario se puede recopilar en el momento de la creacin del
paquete o durante las actualizaciones del perfil. Esta informacin se recopila
solamente una vez. Si un usuario modifica nmeros de telfono o departamentos,
ese usuario tiene que actualizar manualmente la informacin. La informacin de
usuario que se recopila completa la ficha Informacin del usuario en el cuadro de
dilogo Propiedades para cada usuario y equipo.
Es posible recopilar la siguiente informacin:
Nombre completo
Direccin de correo electrnico
Puesto
Departamento
Nmero de empleado
Estado de empleo
Nmero de telfono del trabajo
Nmero de telfono celular
Nmero de telfono particular
Tipo de cliente
Para habilitar la recopilacin de informacin de usuario
Clientes.
2 Desde el panel Ver clientes, expanda Usuarios y equipos.
3 Haga clic en Configurar la recopilacin de informacin de usuarios de la
lista de tareas.
4 En el panel Recopilar informacin del usuario, asegrese de que Habilitar
Recopilar informacin del usuario est activada.
5 Si desea que el usuario tenga la posibilidad de posponer la recopilacin del
usuario, marque Habilitar Recordrmelo ms tarde y establezca una hora.
6 Mueva la informacin que desea recoger del lado izquierdo del rea del campo
a la derecha, usando la opcin Agregar. Es posible hacerla opcional, marcando
la casilla Opcional.
7 Haga clic en Aceptar para finalizar.
Filtrar usuarios y equipos

Es posible utilizar la funcin de filtro para controlar qu usuarios y equipos
aparecen en el panel Ver clientes. Utilice el filtro para:
Mostrar todos los usuarios y equipos.
Mostrar todos los usuarios.
Mostrar todos los equipos.
Mostrar estado de conexin (indicado por una luz verde al lado del nombre de
usuario)
Es posible adems elegir cuntos clientes se visualizan por pgina. Este nmero
puede estar entre 1 y 5000. El valor predeterminado es 30.
Para filtrar usuarios y equipos

Clientes.
2 En el panel Ver clientes, elija el grupo que desea filtrar.
3 En el panel Tareas, haga clic en Configurar filtro de pantalla.
4 En la ventana emergente Configurar filtro de pantalla, elija sus opciones.
5 Elija Aceptar.
Desplazarse por los resultados de la bsqueda

En la parte superior de la pgina Cliente, hay una barra de herramientas de
navegacin de la pgina. Cuando hay varias pginas, es posible navegar por ellas
utilizando el icono Siguiente o el icono Anterior. Es posible adems pasar
directamente a una pgina determinada escribiendo el nmero de pgina en el
campo Nmero de pgina.
Alternar el modo de usuario y de equipo

Los clientes pueden ejecutarse en dos modos distintos: modo de equipo o modo
de usuario. El modo de equipo toma siempre precedencia sobre el modo de usuario.
El cliente en el equipo en el cual inician sesin los usuarios utiliza la poltica del
grupo al cual el usuario pertenece. Este tipo de conmutacin ocurre cuando el
equipo se configura en modo de usuario.
Para alternar el modo del cliente
1 Desde Symantec Endpoint Protection Manager, haga clic en la ficha Clientes.
2 En el panel Ver clientes, elija al grupo que contiene el usuario o el equipo.
3 En la pgina Clientes, haga clic con el botn secundario en el equipo o el
nombre de usuario en la tabla. A continuacin seleccione Cambiar al modo
de equipo o Cambiar al modo de usuario.
Este modo es una configuracin que alterna entre una u otra opcin, as que
siempre se visualiza una o la otra. La informacin de la tabla se modifica para
reflejar la nueva configuracin.
Si alterna de modo de usuario al modo de equipo:
Es posible que el nombre del equipo an no est contenido en ningn grupo.
La conmutacin al modo de equipo elimina el nombre de usuario del cliente
del grupo y agrega el nombre del equipo del cliente en el grupo.
El nombre del equipo del cliente y el nombre de usuario estn ambos en el

mismo grupo. La conmutacin del modo de usuario al modo de equipo elimina
el nombre de usuario del grupo, y el cliente adquiere el nombre del equipo.
El nombre de equipo del cliente est en un grupo distinto del que contiene el
nombre de usuario. La conmutacin al modo de equipo cambia el grupo del
cliente al grupo del equipo. Un mensaje emergente le informa el cambio de
nombre del grupo.
Cuando el cliente est en modo de equipo, el cliente utiliza la poltica del grupo
al que el equipo pertenece. La poltica aplicada es independiente de quin inicia
sesin en el equipo.
Si alterna de modo de equipo a modo de usuario, tenga en cuenta los siguientes
problemas:
El nombre de usuario de inicio de sesin no est an incluido en ningn grupo.
La conmutacin al modo de usuario elimina el nombre del equipo del cliente
del grupo. A continuacin agrega el nombre de usuario del cliente al grupo.
El nombre de usuario de inicio de sesin del cliente y el nombre del equipo
estn ambos en el mismo grupo. La conmutacin del modo de equipo al modo
de usuario elimina el nombre del equipo del grupo. El cliente adquiere el nombre
de usuario.
El nombre de equipo del cliente est en un grupo distinto del que contiene el
nombre de usuario. La conmutacin al modo de usuario cambia el grupo del
cliente al grupo del usuario. Un mensaje emergente le informa el cambio de
nombre del grupo.
Captulo 5
Administrar
administradores
Acerca de los administradores
Acerca de la administracin de administradores y dominios
Tareas del administrador del sistema
Tareas del administrador
Acerca de los administradores limitados
Acerca de los administradores

Symantec Endpoint Protection Manager utiliza administradores para implementar
sus funciones. Se utilizan tres tipos de roles de administrador: administrador del
sistema, administrador y administrador limitado. Cada uno de estos roles de
administrador tiene un grupo diferente de privilegios y tareas para realizar.
El administrador del sistema es el administrador principal de un sistema. Un
administrador que se seala como administrador del sistema puede hacer cualquier
cosa en un sistema. El administrador se encuentra un nivel ms abajo que el
administrador del sistema. Un administrador es el administrador principal dentro
del dominio que administra. Un administrador no puede crear ni eliminar dominios.
Un administrador tampoco puede acceder a los servidores de administracin o
los servidores de Enforcer. Los administradores limitados realizan el trabajo que
les asigna el administrador del sistema o el administrador. Adems, pueden
configurar sus propios atributos, incluidas las opciones de seguridad y de
notificacin.
La Tabla 5-1 enumera las responsabilidades de cada rol de administrador.
98 Administrar administradores
Acerca de la administracin de administradores y dominios
Tabla 5-1 Tipos de administrador
Rol de administrador Responsabilidades
Administrador del sistema Administracin de dominios.

Administracin de administradores.
Administracin de servidores.
Administrador Crear administradores en su dominio.

Eliminar y modificar los administradores creados en su
dominio.
Modificar atributos para los administradores creados en
su dominio. Estos atributos incluyen opciones de
notificacin, seguridad y permisos.
Administrador limitado Realizar el trabajo que le asigna el administrador del

sistema o el administrador.
Configurar sus propios atributos, incluidas opciones de
seguridad y de notificacin.
Acerca de la administracin de administradores y

dominios
Se utilizan tres tipos de administradores: administradores del sistema,
administradores y administradores limitados. Los administradores y los
administradores limitados son ambos administradores de dominio.
Los administradores del sistema pueden ver y modificar el sistema entero, mientras
que los administradores pueden ver y modificar solamente sus propios dominios.
Los administradores del sistema tienen derechos de acceso total a todas las pginas
y fichas de Symantec Endpoint Protection Manager. Los administradores solamente
tienen privilegios de informes. No tienen ningn acceso a las opciones Dominios
o Servidores y es posible restringir su acceso a otras opciones. Utilice la pgina
Administrador de Symantec Endpoint Protection Manager para administrar
centralmente administradores y dominios.
Las tareas que un administrador puede realizar dependen del tipo de administrador.
Cuando se selecciona el icono Administradores, el panel Ver muestra el contenido
basado en los permisos concedidos al administrador. Por ejemplo:
Un administrador del sistema ve el resto de los administradores del sistema,
todos los administradores y todos los administradores limitados asociados al
dominio que el administrador del sistema administra actualmente.
Administrar administradores 99
Un administrador ve los administradores de dominio y los administradores

limitados asociados al dominio que el administrador administra actualmente.
Los administradores limitados se ven solamente a s mismos.
Cuando se instala el administrador de Symantec Endpoint Security, se crea un
administrador del sistema predeterminado llamado admin.

Es posible administrar centralmente los administradores desde la pgina
Administrador. Cuando se selecciona el icono Administradores, el panel Ver
muestra cada administrador que administre el dominio al cual el administrador
est conectado. Esta lista incluye todos los administradores del sistema,
administradores y administradores limitados.
Las tareas del administrador del sistema incluyen:
Cambiar el nombre de un administrador
Modificar la contrasea de un administrador
Editar las propiedades de un administrador
Quitar un administrador
Agregar un administrador

Para modificar responsabilidades o asignaciones de organizacin, es posible
modificar el nombre que se ha dado a un administrador.
Para cambiar el nombre de un administrador
Administrador.
Administradores.
3 En el rbol Ver, seleccione el administrador cuyo nombre desee cambiar.
4 En el panel Tareas, haga clic en Cambiar el nombre del administrador.
5 En el cuadro de dilogo Cambiar el nombre del administrador por nombre,
modifique el nombre y haga clic en Aceptar.

Por motivos de seguridad, es posible que sea necesario modificar la contrasea
de un administrador.
Para modificar la contrasea de un administrador
Administrador.
Administradores.
3 En el rbol Ver, seleccione el administrador para el cual desea modificar la
contrasea.
4 En el panel Tareas, haga clic en Cambiar la contrasea del administrador.
5 Escriba y confirme la nueva contrasea.
La contrasea debe tener seis o ms caracteres de largo y se permiten todos
los caracteres.
6 Haga clic en Aceptar o Cancelar.

Los administradores tienen muchas funcionalidades y restricciones. Estas
funcionalidades y restricciones pueden modificarse a medida que cambia el sistema,
o se puede modificar algunos atributos. Es posible modificar la direccin de correo
electrnico a la cual se envan las alertas. Puede especificar el bloqueo de una
cuenta cuando los intentos de inicio de sesin fallidos exceden cierto umbral.
Tambin puede modificar los derechos de acceso y las restricciones de elaboracin
de informes para los administradores y los administradores limitados, o modificar
otras propiedades.
La lista siguiente contiene informacin adicional sobre la edicin de propiedades
de un administrador:
Un administrador puede ser bloqueado y decidir esperar hasta que transcurra
la duracin del bloqueo. En este caso, el administrador tiene solamente un
intento ms para escribir la contrasea correcta.
Si el administrador escribe la contrasea incorrecta de nuevo, se bloquea la
cuenta. El administrador debe entonces esperar otros cinco minutos antes de
intentar iniciar sesin de nuevo.
Este proceso se repite hasta que el administrador escribe la contrasea correcta
en el primer intento despus de transcurrida la duracin del bloqueo.
Para editar las propiedades de un administrador

Administrador.
Administradores.
3 En el rbol Ver, seleccione al administrador cuyas propiedades de cuenta
desea modificar.
4 En el panel Tareas, haga clic en Editar propiedades del administrador.
Aparece el cuadro de dilogo Propiedades de administrador para [nombre].
Para un administrador del sistema, la barra de ttulo muestra Propiedades
del administrador de sistema para [nombre] y aparecen dos fichas, General
y Autenticacin.
5 Escriba o modifique opcionalmente el nombre completo del administrador
en el segundo cuadro de texto.
Este campo tiene propsitos informativos solamente.
6 Opcionalmente, escriba o modifique la direccin de correo electrnico del
administrador en el tercer cuadro de texto.
Se utiliza esta direccin cuando se selecciona la casilla de verificacin Enviar
alerta por correo electrnico cuando se bloquee la cuenta.
7 Mueva el control deslizante de Umbral de intentos de inicio de sesin para
especificar el nmero de intentos de inicios de sesin incorrectos permitidos.
Es posible adems hacer clic en el nmero o el nivel deseado. (El valor
predeterminado es Bajo).
8 Para bloquear la cuenta cuando se excede el umbral para los intentos de inicio
de sesin especificado en el paso 7, haga clic en la casilla de verificacin. (El
valor predeterminado es 15 minutos).
9 Para enviar un correo electrnico cuando se bloquea una cuenta, haga clic
para seleccionar la casilla de verificacin.
Para que el correo electrnico sea recibido, se debe especificar una direccin
vlida en el paso 6.
10 Es posible bloquear una cuenta por un nmero especificado de minutos
despus de que el nmero de intentos de inicio de sesin permitidos se haya
excedido. Configure el nmero de 1 a 10 en el cuadro de opcin. (El valor
predeterminado es 0: no bloquear la cuenta).
11 Realice uno de los pasos siguientes:
Si es administrador o administrador limitado, haga clic en la ficha Derechos

de acceso. A continuacin, proceda con el paso 12.
Si es administrador del sistema, vaya al paso 21.
Si es administrador limitado, vaya al paso 14.
12 Seleccione la opcin de radio Administrador para especificar derechos de

administrador.
13 Haga clic en el vnculo Restricciones de informes para especificar restricciones
de elaboracin de informes para el administrador.
Salte al paso 21.
14 Seleccione la opcin de radio Administrador limitado para especificar derechos
para un administrador limitado.
15 Haga clic para seleccionar la casilla de verificacin Ver informes a fin de
habilitar las funciones (la opcin predeterminada es sin habilitar).
de elaboracin de informes para el administrador. Un nuevo cuadro de dilogo
aparece en el cual es posible especificar restricciones para equipos, direcciones
IP, grupos de servidores, grupos de equipos cliente y servidores principales.
17 Haga clic en la casilla de verificacin Administrar clientes para habilitar las
funciones (el valor predeterminado es sin habilitar).
18 Haga clic en el vnculo de restricciones del grupo para especificar derechos
de acceso para cada grupo.
Aparece un nuevo cuadro de dilogo, en el cual es posible seleccionar para
cada grupo: Acceso total, Sin acceso o Slo lectura.
19 Seleccione la casilla de verificacin Administrar polticas para habilitar las
funciones (el valor predeterminado es sin habilitar).
20 Si seleccion la casilla en el paso anterior, haga clic para seleccionar la casilla
de verificacin Slo permitir la edicin de polticas especficas de la ubicacin.
Esta opcin especifica que las polticas que fueron definidas en la biblioteca
sean de slo lectura (el valor predeterminado es sin habilitar).
21 Desde la ficha Autenticacin, elija una de las siguientes opciones:
Autenticacin del Servidor de administracin de Symantec
Autenticacin de RSA SecurID
Ver "Configurar un cliente de RSA ACE" en la pgina 306.
Autenticacin de directorios
A continuacin, escriba el servidor de directorios y el nombre de cuenta

en los cuadros de texto apropiados.
Requisitos previos de RSA SecurID

Es posible autenticar administradores usando el administrador de polticas con
RSA SecurID. Verifique que haya un servidor RSA existente y que se haya instalado
y configurado el servidor RSA SecurID en un equipo separado. Adems verifique
que el servidor RSA SecurID pueda comunicarse con el agente de SecurID.
Es posible habilitar la seguridad RSA para las cuentas de administrador en el
administrador de polticas.
Se admiten los siguientes mecanismos de inicio de sesin RSA:
Token RSA SecurID (no tokens de software RSA)
Tarjeta RSA SecurID
Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
Es posible quitar un administrador cuando ya no se necesita ese administrador
en su sistema.
Para quitar un administrador
Administrador.
2 En la pgina Administrador, en el panel Tareas, haga clic en el icono
Administradores.
3 En el rbol Ver, haga clic para seleccionar el administrador que desea quitar.
4 En el panel Tareas, haga clic en Eliminar administrador.
5 En el cuadro de dilogo Eliminar administrador: [nombre], haga clic en S
para verificar que desea quitar este administrador.
A medida que su red se expande o cambia, es posible que el nmero de
administradores resulte escaso para cumplir sus necesidades. En tal punto, es
posible agregar uno o ms administradores. Cuando se agrega un administrador,
se especifican las funcionalidades y las restricciones del administrador. Como
administrador del sistema, es posible agregar otro administrador del sistema. Es
posible adems agregar un administrador. Un administrador tiene menos

funcionalidades que un administrador del sistema. Un administrador puede iniciar
sesin y administrar solamente dentro del dominio que el administrador del
sistema administra y en el cual se cre el administrador. Es posible limitar an
ms las funcionalidades de un administrador creando un administrador limitado.
Ver Tabla 5-1 en la pgina 98.
La lista siguiente contiene informacin adicional sobre la creacin de
administradores del sistema:
Los administradores del sistema tienen derechos de acceso total. Es posible
adems agregar administradores y administradores limitados, que tienen
derechos de acceso ms limitados.
Si no especifica ningn derecho de acceso para un administrador, el
administrador se crea en un estado deshabilitado y no puede iniciar sesin.
Para agregar un administrador
Administrador.
Administradores.
3 En el panel Tareas, haga clic en Agregar administrador.
4 En el cuadro de dilogo Agregar administrador, escriba el nombre del
administrador en el primer cuadro de texto. Este nombre es el nombre con el
cual el administrador inicia sesin y por el cual es reconocido dentro de la
aplicacin.
5 Escriba opcionalmente el nombre completo del administrador en el segundo
cuadro de texto.
6 Escriba y confirme la contrasea.
La contrasea debe ser de seis o ms caracteres; se permiten todos los
caracteres.
7 Especifique el tipo de autenticacin.
El valor predeterminado es Autenticacin del Servidor de administracin de
Symantec. Si desea utilizar el valor predeterminado, vaya al paso 10.
8 Si desea modificarlo por otro tipo de autenticacin, haga clic en Cambiar.
9 En el cuadro de dilogo Autenticacin del administrador, elija una de las
siguientes opciones:

Ver "Configurar un cliente de RSA ACE" en la pgina 306.
10 Elija uno de los siguientes tipos de administrador:

Administrador del sistema, y luego vaya al paso 13.
Un administrador del sistema tiene acceso completo y permisos para todas
las reas de Symantec Endpoint Protection Manager.
Administrador, y luego vaya al paso 11.
Un administrador tiene acceso y permisos completos dentro de un solo
dominio. El administrador no puede configurar servidores de
administracin o de Enforcer.
Administrador limitado, y luego vaya al paso 12.
Un administrador limitado tiene derechos de acceso y permisos asignados
para grupos especficos.
11 Si eligi Administrador, haga clic en el vnculo Restricciones de informes

para especificar restricciones de elaboracin de informes para el
administrador.
Salte al paso 13.
12 Si eligi Administrador limitado, especifique los derechos de acceso marcando

una o ms de las siguientes opciones: Ver informes, Administrar clientes o
Administrar polticas.
Tiene la opcin para modificar los derechos de acceso para el administrador
haciendo clic en el vnculo de Derechos de grupo.
Este vnculo muestra el cuadro de dilogo Derechos de grupo. Elija los derechos
de acceso para cada grupo. Es posible especificar derechos para el grupo
Global y para cualquier grupo debajo de l. Las opciones son Acceso total (la
configuracin predeterminada), Sin acceso y Slo lectura.
Si elige Administrar polticas, una o ms casillas de seleccin se activan y es
posible elegir opcionalmente Slo permitir la edicin de polticas especficas
de la ubicacin.
Adems, tiene la opcin de especificar las restricciones de elaboracin de
informes para el administrador haciendo clic en el vnculo Restricciones de
informes. Este vnculo muestra un nuevo cuadro de dilogo, en el cual es
posible especificar las siguientes restricciones de informes: equipos,
direcciones IP, grupos de servidores, grupos de equipos cliente y servidores
principales.

Es posible administrar centralmente los administradores desde la pgina
Administrador. Cuando se selecciona el icono Administradores, el panel Ver
muestra todos los administradores en su dominio.
Las tareas del administrador incluyen:

Para modificar responsabilidades o asignaciones de organizacin, es posible
modificar el nombre que se ha dado a un administrador.
Para cambiar el nombre de un administrador

Administrador.
Administradores.
3 En el rbol Ver, haga clic para seleccionar el administrador cuyo nombre
desee cambiar.
4 En el panel Tareas, haga clic en Cambiar nombre.
Aparece el cuadro de dilogo Cambiar el nombre del administrador por
[nombre], con el nombre actual mostrado en el cuadro de texto de Nuevo
nombre del administrador.
5 Modifique el nombre y haga clic en Aceptar.

Por seguridad u otros motivos, es posible que sea necesario modificar la contrasea
de un administrador.
Para modificar la contrasea de un administrador
Administrador.
Administradores.
3 En el rbol Ver, seleccione el administrador para el cual desea modificar la
contrasea.
5 En el cuadro de dilogo Cambiar contrasea, escriba y confirme la nueva
contrasea.
La contrasea debe ser de seis o ms caracteres; se permiten todos los
caracteres.

Los administradores tienen muchas funcionalidades y restricciones. stas pueden
modificarse a medida que cambia el sistema, o es posible modificar algunos
atributos. Es posible modificar la direccin de correo electrnico a la cual se envan
las alertas. Puede especificar el bloqueo de una cuenta cuando los intentos de
inicio de sesin fallidos exceden cierto umbral. Es posible adems modificar los
derechos de acceso y las restricciones de elaboracin de informes y modificar
muchas otras propiedades.
Para editar las propiedades de un administrador
Administrador.
Administradores.
3 En el rbol Ver, seleccione al administrador cuyas propiedades de cuenta
desea modificar.
4 En el panel Tareas, haga clic en Editar propiedades del administrador.
Aparece el cuadro de dilogo Propiedades de administrador para nombre.
5 Tiene la opcin de escribir o modificar el nombre completo del administrador
en el segundo cuadro de texto.
6 Tiene la opcin de escribir o modificar la direccin de correo electrnico del
administrador en el tercer cuadro de texto. Se utiliza esta direccin cuando
se marca la casilla de verificacin Enviar alerta por correo electrnico cuando
se bloquee la cuenta.
7 Mueva el control deslizante de Umbral de intentos de inicio de sesin para
especificar el nmero de intentos de inicios de sesin permitidos. Es posible
adems hacer clic en el nmero o el nivel deseado. (La configuracin
predeterminada es Bajo).
8 Para bloquear la cuenta cuando se excede el umbral especificado en el paso
7, haga clic en la casilla de verificacin. (En la configuracin predeterminada,
no se habilita).
9 Para enviar un correo electrnico cuando se bloquea una cuenta, haga clic en
la casilla de verificacin.
Para que el correo electrnico sea recibido, se debe especificar una direccin
en el paso 6.
10 Es posible bloquear una cuenta por un nmero especificado de minutos
despus de que el nmero de intentos de inicio de sesin permitidos se haya
excedido. Configure el nmero de 1 a 60 en el cuadro de opcin. El valor
predeterminado es de 15 minutos.
11 Haga clic en la ficha Derechos de acceso.
Si es administrador limitado, vaya al paso 14.
12 Seleccione la opcin de radio Administrador para especificar derechos de

administrador.
Salte al paso 21.
14 Seleccione la opcin de radio Administrador limitado para especificar derechos
para un administrador limitado.
15 Seleccione la casilla de verificacin Ver informes para habilitar las funciones.
16 Seleccione la casilla de verificacin Administrar clientes para habilitar las
funciones.
17 Haga clic en el vnculo Derechos de grupo para especificar derechos de acceso
para cada grupo.
Esta accin muestra un nuevo cuadro de dilogo en el cual se pueden
seleccionar para cada grupo las opciones Acceso total, Sin acceso y Slo
lectura.
18 Seleccione la casilla de verificacin Administrar polticas para habilitar las
funciones.
Esta accin muestra un nuevo cuadro de dilogo, en el cual es posible
especificar las siguientes restricciones: equipos, direcciones IP, grupos de
servidores, grupos de equipos cliente y servidores principales.
20 Si seleccion la casilla de verificacin Administrar polticas en 18, seleccione
la casilla de verificacin Slo permitir la edicin de polticas especficas de
la ubicacin.
Esta opcin especifica que las polticas que se definen en la biblioteca sean
de slo lectura.
21 Haga clic en la ficha Autenticacin y elija una de las siguientes opciones:
Para conocer las acciones obligatorias adicionales, consulte Agregar
servidores de directorios.
Para conocer las acciones obligatorias adicionales, consulte Configurar
un cliente de RSA ACE.

Es posible quitar un administrador cuando ya no se necesita ese administrador
en su sistema.
Para quitar un administrador
Administrador.
Administradores.
3 En el rbol Ver, haga clic para seleccionar el administrador que desea quitar.
4 En el panel Tareas, haga clic en Eliminar.
Se muestra el cuadro de dilogo Eliminar administrador:[nombre].
5 Si est seguro de que desea quitar el administrador seleccionado, haga clic
en S; si no, haga clic en No.
A medida que su red se expande o cambia, es posible que el nmero de
administradores resulte escaso para cumplir sus necesidades. En tal punto, es
posible agregar uno o ms administradores. Cuando se agrega un administrador,
se especifican las funcionalidades y las restricciones del administrador. Un
administrador puede agregar otro administrador. Es posible limitar las
funcionalidades de un administrador creando un administrador limitado.
Para agregar un administrador
Administrador.
Administradores.
3 En el panel Tareas, haga clic en Agregar administrador.
Se muestra el cuadro de dilogo Agregar administrador.
4 Escriba el nombre del administrador en el primer cuadro de texto. Este nombre

es el nombre con el cual el administrador inicia sesin y por el cual es
reconocido dentro de la aplicacin.
5 Escriba opcionalmente el nombre completo del administrador en el segundo
cuadro de texto. Este campo tiene propsitos informativos solamente.
6 Escriba y confirme la contrasea. La contrasea debe ser de seis o ms
caracteres; se permiten todos los caracteres.
7 Especifique el tipo de autenticacin.
La configuracin predeterminada es Autenticacin del Servidor de
administracin de Symantec. Si desea utilizar la configuracin
predeterminada, vaya al paso 9.
8 Si desea modificarla por otro tipo de autenticacin, haga clic en Cambiar.
9 En el cuadro de dilogo Autenticacin del administrador, elija una de las
Para conocer las acciones obligatorias adicionales, consulte Agregar
servidores de directorios.
Para conocer las acciones obligatorias adicionales, consulte Configurar
un cliente de RSA ACE.
10 Elija uno de los siguientes tipos de administrador:

Administrador, y luego vaya al paso 11.
Un administrador tiene acceso y permisos completos dentro de un solo
dominio. El administrador no puede configurar servidores de
administracin o de Enforcer.
Administrador limitado, y luego vaya al paso 12.
Un administrador limitado tiene derechos de acceso y permisos asignados
para grupos especficos.
11 Si eligi Administrador, haga clic en el vnculo Restricciones de informes

para especificar restricciones de elaboracin de informes para el
administrador.
Salte al paso 15.
12 Si eligi Administrador limitado, especifique los derechos de acceso marcando

uno o ms de los derechos de acceso siguientes: Ver informes, Administrar
clientes y usuarios, y Administrar polticas.
Si elige Administrar polticas, es posible adems elegir Slo permitir la edicin
de polticas especficas de la ubicacin. Cuando usted no asigna ningn derecho
de acceso al administrador, ste se crea en un estado deshabilitado y no puede
iniciar sesin.
13 Modifique opcionalmente los derechos de acceso para el administrador
haciendo clic en el icono Derechos de grupo.
Esta accin muestra el cuadro de dilogo Derechos de grupo. Elija los derechos
de acceso para cada grupo de las listas desplegables. Es posible especificar
derechos para el grupo Global y para cualquier grupo debajo de l. Las opciones
son Acceso total (la configuracin predeterminada), Sin acceso y Slo lectura.
14 Especifique opcionalmente las restricciones de elaboracin de informes para
el administrador haciendo clic en el icono Derechos de informes. Esta accin
muestra un nuevo cuadro de dilogo, en el cual es posible especificar estas
restricciones: equipos, direcciones IP, grupos de servidores, grupos de equipos
cliente y servidores principales.

Los administradores del sistema y los administradores pueden crear
administradores limitados. Los administradores limitados pueden trabajar
solamente dentro de los derechos de permiso que les haya asignado el
administrador del sistema o el administrador.
Los administradores limitados tienen una variedad de restricciones sobre qu
tareas pueden realizar. No pueden crear, eliminar ni modificar dominios; crear,
eliminar ni modificar otros administradores; o cambiar sus propios derechos de
permiso. Sin embargo, los administradores limitados pueden configurar algunos
de sus propios atributos, incluidas las opciones de seguridad y de autenticacin,
y las contraseas.
Configurar opciones generales de seguridad

Los administradores limitados pueden modificar sus propias contraseas y
propiedades de administrador. Si eligen modificar sus propiedades de
administrador, pueden elegir entre las opciones generales de seguridad y de
autenticacin.
Para modificar una contrasea

ficha Administrador.
2 Seleccione Administradores.
3 En el panel Ver administradores, haga clic en el nombre del administrador.
5 En el cuadro de dilogo Cambiar la contrasea, escriba la nueva contrasea
en los campos Contrasea nueva y Confirmar contrasea, y haga clic en
Aceptar.
Para modificar las opciones generales de seguridad
2 Seleccione Administradores.
3 En el panel Ver administradores, haga clic en el nombre del administrador.
4 Haga clic en Editar propiedades del administrador.
5 En el cuadro de dilogo Propiedades de administrador, seleccione General y
actualice los campos Nombre de usuario, Nombre completo y Correo
electrnico.
6 Haga clic en el control deslizante de Umbral de intentos de inicio de sesin
y muvalo hasta el valor que desee.
7 Marque o deje sin marcar Bloquear esta cuenta.
8 Si elige bloquear la cuenta, decida si desea que se le enve un correo electrnico
de notificacin.
9 Escriba o seleccione el nmero de minutos durante los cuales se bloquear la
cuenta.
10 Haga clic en Aceptar para finalizar y guardar sus cambios.
Para modificar las opciones de autenticacin
3 Desde la ficha Autenticacin, localice y seleccione el tipo de autenticacin
que desea utilizar para autenticar su cuenta.
Captulo 6
Trabajar con paquetes de
instalacin de clientes
Acerca de los paquetes de instalacin de clientes
Configurar opciones de los paquetes de instalacin de clientes
Exportar paquetes de instalacin
Agregar actualizaciones de paquetes de instalacin de clientes y actualizar

clientes
Eliminar paquetes de actualizacin
Acerca de los paquetes de instalacin de clientes

Para administrar equipos con la Consola de Symantec Endpoint Protection
Manager, es necesario exportar por lo menos un paquete de instalacin de clientes
a un servidor de administracin en el sitio. Despus de exportar el paquete de
instalacin de clientes, se instalan los archivos del paquete en los equipos cliente.
Es posible exportar paquetes para clientes administrados por Symantec, clientes
administrados por terceros y clientes no administrados.
Es posible exportar estos paquetes a un solo archivo ejecutable o a una serie de
archivos en un directorio con una Consola de Symantec Endpoint Protection
Manager. El mtodo que se elige depende de su mtodo de implementacin y de
si desea actualizar el software de cliente en grupos desde la consola de
administracin. El archivo ejecutable est disponible para las herramientas de
instalacin de otros fabricantes y para la conservacin de ancho de banda potencial.
Tpicamente, si se utiliza un objeto de directivas de grupo de Active Directory, se
elige no exportar a un solo archivo ejecutable.
116 Trabajar con paquetes de instalacin de clientes
Durante el proceso de exportacin, se seleccionan los paquetes de instalacin de

32 bits o de 64 bits proporcionados de forma predeterminada. A continuacin, se
seleccionan opcionalmente las tecnologas especficas de proteccin de clientes
que se instalarn, si no desea instalar todos los componentes. Es posible adems
especificar cmo la instalacin interacta con los usuarios finales. Finalmente,
es posible instalar los archivos exportados (un paquete) a los equipos uno a la vez,
o implementar los archivos exportados a varios equipos simultneamente. Para
conocer las opciones de implementacin de instalacin de clientes, consulte la
Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access
Control en el CD.
Symantec proporciona de vez en cuando paquetes actualizados de archivos de
instalacin. Cuando el software de cliente se instala en los equipos cliente, es
posible actualizar automticamente el software de cliente en todos los clientes de
un grupo con la funcin de actualizacin automtica. No es necesario volver a
implementar el software con las herramientas de distribucin de instalacin.
Configurar opciones de los paquetes de instalacin

de clientes
Cuando se exportan los paquetes de instalacin de clientes, se puede seleccionar
qu componentes de los clientes se instalan y cmo. Es posible solicitar a los
usuarios que enven informacin sobre s mismos, que luego aparece como
propiedades para los equipos en la consola.
Configurar funciones del paquete de instalacin

Las funciones de instalacin son los componentes de clientes que estn disponibles
para la instalacin. Por ejemplo, si se crean paquetes de Symantec Endpoint
Protection, es posible seleccionar instalar las funciones de antivirus y de firewall.
O es posible seleccionar instalar la funcin de antivirus solamente.
Es necesario dar un nombre a cada grupo de selecciones. A continuacin, seleccione
un grupo de funciones con nombre cuando se exportan los paquetes de software
de cliente de 32 bits y de 64 bits.
Para configurar funciones del paquete de instalacin
1 En la ficha Administrador, en el panel inferior izquierdo, haga clic en Paquetes
de instalacin.
2 En el panel superior izquierdo, bajo Ver, haga clic en Funciones de instalacin
de clientes.
Trabajar con paquetes de instalacin de clientes 117
3 En el panel inferior izquierdo, bajo Tareas, haga clic en Agregar funciones

de instalacin de clientes.
4 En el cuadro de dilogo Funciones de instalacin de clientes, en el cuadro
Nombre, escriba un nombre.
5 Para obtener informacin acerca de la configuracin de otras opciones en
este cuadro de dilogo, haga clic en Ayuda.
Configurar opciones del paquete de instalacin

Las opciones de instalacin afectan la forma en que el software de instalacin del
cliente se instala en los equipos cliente. Es necesario dar un nombre a cada grupo
de selecciones. A continuacin, seleccione un conjunto de opciones de paquete
con nombre cuando se exportan los paquetes de software de cliente de 32 bits y
de 64 bits.
Para configurar opciones del paquete de instalacin
de instalacin.
2 En el panel superior izquierdo, bajo Ver, haga clic en Configuracin de
instalacin de clientes.
3 En el panel inferior izquierdo, bajo Tareas, haga clic en Agregar valores de
configuracin de instalacin de clientes.
4 En el cuadro de dilogo Configuracin de instalacin de clientes, en el cuadro
Nombre, escriba un nombre.
Recopilar informacin de usuarios

Es posible solicitar a los usuarios que escriban informacin sobre s mismos
durante el proceso de instalacin del software de cliente. Esta informacin aparece
en el cuadro de dilogo Propiedades para cada usuario y equipo. Despus de que
usted recoja esta informacin, debe conservarla y actualizarla manualmente.
Para recopilar informacin de usuarios

de instalacin.
2 En el panel derecho, haga clic en el paquete para el cual desee recopilar
informacin de usuarios.
3 En el panel inferior izquierdo, bajo Tareas, haga clic en Configurar la
recopilacin de informacin de usuarios.
4 En el cuadro de dilogo Recopilacin de informacin de usuarios, marque
Habilitar Recopilar informacin del usuario.
5 En el cuadro Mensaje emergente, escriba el mensaje que desea que los usuarios
lean cuando se les pida informacin.
6 Bajo Seleccione los campos que se mostrarn para que el usuario proporcione
informacin, haga clic en el tipo de informacin que se recopilar y despus
haga clic en Agregar.
7 Bajo Opcional, marque cualquier nombre de campo opcional para que los
usuarios completen.

Cuando se exportan paquetes de software de cliente, usted crea los archivos de
instalacin del cliente para la implementacin. Cuando se exportan los paquetes,
se debe ir a un directorio que contendr los paquetes exportados. Si especifica un
directorio que no existe, ste se crea automticamente. El proceso de exportacin
crea subdirectorios con nombres descriptivos en este directorio y pone los archivos
de instalacin en estos subdirectorios.
Por ejemplo, si se crea un paquete de instalacin para un grupo denominado
MiGrupo bajo Global, se crea un directorio denominado Global_MiGrupo. Este
directorio contiene el paquete de instalacin exportado.
Nota: Esta convencin de nomenclatura no hace una distincin entre los paquetes
de instalacin de clientes para Symantec Endpoint Protection y Symantec Network
Access Control. El nombre del paquete exportado para un solo ejecutable es
setup.exe para Symantec Endpoint Protection y Symantec Network Access Control.
Por lo tanto, asegrese de crear una estructura de directorios que le permita
distinguir entre los archivos de instalacin de Symantec Endpoint Protection y
de Symantec Network Access Control.
Tiene una decisin importante para tomar cuando se exportan los paquetes. Es
necesario decidir si crear un paquete de instalacin para los clientes
administrados o para los no administrados. Si crea un paquete para los clientes
administrados, es posible administrarlos con la Consola de Symantec Endpoint
Protection Manager. Si crea un paquete para los clientes no administrados, no es
posible administrarlos con la Consola de Symantec Endpoint Protection Manager.
Nota: Si exporta los paquetes de instalacin de clientes desde una Consola de

Symantec Endpoint Protection Manager remota, los paquetes se crean en el equipo
desde el cual se ejecuta la consola de administracin remota. Adems, si se utilizan
varios dominios, es necesario exportar los paquetes para cada dominio. Si no, no
aparecen como disponibles para los grupos del dominio.
Despus de exportar uno o ms paquetes de instalacin de archivos, implemente

los archivos de instalacin en los equipos cliente.
Para obtener informacin sobre la instalacin de software de cliente, consulte la
Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access
Control en el CD.
Para exportar paquetes de instalacin
de instalacin.
2 En el panel superior izquierdo, bajo Ver, haga clic en Paquetes de instalacin
de clientes.
3 En el panel derecho, bajo Nombre del paquete, haga clic en el paquete que
desea exportar.
4 En el panel inferior izquierdo, bajo Tareas, haga clic en Exportar el paquete.
5 En el cuadro de dilogo Exportar paquete, haga clic en Examinar.
6 En el cuadro de dilogo Guardar, busque y seleccione el directorio que
contendr el paquete exportado y despus haga clic en Guardar.
Los directorios con caracteres de doble byte o hi-ASCII no se admiten y se
bloquean.
7 En el cuadro de dilogo Exportar paquete, configure las otras opciones segn
sus metas de instalacin.
Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes
Agregar actualizaciones de paquetes de instalacin

de clientes y actualizar clientes
Cuando Symantec proporciona actualizaciones para los paquetes de instalacin
de clientes, usted primero los agrega a Symantec Endpoint Protection Manager y
los hace disponibles para su exportacin. Sin embargo, no es necesario reinstalarlos
con herramientas de distribucin de clientes. La manera ms fcil de actualizar
clientes en grupos con el ltimo software es actualizar el grupo que contiene los
clientes desde la consola de administracin. Se debe primero actualizar un grupo
con una pequea cantidad de equipos de prueba. Es posible adems actualizar
clientes con LiveUpdate si se permite que los clientes ejecuten LiveUpdate y si la
poltica de configuracin de LiveUpdate permite actualizaciones.
Agregar actualizaciones de paquetes de instalacin de clientes

Se reciben actualizaciones de los paquetes de instalacin de clientes de Symantec
y, entonces, usted las agrega a la base de datos del sitio para hacerlas disponibles
para su distribucin desde Symantec Endpoint Protection Manager. Es posible
exportar los paquetes durante este paso para poner el paquete a disposicin para
su implementacin en equipos que no tienen el software de cliente.
Nota: Un paquete de instalacin que se importa consiste en dos archivos. Un

archivo denominado nombre_producto.dat y otro archivo denominado
nombre_producto.info.
Para agregar un paquete de instalacin de clientes

1 Copie el paquete a un directorio en Symantec Endpoint Protection Manager.
2 En la consola, haga clic en Administrador.
3 En el panel inferior izquierdo Tareas, haga clic en Paquetes de instalacin.
4 Bajo Tareas, haga clic en Agregar paquete de instalacin de clientes.
5 En el cuadro Agregar un nombre para este paquete, escriba un nombre para
el paquete.
6 En el cuadro Descripcin, escriba una descripcin para el paquete.
7 Haga clic en Examinar.
8 En el cuadro de dilogo Abrir, localice y seleccione el archivo
nombre_producto.info para el nuevo paquete y despus haga clic en Aceptar.
9 Cuando se indica que se complet correctamente, realice una de las siguientes

acciones:
Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes
Si no desea exportar los archivos de instalacin y hacerlos disponibles

para la implementacin, haga clic en Finalizar.
Se ha terminado con este procedimiento.
Si desea exportar los archivos de instalacin y hacerlos disponibles para
la implementacin, haga clic en Exportar paquete y despus finalice este
procedimiento.
10 En el cuadro de dilogo Exportar paquete, haga clic en Examinar.

11 En el cuadro de dilogo Guardar, busque y seleccione el directorio que
contendr el paquete exportado y despus haga clic en Guardar.
12 En el cuadro de dilogo Exportar paquete, configure las otras opciones segn
sus metas de instalacin.
Actualizar clientes en uno o ms grupos

Es posible actualizar clientes en uno o ms grupos desde el panel Administrador
y el panel Cliente.
Nota: Tiene un control mucho mayor sobre la manera en que se distribuye el

paquete si actualiza los clientes desde el panel Clientes.
Para actualizar clientes en uno o ms grupos desde la ventana Administrador

1 Si an no lo ha hecho, visualice el panel Paquetes de instalacin de clientes
realizando los pasos siguientes:
En la consola, haga clic en Administrador.
En el panel inferior izquierdo Tareas, haga clic en Paquetes de instalacin
y despus haga clic en Actualizar los grupos con el paquete.
2 En el panel Asistente para actualizar grupos, haga clic en Siguiente.

3 En el panel Seleccionar paquete de instalacin de clientes, bajo Seleccione el
nuevo paquete de instalacin de clientes, seleccione el paquete que usted
agreg.
4 Bajo Seleccione las funciones que desea utilizar, seleccione los componentes
que desee actualizar y despus haga clic en Siguiente.
5 En el panel Especificar grupos, marque los grupos que desee actualizar y
despus haga clic en Siguiente.
6 En el panel Configuracin de actualizacin de paquetes, marque Descargar

del servidor de administracin y haga clic en Siguiente.
7 En el panel Finaliz el Asistente para actualizar grupos, haga clic en Finalizar.
Para actualizar clientes en uno o ms grupos desde el panel Clientes
1 En la consola, haga clic en Clientes.
2 En el panel Ver, haga clic en un grupo al cual asign el paquete para resaltarlo.
3 En la ficha Paquetes de instalacin, en el panel inferior izquierdo Tareas,
haga clic en Agregar paquete de instalacin de clientes.
4 En las fichas General y Notificacin, seleccione las opciones que controlan
cmo desea distribuir la actualizacin.
Para obtener informacin acerca de la configuracin de otras opciones, haga
clic en Ayuda.
5 Cuando termine de configurar las opciones de distribucin de la actualizacin,
haga clic en Aceptar.

Los paquetes de actualizacin se almacenan en la base de datos. Estos paquetes
de actualizacin ocupan espacio en la base de datos: hasta 180 MB cada uno. Es
necesario eliminar los paquetes de actualizacin de software anteriores que ya
no se necesitan. No se eliminan los paquetes del sistema de archivos: se eliminan
solamente de la base de datos. Por lo tanto, es posible agregarlos de nuevo si son
necesarios en una fecha futura.
Nota: No elimine los paquetes que se instalaron en sus equipos cliente.
Para eliminar los paquetes que ya no se necesitan

2 En el panel inferior izquierdo Tareas, haga clic en Paquetes de instalacin.
3 En el panel Paquetes de instalacin de clientes, resalte el paquete que desea
eliminar.
4 En el panel inferior izquierdo Tareas, haga clic en Eliminar paquetes.
5 En el mensaje de advertencia, haga clic en S.
Captulo 7
Actualizar definiciones y
contenido
Acerca de LiveUpdate y las actualizaciones de definiciones y contenido
Configurar un sitio para descargar actualizaciones
Configurar polticas de clientes de LiveUpdate
Opciones avanzadas de distribucin de actualizaciones
Acerca de LiveUpdate y las actualizaciones de

definiciones y contenido
LiveUpdate es el nombre de la tecnologa que busca y distribuye actualizaciones
de definiciones y contenido a los equipos cliente. Estas actualizaciones incluyen
definiciones de virus y software espa, firmas IPS, actualizaciones de productos,
entre otras, para los clientes de Symantec Endpoint Protection. Puede permitir
que los usuarios finales ejecuten LiveUpdate en los equipos cliente y programar
LiveUpdate para que se ejecute en los equipos cliente en las horas especificadas.
Cuando se ejecuta LiveUpdate y determina que es necesario realizar
actualizaciones, LiveUpdate descarga e instala las actualizaciones para las que
est configurado y tiene permiso de ejecutar.
Para Symantec Endpoint Protection, dos polticas diferentes controlan cmo y
cundo se distribuyen estas actualizaciones a los clientes, y controlan los tipos
de actualizaciones. Con la primera poltica, se define el servidor de actualizaciones
que utilizan los equipos cliente, y se define la frecuencia con la que los clientes
analizan el servidor para obtener actualizaciones. Con la segunda poltica, se
define el tipo de actualizaciones que deben descargar los clientes del servidor.
124 Actualizar definiciones y contenido
Para Symantec Network Access Control, solamente se admite el primer tipo de

polticas.
Acerca de las arquitecturas de distribucin de redes

Estn disponibles varias arquitecturas de red para actualizar clientes. La
arquitectura de su red depende de la disponibilidad y la conservacin del ancho
de banda. Las redes muy pequeas pueden programar clientes para obtener
actualizaciones directamente de Symantec. Las redes entre pequeas y medianas
de hasta un par de mil clientes pueden utilizar la configuracin predeterminada.
La configuracin predeterminada es hacer que Symantec Endpoint Protection
Manager obtenga actualizaciones de un servidor de Symantec LiveUpdate y despus
proporcionar esas actualizaciones a los equipos cliente administrados. Las redes
ms grandes pueden introducir proveedores de actualizaciones grupales.
La Figura 7-1 ilustra estas opciones relativamente simples de la arquitectura.
Figura 7-1 Opciones simples de la arquitectura de distribucin de la

actualizacin
Symantec LiveUpdate
Servidor de Servidor de
Grupo de clientes administracin administracin
Proveedor de
actualizaciones
grupales (cliente)
Grupos de
clientes
Clientes
Grupo de
clientes
Actualizar definiciones y contenido 125
El proveedor de actualizaciones grupales es una opcin que puede utilizar en

cualquier grupo. Cuando crea la poltica de LiveUpdate para el grupo, puede
especificar un cliente para descargar actualizaciones. Es posible enviar las
actualizaciones a los otros clientes del grupo. El proveedor de actualizaciones
grupales no tiene que estar en el grupo y puede actualizar varios grupos.
En redes grandes de ms de 10 000 clientes, est disponible un servidor interno
de LiveUpdate para conservar el ancho de banda. Esta arquitectura conserva la
capacidad de procesamiento en el servidor de administracin. En este caso, es
posible configurar el servidor interno de LiveUpdate para descargar actualizaciones
de un servidor de Symantec LiveUpdate y enviar actualizaciones a los equipos
cliente. Con esta arquitectura, el servidor de administracin descarga las funciones
de la actualizacin, pero sigue procesando registros y actualizaciones de polticas.
El servidor interno de LiveUpdate tambin es til para las redes que ejecutan
varios productos de Symantec que tambin ejecutan LiveUpdate para actualizar
clientes.
Figura 7-1 ilustra estas opciones ms complejas de la arquitectura.
Figura 7-2 Opciones ms complejas de la arquitectura de distribucin de la

actualizacin
Symantec LiveUpdate
Servidor de LiveUpdate Servidor de LiveUpdate
Servidor de administracin
Grupos de clientes
Grupos de clientes
Nota: Estn disponibles dos opciones adicionales de la arquitectura. Una opcin

proporciona la administracin de otro fabricante con herramientas como Microsoft
SMS e IBM Tivoli. La otra opcin proporciona un servidor proxy que se ubica entre
el servidor interno de LiveUpdate y los servidores de administracin, y los clientes
que actualiza. Para obtener informacin acerca del servidor proxy, consulte la
Gua del administrador de LiveUpdate en el CD de instalacin.
La Tabla 7-1 describe las opciones ms comunes de la arquitectura.

Tabla 7-1 Opciones de la arquitectura de distribucin de actualizaciones
Arquitectura Descripcin Cundo se lo debe utilizar
Symantec Endpoint De forma predeterminada, Symantec Utilice esta arquitectura como el mtodo
Protection Manager para Endpoint Protection Manager actualiza los ms fcil de implementar. Se instala y se
los clientes clientes que administra, y los servidores de configura de forma predeterminada despus
administracin extraen estas de la instalacin del servidor de
(Valor predeterminado)
actualizaciones de la base de datos del sitio. administracin. Es posible adems combinar
La base de datos del sitio recibi este mtodo con el proveedor de
actualizaciones de un servidor de Symantec actualizaciones grupales.
LiveUpdate.
Proveedor de El proveedor de actualizaciones grupales es Utilice este mtodo para los grupos ubicados
actualizaciones grupales un cliente que acta como proxy entre junto a ubicaciones remotas con ancho de
para los clientes Symantec Endpoint Protection Manager y banda mnimo. Adems, este mtodo reduce
los clientes del grupo. El proveedor de la carga en los servidores de administracin.
actualizaciones grupales recibe
actualizaciones de un servidor de
administracin o de LiveUpdate, y luego
transmite las actualizaciones a los otros
clientes del grupo. Un proveedor de
actualizaciones grupales puede actualizar
varios grupos.
Servidor de LiveUpdate Los clientes pueden extraer actualizaciones Utilice el servidor externo de Symantec
para los clientes directamente de un servidor de LiveUpdate. LiveUpdate para los equipos cliente no
El servidor de LiveUpdate puede ser un administrados que no se conectan siempre
servidor externo de Symantec LiveUpdate, a la red corporativa. Utilice el servidor
o un servidor interno de LiveUpdate que interno de LiveUpdate en redes grandes para
recibe actualizaciones de un servidor reducir la carga del servidor de Symantec
externo de Symantec LiveUpdate. Endpoint Protection Manager.
Nota: No configure una gran cantidad de
clientes administrados, conectados para
extraer actualizaciones de un servidor
externo de Symantec LiveUpdate. Esta
configuracin consume cantidades
innecesarias de ancho de banda de la
gateway de Internet.
Arquitectura Descripcin Cundo se lo debe utilizar
Distribucin de Las herramientas de otro fabricante como Utilice este mtodo cuando se desee probar
herramientas de otro Microsoft SMS le permitieron distribuir los los archivos de la actualizacin antes de
fabricante archivos especficos de la actualizacin a distribuirlos. Adems, utilice este mtodo
los clientes. Puede recuperar los archivos si tiene una infraestructura de distribucin
(No ilustrado)
autoextrables de Intelligent Updater del de herramientas de otro fabricante y desea
sitio Web de Symantec que contienen los aprovechar la infraestructura.
archivos de las definiciones de virus y el
riesgo de seguridad con extensiones jdb y
vdb. Ya no se admiten extensiones Idb. Para
recibir otros archivos de actualizacin, es
necesario configurar un servidor de
Symantec Endpoint Protection Manager
para descargar y preparar los archivos de la
actualizacin.
Acerca de tipos de actualizaciones

De forma predeterminada, los equipos cliente reciben los ltimos tipos de
actualizaciones, a menos que se aplique una poltica que limite o prohba los tipos
de actualizaciones. Si un grupo utiliza Symantec Endpoint Protection Manager
para distribuir las actualizaciones (la configuracin predeterminada), el servidor
de administracin se debe adems configurar para descargar las mismas
actualizaciones. De lo contrario, esas actualizaciones no estn disponibles para
la distribucin del grupo.
La Tabla 7-2 enumera y describe los tipos de actualizaciones.
Tabla 7-2 Tipos de actualizaciones
Tipo de actualizacin Descripcin
Definiciones de antivirus y Estas definiciones contienen dos tipos de actualizaciones,

del software espa la actualizacin de versin completa y la actualizacin delta
directa. El tipo de actualizacin se incluye en el paquete de
actualizacin. Los paquetes de definiciones de virus
separados estn disponibles para las plataformas x86 y x64.
Firmas del descompresor Estas firmas admiten el motor del antivirus y la proteccin
contra software espa, y se utilizan para descomprimir y
leer los datos que se almacenan en varios formatos.
Firmas heursticas de Estas firmas protegen el equipo de amenazas de ataque de

Anlisis de amenazas da cero.
proactivo
Tipo de actualizacin Descripcin
Lista de aplicaciones Estas listas de aplicaciones son las aplicaciones comerciales

comerciales del Anlisis de legtimas que han generado falsos positivos en el pasado.
amenazas proactivo
Firmas de prevencin de Estas firmas protegen el equipo de amenazas de red y

intrusiones admiten los motores de prevencin de intrusiones y de
deteccin.
Firmas de control de envos Estas firmas controlan el flujo de envos a Symantec Security
Response.

Configurar y programar descargas de actualizaciones es un proceso de dos partes.
Primero, se configura un sitio para descargar actualizaciones. El sitio debe contener
las actualizaciones que se distribuyen a los clientes. Las actualizaciones se
distribuyen a los clientes segn lo especificado en las polticas de LiveUpdate que
se aplican a las ubicaciones en un grupo.
Cuando se configura un sitio para descargar actualizaciones, se toman las
siguientes decisiones:
La frecuencia para buscar actualizaciones.
Los tipos de actualizaciones para descargar.
Las polticas de LiveUpdate tambin especifican los tipos de actualizaciones
que deben descargar a los clientes. Asegrese de que el sitio descargue todas
las actualizaciones especificadas en las polticas de LiveUpdate de los clientes.
Los idiomas para los tipos de actualizaciones que se descarguen.
El servidor de LiveUpdate que proporciona las actualizaciones al sitio.
Es posible especificar un servidor externo de Symantec LiveUpdate
(recomendado), o un servidor interno de LiveUpdate que se ha instalado y se
ha configurado previamente.
Puede configurar un servidor interno de LiveUpdate en un equipo aun si el software
de Symantec Endpoint Protection Manager est instalado o no. En ambos casos,
debe emplear la utilidad Administrador de LiveUpdate para actualizar el servidor
de LiveUpdate. La utilidad Administrador de LiveUpdate extrae las actualizaciones
de las definiciones de un servidor de Symantec LiveUpdate. La utilidad entonces
ubica los paquetes en un servidor Web, un sitio FTP o una ubicacin designada
con una ruta UNC. Se debe configurar Symantec Endpoint Protection Manager
para que extraiga las actualizaciones de las definiciones de esta ubicacin.
Para obtener ms informacin, consulte la Gua del administrador de LiveUpdate,

disponible en el CD de instalacin o en el sitio Web de soporte de Symantec.
Si se utiliza la replicacin, slo se debe configurar un sitio para descargar los
archivos de la actualizacin. La replicacin actualiza automticamente la otra
base de datos. Sin embargo, como mejor prctica, no debe replicar actualizaciones
de productos entre los sitios. Estas actualizaciones pueden ser bastante grandes
y existe una para cada idioma que seleccione. Si selecciona descargar
actualizaciones de productos con LiveUpdate al administrador de Symantec
Endpoint Security, las actualizaciones aparecen automticamente en el panel
Paquetes de instalacin. Es posible entonces actualizar clientes con la actualizacin
automtica. Si utiliza este enfoque para el control de versin, no debe seleccionar
actualizaciones automticas de productos en la poltica de configuracin de
LiveUpdate.
Nota: Los sitios descargan archivos MSP para las actualizaciones de productos, y
despus crean nuevos archivos MSI. Los sitios replican los archivos MSI si
selecciona replicar actualizaciones de productos. Los archivos MSP son una
fraccin del tamao de los archivos MSI. La mejor prctica es la programacin
predeterminada de que el administrador de Symantec Endpoint Protection Manager
ejecute LiveUpdate cada 4 horas.
Para configurar un sitio para descargar actualizaciones

2 En el panel Tareas, haga clic en Servidores.
3 En el panel Ver, haga clic con el botn secundario en Sitio local, y luego en
Propiedades.
4 En el cuadro de dilogo Propiedades del sitio, en la ficha LiveUpdate, bajo
Programacin de descarga, configure las opciones de programacin de la
frecuencia con la que el servidor debe buscar actualizaciones.
5 Bajo Tipos de actualizaciones para descargar, examine la lista de tipos de
actualizacin que se descargan.
6 Para agregar o eliminar un tipo de actualizacin, haga clic en Modificar
seleccin, modifique la lista y, luego, haga clic en Aceptar.
7 Bajo Idiomas, examine la lista de idiomas de los tipos de actualizaciones que
se descargan.
8 Para agregar o eliminar un idioma, haga clic en Modificar seleccin, modifique
la lista y, luego, haga clic en Aceptar.
9 Bajo Servidores de origen de LiveUpdate, examine el servidor actual de

LiveUpdate que se utiliza para actualizar el servidor de administracin, que
es el servidor de Symantec LiveUpdate de forma predeterminada, y realice
una de las siguientes tareas:
Para utilizar el servidor de origen existente de LiveUpdate, haga clic en
Aceptar.
No contine con este procedimiento, ya ha terminado.
Para utilizar LiveUpdate interno, haga clic en Editar servidores de origen
y contine con este paso.
10 En el cuadro de dilogo Servidores de LiveUpdate, marque Usar un servidor

interno especificado de LiveUpdate y, a continuacin, haga clic en Agregar.
11 En el cuadro de dilogo Agregar servidor de actualizaciones, complete los
cuadros con la informacin que identifica al servidor de LiveUpdate y, luego,
La Ayuda incluye y describe los datos para escribir en los cuadros. Para la
ayuda de la conmutacin por error, puede instalar, configurar y seleccionar
ms de un servidor de LiveUpdate. Si un servidor se desconecta, el otro
servidor funciona como respaldo.
12 En el cuadro de dilogo Servidor de LiveUpdate, haga clic en Aceptar.

Existen dos tipos de polticas de LiveUpdate. Una es la poltica de configuracin
de LiveUpdate y se aplica a los clientes de Symantec Endpoint Protection y
Symantec Network Access Control. La otra es la poltica de contenido de LiveUpdate
y se aplica slo a los clientes de Symantec Endpoint Protection. La poltica de
configuracin de LiveUpdate especifica los equipos que los clientes contactan
para verificar si hay actualizaciones y controlar la frecuencia con la que los clientes
verifican si hay actualizaciones. Si es necesario, es posible aplicar esta poltica a
las ubicaciones especficas en un grupo.
La poltica de contenido de LiveUpdate especifica los tipos de actualizacin que
los clientes pueden verificar e instalar. Para cada tipo, es posible especificar que
los clientes verifiquen e instalen la ltima actualizacin. Tambin es posible
especificar una versin de una actualizacin que los clientes instalen si no ejecutan
esa versin. No es posible aplicar esta poltica a las ubicaciones especficas en un
grupo. Slo puede aplicar esta poltica en el nivel de grupo.
Configurar una poltica de configuracin de LiveUpdate

Cuando se agrega y se aplica la poltica de configuracin de LiveUpdate, debe tener
un plan de la frecuencia con la que desea que los equipos cliente busquen
actualizaciones. La configuracin predeterminada es cada 4 horas. Tambin debe
saber dnde desea que los equipos cliente busquen y obtengan las actualizaciones.
Generalmente, es necesario que los equipos cliente busquen y obtengan
actualizaciones de Symantec Endpoint Protection Manager. Despus de crear su
poltica, puede asignar la poltica a uno o ms grupos y ubicaciones.
Nota: Est disponible una configuracin avanzada para permitir que los usuarios
inicien LiveUpdate manualmente desde los equipos cliente, y la configuracin
est deshabilitada de forma predeterminada. Si habilita esta configuracin, los
usuarios pueden iniciar LiveUpdate y descargar las ltimas definiciones del virus
de contenido, las actualizaciones de componentes y las actualizaciones del producto
potenciales. Si la configuracin de polticas avanzada para descargar
actualizaciones de productos con LiveUpdate est habilitada, las actualizaciones
de productos que se descargan son versiones de mantenimiento y parches para
el software del cliente de Symantec. Segn el tamao de la poblacin de usuarios,
es posible que no desee permitir que los usuarios descarguen todo el contenido
sin probarlo antes. Adems, pueden surgir problemas si se ejecutan dos sesiones
de LiveUpdate simultneamente en los equipos cliente. La mejor prctica es dejar
esta opcin deshabilitada.
Para configurar una poltica de configuracin de LiveUpdate

1 En la consola, haga clic en Polticas.
2 En el panel Ver polticas, haga clic en LiveUpdate.
3 En el panel Polticas de LiveUpdate, en la ficha Polticas de LiveUpdate, si
una poltica existe y est resaltada, haga clic con el mouse en alguna parte
del panel, excepto donde estn mencionadas las polticas (en el espacio blanco).
Desea quitar la seleccin de la poltica seleccionada y quitarle el resaltado
amarillo.
4 En la seccin inferior izquierda del panel Qu desea hacer?, haga clic en
Agregar una poltica de configuracin de LiveUpdate.
5 En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un
nombre para la poltica.
6 Bajo Poltica de LiveUpdate, haga clic en Programar.
7 En el panel Programar, acepte o modifique las opciones de programacin.
8 Bajo Poltica de LiveUpdate, haga clic en Configuracin del servidor.
9 En el panel Configuracin del servidor, bajo Servidor interno o externo de

LiveUpdate, marque y habilite al menos una fuente de la cual extraer
actualizaciones.
La mayora de las organizaciones deben utilizar el servidor de administracin
predeterminado.
10 Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada.
11 Decida si se guardarn o se modificarn las opciones predeterminadas.
Generalmente, no se permite que los usuarios modifiquen las opciones de
actualizacin. Sin embargo, es posible permitir que inicien manualmente una
sesin de LiveUpdate si usted no admite centenares o millares de clientes.
12 Cuando haya configurado su poltica, haga clic en Aceptar.
13 En el cuadro de dilogo Aplicar poltica, realice una de las siguientes acciones:
Haga clic en S para guardar y para asignar la poltica a un grupo o a la
ubicacin en un grupo.
Haga clic en No para guardar la poltica solamente.
14 Si hizo clic en S, en el cuadro de dilogo Aplicar la poltica de LiveUpdate,

marque los grupos y las ubicaciones a los cuales desea aplicar la poltica, y,
a continuacin, haga clic en Aplicar.
Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda polticas
de su grupo principal, como se establece en la ficha Equipos y polticas de
usuario.
Configurar una poltica de contenido de LiveUpdate

De forma predeterminada, todos los clientes de Symantec Endpoint Protection
en un grupo reciben las ltimas versiones de todo el contenido y de todas las
actualizaciones del producto. Si se configura un grupo de clientes para que obtenga
actualizaciones de un servidor de administracin, los clientes reciben slo las
actualizaciones que descarga el servidor. Si la poltica de contenido de LiveUpdate
se configura para permitir todas las actualizaciones, pero el servidor de
administracin no se configura para descargar todas las actualizaciones, los
clientes reciben slo lo que el servidor descarga.
Ver "Configurar un sitio para descargar actualizaciones" en la pgina 129.
Si un grupo se configura para obtener actualizaciones de un servidor de
LiveUpdate, los clientes del grupo reciben todas las actualizaciones permitidas
en la poltica de contenido de LiveUpdate. Si la poltica de contenido de LiveUpdate
especifica una revisin determinada para una actualizacin, los clientes nunca
reciben las actualizaciones para esta actualizacin determinada hasta que la
configuracin se modifique de una revisin especfica a la ltima disponible. Los

servidores de LiveUpdate no comprenden funciones de las versiones con nombre.
Las versiones con nombre le permiten efectuar un control ms estricto sobre las
actualizaciones que obtienen los clientes. Generalmente, los entornos que prueban
las ltimas actualizaciones antes de distribuirlas a los clientes utilizan la funcin
de la versin con nombre.
Nota: El uso de revisiones especficas proporciona funciones de la restauracin.
Para configurar una poltica de contenido de LiveUpdate

2 En el panel Ver polticas, haga clic en Contenido de LiveUpdate.
3 En el panel Polticas de LiveUpdate, en la ficha Polticas de LiveUpdate, si
una poltica existe y est resaltada, haga clic con el mouse en alguna parte
del panel, excepto donde estn mencionadas las polticas (en el espacio blanco).
Desea quitar la seleccin de la poltica seleccionada y quitarle el resaltado
amarillo.
Agregar una poltica de contenido de LiveUpdate.
5 En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un
nombre para la poltica.
6 En el panel Contenido de LiveUpdate, haga clic en Definiciones de seguridad.
7 En el panel Definiciones de seguridad, marque las actualizaciones que se
descargarn e instalarn, y deje sin marcar las actualizaciones que no se
utilizarn.
8 Para cada actualizacin, realice una de las siguientes acciones:
Marque Usar el ltimo disponible
Marque Seleccionar una revisin
9 Para continuar, realice una de las siguientes tareas:

Si no activ Seleccionar una revisin para un tipo de actualizacin, haga
clic en Aceptar y, luego, contine con el paso 12.
Si activ Seleccionar una revisin para un tipo de actualizacin, haga clic
en Editar y, luego, contine con el paso siguiente.
10 En el cuadro de dilogo Seleccionar revisin, en la columna Revisin,

seleccione la revisin que desea utilizar y, a continuacin, haga clic en
Aceptar.
11 En la ventana Poltica de contenido de LiveUpdate, haga clic en Aceptar.
12 En el cuadro de dilogo Aplicar poltica, haga clic en S.
Es posible cancelar este procedimiento y aplicar la poltica despus.
13 En el cuadro de dilogo Aplicar poltica de contenido de LiveUpdate, marque
uno o ms grupos a los cuales se aplicar esta poltica y, despus, haga clic
en Aplicar.
Ver y modificar la poltica de contenido de LiveUpdate que se aplica a

un grupo
Las polticas de contenido de LiveUpdate se aplican a los grupos y a todas las
ubicaciones de los grupos. Por lo tanto, la poltica no aparece con otras polticas
bajo las ubicaciones de la consola.
Para ver y modificar la poltica de contenido de LiveUpdate que se aplica a un grupo
1 En la consola, haga clic en Polticas y cree por lo menos dos polticas de
contenido de LiveUpdate.
2 Aplique una de las polticas a un grupo.
3 En la ficha Polticas, bajo Otra configuracin de grupo en el panel derecho,
haga clic en Poltica de contenido de LiveUpdate.
4 En el cuadro de dilogo Poltica de contenido de LiveUpdate, observe el nombre
de la poltica que se utiliza actualmente bajo la poltica de contenido de
LiveUpdate aplicada.
5 Para modificar la poltica que se aplica al grupo, bajo Elegir una de la siguiente
lista para sobrescribir la poltica de contenido, haga clic en la poltica de
contenido que desea utilizar y, luego, haga clic en Aceptar.
Configurar un proveedor de actualizaciones grupales en la poltica de

configuracin de LiveUpdate
Cuando se crea una poltica de configuracin de LiveUpdate, tiene la opcin de
especificar un proveedor de actualizaciones grupales. El proveedor de
actualizaciones grupales proporciona actualizaciones a los clientes del grupo y a
cualquier subgrupo que herede polticas establecidas en la ficha Clientes. Si tiene
clientes en un grupo en una ubicacin remota que tengan problemas de ancho de
banda sobre la WAN, haga que un cliente del grupo se convierta en el proveedor
de actualizaciones grupales. El proveedor de actualizaciones grupales no tiene

que ser un miembro del grupo a quien proporciona actualizaciones. El proveedor
de actualizaciones grupales tambin le permite descargar la capacidad de
procesamiento de Symantec Endpoint Protection Manager, si necesita esa opcin.
Nota: Puede configurar el proveedor de actualizaciones grupales cuando crea una

poltica o cuando modifica una poltica existente. Primero debe crear una poltica
sin el proveedor de actualizaciones grupales y verificar que los equipos cliente
reciban las actualizaciones. Una vez que realiz la verificacin, puede agregar el
proveedor de actualizaciones grupales. Este enfoque ayuda a solucionar problemas
de comunicacin. Sin embargo, si el equipo del proveedor de actualizaciones
grupales se desconecta, los clientes del grupo obtienen actualizaciones
directamente desde el servidor de administracin.
Cuando configura un proveedor de actualizaciones grupales, se especifica un

nombre de host o una direccin IP y un nmero de puerto TCP. El nmero de
puerto TCP predeterminado es 2967, un puerto que fue utilizado en las
comunicaciones de red de Symantec AntiVirus 10.x y de Symantec Client Security
3.x. Si su equipo proveedor de actualizaciones grupales recibe direcciones IP con
DHCP, se debe o asignar una direccin IP esttica al equipo, o escribir el nombre
de host. Si su equipo proveedor de actualizaciones grupales est en una ubicacin
remota y esa ubicacin remota utiliza la traduccin de direcciones de red (NAT),
escriba el nombre de host.
Nota: Si el proveedor de actualizaciones grupales ejecuta los firewalls de Windows

o Symantec Client Firewall, es necesario modificar las polticas de firewall para
permitir que el puerto 2967 TCP reciba comunicaciones de Symantec Endpoint
Protection Manager.
Para configurar un proveedor de actualizaciones grupales en la poltica de

configuracin de LiveUpdate
3 En el panel Polticas de LiveUpdate, en la ficha Polticas de LiveUpdate, bajo
Nombre, seleccione la poltica que desea editar.
Editar la poltica.
5 En la ventana Poltica de LiveUpdate, haga clic en Configuracin del servidor.
6 En la ficha Servidor de LiveUpdate, bajo Opciones del servidor de la red local,

marque Usar el proveedor de actualizaciones para grupos como servidor
predeterminado de LiveUpdate.
7 Haga clic en Proveedor de actualizaciones grupales.
8 En el cuadro de dilogo Proveedor de actualizaciones grupales, en el cuadro
Host, escriba una direccin IP o un nombre de host.
9 En el cuadro Puerto, acepte o modifique la configuracin predeterminada y,
a continuacin, haga clic en Aceptar.
10 En la ventana Actualizar poltica, verifique que al menos un servidor de
LiveUpdate an est seleccionado, y, luego, haga clic en Aceptar.
Opciones avanzadas de distribucin de

actualizaciones
Puede utilizar Intelligent Updater para distribuir actualizaciones de definiciones
de virus y riesgos de seguridad. Tambin puede utilizar las herramientas de
distribucin de otros fabricantes para distribuir actualizaciones. Estas
actualizaciones se consiguen despus de instalar y configurar Symantec Endpoint
Protection Manager para descargar las actualizaciones que desea distribuir.
Nota: Las definiciones de antivirus y de proteccin contra software espa estn

incluidas en los archivos vdb y jdb que puede distribuir. Los archivos vdb slo
admiten clientes de 32 bits. Los archivos jdb admiten clientes de 32 bits y clientes
de 64 bits. stos son los archivos que se colocan en las bandejas de entrada de los
equipos cliente. Puede descargar actualizaciones del siguiente sitio:
ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
Proporcionar actualizaciones de contenido de antivirus con Intelligent

Updater
Para distribuir actualizaciones de definiciones de virus y riesgos de seguridad
actualizadas, descargue un nuevo Intelligent Updater. A continuacin, utilice su
mtodo de distribucin preferido para entregar las actualizaciones a los servidores
y clientes administrados. Intelligent Updater est disponible como un nico archivo
o como un paquete dividido, distribuido en varios archivos ms pequeos. El
archivo nico es adecuado para equipos que cuentan con conexiones de red. El
paquete dividido es para los equipos que no tienen conexiones de red, acceso a
Internet o un lector de CD-ROM. Copie el paquete dividido a los soportes extrables
para la distribucin.
Nota: Actualmente, Intelligent Updater actualiza slo las definiciones de virus y

riesgos de seguridad. Asegrese de utilizar los archivos de Intelligent Updater
para empresas en lugar de la versin del producto para consumidores.
Para descargar Intelligent Updater

1 Con el navegador Web, vaya a la siguiente URL:
http://www.symantec.com/es/mx/security_response/
2 Bajo Virus Definitions, haga clic en Download Virus Definitions Manually.
3 Haga clic en Download Virus Definitions (Intelligent Updater Only).
4 Seleccione el idioma y el producto adecuados.
5 Haga clic en Download Updates.
6 Haga clic en el archivo con la extensin .exe.
7 Cuando se le solicite que especifique una ubicacin para guardar los archivos,
seleccione una carpeta del disco duro.
Para instalar los archivos de definiciones de virus y riesgos de seguridad
1 Localice el archivo de Intelligent Updater que haya descargado de Symantec.
2 Haga doble clic en el archivo y siga las instrucciones que aparecern en
pantalla.
Acerca del uso de las herramientas de distribucin de otro fabricante

para distribuir actualizaciones a los clientes administrados
Las redes grandes pueden confiar en las herramientas de distribucin de otro
fabricante como IBM Tivoli, Microsoft SMS, entre otros, para distribuir
actualizaciones en los equipos cliente. El software de cliente de Symantec admite
la distribucin de actualizaciones con estas herramientas. Para utilizar las
herramientas de distribucin de otro fabricante, debe conseguir los archivos de
actualizacin y distribuirlos con una herramienta de distribucin.
Para los equipos cliente administrados, puede conseguir archivos de actualizacin
despus de instalar y configurar el servidor de Symantec Endpoint Protection
Manager como el primer y nico servidor de un sitio. Luego, programe y seleccione
las actualizaciones de LiveUpdate que desea descargar.
Ver "Configurar un sitio para descargar actualizaciones" en la pgina 129.
Los archivos de actualizacin se descargan en los subdirectorios del siguiente
directorio (predeterminado):
\Program Files\Symantec Endpoint Protection Manager\data\outbox\

A continuacin, distribuya los archivos en los directorios de la bandeja de entrada

de los equipos cliente:
El siguiente directorio aparece en los equipos cliente que no ejecutan Windows
Vista:
\\Documents and Settings\All Users\Application Data\Symantec\

Symantec Endpoint Protection\inbox\
El siguiente directorio aparece en los equipos cliente que ejecutan Windows Vista:
\\Program Data\Symantec\Symantec Endpoint Protection\inbox\
De forma predeterminada, este directorio no existe y el software de cliente no

marca ni procesa contenido en este directorio. Para los equipos cliente
administrados, debe configurar la poltica de LiveUpdate para el grupo, habilitar
la distribucin de otro fabricante en los clientes del grupo, y aplicar la poltica.
Para los clientes no administrados, debe habilitar una clave del registro
manualmente.
Nota: Una mejor prctica es habilitar esta ayuda con la poltica de LiveUpdate.
Habilitar la distribucin del contenido de otro fabricante en equipos

cliente administrados con una poltica de LiveUpdate
Cuando crea una poltica de LiveUpdate que admite la distribucin de contenido
de otros fabricantes en los equipos cliente administrados, tiene un par de objetivos
adicionales. Un objetivo es reducir la frecuencia con la que los clientes buscan
actualizaciones. El otro objetivo es, generalmente, deshabilitar la capacidad de
los usuarios de clientes de ejecutar manualmente LiveUpdate. El trmino equipos
cliente administrados significa que los clientes estn administrados con las
polticas de Symantec Endpoint Protection Manager.
Cuando haya terminado con este paso, el siguiente directorio aparece en los equipos
cliente del grupo que no ejecuta Windows Vista:

El siguiente directorio aparece en los equipos cliente del grupo que ejecuta
Windows Vista:

Para habilitar la distribucin del contenido de otro fabricante en equipos cliente

administrados con una poltica de LiveUpdate
3 En el panel Polticas de LiveUpdate, habilite la ficha Polticas de LiveUpdate.
4 En la seccin inferior izquierda del panel, bajo Qu desea hacer?, haga clic
en Agregar una poltica de configuracin de LiveUpdate.
5 En la ventana Poltica de LiveUpdate, en los cuadros Nombre de poltica y
Descripcin, escriba un nombre y una descripcin.
6 Haga clic en Planificar.
7 En el panel Programar, bajo Frecuencia, marque Semanalmente.
8 Desactive el resto de las opciones y, luego, haga clic en Configuracin del
servidor.
9 En la ficha Servidor de LiveUpdate, marque Habilitar administracin de
contenido de terceros.
10 Desactive el resto de las opciones de origen de LiveUpdate y, luego, haga clic
en Configuracin avanzada.
11 Bajo Configuracin de seguridad del cliente, marque No permitir que el cliente
modifique la configuracin de la actualizacin y No permitir que el cliente
inicie LiveUpdate manualmente.
13 En el cuadro de dilogo Aplicar poltica, haga clic en S.
Es posible cancelar este procedimiento y aplicar la poltica despus.
14 En el cuadro de dilogo Aplicar poltica de LiveUpdate, marque uno o ms
grupos a los cuales se aplicar esta poltica y, despus, haga clic en Aplicar.
Distribuir contenido a equipos cliente administrados con herramientas

de distribucin de terceros
Despus de configurar la poltica de LiveUpdate para habilitar la administracin
de contenido de terceros, busque y copie el contenido en Symantec Endpoint
Protection Manager. Despus de encontrar y copiar el contenido, distribyalo a
los clientes. Tambin puede decidir qu contenido copiar y distribuir.
Nota: Si prepara los archivos de actualizacin en los equipos cliente antes de

colocarlos en el directorio /inbox, es necesario copiar los archivos. Trasladar los
archivos no funciona. Es posible adems copiar archivos .vdb y .jdb a la bandeja
de entrada para el procesamiento.
Para distribuir contenido a equipos cliente administrados con herramientas de

distribucin de terceros
1 En el equipo con Symantec Endpoint Protection Manager, cree un directorio
de trabajo tal como \Dir_Trabajo.
2 En la consola, en la ficha Clientes, haga clic con el botn secundario en el
grupo que desea actualizar y despus haga clic en Propiedades.
3 Documente los primeros cuatro valores hexadecimales del Nmero de serie
de la poltica, tal como 7B86.
4 Desplcese hasta el siguiente directorio:
\\Program Data\Symantec\Symantec Endpoint Protection
Manager\data\outbox\agent
5 Localice el directorio que contiene los primeros cuatro valores hexadecimales
que coinciden con el Nmero de serie de la poltica de su grupo de equipos
cliente.
6 Abra el directorio y copie index2.dax en su directorio de trabajo, por
ejemplo\Dir_Trabajo\index2.dax.
7 Desplcese hasta el siguiente directorio:
\\Program Data\Symantec\Symantec Endpoint Protection
Manager\Inetput\content
8 Abra y lea ContentInfo.txt para detectar el contenido que cada directorio
de <<apodo de destino>> incluye.
El contenido de cada directorio es <<apodo de destino>>\<nm.
secuencia>\full.dax|full.zip|full.
El archivo que necesita es <<apodo de destino>>\<ltimo nm. de
secuencia>\index.dax.
9 Copie el contenido de cada directorio \<<apodo de destino>> al directorio de
trabajo, como \Dir_Trabajo.
10 Elimine todos los archivos y directorios de cada \<<apodo de destino>> de

modo que solamente permanezcan en el directorio de trabajo la estructura
de directorios y archivos siguiente.
\\Dir_Trabajo\<<apodo de destino>>\<ltimo nmero de secuencia>\full.dax
Su directorio de trabajo ahora contiene la estructura de directorios y archivos
para distribuir a sus clientes.
11 Utilice las herramientas de distribucin de terceros para distribuir el contenido
del \Dir_Trabajo al directorio \\Symantec Endpoint Protection\inbox\ en los
clientes en su grupo.
El resultado final debe tener el siguiente aspecto:
\\Symantec Endpoint Protection\inbox\index2.dax
\\Symantec Endpoint Protection\inbox\<<apodo de destino>>\<ltimo nmero
de secuencia>\full.dax
Si desaparecen los archivos de modo que \inbox\ queda vaco, el proceso se
realiz correctamente. Si aparece un directorio \inbox\invalid\, no se realiz
correctamente y debe intentarlo de nuevo
Acerca del uso de las herramientas de distribucin de otro fabricante

para distribuir actualizaciones a los clientes no administrados
Si instal clientes no administrados desde el CD de instalacin, los equipos cliente
no confan y no procesan las actualizaciones de polticas o de contenido para los
propsitos de seguridad. Para permitir que los equipos cliente procesen
actualizaciones, debe crear la siguiente clave del registro:
HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState
Configure el valor al hexadecimal 80 de modo que la clave se vea como 0x00000080

(128)
Despus de configurar esta clave, debe reiniciar el equipo o ejecutar los siguientes
comandos desde el directorio \Symantec\Symantec Endpoint Protection\:
smc.exe -stop
smc.exe -start
El siguiente directorio aparece en los equipos cliente que no ejecutan Windows

Vista:

El siguiente directorio aparece en los equipos cliente que ejecutan Windows Vista:
Ahora puede utilizar las herramientas de distribucin de otro fabricante para

copiar las actualizaciones de contenido o de polticas a este directorio. El software
de cliente de Symantec despus confa y procesa el contenido.
Obtiene el contenido para distribuir de Symantec Endpoint Protection Manager
de la misma manera que lo hace para los equipos cliente administrados. Sin
embargo, en vez de copiar index2.dax del directorio de grupos de clientes
administrados en el paso 2, copie index2.xml del grupo global. Copie el archivo
full.dax segn la descricpin para el equipo cliente administrado. Luego, podr
distribuir estos archivos. Es posible adems cortar los archivos .vdb y .jdb de la
bandeja de entrada del cliente para procesarlos.
Nota: Si prepara la actualizacin de los archivos en los equipos, debe copiarlos a

la bandeja de entrada. Los archivos de la actualizacin no se procesan si los mueve
a la bandeja de entrada.
Ver "Para distribuir contenido a equipos cliente administrados con herramientas

de distribucin de terceros" en la pgina 141.
Nota: Despus de una instalacin de cliente administrado, la clave del registro de

TPMState tiene un valor de 0, que es posible modificar. (Esta clave no existe
despus de una instalacin de cliente no administrado). Adems, no es necesario
que reinicie el equipo o que ejecute el comando smc.exe para la instalacin del
equipo cliente administrado. El directorio aparece tan pronto como se modifique
la clave del registro.
Captulo 8
Configurar mecanismos de
notificacin de
comunicaciones
Acerca de los mecanismos de notificacin de comunicaciones
Acerca de la comunicacin entre Symantec Endpoint Protection Manager y el

servidor de correo electrnico
Notificar al administrador del sistema sobre eventos
Acerca de los mecanismos de notificacin de

comunicaciones
Es posible se le enve un correo electrnico generado automticamente siempre
que el nmero de errores de autenticacin exceda el umbral especificado. Estos
errores pueden incluir inicios de sesin incorrectos o cuentas bloqueadas; eventos
del sistema en los servidores, mdulos de aplicacin Enforcer, errores de
replicacin; eventos de copia de respaldo o de restauracin; o errores de sistema.
Si desea enviar correo electrnico a los administradores y a los usuarios, debe
establecer una conexin entre un servidor de correo y Symantec Endpoint
Protection Manager. Si no se establece la conexin, los mensajes de correo
electrnico generados automticamente no pueden llegar a los usuarios
especificados.
146 Configurar mecanismos de notificacin de comunicaciones
Acerca de la comunicacin entre Symantec Endpoint Protection Manager y el servidor de correo electrnico
Acerca de la comunicacin entre Symantec Endpoint

Protection Manager y el servidor de correo electrnico
Si desea que los administradores reciban notificaciones automticas de correo
electrnico de eventos de seguridad seleccionados, es necesario establecer una
conexin entre Symantec Endpoint Protection Manager y un servidor de correo.
Ver "Establecer comunicacin entre Symantec Endpoint Protection Manager y
servidores de correo" en la pgina 300.

Es posible utilizar Symantec Endpoint Protection Manager para configurar el
servidor de correo para enviarle notificaciones de correo electrnico de eventos
de seguridad seleccionados.
Es posible elegir los tipos de eventos para los cuales se quieran enviar las
notificaciones de correo electrnico. Adems, es posible elegir recibir informes
de notificacin diarios o semanales. Seleccione Informes diarios o Informes
semanales si desea recibir los informes, o brrelos para dejar de recibir los
informes.
Para configurar las opciones de notificacin de correo electrnico para un
administrador del sistema
1 En Symantec Endpoint Protection Manager, haga clic en Administrador.
2 En el panel Ver administadores, en el rbol, seleccione el nombre del
administrador del sistema que desea que reciba notificaciones.
4 En Propiedades del administrador de sistema para la pgina [nombre], en la
ficha General, escriba el nombre de usuario del administrador.
5 Escriba el nombre completo del administrador.
6 Escriba la direccin de correo electrnico del administrador.
7 Haga clic y arrastre el control deslizante de Umbral de intentos de inicio de
sesin para modificar el valor del umbral.
8 Haga clic en Bloquear esta cuenta cuando los intentos de inicio de sesin
exceden el umbral si desea bloquear la cuenta si los intentos de inicio de
sesin exceden el umbral.
9 Haga clic en Enviar alerta por correo electrnico cuando se bloquee la cuenta
para recibir un correo electrnico siempre que se bloquee la cuenta.
Configurar mecanismos de notificacin de comunicaciones 147
10 Elija la cantidad de minutos durante los cuales se bloquear la cuenta.

Este perodo se extiende de 0 a 60 minutos.
Tipos de notificaciones
Es posible enviar los tipos de notificaciones siguientes:
Error de autenticacin
Error de autenticacin en un servidor
Modificacin en la lista de clientes
Alerta de seguridad de cliente
Alerta de seguridad del cliente por cantidad de equipos
Alerta de seguridad de clientes en equipos individuales
Enforcer inactivo
Buscar nuevos riesgos
Aplicacin aprendida
Nuevo paquete de software
Ataque por nm. de equipos
Ataque por equipos individuales
Ataque de riesgo
Estado del servidor
Evento de riesgo simple
Evento del sistema
Equipo sin clientes
Definiciones de virus desactualizadas
Se detect aplicacin en lista blanca
Estas notificaciones se le envan a la direccin de correo electrnico que usted
especific en "Para configurar las opciones de notificacin de correo electrnico
para un administrador del sistema" en la pgina 146. Es posible adems notificar
a otras cuentas de correo electrnico y configurar un intervalo de reduccin en
los correos de alertas.
Configuracin de filtro de registro de notificaciones

Es posible personalizar la configuracin del filtro para clarificar la informacin
del filtro de registro de notificaciones que desea ver.
Es posible personalizar la configuracin del filtro de registro de notificaciones
siguiente:
Intervalo de tiempo
Filtrar reconocidos
Filtro creado por
Dominio
Grupo de clientes
Servidor principal
Equipo
Nombre del riesgo
Gravedad del riesgo
Origen
Accin
Lmite de tamao del registro
Configurar la notificacin del sistema

Es posible configurar el envo de correo electrnico en caso de errores de
autenticacin. stos incluyen inicios de sesin incorrectos o cuentas bloqueadas
y eventos del sistema en servidores, Enforcers, errores de replicacin, eventos de
copia de respaldo o restauracin, o errores de sistema.
Para supervisar los eventos de autenticacin
1 Desde Symantec Endpoint Protection Manager, haga clic en la ficha
Supervisin.
2 Desde la pgina Supervisin, haga clic en la ficha Notificaciones.
3 Expanda la lista desplegable Tipo de notificacin y haga clic en Error de
autenticacin para recibir un mensaje cuando se produce un error en la
autenticacin.
4 Expanda la lista desplegable Intervalo de tiempo y seleccione el filtro de
intervalo de tiempo que desee utilizar.
5 Expanda la lista desplegable Filtrar reconocidos y elija si desea filtrar por

reconocido, no reconocido o ambos.
6 Expanda los mens desplegables Dominio, Grupo de clientes, Servidor
principal, Equipo, Nombre del riesgo, Gravedad del riesgo, Origen y Accin
para definir sus selecciones de filtro.
7 Expanda la lista desplegable del lmite y seleccione el lmite de tamao (en
nmero total de entradas) para el registro de notificaciones.
8 Haga clic en Guardar filtro.
9 En el campo de entrada Nombre del filtro, escriba el nombre del nuevo filtro
y despus haga clic en Guardar filtro.
10 Haga clic en Ver registro para ver el registro de notificaciones.
Para supervisar eventos del sistema
1 Desde Symantec Endpoint Protection Manager, haga clic para seleccionar la
ficha Supervisin.
2 Haga clic en la ficha Notificaciones.
3 Haga clic en la lista desplegable Tipo de notificacin y despus haga clic en
Evento del sistema para recibir un mensaje por cada evento del sistema.
4 Haga clic para expandir la lista desplegable Intervalo de tiempo y haga clic
para seleccionar el filtro de intervalo de tiempo que desee utilizar.
5 Haga clic para expandir la lista desplegable Filtrar reconocidos y haga clic
para seleccionar si desea filtrar por reconocido, no reconocido o ambos.
6 Haga clic en los mens desplegables Dominio, Grupo de clientes, Servidor
principal, Equipo, Nombre del riesgo, Gravedad del riesgo, Origen y Accin
para definir sus selecciones de filtro.
7 Haga clic para expandir la lista desplegable del lmite y seleccione el lmite
de tamao (en nmero total de entradas) para el registro de notificaciones.
9 En el campo de entrada Nombre del filtro, escriba el nombre del nuevo filtro
y despus haga clic en Guardar filtro.
10 Haga clic en Ver registro para ver el registro de notificaciones.
Configurar notificaciones de clientes

Para las notificaciones de clientes, habilite o deshabilite las notificaciones en la
seccin del cliente Tipo de notificacin de este cuadro de dilogo.
Nota: Es posible configurar la configuracin de personalizacin para que todas

las notificaciones de clientes sean iguales. Elija Usar la misma configuracin
personalizada para todos los tipos, situada en la parte inferior de esta seccin del
cuadro de dilogo.
Para supervisar alertas de seguridad de clientes

1 Seleccione Notificacin de alerta de seguridad del cliente para recibir un
mensaje cuando se atacan los clientes o cuando se activa una norma de firewall
con notificacin de correo electrnico.
Para seleccionar los grupos especficos que desea supervisar, haga clic en
Personalizar. Aparecer el cuadro de dilogo Seleccionar grupos de
notificacin.
2 Es posible elegir Supervisar todos los grupos o elegir especficamente los
dominios individuales que desee supervisar. Cuando haya terminado, haga
clic en Aceptar para volver al cuadro de dilogo Notificacin por correo
electrnico.
Para supervisar aplicaciones aprendidas
1 Haga clic en Notificacin de aplicacin aprendida para recibir un mensaje
cuando se aprenden nuevas aplicaciones. Para seleccionar los grupos que
desea supervisar, haga clic en Personalizar. Aparecer el cuadro de dilogo
Seleccionar grupos de notificacin.
dominios individuales que desea supervisar. Cuando haya terminado de elegir
los grupos, haga clic en Aceptar para volver al cuadro de dilogo Notificacin
por correo electrnico.
Para supervisar modificaciones en la lista de clientes
1 Haga clic en Notificacin de modificaciones en la lista de clientes para recibir
un mensaje cuando la lista de clientes de grupo se modifica.
Para supervisar grupos especficos, haga clic en Personalizar. Aparecer el
cuadro de dilogo Seleccionar grupos de notificacin.
grupos individuales que desea supervisar.
Cuando haya terminado de elegir los grupos, haga clic en Aceptar para volver
al cuadro de dilogo Notificacin por correo electrnico.
Notificar a otras cuentas de correo electrnico

Es posible notificar a otras cuentas de correo electrnico cuando se reciben las
alertas que se configuran aqu.
Para notificar a otras cuentas de correo electrnico
1 Seleccione Notificar a otras cuentas de correo electrnico en la parte inferior
del cuadro de dilogo.
2 Seleccione Configuracin de correo electrnico para especificar los
destinatarios y las direcciones a las cuales desee enviar correo electrnico.
Es posible escribir varias direcciones en cualquiera de las lneas. Utilice comas
para separar cada direccin.
3 Haga clic en Aceptar para volver al cuadro de dilogo Notificacin por correo
electrnico.
Configurar la sincronizacin de alertas

Es posible configurar un reductor para evitar recibir demasiados correos
electrnicos. Configure Symantec Endpoint Protection Manager para que enve
correo electrnico en intervalos automticos o en los intervalos que se especifican.
Para configurar la sincronizacin de alertas
1 Seleccione Reduccin automtica para implementar la sincronizacin
automtica de alertas de correos electrnicos. sta es la opcin
predeterminada.
2 Seleccione Reduccin para implementar alertas de correos electrnicos
sincronizadas. El intervalo predeterminado es una hora; pero es posible elegir
un intervalo de 10 minutos a 10 horas.
3 Cuando haya finalizado con esta ficha, haga clic en la ficha General si necesita
modificar las opciones o haga clic en Aceptar. La ficha General incluye otra
configuracin de notificacin de correo electrnico para cuando su cuenta
de administrador est bloqueada debido a demasiados intentos de inicio de
sesin.
Captulo 9
Limitar el acceso de
usuarios a las funciones de
clientes
Acerca del acceso a la interfaz del cliente
Bloquear y desbloquear las opciones administradas
Modificar el nivel de control del usuario
Proteger el cliente con contrasea
Acerca del acceso a la interfaz del cliente

Es posible determinar el nivel de interaccin que se desea que los usuarios tengan
en el cliente de Symantec Endpoint Protection. Elija las funciones que estn
disponibles para que los usuarios configuren. Por ejemplo, es posible controlar el
nmero de notificaciones que aparecen y limitar la capacidad de los usuarios de
crear normas de firewall y anlisis antivirus. Es posible adems dar a los usuarios
acceso completo a la interfaz de usuario.
Las funciones que los usuarios pueden personalizar para la interfaz de usuario se
llaman opciones administradas. El usuario no tiene acceso a todas las funciones
del cliente, como proteccin mediante contrasea.
Para determinar el nivel de interaccin del usuario, es posible personalizar la
interfaz de usuario de las siguientes maneras:
Para las opciones de antivirus y de proteccin contra software espa, es posible
bloquear o desbloquear las opciones.
154 Limitar el acceso de usuarios a las funciones de clientes
Para las opciones de firewall, las opciones de prevencin de intrusiones y

algunas opciones de la interfaz de usuario del cliente, es posible configurar el
nivel de control del usuario y configurar las opciones asociadas.
Es posible proteger el cliente con contrasea.
Ver "Proteger el cliente con contrasea" en la pgina 161.

Para determinar qu proteccin antivirus y contra software espa y qu funciones
de proteccin contra intervenciones estn disponibles para que los usuarios
configuren en el cliente, usted debe bloquearlas o desbloquearlas. Los usuarios
pueden configurar las opciones que estn desbloqueadas, pero no pueden
configurar las que estn bloqueadas. Solamente los administradores pueden
configurar las opciones bloqueadas en la consola de Symantec Endpoint Protection
Manager.
La Tabla 9-1 describe los iconos de candado.
Tabla 9-1 Iconos de candado bloqueados y desbloqueados
Icono Qu significa el icono
La opcin est desbloqueada y los usuarios pueden modificarla en la

interfaz de usuario del cliente.
En el cliente, no aparece el icono del candado y la opcin est

disponible.
La opcin est bloqueada y los usuarios no pueden modificarla en la

En el cliente, aparece el candado bloqueado y la opcin aparece

atenuada.
Las opciones se bloquean o se desbloquean en las pginas o los cuadros de dilogo

donde aparecen.
Para bloquear y desbloquear las opciones administradas
1 Abra una poltica antivirus y contra software espa.
Ver "Editar una poltica" en la pgina 404.
2 En la pgina Antivirus y proteccin contra software espa, haga clic en una
de las siguientes pginas:
Auto-Protect para el sistema de archivos
Auto-Protect para correo electrnico de Internet
Limitar el acceso de usuarios a las funciones de clientes 155
Auto-Protect para Microsoft Outlook

Auto-Protect para Lotus Notes
Anlisis de amenazas proactivo
Envos
Otros
3 Haga clic en el icono del candado para bloquear o desbloquear la opcin.

4 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Adems, puede bloquear y desbloquear las opciones de proteccin contra
intervenciones.
Ver "Configurar Proteccin contra intervenciones" en la pgina 359.

Es posible determinar qu funciones de Proteccin contra amenazas de red y qu
opciones de la interfaz de usuario del cliente estn disponibles para que los
usuarios las configuren en el cliente de Symantec Endpoint Protection. Para
determinar qu opciones estn disponibles, debe especificar el nivel de control
del usuario. El nivel de control del usuario determina si el cliente puede ser
totalmente invisible, mostrar un grupo parcial de funciones o mostrar una interfaz
de usuario completa.
La Tabla 9-2 muestra los niveles de control del usuario del cliente.
Tabla 9-2 Niveles de control del usuario
Nivel de control del Descripcin

usuario
Control de servidores Proporciona a los usuarios el control ms bajo sobre el cliente.

El control de servidores bloquea la configuracin administrada
de modo que los usuarios no puedan modificarla.
El control de servidores tiene las caractersticas siguientes:
Los usuarios no pueden configurar o habilitar normas de

firewall, opciones especficas de la aplicacin, opciones del
firewall, opciones de la prevencin de intrusiones o registros
de la proteccin contra amenazas de red y de administracin
de clientes. Se configuran todas las normas de firewall y las
opciones de seguridad en la consola de Symantec Endpoint
Protection Manager para el cliente.
Los usuarios pueden ver registros, el historial de trfico del
cliente y la lista de aplicaciones que se ejecutan en el cliente.
Es posible modificar la configuracin de la interfaz de usuario
y las notificaciones de firewall para que aparezcan o no en
el cliente. Por ejemplo, es posible ocultar la interfaz de
usuario del cliente.
La configuracin que se establece para el control de servidores

aparece atenuada o no se ve en la interfaz de usuario del cliente.
Cuando se crea una nueva ubicacin, se establece

automticamente el control de servidores para ella.
Control de clientes Proporciona a los usuarios el control ms alto sobre el cliente.

El control de clientes desbloquea la configuracin administrada
de modo que los usuarios puedan configurarla.
El control de clientes tiene las caractersticas siguientes:
Los usuarios pueden modificar o habilitar normas de firewall,

notificaciones de firewall, opciones de firewall, opciones
especficas de la aplicacin, opciones de la prevencin de
intrusiones y opciones de la interfaz de usuario del cliente.
El cliente omite las normas de firewall que usted configura
para el cliente.
Es posible otorgar control de clientes a los equipos cliente que

los empleados utilizan en una ubicacin remota o desde su casa.
Nivel de control del Descripcin

usuario
Control mixto Proporciona al usuario un control mixto sobre el cliente.

El control mixto tiene las caractersticas siguientes:
Los usuarios pueden modificar las normas de firewall y las

opciones especficas de la aplicacin.
Es posible configurar las normas de firewall, que pueden o
no reemplazar las normas que los usuarios configuran. La
posicin de las normas del servidor en la lista de normas de
la poltica de firewall determina si las normas del servidor
reemplazan las normas del cliente.
Es posible especificar ciertas opciones para que estn
disponibles o no en el cliente para que los usuarios puedan
habilitarlas y configurarlas. Estas opciones incluyen los
registros de la proteccin contra amenazas de red, los
registros de administracin de clientes, las opciones del
firewall, las opciones de la prevencin de intrusiones y
algunas opciones de la interfaz de usuario.
Es posible configurar las opciones de la proteccin antivirus
y contra software espa para que reemplacen la configuracin
del cliente, incluso si la configuracin est desbloqueada.
Por ejemplo, si usted desbloquea la funcin Auto-Protect y
el usuario la deshabilita, es posible habilitar Auto-Protect.
La configuracin que se establece para el control de clientes

est disponible para el usuario. La configuracin que se establece
para el control de servidores aparece atenuada o no se ve en la
Ver "Acerca del control mixto" en la pgina 158.
Algunas opciones administradas tienen elementos dependientes. Por ejemplo, los

usuarios pueden tener permiso para configurar normas de firewall, pero no pueden
acceder a la interfaz de usuario del cliente. Dado que los usuarios no tienen acceso
al cuadro de dilogo Configurar normas de firewall, no pueden crear normas.
Es posible configurar un nivel de control de usuario distinto para cada ubicacin.
Nota: Los clientes que se ejecutan en control de clientes o control mixto pasan al
control de servidores cuando el servidor aplica una poltica de cuarentena.
Para modificar el nivel de control del usuario

2 En Ver clientes, seleccione el grupo cuya ubicacin desea modificar.
3 Haga clic en la ficha Polticas.
4 En Configuracin y polticas especficas de la ubicacin, en la ubicacin que
desea modificar, expanda Configuracin especfica de la ubicacin.
5 A la derecha de Configuracin de los controles de la interfaz de usuario del
cliente, haga clic en Tareas > Editar configuracin.
6 En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario
del cliente, realice una de las siguientes opciones:
Haga clic en Control de servidores y despus haga clic en Personalizar.
Haga clic en Control de clientes.
Haga clic en Control mixto y a continuacin haga clic en Personalizar.
Acerca del control mixto

Para los clientes en control mixto, es posible determinar qu opciones
administradas se desea que los usuarios configuren o no. Las opciones
administradas incluyen valores en una poltica de firewall, una poltica de
prevencin de intrusiones y la configuracin de la interfaz de usuario del cliente.
Es posible asignar cada opcin al control de servidor o al control del cliente. En
control de clientes, solamente el usuario puede habilitar o inhabilitar la
configuracin. En control de servidores, solamente usted puede habilitar o
inhabilitar la configuracin. La opcin Control de clientes es el nivel de control
de usuario predeterminado. Si asigna una opcin al control de servidores, luego
debe configurar la opcin en la pgina o el cuadro de dilogo correspondiente en
la consola de Symantec Endpoint Protection Manager. Por ejemplo, es posible
habilitar la configuracin del firewall en la poltica de firewall. Es posible
configurar los registros en el cuadro de dilogo Configuracin de registros de
clientes en la ficha Polticas de la pgina Clientes.
Es posible configurar los siguientes tipos de opciones:
Opciones de interfaz de usuario
Opciones de proteccin general contra amenazas de red
Opciones de poltica de firewall
Opciones de poltica de prevencin de intrusiones
Configurar opciones de la interfaz de usuario

Es posible configurar opciones de la interfaz de usuario en el cliente si se hace
una de las siguientes tareas:
Configure el nivel de control del usuario de cliente en control del servidor.
Configure el nivel de control del usuario del cliente en control mixto y configure
la funcin principal en la ficha Configuracin de control de clientes y servidores
en Servidor.
Por ejemplo, es posible configurar la opcin Mostrar u ocultar icono del rea
de notificacin en Cliente. El icono del rea de notificacin aparece en el cliente,
y el usuario puede elegir mostrar u ocultar el icono. Si configura la opcin
Mostrar u ocultar icono del rea de notificacin en Servidor, puede elegir si
desea visualizar el icono del rea de notificacin en el cliente.
Para configurar las opciones de la interfaz de usuario en control mixto
1 Modifique el nivel de control del usuario en control mixto.
Ver "Modificar el nivel de control del usuario" en la pgina 155.
2 En el cuadro de dilogo Configuracin del control mixto de la interfaz de
usuario del cliente, en la ficha Configuracin de control de clientes y
servidores, realice una de las siguientes acciones:
Bloquee una opcin de modo que se pueda configurar solamente desde el
servidor. Para la opcin que desee bloquear, haga clic en Servidor.
La configuracin de la proteccin antivirus y contra software espa que
usted establece en Servidor anula la configuracin del cliente.
Desbloquee una opcin de modo que el usuario pueda configurarla en el
cliente. Para la opcin que desee, haga clic en Cliente. La opcin Cliente
est seleccionada de manera predeterminada.
3 Para las siguientes opciones que usted configura en Servidor, haga clic en
Configuracin de la interfaz de usuario del cliente para configurarlas:
Mostrar/Ocultar el icono Mostrar el icono del rea de notificacin.

en el rea de notificacin
Habilitar/inhabilitar Permitir a los usuarios habilitar e inhabilitar proteccin

proteccin contra contra amenazas de red.
amenazas de red
Comando de men Prueba Permitir a los usuarios realizar prueba de seguridad.

de seguridad de red
Mostrar/ocultar Mostrar notificaciones de prevencin de intrusiones

notificaciones de
prevencin de intrusiones.
Para obtener informacin sobre en qu parte de la consola se configuran las

opciones restantes que usted establece en Servidor, haga clic en Ayuda. Para
habilitar la configuracin del firewall y la configuracin de prevencin de
intrusiones, configrelas en las polticas de firewall y de prevencin de
intrusiones.
Ver "Habilitar el filtro de trfico inteligente" en la pgina 545.
Ver "Habilitar configuracin de trfico y de ocultacin" en la pgina 546.
Ver "Configurar la prevencin de intrusiones" en la pgina 549.
4 En la ficha Configuracin de la interfaz de usuario del cliente, marque la
casilla de verificacin de la opcin de modo que la opcin est disponible en
el cliente.
Para configurar las opciones de la interfaz de usuario en control de servidor
1 Modifique el nivel de control del usuario en control mixto.
Ver "Modificar el nivel de control del usuario" en la pgina 155.
2 En el cuadro de dilogo Configuracin de la interfaz de usuario del cliente,
marque la casilla de verificacin de una opcin de modo que la opcin aparezca
en el cliente para que el usuario la utilice.

Es posible aumentar la seguridad corporativa solicitando la proteccin mediante
contrasea en el equipo cliente siempre que los usuarios realicen ciertas tareas.
Es posible solicitar a los usuarios que escriban una contrasea cuando intentan
realizar una de las siguientes acciones:
Abrir la interfaz de usuario del cliente.
Detener el cliente.
Importar y exportar la poltica de seguridad.
Desinstalar el cliente.
Es posible modificar la configuracin de la proteccin mediante contrasea
solamente para los subgrupos que no heredan de un grupo principal.
Para proteger el cliente con contrasea
2 En Ver clientes, seleccione el grupo para el que desea configurar la proteccin
mediante contrasea.
3 En la ficha Polticas, en Configuracin y polticas independientes de la
ubicacin, haga clic en Configuracin general.
4 Haga clic en Configuracin de seguridad.
5 En la ficha Configuracin de seguridad, elija una de las siguientes casillas de
verificacin:
Solicitar una contrasea para abrir la interfaz de usuario del cliente
Solicitar una contrasea para detener el servicio de cliente
Solicitar una contrasea para importar o exportar una poltica
Solicitar una contrasea para desinstalar el cliente
6 En el cuadro de texto Contrasea, escriba la contrasea.

La contrasea se limita a 15 caracteres o menos.
7 En el cuadro de texto Confirmar contrasea, vuelva a escribir la contrasea.
Captulo 10
Fundamentos de la
elaboracin de informes
Acerca de los informes
Acerca de los informes que puede ejecutar
Acerca de la visualizacin de registros e informes
Cmo la elaboracin de informes utiliza la base de datos
Acerca de eventos registrados de su red
Acerca de los registros
Acceder a las funciones de elaboracin de informes
Acerca del uso de SSL con las funciones de elaboracin de informes
Usar la pgina principal de Symantec Endpoint Protection
Usar la pgina principal de Symantec Network Access Control
Configurar preferencias de la elaboracin de informes
Acerca de los horarios de anlisis de clientes utilizados en informes y registros
Acerca del uso del filtro ltimas 24 horas para informes y registros
Acerca del uso de filtros que buscan grupos en informes y registros

164 Fundamentos de la elaboracin de informes

Las funciones de elaboracin de informes le brindan la informacin actualizada
que se necesita para supervisar y para tomar decisiones informadas sobre la
seguridad de su red. La pgina principal de la consola de administracin muestra
los grficos generados automticamente que contienen informacin sobre los
eventos importantes que han sucedido recientemente en su red. Es posible utilizar
los filtros en la pgina Informes para elaborar informes predefinidos o
personalizados. Puede utilizar la pgina Informes para ver grficos de
representaciones y estadsticas de los eventos que suceden en su red. Puede utilizar
los filtros de la pgina Supervisin para ver una informacin ms detallada y en
tiempo real sobre los registros de su red.
Si est instalado Symantec Endpoint Protection, la elaboracin de informes incluye
las siguientes funciones:
Pgina de inicio personalizable con sus informes ms importantes, estado de
la seguridad general y vnculos a Symantec Security Response.
Vistas de resumen de informes acerca del estado del antivirus, estado de la
Proteccin contra amenazas de red, estado de cumplimiento y estado del sitio.
Informes rpidos predefinidos e informes grficos personalizables con varias
opciones de filtro que es posible configurar.
La capacidad de programar los informes que se enviarn por correo electrnico
a los destinatarios en los intervalos regulares.
Ayuda para Microsoft SQL o una base de datos integrada para almacenar
registros de eventos.
La capacidad de ejecutar anlisis de equipos cliente, de activar la Proteccin
contra amenazas de red del cliente y Auto-Protect, y de reiniciar los equipos
directamente desde los registros.
La capacidad de agregar exclusiones de la aplicacin directamente desde los
registros.
Notificaciones configurables que se basan en los eventos de seguridad.
Si est instalado Symantec Network Access Control, la elaboracin de informes
incluye las siguientes funciones:
Pgina de inicio con una vista de resumen general del estado del cumplimiento.
Informes grficos predefinidos y personalizables con varias opciones de filtro.
Ayuda para Microsoft SQL o una base de datos integrada para almacenar
registros de eventos.
Fundamentos de la elaboracin de informes 165
La capacidad de programar los informes que se enviarn por correo electrnico

a los destinatarios en los intervalos regulares.
Notificaciones configurables que se basan en los eventos de seguridad.
La elaboracin de informes se ejecuta como aplicacin Web dentro de la consola
de administracin. La aplicacin utiliza un servidor Web para entregar esta
informacin. Es posible adems acceder a las funciones de elaboracin de informes
desde un navegador Web independiente que se conecte al servidor de
administracin.
Las tareas bsicas de la elaboracin de informes incluyen:
Registro en informes mediante un navegador Web.
Uso de la pgina de inicio y la vista de resumen para conseguir la informacin
rpida sobre eventos en su red de seguridad.
Configuracin de las preferencias de la elaboracin de informes.
Uso de vnculos a Symantec Security Response.

Symantec Endpoint Protection y Symantec Network Access Control recopilan la
informacin sobre los eventos de seguridad de su red. Puede ver informes rpidos
predefinidos y generar informes personalizados basados en la configuracin de
filtro seleccionada. Tambin puede guardar los valores de configuracin de filtro
para generar los mismos informes personalizados en el futuro y para eliminarlos
cuando no los necesite ms.
La Tabla 10-1 describe los tipos de informes que estn disponibles.
Tabla 10-1 Tipos de informes
Tipo de informe Descripcin
Control de aplicaciones y Muestra informacin sobre los eventos donde se bloque

dispositivos un cierto tipo de comportamiento. Estos informes incluyen
informacin sobre alertas de seguridad de la aplicacin,
destinos bloqueados y dispositivos bloqueados. Los destinos
bloqueados pueden ser claves de registro, dlls, archivos y
procesos.
Auditora Muestra informacin sobre las polticas que los clientes y

las ubicaciones utilizan actualmente.
Cumplimiento Muestra informacin sobre el estado del cumplimiento de

su red. Estos informes incluyen informacin sobre los
servidores de Enforcer, los clientes de Enforcer, el trfico
de Enforcer y el cumplimiento de hosts.
Estado del equipo Muestra informacin sobre el estado operacional de los

equipos de su red, como qu equipos tienen rasgos de
seguridad desactivados. Estos informes incluyen
informacin sobre versiones, sobre los clientes que se han
registrado en el servidor, el inventario de clientes y el estado
en lnea.
Proteccin contra amenazas Muestra informacin sobre prevencin de intrusiones,

de red ataques en el firewall y sobre trfico y paquetes del firewall.
Riesgo Muestra informacin sobre eventos de riesgo en los

servidores de administracin y sus clientes. Incluye
informacin sobre la Proteccin proactiva contra amenazas.
Anlisis Muestra informacin sobre la actividad del anlisis antivirus

y contra software espa.
Sistema Muestra informacin sobre tiempos del evento, tipos de

evento, sitios, dominios, servidores y niveles de gravedad.
Nota: Algunos informes predefinidos contienen la informacin que se obtiene de

Symantec Network Access Control. Si no ha comprado ese producto, sino que
ejecuta uno de los informes de ese producto, el informe estar vaco.
Puede modificar los informes predefinidos y guardar su configuracin. Puede

crear nuevas configuraciones de filtro a partir de la configuracin predefinida o
de una configuracin que usted haya creado. Tambin puede eliminar las
configuraciones personalizadas si ya no las necesita. La configuracin activa del
filtro se enumera en el informe si ha configurado el registro e informa la
configuracin de las preferencias para incluir los filtros en informes.
Ver "Configurar preferencias para registros e informes" en la pgina 185.
Cuando se crea un informe, ste aparece en otra ventana. Puede guardar una copia
del informe en formato de archivo Web o imprimir una copia del informe. El
archivo guardado o el informe impreso proporcionan una instantnea de los datos
actuales de la base de datos de elaboracin de informes, de modo que se pueda
conservar un registro del historial.
Tambin puede crear los informes programados que se generan automticamente

basados en una programacin configurada. Usted establece los filtros de los
informes y el momento de ejecucin. Cuando el informe ha terminado, se enva
por correo electrnico a uno o ms destinatarios.
De forma predeterminada, siempre se ejecuta un informe programado. Puede
modificar la configuracin de cualquier informe programado que an no haya
ejecutado. Tambin puede eliminar uno o todos los informes programados.
Ver "Crear y eliminar informes programados" en la pgina 214.

La resolucin de visualizacin ptima para las funciones de elaboracin de informes
es 1024 x 768 o mayor. Sin embargo, es posible ver las funciones de informes con
una resolucin de pantalla de tan slo 800 x 600 usando las barras de
desplazamiento.
Cmo la elaboracin de informes utiliza la base de

datos
Symantec Endpoint Protection recolecta y lee los eventos que ocurren en su red
de los registros del servidor de administracin almacenados en la base de datos.
La base de datos de informes puede ser una base de datos de Microsoft SQL de la
red o la base de datos instalada con el software de informes.
La base de datos tiene algunos requisitos de mantenimiento relacionados con la
elaboracin de informes.
Ver "Acerca de administrar eventos de registro en la base de datos" en la pgina 341.
Es posible obtener el esquema de base de datos que utiliza Symantec Endpoint
Protection si desea construir sus propios informes con el software de otro
fabricante. Para obtener informacin sobre el esquema de base de datos, consulte
las bases de conocimiento de Symantec.
Acerca de eventos registrados de su red

Symantec Endpoint Protection extrae los eventos que aparecen en los informes
del registro de eventos de sus servidores de administracin. Los registros de
eventos contienen marcas de hora correspondientes al huso horario del servidor.
Cuando el servidor de administracin recibe los eventos, convierte los grupos
fecha/hora del evento a Hora del meridiano de Greenwich (GMT) para la insercin
en la base de datos. Al crear informes, el software de informes muestra informacin

sobre eventos en la hora local del equipo en el que se ven los informes.
Algunos tipos de eventos, como ataques de virus, pueden dar lugar a la creacin
de un nmero excesivo de eventos de seguridad. Estos tipos de eventos se agregan
antes de que se remitan al servidor de administracin.
Para obtener informacin sobre los eventos que aparecen en la pgina de inicio,
consulte la pgina de las firmas de ataques del sitio Web de Symantec Security
Response. En Internet, vaya a la siguiente URL:
http://securityresponse.symantec.com/avcenter/attack_sigs/

Puede ver datos de los eventos directamente si desea prestar especial atencin a
eventos especficos. Los registros incluyen datos de eventos de sus servidores de
administracin y de todos los clientes que realizan informes de esos servidores.
Puede filtrar los datos del registro de la misma forma que se filtran los datos de
informes. Puede exportar datos del registro a un archivo separado por comas y
puede exportar ciertos datos a un archivo de texto o a un servidor Syslog. Esta
funcin es til para hacer una copia de respaldo de los datos del evento, o cuando
desea utilizar los datos en la hoja de balance o en otra aplicacin.
Ver "Exportar datos de registro" en la pgina 239.

La elaboracin de informes se ejecuta como aplicacin Web dentro de la consola
de administracin. La aplicacin utiliza un servidor Web para entregar esta
informacin. Es posible acceder a las funciones de elaboracin de informes, que
se encuentran en la pgina principal, la pgina Supervisin y la pgina Informes,
de la consola.
Es posible adems acceder a las funciones de la pgina principal, Supervisin e
Informes desde un navegador Web independiente que se conecte a su servidor de
administracin. Es posible realizar todas las funciones de elaboracin de informes
desde la consola o un navegador Web independiente. Sin embargo, todas las otras
funciones de la consola no estarn disponibles al usar un navegador independiente.
Para acceder a informes desde un navegador Web, es necesario tener la siguiente
informacin:
La direccin IP o el nombre de host del servidor de administracin.
El nombre y la contrasea de cuenta para el administrador.
Cuando se utiliza un navegador Web para acceder a funciones de elaboracin de

informes, no hay pginas ni iconos de la pgina en la visualizacin. Todas las
fichas que se encuentran en las pginas principal, Supervisin e Informes de la
consola se encuentran en la parte superior de la ventana del navegador.
Las pginas de informes y las pginas del registro siempre se muestran en el
idioma con el que se instal el servidor de administracin. Para ver estas pginas
cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada
debe estar instalada en el equipo.
Nota: Para acceder a las funciones de elaboracin de informes por cualquier

mtodo, es necesario tener Internet Explorer 6.0 o posterior instalado. Otros
navegadores Web no se admiten.
La informacin que se da aqu asume que se utiliza la consola de administracin

para acceder a funciones de elaboracin de informes en lugar de un navegador
Web. Los procedimientos para utilizar los informes son similares,
independientemente del mtodo de acceso a ellos. Sin embargo, los procedimientos
que usan especficamente los informes en un navegador independiente no se
documentan, a excepcin de cmo iniciar sesin usando un navegador Web
independiente.
Nota: Es posible adems utilizar la consola o un navegador Web para ver informes
cuando est conectado a travs de una sesin de terminal remota.
Ver "Comprender la Consola de Symantec Endpoint Protection Manager"

en la pgina 45.
La ayuda contextual est disponible al hacer clic en el vnculo Ms informacin,
que se encuentra en las pginas de la consola que se utilizan para las funciones
de elaboracin de informes.
Nota: Si no utiliza el puerto predeterminado cuando se instalan las pginas de

ayuda para informes, no es posible acceder a la ayuda contextual en lnea. Para
acceder a la ayuda contextual cuando se utiliza un puerto no predeterminado, es
necesario agregar una variable al archivo Reporter.php.
Acerca del uso de SSL con las funciones de elaboracin de informes
Para iniciar sesin en los informes desde un navegador Web independiente

1 Abra un navegador Web.
2 Escriba la URL de informes en el cuadro de texto de direccin en el formato
que sigue:
http://nombre de servidor /reporting/index.php?
3 Cuando se visualiza el cuadro de dilogo de inicio de sesin, escriba su nombre
de usuario y contrasea, y despus haga clic en Iniciar sesin.
Si tiene ms de un dominio, en el cuadro de texto Dominio, es necesario
escribir su nombre de dominio.
Para modificar el puerto utilizado para acceder a la ayuda contextual para la
1 Cambie el directorio a unidad:\Program Files\Symantec\Symantec Endpoint
Protection Manager\Inetpub\Reporting\Resources.
2 Abra el archivo de configuracin Reporter.php con un editor.
3 Agregue la lnea siguiente al archivo y sustituya el nmero de puerto por el
nmero de puerto que usted utiliz cuando instal la ayuda de informes.
$scm_http_port=nmero de puerto
4 Guarde y cierre el archivo.
Acerca del uso de SSL con las funciones de

Es posible utilizar SSL con las funciones de la elaboracin de informes para una
mayor seguridad. El SSL proporciona confidencialidad, integridad para sus datos
y autenticacin entre el cliente y el servidor.
Para obtener informacin acerca del uso de SSL con las funciones de elaboracin
de informes, consulte Configurar SSL para funcionar con las funciones de
elaboracin de informes de Symantec Endpoint Protection en la base de
conocimientos de Symantec en la siguiente URL:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072512593748
Usar la pgina principal de Symantec Endpoint

Protection
Si tiene Symantec Endpoint Protection instalado y sus derechos de cuenta de
administrador incluyen permisos para ver informes, su pgina principal muestra
informes generados automticamente. Estos informes contienen informacin
importante sobre su seguridad de red. Si no tiene permisos para ver informes, su
pgina principal no contiene estos informes generados automticamente.
La Figura 10-1 es una muestra de la pgina principal que los administradores con
permisos para ver informes ven.
Figura 10-1 Muestra de la pgina principal de Symantec Endpoint Protection

en la consola
La Figura 10-2 muestra cmo se ve la misma pgina principal cuando se ha iniciado

sesin usando un navegador Web.
Figura 10-2 La pgina principal de Symantec Endpoint Protection desde un

navegador Web
La pgina principal incluye informes generados automticamente y varios

elementos de estado. Algunos de los informes de la pgina principal contienen
hipervnculos a informes ms detallados. Es posible hacer clic en los grficos y
los nmeros de los informes para ver ms detalles.
Nota: Los informes se filtran automticamente basados en los permisos del usuario
que ha iniciado sesin. Si es administrador del sistema, se ve la informacin de
todos los dominios. Si es administrador limitado con derechos de acceso a
solamente un dominio, se ve la informacin solamente de ese dominio.
La Tabla 10-2 describe cada elemento de la pgina principal de Symantec Endpoint

Protection detalladamente.
Tabla 10-2 Elementos e informes de la pgina principal
Informe o informacin de estado Descripcin
Estado de seguridad El estado de seguridad puede ser Bueno o Malo. Los umbrales que usted
establece en la ficha Estado de seguridad determinan las definiciones de
Bueno y Malo. Se accede a la ficha Estado de seguridad desde el vnculo
Preferencias de la pgina principal.
Ver "Configurar umbrales de estado de seguridad" en la pgina 185.
Es posible hacer clic en el icono del estado de seguridad en la pgina principal

para obtener ms informacin.
Resumen de acciones por De forma predeterminada, la pgina principal muestra un resumen de acciones
cantidad de detecciones| para las ltimas 24 horas y por la cantidad de infecciones para los virus y los
Resumen de acciones por riesgos de seguridad. Es posible hacer clic en el vnculo Preferencias para
cantidad de equipos modificar el intervalo de tiempo que se utiliza por la ltima semana en vez
de las ltimas 24 horas. Es posible utilizar el mismo vnculo para modificar
la visualizacin por cantidad de detecciones a una visualizacin por nmero
de equipos.
Ver "Acerca de las opciones de visualizacin de Inicio y supervisin"

en la pgina 184.
El Resumen de acciones por cantidad de detecciones resume la siguiente
informacin:
La cantidad de medidas que se tomaron sobre virus y riesgos de seguridad.

La incidencia de nuevas detecciones de virus y riesgos de seguridad.
El nmero de equipos que permanecen infectados por virus y riesgos de
seguridad.
El Resumen de acciones por cantidad de equipos resume la siguiente
informacin:
El nmero de equipos distintos en los cuales se tomaron varias medidas

sobre virus y riesgos de seguridad.
La cantidad total de nuevas detecciones de virus y riesgos de seguridad.
El nmero total de equipos que permanecen infectados por virus y riesgos
de seguridad.
Por ejemplo, suponga que tiene cinco acciones limpiadas en la vista por
cantidad de detecciones. Si todas las detecciones ocurren en el mismo equipo,
la vista por cantidad de equipos muestra una cantidad de uno, no cinco.
En cualquiera de las acciones, haga clic en el nmero de virus o riesgos de

seguridad para ver un informe detallado.
Un riesgo de seguridad sospechoso indica que un anlisis de amenazas

proactivo ha detectado algo que se debe investigar. Puede o no ser inofensivo.
Si determina que este riesgo es inofensivo, podr utilizar la poltica de
excepciones centralizada para excluirlo de detecciones en el futuro. Si ha
configurado que se registren los anlisis de amenazas proactivos y determina
que este riesgo es daino, es posible utilizar la poltica de excepciones
centralizada para terminarlo o ponerlo en cuarentena. Si ha utilizado la
configuracin predeterminada del anlisis de amenazas proactivo, Symantec
Endpoint Protection no puede reparar este riesgo. Si determina que este
riesgo es daino, deber quitar el riesgo manualmente.
El conteo Recientemente infectado muestra la cantidad de riesgos que

infectaron los equipos slo durante el intervalo de tiempo seleccionado.
Recientemente infectado es un subgrupo de An infectado. El conteo An
infectado muestra el nmero total de riesgos que un anlisis continuara
clasificando como infectado, tambin dentro del intervalo de tiempo
configurado. Por ejemplo, el equipo puede seguir infectado porque Symantec
Endpoint Protection slo puede quitar el riesgo parcialmente. Despus de
investigar el riesgo, podr borrar el conteo An infectado del registro del
estado del equipo.
Tanto el conteo Recientemente infectado como el conteo An infectado

muestra los riesgos que requieren que usted tome otras medidas para
eliminarlos. En la mayora de los casos, es posible tomar estas medidas desde
la consola y sin tener que ir al equipo.
Nota: Un equipo se incluye en el conteo Recientemente infectado si el evento
de la deteccin ocurri durante el intervalo de tiempo de la pgina principal.
Por ejemplo, si un riesgo no reparado afect un equipo en el plazo de las
ltimas 24 horas, el conteo Recientemente infectado subir en la pgina
principal. Es posible que el riesgo quede sin reparar debido a una reparacin
parcial o porque la poltica de seguridad para ese riesgo se encuentra
configurada en Slo registrar.
Es posible configurar un barrido de la base de datos para quitar o para

conservar los eventos de la deteccin que dieron lugar a riesgos no reparados.
Si el barrido se configura para quitar los eventos de riesgo no reparados,
entonces el conteo de la pgina de inicio para An infectado ya no contendr
esos eventos. Esos eventos caducan y se eliminan de la base de datos. Esta
desaparicin no significa que se repararon los equipos.
No se aplica ningn lmite de tiempo a las entradas de An infectado. Despus

de que se limpien los riesgos, es posible modificar el estado de infeccin para
el equipo. Modifique el estado en el registro de Estado del equipo haciendo
clic en el icono para ese equipo en la columna Infectado.
Nota: El conteo Recientemente infectado no disminuye cuando el estado de
infeccin de un equipo se borra en el registro de estado del equipo; el conteo
An infectado s se reduce.
Es posible determinar la cantidad total de eventos que se produjeron la ltima

vez que se configur el perodo para que aparezca en la pgina principal. Para
determinar la cantidad total, agregue los conteos de todas las filas del
Resumen de acciones a excepcin de An infectado.
Ver "Ver registros" en la pgina 229.
Ataques | Detecciones | Este informe consiste en un grfico lineal. El grfico lineal demuestra la
Infecciones Por hora: incidencia de los ataques, las detecciones o las infecciones en su red de
ltimas 24 horas | Por da: seguridad durante las 24 horas pasadas. Es posible seleccionar una de las
ltimos 7 das siguientes opciones para visualizar:
Los ataques representan los incidentes que la proteccin contra amenazas

de red frustr.
Las detecciones representan todas las detecciones que efectuaron la
proteccin antivirus y contra software espa y el anlisis de amenazas
proactivo.
Las infecciones representan los virus y los riesgos de seguridad que fueron
detectados, pero no pueden ser reparados correctamente.
Es posible modificar la visualizacin haciendo clic en una nueva vista en el

cuadro de lista.
Nota: Es posible hacer clic en el vnculo Preferencias para modificar el
intervalo de tiempo predeterminado que se utiliza.
Ver "Acerca de las opciones de visualizacin de Inicio y supervisin"

en la pgina 184.
Resumen del estado de notificaciones El resumen del estado de notificaciones muestra un resumen de una lnea
sobre el estado de las notificaciones que se han configurado. Por ejemplo,
100 notificaciones no reconocidas en las ltimas 24 horas.
Ver "Crear notificaciones de administrador" en la pgina 245.
Resumen del estado El resumen del estado resume el estado operacional de los equipos en su red.
Contiene el nmero de equipos en la red que tienen los siguientes problemas:
El motor antivirus se encuentra desactivado.

Auto-Protect se encuentra desactivado.
Proteccin contra intervenciones se encuentra desactivado.
Los equipos necesitan reiniciarse para completar ciertas clases de
reparacin de riesgos o para finalizar la instalacin de una descarga de
software de LiveUpdate.
Los equipos no superaron una comprobacin de integridad del host.
Este nmero es siempre cero si usted no tiene Symantec Network Access
Control instalado.
Es posible hacer clic en cada nmero del Resumen del estado para obtener
informacin.
El nmero de notificaciones no reconocidas en las 24 horas pasadas tambin

se visualiza.
Distribucin de definiciones Las secciones Distribucin de definiciones de virus y Firmas de prevencin

de virus | Firmas de de intrusiones de la pgina principal muestran cmo se distribuyen las
prevencin de intrusiones definiciones de virus y las firmas IPS actuales.
Es posible alternar entre ellas haciendo clic en una nueva vista en el cuadro
de lista. Es posible hacer clic en el grfico circular para ver un informe ms
detallado sobre la distribucin de las definiciones o las firmas en una nueva
ventana.
Security Response La seccin Security Response muestra las amenazas principales y las ltimas
amenazas determinadas por Symantec Security Response. Adems, muestra
el nmero de equipos en su red que estn desprotegidos contra estas
amenazas. El contador de ThreatCon indica el nivel de gravedad actual de
amenaza a los equipos de una red. Los niveles de gravedad se basan en las
evaluaciones de amenazas que realiza Symantec Security Response. El nivel
de seguridad de ThreatCon brinda una imagen general de la seguridad de
Internet.
Puede hacer clic en cualquiera de los vnculos para obtener informacin

adicional.
Ver "Acerca del uso de los vnculos de Security Response" en la pgina 179.
Nota: Symantec no admite la instalacin de Symantec Client Firewall en el
mismo equipo que Symantec Endpoint Protection Manager. Si instala ambos
en el mismo equipo, esta situacin puede causar errores de CGI cuando se
hace clic en los vnculos de Security Response en la pgina principal.
Resumen de aplicaciones en El Resumen de aplicaciones en observacin muestra las incidencias de

observacin aplicaciones en su red que estn en las listas siguientes:
La lista de aplicaciones comerciales de Symantec

La lista de detecciones de amenazas proactivas forzadas, que es la lista
personalizada de aplicaciones en observacin
Es posible hacer clic en un nmero para visualizar un informe ms detallado.
Informes favoritos La seccin Informes favoritos contiene tres informes predeterminados. Es

posible personalizar esta seccin reemplazando uno o ms de estos informes
con otro informe predeterminado o personalizado que desee. Los informes
favoritos se ejecutan cada vez que usted los ve, de modo que sus datos sean
actuales. Aparecen en una nueva ventana.
Para seleccionar los informes a los que usted desea acceder desde la pgina
principal, puede hacer clic en el icono ms (+) ubicado al lado de Informes
favoritos.
Es posible utilizar el vnculo Preferencias para modificar el plazo para los informes
y los resmenes que se visualizan en esas pginas. La configuracin
predeterminada es de las ltimas 24 horas; la otra opcin es la ltima semana. Es
posible adems modificar los informes predeterminados que se visualizan en la
seccin Informes favoritos de la pgina principal.
Configurar Informes favoritos en la pgina principal

Es posible configurar la seccin Informes favoritos en la pgina principal para
que proporcione vnculos a un mximo de tres informes que desee ver
regularmente. Es posible utilizar esta funcin para visualizar los informes que
desee ver con mayor frecuencia, cada vez que inicia sesin en la consola de
administracin. Los informes favoritos se ejecutan cada vez que usted los ve, as
que muestran informacin actualizada sobre el estado de su red.
Los informes siguientes aparecen en Informes favoritos de forma predeterminada:
Correlacin principal de detecciones de riesgos
Distribucin de amenazas proactiva
Nota: Cuando se personaliza la visualizacin, se personaliza la visualizacin para

la cuenta de usuario conectada solamente.
Los valores configurados en esta pgina se guardarn para todas las sesiones. La
prxima vez que se registre en la consola de administracin con las mismas
credenciales de usuario, esta configuracin se utilizar para la visualizacin de
la pgina principal.
La Tabla 10-3 describe las opciones de visualizacin de la pgina principal.
Tabla 10-3 Opciones de visualizacin de informes favoritos en la pgina

principal
Opcin Definicin
Tipo de informe Especifica los tipos de informes que estn disponibles.

Symantec Endpoint Protection proporciona los siguientes tipos
de informes:
Control de aplicaciones y dispositivos

Auditora
Cumplimiento
Estado del equipo
Riesgo
Anlisis
Sistema
Nombre del informe Enumera los nombres de los informes disponibles para el tipo de
informe que usted seleccion.
Opcin Definicin
Filtro Si ha guardado filtros asociados al informe que usted seleccion,

aparecen en este cuadro de lista. El filtro predeterminado siempre
es mencionado.
Para configurar los informes favoritos en la pgina principal

1 Haga clic en Pgina principal.
2 Haga clic en el icono ms (+) al lado de Informes favoritos.
3 Desde el cuadro de lista del informe que desee modificar, haga clic en un tipo
de informe. Por ejemplo, haga clic en Riesgo.
4 Desde el cuadro de lista siguiente, haga clic en el nombre del informe que
desee. Por ejemplo, haga clic en Distribucin de riesgos a lo largo del tiempo.
5 Si ha guardado filtros asociados al informe que usted seleccion, seleccione
el que desea utilizar o seleccione el filtro predeterminado.
6 Repita este paso para los vnculos del segundo y el tercer informe, si lo desea.
Los vnculos a los informes que usted seleccion aparecen en su pgina
principal.
Acerca del uso de los vnculos de Security Response

La pgina principal incluye un resumen creado a partir de la informacin del sitio
Web de Symantec Security Response. Se muestra el cuadro de niveles de seguridad
ThreatCon, as como vnculos con el sitio Web de Symantec Security Response y
otros sitios Web de seguridad.
Las niveles ThreatCon son los siguientes:
1 - Bajo
Actividad de incidentes de red no perceptible y ninguna actividad de cdigo
malicioso con una clasificacin de riesgo moderado o grave. Deben utilizarse
sistemas y mecanismos de notificacin automatizados.
2 - Medio
El conocimiento o la expectativa de actividad del ataque estn presentes, sin
incidencia de eventos especficos. Se utiliza esta clasificacin cuando el cdigo
malicioso alcanza un nivel de riesgo moderado. Bajo esta condicin, se debe
realizar un examen cuidadoso de los sistemas vulnerables y expuestos. Las
aplicaciones de seguridad se deben actualizar con nuevas firmas y normas tan
pronto como estn disponibles. Se recomienda la supervisin cuidadosa de

registros.
3 - Alto
Este nivel se aplica cuando una amenaza aislada para la infraestructura
informtica est en curso o cuando el cdigo malicioso alcanza un nivel de
riesgo grave. Bajo esta condicin, es necesaria mayor supervisin. Las
aplicaciones de seguridad se deben actualizar con nuevas firmas y normas tan
pronto como estn disponibles. Se recomienda volver a implementar y
configurar los sistemas de seguridad.
4 - Extremo
Este nivel se aplica cuando hay actividad extrema de incidentes de la red global
en curso. La puesta en prctica de medidas en estas condiciones de amenazas
durante ms que un perodo corto puede generar dificultades y afectar las
operaciones normales de la infraestructura en red.
Para obtener ms informacin sobre los niveles de amenaza, haga clic en el vnculo
de Symantec para ver el sitio Web de Symantec.
Nota: Los riesgos de seguridad especficos son clasificados de 1 a 5.
Cada vnculo muestra una pgina en una ventana nueva.

La Tabla 10-4 describe los vnculos de Security Response.
Tabla 10-4 Vnculos de Security Response en la pgina principal de informes
Vnculo Qu muestra
Alertas de seguridad Muestra un resumen de las amenazas potenciales a la red de

seguridad a partir de informacin obtenida de Symantec Security
Response. Este resumen incluye las amenazas ms recientes, las
amenazas principales y vnculos con herramientas de remocin.
Tambin puede realizar bsquedas en la base de datos de amenazas

de Symantec Security Response.
Symantec Muestra el sitio Web de Symantec. Puede obtener informacin

sobre riesgos y riesgos de seguridad, descargas de definiciones de
virus y noticias sobre los productos de seguridad de Symantec.
Definiciones Muestra la pgina de descarga de definiciones de virus del sitio

Web de Symantec.
ltimas amenazas Muestra el sitio Web de Symantec Security Response, donde se

muestran las amenazas y los avisos de seguridad ms recientes.
Vnculo Qu muestra
Security Focus Muestra el sitio Web de Security Focus, donde se incluye

informacin acerca de los virus ms recientes.
Usar la pgina principal de Symantec Network Access

Control
Si tiene Symantec Network Access Control instalado y tiene permisos para ver
informes, su pgina principal muestra resmenes generados automticamente.
Estos informes contienen informacin importante sobre el estado de cumplimiento
de la red. Algunos de los resmenes incluyen hipervnculos a informes ms
detallados. Es posible hacer clic en el grfico y los nmeros de los resmenes para
ver ms detalles.
Nota: Los informes se filtran automticamente basados en los permisos del usuario
que ha iniciado sesin. Si es administrador del sistema, se ve la informacin de
todos los dominios. Si es administrador limitado con derechos de acceso a
solamente un dominio, se ve la informacin solamente de ese dominio.
La Figura 10-3 muestra cmo se visualiza la pgina principal de Symantec Network

Access Control.
Figura 10-3 Pgina principal de Symantec Network Access Control
La Tabla 10-5 describe los informes de la pgina principal para Symantec Network
Access Control.
Tabla 10-5 Resmenes de la pgina principal de Symantec Network Access

Control
Resumen Descripcin
Error en el estado de cumplimiento La seccin Error en el estado de cumplimiento de la

de la red red brinda una imagen del cumplimiento general de
la red en el perodo configurado. Muestra los clientes
que intentaron conectarse a la red pero no pudieron
hacerlo porque no cumplan los requisitos.
Distribucin del estado de Muestra los clientes que no superaron la

cumplimiento comprobacin de integridad del host que se ejecuta
en su equipo.
Resumen de clientes por error de Este resumen muestra el porcentaje de errores de

cumplimiento los requisitos generales de cumplimiento. Muestra
un grfico de barras que presenta un conteo de las
estaciones de trabajo nicas por el tipo de evento de
error de control. Algunos ejemplos de los tipos de
evento de error de control son un antivirus, un
firewall o un problema de VPN.
Resumen Descripcin
Detalles del error de cumplimiento Proporciona un grfico de barras ms detallado que

el Resumen de clientes por error de cumplimiento.
Por ejemplo, suponga que el Resumen de clientes
por error de cumplimiento muestra diez clientes con
un error de cumplimiento del antivirus.
En cambio, este informe muestra los detalles
siguientes:
Cuatro clientes no tienen ningn software

antivirus actualmente en funcionamiento.
Dos clientes no tienen ningn software antivirus
instalado.
Cuatro clientes tienen archivos de definiciones
de antivirus desactualizados.
Si tiene solamente Symantec Network Access Control instalado, los informes de

la pgina principal no son personalizables, a excepcin del plazo cubierto por los
informes y los resmenes. Es posible modificar el plazo usando el vnculo
Preferencias. Las opciones son: ltima semana y ltimas 24 horas.
Nota: Si es administrador del sistema, se ve la informacin de todos los dominios.

Si es administrador limitado con derechos de acceso a solamente un dominio, se
ve la informacin solamente de ese dominio.

Es posible configurar las preferencias siguientes de elaboracin de informes:
Las opciones de visualizacin de las pginas Inicio y supervisin
Los umbrales de Estado de seguridad
Las opciones de visualizacin que se utilizan para los registros y los informes,
as como la carga de la versin anterior del archivo de registro
Para obtener informacin sobre las opciones de preferencia que puede configurar,
haga clic en Ayuda en cada ficha, en el cuadro de dilogo Preferencias.
Para configurar preferencias de elaboracin de informes
1 Desde la consola, en la pgina principal, haga clic en Preferencias.
2 Haga clic en una de las siguientes fichas, segn el tipo de preferencias que
desee configurar:
Inicio y supervisin
Estado de seguridad
Registros e informes
3 Configure los valores para las opciones que desee modificar.

Acerca de las opciones de visualizacin de Inicio y supervisin

Es posible configurar las preferencias siguientes para la pgina principal y la ficha
Vista de resumen de la pgina Supervisin:
La unidad de tiempo que se utiliza para los informes en la pgina principal y
en la ficha Vista de resumen de la pgina Supervisin
La velocidad a la cual la pgina principal y la ficha Vista de resumen de la
pgina Supervisin se actualizan automticamente
El grado de las notificaciones que se incluyen en la cantidad de notificaciones
no reconocidas en la pgina principal
El contenido de Resumen de acciones de la pgina principal
De manera predeterminada, se ve la informacin de las ltimas 24 horas, pero se
puede modificar a la ltima semana si as se desea.
Es posible adems configurar la velocidad a la cual la pgina principal y la ficha
Vista de resumen de la pgina Supervisin se actualizan automticamente. Los
valores vlidos van desde nunca hasta cada 5 minutos.
Nota: Para configurar la velocidad a la cual los registros individuales se actualizan,

es posible mostrar el registro que se desea ver. A continuacin, es posible
seleccionar la velocidad deseada del cuadro de lista Actualizacin automtica en
la vista de ese registro.
Si es administrador del sistema, puede configurar el contador de la pgina principal

para incluir solamente las notificaciones que usted cre pero no ha reconocido.
De manera predeterminada, los administradores del sistema ven el nmero total
de notificaciones no reconocidas, sin importar quin cre las notificaciones. Si es
administrador limitado, el contador de notificaciones no reconocidas consiste
siempre solamente en las notificaciones que usted mismo cre pero no ha
reconocido.
Es posible configurar Resumen de acciones en la pgina principal para visualizar
por cantidad de detecciones en los equipos o por el nmero de equipos.

Para conocer las descripciones de estas opciones de visualizacin, consulte la
ayuda contextual de la ficha Inicio y supervisin. Es posible acceder a la ayuda
contextual desde el vnculo Preferencias en la pgina principal.
Configurar umbrales de estado de seguridad

Los umbrales de estado de seguridad que usted establece determinan cundo el
mensaje de estado de seguridad en la pgina principal de la consola de
administracin se considera Malo. Los umbrales se expresan como porcentaje y
reflejan cundo se considera que su red no cumple con sus polticas de seguridad.
Por ejemplo, es posible configurar el porcentaje de equipos con definiciones de
virus desactualizadas que activa un estado de seguridad malo. Es posible, adems,
configurar qu antigedad deben tener las definiciones para ser calificadas como
desactualizadas. Symantec Endpoint Protection determina cul es actual cuando
calcula si las firmas o las definiciones estn desactualizadas de la siguiente manera.
Su estndar son las definiciones de virus ms recientes y las fechas de las firmas
IPS que estn disponibles en el servidor de administracin en el cual se ejecuta la
consola de administracin.
Nota: Si tiene solamente Symantec Network Access Control instalado, no tiene

una ficha llamada Estado de seguridad para configurar los umbrales de seguridad.
Para conocer las descripciones de estas opciones de visualizacin, vea la ayuda

contextual de la ficha Estado de seguridad. Es posible acceder a la ayuda contextual
desde el vnculo Preferencias en la pgina principal.
Para configurar umbrales de estado de seguridad
1 Desde la consola, en la pgina principal, haga clic en Preferencias.
2 En la ficha Estado de seguridad, marque los elementos que desee incluir en
los criterios que determinan el estado general de la seguridad de la pgina
principal.
3 Para cada elemento, escriba el nmero que desea que active un estado de
seguridad Malo.
Configurar preferencias para registros e informes

Es posible configurar preferencias en las siguientes reas para los registros y los
informes:
Acerca de los horarios de anlisis de clientes utilizados en informes y registros
El formato de fecha y el separador de fecha que se utilizan para la visualizacin

de la fecha
El nmero de filas, la zona horaria y el formato de la direccin IP que se utilizan
para la visualizacin de la tabla
La visualizacin del filtro en informes y notificaciones
La disponibilidad de datos de registro de los equipos de la red que ejecutan
software Symantec Antivirus 10.x
Para conocer las descripciones de estas opciones de visualizacin, consulte la
ayuda contextual de la ficha Registros e Informes. Es posible acceder a la ayuda
contextual desde el vnculo Preferencias en la pgina principal.
Nota: El formato de visualizacin de la fecha que usted establece aqu no se aplica

a las fechas y las versiones de definiciones de virus que se visualizan en columnas
de la tabla. Estos elementos utilizan siempre el formato A-M-D.
Acerca de los horarios de anlisis de clientes

utilizados en informes y registros
Los informes y los registros muestran los tiempos del anlisis de clientes usando
la zona horaria de la consola. Por ejemplo, suponga que el cliente est en la zona
horaria del pacfico (PST) y es analizado a las 8:00 p. m. PST. Si la consola est en
la zona horaria del este (EST), el horario que se visualiza para este anlisis es
11:00 p. m. EST.
Si los clientes administrados estn en zonas horarias diferentes a la del servidor
de administracin y se utiliza la opcin del filtro Definir fechas especficas, es
posible ver resultados inesperados.
Las condiciones siguientes afectan el filtro de tiempo Definir fechas especficas:
La exactitud de los datos y del horario en el cliente
La exactitud de los datos y del horario en el servidor de administracin
Nota: Si modifica la zona horaria en el servidor, cierre sesin en la consola y vuelva

a encenderla para ver los horarios exactos en registros e informes.
Acerca del uso del filtro ltimas 24 horas para informes y registros
Acerca del uso del filtro ltimas 24 horas para

informes y registros
Si selecciona ltimas 24 horas para el intervalo de tiempo de un informe o una
vista de registro, el intervalo comienza cuando se selecciona el filtro. Si se actualiza
la pgina, no se restablece el inicio del intervalo de 24 horas. Si selecciona el filtro
y espera para crear un informe, el intervalo de tiempo se inicia cuando seleccion
el filtro. Esta condicin adems se aplica cuando se ve un registro de eventos o
un registro de alertas. El intervalo de tiempo no se inicia cuando se crea el informe
o se ve el registro.
Para asegurarse de que el intervalo de las ltimas 24 horas comience en este
momento, seleccione un intervalo de tiempo diferente y vuelva a seleccionar
ltimas 24 horas.
Nota: El inicio del filtro de intervalo de tiempo de las ltimas 24 horas de la pgina
de inicio se establece en el momento en que se accede a la pgina principal.
Acerca del uso de filtros que buscan grupos en

informes y registros
Dado que todos los grupos son subgrupos del grupo principal Global, cuando un
filtro busca grupos, los busca de forma jerrquica empezando con la cadena Global.
Si el nombre del grupo no comienza con la letra g, es necesario incluir un asterisco
antes de la cadena que se buscar. O es posible comenzar la cadena con g* cuando
se utilizan caracteres comodn.
Por ejemplo, si tiene un grupo denominado Servicios y escribe s* en este cuadro,
no se encuentra ningn grupo para utilizar en la vista. Para encontrar un grupo
de nombre Servicios, usted necesita utilizar la cadena *s*. Si tiene ms de un grupo
que contenga la letra s, es posible utilizar una cadena tal como *ser*.
Acerca del uso de filtros que buscan grupos en informes y registros
Captulo 11
Ver y configurar informes
Ver informes
Aspectos importantes de la elaboracin de informes
Crear informes rpidos
Guardar y eliminar los filtros de informes guardados
Imprimir y guardar una copia de un informe
Crear y eliminar informes programados
Ver informes
Utilice la pgina Informes para ejecutar, ver, imprimir y programar informes para
que se ejecuten de manera regular.
La Figura 11-1 muestra un ejemplo de un informe de riesgo.
190 Ver y configurar informes
Ver informes
Figura 11-1 Informe de ejemplo
Acerca de ver grficos lineales en informes

Los grficos lineales muestran el progreso en el tiempo. Las unidades que se
visualizan en el eje x dependen del intervalo de tiempo que se selecciona.
La Tabla 11-1 muestra la unidad del eje x que se utiliza para cada intervalo de
tiempo que es posible seleccionar para los grficos lineales.
Ver y configurar informes 191
Ver informes
Tabla 11-1 Unidades del eje x para el intervalo de tiempo correspondiente

seleccionado
Intervalo de tiempo Unidad del eje X
ltimas 24 horas hora
ltima semana da
ltimo mes
Mes actual
ltimos 3 meses
ltimo ao mes
Intervalo de tiempo un da (24 horas) es por hora
mayor que 1 da, pero inferior o igual a 7 das son por hora
mayor que 7 das, pero inferior o igual a 31 das son por da
mayor que 31 das, pero inferior o igual a 2 aos son por

mes
mayor que 2 aos es por ao
Acerca de ver grficos de barras

En los informes que contienen histogramas o grficos de barras que implican
amenazas, pase el mouse por las barras del grfico para ver los nombres de las
amenazas.
Ver los informes en idiomas asiticos

Los histogramas y los grficos de barras en 3D se crean en el servidor al mismo
tiempo que las imgenes antes de que los grficos se enven al navegador. De
forma predeterminada, el servidor que se utiliza para crear estos grficos busca
la fuente MS Arial Unicode. MS Arial Unicode est disponible como parte de
Microsoft Office y visualiza todos los idiomas compatibles correctamente. Si la
fuente MS Arial Unicode no se encuentra, el servidor utiliza Lucida sans Unicode.
Algunos informes en los servidores que se visualizan en un idioma asitico no
muestran el texto del grfico correctamente, a menos que se instale MS Arial
Unicode en el servidor. Este problema ocurre si su informe incluye un histograma
o un grfico de barras en 3D. Si no tiene la fuente MS Arial Unicode instalada en
el servidor, es posible configurar su servidor para resolver este problema. Es
posible configurar Symantec Endpoint Protection para utilizar cualquier fuente
compatible con Unicode que admita los idiomas en su entorno.
Para modificar la fuente utilizada para visualizar informes

1 Cambie el directorio a unidad:\Program Files\Symantec\Symantec Endpoint
Protection Manager\Inetpub\Reporting\Common.
2 Abra el archivo de configuracin i18nCommon.bundle con un editor.
3 Escriba el nombre del archivo de fuente que desee utilizar despus del signo
de igualdad (=) que sigue la variable SPECIAL_FONT. Por ejemplo, si se quisiera
utilizar Arial, se escribira lo siguiente:
SPECIAL_FONT=arial.ttf
4 Guarde el archivo en formato UTF-8 y despus cierre el archivo.

5 Asegrese de que el archivo de fuente que se escribe se encuentre en el
directorio %WINDIR%\fonts.

Los informes rpidos son informes imprimibles que estn disponibles desde la
ficha Informes rpidos en la pgina Informes.
La Tabla 11-2 describe los tipos de informe para los informes rpidos.
Tabla 11-2 Tipos de informe rpidos
Control de aplicaciones y Los informes de Control de aplicaciones y dispositivos contienen informacin sobre
Control de dispositivos los eventos en los que se bloque el acceso a un equipo o se evit que un dispositivo
llegara a la red.
Auditora El informe de auditora contiene informacin sobre actividades de modificacin de

polticas, tales como los tiempos y los tipos de eventos, las modificaciones de polticas,
los dominios, los sitios, los administradores y las descripciones.
Cumplimiento Los informes de cumplimiento contienen informacin sobre el servidor de Enforcer,

los clientes de Enforcer, el trfico de Enforcer y el cumplimiento de hosts.
Estado del equipo Los informes de Estado del equipo contienen informacin sobre el estado operacional
de los equipos de la red en tiempo real.
Proteccin contra amenazas Los informes de la proteccin contra amenazas de red permiten realizar un
de red seguimiento de la actividad del equipo y de su interaccin con otros equipos y redes.
Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de
ellos mediante sus conexiones de red.
Riesgo Los informes de riesgos incluyen informacin sobre eventos del riesgo en los
servidores de administracin y sus clientes.
Anlisis Los informes de anlisis proporcionan informacin sobre la actividad del anlisis
antivirus y de software espa.
Sistema Los informes del sistema contienen informacin que es til para solucionar los
problemas del cliente.
Esta seccin describe los informes por nombre y contenido general. Puede
seleccionar Configuracin bsica y Configuracin avanzada para que todos los
informes clarifiquen los datos que desea ver. Tambin puede guardar el filtro
personalizado con un nombre para ejecutar el mismo informe personalizado ms
tarde.
Si tiene varios dominios en su red, muchos informes permiten que se vean los
datos de todos los dominios, de un sitio o de algunos sitios. La configuracin
predeterminada para todos los informes rpidos es mostrar todos los dominios,
grupos, servidores y as sucesivamente, segn sea necesario para el informe que
selecciona para crear.
Nota: Si solamente Symantec Network Access Control est instalado, un nmero

significativo de informes estar vaco. Los informes de control de aplicaciones y
dispositivos, de la proteccin contra amenazas de red, de riesgos y de anlisis no
contienen datos. Los informes de cumplimiento y de auditora contienen datos,
al igual que algunos de los informes de estado del equipo y del sistema.
Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms

informacin para ese tipo de informe en la consola. Ms informacin muestra la
ayuda contextual.
Ver "Crear informes rpidos" en la pgina 207.
La Tabla 11-3 describe los informes de control de aplicaciones y dispositivos que
estn disponibles.
Tabla 11-3 Informes de control de aplicaciones y de dispositivos
Nombre del informe Descripcin
Grupos principales con Este informe consiste en un grfico circular con barras relativas. Muestra los grupos
registros de control de con los registros del control de aplicaciones que han generado el nmero ms grande
aplicaciones con mayor de alertas de seguridad.
cantidad de alertas
Principales destinos Este informe consiste en un grfico circular con barras relativas para cada uno de
bloqueados los siguientes destinos, si es necesario:
Archivos principales
Claves de registro principales
Procesos principales
Mdulos principales (dlls)
Principales dispositivos Este informe consiste en un grfico circular con una barra relativa que muestra los
bloqueados dispositivos para los que se bloquea el acceso a su red con ms frecuencia.
La Tabla 11-4 describe el informe de auditora que est disponible.
Tabla 11-4 Informe de auditora
Polticas utilizadas Este informe muestra las polticas que los clientes y las ubicaciones utilizan
actualmente. La informacin incluye el nombre de dominio, el nombre de grupo y el
nmero de serie de la poltica que se aplica a cada grupo.
La Tabla 11-5 describe los informes de cumplimiento que estn disponibles.
Tabla 11-5 Informes de cumplimiento
Estado de cumplimiento de Este informe consiste en un grfico lineal y una tabla. Muestra la fecha y hora del
la red evento, el nmero de ataques y el porcentaje de ataques implicados en cada uno.
Es posible ver el nmero total de clientes a los que se aplican las siguientes acciones
de cumplimiento en el intervalo de tiempo seleccionado:
Autenticado
Desconectado
Error
Aprobado
Rechazado
Estado de cumplimiento Es posible seleccionar una accin para ver un grfico lineal que muestre uno de los
siguientes:
El nmero total de clientes que han pasado un anlisis de integridad del host en
su red en el intervalo de tiempo seleccionado
El nmero total de clientes que no han pasado un anlisis de integridad del host
en su red en el intervalo de tiempo seleccionado
Este informe tambin incluye una tabla que muestra la fecha y hora del evento, el
nmero de clientes y el porcentaje de clientes implicados en cada uno.
Resumen de clientes por Este informe consiste en un grfico de barras que muestra la siguiente informacin:
error de cumplimiento
La cantidad de estaciones de trabajo nicas por tipo de evento de errores de control,
tal como antivirus, firewall o VPN.
El nmero total de clientes en el grupo.
Detalles del error de Este informe consiste en una tabla que muestra el nmero de equipos nicos por
cumplimiento error de control. Muestra los criterios y la norma que est implicada en cada error.
Incluye el porcentaje de los clientes que se implementan y el porcentaje de los que
fallaron.
Clientes con errores de Este informe consiste en una tabla que muestra los eventos de error de cumplimiento.
cumplimiento por ubicacin Estos eventos se muestran en grupos que se basan en su ubicacin. La informacin
incluye los equipos nicos que fallaron y el porcentaje total de errores y de errores
de ubicacin.
La Tabla 11-6 describe los informes de estado del equipo que estn disponibles.
Tabla 11-6 Informes de estado del equipo
Distribucin de definiciones Este informe muestra las versiones nicas de los archivo de definiciones de virus que
de virus se utilizan en su red, y del nmero de equipos y del porcentaje que utiliza cada versin.
Consiste en un grfico circular, una tabla y barras relativas.
Equipos no registrados en el Este informe muestra una lista de todos los equipos que no se han registrado en el
servidor servidor. Adems muestra la direccin IP del equipo, la hora de la ltima verificacin
y el nombre del usuario que inici sesin en aquel momento.
Versiones de producto de Este informe muestra la lista de nmeros de versin para todas las versiones del
Symantec Endpoint producto de Symantec Endpoint Protection de su red. Adems, incluye el dominio y
Protection el servidor para cada uno, as como el nmero de equipos y el porcentaje de cada uno.
Consiste en un grfico circular y barras relativas.
Distribucin de la firma de Este informe visualiza las versiones del archivo de firmas IPS que se utilizan en su
prevencin de intrusiones red. Adems, incluye el dominio y el servidor para cada uno, as como el nmero de
equipos y el porcentaje de cada uno. Consiste en un grfico circular y barras relativas.
Inventario de clientes Este informe consiste en los siguientes grficos con barras relativas que muestran
el nmero total de equipos y el porcentaje de cada uno:
Sistema operativo
Memoria total
Memoria libre
Espacio total en disco
Espacio libre en disco
Tipo de procesador
Distribucin del estado de Este informe consiste en un grfico circular con barras relativas que muestran
cumplimiento aprobaciones y errores de cumplimiento por grupo o subred. Muestra el nmero de
equipos y el porcentaje.
Estado de conexin del Este informe consiste en grficos circulares con barras relativas por grupo o subred.
cliente Muestra el porcentaje de equipos que estn conectados.
Conectados tiene los siguientes significados:
Para los clientes que estn en modo de transferencia, "conectados" significa que
los clientes estn conectados actualmente al servidor.
Para los clientes que estn en modo de obtencin, "conectados" significa que los
clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes.
Para los clientes en sitios remotos, "conectados" significa que los clientes estaban
conectados a la hora de la ltima replicacin.
Clientes con la ltima poltica Este informe consiste en grficos circulares con barras relativas por grupo o subred.
Muestra el nmero de equipos y el porcentaje de la ltima poltica que se aplic.
Cantidad de clientes por Este informe consiste en una tabla que incluye estadsticas de informacin de hosts
grupo por grupo. Incluye la cantidad de clientes y de usuarios. Si utiliza varios dominios,
esta informacin aparece por dominio.
Resumen del estado de Este informe refleja el estado de la seguridad general de la red.
seguridad
Este informe muestra el nmero y el porcentaje de los equipos que tienen el siguiente
estado:
El motor del antivirus est desactivado.

Auto-Protect est desactivado.
La proteccin contra intervenciones est desactivada.
Es necesario reiniciar el equipo.
Se produjo un error en una comprobacin de integridad del host.
La proteccin contra amenazas de red est desactivada.
Versiones de contenido de Este informe muestra todas las versiones proactivas del contenido de proteccin que
proteccin se utilizan en su red en un solo informe. Se muestra un grfico circular para cada
tipo de proteccin.
Estn disponibles los siguientes tipos de contenido:
Versiones del descompresor

Versiones del motor del borrador
Versiones del contenido del Anlisis de amenazas proactivo
Versiones del motor del Anlisis de amenazas proactivo
Versiones de la lista de aplicaciones comerciales
Versiones del motor del controlador de contenido proactivo
Versiones de la lista de aplicaciones permitidas
Los nuevos tipos de contenido que Symantec Security Response ha agregado
Migracin de clientes Este informe consiste en las tablas que describen el estado de migracin de clientes
por dominio, grupo y servidor. Muestra la direccin IP del cliente y si la migracin
tuvo xito, si fall o si an no se ha iniciado.
Distribucin de software Este informe consiste en las tablas que siguen el progreso de las implementaciones
cliente (instantneas) de paquetes de clientes. La informacin de la instantnea le permite observar los
rpidos progresos de la distribucin, y la cantidad de clientes que an no se
Este informe est disponible
implementaron completamente.
slo como un informe
programado.
Clientes Este informe consiste en grficos lineales y tablas que muestran el nmero de clientes
conectados/desconectados a conectados o desconectados. Se muestra un grfico para cada uno de los destinos
lo largo del tiempo principales. El destino es un grupo o un sistema operativo.
(instantneas)

slo como un informe
programado.
Clientes con la ltima poltica Este informe consiste en un grfico lineal que muestra los clientes que tienen la
a lo largo del tiempo ltima poltica aplicada. Se muestra un grfico para cada uno de los clientes
(instantneas) principales.

slo como un informe
programado.
Clientes con errores de Este informe consiste en un grfico lineal que muestra el porcentaje de clientes que
cumplimiento a lo largo del no han superado un anlisis de la integridad del host a lo largo del tiempo. Se muestra
tiempo (instantneas) un grfico para cada uno de los clientes principales.

slo como un informe
programado.
Distribucin de definiciones Este informe incluye las versiones de paquetes de definiciones de virus que se han
de virus (instantneas) distribuido a los clientes. Esta informacin es til para realizar un seguimiento del
progreso de la implementacin de nuevas definiciones de virus de la consola.
slo como un informe
programado.
La Tabla 11-7 describe los informes de la proteccin contra amenazas de red que
estn disponibles.
Tabla 11-7 Informes de proteccin contra amenazas de red
Principales destinos atacados Este informe consiste en un grfico circular con barra relativa. Puede ver la
informacin usando como destino los grupos, las subredes, los clientes o los puertos.
Incluye informacin tal como el nmero y el porcentaje de ataques, el tipo y la
gravedad del ataque, y la distribucin de ataques.
Principales fuentes de ataque Este informe consiste en un grfico circular con barras relativas que muestra los
hosts principales que iniciaron ataques contra su red. Incluye informacin tal como
el nmero y el porcentaje de ataques, el tipo y la gravedad del ataque, y la distribucin
de ataques.
Principales tipos de ataque Este informe consiste en un grfico circular asociado con barras relativas. Incluye
informacin como el nmero y el porcentaje de eventos. Adems, incluye el grupo y
la gravedad, y el tipo y nmero de evento por grupo.
Principales aplicaciones Este informe consiste en un grfico circular con barras relativas que muestran las
bloqueadas principales aplicaciones que no pudieron acceder a su red. Incluye informacin tal
como el nmero y el porcentaje de ataques, el grupo y la gravedad del ataque, y la
distribucin de ataques por grupo.
Ataques a lo largo del tiempo Este informe consiste en uno o ms grficos lineales que muestran los ataques durante
el intervalo de tiempo seleccionado. Por ejemplo, si el intervalo de tiempo es el mes
anterior, el informe muestra el nmero total de ataques por da del ltimo mes. Incluye
el nmero y el porcentaje de ataques. Es posible ver los ataques para todos los equipos,
o por los sistemas operativos, los usuarios, las direcciones IP, los grupos o los tipos
principales de ataque.
Eventos de seguridad por Este informe consiste en un grfico circular que muestra el nmero total y el
gravedad porcentaje de eventos de seguridad de su red, ordenados segn su gravedad.
Aplicaciones bloqueadas a lo Este informe consiste en un grfico lineal y una tabla. Muestra el nmero total de
largo del tiempo aplicaciones que no pudieron acceder a su red durante un intervalo de tiempo
seleccionado. Incluye la hora del evento, el nmero de ataques y el porcentaje. Puede
ver la informacin para todos los equipos, o por grupo, direccin IP, sistema operativo
o usuario.
Notificaciones de trfico a lo Este informe consiste en un grfico lineal. Muestra el nmero de notificaciones que
largo del tiempo fueron basadas en violaciones de la norma de firewall a lo largo del tiempo. Las normas
que se cuentan son sas donde usted activ la opcin Enviar alerta de correo
electrnico en la columna Registro de la lista Normas de polticas de firewall. Puede
ver la informacin de este informe para todos los equipos, o por grupo, direccin IP,
sistema operativo o usuario.
Principales notificaciones de Este informe consiste en un grfico circular con barras relativas que enumera al
trfico grupo o subred, y el nmero y el porcentaje de notificaciones. Muestra el nmero de
notificaciones que fueron basadas en las violaciones de la norma de firewall
configurada como importante. Las normas que se cuentan son sas donde usted activ
la opcin Enviar alerta de correo electrnico en la columna Registro de la lista Normas
de polticas de firewall. Es posible ver la informacin para todos los equipos, para el
registro de trfico, o para el registro del paquete, agrupado por grupos principales o
subredes.
Informe completo Este informe brinda la siguiente informacin de la proteccin contra amenazas de
red en un solo informe:
Principales tipos de ataque

Principales destinos atacados por grupo
Principales destinos atacados por subred
Principales destinos atacados por cliente
Principales notificaciones de trfico por grupo (trfico)
Principales notificaciones de trfico por grupo (paquetes)
Principales notificaciones de trfico por subred (trfico)
Principales notificaciones de trfico por subred (paquetes)
Este informe incluye informacin de todos los dominios.
La Tabla 11-8 describe los informes de riesgos que estn disponibles.
Tabla 11-8 Informes de riesgos
Equipos infectados y en Este informe consiste en dos tablas. Una tabla enumera los equipos que tienen una
riesgo infeccin por virus. La otra tabla enumera los equipos que tienen un riesgo de
seguridad que an no se ha reparado.
Resumen de acciones de Este informe consiste en una tabla que muestra una cantidad de todas las medidas
deteccin posibles que se tomaron cuando se detectaron los riesgos. Las acciones posibles son
Limpiado, Sospechoso, Bloqueado, En cuarentena, Eliminado, Recientemente infectado
y An infectado. Esta informacin adems aparece en la pgina de inicio de Symantec
Endpoint Protection.
Conteo de detecciones de Este informe consiste en un grfico circular, una tabla de riesgos y una barra relativa
riesgos asociada. Muestra el nmero total de detecciones de riesgos por dominio, servidor o
equipo. Si tiene clientes de versiones anteriores de Symantec AntiVirus, el informe
utiliza el grupo de servidores en lugar del dominio.
Nuevos riesgos detectados en Este informe incluye una tabla y un grfico circular de la distribucin.
la red
Para cada nuevo riesgo, la tabla proporciona la siguiente informacin:
Nombre del riesgo

Categora o tipo de riesgo
Primera fecha de deteccin
Primer caso en la organizacin
Tipo de anlisis que lo detect primero
Dominio donde fue detectado (grupo de servidores en los equipos de versin
anterior)
Servidor donde fue detectado (servidor principal en los equipos de versin anterior)
Grupo donde fue detectado (servidor principal en los equipos de versin anterior)
Equipo donde fue detectado y nombre del usuario que inici sesin en ese entonces
El grfico circular muestra la nueva distribucin de riesgos por tipo de seleccin de

destino: dominio (grupo de servidores en los equipos de versin anterior), grupo,
servidor (servidor principal en los equipos de versin anterior), equipo o nombre de
usuario.
Correlacin principal de Este informe consiste en un grfico de barra tridimensional que establece una
detecciones de riesgos correlacin entre las detecciones de virus y riesgos de seguridad usando dos variables.
Puede seleccionar del equipo, del nombre de usuario, del dominio, del grupo, del
servidor, o del nombre del riesgo para las variables del eje de x y de y. Este informe
muestra los cinco casos principales para cada variable del eje. Si seleccion "equipos"
como una de las variables y hay menos de cinco equipos infectados, los equipos no
infectados pueden aparecer en el grfico.
Nota: Para los equipos que ejecutan versiones anteriores de Symantec AntiVirus,
se utilizan el grupo de servidores y el servidor principal en lugar del dominio y el
servidor.
Resumen de distribucin de Este informe incluye un grfico circular y un grfico de barra asociado que muestra
riesgos un porcentaje relativo para cada elemento nico del tipo de destino elegido. Por
ejemplo, si el destino elegido es nombre de riesgo, el grfico circular muestra partes
de cada riesgo nico. Se muestra una barra para cada nombre de riesgo, y los detalles
incluyen el nmero de detecciones y el porcentaje de las detecciones totales. Los
destinos incluyen el nombre de riesgo, el dominio, el grupo, el servidor, el equipo, el
nombre de usuario, la fuente, el tipo de riesgo o la gravedad del riesgo. Para los equipos
que ejecutan versiones anteriores de Symantec AntiVirus, se utilizan el grupo de
servidores y el servidor principal en lugar del dominio y el servidor.
Distribucin de riesgos a lo Este informe consiste en una tabla que muestra el nmero de detecciones de virus y
largo del tiempo riesgos de seguridad por unidad de tiempo y barra relativa.
Resultados de la deteccin de Este informe consiste en un grfico circular y grficos de barra que muestran la
amenazas proactiva siguiente informacin:
Una lista de las aplicaciones clasificadas como riesgos que se han agregado a las
excepciones como aceptables en su red.
Una lista de las aplicaciones que se detectaron como riesgos confirmados.
Una lista de las aplicaciones que se han detectado, pero que an no se han
confirmado como riesgos.
Para cada lista, este informe muestra el nombre de la empresa, el hash de la aplicacin,
y la versin y el equipo implicados. Para las aplicaciones permitidas, tambin se
muestra la fuente del permiso.
Distribucin de amenazas Este informe consiste en un grfico circular que muestra los nombres de las principales
proactiva aplicaciones detectadas con barras relativas y una tabla de resumen. Las detecciones
incluyen aplicaciones de la lista de aplicaciones comerciales y las detecciones forzadas.
La primera tabla de resumen contiene el nombre de la aplicacin, y el nmero y el
porcentaje de detecciones.
La tabla de resumen muestra lo siguiente, por deteccin:
Nombre y hash de la aplicacin

Tipo de aplicacin, cualquier registrador de pulsaciones, caballo de Troya o gusano,
control remoto o registrador de pulsaciones comercial
Nombre de la empresa
Versin de la aplicacin
Nmero de equipos nicos que han informado la deteccin
Tres nombres principales de ruta en las detecciones
Fecha de la ltima deteccin
Deteccin de amenazas Este informe consiste en un grfico lineal que muestra el nmero de detecciones de
proactivas a lo largo del amenazas proactivas para el intervalo de tiempo seleccionado. Tambin contiene una
tiempo tabla con barras relativas que incluye los nmeros totales de las amenazas que se
detectaron a lo largo del tiempo.
Resumen de acciones para los Este informe incluye una lista de los informes de riesgos principales que se
riesgos principales encontraron en su red. Para cada uno, se muestran barras de resumen de acciones
que muestran el porcentaje de cada accin que se tom cuando se detect un riesgo.
Las acciones incluyen en cuarentena, limpiado, eliminado, etc. Este informe muestra,
adems, el porcentaje de tiempo para el que cada accin determinada era la primera
accin configurada, la segunda accin configurada, ninguna o desconocida.
Nmero de notificaciones Este informe consiste en un grfico circular asociado con una barra relativa. Los
grficos muestran el nmero de notificaciones que se activaron por las violaciones
de la norma de firewall configurada como importante. Incluye el tipo de notificaciones
y el nmero de cada una.
Ver "Configurar mensajes de correo electrnico para eventos de trfico"

en la pgina 578.
Nmero de notificaciones a Este informe consiste en un grfico lineal que muestra el nmero de notificaciones
lo largo del tiempo en la red para el intervalo de tiempo seleccionado. Tambin contiene una tabla que
incluye el nmero y el porcentaje de notificaciones a lo largo del tiempo. Puede filtrar
los datos para ver la lista por tipo de notificacin, estado del acuse de recibo, creador
y nombre de la notificacin.
Ataques semanales Este informe muestra el nmero de virus y de detecciones de riesgos de seguridad, y
una barra relativa por semana para cada uno de los intervalos de tiempo especificados.
Un intervalo de un da muestra la semana anterior.
Informe completo de riesgos De forma predeterminada, este informe incluye todos los informes de distribucin y
los informes de nuevos riesgos. Sin embargo, puede configurarlo para incluir slo
algunos informes. Este informe incluye informacin de todos los dominios.
La Tabla 11-9 describe los informes de anlisis que estn disponibles.

Tabla 11-9 Informes de anlisis
Histograma de estadsticas Este informe se presenta como histograma. Puede seleccionar si desea que la
de anlisis informacin del informe de anlisis se distribuya. Es posible seleccionar uno de los
siguientes mtodos:
Por tiempo del anlisis (en segundos)

Por nmero de riesgos detectados
Por nmero de archivos con detecciones
Por nmero de archivos que se analizan
Por nmero de archivos que no se analizan
Tambin puede configurar el ancho y la cantidad de clases para utilizar en el

histograma. El ancho de clases es el intervalo de datos que desea utilizar para el grupo
por seleccin. La cantidad de clases especifica la frecuencia con la que se repite el
intervalo en el histograma.
La informacin que se muestra incluye el nmero de entradas y los valores mnimos

y mximos, as como la desviacin media y estndar.
Es posible que desee modificar los valores del informe para maximizar la informacin
que se genera en el histograma del informe. Por ejemplo, es posible que desee
considerar el tamao de la red y la cantidad de informacin que ve.
Equipos por ltimo anlisis Este informe muestra una lista de los equipos de la red de seguridad que fueron
analizados la ltima vez. Tambin incluye la direccin IP y el nombre del usuario que
inici sesin a la hora del anlisis.
Equipos no analizados Este informe muestra una lista de equipos de la red de seguridad que no fueron
analizados.
Proporciona la siguiente informacin adicional:
La direccin IP
La hora del ltimo anlisis
El nombre del usuario actual o del usuario que inici sesin a la hora del ltimo
anlisis
La Tabla 11-10 describe los informes del sistema que estn disponibles.
Tabla 11-10 Informes del sistema
Principales clientes que Este informe consiste en un grfico circular para cada condicin de advertencia y
generan errores condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el
porcentaje de advertencias por cliente.
Principales servidores que Este informe consiste en un grfico circular para cada condicin de advertencia y
generan errores condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el
porcentaje de advertencias por servidor.
Principales instancias de Este informe consiste en un grfico circular para cada condicin de advertencia y
Enforcer que generan errores condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el
porcentaje de advertencias por instancia de Enforcer.
Errores de replicacin de Este informe consiste en un grfico lineal con una tabla asociada que enumera los
base de datos a lo largo del errores de replicacin para el intervalo de tiempo seleccionado.
tiempo
Estado del sitio Este informe muestra el estado actual y la velocidad de transferencia de todos los
servidores de su sitio local. Tambin muestra la informacin sobre la instalacin del
cliente, el estado en lnea del cliente y el volumen de registro del cliente para su sitio
local. Los datos que se extraen de este informe se actualizan cada diez segundos, pero
debe volver a realizar el informe para ver datos actualizados.
Nota: Si tiene varios sitios, este informe muestra el total de clientes instalados y en
lnea de su sitio local, no de todos los sitios.
Si tiene restricciones del sitio o del dominio como administrador, slo ver la
informacin que se le permite ver.
El estado de salud de un servidor se clasifica de la siguiente manera:
Bueno: el servidor es ascendente y funciona normalmente

Malo: el servidor tiene poca memoria o poco espacio libre en el disco, o tiene una
gran cantidad de errores de la solicitud del cliente.
Crtico: el servidor no funciona
Para cada servidor, este informe contiene el estado, el estado de salud y el motivo, el
uso del CPU y de la memoria y el espacio libre en el disco. Adems, contiene

informacin de la velocidad de transferencia del servidor, como polticas descargadas
y velocidad de transferencia del sitio basadas en el ltimo latido.
Incluye la siguiente informacin de la velocidad de transferencia del sitio:
Total de clientes instalados y en lnea

Polticas descargadas por segundo
Firmas de prevencin de intrusiones descargadas por segundo
Aplicaciones aprendidas por segundo
Registros de clientes recibidos por segundo
Polticas descargadas por segundo
Firmas de prevencin de intrusiones del sistema descargadas por segundo
Aplicaciones aprendidas por segundo
Registros de sistema de Enforcer, registros del trfico y registros de paquetes por
segundo
Actualizaciones de la informacin de clientes por segundo
Registros de seguridad de clientes, registros de sistema, registros del trfico y
registros de paquetes recibidos por segundo
Registros de aplicacin y control de dispositivos por segundo
Conectados tiene los siguientes significados en este informe:
Para los clientes que estn en modo de transferencia, "conectados" significa que
los clientes estn conectados actualmente al servidor.
Para los clientes que estn en modo de obtencin, "conectados" significa que los
clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes.
Para los clientes en sitios remotos, "conectados" significa que los clientes estaban
conectados a la hora de la ltima replicacin.

Debe tener en cuenta la siguiente informacin cuando se utilizan informes:
Las marcas de hora de los informes se especifican en la hora local del usuario.
La base de datos de informes contiene eventos especificados segn la hora del
meridiano de Greenwich (GMT). Al crear un informe, estos valores de horario
se convierten en la hora local del equipo en el que se ven los informes.
En algunos casos, los datos del informe no tienen una correspondencia directa
con lo que aparece en los productos de seguridad. Esta falta de correspondencia
se produce porque el software de elaboracin de informes agrega eventos de
seguridad.
La informacin sobre categoras de riesgos que se incluye en los informes se

obtiene del sitio Web de Symantec Security Response. Hasta que la consola
pueda extraer esta informacin, cualquier informe que genere mostrar
Desconocido en el campo de categoras de riesgos.
Los informes que se generan brindan un cuadro exacto de los equipos en peligro
de su red. Los informes se basan en los datos de registro, no en los datos de
registro de Windows.
Las pginas de informes y las pginas del registro siempre se muestran en el
idioma con el que se instal el servidor de administracin. Para ver estas
pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente
apropiada debe estar instalada en el equipo.
Si se producen errores de la base de datos durante la ejecucin de registros
que incluyen una gran cantidad de datos, se recomienda cambiar los parmetros
de tiempo de espera.
Ver "Cambiar los parmetros de tiempo de espera" en la pgina 343.
Si se muestran errores CGI o de terminacin de procesos, puede ser necesario
cambiar otros parmetros de tiempo de espera.
Consulte el artculo "Reporting server does not report or shows a timeout error
message when querying large amounts of data" (El servidor de informes no
genera informes o presenta un mensaje de error de tiempo de espera al
consultar una gran cantidad de datos) en la base de conocimientos de Symantec
(en ingls).
Es importante tener en cuenta la siguiente informacin si algunos equipos de su
red estn ejecutando versiones anteriores de Symantec AntiVirus:
Cuando se utilizan los filtros de informes y registros, los grupos de servidores
se categorizan como dominios. Los grupos de equipos cliente se categorizan
como grupos, y los servidores principales se categorizan como servidores.
Si se genera un informe que incluye equipos con versiones anteriores, el valor
de los campos de direccin IP y MAC es Ninguno.

Genere un informe rpido seleccionando entre las opciones de Configuracin
bsica que aparecen bajo Qu configuracin de filtros desea utilizar. Si desea
configurar opciones adicionales para construir un informe, haga clic en
Configuracin avanzada. Configuracin bsica y Configuracin avanzada varan
de informe a informe.
Para una descripcin de cada opcin avanzada que se pueda configurar, es posible
hacer clic en Ms informacin para ese tipo de informe en la consola. Hacer clic
en Ms informacin muestra la ayuda contextual para ese tipo de informe.
Es posible guardar la configuracin del informe de modo que se pueda ejecutar el
mismo informe en una fecha posterior, y es posible imprimir y guardar informes.
Nota: Los cuadros de texto de opcin del filtro que aceptan caracteres comodn y
buscan coincidencias no diferencian entre maysculas y minsculas. El carcter
del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como
carcter comodn.
Ver "Imprimir y guardar una copia de un informe" en la pgina 213.

La Tabla 11-11 describe todas las opciones de Configuracin bsica disponibles
para todos los tipos de informe rpido.
Tabla 11-11 Configuracin bsica de filtro para los informes rpidos
Opcin Descripcin
Intervalo de tiempo Especifica el intervalo de tiempo de los eventos que usted desea ver en el informe.
Seleccione a partir de las opciones siguientes:
ltimas 24 horas
Semana pasada
ltimo mes
Mes actual
ltimos tres meses
Ao pasado
Definir fechas especficas
Si elige Definir fechas especficas, algunos informes necesitan que se configure una fecha
inicial y una fecha final. Otros informes necesitan que usted establezca la hora de la ltima
verificacin, que es la ltima vez que el equipo se registr con su servidor.
La configuracin predeterminada es ltimas 24 horas.
Fecha inicial Especifica la fecha de inicio del intervalo de fechas.
Esta opcin slo est disponible cuando se selecciona Definir fechas especficas para el
intervalo de tiempo.
Opcin Descripcin
Fecha final Especifica la fecha de finalizacin del intervalo de fechas.
Esta opcin slo est disponible cuando se selecciona Definir fechas especficas para el
intervalo de tiempo.
Nota: No es posible configurar una fecha final que sea igual que la fecha inicial o anteriores
a sta.
ltimo registro Especifica que usted desea ver todas las entradas que impliquen a un equipo que no se ha
despus de registrado en su servidor desde el momento especificado.
Solamente disponible para los informes de estado del equipo cuando se selecciona Definir
fechas especficas para el intervalo de tiempo.
Estado Disponible para el informe de cumplimiento del estado de cumplimiento de la red. Seleccione
entre las siguientes opciones:
Autenticado
Desconectado
Error
Aprobado
Rechazado
Disponible para el informe de cumplimiento del estado de cumplimiento. Seleccione una
de las acciones siguientes:
Aprobado
Error
Agrupar por Muchos de los informes se pueden agrupar de maneras apropiadas. Por ejemplo, la opcin
ms comn es ver la informacin para solamente un grupo o una subred, pero algunos
informes proporcionan otras opciones apropiadas.
Opcin Descripcin
Seleccionar destino Disponible para el informe de proteccin contra amenazas de red de los principales destinos
atacados. Seleccione entre las siguientes opciones:
Grupo
Subred
Cliente
Puerto
Disponible para el informe de proteccin contra amenazas de red de los ataques a lo largo
del tiempo. Seleccione entre las siguientes opciones:
Todos
Grupo
Direccin IP
Sistema operativo
Nombre de usuario
Tipo de ataque
Disponible para los informes de proteccin contra amenazas de red de aplicaciones
bloqueadas a lo largo del tiempo y notificaciones de trfico a lo largo del tiempo. Seleccione
entre las siguientes opciones:
Todos
Grupo
Direccin IP
Sistema operativo
Nombre de usuario
Disponible para el informe de proteccin contra amenazas de red de las principales
notificaciones de trfico. Seleccione entre las siguientes opciones:
Todos
Trfico
Paquete
Eje X Disponible para el informe de riesgos de la correlacin principal de detecciones de riesgos.

Seleccione entre las siguientes opciones:
Eje Y
Equipo
Nombre de usuario
Dominio
Grupo
Servidor
Nombre del riesgo
Amplitud de clases Especifica la amplitud para formar un histograma. Disponible para el informe de anlisis
del histograma de estadsticas de anlisis.
Opcin Descripcin
Nmero de Especifica el nmero de contenedores que usted desea utilizar para formar las barras de
contenedores un histograma. Disponible para el informe de anlisis del histograma de estadsticas de
anlisis.
Configuracin avanzada proporciona control adicional sobre los datos que desee
ver. Son especficos para el tipo y el contenido del informe.
Para una descripcin de cada opcin avanzada que se pueda configurar, es posible
hacer clic en Ms informacin para ese tipo de informe en la consola. Hacer clic
en Ms informacin muestra la ayuda contextual para ese tipo de informe.
Para crear un informe rpido
1 En la consola, haga clic en Informes.
2 En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione
el tipo de informe que desee crear. Por ejemplo, seleccione Riesgo.
3 Bajo Qu tipo de informe de anlisis desea ver, en el cuadro de lista Seleccionar
un informe, seleccione el nombre del informe que desee ver. Por ejemplo,
seleccione Conteo de detecciones de riesgos.
4 En el cuadro de lista Utilizar filtro guardado, seleccione una configuracin
de filtro guardada que desee utilizar o deje el filtro predeterminado.
5 Bajo Qu configuracin de filtros desea utilizar, en el cuadro de lista Intervalo
de tiempo, seleccione el intervalo de tiempo para el informe.
6 Si seleccion Definir fechas especficas, utilice los cuadros de lista Fecha
inicial y Fecha final. Estas opciones configuran el intervalo de tiempo sobre
el cual se desea ver informacin.
7 Si desea configurar las opciones adicionales para el informe, haga clic en
Configuracin avanzada y configure las opciones que desee. Es posible hacer
clic en Ms informacin en la ficha Informes rpidos para ver las descripciones
de las opciones del filtro en la ayuda contextual.
Cuando el botn de 3 puntos est disponible, lo lleva a una lista de opciones
conocidas para esa opcin. Por ejemplo, esta opcin puede llevarlo a una lista
de servidores conocidos o a una lista de dominios conocidos.
Es posible guardar las opciones de configuracin del informe si piensa que
querr ejecutar este informe de nuevo en el futuro.
Ver "Guardar y eliminar los filtros de informes guardados" en la pgina 212.
8 Haga clic en Crear informe.

Puede guardar la configuracin de informes personalizados, de modo que se pueda
volver a generar el informe en una fecha posterior. Cuando guarda la configuracin,
se guarda en la base de datos. El nombre que se da al filtro aparece en el cuadro
de lista Usar un filtro guardado para ese tipo de registros y de informes.
Nota: Las opciones de configuracin del filtro que guarda estn disponibles para
la cuenta del inicio de sesin del usuario solamente. Otros usuarios con privilegios
de elaboracin de informes no tienen acceso a la configuracin guardada.
Puede eliminar las configuraciones de informe que usted crea. Si se elimina una
configuracin, el informe ya no estar disponible. El nombre de la configuracin
de informe predeterminado aparece en el cuadro de lista Utilizar informe guardado,
y la pantalla vuelve a completarse con las opciones de configuracin
predeterminadas.
Para guardar un filtro
2 Seleccione un tipo informe del cuadro de lista.
3 Modifique cualquier Configuracin bsica o Configuracin avanzada para el
informe.
5 En el cuadro de texto Nombre del filtro, escriba un nombre descriptivo para
este filtro de informes. Slo se muestran los primeros 32 caracteres del nombre
cuando el filtro se agrega a la lista Usar un filtro guardado.
7 Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.
Despus de que se guarda un filtro, aparece en el cuadro de lista Usar un filtro
guardado para los informes y los registros relacionados.
Para eliminar un filtro guardado
1 En la ficha Informes, seleccione un tipo de informe.
2 En el cuadro de lista Utilizar filtro guardado, seleccione el nombre de la
configuracin del filtro que desea eliminar.
3 Haga clic en el icono Eliminar ubicado junto al cuadro de lista Usar un filtro
guardado.
Acerca de los nombres de filtro duplicados

El almacenamiento de filtros se basa en parte en el creador, as que no ocurren
problemas cuando dos usuarios diferentes crean un filtro con el mismo nombre.
Sin embargo, un solo usuario o dos usuarios que se registran en la cuenta de
administrador predeterminada no deben crear filtros con el mismo nombre.
Si los usuarios crean filtros con el mismo nombre, un conflicto puede ocurrir bajo
dos condiciones:
Los dos usuarios estn registrados en la cuenta del administrador
predeterminada en diversos sitios y cada uno crea un filtro con el mismo
nombre.
Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente
un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del
sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de
filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor
eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se
elimina el filtro utilizable, usted adems elimina el filtro inutilizable.

Cuando se genera un informe, ste aparece en una nueva ventana. Puede imprimir
o guardar una copia del informe.
Nota: De forma predeterminada, Internet Explorer no imprime las imgenes y los

colores de fondo. Si esta opcin de impresin est desactivada, el informe impreso
se ver diferente del informe creado por el usuario. Puede cambiar la configuracin
en el explorador para imprimir las imgenes y los colores de fondo.
Para imprimir una copia de un informe

1 En la ventana de informes, haga clic en Imprimir.
2 En el cuadro de dilogo Imprimir, seleccione la impresora que desee, si es
necesario, y luego haga clic en Imprimir.
Cuando se guarda un informe, se guarda una captura de pantalla del entorno de
seguridad que corresponde a los datos actuales de la base de datos de informes.
Si ejecuta el mismo informe ms adelante, a partir de la misma configuracin de
filtro, el nuevo informe mostrar datos diferentes.
Para guardar una copia de un informe

1 En la ventana de informes, haga clic en Guardar.
2 En el cuadro de dilogo Descarga del archivo, haga clic en Guardar.
3 En el cuadro de dilogo Guardar como, en el cuadro de la seleccin Guardar
en, vaya a la ubicacin donde desee guardar el archivo.
4 En el cuadro de lista Nombre de archivo, modifique el nombre de archivo
predeterminado, si lo desea.
5 Haga clic en Guardar.
El informe se guarda en el formato del archivo Web de Microsoft, un solo
archivo (*.mht) en la ubicacin que usted seleccion.

Los informes programados son los informes que se ejecutan automticamente
basados en la programacin que se configura. Los informes programados se envan
por correo electrnico a los destinatarios, as que es necesario incluir la direccin
de correo electrnico de por lo menos un recipiente. Despus de que un informe
se ejecuta, el informe se enva por correo electrnico a los destinatarios que se
configuran como archivo adjunto .mht.
Los datos que aparecen en los informes de la instantnea se actualizan en la base
de datos cada hora. Los informes programados se envan por correo electrnico
a sus destinatarios en la hora y el momento que el administrador configura usando
la opcin Ejecutar cada. Cuando Symantec Endpoint Protection enva por correo
electrnico un informe de instantnea, los datos en el informe son actuales durante
el plazo de una hora. Los otros informes que contienen datos a lo largo del tiempo
se actualizan en la base de datos segn el intervalo de la carga que usted configur
para los registros de clientes.
Ver "Configurar opciones de registros de clientes " en la pgina 337.
Nota: Si tiene varios servidores dentro de un sitio que compartan una base de
datos, slo el servidor instalado primero ejecuta los informes programados para
el sitio. Esta configuracin predeterminada se asegura de que todos los servidores
en el sitio no ejecuten los mismos anlisis programados simultneamente. Si desea
sealar un servidor diferente para ejecutar informes programados, es posible
configurar esta opcin en las propiedades del sitio local.
Ver "Editar propiedades del sitio" en la pgina 278.
Los informes rpidos siguientes estn disponibles solamente como informes

programados:
Distribucin de software cliente (instantneas)
Clientes conectados/desconectados a lo largo del tiempo (instantneas)
Clientes con la ltima poltica a lo largo del tiempo (instantneas)
Clientes con errores de cumplimiento a lo largo del tiempo (instantneas)
Distribucin de definiciones de virus (instantneas)
Es posible modificar la configuracin para cualquier informe que se haya
programado. La prxima vez que el informe se ejecuta utiliza la nueva
configuracin del filtro. Es posible adems crear informes programados adicionales,
que es posible asociar a un filtro de informes previamente guardado. Puede
eliminar uno o todos los informes programados.
Nota: Cuando se asocia un filtro guardado a un informe programado, asegrese

de que el filtro no contenga fechas personalizadas. Si el filtro especifica una fecha
personalizada, usted obtendr el mismo informe cada vez que se ejecute el informe.
Es posible imprimir y guardar informes programados, como se hace con los

informes que se ejecutan manualmente.
Nota: Cuando se crea un informe programado, es necesario utilizar el filtro

predeterminado o un filtro que usted ya haya guardado. Despus de que usted
haya programado el informe, es posible volver y editar el filtro.
Para obtener informacin sobre las opciones que es posible configurar en estos
procedimientos, en la ficha Informes programados, es posible hacer clic en Ms
informacin.
Para crear un informe programado
2 En la ficha Informes programados, haga clic en Agregar.
3 En el cuadro de texto Nombre del informe, escriba un nombre descriptivo y,
opcionalmente, escriba una descripcin ms larga.
Aunque se puedan pegar ms de 255 caracteres en el cuadro de texto de la
descripcin, slo 255 caracteres se guardan en la descripcin.
4 Deje sin marcar la casilla de verificacin Activar este informe programado
si usted no quiere que este informe se ejecute.
5 Seleccione el tipo de informe que desee programar del cuadro de lista.

6 Seleccione el nombre del informe especfico que desee programar del cuadro
de lista.
7 Seleccione el nombre del filtro guardado que desee utilizar del cuadro de lista.
8 En el cuadro de texto Ejecutar cada, seleccione el intervalo de tiempo en el
cual desea que el informe sea enviado por correo electrnico (horas, das,
semanas o meses). A continuacin, escriba el valor para el intervalo de tiempo
que usted seleccion. Por ejemplo, si desea que el informe le sea enviado da
por medio, seleccione das y despus escriba 2.
9 Bajo Programa de informes, en el cuadro de texto Ejecutar cada, escriba la
frecuencia con la cual este informe se debe enviar por correo electrnico a
los destinatarios.
10 En el cuadro de texto Iniciar despus de, escriba la fecha en que desea que el
informe se inicie o haga clic en el icono del calendario y seleccione la fecha.
A continuacin, seleccione la hora y los minutos de los cuadros de lista.
11 Bajo Destinatarios del informe, escriba una o ms direcciones de correo
electrnico separadas por comas.
Es necesario haber configurado las propiedades del servidor de correo para
que las notificaciones de correo electrnico funcionen.
12 Haga clic en Aceptar para guardar la configuracin del informe programado.
Para editar el filtro utilizado para un informe programado
2 Haga clic en Informes programados.
3 En la lista de informes, haga clic en el informe programado que desee editar.
4 Haga clic en Editar filtro.
5 Realice los cambios del filtro que desee.
Si desea conservar el filtro de informes original, d a este filtro editado un
nuevo nombre.
Para eliminar un informe programado

2 En la ficha Informes programados, en la lista de informes, haga clic en el
nombre del informe que desee eliminar.
3 Haga clic en Eliminar.
Captulo 12
Ver y configurar registros y
notificaciones
Usar la ficha Resumen de Supervisin
Ver registros
Guardar y eliminar filtros
Configuracin bsica de filtro para los registros
Configuracin avanzada de filtro para los registros
Ejecutar comandos y acciones de registros
Acerca de la reduccin del volumen de eventos enviados a los registros
Exportar datos de registro
Usar notificaciones

Con los registros, es posible ver eventos detallados de sus productos de seguridad.
Los registros contienen datos de eventos de sus servidores de administracin, as
como de todos los clientes que se comunican con esos servidores. Dado que los
informes son estticos y no incluyen tantos detalles como los registros, algunos
administradores prefieren supervisar su red principalmente con registros.
220 Ver y configurar registros y notificaciones
Es recomedable ver esta informacin para solucionar problemas de seguridad o

de conectividad en su red. Esta informacin puede ser til adems para la
investigacin de amenazas o para verificar el historial de eventos.
Nota: Las pginas de informes y las pginas del registro siempre se muestran en
el idioma con el que se instal el servidor de administracin. Para ver estas pginas
cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada
debe estar instalada en el equipo.
Es posible exportar algunos datos de eventos del registro a un archivo delimitado

por comas para importarlos en una aplicacin de hojas de clculo. Otros datos de
registro se pueden exportar a un archivo de volcado o a un servidor Syslog.
Ver "Exportar datos de registro" en la pgina 239.
Acerca de tipos, contenido y comandos de registros

Es posible ver los siguientes tipos de registros de la pgina Supervisin:
Auditora
Cumplimiento
Estado del equipo
Riesgos
Anlisis
Sistema
Nota: Se accede a todos estos registros desde la pgina Supervisin, usando la

ficha Registros. Es posible ver la informacin sobre las notificaciones creadas en
la ficha Notificaciones y la informacin sobre el estado de los comandos en la ficha
Estado del comando.
Algunos tipos de registros se subdividen en distintos tipos de contenido para que

sea ms fcil visualizarlos. Por ejemplo, los registros de control de aplicaciones
y de control de dispositivos incluyen el registro de control de aplicaciones y el
registro de control de dispositivos. Es posible adems ejecutar comandos desde
algunos registros.
Ver y configurar registros y notificaciones 221
Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 244.
Nota: Si tiene solamente Symantec Network Access Control instalado, slo algunos
de los registros contienen datos; algunos registros estn vacos. El registro de
auditora, el registro de estado del equipo y el registro de sistema contienen datos,
al igual que el registro de cumplimiento. Si tiene solamente Symantec Endpoint
Protection instalado, los registros de cumplimiento y los registros de Enforcer
estn vacos, pero el resto de los registros contienen datos.
La Tabla 12-1 describe los distintos tipos de contenido que es posible ver y las
acciones que pueden efectuarse desde cada registro.
Tabla 12-1 Registro y listas
Tipo de registro Contenido y acciones
Control de aplicaciones y El registro de control de aplicaciones y el registro de control de dispositivos contienen

dispositivos informacin sobre los eventos en los que se bloque determinado tipo de
comportamiento.
Los registros siguientes de control de aplicaciones y de control de dispositivos estn
disponibles:
Control de aplicaciones, que incluye informacin sobre proteccin contra

intervenciones
Control de dispositivos
La informacin que est disponible en el registro de control de aplicaciones incluye

los siguientes elementos:
La hora en que se produjo el evento

Las acciones efectuadas
El dominio y el equipo que estaban implicados
La gravedad
La norma que estaba implicada
El proceso de llamada
El destino
La informacin que est disponible en el registro de control de dispositivos incluye
los siguientes elementos:
La hora en que se produjo el evento

El tipo de evento
El dominio y el grupo que estaban implicados
El usuario que estaba implicado
El equipo que estaba implicado
El nombre del sistema operativo
La ubicacin
Una descripcin
Es posible agregar un proceso a una poltica de excepciones centralizada desde el

registro de control de aplicaciones.
Auditora Los registros de auditora contienen informacin sobre la actividad de modificacin

de polticas. La informacin disponible incluye la hora y el tipo de evento; la poltica
modificada; el dominio, el sitio y el administrador implicado; y una descripcin.
No hay ninguna accin asociada a este registro.

Cumplimiento Los registros de cumplimiento contienen informacin sobre el servidor de Enforcer,

los clientes de Enforcer y el trfico de Enforcer, y sobre cumplimiento de los hosts.
Los siguientes registros de cumplimiento estn disponibles si tiene instalado Symantec
Network Access Control:
Servidor de Enforcer
Este registro realiza un seguimiento de la comunicacin entre los mdulos de
Enforcer y su servidor de administracin. La informacin que se registra incluye
el nombre del mdulo de Enforcer, cundo se conecta al servidor de administracin,
el tipo de evento, el sitio y el nombre del servidor.
Cliente de Enforcer
Proporciona la informacin sobre todas las conexiones del cliente de Enforcer.
Los datos disponibles incluyen el nombre, tipo, sitio, host remoto y direccin MAC
remota de cada Enforcer, y si el cliente fue aprobado, rechazado o autenticado.
Trfico de Enforcer (Gateway Enforcer solamente)
Proporciona cierta informacin sobre el trfico que se mueve a travs de un
dispositivo Enforcer. Esta informacin incluye la direccin y la hora del trfico,
el protocolo que fue utilizado, el nombre y el sitio del mdulo Enforcer. La
informacin adems incluye el puerto local que fue utilizado, la direccin y una
cantidad. Es posible filtrar segn los intentos de conexin que fueron permitidos
o bloqueados.
Cumplimiento del host
Este registro realiza un seguimiento de los detalles de los anlisis de integridad
de los hosts de los clientes. La informacin disponible incluye la hora, la ubicacin,
el sistema operativo, el motivo de los errores y una descripcin.
No hay ninguna accin asociada a estos registros.

Estado del equipo Los registros de estado del equipo contienen informacin sobre el estado operacional
de los equipos cliente de la red en tiempo real. La informacin disponible incluye el
nombre del equipo y la direccin IP, la hora de la ltima verificacin, la fecha de las
definiciones, el estado de infeccin, el estado de Auto-Protect, el servidor, el grupo,
el dominio y el nombre de usuario.
Es posible realizar las siguientes acciones desde el registro de estado del equipo:
Anlisis
Este comando inicia un anlisis rpido, completo o personalizado. Las opciones
de anlisis personalizado son las que usted ha configurado para los anlisis de
comandos en la pgina Anlisis definidos por el administrador. El comando utiliza
la configuracin de la poltica antivirus y contra software espa que se aplica a los
clientes que usted seleccion para analizar.
Actualizar contenido
Este comando activa una actualizacin de polticas, definiciones y software desde
la consola para los clientes del grupo seleccionado.
Actualizar contenido y anlisis
Este comando activa una actualizacin de polticas, definiciones y software en los
clientes del grupo seleccionado. Este comando inicia un anlisis rpido, completo
o personalizado. Las opciones de anlisis personalizado son las que usted ha
configurado para los anlisis de comandos en la pgina Anlisis definidos por el
administrador. El comando utiliza la configuracin de la poltica antivirus y contra
software espa que se aplica a los clientes que usted seleccion para analizar.
Cancelar todos los anlisis
Este comando cancela todos los anlisis en curso y cualquier anlisis en cola para
los destinatarios seleccionados.
Reiniciar equipos
Este comando reinicia los equipos que usted seleccion. Si los usuarios han iniciado
sesin, se les advierte sobre el reinicio basado en las opciones de reinicio que el
administrador configur para ese equipo. Es posible configurar las opciones de
reinicio de clientes en la ficha Configuracin general del cuadro de dilogo
Configuracin de la pgina Clientes.
Habilitar Auto-Protect
Este comando activa Auto-Protect para todos los equipos cliente que usted
seleccion.
Habilitar proteccin contra amenazas de red
Este comando activa la proteccin contra amenazas de red para todos los equipos
cliente que usted seleccion.
Inhabilitar proteccin contra amenazas de red
Este comando desactiva la proteccin contra amenazas de red para todos los
equipos cliente que usted seleccion.
Es posible adems eliminar el estado infectado de los equipos desde este registro.
Proteccin contra amenazas Los registros de proteccin contra amenazas de red contienen informacin sobre
de red ataques en el firewall y en la prevencin de intrusiones. Existe informacin disponible
sobre ataques de negacin de servicio, anlisis de puertos y los cambios que fueron
realizados a los archivos ejecutables. Adems contienen la informacin sobre las
conexiones que se hacen a travs del firewall (trfico) y los paquetes de datos que
pasan a travs de l. Estos registros adems contienen algunos de los cambios
operacionales que se realizan en los equipos, como detectar aplicaciones de red y
configurar software. La informacin disponible incluye elementos como la hora, el
tipo de evento y las acciones efectuadas. La informacin adicional disponible incluye
la gravedad, la direccin, el nombre de host, las acciones efectuadas, la direccin IP
y el protocolo implicado.
Los registros siguientes de proteccin contra amenazas de red estn disponibles:
Ataques
Trfico
Paquete
Proteccin proactiva contra El registro de proteccin proactiva contra amenazas contiene informacin sobre las
amenazas amenazas que se han detectado durante el anlisis de amenazas proactivo. Los anlisis
de amenazas proactivos utilizan la heurstica para analizar en busca de
comportamientos similares al de los virus y los riesgos de seguridad. Este mtodo
puede detectar virus desconocidos y riesgos de seguridad. La informacin disponible
incluye elementos como la hora de la incidencia, el nombre del evento, el equipo y el
usuario implicados, el nombre y el tipo de aplicacin y el nombre del archivo.
Es posible agregar un proceso detectado a una poltica de excepciones centralizada

preexistente desde este registro.
Riesgos El registro de riesgos contiene informacin sobre eventos de riesgo. Parte de la

informacin disponible incluye el nombre y la hora del evento, el nombre de usuario,
el equipo, el nombre del riesgo, la cantidad, el origen y el nombre de la ruta.
Es posible efectuar las siguientes acciones desde este registro:
Agregar riesgo a la poltica de excepciones centralizada

Agregar archivo a la poltica de excepciones centralizada
Agregar carpeta a la poltica de excepciones centralizada
Agregar extensin a la poltica de excepciones centralizada
Eliminar de Cuarentena
Anlisis El registro de anlisis contiene informacin sobre la actividad del anlisis antivirus
y de software espa. La informacin disponible incluye elementos tales como el nombre
del equipo, la direccin IP, el estado, la hora del anlisis, la duracin y los resultados
del anlisis.
Sistema Los registros de sistema contienen informacin sobre eventos tales como cundo se
inician y se detienen los servicios. La informacin disponible incluye elementos tales
como el tiempo y el tipo de evento; el sitio, el dominio y el servidor implicados; y la
gravedad.
Estn disponibles los siguientes registros de sistema:
Administrativo
Actividad del cliente y el servidor
Actividad del servidor
Actividad del cliente
Actividad de Enforcer
Lista Estado del comando La lista Estado del comando contiene informacin sobre el estado de los comandos
que se han ejecutado desde la consola. Incluye informacin tal como la fecha en que
se ejecut el comando, quin lo emiti y una descripcin del comando. Adems incluye
el estado de avance del comando y los clientes a los que afect dicho comando.
Lista Notificaciones La lista Notificaciones contiene informacin sobre eventos de notificaciones. Tales
eventos incluyen informacin tal como la fecha y la hora de la notificacin. Adems
incluye informacin sobre si la notificacin fue reconocida, quin la cre, su asunto
y el mensaje.

Nota: Se puede acceder al registro de notificaciones desde la ficha Notificaciones,
en la pgina Supervisin, no desde la ficha Registros.
Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 244.

La ficha Resumen de la ficha Supervisin muestra resmenes sucintos, de alto
nivel sobre datos de registro importantes a fin de brindarle una idea inmediata
del estado de la seguridad.
Es posible ver los resmenes siguientes en la ficha Resumen:
Antivirus y proteccin proactiva contra amenazas

Cumplimiento
Estado del sitio
La Tabla 12-2 enumera el contenido de las vistas de resumen.
Tabla 12-2 Vistas de resumen y su contenido
Vista de resumen Contenido
Antivirus La vista Antivirus contiene la siguiente informacin:
Amenazas proactivas
Distribucin de riesgos
Nuevos riesgos
Distribucin de riesgos por origen
Distribucin de riesgos por atacante
Distribucin de riesgos por grupo
Nota: Los nuevos riesgos se calculan a partir del ltimo

barrido de la base de datos para el perodo que est
configurado en la ficha Inicio y supervisin, en Preferencias.
Ver "Acerca de las opciones de visualizacin de Inicio y

supervisin" en la pgina 184.
Por ejemplo, suponga que su intervalo de tiempo establecido

en Preferencias est configurado en el valor predeterminado,
las ltimas 24 horas. Y suponga que el barrido de la base de
datos est configurado para que se realice cada semana, el
domingo a la noche y para que se eliminen los riesgos que
tienen ms de tres das. Si un virus determinado infecta un
equipo de su red el lunes, eso se informa como un nuevo
riesgo. Si otro equipo es infectado con el mismo virus el
mircoles, eso no se refleja en esta cantidad. Si este mismo
virus infecta un equipo de su red el lunes siguiente, se
informa aqu como recientemente infectado. Se informa
como nuevo porque ocurri durante las ltimas 24 horas, y
el domingo se barrieron de la base de datos que tenan
entradas de ms de tres das. Las detecciones anteriores de
riesgos ocurrieron hace ms de tres das, por lo tanto, fueron
eliminadas de la base de datos.
Vista de resumen Contenido
Proteccin contra amenazas La vista Proteccin contra amenazas de red contiene la

de red siguiente informacin:
Principales destinos atacados por grupo

Tipos de eventos de seguridad
Eventos de seguridad por gravedad
Cumplimiento La vista Cumplimiento contiene la siguiente informacin:
Estado de cumplimiento de la red

Error en el estado de cumplimiento de la red
Resumen de errores de control
Detalles de errores de control
Nota: Si no tiene instalado Symantec Network Access

Control, la vista Cumplimiento no contiene ningn dato.
Estado del sitio La vista Estado del sitio contiene la siguiente informacin:
Estado del sitio

Generadores principales de errores por servidor
Generadores principales de errores por cliente
Errores de replicacin a lo largo del tiempo
Generadores principales de errores por Enforcer
Nota: Si no tiene instalado Symantec Network Access

Control, la seccin Generadores principales de errorres por
Enforcer no contiene ningn dato.
Si tiene solamente Symantec Network Access Control instalado, debe tener en

cuenta la siguiente informacin:
La vista Cumplimiento que se describe en la Tabla 12-2 incluye su pgina
principal.
La vista Estado del sitio es la nica disponible en la ficha Resumen.
Es posible hacer clic en cualquiera de los grficos circulares de la vista de la ficha
Resumen para ver ms detalles. Para ver el resumen de Principales destinos
atacados, en Proteccin contra amenazas de red, utilice el cuadro de lista para ver
el resumen por grupos, subredes, clientes o puertos.
Ver registros
Nota: Si tiene solamente Symantec Endpoint Protection instalado, los grficos en

la vista de resumen de cumplimiento estn vacos. Si tiene solamente Symantec
Network Access Control instalado, la ficha Resumen contiene solamente la vista
Estado del sitio. Es posible ver la informacin del resumen de cumplimiento en la
pgina principal.
Para modificar el tipo de resumen

1 En la ventana principal, haga clic en Supervisin.
2 En la parte superior de la ficha Resumen, en el cuadro de lista Tipo de resumen,
seleccione el tipo de vista que desea ver.
Ver registros
Puede generar una lista de eventos para ver desde los registros que se basan en
un conjunto de opciones de filtro seleccionadas. Cada tipo de registro y de
contenido tiene una configuracin de filtro predeterminada que puede utilizarse
como est o modificarse. Es posible adems crear y guardar nuevas configuraciones
de filtro. Estos nuevos filtros se pueden basar en el filtro predeterminado o en un
filtro existente que usted cre previamente. Si guarda la configuracin del filtro,
puede generar la misma vista de registro en una fecha posterior sin tener que
volver a configurar las opciones. Es posible eliminar las configuraciones de filtro
personalizadas si ya no las necesita.
Ver "Guardar y eliminar filtros" en la pgina 232.
Nota: Si se producen errores de base de datos cuando se visualizan los registros

que incluyen una gran cantidad de datos, puede ser recomendable modificar los
parmetros de tiempo de espera de la base de datos.
Ver "Cambiar los parmetros de tiempo de espera" en la pgina 343.
cambiar otros parmetros de tiempo de espera.
Para obtener informacin sobre parmetros de tiempo de espera adicionales,
consulte el artculo "Reporting server does not report or shows a timeout error
message when querying large amounts of data" (El servidor de informes no genera
informes o presenta un mensaje de error de tiempo de espera al consultar una
gran cantidad de datos) de la base de datos de conocimientos de Symantec (en
ingls).
Debido a que los registros contienen cierta informacin que se recopila a intervalos,
es posible actualizar las vistas de los registros. Para configurar la frecuencia de
Ver registros
actualizacin del registro, visualice el registro y seleccinelo del cuadro de lista

Actualizacin automtica en la parte superior derecha de la vista de ese registro.
Nota: Si ve los datos de registro usando fechas especficas, la actualizacin

automtica no tiene ningn efecto. Los datos permanecen siempre iguales.

ayuda contextual.
Nota: Los campos de opcin del filtro que aceptan caracteres comodn y buscan
coincidencias no diferencian entre maysculas y minsculas. El carcter del
asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter
comodn.
Para ver un registro

2 En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo
de registro que desea ver.
3 En algunos tipos de registros, se muestra un cuadro de lista Contenido del
registro. Si se muestra, seleccione el contenido del registro que desea ver.
4 En el cuadro de lista Usar un filtro guardado, seleccione un filtro guardado
o deje el filtro predeterminado.
5 Seleccione un tiempo del cuadro de lista Intervalo de tiempo o deje la
configuracin predeterminada. Si selecciona Definir fechas especficas,
defina la fecha o las fechas y la hora para las cuales desea visualizar entradas.
6 Haga clic en Configuracin avanzada para limitar la cantidad de entradas
que se visualizan. Es posible adems configurar cualquier otra Configuracin
avanzada disponible para el tipo de registro que seleccion.
7 Despus de tener la configuracin de vista que desea, haga clic en Ver registro.
La vista de registro aparece en la misma ventana.
Visualizar detalles de eventos en los registros

Es posible mostrar detalles sobre eventos que estn almacenados en los registros.
Ver registros
Para mostrar detalles de eventos

2 En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo
de registro que desea ver.
registro. Si se muestra, seleccione el contenido del registro que desea ver.
4 Haga clic en Ver registro.
5 Seleccione el evento del cual desea ver detalles y haga clic en Detalles.
Ver registros de otros sitios

Si desea ver los registros de otro sitio, es necesario iniciar sesin en un servidor
en el sitio remoto desde la consola. Si tiene una cuenta en un servidor en el sitio
remoto, es posible iniciar sesin remotamente y ver los registros de ese sitio.
Si ha configurado asociados de replicacin, puede elegir copiar los registros de
los asociados de replicacin a un asociado local, y viceversa.
Ver "Replicar registros" en la pgina 355.
Si elige replicar los registros, de manera predeterminada, ver la informacin de
su sitio y de los sitios replicados cuando visualiza cualquier registro. Si desea ver
un solo sitio, es necesario filtrar los datos para limitarlos a la ubicacin que desea
ver.
Nota: Si elige replicar registros, asegrese de que tiene suficiente espacio libre
en el disco para registros adicionales en todos los asociados de replicacin.
Para ver los registros de otro sitio

1 Abra un navegador Web.
2 Escriba el nombre del servidor o la direccin IP y el nmero de puerto, 9090,
en el cuadro de texto de la direccin, de la siguiente manera:
http://192.168.1.100:9090
La consola empieza a descargar. El equipo desde el cual usted inici sesin
debe tener el entorno Java 2 Runtime Environment (JRE, Java Runtime
Environment) instalado. Si no, se le pedir que lo descargue e instale. Siga
las indicaciones para instalar JRE.
Ver "Iniciar sesin en Symantec Endpoint Protection Manager "
en la pgina 45.
3 En el cuadro de dilogo de inicio de sesin de la consola, escriba su nombre

de usuario y su contrasea.
4 En el cuadro de texto Servidor, si no se completa automticamente, escriba
el nombre del servidor o la direccin IP y el nmero de puerto 8443, de la
siguiente manera:
http://192.168.1.100:8443

Es posible crear filtros personalizados con Configuracin bsica y Configuracin
avanzada para modificar la informacin que se desea ver. Es posible guardar la
configuracin del filtro en la base de datos de modo que se pueda volver a generar
la misma vista en el futuro. Cuando guarda la configuracin, se guarda en la base
de datos. El nombre que se da al filtro aparece en el cuadro de lista Usar un filtro
guardado para ese tipo de registros y de informes.
Nota: Si seleccion ltimas 24 horas como el intervalo de tiempo para un filtro

de registro, el intervalo de tiempo de 24 horas se inicia al seleccionar el filtro por
primera vez. Si se actualiza la pgina, no se restablece el inicio del intervalo de
24 horas. Si selecciona el filtro y espera para crear un registro, el intervalo de
tiempo se inicia al seleccionar el filtro. No se inicia cuando ve el registro.
Para asegurarse de que el intervalo de las ltimas 24 horas comience en este
momento, seleccione un intervalo de tiempo diferente y vuelva a seleccionar
ltimas 24 horas.
Para guardar un filtro

2 En la ficha Registros, seleccione el tipo de vista de registro para la que desea
configurar un filtro, desde el cuadro de lista Tipo de registro.
registro. Si se muestra, seleccione el contenido del registro para el que desea
configurar un filtro.
4 En el cuadro de lista Usar un filtro guardado, seleccione el filtro desde el cual
desea establecer el inicio. Por ejemplo, seleccione el filtro predeterminado.
5 En la seccin Qu configuracin de filtros desea utilizar, haga clic en
Configuracin avanzada.
6 Modifique cualquiera de las opciones.

8 En el cuadro de dilogo que se visualiza, en el cuadro Nombre del filtro, escriba
el nombre que desee utilizar para esta configuracin de filtro de registro. Slo
se muestran los primeros 32 caracteres del nombre cuando el filtro guardado
se agrega a la lista de filtros.
9 Haga clic en Aceptar. El nombre del nuevo filtro se agrega al cuadro de lista
Usar un filtro guardado.
Para eliminar un filtro guardado
1 En el cuadro de lista Usar un filtro guardado, seleccione el nombre de la
configuracin del filtro que desea eliminar.
2 Al lado del cuadro de lista Usar un filtro guardado, haga clic en el icono
Eliminar.
3 Cuando se le solicite confirmar si desea eliminar el filtro, haga clic en S.
Acerca de los nombres de filtro duplicados

El almacenamiento de filtros se basa en parte en el creador, as que no ocurren
problemas cuando dos usuarios diferentes crean un filtro con el mismo nombre.
Sin embargo, un solo usuario o dos usuarios que se registran en la cuenta de
administrador predeterminada no deben crear filtros con el mismo nombre.
Si los usuarios crean filtros con el mismo nombre, un conflicto puede ocurrir bajo
dos condiciones:
Los dos usuarios estn registrados en la cuenta del administrador
predeterminada en diversos sitios y cada uno crea un filtro con el mismo
nombre.
Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente
un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del
sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de
filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor
eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se
elimina el filtro utilizable, usted adems elimina el filtro inutilizable.

La mayora de los registros tienen la misma configuracin bsica.
La Tabla 12-3 describe la configuracin bsica que es comn a la mayora de los

registros.
Tabla 12-3 Configuracin bsica para los registros
Opcin Descripcin
Tipo de registro Especifica el tipo de registro que desea ver.

Seleccione uno de los siguientes tipos:
Control de aplicaciones y Control de dispositivos

Auditora
Cumplimiento
Estado del equipo
Riesgos
Anlisis
Sistema
Contenido del registro Si hay ms de un registro de ese tipo, es posible seleccionar

el tipo de contenido del registro que se desea ver.
Usar un filtro guardado Especifica qu filtro se desea utilizar para crear la vista del
registro.
Es posible utilizar el filtro predeterminado o un filtro

personalizado al que usted ha dado un nombre y que ha
guardado para ver informacin de registro.
Intervalo de tiempo Especifica el intervalo de tiempo de los eventos que usted

desea ver en el registro.
Seleccione alguna de las opciones siguientes:
ltimas 24 horas
Semana pasada
ltimo mes
Mes actual
ltimos tres meses
Ao pasado
Definir fechas especficas
Configuracin avanzada Cada registro tiene algunas opciones de configuracin

avanzada que le son especficas. Haga clic en Configuracin
avanzada y Configuracin bsica para alternar entre ambas
configuraciones.

La configuracin avanzada proporciona control adicional sobre los datos que
desea ver. Son especficos para el tipo y el contenido del registro.
Si tiene equipos en su red que estn ejecutando versiones anteriores de Symantec
AntiVirus, cuando se utilicen los filtros de registro, la terminologa siguiente se
aplicar:
Los grupos de servidores de una versin anterior se categorizan como dominios
Los grupos de clientes de una versin anterior se categorizan como grupos
Los servidores principales de una versin anterior se categorizan como
servidores
Nota: No es posible filtrar los datos de una versin anterior de Symantec Client
Firewall para conocer las firmas de prevencin de intrusiones. Para ver las
versiones de firmas que se ejecutan en un equipo, es posible ir al registro Estado
del equipo. Seleccione un equipo que tenga Symantec Client Firewall instalado y
a continuacin haga clic en Detalles. Esta informacin est en el campo Versin
de IDS.

informacin para ese tipo de registro en la consola. Ms informacin muestra la
ayuda contextual.

Desde el registro Estado del equipo, es posible ejecutar varios comandos en clientes
seleccionados.
Es posible adems hacer clic con el botn secundario en un grupo directamente
de la pgina Cliente de la consola para ejecutar comandos. El orden en el cual se
procesan los comandos y las acciones en el cliente vara de un comando a otro.
Sin importar dnde se inicia el comando, los comandos y las acciones se procesan
de la misma manera.
Para obtener informacin sobre las opciones que se pueden configurar al ejecutar
comandos, en la ficha Registros de la consola, haga clic en Ms informacin. Al
hacer clic en Ms informacin, se muestra la ayuda contextual.
Desde la ficha Estado del comando, es posible ver el estado de los comandos que
se han ejecutado desde la consola y sus detalles. Es posible adems cancelar un
anlisis especfico desde esta ficha si el anlisis est en curso.
Es posible cancelar todos los anlisis en curso y en cola para los clientes
seleccionados desde el registro Estado del equipo. Si confirma el comando, la tabla
se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado
del comando.
Nota: Si ejecuta el comando de anlisis y selecciona un anlisis personalizado, el

anlisis utiliza la configuracin del anlisis de comando que usted configur en
la pgina Anlisis definido por el administrador. El comando utiliza la
configuracin que est en la poltica antivirus y contra software espa que se aplica
a los clientes seleccionados.
Si ejecuta un comando Reiniciar equipo desde un registro, el comando se enva
inmediatamente. Si hay usuarios conectados al cliente, se les advierte sobre el
reinicio, de acuerdo con las opciones de reinicio que el administrador configur
para ese cliente. Es posible configurar las opciones de reinicio de clientes en la
ficha Configuracin general del cuadro de dilogo Configuracin, de la pgina
Clientes.
Los registros siguientes permiten que se agreguen excepciones a una poltica de

excepciones centralizada:
Registro de control de aplicaciones
Registro de Proteccin proactiva contra amenazas
Registro de riesgos
Ver "Crear excepciones centralizadas de eventos de registro" en la pgina 654.
Para agregar cualquier tipo de excepcin desde un registro, debe haber creado
una poltica de excepciones centralizada.
Ver "Configurar una poltica de excepciones centralizada" en la pgina 646.
Desde el registro de riesgos, es posible adems eliminar los archivos de Cuarentena.
Si Symantec Endpoint Protection detecta riesgos en un archivo comprimido, el
archivo comprimido se pone en cuarentena completamente. Sin embargo, el
registro Riesgo contiene una entrada separada para cada archivo del archivo
comprimido. No es posible utilizar el comando Eliminar de Cuarentena desde
registro Riesgo para eliminar de Cuarentena solamente los archivos infectados.
Para eliminar correctamente el riesgo o los riesgos, es necesario seleccionar todos
los archivos del archivo comprimido antes de utilizar el comando Eliminar de
Cuarentena.
Nota: Para seleccionar los archivos del archivo comprimido, debe visualizarlos
todos en la vista de registro. Es posible utilizar la opcin Lmite en la configuracin
avanzada del filtro del registro Riesgo para aumentar el nmero de entradas en
la vista.
Para eliminar archivos de Cuarentena desde el registro Riesgo

1 Haga clic en Supervisin.
2 En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro
Riesgo, a continuacin haga clic en Ver registro.
3 Seleccione una entrada del registro que tenga un archivo que se haya puesto
en cuarentena.
4 Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena.
5 Haga clic en Iniciar.
6 En el cuadro de dilogo que aparece, haga clic en Eliminar.
7 En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
Para eliminar un archivo comprimido de Cuarentena desde el registro Riesgo
2 En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro
Riesgo y a continuacin haga clic en Ver registro.
3 Seleccione todas las entradas de los archivos del archivo comprimido.
Todas las entradas del archivo comprimido deben estar en la vista del registro.
Es posible utilizar la opcin Lmite de Configuracin avanzada para aumentar
el nmero de entradas en la vista.
4 Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena.
6 En el cuadro de dilogo que aparece, haga clic en Eliminar.
7 En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
Para ejecutar un comando desde el registro Estado del equipo
2 En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado
del equipo.
4 Seleccione un comando del cuadro de lista Accin.

Si hay opciones de configuracin para el comando que usted seleccion,
aparecer una nueva pgina donde es posible configurar las opciones
apropiadas.
6 Cuando haya finalizado la configuracin, haga clic en S.
7 En el cuadro de mensaje de confirmacin del comando que aparece, haga clic
en Aceptar.
Si el comando no se pone en cola correctamente, es posible que se deba repetir
este procedimiento. Se puede verificar si el servidor no funciona. Si la consola
ha perdido conectividad con el servidor, es posible finalizar la sesin en la
consola y a continuacin volver a iniciarla para ver si ayuda.
Para ver los detalles del estado del comando
2 En la ficha Estado del comando, seleccione un comando de la lista y a
continuacin haga clic en Detalles.
Para cancelar un anlisis especfico que est en curso
2 En la ficha Estado del comando, haga clic en el icono Cancelar anlisis de la
columna Comando del comando de anlisis que desee cancelar.
3 Cuando aparece una confirmacin de que el comando se puso en cola
correctamente, haga clic en Aceptar.
Para cancelar todos los anlisis en curso y puestos en cola
2 En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado
del equipo.
4 Seleccione uno o ms equipos de la lista y a continuacin seleccione Cancelar
todos los anlisis de la lista de comandos.
6 Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S para
cancelar todos los anlisis en curso y puestos en cola de los equipos
seleccionados.
7 Cuando aparece una confirmacin de que el comando se puso en cola
correctamente, haga clic en Aceptar.
Acerca de la reduccin del volumen de eventos enviados a los registros
Acerca de la reduccin del volumen de eventos

enviados a los registros
Es posible reducir el nmero de eventos que se enva a los registros de antivirus
y contra software espa al configurar parmetros de administracin de registros.
Estas opciones se configuran por cada poltica en su poltica antivirus y contra
software espa.
Ver "Configurar parmetros de gestin de registros en una poltica antivirus y
contra software espa" en la pgina 472.

Existen varias opciones para exportar los datos de sus registros. Es posible exportar
los datos de algunos registros a un archivo de texto delimitado por comas. Es
posible exportar los datos de otros registros a un archivo de texto delimitado por
tabulaciones, que se llama archivo de volcado, o a un servidor Syslog. La
exportacin de los datos de registro es til para acumular todos los registros de
la red entera en una ubicacin centralizada. La exportacin de los datos de registro
tambin es til cuando se utiliza un programa de otro fabricante, tal como una
hoja de clculo, para organizar o manipular los datos. Adems, es recomendable
exportar los datos en sus registros antes de eliminar los registros.
Cuando se exportan los datos de los registros a un servidor Syslog, es necesario
configurar el servidor Syslog para que reciba esos registros. Para enviar los
registros a programas de otros fabricantes, es necesario tener el programa de otro
fabricante instalado y en la red. Por ejemplo, es posible utilizar Microsoft Excel
para abrir los archivos de registro exportados. Cada campo aparece en una columna
separada, y en cada lnea, aparece un registro separado.
Nota: No es posible restaurar la base de datos a partir de los datos de registro

exportados.
Exportar datos de registro a un archivo de texto

Al exportar datos de los registros a un archivo de texto, de manera predeterminada,
los archivos se colocan en la carpeta unidad:\Program Files\Symantec\Symantec
Endpoint Protection Manager\data\dump. Las entradas se colocan en un archivo
.tmp hasta que los registros se transfieran al archivo de texto.
Si Symantec Network Access Control no est instalado, algunos de estos registros
no existen.
La Tabla 12-4 muestra la correspondencia de los tipos de datos de registro con los
nombres de los archivos de datos de registro exportados.
Tabla 12-4 Nombres de archivo de texto de registro para Symantec Endpoint

Protection
Datos de registro Nombre de archivo de texto
Administracin de servidor scm_admin.log
Control de aplicaciones de servidor agt_behavior.log
Cliente de servidor scm_agent_act.log
Poltica de servidor scm_policy.log
Sistema de servidor scm_system.log
Paquete de clientes agt_packet.log
Amenaza proactiva del cliente agt_proactive.log
Riesgos del cliente agt_risk.log
Anlisis de equipos cliente agt_scan.log
Seguridad del cliente agt_security.log
Sistema del cliente agt_system.log
Trfico del cliente agt_traffic.log
Nota: Los nombres del registro en la Tabla 12-4 no se corresponden directamente

con los nombres de registro que se utilizan en la ficha Registros de la pgina
Supervisin.
La Tabla 12-5 muestra la correspondencia de los tipos de datos de registro con los
nombres de los archivos de datos de registro exportados para los registros de
Enforcer.
Tabla 12-5 Nombres de archivo de texto de registro adicionales para Symantec

Network Access Control
Actividades de Enforcer del servidor scm_enforcer_act.log
Actividades de Enforcer del cliente enf_client_act.log

Sistema de Enforcer enf_system.log
Trfico de Enforcer enf_traffic.log
Nota: Cuando se exporta a un archivo de texto, el nmero de registros exportados

puede ser distinto del nmero que se establece en el cuadro de dilogo Registro
externo. Esta situacin se presenta cuando se reinicia el servidor de administracin.
Despus de reiniciar el servidor de administracin, la cantidad de entradas de
registro se restablece a cero, pero ya puede haber entradas en los archivos de
registro temporales. En esta situacin, el primer archivo de *.log de cada tipo que
se genera despus del reinicio contiene ms entradas que el valor especificado.
Cualquier archivo de registro que se exporte posteriormente contiene el nmero
correcto de entradas.
Para obtener ms informacin sobre las opciones que pueden configurarse con
este procedimiento, haga clic en Ayuda, en la consola para ver la ficha General.
Para exportar datos de registro a un archivo de volcado
2 Haga clic en Servidores.
3 Haga clic en el sitio local o en el sitio remoto para el que desee configurar el
registro externo.
4 Haga clic en Configurar el registro externo.
5 En la ficha General, seleccione la frecuencia con la que se enviarn los datos
de registro al archivo.
6 Seleccione el Servidor de registro maestro que manejar el registro externo.
Si utiliza Microsoft SQL con ms de un servidor de administracin conectado
a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 Marque Exportar registros a un archivo de volcado.
8 Si es necesario, marque Limitar registros de archivos de volcado y escriba
el nmero de entradas que se quieran enviar al mismo tiempo al archivo de
texto.
9 En la ficha Filtro de registros, seleccione todos los registros que se quieran

enviar a los archivos de texto.
Si el tipo de registro seleccionado permite definir el nivel de gravedad, es
necesario marcar los niveles de gravedad que se desean guardar. Se guardan
todos los niveles que se seleccionan.
Exportar datos a un servidor Syslog

Es posible configurar Symantec Endpoint Protection para enviar los datos de
registro de algunos registros a un servidor Syslog.
Nota: Recuerde configurar su servidor Syslog para recibir los datos de registro.
Para obtener ms informacin sobre las opciones que es posible configurar en

este procedimiento, es posible hacer clic en Ayuda en la consola para la ficha
General.
Para exportar datos de registro a un servidor Syslog
3 Haga clic en el sitio local o el sitio remoto desde el cual desee exportar datos
de registro.
4 Haga clic en Configurar el registro externo.
5 En la ficha General, seleccione la frecuencia con la que se enviarn los datos
de registro al archivo.
6 Seleccione el servidor que manejar el registro externo.
Si utiliza Microsoft SQL y tiene varios servidores de administracin conectados
a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 Marque Habilitar la transmisin de registros a un servidor Syslog.
8 Configure los campos siguientes segn corresponda:
Servidor Syslog:
Especifique la direccin IP o el nombre de dominio del servidor Syslog
que recibir los datos de registro.
Puerto UDP de destino:
Especifique el puerto de destino que el servidor Syslog utiliza para escuchar
mensajes de Syslog o utilice la configuracin predeterminada.
Recurso de registro:
Especifique el nmero del recurso de registro que desee utilizar en el
archivo de configuracin Syslog o utilice la configuracin predeterminada.
Los valores vlidos van de 3 a 23.
9 En la ficha Filtro de registros, seleccione todos los registros que se quieran

enviar a los archivos de texto. Si un tipo de registro seleccionado permite
seleccionar el nivel de gravedad, marque los niveles de gravedad que desee
guardar.
Exportar datos de registro a un archivo de texto delimitado por comas

Es posible exportar los datos de los registros a un archivo de texto delimitado por
comas.
Para exportar registros a un archivo de texto delimitado por comas
1 En la consola, haga clic en Supervisin.
2 En la ficha Registros, seleccione el registro que desea exportar.
3 Modifique cualquier Configuracin bsica o Configuracin avanzada.
6 En la nueva ventana que se muestra, haga clic en el men Archivo y a
continuacin haga clic en Guardar como.
7 Si se le pregunta si desea continuar, haga clic en S.
8 En la ventana Guardar pginas Web que aparece, utilice el cuadro de lista
Guardar en para desplazarse hasta el directorio donde desea guardar el
archivo.
9 En el cuadro de texto Nombre de archivo, escriba el nombre de archivo que
se utilizar
10 Para guardar los datos sin procesar, en el cuadro de lista Guardar como tipo,
modifique el tipo a Archivo de texto (*.txt).
11 Haga clic en Guardar para exportar los datos al archivo.
Usar notificaciones
Usar notificaciones
Las notificaciones son mensajes sobre los eventos de seguridad que han ocurrido
en su red. Es posible configurar muchos tipos distintos de notificaciones. Algunas
notificaciones se dirigen a los usuarios y algunas se dirigen a los administradores.
Es posible configurar las siguientes acciones de notificacin para alertar a
administradores o a otros individuos designados cuando se cumplen determinadas
condiciones relacionadas con la seguridad:
Enviar un correo electrnico.
Ejecutar un archivo por lotes u otro archivo ejecutable.
Registrar una entrada en el registro de notificaciones de la base de datos.
Ver y filtrar informacin de notificaciones a administradores

Es posible ver la informacin del registro de notificaciones de la misma manera
que se ve la informacin de otros registros. Es posible filtrar el registro de
notificaciones para ver la informacin sobre un solo tipo de evento de notificacin
por vez. Es posible filtrar su vista de notificaciones y guardar los filtros para uso
futuro.
Es posible filtrar notificaciones en el registro de acuerdo con los criterios
siguientes:
Intervalo de tiempo
Estado de reconocimiento
Tipo
Creador
Nombre
Ver todas las notificaciones
2 En la ficha Notificaciones, haga clic en Ver notificaciones.
Aparece la lista de todos los tipos de notificaciones.
Para filtrar la vista de notificaciones
2 En la ficha Notificaciones, en Qu configuracin de filtros desea utilizar,
haga clic en Configuracin avanzada.
Usar notificaciones
3 Configure cualquier opcin por la cual desea filtrar.

Es posible filtrar por cualquier combinacin de intervalo de tiempo, estado
de reconocimiento, tipo de notificacin, creador o nombre especfico de
notificacin.
4 Haga clic en Ver notificaciones.
Aparece una lista del tipo de notificaciones que seleccion.
Pautas del umbral para las notificaciones del administrador

Algunos tipos de notificacin contienen valores predeterminados cuando se los
configura. Estas pautas proporcionan puntos de partida razonables segn el
tamao de su entorno, pero es posible que deban ser ajustados. Tal vez sea
necesario utilizar prueba y error para encontrar el equilibrio correcto entre
demasiadas y demasiadas pocas notificaciones para su entorno. Configure el
umbral en un lmite inicial y espere algunos das. Vea si recibe notificaciones con
muy poca frecuencia o si las notificaciones lo desbordan o desbordan su red.
Para la deteccin de virus, riesgos de seguridad y eventos de firewall, suponga
que tiene menos de 100 equipos en una red. Un punto de partida razonable en
esta red es configurar una notificacin cuando dos eventos de riesgo se detectan
en el plazo de un minuto. Si tiene 100 a 1000 equipos, detectar cinco eventos de
riesgo en el plazo de un minuto puede ser un punto de partida ms til.
Es posible que tambin desee recibir alertas cuando los clientes tienen definiciones
desactualizadas. Es recomendable recibir notificaciones de cada cliente que tiene
un archivo de definiciones desactualizadas durante ms de dos das.
Crear notificaciones de administrador

Es posible crear y configurar las notificaciones para que se activen cuando ocurren
ciertos eventos relacionados con la seguridad.
Es posible configurar el software para que efecte las siguientes acciones de
notificacin:
Registrar la notificacin en la base de datos.
Enviar un correo electrnico a determinados individuos.
Nota: Para enviar notificaciones por correo electrnico, es necesario configurar

tambin un servidor de correo. Es posible configurar un servidor de correo
usando la ficha Servidor de correo en la pgina de servidores de administracin.
Ejecutar un archivo por lotes u otra clase de archivo ejecutable.

Usar notificaciones
El perodo de reduccin predeterminado para las notificaciones es 60 minutos. Si

se activa una notificacin y la condicin de la activacin contina existiendo, la
accin de notificacin que haya configurado no se vuelve a realizar durante 60
minutos. Por ejemplo, suponga que define una notificacin para que se le enve
un correo electrnico cuando un virus infecta cinco equipos en el plazo de una
hora. Si un virus contina infectando sus equipos a esta velocidad o ms rpido,
Symantec Endpoint Protection le enva una notificacin por correo electrnico
cada hora. Los correos electrnicos seguirn envindose hasta que la velocidad
de infeccin disminuya a menos de cinco equipos por hora.
Es posible configurar el software para que se enve una notificacin cuando ocurren
los siguientes tipos de eventos:
Error de autenticacin
Los errores de inicio de sesin activan este tipo de notificacin. Se define el
nmero de errores de inicio de sesin y el plazo que se desea para activar una
notificacin. Symantec Endpoint Protection le notifica si el nmero de errores
de inicio de sesin que ocurran durante el plazo excede su configuracin.
Informa el nmero de errores de inicio de sesin que ocurrieron.
Modificacin en la lista de clientes
Las modificaciones en los clientes activan este tipo de notificacin. Los tipos
de modificaciones que pueden activar esta notificacin son: la adicin, el
movimiento, el cambio de nombre o la eliminacin de un cliente. Otras
posibilidades son que el estado de detector no administrado, el modo del cliente
o el hardware de un cliente se hayan modificado.
Alerta de seguridad de clientes
Es posible elegir entre eventos de seguridad de cumplimiento, proteccin contra
amenazas de red, trfico, paquete, control de dispositivos y control de
aplicaciones. Es posible adems elegir el tipo y el alcance del ataque que activar
esta notificacin y el perodo. Los tipos incluyen las instancias en cualquier
equipo, las instancias en un solo equipo o las instancias en equipos distintos.
Algunos de estos tipos necesitan que usted adems habilite el inicio de sesin
en la poltica asociada.
Enforcer inactivo
Un dispositivo Enforcer desconectado activa este tipo de notificacin. La
notificacin le indica el nombre de cada Enforcer, su grupo y la hora de su
ltimo estado.
Se detect una aplicacin comercial o forzada
La deteccin de una aplicacin en la lista de aplicaciones comerciales o en la
lista del administrador de aplicaciones que se deben observar activa esta
notificacin.
Nueva aplicacin incorporada
Usar notificaciones
Las nuevas aplicaciones incorporadas activan este tipo de notificacin.

Nuevo riesgo detectado
Los nuevos riesgos detectados activan este tipo de notificacin.
Nuevo paquete de software
Las descargas de nuevos paquetes de software activan este tipo de notificacin.
Ataque de riesgo
Se define el nmero y el tipo de instancias de nuevos riesgos y el perodo que
debe activar este tipo de notificacin. Los tipos incluyen las instancias en
cualquier equipo, las instancias en un solo equipo o las instancias en equipos
distintos.
Estado del servidor
Los estados de servidor desconectado, malo o muy grave activan esta
notificacin. La notificacin enumera el nombre del servidor, el estado de
salud, el motivo y el ltimo estado.
Evento de riesgo simple
La deteccin de un evento de riesgo simple activa esta notificacin. La
notificacin enumera varios detalles sobre el riesgo, que incluyen el usuario
y el equipo implicados, y las acciones que Symantec Endpoint Protection
efectu.
Evento del sistema
Los eventos del sistema, tales como actividades de Enforcer y de servidor, error
de replicacin, problemas de copia de respaldo y de restauracin, y errores de
sistema, activan esta notificacin. La notificacin enumera la cantidad de
eventos detectados.
Equipo no administrado
Los equipos no administrados activan esta notificacin. La notificacin enumera
detalles, tales como la direccin IP, la direccin MAC y el sistema operativo,
para cada equipo.
Definiciones de virus desactualizadas
Se define la desactualizacin al configurar la notificacin. Se definen el nmero
de equipos y el nmero de das de antigedad de las definiciones del equipo
necesarios para activar esta notificacin.
Con la configuracin de Condiciones de notificacin, es posible configurar una
alerta de seguridad del cliente por instancias en cualquier equipo, en un solo
equipo o en equipos distintos. Es posible adems configurar estas opciones para
un ataque de riesgo.
Ver "Configurar notificaciones de proteccin contra amenazas de red"
en la pgina 576.
Usar notificaciones
Para obtener una descripcin de cada opcin configurable, es posible hacer clic
en Ms informacin, en la consola. Ms informacin muestra la ayuda contextual.
Nota: Es posible filtrar la vista de las condiciones de notificacin que se han creado
usando el cuadro de lista Mostrar tipos de notificacin. Para estar seguro de que
se visualizan las nuevas notificaciones creadas, asegrese de que la opcin Todos
est seleccionada en este cuadro de lista.
Para crear una notificacin

2 En la ficha Notificaciones, haga clic en Condiciones de notificacin.
3 Haga clic en Agregar y a continuacin seleccione el tipo de notificacin que
desee agregar de la lista que aparece.
4 En la nueva ventana que aparece, en el cuadro de texto Nombre de la
notificacin, escriba un nombre descriptivo.
5 Especifique las opciones de filtro que desee. Por ejemplo, para algunos tipos
de notificaciones, es posible limitar la notificacin a dominios, grupos,
servidores, equipos, riesgos o aplicaciones especficos.
6 Especifique la configuracin de la notificacin y las acciones que desea que
ocurran cuando se activa esta notificacin. Puede hacer clic en Ayuda para
ver descripciones de las opciones posibles para todos los tipos de
notificaciones.
Si selecciona Enviar correo electrnico a como la accin que se efectuar, la
notificacin por correo electrnico depende de la opcin del nombre de usuario
del servidor de correo. El nombre de usuario que se configura para el servidor
de correo en el cuadro de dilogo Propiedades del servidor debe tener el
siguiente formato usuario@dominio. Si este campo se deja en blanco, las
notificaciones se envan desde SYSTEM@nombre del equipo. Si el servidor
de elaboracin de informes tiene un nombre que utiliza un conjunto de
caracteres de doble byte (DBCS, Double Byte Character Set), es necesario
especificar el campo de nombre de usuario con un nombre de cuenta de correo
electrnico que tenga el formato usuario@dominio.
Si selecciona Ejecutar el archivo por lotes o ejecutable como la accin que
debe efectuarse, escriba el nombre del archivo. Los nombres de ruta no estn
permitidos. El archivo por lotes o el archivo ejecutable que se ejecutar debe
estar ubicado en el siguiente directorio:
unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\bin

Usar notificaciones
Es recomendable crear una notificacin de proteccin contra amenazas de red

que se activa cuando un evento de trfico coincide con los criterios configurados
para una norma de firewall.
Para crear este tipo de notificacin, es necesario realizar las siguientes tareas:
En la lista Normas de polticas de firewall, marque la opcin Enviar alerta de
correo electrnico en la columna Registro de las normas de las cuales desea
ser notificado.
En la ficha Notificaciones, configure una alerta de seguridad del cliente para
eventos de proteccin contra amenazas de red, paquete o trfico.
Para crear una notificacin de proteccin contra amenazas de red
2 En la ficha Notificaciones, haga clic en Condiciones de notificacin.
3 Haga clic en Agregar y seleccione Alerta de seguridad de cliente.
4 Escriba un nombre para esta notificacin.
5 Si desea limitar esta notificacin a dominios, grupos, servidores o equipos
especficos, especifique las opciones de filtro que desee.
6 Seleccione uno de los siguientes tipos de ataque:
Instancias en equipos diferentes
Instancias en cualquier equipo
Instancias en un solo equipo
7 Para especificar el tipo de actividad de proteccin contra amenazas de red,

active una de las siguientes casillas de verificacin:
Para los ataques y los eventos que el firewall detecta o que las firmas de
prevencin de intrusiones detectan, marque Eventos de proteccin contra
amenazas de red.
Para las normas de firewall que se activan y se registran en el registro de
paquetes, marque Eventos de paquetes.
Para las normas de firewall que se activan y se registran en el registro de
trfico, marque Eventos de trfico.
8 Si lo desea, modifique las condiciones predeterminadas de notificacin para

configurar el nmero de instancias dentro del nmero de minutos en que
desea que se active esta notificacin.
Usar notificaciones
9 Marque Enviar correo electrnico a y a continuacin escriba las direcciones

de correo electrnico de las personas a las que desea notificar cuando se
cumplen estos criterios.
La opcin Enviar alerta de correo electrnico en la columna Registro de la
lista de normas de polticas de firewall estar ahora activada. Cuando se activa
esta notificacin, se enva el correo electrnico.
en la pgina 578.
Acerca de la edicin de notificaciones existentes

Si edita la configuracin de una notificacin existente, las entradas anteriores
que se generaron muestran mensajes en el registro de notificaciones basados en
su nueva configuracin. Si desea conservar sus ltimos mensajes de notificacin
en la vista del registro de notificaciones, no edite la configuracin de una
notificacin existente. En su lugar, cree una nueva notificacin con un nuevo
nombre. A continuacin, deshabilite la notificacin existente dejando sin marcar
las acciones que usted configur bajo Qu debe ocurrir cuando se activa esta
notificacin.
Captulo 13
Usar Supervisin e Informes
para asegurar la red
Acerca del uso de Supervisin e Informes para asegurar la red
Acerca de eliminar virus y riesgos de seguridad
Encontrar los clientes desconectados
Acerca del uso de Supervisin e Informes para

asegurar la red
Los informes muestran una instantnea esttica de la informacin sobre sus
clientes y servidores, pero se pueden programar para ejecutarse en intervalos a
fin de presentar informacin actualizada. Los registros a los que se accede desde
la pgina Supervisin son dinmicos y muestran informacin ms especfica y
detallada, tal como nombres de equipos y usuarios. Es posible que sea necesario
este nivel de detalle para localizar algunos problemas. Puede ejecutar comandos
en todos los clientes en un grupo desde algunos registros a fin de reparar
inmediatamente problemas. Puede supervisar el estado de los comandos desde la
ficha Estado del comando.
Las notificaciones que se pueden configurar desde la pgina Supervisin pueden
alertarlo sobre problemas. Es posible utilizar una notificacin para activar la
reparacin de un problema haciendo que se ejecute un archivo por lotes u otro
ejecutable. Puede configurar una notificacin que se enve cuando ciertos eventos
ocurren o alcanzan el umbral de incidencias.
Tambin puede conseguir informacin de inters de los registros y de los informes
de muchas maneras diferentes. Por ejemplo, suponga que desea saber qu equipos
252 Usar Supervisin e Informes para asegurar la red
estn infectados en su red. La pgina principal muestra un conteo de los equipos

recientemente infectados y an infectados. Este conteo le dice inmediatamente
cuando inicia sesin en la consola si se encontraron problemas de seguridad en
su red.
Es posible encontrar ms detalles sobre estos equipos de muchas maneras
diferentes. Por ejemplo, es posible hacer lo siguiente:
Programar el informe rpido de Equipos infectados y en riesgo para ejecutarse
cada maana y configurarlo para que se enve por correo electrnico a usted
mismo o a otra persona.
Construir y guardar un filtro de informe de riesgos que incluya los detalles
especficos que usted desee sobre los equipos infectados. Ejecute un informe
rpido usando ese filtro siempre que vea desde la pgina principal que ha
ocurrido un problema de seguridad. O es posible crear un informe programado
para ejecutarse que utilice ese filtro guardado y enviarlo por correo electrnico
a usted mismo o a otra persona.
Ir directamente al registro de riesgos y ver los eventos de infeccin. Es posible
utilizar el filtro predeterminado o un filtro guardado solamente con los detalles
que desee.
Personalizar la pgina principal para modificar los informes predeterminados
en la seccin Informes favoritos, si lo desea. Es posible utilizar cualquier
informe rpido predefinido o un informe que utilice un filtro personalizado.
Estos informes se ejecutan siempre que usted los ve, de modo que la
informacin que contienen es actual.
No importa cul sea su enfoque preferido, es posible crear algunos filtros de
registro e informes personalizados. Es posible utilizar los filtros personalizados
regularmente para supervisar o eliminar problemas de seguridad en su red. Para
personalizar los filtros, se debe primero identificar la informacin que desea ver
en el informe o registrar. Por ejemplo, es posible ejecutar un informe para
visualizar los riesgos de seguridad principales que infectaron su red durante un
plazo especfico. Suponga que encuentra que el riesgo principal en su red la ltima
semana era RPC.Attack. El informe identifica cuntos equipos fueron infectados.
Es posible entonces utilizar el registro de riesgos para visualizar los nombres de
los equipos que fueron infectados por RPC.Attack. El registro de riesgos adems
muestra los nombres de los usuarios que haban iniciado sesin en esos equipos
a la hora de la infeccin.
Usar Supervisin e Informes para asegurar la red 253
Acerca de la informacin en los informes y registros de Control de

aplicaciones y Control de dispositivos
Los registros e informes de Control de aplicaciones y Control de dispositivos
contienen informacin sobre los siguientes tipos de eventos:
El acceso a una entidad del equipo fue bloqueado.
Un dispositivo fue prohibido en la red.
Los archivos, las claves de registro y los procesos son ejemplos de entidades del
equipo. La informacin que est disponible incluye elementos tales como la hora
y el tipo de evento; las medidas tomadas; el host y la norma implicados. Adems
contienen el proceso de llamada implicado. Estos registros e informes incluyen
informacin sobre Polticas de control de aplicaciones y dispositivos y Proteccin
contra intervenciones.
La Tabla 13-1 resume los distintos informes y registros de Control de aplicaciones
y Control de dispositivos. Describe algunos usos tpicos para la clase de informacin
que es posible extraer de ellos.
Tabla 13-1 Resumen de registros e informes rpidos de Control de aplicaciones

y Control de dispositivos
Informe o registro Usos tpicos
Grupos principales con registros Utilice este informe para comprobar qu grupos son
de control de aplicaciones con los ms riesgosos de su red.
mayor cantidad de alertas
Principales destinos bloqueados Utilice este informe para comprobar qu archivos,

procesos y otras entidades se utilizan ms
frecuentemente en ataques contra su red.
Principales dispositivos Utilice este informe para descubrir qu dispositivos

bloqueados son los ms problemticos desde el punto de vista de
poner en peligro la seguridad de su red.
Registro de control de aplicaciones Utilice este registro para ver informacin sobre las
entidades siguientes:
Las acciones tomadas en respuesta a eventos.

Los procesos que estuvieron implicados en los
eventos.
Los nombres de las normas aplicadas desde la
poltica cuando el acceso de una aplicacin se
bloquea.
Registro de control de dispositivos Utilice este registro cuando es necesario ver los detalles
de Control de dispositivos, tales como la hora exacta
en que Control de dispositivos habilit o deshabilit
los dispositivos. Este registro adems visualiza
informacin tal como el nombre del equipo, su
ubicacin, el usuario que haba iniciado sesin y el
sistema operativo implicado.
Acerca de la informacin del informe y el registro de auditora

El registro de auditora contiene informacin sobre actividades de modificacin
de polticas, tales como los tiempos y los tipos de eventos, las modificaciones de
polticas, los dominios, los sitios, los administradores y las descripciones.
El informe rpido de auditora predeterminado se llama Polticas utilizadas. Vea
el informe Polticas utilizadas para supervisar las polticas en uso en su red, por
grupo. Es posible ver los registros de auditora cuando se desea ver qu
administrador modific una poltica determinada y cundo.
Acerca de la informacin en los registros e informes de cumplimiento

Los registros de cumplimiento contienen informacin sobre el servidor, los clientes
y el trfico de Enforcer, y sobre el cumplimiento de los hosts. La informacin
disponible incluye elementos tales como la hora y el tipo de evento, el nombre del
mdulo de Enforcer implicado, el sitio y el servidor.
Nota: Si Symantec Network Access Control no est instalado, los registros y los
informes de cumplimiento no contienen datos.
La Tabla 13-2 resume los diversos informes y registros de cumplimiento. Describe

algunos usos tpicos para la clase de informacin que es posible extraer de ellos.
Tabla 13-2 Resumen de registros e informes rpidos de cumplimiento
Estado del cumplimiento de red Utilice este informe para ver el cumplimiento general,
para saber si los clientes han fallado la comprobacin
de integridad del host o la autenticacin, o han sido
desconectados.
Estado de cumplimiento Utilice este informe para ver el nmero total de clientes
que hayan aprobado o fallado una comprobacin de
integridad del host en su red.
Resumen de clientes por error de Utilice este informe para ver los motivos generales
cumplimiento para los eventos de errores de control, tales como
antivirus, firewall o VPN.
Detalles del error de cumplimiento Utilice este informe para ver un mayor nivel de detalle
sobre los errores de cumplimiento. Muestra los criterios
y la norma que estuvo implicada en cada error. Incluye
el porcentaje de los clientes que fueron implementados
y el porcentaje de los que fallaron.
Por ejemplo, el Resumen de errores de cumplimiento
puede mostrar diez errores de clientes debido al
software antivirus. En cambio, Detalles del error de
cumplimiento muestra la siguiente informacin:
Cuatro clientes no tienen ningn software antivirus

actualmente en funcionamiento.
Dos clientes no tienen ningn software antivirus
instalado.
Cuatro clientes tienen archivos de definiciones de
antivirus desactualizados.
Clientes con errores de Utilice este informe para ver si algunas ubicaciones
cumplimiento por ubicacin tienen ms problemas de cumplimiento que otras.
Registro del servidor de Enforcer Utilice este registro para ver informacin sobre eventos
de cumplimiento de Enforcer, el nombre del mdulo
de Enforcer implicado, su sitio y su servidor.
Entre otras cosas, este registro contiene la siguiente
informacin:
Qu mdulos de Enforcer no pudieron registrarse

con sus servidores
Qu mdulos de Enforcer recibieron correctamente
descargas de polticas y el archivo de comunicacin
sylink.xml
Si el servidor de los mdulos de Enforcer ha recibido
correctamente sus registros
Registro de clientes de Enforcer Utilice este registro para ver qu clientes tienen
comprobaciones de integridad del host aprobadas o
falladas, si fueron autenticados o rechazados, o si
fueron desconectados de la red.
Registro de trfico de Enforcer Utilice este registro para ver informacin sobre el
trfico que pasa por un mdulo de Enforcer.
La informacin disponible incluye:
La direccin del trfico

La hora en que el trfico comenz y finaliz
El protocolo utilizado
La direccin IP de origen y la direccin IP de destino
utilizadas
El puerto utilizado
El tamao del paquete (en bytes)
Los intentos de conexin que fueron permitidos o
bloqueados
Este registro se aplica solamente a los mdulos

Gateway Enforcer.
Registro de cumplimiento del host Utilice este registro para ver informacin especfica
sobre eventos de cumplimiento determinados. Tales
eventos incluyen el motivo, el usuario implicado y el
nombre del sistema operativo implicado.
Acerca de la informacin de los informes y el registro de estado del

equipo
El registro de estado del equipo contiene informacin sobre el estado operacional
de los equipos de la red en tiempo real. La informacin disponible incluye el nombre
del equipo y la direccin IP, la hora de la ltima verificacin, la fecha de las
definiciones, el estado de infeccin, el estado de Auto-Protect, el servidor, el grupo,
el dominio y el nombre de usuario. Los filtros para los informes de estado del
equipo tienen opciones de configuracin estndar y opciones especficas de
cumplimiento.
La Tabla 13-3 resume los diversos informes y registros de estado del equipo.
Describe algunos usos tpicos para la clase de informacin que es posible extraer
de ellos.
Tabla 13-3 Resumen de registro e informes rpidos de estado del equipo
Distribucin de definiciones de Utilice este informe para asegurarse de que todos los
virus grupos, dominios o servidores en su red utilizan
versiones actualizadas de los archivos de definiciones
de virus.
Equipos no registrados en el Utilice este informe para ver qu equipos no se han

servidor registrado con un servidor y, por lo tanto, pueden
haberse perdido o faltan.
Versiones de producto de Utilice este informe para comprobar las versiones del
Symantec Endpoint Protection software del producto, las definiciones de virus, las
firmas IPS y el contenido de proteccin proactiva en
uso en su red. Con esta informacin es posible localizar
los equipos que necesitan una actualizacin.
Distribucin de la firma de Utilice este informe para asegurarse de que todos los
prevencin de intrusiones grupos de su red utilizan firmas actualizadas de
prevencin de intrusiones. Es posible adems ver qu
dominios o servidores estn desactualizados.
Inventario de clientes Utilice este informe para ver el nmero y el porcentaje

de equipos que entran en ciertas categoras de
hardware y software. La informacin disponible incluye
el sistema operativo del equipo, la memoria total, la
memoria libre, el espacio libre en disco total, el espacio
libre en disco y el tipo de procesador. Por ejemplo,
desde el informe de inventario de clientes, puede ver
que el 22% de sus equipos tienen menos de 1 GB de
espacio libre en el disco.
Distribucin del estado de Utilice este informe para ver qu grupos o subredes
cumplimiento tienen el porcentaje ms grande de equipos fuera de
cumplimiento. Sera aconsejable investigar si ciertos
grupos parecen tener muchos ms problemas de
cumplimiento que otros.
Estado de conexin del cliente Utilice este informe para ver qu grupos o subredes
tienen el porcentaje ms grande de clientes en lnea.
Sera aconsejable investigar por qu algunos grupos o
subredes experimentan actualmente ms problemas
que otros.
Clientes con la ltima poltica Utilice este informe para ver qu grupos o subredes
tienen el porcentaje ms grande de equipos que no
tienen la ltima poltica.
Cantidad de clientes por grupo Utilice este informe para ver el nmero total de clientes
y de usuarios, por grupo.
Resumen del estado de seguridad Utilice este informe para ver rpidamente el nmero
total de equipos que tengan los siguientes problemas:
Auto-Protect est deshabilitado

El motor antivirus se encuentra desactivado
Proteccin contra intervenciones se encuentra
desactivado
El equipo necesita ser reiniciado
El equipo fall una comprobacin de integridad del
host
La proteccin contra amenazas de red est
desactivada
Estos equipos pueden continuar en peligro a menos

que se intervenga.
Versiones de contenido de Utilice este informe para comprobar las versiones del
proteccin contenido de proteccin proactiva en uso en su red,
para localizar cualquier equipo que necesite una
actualizacin.
Migracin de clientes Utilice este informe para ver el estado de la migracin

de clientes por dominio, grupo y servidor. Es posible
identificar rpidamente los clientes donde la migracin
ha fallado o an no se ha iniciado.
Clientes Utilice este informe para localizar los clientes que no

conectados/desconectados a lo se conectan a la red con suficiente frecuencia. Este
largo del tiempo (instantneas) informe est disponible slo como un informe
programado.
Clientes con la ltima poltica a lo Utilice este informe para localizar los clientes que no
largo del tiempo (instantneas) reciben actualizaciones de polticas con suficiente
frecuencia. Este informe est disponible slo como un
informe programado.
Distribucin de software cliente Utilice este informe para localizar los clientes que no
(instantneas) tienen la ltima versin de software implementada.
Este informe est disponible slo como un informe
programado.
Clientes con errores de Utilice este informe para localizar los clientes que
cumplimiento a lo largo del tiempo frecuentemente fallan las comprobaciones de
(instantneas) integridad del host. Este informe est disponible slo
como un informe programado.
Distribucin de definiciones de Utilice este informe para ver las versiones de

virus (instantneas) definiciones que los clientes tienen. Este informe est
disponible slo como un informe programado.
Registro de estado del equipo Compruebe el registro de estado del equipo si necesita
ms detalles sobre alguna de las reas que los informes
cubren.
Acerca de la informacin en los registros e informes de la proteccin

contra amenazas de red
Los registros de la proteccin contra amenazas de red permiten realizar un
seguimiento de la actividad del equipo y de su interaccin con otros equipos y
redes. Registran informacin sobre el trfico que intenta ingresar en los equipos
o salir de ellos mediante sus conexiones de red.
Los registros de proteccin contra amenazas de red contienen detalles sobre
ataques en el firewall, tal como la siguiente informacin:
Ataque de negacin de servicio
Anlisis de puertos
Modificaciones a los archivos ejecutables
Los registros de proteccin contra amenazas de red recogen informacin sobre
la prevencin de intrusiones. Adems contienen informacin sobre las conexiones
que fueron hechas a travs del firewall (trfico), las claves del registro, los archivos
y las DLL a las que se accede. Contienen informacin sobre los paquetes de datos
que pasan a travs de los equipos. Los cambios operacionales que fueron realizados
a los equipos tambin se incluyen en estos registros. Esta informacin puede
incluir el momento en que se inician y se detienen los servicios o alguien configura
software. Entre los otros tipos de informacin que puede estar disponible hay
elementos tales como la hora y el tipo de evento, y las medidas tomadas. Puede
adems incluir la direccin, el nombre de host, la direccin IP y el protocolo que
fue utilizado para el trfico implicado. Si se aplica al evento, la informacin puede
adems incluir el nivel de gravedad.
La Tabla 13-4 resume los diversos informes y registros de la proteccin contra

amenazas de red. Describe algunos usos tpicos para la clase de informacin que
es posible extraer de ellos.
Tabla 13-4 Resumen de informes rpidos y registros de la proteccin contra

amenazas de red
Principales destinos atacados Utilice este informe para identificar qu grupos,

subredes, equipos o puertos se atacan ms
frecuentemente. Sera aconsejable tomar medidas
basadas en este informe. Por ejemplo, es posible que
encuentre que los clientes que se comunican con VPN
son atacados mucho ms frecuentemente. Puede ser
recomendable agrupar esos equipos de modo que se
pueda aplicar una poltica de seguridad ms rigurosa.
Principales fuentes de ataque Utilice este informe para identificar qu hosts atacan
su red ms frecuentemente.
Principales tipos de ataque Utilice este informe para identificar los tipos de ataque
que se dirigen a su red ms frecuentemente. Los tipos
de ataque que es posible supervisar incluyen anlisis
de puertos, ataques de negacin de servicio y
falsificacin de MAC.
Principales aplicaciones Utilice estos informes juntos para identificar las

bloqueadas aplicaciones que se utilizan ms frecuentemente para
atacar su red. Es posible adems ver si las aplicaciones
Aplicaciones bloqueadas a lo largo
utilizadas para los ataques se han modificado a lo largo
del tiempo
del tiempo.
Ataques a lo largo del tiempo Utilice este informe para identificar los grupos, las
direcciones IP, los sistemas operativos y los usuarios
que se atacan ms frecuentemente en su red. Utilcelo
adems para identificar el tipo ms frecuente de ataque
que ocurre.
Eventos de seguridad por Utilice este informe para ver un resumen de la

gravedad gravedad de los eventos de seguridad en su red.
Principales notificaciones de Estos informes muestran el nmero de ataques que

trfico infringieron las normas de firewall que usted configur
para notificarle sobre violaciones. Se configura la
Notificaciones de trfico a lo largo
informacin de estos datos seleccionando la opcin
del tiempo
Enviar alerta de correo electrnico en la columna
Registro de la lista de normas de polticas de firewall.
Utilice Notificaciones de trfico a lo largo del tiempo
para ver cmo los ataques aumentan o disminuyen, o
afectan a diversos grupos a lo largo del tiempo.
Utilcelos para ver qu grupos estn en mayor peligro
de ataque a travs del firewall.
Informe completo Utilice este informe para ver la informacin que

aparece en todos los informes rpidos de la proteccin
contra amenazas de red en un lugar.
Registro de trfico Utilice este registro si necesita ms informacin sobre

un evento de trfico o un tipo de trfico especfico que
pase a travs de su firewall.
Registro de paquetes Utilice este registro si necesita ms informacin sobre

un paquete especfico. Sera aconsejable mirar los
paquetes para investigar ms a conciencia un evento
de seguridad enumerado en un informe.
Registro de ataques Utilice este registro si necesita informacin ms

detallada sobre un ataque especfico que ocurri.
Acerca de la informacin en los registros e informes de la proteccin

proactiva contra amenazas
La Tabla 13-5 resume los diversos informes y registros de la proteccin proactiva
contra amenazas. Describe algunos usos tpicos para la clase de informacin que
es posible extraer de ellos.
Tabla 13-5 Resumen de informes rpidos y registros de la proteccin proactiva

contra amenazas
Resultados de la deteccin de Utilice este informe para ver la siguiente informacin:

amenazas proactiva (situado bajo
Una lista de las aplicaciones clasificadas como
Informes de riesgos)
riesgos que se han agregado a las excepciones como
Deteccin de amenazas proactiva aceptables en su red.
a lo largo del tiempo (ubicado bajo Una lista de las aplicaciones que se detectaron como
Informes de riesgos) riesgos confirmados.
Una lista de las aplicaciones que se han detectado,
pero que an no se han confirmado como riesgos.
Utilice Deteccin de amenazas proactiva a lo largo del

tiempo para ver si las amenazas detectadas por los
anlisis de amenazas proactivos se han modificado a
lo largo del tiempo.
Distribucin de amenazas Utilice este informe por los siguientes motivos:

proactiva (en Informes de riesgos)
Para ver qu aplicaciones de la lista de aplicaciones
comerciales y de la lista de detecciones forzada se
detectan ms frecuentemente.
Para ver qu medida se tom en respuesta a la
deteccin.
Para determinar si equipos determinados en su red
son atacados ms frecuentemente por este vector.
Para ver detalles sobre la aplicacin que atac.
Registro de Proteccin proactiva Utilice este registro si necesita ms informacin sobre

contra amenazas eventos especficos de la deteccin de amenazas
proactiva. Esta informacin puede ser el nombre del
usuario que haba iniciado sesin cuando ocurri la
deteccin. Es posible adems utilizar comandos desde
este registro para agregar entidades legtimas, tales
como archivos, carpetas, extensiones y procesos a la
poltica de excepciones centralizada. Despus de que
se agrega a la lista, si una actividad legtima se detecta
como riesgo, no se acta sobre la entidad.
Acerca de la informacin en los registros e informes de riesgos

El registro y los informes de riesgos incluyen informacin sobre eventos del riesgo
en los servidores de administracin y sus clientes.
La Tabla 13-6 resume los diversos registros e informes rpidos de riesgos. Describe
Tabla 13-6 Resumen de informes rpidos y registros de riesgos
Tipos de registro e informe Usos tpicos
Equipos infectados y en riesgo Utilice este informe para identificar rpidamente los
equipos que necesitan su atencin porque estn
infectados con un virus o un riesgo de seguridad.
Resumen de acciones de deteccin Utilice este informe para identificar las medidas que
fueron tomadas cuando los riesgos fueron detectados.
Esta informacin adems aparece en la pgina de inicio
de Symantec Endpoint Protection.
Conteo de detecciones de riesgos Utilice este informe para identificar dominios, grupos
o equipos determinados que tienen el nmero ms
grande de detecciones de riesgos. Es posible entonces
investigar por qu algunas entidades parecen estar en
mayor riesgo que otras en su red.
Nuevos riesgos detectados en la Utilice este informe para identificar y seguir el impacto
red de los nuevos riesgos en su red.
Correlacin principal de Utilice este informe para buscar correlaciones entre

detecciones de riesgos los riesgos y los equipos, los usuarios, los dominios y
los servidores.
Resumen de distribucin de Utilice estos informes para seguir la distribucin de

riesgos riesgos. Es posible adems utilizarlos para localizar
riesgos, dominios, grupos, servidores, equipos y a
Distribucin de riesgos a lo largo
usuarios determinados que parecen tener ms
del tiempo
problemas que otros. Es posible utilizar Distribucin
de riesgos a lo largo del tiempo para ver cmo estos
riesgos se modifican a lo largo del tiempo.
Resumen de acciones para los Utilice este informe para revisar las acciones tomadas
riesgos principales sobre los riesgos que Symantec Endpoint Protection
ha detectado en su red.
Nmero de notificaciones Utilice estos informes para refinar cmo se crean y se

configuran notificaciones en su red.
Nmero de notificaciones a lo
largo del tiempo
Ataques semanales Utilice este informe para seguir los ataques de riesgos
semana por semana.
Tipos de registro e informe Usos tpicos
Informe completo de riesgos Utilice este informe para ver todos los informes de
distribucin y la informacin sobre nuevos riesgos al
mismo tiempo.
Registro de riesgos Utilice este registro si necesita informacin ms

especfica sobre algunas reas de los informes de
riesgos. Por ejemplo, es posible utilizar el registro de
riesgos para ver detalles sobre los riesgos que fueron
detectados en los equipos donde los riesgos se
encuentran a menudo. Es posible adems utilizar el
registro de riesgos para ver detalles sobre los riesgos
de seguridad de una gravedad determinada que han
afectado a su red.
Acerca de la informacin en los registros e informes de anlisis

El registro y los informes de anlisis contienen informacin sobre la actividad de
los anlisis antivirus y contra software espa.
La Tabla 13-7 resume los diversos registros e informes rpidos de anlisis. Describe
Tabla 13-7 Resumen de informes rpidos y registros de anlisis
Histograma de estadsticas de Agrupe por la hora de anlisis en que se utiliza este

anlisis informe para ver un histograma de cunto tiempo
toman los anlisis programados para completarse en
los clientes. Puede ser recomendable modificar la hora
para la que se programa el anlisis basado en esta
informacin. Es posible filtrar este informe basado en
el nmero de archivos que fueron analizados. Estos
resultados pueden ayudarlo a ver si algunos usuarios
restringen los anlisis a una pequea cantidad de
archivos en sus equipos.
Equipos por ltimo anlisis Utilice este informe para identificar los equipos que
no han ejecutado un anlisis recientemente. Es posible
configurarlo para buscar el ltimo da o la ltima
semana, o un plazo personalizado, que desee
comprobar.
Equipos no analizados Utilice este informe para obtener una lista de los
equipos que no se han analizado en un perodo
especfico. Este informe adems incluye las direcciones
IP de los equipos por dominios o grupos especficos.
Estos equipos pueden estar en peligro.
Registro de anlisis Es posible clasificar este registro por la duracin del

anlisis para identificar los equipos que tardan ms
tiempo en analizarse en su red. De acuerdo con esta
informacin, es posible personalizar los anlisis
programados para estos equipos si es necesario.
Acerca de la informacin en los registros e informes del sistema

Los registros del sistema contienen informacin que es til para solucionar los
problemas del cliente.
La Tabla 13-8 resume los distintos informes rpidos y el registro del sistema y
describe algunos usos tpicos para la clase de informacin que es posible conseguir
de ellos.
Tabla 13-8 Resumen de informes rpidos y registro del sistema
Principales clientes que generan Utilice este informe para ver qu clientes generan el
errores nmero ms grande de errores y advertencias. Sera
aconsejable mirar la ubicacin y el tipo de usuarios en
estos clientes para ver por qu experimentan ms
problemas que otros. Es posible luego ir al registro del
sistema para obtener informacin.
Principales servidores que Utilice este informe para ver qu servidores generan
generan errores el nmero ms grande de errores y advertencias. Es
posible mirar estos servidores para ver por qu
experimentan ms problemas que lo tpico para su red.
Principales instancias de Enforcer Utilice este informe para ver qu mdulos de Enforcer
que generan errores generan el nmero ms grande de errores y
advertencias. Es posible mirar estos mdulos para ver
por qu experimentan ms problemas que lo tpico
para su red.
Errores de replicacin de base de Utilice este informe para ver qu servidores o sitios
datos a lo largo del tiempo experimentan ms problemas con la replicacin de
base de datos. Adems le dice por qu las replicaciones
fallan, de modo que se puedan reparar los problemas.
Estado del sitio Utilice este informe para ver cmo su servidor maneja
su carga de cliente. De acuerdo con la informacin de
este informe, sera aconsejable ajustar la carga.
Registro administrativo Utilice este registro para ver elementos relacionados

con actividades administrativas, como las siguientes:
Inicios de sesin y cierres de sesin

Cambios de polticas
Cambios de contrasea
Cuando los certificados coinciden
Eventos de replicaciones
Eventos relacionados con los registros
Este registro puede ser til para resolver problemas

de los clientes, tales como certificados, polticas o
importaciones faltantes. Es posible considerar por
separado los eventos que se relacionan con los
dominios, los grupos, los usuarios, los equipos, las
importaciones, los paquetes, las replicaciones y otros
eventos.
Registro de actividades del cliente Utilice este registro para ver toda la actividad del
y el servidor cliente que ocurre para un servidor especfico.
Por ejemplo, es posible utilizar este registro para ver
los puntos siguientes:
Descargas de polticas correctas y con errores

Conexiones de los clientes al servidor
Registros del servidor
Registro de actividades del Entre otras cosas, utilice este registro por los siguientes
servidor motivos:
Localizar y solucionar problemas de replicacin

Localizar y solucionar problemas de copia de
respaldo
Localizar y solucionar problemas del servidor
Radius
Ver todos los eventos del servidor de un nivel
determinado de gravedad
Registro de actividades del cliente Entre otras cosas, es posible utilizar este registro para
supervisar las actividades relacionadas con el cliente
siguientes:
Qu clientes fueron bloqueados para que no

accedieran a la red
Qu clientes necesitan ser reiniciados
Qu clientes tuvieron instalaciones correctas o con
errores
Qu clientes tuvieron problemas de inicio y
finalizacin de servicios
Qu clientes tuvieron problemas de importacin de
normas
Qu clientes tuvieron problemas al descargar
polticas
Qu clientes tuvieron errores de conexin al
servidor
Registro de actividades de Utilice este registro para supervisar problemas con los
Enforcer mdulos de Enforcer. En este registro, es posible ver
eventos de administracin, eventos de Enforcer,
eventos de habilitacin y eventos de polticas. Es
posible filtrarlos por su nivel de gravedad.
Por ejemplo, es posible utilizar este registro para
solucionar los siguientes tipos de problemas:
Conectividad de Enforcer
La importacin y la aplicacin de polticas y
configuraciones
Inicios, interrupciones y pausas de Enforcer
Nota: Si Symantec Network Access Control no est instalado, el registro de

actividades de Enforcer y las entradas en otros registros que se apliquen a los
mdulos de Enforcer estn vacos.

Eliminar infecciones por virus y riesgos de seguridad es una tarea que es posible
realizar diariamente o segn lo necesario, dependiendo del estado de la seguridad
de su red. Primero, se identifican y localizan los riesgos, despus se decide cmo
manejarlos. Despus de reparar los problemas, es posible actualizar el registro de
estado del equipo para mostrar que se ha respondido a los riesgos.
Identificar los equipos infectados y en riesgo

La primera tarea es identificar los equipos que estn infectados y en riesgo.
Para identificar los equipos infectados
1 En la consola, haga clic en Inicio y mire el Resumen de acciones.
Si es administrador del sistema, ver la cantidad de equipos recientemente
infectados y an infectados que hay en su sitio. Si es administrador del
dominio, ver la cantidad de equipos recientemente infectados y an
infectados que hay en su dominio. La categora An infectado es un
subconjunto de Recientemente infectado, y la cantidad de equipos an
infectados disminuye a medida que elimina los riesgos de la red. Los equipos
estn an infectados si un anlisis posterior informa que estn infectados.
Por ejemplo, Symantec Endpoint Protection pudo haber limpiado un riesgo
de un equipo slo parcialmente, y Auto-Protect an detecta el riesgo.
3 En el cuadro de lista Tipo de informe, haga clic en Riesgo.
4 En el cuadro de lista Seleccionar un informe, haga clic en Equipos infectados
y en riesgo.
5 Haga clic en Crear informe y observe las listas de los equipos infectados y en
peligro que aparecen.
Modificar una accin y volver a analizar los equipos identificados

El paso siguiente en la reparacin de los riesgos en su red es identificar por qu
los equipos siguen infectados o en riesgo. Compruebe la medida que se llev a
cabo para cada riesgo en los equipos infectados y en peligro. Puede ser que la
medida que se tom y se configur haya sido la opcin Ignorado. Si la accin fue
Ignorado, debe eliminar el riesgo del equipo, quitar el equipo de la red o aceptar
el riesgo. Sera aconsejable editar la poltica antivirus y contra software espa
aplicada al grupo al que pertenece este equipo. Sera aconsejable configurar otra
accin para esta categora de riesgos o para este riesgo especfico.
Para identificar las acciones que necesitan ser modificadas y volver a analizar los
equipos identificados
2 En la ficha Registros, seleccione el registro de riesgo y despus haga clic en
Ver registro.
Desde la columna de eventos del registro de riesgos, es posible ver qu sucedi
y qu medida se tom. Desde la columna de nombre de riesgo, es posible ver
los nombres de los riesgos que siguen activos. Desde la columna de usuario
de grupo de dominio, es posible ver a qu grupo pertenece el equipo.
Si un cliente est en peligro porque un anlisis tom la medida Ignorado, es
posible que deba modificar la poltica antivirus y contra software espa para
el grupo. Desde la columna Equipo, es posible ver los nombres de los equipos
que an tienen riesgos activos.
Ver "Configurar las acciones para las detecciones de virus y riesgos de
seguridad conocidos" en la pgina 481.
Si su poltica se configura para utilizar modo de transferencia, se transfiere
a los clientes del grupo en el latido siguiente.
Ver "Especificar el Modo de transferencia o el Modo de obtencin"
en la pgina 380.
3 Haga clic en Atrs.
4 En la ficha Registros, seleccione el registro de estado del equipo y despus
haga clic en Ver registro.
5 Si modific una accin y elimin una nueva poltica, seleccione los equipos
que necesitan volver a analizarse con la nueva configuracin.
6 Desde el cuadro Lista de comandos, seleccione Analizar y despus haga clic
en Iniciar para volver a analizar los equipos.
Es posible supervisar el estado del comando Analizar desde la ficha Estado
del comando.
Reiniciar los equipos que necesitan un reinicio para finalizar la

reparacin
Los equipos pueden seguir en riesgo o infectados porque necesitan ser reiniciados
para finalizar la reparacin de un virus o de un riesgo de seguridad.
Para reiniciar los equipos a fin de finalizar la reparacin

1 En el registro de riesgos, marque la columna Debe reiniciar.
Puede ser que un riesgo se haya eliminado parcialmente de algunos equipos,
pero los equipos an necesitan un reinicio para finalizar la reparacin.
2 Seleccione de la lista los equipos que necesitan un reinicio.
3 En el cuadro Lista de comandos, seleccione Reiniciar equipos y luego haga
clic en Iniciar.
Es posible supervisar el estado del comando Reiniciar equipos desde la ficha
Estado del comando.
Actualizar definiciones y volver a analizar

Algunos equipos pueden an estar en peligro porque sus definiciones estn
desactualizadas.
Para actualizar definiciones y volver a analizar
1 Para los equipos que quedan en la vista, marque la columna Fecha de las
definiciones. Si algunos equipos tienen definiciones de virus que estn
desactualizadas, seleccione esos equipos.
2 En el cuadro Lista de comandos, seleccione Actualizar contenido y anlisis,
y despus haga clic en Iniciar.
Es posible supervisar el estado del comando Actualizar contenido y anlisis
desde la ficha Estado del comando.
3 Haga clic en Inicio y mire los nmeros de las filas An infectado y
Recientemente infectado del Resumen de acciones.
Si las cantidades son ceros, se han eliminado los riesgos. Si las cantidades no
son ceros, es necesario investigar los riesgos que permanecen.
Acerca de investigar y limpiar los riesgos restantes

Si algunos riesgos permanecen, es posible que deba investigarlos an ms. Desde
el cuadro de dilogo de anlisis de resultados, es posible hacer clic en el vnculo
a Symantec Security Response para el riesgo detectado. Los resultados del anlisis
adems le dicen qu procesos, archivos o claves de registro estn implicados en
la deteccin de riesgos. Es posible crear una poltica personalizada de control de
aplicaciones para bloquear una aplicacin nociva. Es posible que sea necesario
desconectar el equipo de la red y eliminar los archivos y las claves del registro, y
detener procesos manualmente.
Eliminar los eventos sospechosos

Un riesgo de seguridad sospechoso indica que un anlisis de amenazas proactivo
ha detectado algo que se debe investigar. Puede o no ser inofensivo. Si determina
que este riesgo es inofensivo, podr utilizar la poltica de excepciones centralizada
para excluirlo de detecciones en el futuro. Si la proteccin proactiva contra
amenazas no puede reparar un riesgo o si usted la ha configurado para ignorar
un riesgo, es posible que sea necesario eliminar esos riesgos.
Si configur el anlisis de amenazas proactivo e investiga y determina que este
riesgo es daino, podr repararlo con la poltica de excepciones centralizada.
Configure la poltica de excepciones centralizada para terminar o para poner en
cuarentena el riesgo en vez de registrarlo.
Si Symantec Endpoint Protection detect este riesgo usando la configuracin
predeterminada del anlisis de amenazas proactivo, Symantec Endpoint Protection
no podr reparar este riesgo. Si determina que este riesgo es daino, deber quitar
el riesgo manualmente. Despus de haber eliminado el riesgo, es posible eliminar
la entrada del registro de riesgos.

Es posible comprobar qu equipos estn desconectados en su red de varias maneras.
Por ejemplo, es posible realizar los anlisis siguientes:
Ejecute el informe rpido de estado del equipo Equipos no registrados en el
servidor para ver el estado de conexin.
Configure y ejecute una versin personalizada de este informe para ver los
equipos en un grupo o sitio determinado.
Vea el registro de estado del equipo, que contiene la direccin IP del equipo y
la hora del ltimo registro.
Un cliente puede estar desconectado por varios motivos. Es posible identificar los
equipos que estn desconectados y reparar estos problemas de varias maneras.
Si Symantec Network Access Control est instalado, es posible utilizar las opciones
de filtro de cumplimiento para personalizar el informe rpido Equipos no
registrados en el servidor. Es posible entonces utilizar este informe para ver los
motivos especficos por los que los equipos no estn conectados. Es posible
entonces eliminar los problemas que se ven.
Entre los motivos de cumplimiento que es posible filtrar estn los siguientes:
La versin del antivirus del equipo est desactualizada.
El software antivirus del equipo no est ejecutndose.
Un script fall.
La ubicacin del equipo se ha modificado.
Para encontrar los clientes desconectados
2 En la ficha Registros, del cuadro de lista Tipo de registro, haga clic en Estado
del equipo.
3 Haga clic en Opciones avanzadas.
4 En el cuadro de lista Estado de conexin, haga clic en Desconectado.
De forma predeterminada, aparece una lista de los equipos que han estado
desconectados durante las ltimas 24 horas. La lista incluye el nombre de
cada equipo, la direccin IP y la ltima vez que se registr con su servidor.
Es posible ajustar el intervalo de tiempo para visualizar los equipos
desconectados para cualquier intervalo que desee ver.
Seccin 2
Tareas administrativas
avanzadas
Administrar un sitio y varios sitios de la compaa
Administrar servidores
Administrar servidores de directorio
Administrar servidores de correo electrnico
Administrar servidores proxy
Administrar servidores RSA
Administrar certificados de servidor
Administrar bases de datos
Replicar datos
Administrar Proteccin contra intervenciones

274
Captulo 14
Administrar un sitio y varios
sitios de la compaa
Acerca de la administracin de sitios
Lo que puede hacer en un sitio
Lo que no puede hacer en un sitio
Acerca de la replicacin del sitio mediante diferentes sitios de la empresa
Acerca de los mdulos de Enforcer opcionales en un sitio
Acerca de los sitios remotos
Editar propiedades del sitio
Hacer una copia de respaldo de un sitio
Eliminar sitios remotos
Acerca de la administracin de sitios

Symantec organiza instalaciones de componentes en sitios. Un sitio abarca uno
o varios Symantec Endpoint Protection Managers y una base de datos (MS SQL o
integrada). Incluye opcionalmente uno o ms mdulos de Enforcer que se ubican
juntos en la misma ubicacin del negocio. Las empresas grandes instalan
generalmente muchos sitios. El nmero de sitios que sea necesario se puede
relacionar con la compaa que tiene varias ubicaciones fsicas, divisiones
separadas y reas en varias subredes. Por lo general, la administracin corporativa
y los departamentos de TI son responsables de determinar el nmero y la ubicacin
de estos sitios.
276 Administrar un sitio y varios sitios de la compaa
El sitio local es la consola de Symantec Endpoint Protection Manager en la que

ha iniciado sesin. Este sitio se puede ubicar en otra ciudad. Sin embargo, esto no
significa necesariamente que el sitio es fsicamente local. Los sitios remotos son
los sitios conectados al sitio local como asociados de replicacin.
La administracin de seguridad centralizada es posible desde cualquier consola
de Symantec Endpoint Protection Manager donde puede administrar sitios locales
y sitios remotos.

Desde un sitio determinado, puede realizar las siguientes tareas en todos los sitios
(local y remoto):
Modificar una descripcin del sitio.
Configurar la consola de Symantec Endpoint Protection Manager para finalizar
una sesin despus de un cierto perodo.
Borrar los clientes que no se han conectado durante algn tiempo.
Instalar umbrales de registro.
Programar informes diarios y semanales.
Configurar el registro externo para filtrar y enviar registros a un archivo o a
un servidor Syslog.
Modificar un nombre de base de datos y una descripcin
Ver "Editar el nombre y la descripcin de una base de datos en la consola de
Symantec Endpoint Protection Manager" en la pgina 329.
Desde un sitio determinado, puede realizar las siguientes tareas slo para un sitio
local:
Hacer una copia de respaldo del sitio local inmediatamente.
Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL"
en la pgina 320.
Ver "Realizar copia de respaldo de una base de datos cuando sea necesario
desde Symantec Endpoint Protection Manager" en la pgina 325.
Modificar la programacin de las copias de respaldo.
Ver "Programar copias de respaldo automticas de bases de datos de Symantec
Administrar un sitio y varios sitios de la compaa 277
Eliminar un servidor seleccionado (solamente si tiene varios Symantec Endpoint

Protection Manager conectados a una sola base de datos de Microsoft SQL).
Agregar una conexin a un asociado de replicacin en el mismo sitio
Ver "Agregar asociados de replicacin y programacin" en la pgina 350.
Actualizar el certificado del servidor
Ver "Acerca de los tipos de certificado de servidor" en la pgina 309.
Hacer consultas a la base de datos para obtener informacin
Estas listas no son completas. Se proporcionan para darle una idea de los tipos de
tareas que se puedan realizar de forma local o remota.

En un sitio remoto no se pueden realizar ciertas tareas.
Si desea instalar un nuevo sitio, debe ir a un equipo especfico en el que instal
Symantec Endpoint Protection Manager o un mdulo de Enforcer. Sin embargo,
se puede registrar remotamente en un sitio para realizar otras tareas que se puedan
realizar solamente en la consola de Symantec Endpoint Protection Manager de
un sitio local.
Ver "Comprender la Consola de Symantec Endpoint Protection Manager"
en la pgina 45.
Acerca de la replicacin del sitio mediante diferentes

sitios de la empresa
Una vez que se realiz la instalacin del primer sitio de una compaa, puede
instalar sitios adicionales como asociados de replicacin. Puede agregar asociados
de replicacin cuando instale los segundos sitios y los subsecuentes.
Para obtener ms informacin acerca de la configuracin del primer sitio durante
la instalacin inicial, consulte la Gua de instalacin para Symantec Endpoint
Protection y Symantec Network Access Control.
Acerca de los mdulos de Enforcer opcionales en un

sitio
Si desea una aplicacin adicional en su sitio, puede instalar Gateway, LAN y DHCP
Enforcer.
Si desea agregar mdulos de Enforcer en un sitio existente, consulte la Gua de

implementacin del dispositivo Symantec Network Access Control Enforcer.

Puede ver otros sitios desde la ficha Servidores. Si est conectado a otra consola
de Symantec Endpoint Protection Manager, puede editar las propiedades del
servidor del sitio remoto. En los sitios remotos, puede realizar las siguientes tareas:
Eliminar un sitio remoto y sus asociados de replicacin.
Modificar la descripcin del servidor remoto.
Modificar el acceso a la consola de Symantec Endpoint Protection Manager
del sitio remoto.
Configurar un servidor de correo electrnico para un sitio remoto.
Programar la sincronizacin del servidor del directorio para un sitio remoto.
Configurar una conexin del servidor del sitio remoto a un servidor proxy.
Configurar el registro externo para enviar registros a un archivo o a un servidor
Syslog.

Las propiedades del sitio incluyen lo siguiente:
Nombre y descripcin del sitio
Independientemente de si una consola de supera Symantec Endpoint Protection
Manager el tiempo de espera
Independientemente de eliminar los clientes que no se han conectado despus
de un cierto perodo de tiempo
Independientemente de activar o no el aprendizaje de aplicaciones para el sitio
Tamaos mximos de registro que se mantienen en el sitio
Programacin de informes
Puede editar propiedades del sitio local o remoto desde la consola.
Para editar las propiedades del sitio
Administrador.
2 En la pgina Administrador, bajo Tareas, haga clic en Servidores.
3 En la pgina Administrador, bajo Ver, expanda Sitio local (nombre del sitio)
o expanda Sitios remotos.
4 Seleccione el sitio cuyas propiedades desea editar.
5 En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del
sitio.
6 En el cuadro de dilogo Propiedades del sitio de la ficha General, edite la
descripcin del sitio en el cuadro Descripcin.
Puede utilizar hasta 1024 caracteres.
7 En el cuadro de dilogo Propiedades del sitio de la ficha General, seleccione
un valor, de 5 minutos a Nunca, de la lista Tiempo de espera de la consola.
La configuracin predeterminada es una (1) hora. Cuando se alcanza el perodo
de Tiempo de espera de la consola, se cerrar la sesin del administrador.
8 En el cuadro de dilogo Propiedades del sitio de la ficha General, marque
Eliminar agentes que no se han conectado X da(s).
Puede eliminar a los usuarios que no se han conectado durante un determinado
nmero de das (de 1 a 99999). La configuracin predeterminada se habilita
por un perodo de treinta (30) das.
9 En el cuadro de dilogo Propiedades del sitio de la ficha General, marque
Realizar un seguimiento de cada aplicacin que ejecutan los clientes.
Las aplicaciones aprendidas ayudan a que los administradores realicen un
seguimiento del acceso a la red y el uso de las aplicaciones de un cliente
registrando todas las aplicaciones que se inicien en cada cliente. Es posible
habilitar o deshabilitar el aprendizaje de las aplicaciones para un sitio
especfico. Si esta opcin no se habilita, el seguimiento de aplicaciones no se
realiza para ese sitio. El seguimiento de aplicaciones tampoco se realiza si
est habilitado para los clientes que se conectan al sitio sealado. Esta opcin
funciona como un conmutador principal.
10 En el cuadro de dilogo Propiedades del sitio de la ficha General, seleccione
un servidor de elaboracin de informes de la lista Seleccionar un servidor de
elaboracin de informes.
Esta opcin slo es importante si utiliza una base de datos de Microsoft SQL
que se conecte a varias bases de datos.

Cuando se hace una copia de respaldo de la informacin de un sitio, se realiza la
misma tarea que cuando se hace una copia de respaldo de una base de datos para
un sitio.
en la pgina 320.
Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde
Para hacer una copia de respaldo de un sitio
Administrador.
3 En la pgina Administrador, bajo Ver, haga clic en Host local.
4 En la pgina Administrador, bajo Tareas, haga clic en Editar configuracin
de la copia de respaldo.
5 En el cuadro de dilogo Hacer copia de respaldo del sitio local: Nombre del
sitio, seleccione el nombre del servidor de respaldo de la lista Servidor de
copia de respaldo.
La ruta predeterminada es:
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\

data\backup
Sin embargo, puede modificar el nombre de la ruta de la copia de respaldo

con una de las utilidades de respaldo disponibles.
6 Seleccione el nmero de copias de respaldo que se desea conservar de la lista
Mantener solamente el ltimo nmero de copias de respaldo.
Es posible seleccionar hasta 10 copias de respaldo para conservar antes de
que una copia de respaldo se elimine automticamente.

Cuando se quita un servidor del sitio remoto de una empresa, debe eliminarlo
manualmente de todas las consolas de Symantec Endpoint Protection Manager.
Los servidores se incluyen bajo Sitios remotos. Desinstalar el software a partir de
una consola de Symantec Endpoint Protection Manager no hace que el icono
desaparezca del panel Servidores en otras consolas de Symantec Endpoint

Protection Manager.
Para eliminar sitios remotos
Administrador.
3 En la pgina Administrador, bajo Ver, haga clic en Sitios remotos.
4 En la pgina Administrador, bajo Ver, expanda Sitios remotos y seleccione el
sitio que desea eliminar.
5 Haga clic en Eliminar sitio remoto.
En el cuadro de dilogo Eliminar sitio remoto, el sistema le solicitar que
confirme la cancelacin del sitio remoto:
Al eliminar el sitio remoto, se quitan todos los
asociados de replicacin en los que este sitio participa.
Est seguro de que desea eliminar este sitio?
6 Haga clic en S para eliminar el sitio remoto.

Puede volver a agregar un sitio remoto que fue eliminado al agregar un
asociado de replicacin.
Captulo 15
Acerca de la administracin de servidores
Acerca de las contraseas de servidores y de otros fabricantes
Iniciar y detener el servicio de Symantec Endpoint Protection Manager
Conceder o negar acceso a una consola de Symantec Endpoint Protection

Manager remota
Eliminar servidores seleccionados
Exportar e importar opciones del servidor
Acerca de la administracin de servidores

Es posible administrar centralmente todos los tipos de servidores desde la pgina
Administrador en la consola de Symantec Endpoint Protection Manager.
La pgina Administrador, bajo Ver servidores, enumera los grupos siguientes:
Sitio local
La consola de Symantec Endpoint Protection Manager del sitio local, bases de
datos, asociados de replicacin, tales como otras instancias de la consola de
Symantec Endpoint Protection Manager cuyas bases de datos se replican, y
mdulos de Enforcer opcionales
Sitios remotos
La consola de Symantec Endpoint Protection Manager de cualquier sitio remoto,
bases de datos, asociados de replicacin, tales como otras instancias de
Symantec Endpoint Protection Manager cuyas bases de datos se replican, y
mdulos de Enforcer opcionales
284 Administrar servidores
Acerca de las contraseas de servidores y de otros fabricantes
Acerca de las contraseas de servidores y de otros

fabricantes
Todos los servidores para los cuales es posible establecer una conexin requieren
que configure contraseas de otros fabricantes en Symantec Endpoint Protection
Manager. Las contraseas de otros fabricantes se guardan automticamente en
la base de datos que usted cre cuando instal inicialmente Symantec Endpoint
Protection Manager.
Tpicamente se le solicita que proporcione la contrasea de otro fabricante durante
la configuracin de los siguientes tipos de servidores:
Servidores de correo electrnico
Servidores de directorios
Servidores RSA
Servidores proxy
Iniciar y detener el servicio de Symantec Endpoint

Protection Manager
Cuando se instala Symantec Endpoint Protection Manager, el ltimo paso del
asistente de configuracin del servidor incluye una casilla de verificacin de la
consola de Symantec Endpoint Protection Manager (seleccionada de forma
predeterminada). Si deja la casilla seleccionada, la consola de Symantec Endpoint
Protection Manager se inicia automticamente.
Symantec Endpoint Protection Manager se ejecuta como servicio automtico. Si
no se inici automticamente, es posible iniciarlo (y detenerlo ms tarde) usando
Servicios desde las herramientas administrativas del men Inicio.
Desde una lnea de comandos, es posible iniciar y detener el servicio de Symantec
Endpoint Protection Manager de la siguiente forma:
net start Symantec Endpoint Protection Manager consolesemsrv
net stop semsrv
Es posible adems reiniciar la consola de Symantec Endpoint Protection Manager

para iniciar el servicio automticamente.
Administrar servidores 285
Conceder o negar acceso a una consola de Symantec Endpoint Protection Manager remota
Nota: Si detiene el servicio de Symantec Endpoint Protection Manager, los clientes

no pueden conectarse ms a l. Si los clientes deben comunicarse con Symantec
Endpoint Protection Manager para conectarse a la red, se les niega el acceso hasta
que se reinicie el servicio de Symantec Endpoint Protection Manager.
Por ejemplo, un cliente debe comunicarse con Symantec Endpoint Protection
Manager para aprobar una comprobacin de integridad del host.
Conceder o negar acceso a una consola de Symantec

Endpoint Protection Manager remota
Es posible asegurar la consola de Symantec Endpoint Protection Manager principal
concediendo o negando el acceso a los equipos en los cuales se instala una consola
de Symantec Endpoint Protection Manager remota. De forma predeterminada, a
todas las consolas se les permite el acceso. Los administradores pueden iniciar
sesin en la consola de Symantec Endpoint Protection Manager principal
localmente o remotamente desde cualquier equipo en la red.
Adems de conceder o de negar el acceso globalmente, es posible especificar
excepciones por la direccin IP. La lista de excepciones niega automticamente
el acceso si ha elegido conceder acceso a todas las consolas remotas. Inversamente,
si se niega el acceso a todas las consolas remotas, se concede automticamente el
acceso a todas las excepciones.
Cuando se crea una excepcin, el equipo que usted especific debe tener una
direccin IP esttica. Es posible adems crear una excepcin para un grupo de
equipos especificando una mscara de subred. Por ejemplo, es posible permitir el
acceso en todas las reas que se administran. Sin embargo, es posible negar el
acceso a una consola de Symantec Endpoint Protection Manager que se encuentre
en un rea pblica.
Para conceder o negar acceso a una consola de Symantec Endpoint Protection
Manager remota
Administrador.
3 En la pgina Administrador, bajo Ver, seleccione el servidor cuyos permisos
de acceso de la consola desea modificar.
4 En la ficha General, haga clic en Acceso concedido o Acceso denegado.
5 Si desea especificar las direcciones IP de los equipos que estn exentos de los
permisos de acceso de la consola, haga clic en Agregar.
Los equipos que se agregan se convierten en excepciones a las cuales se
concede acceso. Se niega el acceso a estos equipos. Si selecciona Acceso
denegado, los equipos que se especifican se convierten en los nicos a los que
se permite el acceso. Cree una excepcin para un solo equipo o un grupo de
equipos.
6 En el cuadro de dilogo Denegar acceso, haga clic en una de las siguientes
opciones:
Equipo individual para un equipo y escriba la direccin IP.
Grupo de equipos para varios equipos y escriba la direccin IP y la mscara
de subred para el grupo.

Los equipos ahora aparecen en la lista de excepciones. Para cada direccin
IP/mscara, aparece el estado de los permisos.
Si modifica Acceso concedido por Acceso denegado, o viceversa, todas las
excepciones se modifican tambin. Si ha creado excepciones para negar el
acceso, ahora tienen acceso.
8 Haga clic en Editar todo para modificar las direcciones IP o los nombres de
host de los equipos que aparecen en la lista de excepciones.
El editor de direcciones IP aparece. El editor de direcciones IP es un programa
de edicin de texto que permite editar direcciones IP y mscaras de subred.
10 Cuando finaliza de agregar excepciones a la lista o de editar la lista, haga clic
en Aceptar.

Si tiene instancias de Symantec Endpoint Protection Manager que se han
desinstalado pero aparecen en la consola de Symantec Endpoint Protection
Manager, an necesita eliminar las conexiones.
El uso ms comn de esta tarea es si se utiliza una base de datos de Microsoft SQL
con varias instancias de Symantec Endpoint Protection Manager conectadas a l.
Si uno de ellos se desinstala, an aparece en los otros y es necesario eliminar los
servidores que ya no estn conectados.
Administrar servidores 287
Para eliminar servidores seleccionados

Administrador.
3 En la pgina Administrador, bajo Ver servidores, expanda Sitio local (Sitio
<nombredesitio>) para seleccionar la instancia de Symantec Endpoint
Protection Manager que quiera eliminar.
Recuerde que es necesario detener el servicio de Symantec Endpoint Protection
Manager antes de que pueda eliminarlo.
Ver "Iniciar y detener el servicio de Symantec Endpoint Protection Manager"
en la pgina 284.
4 Haga clic en Eliminar el servidor seleccionado.
5 Haga clic en S para eliminar el servidor seleccionado.

Puede ser necesario exportar o importar opciones para Symantec Endpoint
Protection Manager. Las opciones se exportan a un archivo en formato .xml.
Para exportar opciones del servidor
1 Haga clic en la ficha Servidores.
2 En el rbol, expanda Sitio local (Sitio <nombredesitio>), y despus seleccione
el administrador de polticas que desee exportar.
3 Haga clic en Exportar propiedades del servidor.
4 Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre
de archivo.
Para importar opciones del servidor
2 En el rbol, expanda Sitio local (Sitio <nombredesitio>), y despus seleccione
el administrador de polticas para el cual desee importar opciones.
3 Haga clic en Importar propiedades del servidor.
4 Seleccione el archivo que desee importar, y despus haga clic en Abrir.
5 Haga clic en S para confirmar la importacin.
Captulo 16
Administrar servidores de
directorio
Acerca de la administracin de servidores de directorios
Agregar servidores de directorios
Sincronizar cuentas de usuario entre servidores de directorios y Symantec

Importar informacin sobre usuarios desde un servidor de directorios LDAP
Buscar usuarios en un servidor de directorios LDAP
Importar usuarios desde una lista de resultados de bsqueda de un servidor

de directorios LDAP
Acerca de las unidades organizativas y el servidor LDAP
Acerca de la administracin de servidores de

directorios
Es necesario configurar Symantec Endpoint Protection Manager para comunicarse
con cualquier servidor de directorios. Es necesario establecer una conexin entre
los servidores de directorios y Symantec Endpoint Protection Manager. Si no
establece una conexin, no es posible importar usuarios desde Active Directory
o servidores de directorios LDAP, ni sincronizarlo con ellos.
290 Administrar servidores de directorio

Con los servidores de Active Directory, no es posible filtrar los usuarios. Con los
servidores LDAP, es posible filtrar los usuarios antes de importar datos. Por lo
tanto, es posible agregar un servidor de Active Directory compatible con LDAP
como servidor LDAP si es necesario filtrar los datos.
Despus de que usted termine de agregar un servidor de directorios, puede
configurar la sincronizacin.
Para agregar servidores de directorios
Administrador.
3 En la pgina Administrador, bajo Ver servidores, seleccione la instancia de
Symantec Endpoint Protection Manager a la cual desee agregar un servidor
de directorios.
servidor.
5 En el cuadro de dilogo Propiedades del servidor para nombre del sitio,
haga clic en Servidores de directorios.
6 En el cuadro de dilogo Propiedades del servidor para nombre del sitio,
7 En el cuadro de dilogo Agregar servidor de directorios, escriba el nombre
para el servidor de directorios que desee agregar en el campo Nombre.
8 En el cuadro de dilogo Agregar servidor de directorios, marque Active
Directory o LDAP como Tipo de servidor.
9 En el cuadro de dilogo Agregar servidor de directorios, escriba la direccin
IP, el nombre de host o el nombre de dominio en el cuadro Direccin IP del
servidor o nombre.
Es necesario escribir la direccin IP, el nombre de host o el nombre de dominio
del servidor de directorios que desee agregar.
10 Si agrega un servidor LDAP, escriba el nmero de puerto del servidor LDAP
en el cuadro Puerto LDAP.
No es posible modificar los valores si se agrega un servidor de Active Directory.
La configuracin de puerto predeterminado es 389.
Administrar servidores de directorio 291
Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager
11 Si agrega un servidor LDAP, escriba LDAP BaseDN en el cuadro BaseDN LDAP.

12 Escriba el nombre de usuario de la cuenta autorizada del servidor de
directorios en el cuadro Usuario.
13 Escriba la contrasea para la cuenta del servidor de directorios en el cuadro
Contrasea.
14 Si desea conectarse con el servidor de directorios usando Secure Sockets
Layer (SSL), marque Usar conexin segura.
Si no se marca, se utiliza una conexin normal sin cifrar.
Sincronizar cuentas de usuario entre servidores de

directorios y Symantec Endpoint Protection Manager
Es posible configurar servidores de directorios para importar y sincronizar usuarios
con Symantec Endpoint Protection Manager. Es necesario haber agregado los
servidores de directorios antes de sincronizar la informacin sobre los usuarios.
Para sincronizar cuentas de usuario entre servidores de directorios y Symantec
Administrador.
3 En la pgina Administrador, bajo Ver, seleccione la instancia de Symantec
Endpoint Protection Manager a la cual desee agregar un servidor de
directorios.
servidor.
5 En el cuadro de dilogo Editar propiedades del servidor, haga clic en la ficha
Servidores de directorios.
6 Marque Habilitar la sincronizacin con Servidores de directorios si no est
marcada.
sta es la opcin predeterminada.
7 Configure la programacin para la cantidad de veces que veces desea
sincronizar el servidor de administracin con el servidor de directorios:
Para sincronizar automticamente cada 24 horas, haga clic en
Programacin automtica.
Importar informacin sobre usuarios desde un servidor de directorios LDAP
La configuracin predeterminada se programa para sincronizar cada

86 400 segundos. Es posible tambin personalizar el intervalo editando
el archivo tomcat\etc\conf.properties.
Si no, seleccione Sincronizar cada y especifique cada cunto tiempo desea
sincronizar (en horas).
Importar informacin sobre usuarios desde un

servidor de directorios LDAP
Los administradores pueden importar informacin sobre cuentas de usuario y del
equipo desde un servidor de directorios LDAP usando el protocolo LDAP.
Si planea importar informacin sobre usuarios y cuentas, debe primero establecer
una conexin entre Symantec Endpoint Protection Manager y un servidor de
directorios.
Es posible despus buscar e importar informacin sobre usuarios y cuentas
realizando las siguientes tareas:
Buscar usuarios en el servidor LDAP.
Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 292.
Importar la informacin sobre las cuentas de usuario.
Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor
de directorios LDAP" en la pgina 295.

Es necesario buscar usuarios en un servidor LDAP cuando se importa informacin
sobre usuarios al servidor de administracin.
Para buscar usuarios en un servidor de directorios LDAP
2 En la pgina Clientes, bajo Ver, seleccione el grupo al cual desee importar
usuarios.
3 En la pgina Clientes, bajo Tareas, haga clic en Importar usuarios de Active
Directory o LDAP.
4 En el cuadro de dilogo Importar usuarios de Active Directory o LDAP para,

escriba la direccin IP o el nombre de host en el cuadro Servidor.
Es posible adems escribir el nombre de host de un servidor LDAP o de un
servidor de Active Directory.
5 En el cuadro de dilogo Importar usuarios de Active Directory o LDAP para,
escriba el nmero de puerto del servidor LDAP o el servidor de Active Directory
en el cuadro Puerto del servidor.
El nmero de puerto predeterminado es 389.
6 Si desea conectarse con el servidor de directorios usando Secure Sockets
Layer (SSL), haga clic en Usar conexin segura.
Si no est marcada, se utiliza una conexin sin cifrar.
7 Enumere los usuarios haciendo clic en Enumerar usuarios.

Es posible adems escribir una consulta LDAP para localizar los nombres de
los usuarios que desee importar en el cuadro Base de bsqueda LDAP.
Es posible especificar opciones de bsqueda, tales como pares de atributo y
valor. Los atributos deben estar separados por comas.
CN NombreComn
DC ComponenteDominio
L NombreLocalidad
ST NombreEstadoOProvincia
O NombreOrganizacin
OU NombreUnidadOrganizativa
C NombrePas
STREET DireccinCalle
No todos los servidores LDAP admiten todas las opciones. Por ejemplo,
Microsoft Active Directory no admite O.
El orden en el cual se especifican los pares de atributos y valores es importante,
ya que indica la ubicacin de la entrada en la jerarqua de directorios LDAP.
Si durante la instalacin de un servidor de directorios usted especific un
nombre de dominio de tipo DNS, tal como itsupport.sygate.com, es posible
consultar un servidor de directorios. Un nombre de dominio NetBIOS NT
tpico es itsupport.
Para realizar una consulta en ese servidor de Active Directory, especifique
la base de la bsqueda LDAP en este orden:
CN=Usuarios, DC=itsupport, DC=sygate, DC=com
Es posible utilizar caracteres comodn o expresiones regulares en la base de

bsqueda. Por ejemplo:
CN=a*, CN=Usuarios, DC=itsupport, DC=sygate, DC=com
Esta consulta devuelve todos los nombres de usuario que se inician con la
letra a.
Otro ejemplo representa las organizaciones en las cuales es posible realizar
una bsqueda de directorio estructural, tal como:
Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
miempresa.com -> ingeniera.miempresa.com o ventas.miempresa.com
Es posible especificar cualquier opcin aplicable donde se desee iniciar la

bsqueda en el directorio LDAP.
o=miempresa.com u o=ingeniera.miempresa.com
Es posible especificar una comparacin lgica usando > o < en una cadena de
bsqueda LDAP.
Una consulta LDAP que proporciona ms de 1000 resultados puede fallar.
Asegrese de configurar la base de bsqueda de forma que se informen menos
de 1000 usuarios.
8 Escriba el nombre de la cuenta de usuario LDAP en el cuadro Cuentas
autorizadas.
9 Escriba la contrasea de la cuenta de usuario LDAP en el cuadro Contrasea.
10 Haga clic en Enumerar usuarios para visualizar una lista de usuarios en el
servidor LDAP.
Si se marca Mostrar slo usuarios que no se hayan agregado a ningn grupo,
slo aparecen los usuarios que no se han agregado.
Importar usuarios desde una lista de resultados de

bsqueda de un servidor de directorios LDAP
Es posible tambin importar usuarios desde una lista de resultados de bsqueda
de un servidor LDAP.
Para importar usuarios desde una lista de resultados de bsqueda de un servidor
de directorios LDAP
2 En el rbol de Lista de grupos, seleccione el grupo al que desee agregar
usuarios desde el servidor LDAP.
Haga clic en Agregar todo si desea agregar todos los usuarios o seleccione
usuarios especficos de la lista, y despus haga clic en Agregar.
3 Haga clic en el nombre del campo segn el cual se clasificar.
Es posible clasificar los resultados de la bsqueda por campo en orden
ascendente o descendente.
4 Seleccione uno o ms usuarios desde el rea de Lista de usuarios de LDAP.

Es posible utilizar las teclas de seleccin estndar de Windows como CTRL
para seleccionar usuarios no continuos.
5 Haga clic en Agregar de modo que los nombres de nuevos usuarios aparezcan
en el rbol del grupo.
6 Repita este proceso para agregar usuarios a otros grupos, como sea necesario,
hasta que haya agregado todos los nuevos usuarios a los grupos apropiados.
7 Haga clic en Cerrar.
Acerca de las unidades organizativas y el servidor

LDAP
Symantec Endpoint Protection Manager puede sincronizar automticamente
usuarios, equipos y la estructura de grupos entera en una unidad de organizativa
(OU) desde un servidor de Active Directory o LDAP. Cuando se importan, es posible
asignar polticas a los grupos que se crean. Las unidades organizativas importadas
no se pueden modificar en la consola de Symantec Endpoint Protection Manager.
Si necesita agregarlas, eliminarlas o modificarlas de cualquier manera, es necesario
realizar estas tareas en el servidor LDAP. Symantec Endpoint Protection Manager
permanece automticamente sincronizado con la estructura que se implementa
en el servidor de directorios si se habilita la sincronizacin.
Es posible adems crear grupos en Symantec Endpoint Protection Manager y
copiar usuarios en l desde las OU. El mismo usuario puede existir en el grupo en
el administrador y una OU. En esta situacin, la prioridad del grupo es mayor que
la prioridad de la OU. Por lo tanto, la poltica del grupo se aplica al usuario o al
equipo.
Importacin de unidades organizativas desde un servidor de directorios

activo o LDAP
Si desea importar una unidad organizativa o un contenedor, es necesario haber
conectado Symantec Endpoint Protection Manager a un servidor LDAP.
No es posible filtrar resultados desde el cuadro de dilogo Importar unidades
organizativas. Si es necesario filtrar usuarios, debe hacerlo cuando se agrega el
servidor LDAP a Symantec Endpoint Protection Manager. Los servidores de Active
Directory no se pueden filtrar en cualquier lugar.
Este proceso puede tardar bastante tiempo, dependiendo del nmero de usuarios.
Una unidad organizativa no se puede poner en ms de un rbol de grupos.
Para importar una unidad organizativa desde un servidor LDAP
2 En la pgina Clientes, bajo Ver, seleccione el grupo al cual desee agregar la
unidad organizativa o el contenedor.
3 En la pgina Clientes, bajo Tareas, haga clic en Importar unidad organizativa
o contenedor.
4 Elija el dominio.
5 Seleccione la unidad organizativa.
Sincronizacin de unidades organizativas

La integracin y la sincronizacin con los servidores LDAP y Active Directory es
una funcin opcional de Symantec Endpoint Protection Manager. Es posible
importar unidades organizativas desde otros servidores y configurar la
sincronizacin automtica de las unidades importadas con los otros servidores.
Cualquier cambio que usted realice en el servidor LDAP no aparece inmediatamente
en la unidad organizativa que fue importada en Symantec Endpoint Protection
Manager. El perodo de latencia depende de la frecuencia de sincronizacin. Es
posible configurar la frecuencia de sincronizacin editando propiedades del
servidor en Symantec Endpoint Protection Manager.
El nombre del usuario an aparece en el grupo en Symantec Endpoint Protection
Manager, incluso si se haban realizado las siguientes tareas:
Copiar un usuario de una unidad organizativa a un grupo.
Eliminar ese usuario del servidor LDAP posteriormente.
La sincronizacin ocurre solamente entre el servidor LDAP y la unidad
organizativa.
Captulo 17
Administrar servidores de
correo electrnico
Acerca de administrar servidores de correo electrnico
Establecer comunicacin entre Symantec Endpoint Protection Manager y

servidores de correo
Acerca de administrar servidores de correo

electrnico
Si su red admite servidores de correo electrnico, es posible realizar las siguientes
tareas despus de establecer la comunicacin entre Symantec Endpoint Protection
Manager y el servidor de correo electrnico:
Configure notificaciones automticas de correo electrnico para eventos de
seguridad que sern enviadas a los administradores.
Configure notificaciones automticas de correo electrnico para eventos de
seguridad que sern enviadas a los clientes.
Las notificaciones automticas de correo electrnico pueden ocurrir solamente
si se establece una conexin entre Symantec Endpoint Protection Manager y por
lo menos uno de los servidores de correo electrnico en la red.
en la pgina 578.
300 Administrar servidores de correo electrnico
Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo
Establecer comunicacin entre Symantec Endpoint

Protection Manager y servidores de correo
Si desea utilizar la notificacin de correo electrnico, es necesario configurar el
servidor de correo en Symantec Endpoint Protection Manager.
Para establecer comunicacin entre Symantec Endpoint Protection Manager y
servidores de correo
Administrador.
2 En la pgina Administrador, bajo Tareas, haga clic en Servidor.
Symantec Endpoint Protection Manager para la cual desee establecer una
conexin al servidor de correo.
servidor.
5 En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor
de correo.
6 En el cuadro de dilogo Propiedades del servidor, escriba la direccin IP, el
nombre de host o el nombre de dominio del servidor de correo en el cuadro
de texto Direccin del servidor.
7 En el cuadro de dilogo Propiedades del servidor, escriba el nombre de usuario
de la cuenta en el servidor de correo, en el cuadro de texto Nombre de usuario.
Es necesario agregar un nombre de usuario solamente si el servidor de correo
requiere autenticacin.
8 En el cuadro de dilogo Propiedades del servidor, escriba la contrasea de
una cuenta en el servidor de correo en el cuadro de texto Contrasea.
Es necesario agregar una contrasea solamente si el servidor de correo
requiere autenticacin
Captulo 18
proxy
Acerca de los servidores proxy
Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint

Protection Manager
Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint

Protection Manager
Acerca de los servidores proxy

Es posible utilizar servidores proxy HTTP y servidores proxy FTP para que lo
ayuden a administrar LiveUpdates.
Es posible establecer conexiones entre Symantec Endpoint Protection Manager
y los siguientes tipos de servidor:
Servidor proxy HTTP
Servidor proxy FTP
Configurar una conexin entre un servidor proxy HTTP

Si admite un servidor proxy HTTP en la red corporativa, debe conectar el servidor
proxy HTTP a Symantec Endpoint Protection Manager. Puede utilizar el servidor
proxy HTTP para descargar automticamente el contenido de LiveUpdate.
302 Administrar servidores proxy
Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager
Para configurar un servidor proxy HTTP

Administrador.
Symantec Endpoint Protection Manager a la cual desea conectar un servidor
proxy HTTP.
servidor.
proxy.
6 En la ficha Servidor proxy del cuadro de dilogo Propiedades del servidor,
bajo Configuracin del proxy HTTP, seleccione el uso de la lista Utilizacin
del proxy.
Usar mi configuracin HTTP de opciones Especifica que las opciones de Internet

de Internet estn utilizadas como configuracin
HTTP.
Contine con el paso 7.
Utilizar la configuracin proxy Puede utilizar su propia configuracin

personalizada proxy personalizada.
No utilizar proxy No se implementa la configuracin proxy.

escriba la direccin IP del servidor proxy HTTP en el campo Direccin del
servidor.
Una direccin IP o un nombre de servidor vlido de hasta 256 caracteres.
bajo Configuracin del proxy HTTP, escriba el nmero de puerto del servidor
proxy en el campo Puerto.
Un nmero de puerto vlido va de 0 a 65535.
bajo Configuracin del proxy HTTP, marque Necesito autorizacin para
conectarme mediante el servidor proxy.
Administrar servidores proxy 303
Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager

bajo Configuracin del proxy HTTP, escriba el nombre de usuario del servidor
proxy en el campo Nombre de usuario.
bajo Configuracin del proxy HTTP, escriba la contrasea del servidor proxy
a la que desea conectarse en el campo Contrasea.
Configurar una conexin entre un servidor proxy FTP

Si admite un servidor proxy FTP en la red corporativa, debe conectar el servidor
proxy FTP a Symantec Endpoint Protection Manager. Puede utilizar el servidor
proxy HTTP para descargar automticamente el contenido de LiveUpdate.
Para configurar una conexin entre un servidor proxy FTP y Symantec Endpoint
Protection Manager
Administrador.
Symantec Endpoint Protection Manager a la cual desea conectar un servidor
proxy FTP.
servidor.
proxy.
304 Administrar servidores proxy
Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager

bajo Configuracin del proxy FTP, seleccione el uso de la lista Utilizacin del
proxy.
Usar mi configuracin de FTP de Especifica que las opciones de Internet

opciones de Internet estn utilizadas como configuracin de
FTP.
Utilizar la configuracin proxy Puede utilizar su propia configuracin

personalizada proxy personalizada.
No utilizar proxy No se implementa la configuracin proxy.

escriba la direccin IP del servidor proxy FTP en el campo Direccin del
servidor.
Una direccin IP o un nombre de servidor vlido de hasta 256 caracteres.
bajo Configuracin del proxy FTP, escriba el nmero de puerto del servidor
proxy en el campo Puerto.
Un nmero de puerto vlido va de 0 a 65535.
Captulo 19
Administrar servidores RSA
Acerca de los requisitos previos
Configurar un cliente de RSA ACE
Configurar el servidor de administracin para admitir la comunicacin HTTPS
Acerca de los requisitos previos

Si desea autenticar administradores usando Symantec Endpoint Protection
Manager con RSA SecurID, es posible habilitarlo ejecutando el asistente para la
instalacin de RSA.
Antes de ejecutar el asistente, asegrese de que:
Tiene un servidor RSA ACE instalado.
El host de Symantec Endpoint Protection Manager est registrado como host
vlido en el servidor RSA ACE.
El archivo sdconf.rec en el servidor RSA ACE es accesible en la red.
Se ha asignado un dispositivo de seguridad o una tarjeta SecurID a una cuenta
de Policy Manager. El nombre de inicio de sesin debe estar activado en el
servidor RSA ACE.
El administrador tiene el PIN RSA o la contrasea disponible.
Symantec admite los siguientes tipos de inicios de sesin de RSA:
Token RSA SecurID (no tokens de software RSA)
Tarjeta RSA SecurID
Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
306 Administrar servidores RSA
Para iniciar sesin en Symantec Endpoint Protection Manager con RSA SecurID,
el administrador necesita un nombre de inicio de sesin, el token (hardware) y un
nmero de pin. El administrador de seguridad RSA tpicamente asigna el nombre
de inicio de sesin, el token (hardware) y un nmero de pin. El token y el nmero
de pin se deben sincronizar con el nombre de inicio de sesin y deben haberse
activado.

Si su red corporativa incluye un servidor RSA, es necesario configurar un cliente
RSA ACE en Symantec Endpoint Protection Manager.
Para configurar un cliente RSA ACE
Administrador.
Symantec Endpoint Protection Manager a la cual desee conectar un servidor
RSA.
4 En la pgina Administrador, bajo Tareas, haga clic en Configurar
autenticacin SecurID.
5 En el panel Asistente para configurar la autenticacin SecurID, haga clic en
Siguiente.
6 En el panel Aptitudes del panel del Asistente para configurar la autenticacin
SecurID, lea los requisitos previos de modo que se puedan cumplir todos los
requisitos.
7 Haga clic en Siguiente.
8 En el panel Cargar archivo RSA del panel del Asistente para configurar la
autenticacin SecurID, busque la carpeta en la cual el archivo sdconf.rec
reside.
Es posible adems escribir el nombre de ruta.
10 Haga clic en Prueba para probar su configuracin.
11 En el cuadro de dilogo Configuracin de prueba, escriba el nombre de usuario
y la contrasea para su SecurID y despus haga clic en Prueba.
Administrar servidores RSA 307
Configurar el servidor de administracin para admitir

la comunicacin HTTPS
Si planea utilizar la comunicacin HTTPS y la autenticacin SSL entre los clientes,
Symantec Endpoint Protection Manager y mdulos de Enforcer opcionales, es
necesario agregar un certificado SSL. Es necesario agregar el certificado SSL a
Internet Information Server de Microsoft (IIS).
Para configurar el servidor de administracin para admitir la comunicacin HTTPS
1 Genere o compre un certificado SSL.
2 Agregue el certificado al servidor IIS instalado en el mismo equipo que
Symantec Endpoint Protection Manager.
Haga clic en Inicio > Programas > Herramientas administrativas >
Administrador de Internet Information Services (IIS).
Bajo el equipo local, seleccione Symantec Web Server bajo sitios Web.
Haga clic con el botn secundario en Symantec Web Server y elija
Propiedades.
En la ficha Seguridad de directorios, haga clic en Certificado de servidor
para iniciar el Asistente para certificados de servidor Web.
Cree o importe un certificado de servidor siguiendo los pasos en el
asistente.
Consulte la ayuda en la pantalla de IIS si necesita ms informacin.
En la ficha Sitio Web, especifique el nmero de puerto para el puerto SSL
(443 de forma predeterminada).
3 Configure el servidor de administracin para admitir la comunicacin HTTPS.

308 Administrar servidores RSA
Captulo 20
Administrar certificados de
servidor
Acerca de los tipos de certificado de servidor
Actualizar un certificado de servidor con un asistente
Hacer copia de respaldo de un certificado de servidor
Acerca de los tipos de certificado de servidor

Los certificados digitales son el estndar de la industria para autenticar y cifrar
datos confidenciales. Si desea prevenir la lectura de informacin cuando sta pasa
a travs de los routers en la red, es necesario cifrar los datos. Por lo tanto, se
necesita un certificado digital que utilice el protocolo HTTPS.
Como parte de este procedimiento seguro, el servidor identifica y se autentica con
un certificado de servidor. Symantec utiliza el protocolo HTTPS para la
comunicacin entre todos los servidores, clientes y mdulos de Enforcer opcionales
en una red.
Se debe adems habilitar el cifrado en el servidor de administracin de modo que
el servidor identifique y se autentique con un certificado de servidor. Si no habilita
esta opcin, la instalacin de un certificado digital no es eficaz.
Symantec Endpoint Protection Manager admite los siguientes tipos de certificado:
Archivo de almacn de claves JKS (.jks)
Una herramienta Java que se llama keytool.exe genera el archivo del almacn
de claves. Symantec admite solamente el formato del estndar de claves de
Java (JKS). El formato de extensin de criptografa de Java (JCEKS) necesita
una versin especfica de Java Runtime Environment (JRE). Symantec Endpoint
310 Administrar certificados de servidor
Protection Manager admite solamente un archivo de almacn de claves JCEKS

generado con la misma versin que el kit del desarrollo de Java (JDK) en
Archivo de almacn de claves PKCS12 (.pfx y .p12)
El almacn de claves debe contener un certificado y una clave privada. La
contrasea del almacn de claves debe ser igual que la contrasea principal.
Se exporta generalmente de Internet Information Services (IIS).
Archivo de claves privadas y certificado (formato DER y PEM)
Symantec admite certificados y claves privadas no cifrados en los formatos
DER o PEM. Los archivos de clave privada PKCS8 cifrados no se admiten.
Sera aconsejable hacer una copia de respaldo de la informacin sobre el certificado
como medida de seguridad. Si se daa el servidor de administracin o se olvida la
contrasea del almacn de claves, es posible extraer fcilmente la contrasea.

Es posible utilizar el asistente para actualizar certificados del servidor como gua
para el proceso de actualizar certificados.
Para actualizar un certificado de servidor con un asistente
Administrador.
2 En la pgina Administrador, bajo Ver servidor, haga clic en el servidor de
administracin para el cual desee actualizar el certificado de servidor.
4 En la pgina Administrador, bajo Tareas, haga clic en Administrar certificado
del servidor.
5 En el panel de bienvenida del Asistente para administrar certificados del
servidor, haga clic en Siguiente.
6 En el panel Administrar certificado del servidor, haga clic en Actualizar el
certificado del servidor.
Administrar certificados de servidor 311
7 En el panel Administrar certificado del servidor, haga clic en Siguiente.

8 Seleccione cualquiera de las siguientes opciones para instalar o actualizar
un certificado de servidor:
Archivo de almacn de claves JKS (.jks) Ver "Actualizar un certificado JKS con un
asistente" en la pgina 311.
Archivo de almacn de claves PKCS12 Ver "Actualizar un certificado PKCS12 con

(.pfx y .p12) un asistente" en la pgina 312.
Archivo de claves privadas y certificado Ver "Actualizar certificados y claves

(formato DER y PEM) privadas sin cifrar (DER o PEM) con un
Actualizar un certificado JKS con un asistente

1 Realice los pasos 1 a 8, a menos que ya lo haya hecho.
2 En el panel Actualizar certificado del servidor, haga clic en Archivo de
almacn de claves JKS (.jks).
4 En el panel Almacn de claves JKS, haga clic en Examinar para localizar el
archivo de almacn de claves JKS (.jks) en el servidor de administracin, o
escriba la ruta para este archivo en el campo de texto.
5 En el cuadro de dilogo Seleccionar archivo de almacn de claves Java, haga
clic en Abrir despus de que haya localizado el archivo.
6 En el panel Almacn de claves JKS, escriba la contrasea del almacn de claves
en el cuadro de texto Contrasea del almacn de claves.
7 En el panel Almacn de claves JKS, escriba la contrasea del almacn de claves
en el campo de texto Contrasea de clave por segunda vez.
8 En el panel Almacn de claves JKS, haga clic en Siguiente.
9 En el panel Ha finalizado el Asistente para administrar certificados del
servidor, haga clic en Finalizar.
En el panel Ha finalizado el Asistente para administrar certificados del
servidor, aparece un mensaje que indica si los certificados de servidor fueron
agregados correctamente. Es necesario terminar una sesin y reiniciar el
servidor de administracin antes de que el certificado entre en vigor.
Actualizar un certificado PKCS12 con un asistente

2 En el panel Actualizar certificado del servidor, haga clic en Archivo de
almacn de claves PKCS12 (.pfx y .p12).
4 En el panel Almacn de claves PKCS12, haga clic en Examinar para localizar
el archivo de almacn de claves PKCS12 (.pfx y .p12) en el servidor de
administracin, o escriba la ruta para este archivo en el campo de texto.
5 En el cuadro de dilogo Seleccionar archivo PKCS12 , haga clic en Abrir
despus de que haya localizado el archivo.
6 En el panel Almacn de claves PKCS12, escriba la contrasea del almacn de
claves en el cuadro de texto Contrasea del almacn de claves.
7 En el panel Almacn de claves PKCS12, haga clic en Siguiente.
Actualizar certificados y claves privadas sin cifrar (DER o PEM) con un asistente
2 En el panel Actualizar certificado del servidor, haga clic en Archivo de claves
privadas y certificados (formato DER y PEM).
4 El panel Archivo de certificado, localice el certificado (formato DER y PEM)
en el servidor de administracin haciendo clic en Examinar.
Alternativamente, escriba la ruta para este archivo en el cuadro de texto Ruta
del certificado.
5 El panel Archivo de certificado, haga clic en Examinar para localizar el archivo
de clave privada (formato DER y PEM) en el servidor de administracin.
Alternativamente, escriba la ruta para este archivo en el cuadro de texto
Archivo de clave privada.
Administrar certificados de servidor 313
6 En el panel Archivo de certificado, haga clic en Siguiente despus de que haya

localizado los archivos.

En caso de que se dae el servidor de administracin, es necesario hacer una copia
de respaldo de la clave privada as como de los archivos que representan el
certificado.
Para hacer una copia de respaldo de un certificado de servidor
Administrador.
2 En la pgina Administrador, bajo Ver servidor, haga clic en el servidor de
administracin cuyo certificado de servidor desea incluir en la copia de
respaldo.
4 En la pgina Administrador, bajo Tareas, haga clic en Administrar certificado
del servidor.
5 En el panel de bienvenida del Asistente para administrar certificados del
servidor, haga clic en Siguiente.
6 En el panel Administrar certificado del servidor, haga clic en Hacer copia de
respaldo del certificado del servidor.
7 En el panel Hacer copia de respaldo del certificado del servidor, escriba la
ruta o vaya a la carpeta en la cual desee hacer la copia de respaldo de la clave
privada. Observe que se hace una copia de respaldo del certificado del servidor
de administracin en la misma carpeta.
El archivo del almacn de claves JKS se incluye en una copia de respaldo
durante la instalacin inicial. Un archivo que se llama servermarca de
hora.xml tambin se incluye en una copia de respaldo. El archivo del almacn
de claves JKS incluye el par de claves privada y pblica del servidor y el
certificado autofirmado.
8 En el panel Hacer copia de respaldo del certificado del servidor, haga clic en
Siguiente.
9 En el panel Administrar certificado del servidor, haga clic en Finalizar.
Captulo 21
Administrar bases de datos
Acerca de la administracin de bases de datos
Hacer una copia de respaldo de una base de datos de Microsoft SQL
Realizar copia de respaldo de una base de datos cuando sea necesario desde
Programar copias de respaldo automticas de bases de datos de Symantec

Restaurar una base de datos
Editar el nombre y la descripcin de una base de datos en la consola de

Volver a configurar una base de datos
Acerca de administrar datos de registro

Symantec Endpoint Protection y Symantec Network Access Control admiten
Microsoft SQL o una base de datos integrada. Por lo general, la base de datos
integrada se utiliza para las organizaciones con 1000 o menos clientes que se
conectan a la consola de Symantec Endpoint Protection Manager. Las
organizaciones ms grandes generalmente utilizan Microsoft SQL Server para la
base de datos.
Si instala una base de datos integrada, Symantec Endpoint Protection Manager
puede instalar automticamente la base de datos. Si el entorno de su empresa
admite un servidor MS SQL, puede aprovechar el hardware y el software existentes.
Los servidores MS SQL permiten que se admita un nmero ms grande de clientes.
316 Administrar bases de datos
Una base de datos contiene informacin sobre polticas de seguridad y de

aplicacin. Adems, todas las opciones de configuracin, los datos sobre ataques,
los registros y los informes tambin se incluyen en la base de datos. Por lo tanto,
puede supervisar brechas de seguridad en la red.
La informacin de la base de datos se almacena en las tablas, tambin llamadas
esquemas de base de datos. El esquema se proporciona para los administradores
que pueden necesitarlo para la elaboracin de informes especializados.
Acerca de las convenciones de nomenclatura de una base de datos

Una base de datos de Microsoft SQL utiliza convenciones de nomenclatura
diferentes de una base de datos integrada.
Convencin de nomenclatura para una base de datos de

Microsoft SQL
Puede instalar una base de datos de Microsoft SQL en el mismo equipo que
Symantec Endpoint Protection Manager o en otro. En ambos casos, la base de
datos de Microsoft SQL guarda el mismo nombre que el equipo en el cual se instala
el servidor de bases de datos de Microsoft SQL.
Es posible instalar el servidor de administracin y la base de datos de Microsoft
SQL en el mismo equipo que se llama PolicyMgrCorp. La base de datos conserva
el mismo nombre que el equipo en el cual se instala. El nombre de la base de datos
aparece en el rbol de la pgina Administrador bajo Ver. Adems aparece como
Direccin de base de datos de la base de datos de Microsoft SQL en el panel
Administracin de la base de datos.
Convencin de nomenclatura para una base de datos integrada

Si utiliza una base de datos integrada, el nombre de la base de datos siempre ser
host local.
El nombre, host local, aparece en la pgina Administrador bajo Ver. Adems, se
incluye como Direccin de base de datos de la base de datos integrada en el panel
Administracin de la base de datos.
Asistente para la configuracin del servidor de administracin y

herramientas de base de datos de Symantec
Puede hacer una copia de respaldo de ciertas opciones de base de datos, como el
nombre de la base de datos, programarlas y editarlas desde la consola de Symantec
Endpoint Protection Manager. Sin embargo, slo puede restaurar y volver a
Administrar bases de datos 317
configurar bases de datos con el Asistente para la configuracin del servidor de

administracin y la utilidad Symantec Database Backup and Restore.
Es posible utilizar el Asistente para la configuracin del servidor de administracin
para volver a configurar todo MS SQL y la configuracin de la base de datos
integrada.
Ver "Acerca de la reconfiguracin de una base de datos" en la pgina 318.
Puede utilizar la utilidad Herramientas de base de datos de Symantec para hacer
una copia de respaldo de todas las opciones de MS SQL y de la base de datos
integrada, restaurarlas y volver a configurarlas.
Ver "Acerca de la copia de respaldo y la restauracin de una base de datos"
en la pgina 317.
Acerca de la copia de respaldo y la restauracin de una base de datos

Como el tamao de una base de datos aumenta a lo largo del tiempo, debe hacer
copias de respaldo de la base de datos regularmente. Si se produce un desastre,
debe restaurar la ltima instantnea de la base de datos. Hacer copias de respaldo
de bases de datos y quitar el espacio sin usar es un paso necesario en el
mantenimiento de una base de datos de produccin.
Copias de respaldo de base de datos

Cuando se hace una copia de respaldo de una base de datos, se crea una copia
separada de la base de datos. En caso de corrupcin de datos o de un error de
hardware, puede volver a una copia de respaldo anterior. Si desea obtener una
copia limpia de la base de datos, debe volver al punto anterior a que se produjera
el problema. Puede ser necesario volver a introducir ciertos datos en la base de
datos durante el proceso de recuperacin. Sin embargo, se conserva la estructura
principal y la mayora de los datos con una copia de respaldo reciente. Puede hacer
una copia de respaldo de la base de datos desde la consola de Symantec Endpoint
Protection Manager o con la utilidad Symantec Database Backup and Restore. La
utilidad Symantec Database Backup and Restore se instala automticamente
durante la instalacin.
Puede hacer copia de respaldo de:
Slo la base de datos de Microsoft SQL, usando Microsoft SQL Server Enterprise
Manager para configurar un plan de mantenimiento que incluye copias de
respaldo automticas.
Base de datos integrada o una base de datos de MS SQL, desde la consola de
Symantec Endpoint Protection Manager. Puede realizar una copia de respaldo
cuando lo necesite y programar copias de respaldo automticas.
Las copias de respaldo se deben almacenar preferiblemente en una unidad de disco

diferente. Es necesario hacer una copia de respaldo de la unidad de disco
peridicamente.
en la pgina 320.
Restaurar base de datos

Es posible que deba restaurar una base de datos por un nmero de motivos.
La restauracin de una base de datos se debe producir si:
Se daan los datos de la base de datos.
Se produce un error en el hardware.
Se desea convertir una base de datos integrada en una base de datos de Microsoft
SQL o viceversa.
Si los datos ya existen en la base de datos anterior, debe:
Hacer una copia de respaldo del sitio.
Volver a configurar la base de datos.
Crear una nueva base de datos vaca.
Restaurar la base de datos.
Si tiene una copia de respaldo de una base de datos, puede restaurar esa base de
datos en el equipo en el que se instal Symantec Endpoint Protection Manager.
Tambin puede restaurar la base de datos en cualquier otro equipo.
Utilice la utilidad Symantec Database Backup and Restore para restaurar una base
de datos. Esta herramienta se instala automticamente cuando instala Symantec
Endpoint Protection Manager.
Ver "Restaurar una base de datos" en la pgina 327.
Acerca de la reconfiguracin de una base de datos

Es necesario volver a configurar la base de datos en ciertas circunstancias. Si:
Se modific la direccin IP o el nombre de host del servidor de la base de datos.
Se modific el puerto del servidor de la base de datos que se conecta a Symantec
Se modific el nombre de la base de datos.
Tambin puede modificar el nombre de la base de datos en Symantec Endpoint

Protection Manager.
Ver "Editar el nombre y la descripcin de una base de datos en la consola de
Slo MS SQL: se modific el nombre del usuario responsable de la base de datos.
Si modifica el nombre de usuario del servidor de la base de datos en un servidor
de bases de datos, la consola de Symantec Endpoint Protection Manager no se
puede conectar al servidor de bases de datos.
Se modific la contrasea del usuario responsable de la base de datos. Puede
modificar la contrasea del usuario responsable del servidor de la base de
datos. Si modifica la contrasea, el servidor de administracin no podr
conectarse al servidor de bases de datos.
Slo MS SQL: se modific la ruta del cliente SQL. Se modific la carpeta de la
papelera del cliente SQL que, de forma predeterminada, est ubicada en
C:\Program Files\Microsoft SQL Server\80\Tools\Binn.
Si modific la ruta del cliente SQL en el servidor de bases de datos de Microsoft
SQL, la consola de Symantec Endpoint Protection Manager no podr conectarse
al servidor de bases de datos.
Se actualiza una base de datos integrada a una base de datos de Microsoft SQL
Ver "Volver a configurar una base de datos" en la pgina 329.
Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec
Network Access Control. Proporciona informacin acerca de cmo actualizar una
base de datos integrada a una base de datos de Microsoft SQL.
Acerca de la programacin de una copia de respaldo de base de datos

Es posible realizar copias de respaldo manuales de bases de datos o configurar
una programacin automtica de copias de respaldo de MS SQL y de bases de datos
integradas en Symantec Endpoint Protection Manager. Sin embargo, tambin
puede utilizar el Asistente para el mantenimiento de bases de datos de MS SQL
Server para programar copias de respaldo automticas para una base de datos de
Microsoft SQL. Adems, puede utilizar la utilidad Symantec Database Backup and
Restore para recuperar una base de datos de Microsoft SQL o una base de datos
integrada.
Ver "Programar copias de respaldo automticas de bases de datos de Symantec
Ver "Hacer una copia de respaldo manual de una base de datos de Microsoft SQL
desde la consola de Symantec Endpoint Protection Manager" en la pgina 320.
Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL con el
Asistente para la planificacin del mantenimiento de bases de datos"
en la pgina 321.
Network Access Control. Proporciona informacin acerca de cmo hacer una copia
de respaldo de una base de datos de Microsoft SQL con la utilidad Symantec
Database Backup and Restore.
Hacer una copia de respaldo de una base de datos de

Microsoft SQL
Puede hacer una copia de respaldo de una base de datos de Microsoft SQL desde
la consola de Symantec Endpoint Protection Manager o la utilidad Symantec
Database Backup and Restore cuando lo necesite. La utilidad Symantec Database
Backup and Restore se instala automticamente durante la instalacin de Symantec
Endpoint Protection Manager. Tambin puede utilizar el Asistente para la
planificacin del mantenimiento de bases de datos que se incluye en el software
MS SQL Server para hacer la copia de respaldo de la base de datos de Microsoft
SQL. El Asistente para la planificacin del mantenimiento de bases de datos de
MS SQL tambin puede ayudarlo a configurar una programacin de copias de
respaldo y otras tareas de mantenimiento.
Ver "Copias de respaldo de base de datos" en la pgina 317.
Ver "Hacer una copia de respaldo manual de una base de datos de Microsoft SQL
desde la consola de Symantec Endpoint Protection Manager" en la pgina 320.
Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL con el
Asistente para la planificacin del mantenimiento de bases de datos"
en la pgina 321.
Network Access Control. Proporciona informacin acerca de cmo hacer una copia
de respaldo de una base de datos de Microsoft SQL con la utilidad Symantec
Database Backup and Restore.
Hacer una copia de respaldo manual de una base de datos de Microsoft

SQL desde la consola de Symantec Endpoint Protection Manager
La consola de Symantec Endpoint Protection Manager incluye una copia de
respaldo del sitio que se puede utilizar para hacer una copia de respaldo y restaurar
la base de datos. Adems, puede configurar un plan de mantenimiento en el agente

de Microsoft SQL Server.
El paso siguiente incluye la configuracin recomendada.
Es posible que deba utilizar diferentes opciones de configuracin de acuerdo con:
El tamao de su organizacin.
La cantidad de espacio libre en el disco que se ha reservado para las copias de
respaldo.
Las pautas obligatorias de su compaa.
Para hacer una copia de respaldo manual de la base de datos de Microsoft SQL
desde la consola de Symantec Endpoint Protection Manager
Administrador.
2 En la pgina Administrador, haga clic en Servidores.
3 En la pgina Administrador, debajo de Ver, haga clic en el icono que representa
la base de datos de Microsoft SQL.
4 En la pgina Administrador, debajo de Tareas, haga clic en Hacer copia de
respaldo del sitio ahora.
Se hace la copia de respaldo de todos los datos del sitio, incluida la base de
datos, mediante este mtodo. Es posible comprobar el registro del sistema y
la carpeta de copia de respaldo para conocer el estado durante la copia de
respaldo y despus de ella.

con el Asistente para la planificacin del mantenimiento de bases de
datos
Microsoft SQL Server Enterprise Manager proporciona un asistente para ayudarlo
a configurar un plan de mantenimiento de base de datos. Puede utilizar el Asistente
para la planificacin del mantenimiento de bases de datos para administrar la
base de datos y para programar las copias de respaldo automticas de la base de
datos de Microsoft SQL.
Nota: Asegrese de iniciar el agente SQL Server.

Los derechos de acceso de Sysadmin son obligatorios para ejecutar el Asistente
para la planificacin del mantenimiento de bases de datos.
Consulte la documentacin de Microsoft SQL Server para obtener informacin

acerca de cmo mantener una base de datos de Microsoft SQL Server.
Para hacer copia de respaldo de una base de datos de Microsoft SQL con el Asistente
para la planificacin del mantenimiento de bases de datos en Microsoft SQL
Enterprise Manager 2000
1 En SQL Server Enterprise Manager, haga clic en Programas > Microsoft SQL
Server > Enterprise Manager.
2 Expanda el nombre de servidor donde nombre del servidor es el nombre
del servidor en el que est instalada la base de datos.
3 Haga doble clic en la carpeta Administracin.
Cuando se inicia el agente SQL Server, se muestra una flecha verde en el icono.
Si no est iniciado, inicie el administrador de servicios de SQL Server
seleccionando el agente de SQL Server y haciendo clic con el botn secundario
y seleccionando Inicio.
4 Expanda Bases de datos.
5 Haga clic con el botn secundario en sem5 y seleccione el plan Todas las
tareas > Mantenimiento.
6 En la pantalla de bienvenida del Asistente para la planificacin del
mantenimiento de bases de datos, haga clic en Siguiente.
7 En la pantalla Bases de datos, seleccione Estas bases de datos: y, al lado,
marque sem5 para hacer copia de respaldo de la base de datos. A continuacin,
haga clic en Siguiente.
8 En la pantalla Informacin de optimizacin de actualizacin de datos,
seleccione Quitar espacio no utilizado de los archivos de base de datos.
9 En el cuadro de texto Cuando aumenta ms de: escriba 1024 o un tamao
mximo apropiado segn el tamao de su organizacin.
Cuando la base de datos excede el tamao especificado, el espacio sin usar se
quita automticamente.
10 En el cuadro de texto Cantidad de espacio libre despus de la reduccin,
seleccione el 20% del espacio de datos o una cantidad apropiada para las
necesidades de su empresa.
11 Los datos se optimizan semanalmente y se especifica una configuracin
predeterminada aceptable. Si desea modificar la programacin, haga clic en
Cambiar.
En el cuadro de dilogo Editar planificacin de tareas recurrentes que aparece,
especifique cuntas veces y a qu hora se debe quitar el espacio sin usar de
la base de datos. Luego, haga clic en Aceptar.
12 Cuando finalice con la optimizacin de la configuracin, haga clic en Siguiente.

13 En la pantalla Anlisis de la integridad de la base de datos, haga clic en
Siguiente sin configurar esta opcin, porque el administrador de polticas
mantiene la integridad de la base de datos.
14 En la pantalla Especificar la pantalla del plan de la copia de respaldo de la
base de datos, marque Hacer una copia de respaldo de la base de datos como
parte del plan de mantenimiento y Verificar la integridad de la copia de
respaldo cuando est completa.
15 Seleccione los medios en los que desea guardar la copia de respaldo.
16 Haga clic en Cambiar para modificar la programacin de la copia de respaldo.
17 En el cuadro de dilogo Editar planificacin de tareas recurrentes, despus
de Ocurre, haga clic en Diariamente.
Seleccione la frecuencia con la que desea que se realice una copia de respaldo
de la base de datos. Se recomienda cada 1 da.
18 Marque Activar programacin.
19 Configure la hora en la que desea que se realicen las copias de respaldo y las
fechas de inicio y finalizacin, o seleccione Sin fecha de finalizacin, si
corresponde, y haga clic en Aceptar.
21 En la pantalla Especificar directorio del disco de copia de respaldo, especifique
un directorio de copia de respaldo haciendo clic en Utilizar el directorio
predeterminado de copias de respaldo (la ruta predeterminada es
\MSSQL\BACKUP) o Utilizar este directorio.
22 Seleccione el directorio en el que desea copiar los archivos.
El directorio debe estar ubicado en el mismo equipo que la base de datos. Es
necesario dirigir la copia de respaldo a una unidad de disco diferente.
23 Marque Crear un subdirectorio para cada base de datos.
24 Haga clic en Quitar los archivos anteriores a y, a continuacin, especifique
un plazo despus del cual se quitarn o se eliminarn automticamente las
copias de respaldo anteriores.
Asegrese de que tiene suficiente espacio libre en el disco para almacenar las
copias de respaldo para el plazo especificado y haga clic en Siguiente.
25 Contine de la siguiente manera:
Si seleccion Mantener la base de datos Contine con el paso Paso 41

Sem5 automticamente durante la en la pgina 325.
configuracin del servidor de bases de
datos
Si el cuadro de dilogo Modelo de Contine con el paso 41

recuperacin muestra Simple
Si el cuadro de dilogo Modelo de Contine con el paso 26

recuperacin muestra Completa
26 En la pantalla Especificar la planificacin de copias de respaldo del registro

de transacciones, marque Hacer copia de respaldo del registro de
transacciones como parte del plan de mantenimiento.
27 Seleccione los medios en los que desea guardar la copia de respaldo.
28 Haga clic en Cambiar para modificar la programacin de la realizacin de
copias de respaldo del registro de transacciones.
Aparecer el cuadro de dilogo Editar planificacin de tareas recurrentes.
De forma predeterminada, el tamao mximo del registro de transacciones
es 8 GB. Si el registro de transacciones alcanza el tamao mximo, deja de
funcionar y se puede daar la base de datos. (Puede modificar el tamao
mximo del registro de transacciones en SQL Server Enterprise Manager).
29 Despus de Ocurre, haga clic en Diariamente.
Seleccione la frecuencia con la que desea que se realice una copia de respaldo
del registro de transacciones. Se recomienda Cada 1 da. Asegrese de marcar
Habilitar programacin.
30 Seleccione la frecuencia con la que desea que se realicen las copias de respaldo.
Se recomienda la opcin predeterminada, Cada 4 horas.
31 Seleccione una fecha de inicio y finalizacin o Sin fecha de finalizacin, si
corresponde, y haga clic en Aceptar.
33 En la pantalla Especificar directorio del disco de copia de respaldo, seleccione
un directorio de copia de respaldo haciendo clic en Utilizar el directorio
predeterminado de copias de respaldo o en Utilizar este directorio.
La ruta predeterminada es \MSSQL\BACKUP.
34 Seleccione el directorio en el que desea copiar los archivos.
Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager
35 Marque Crear un subdirectorio para cada base de datos.

36 Haga clic en Quitar los archivos anteriores a:
37 Especifique un plazo despus del cual se quitarn o se eliminarn
automticamente las copias de respaldo anteriores.
Asegrese de que tiene suficiente espacio libre en el disco para almacenar las
copias de respaldo para el plazo especificado y, a continuacin, haga clic en
Siguiente.
38 En la pantalla Informes para generar, marque Escribir el informe en un
archivo de texto en el directorio.
Especifique la ruta completa y el nombre del archivo de texto donde es
necesario que se genere el informe.
39 Marque Eliminar archivos de informe de texto anteriores a y configure la
opcin de 4 semanas.
40 Marque Enviar informe de correo electrnico al operador y especifique el
administrador del sistema a quien se le enviar el informe generado mediante
el correo SQL. Si el operador de correo electrnico no est disponible,
seleccione Nuevo operador y, a continuacin, haga clic en Siguiente.
41 En la pantalla Historial de planificacin de mantenimiento, haga clic en
Siguiente.
Debe utilizar la configuracin predeterminada del Historial de planificacin
de mantenimiento, a menos que se necesite modificarla.
42 En la pantalla Completar el historial de planificacin de mantenimiento de
bases de datos, escriba un nombre para la planificacin de mantenimiento,
como Mantenimiento de la base de datos SQL, y, luego, haga clic en Finalizar.
43 Cuando finalice la planificacin, se mostrar el mensaje de que el plan fue
creado correctamente. Luego, haga clic en Aceptar.
Realizar copia de respaldo de una base de datos

cuando sea necesario desde Symantec Endpoint
Protection Manager
Es posible realizar una copia de respaldo cuando sea necesario de una base de
datos integrada desde la consola de Symantec Endpoint Protection Manager.
Ver "Copias de respaldo de base de datos" en la pgina 317.
Network Access Control. Proporciona informacin sobre cmo hacer una copia de
Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager
respaldo de una base de datos integrada con la utilidad Symantec Database Backup
and Restore.
Para hacer una copia de respaldo de una base de datos integrada desde una consola
de Symantec Endpoint Protection Manager
Administrador.
3 En la pgina Administrador, debajo de Ver, haga clic en el icono que representa
la base de datos integrada.
4 En la pgina Administrador, debajo de Tareas, haga clic en Hacer copia de
respaldo del sitio ahora.
Se hace la copia de respaldo de todos los datos del sitio, incluida la base de
datos, mediante este mtodo. Es posible comprobar el registro del sistema y
la carpeta de copia de respaldo para conocer el estado durante la copia de
respaldo y despus de ella.
Programar copias de respaldo automticas de bases

de datos de Symantec Endpoint Protection Manager
Puede establecer programaciones para la copia de respaldo automtica de MS SQL
y de las bases de datos integradas en Symantec Endpoint Protection Manager.
Ver "Acerca de la programacin de una copia de respaldo de base de datos"
en la pgina 319.
Para hacer una copia de respaldo de una base de datos integrada desde una consola
de Symantec Endpoint Protection Manager
Administrador.
3 En la pgina Administrador, bajo Ver, haga clic en el icono que representa a
la base de datos de MS SQL o la base de datos integrada y cuya configuracin
de copia de respaldo desea modificar.
4 En la pgina Administrador, bajo Tareas, haga clic en Editar configuracin
de la copia de respaldo.
5 En el cuadro de dilogo Sitio de copia de respaldo para el sitio local, haga clic
en Programar.
6 Especifique la frecuencia de las copias de respaldo seleccionando Por hora,

Diariamente o Semanalmente.
Si selecciona Por hora, especifique Min para indicar durante cuntos
minutos despus de la hora deben realizarse las copias de respaldo.
Si selecciona Diariamente, especifique Hora de inicio en Hora y Min para
indicar a qu hora se deben llevar a cabo las copias de respaldo diarias.
Si elige Semanalmente, especifique la Hora de inicio en Hora y Min para
indicar la hora en la que se deben llevar a cabo las copias de respaldo.
Si elige Semanalmente, especifique el Da de semana para indicar el da
en el que se deben llevar a cabo las copias de respaldo.

En el tiempo programado, las copias de respaldo se realizan automticamente
y se colocan en un archivo .zip con el nombre de la fecha de la copia de
respaldo. El archivo de respaldo se almacena en una carpeta de respaldo que
se crea en la ruta, tal como lo especifica la raz de los datos del servidor.
Por ejemplo, un archivo de respaldo que se crea el 1 de agosto de 2007 a las
9:46 a. m. se llama 2007-Aug-01_09-46-13-AM.zip.

Si la base de datos no funciona correctamente, puede restaurarla si realiz una
copia de respaldo.
Para restaurar una base de datos
1 Ubique el ltimo archivo de respaldo que tiene. Este archivo est en formato
.zip y tiene el nombre de la fecha en la que fue creado. El archivo se almacena
en una carpeta de respaldo que fue creada en la ruta especificada para la raz
de los datos del servidor.
2 Configure el equipo en el que desea restaurar la base de datos de las siguientes
maneras:
Mediante otro equipo: si se produjo un error en el hardware del equipo
anterior, debe instalar el sistema operativo y Symantec Endpoint
Protection Manager en el nuevo equipo. Aunque reemplaza la base de
datos por nuevos datos, an tiene que configurar una base de datos cuando
finaliza la instalacin.
Mediante el mismo equipo: si el hardware y Symantec Endpoint Protection
Manager funcionan correctamente, puede restaurar la base de datos en
el mismo equipo. Si surgen problemas, puede desinstalar Symantec
Endpoint Protection Manager, volver a instalarlo, configurar la base de

datos y restaurar los datos.
3 Cierre la sesin en la consola.

4 Detenga el servicio de Symantec Endpoint Protection Manager seleccionando
Inicio > Todos los Programas > Herramientas administrativas > Servicios.
5 Ubique el servicio de Symantec Endpoint Protection Manager y, a
continuacin, haga clic con el botn secundario y seleccione Detener.
6 Seleccione Inicio > Todos los Programas > Symantec Endpoint Protection
Manager > Symantec Database Backup and Restore.
7 Haga clic en Restaurar la base de datos.
8 En el cuadro de dilogo Restaurar sitio, seleccione la copia de respaldo que
desea utilizar de la lista
La restauracin de la base de datos tarda varios minutos. La cantidad de
tiempo que lleva terminar la tarea depende del tamao de la base de datos,
del nmero de usuarios, de asociados de replicacin y de otros criterios.
10 Cuando la restauracin de la base de datos finalice, aparecer el siguiente
mensaje:
La base de datos se ha restaurado correctamente.
11 Haga clic en Salir.

12 Haga clic en Inicio > Programas >Symantec Endpoint Protection Manager
si restaur la base de datos en un equipo diferente, porque debe eliminar el
servidor de bases de datos anterior. De lo contrario, ha finalizado la
restauracin de la base de datos.
13 Inicie sesin en la consola de Symantec Endpoint Protection Manager.
14 Haga clic en Administrador.
16 En la pgina Administrador, debajo de Tareas, haga clic con el botn
secundario en el servidor de la base de datos anterior y seleccione Eliminar.
17 Vuelva a configurar los criterios adicionales, tales como nombres de usuario
y contrasea, si es necesario.
Ver "Volver a configurar una base de datos de Microsoft SQL " en la pgina 330.
Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager
Editar el nombre y la descripcin de una base de datos

en la consola de Symantec Endpoint Protection
Manager
Puede editar el nombre y la descripcin de una base de datos local o remota.
Tambin puede editar el nombre de la base de datos con el Asistente para la
configuracin del servidor de administracin.
Ver "Volver a configurar una base de datos de Microsoft SQL " en la pgina 330.
Para editar el nombre y la descripcin de una base de datos
Administrador.
3 En la pgina Administrador, bajo Ver, expanda Sitio local (Sitio <nombre del
sitio>).
4 Seleccione la base de datos local o expanda Sitios remotos para seleccionar
la base de datos de un sitio remoto cuyas propiedades desea editar.
5 En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades de
la base de datos.
6 En el cuadro de dilogo Propiedades de la base de datos, edite el nombre de
la base de datos en el campo Nombre.
7 En el cuadro de dilogo Propiedades de la base de datos, edite la descripcin
de la base de datos en el campo Descripcin.
Los cambios aparecen en el panel Administracin de la base de datos.

Puede volver a configurar una base de datos MS SQL y una base de datos integrada
por cualquiera de los siguientes motivos:
Cambio de la direccin IP del servidor de bases de datos
Cambio del nombre del host del servidor de bases de datos
Volver a configurar una base de datos de Microsoft SQL

Debe utilizar el Asistente para la configuracin del servidor de administracin
para volver a configurar la base de datos de Microsoft SQL.
Para volver a configurar una base de datos de Microsoft SQL
3 Haga clic en Inicio > Todos los Programas > Symantec Endpoint Protection
Manager > Asistente para la configuracin del servidor de administracin.
4 En la pantalla de bienvenida del Asistente para la configuracin del servidor
de administracin, haga clic en Volver a configurar el servidor de
administracin.
de administracin, haga clic en Siguiente para comenzar la reconfiguracin.
6 En el cuadro Nombre del servidor, edite el nombre del equipo en el que est
instalado Symantec Endpoint Protection Manager.
7 Edite el nmero de puerto HTTPS que Symantec Endpoint Protection Manager
incluye en el cuadro Puerto del servidor.
8 Edite el cuadro Carpeta de datos del servidor.
Tambin puede ir a la carpeta raz donde estn los archivos de datos.
La carpeta raz incluye copias de respaldo, replicacin y otros archivos de
El nombre de ruta predeterminado es C:\Program Files\Symantec\Symantec
Endpoint Protection Manager\data)
10 Haga clic en Microsoft SQL Server.
12 Escriba el nombre del servidor de la base de datos en el cuadro Servidor de

bases de datos, si corresponde.
Escriba la direccin IP o el nombre del host del servidor de bases de datos
donde el servidor SQL Server Enterprise Manager (SEM) guarda los datos de
la aplicacin.
13 Escriba el nmero de puerto del servidor SQL en el cuadro Puerto de SQL
Server.
14 Escriba el nombre de la base de datos en el cuadro Nombre de la base de datos.
El nombre de la base de datos de Microsoft SQL donde se almacenan los datos
de la aplicacin.
15 Escriba el nombre del usuario en el cuadro Usuario
Este nombre representa al usuario responsable de la base de datos.
16 Escriba la contrasea en el campo Contrasea.
Esta contrasea es la del usuario de la base de datos. Este campo no puede
estar vaco.
17 Escriba el nombre de la ruta del cliente SQL en Ruta del cliente SQL.
De forma predeterminada, la carpeta de la papelera del cliente SQL contiene
el archivo bcp.exe. Por ejemplo, C:\Program Files\Microsoft SQL
Server\80\Tools\Binn.
El archivo bcp.exe debe residir en el mismo equipo que en el que est instalado
Symantec Endpoint Protection Manager. Este archivo es parte del paquete
del cliente SQL Server. Debe especificar correctamente la cadena de caracteres
del cliente MS SQL en el Asistente para la configuracin del servidor de
administracin. Si la cadena de caracteres no se especifica correctamente o
el paquete del cliente MS SQL no se instal, no es posible volver a configurar
la base de datos.
Se crear la base de datos. Este proceso slo tarda unos pocos minutos. Aparece
un mensaje de base de datos durante ese perodo de tiempo si el servicio
Symantec Endpoint Protection Manager an se est ejecutando.
19 Puede seleccionar Iniciar Symantec Endpoint Protection Manager e Iniciar

Management Console.
Estas opciones estn seleccionadas de manera predeterminada.
20 Haga clic en Finalizar.
Finaliz la reconfiguracin de la base de datos. Si mantuvo las opciones de
inicio seleccionadas, aparecer el inicio de sesin de la consola de Symantec
Volver a configurar una base de datos integrada

Es necesario utilizar el Asistente para la configuracin del servidor de
administracin de Symantec para volver a configurar la base de datos.
Para volver a configurar una base de datos integrada
3 Haga clic en Inicio > Todos los Programas > Symantec Endpoint Protection
Manager > Asistente para la configuracin del servidor de administracin.
de administracin, haga clic en Volver a configurar el servidor de
administracin.
de administracin, haga clic en Siguiente para comenzar la reconfiguracin.
6 En el cuadro Nombre del servidor, edite el nombre del equipo en el que est
instalado Symantec Endpoint Protection Manager.
7 Edite el nmero de puerto HTTPS que Symantec Endpoint Protection Manager
incluye en el cuadro Puerto del servidor.
8 Edite el cuadro Carpeta de datos del servidor.
Vaya a la carpeta raz donde se encuentran los archivos de datos.
La carpeta raz incluye copias de respaldo, replicacin y otros archivos de
El nombre de ruta predeterminado es C:\Program Files\Symantec\Symantec
Endpoint Protection Manager\data)

10 Haga clic en Base de datos integrada.
12 Edite el nombre del servidor de bases de datos en el cuadro Servidor de bases
de datos, si corresponde.
La direccin IP o el nombre de host del servidor de bases de datos donde el
servidor guarda los datos de la aplicacin.
13 Escriba el nmero de puerto del servidor SQL en el cuadro Puerto del servidor
de bases de datos.
14 Escriba el nombre de la base de datos en el cuadro Nombre de la base de datos.
El nombre de la base de datos de Microsoft SQL donde se almacenan los datos
de la aplicacin.
15 Escriba el nombre del usuario en el cuadro Usuario
Este nombre representa al usuario responsable de la base de datos.
16 Escriba la contrasea en el cuadro Contrasea.
Esta contrasea es la del usuario de la base de datos. Este campo no puede
estar vaco.
Se crear la base de datos. Este proceso slo tarda unos pocos minutos. Aparece
un mensaje de base de datos durante ese perodo de tiempo si el servicio
Symantec Endpoint Protection Manager an se est ejecutando.
18 Puede seleccionar Iniciar Symantec Endpoint Protection Manager e Iniciar
Management Console.
Estas opciones estn seleccionadas de manera predeterminada.
Finaliz la reconfiguracin de la base de datos. Si mantuvo las opciones de
inicio seleccionadas, aparecer el inicio de sesin de la consola de Symantec

Es posible configurar un nmero de opciones para administrar los registros que
se almacenan en la base de datos.
Acerca de los registros de datos y el almacenamiento

Los datos de todos los registros que se cargan en la consola se almacenan en la
base de datos de la consola.
Los datos se almacenan en dos tablas en la base de datos a partir de los siguientes
tipos de registros:
Registros de control de aplicaciones y dispositivos
Registros de auditora
Registros de Enforcer
Registros de proteccin contra amenazas de red
Registros del sistema
Los datos de otros registros se almacenan en una sola tabla.
La Configurar opciones de registro para los servidores en un sitiodescribe cmo
configurar las opciones de registro para administrar los registros de base de datos
que se almacenan en dos tablas.
La nica tabla que contiene los otros datos de registros es administrada mediante
las opciones de mantenimiento de base de datos en las propiedades del sitio.
La Configurar opciones de mantenimiento de base de datos para los registros
describe cmo configurar las opciones de mantenimiento de base de datos que
afectan a los datos que se almacenan en una sola tabla.
Para los registros que se almacenan en dos tablas, una tabla (tabla A) es la tabla
de registro real. Las nuevas entradas de registro se escriben en esta tabla. Cuando
se alcanza el umbral o la expiracin del registro, las nuevas entradas de registro
se almacenan en la segunda tabla (tabla B). Los datos permanecen en la tabla A
hasta que la tabla B alcance su umbral o el nmero de das que se especifica para
la caducidad. En ese momento, la tabla A se borra totalmente y las nuevas entradas
se almacenan all. La informacin de la tabla B permanece hasta que ocurra la
conmutacin. La conmutacin de una tabla a la otra, tambin llamada barrido de
registros desde la base de datos, se realiza automticamente. La sincronizacin
del conmutador depende de la configuracin del registro especificada en las
propiedades del sitio. El proceso es igual, sin importar si el barrido es automtico
o manual.
Es posible realizar un barrido manual del registro despus de hacer una copia de
respaldo de la base de datos, si se prefiere utilizar este mtodo como parte del
mantenimiento de base de datos de rutina.
Si permite que ocurra un barrido automtico, es posible perder algunos datos de
registro si las copias de respaldo de la base de datos no se realizan con la suficiente
frecuencia. Si realiza regularmente un barrido manual del registro despus de
haber realizado una copia de respaldo de la base de datos, sta garantiza que se
conserven todos sus datos de registro. Este procedimiento es muy til si es
necesario conservar sus registros por un perodo relativamente largo, tal como
un ao.
Nota: El proceso manual que se describe en Barrer datos de registro de la base de

datos manualmente no afecta los datos en los registros que se almacenan en una
sola tabla en la base de datos.
Barrer datos de registro de la base de datos manualmente

Puede borrar manualmente los registros, pero este paso es opcional y no tiene
que hacerlo.
Para barrer datos de registro de la base de datos manualmente
1 Para prevenir un barrido automtico de la base de datos hasta despus de
crear una copia de respaldo, aumente la Configuracin del registro de las
propiedades del sitio al mximo.
Ver "Configurar opciones de registro para los servidores en un sitio"
en la pgina 336.
2 Realice la copia de respaldo, segn corresponda.
3 En el equipo donde est instalado el administrador, abra un navegador Web
y escriba la siguiente URL:
https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action=SweepLogs
Cuando haya realizado esta tarea, las entradas de registro para todos los tipos
de registros se guardan en la tabla de base de datos alterna. La tabla original
se guarda hasta que se inicie el siguiente barrido.
4 Para vaciar todo excepto las entradas ms actuales, realice un segundo barrido.
Se borra la tabla original y las entradas comienzan a almacenarse all de
nuevo.
5 Recuerde volver Configuracin del registro de las propiedades del sitio a sus
valores preferidos.
Datos de registro de clientes de versiones anteriores

Las funciones de informe de Symantec Endpoint Protection utilizan una carpeta
temporal unidad:\Symantec\Symantec Endpoint Protection
Manager\Inetpub\Reporting\Temp, para varios propsitos. Algunos
administradores pueden querer programar sus propias tareas automatizadas para
limpiar peridicamente esta carpeta temporal. Si lo hace as, asegrese de no

eliminar el archivo LegacyOptions.inc, si existe. Si elimina este archivo, se pierden
los datos entrantes de registros de versiones anteriores del cliente de Symantec
AntiVirus.
Configurar opciones de registro para los servidores en un sitio

Para ayudar a controlar el uso del espacio libre en el disco, es posible configurar
el nmero de entradas que se mantienen en el servidor en los registros de un sitio.
Es posible adems configurar el nmero de das que se guardan las entradas. Es
posible configurar distintas opciones para los diversos sitios.
Nota: La informacin del registro en la ficha Registros de la pgina Supervisin

de la consola se presenta en grupos lgicos para su anlisis. Los nombres de
registros de la ficha Configuracin del registro de las propiedades del sitio
corresponden al contenido del registro, no a los tipos de registro de la ficha
Registros de la pgina Supervisin.

ayuda contextual.
Para configurar opciones de registro para los servidores en un sitio
2 En el sector inferior izquierdo, haga clic en Servidores.
3 Seleccione el sitio que desea configurar.
4 Bajo Tareas, haga clic en Editar propiedades del sitio.
5 En la ficha Configuracin del registro, configure el nmero de entradas y el
nmero de das para guardar las entradas de registro para cada tipo de
registro.
Es posible configurar los tamaos para los registros del servidor de
administracin, los registros de clientes y los registros de Enforcer.
Acerca de configurar la agrupacin de eventos

Configura la agrupacin de eventos para los registros de clientes en dos ubicaciones
de la consola.
La Tabla 21-1 describe dnde configurar la agrupacin de eventos del cliente y lo
que significa la configuracin.
Tabla 21-1 Agrupacin de eventos del cliente
Ubicacin Descripcin
En la pgina Polticas, poltica Utilice esta ubicacin para configurar la agrupacin

antivirus y contra software espa, de los eventos de riesgo. El tiempo predeterminado de
Otros, ficha Tratamiento de la agrupacin es de 5 minutos. La primera incidencia
registros de un evento se registra inmediatamente. Las
incidencias subsecuentes de los mismos eventos se
agrupan y el nmero de incidencias se registra en el
cliente cada 5 minutos.
En la pgina Clientes, pgina Utilice esta ubicacin para configurar la agrupacin

Polticas, Configuracin de de los eventos de proteccin contra amenazas de red.
registros de clientes Los eventos se conservan en los clientes durante el
perodo de reduccin antes de agruparse en un solo
evento y cargarse en la consola. El perodo de reduccin
ayuda a reducir los eventos a un nmero manejable.
La configuracin predeterminada del perodo de
reduccin es de 2 horas. El perodo de reduccin
inactivo determina la cantidad de tiempo que debe
pasar entre las entradas de registro antes de que la
siguiente incidencia se considere como una nueva
entrada. El tiempo inactivo predeterminado de
reduccin es de 10 segundos.

Configurar opciones de registros de clientes

Si ha instalado Symantec Endpoint Protection, puede configurar algunas opciones
de registros de clientes. Es posible configurar el nmero de entradas almacenadas
en los registros y el nmero de das que cada entrada se conserva en el cliente. Es
posible configurar las opciones de los siguientes registros de clientes:
Control
Paquete
Riesgo
Seguridad
Sistema
Trfico
Si tiene instalado Symantec Network Access Control, puede habilitar y deshabilitar

el registro, y enviar los registros de Enforcer al servidor de administracin.
Tambin puede configurar el nmero de entradas del registro y el nmero de das
que las entradas se conservan en el cliente.
Ver "Configurar opciones de registro de Enforcer" en la pgina 748.
Para los registros de Seguridad, Riesgo y Trfico, tambin puede configurar el
perodo atenuador y el perodo atenuador inactivo que se utilizarn para la
agrupacin de eventos.
Es posible configurar si desea cargar o no cada tipo de registro de clientes al
servidor y el tamao mximo de las cargas.
Si elige no cargar los registros de clientes, las consecuencias sern las siguientes:
No es posible ver los datos de registro de clientes desde la consola mediante
la ficha Registros del panel de supervisin.
No es posible hacer copias de respaldo de los registros de clientes cuando se
realiza una copia de respaldo de la base de datos.
No es posible exportar los datos de registro de clientes a un archivo o a un
servidor de registros centralizado.
Para configurar opciones de registros de clientes
2 En Configuracin y polticas independientes de la ubicacin de la ficha
Polticas, en Configuracin, haga clic en Configuracin de registros de
clientes.
3 En el cuadro de dilogo Configuracin de registros de clientes para nombre
del grupo, configure el tamao mximo del archivo y el nmero de das que
se deben conservar las entradas de registro.
4 Seleccione Cargar en servidor de administracin para los registros que desee
que los clientes reenven al servidor.
5 Para los registros Seguridad y Trfico, configure el perodo atenuador y el
perodo atenuador inactivo.
Esta configuracin determina la frecuencia con la que se agregan los eventos
de Proteccin contra amenazas de red.
6 Especifique el nmero mximo de entradas que desea que un cliente cargue
al administrador al mismo tiempo.
Acerca de configurar las opciones de administracin de registros de

los clientes para las polticas antivirus y contra software espa
Puede configurar las siguientes opciones de administracin de registros para las
polticas antivirus y contra software espa:
Qu eventos de antivirus y software espa se envan desde los clientes a los
registros de proteccin antivirus y contra software espa en el servidor
Cunto tiempo se conservan los eventos en los registros de proteccin antivirus
y contra software espa en el servidor
Con qu frecuencia los eventos agregados se cargan desde los clientes al
servidor
Hacer copias de respaldo de los registros para un sitio

No se hacen copias de respaldo de los datos de registro a menos que configure
Symantec Endpoint Protection para hacerlo. Si no hace copia de respaldo de los
registros, slo se guardan las opciones de configuracin del registro en la copia
de respaldo. Puede utilizar la copia de respaldo para restaurar la base de datos,
pero los registros de la base de datos estn vacos de datos cuando se restauran.
Esta opcin de configuracin se encuentra con las otras opciones de copia de
respaldo para los sitios locales en la pgina Servidores de la pgina Administrador.
Puede elegir guardar hasta diez versiones de las copias de respaldo del sitio. Debe
asegurarse de tener el espacio libre en el disco adecuado para guardar todos los
datos si se elige guardar varias versiones.
Para hacer copia de respaldo de los registros de un sitio
2 Seleccione un servidor de bases de datos.
3 Bajo Tareas, haga clic en Editar configuracin de la copia de respaldo.
4 En el cuadro Grupo de configuracin de la copia de respaldo, active Crear
copia de respaldo de registros.
Acerca de cargar grandes cantidades de datos de registro de clientes

Si tiene una gran cantidad de clientes, es posible que haya un gran volumen de
datos de registro de clientes. Es necesario evaluar si desea reducir el volumen de
datos usando las opciones siguientes:
Cargue solamente algunos de los registros de clientes al servidor.

Filtre los eventos del sistema y los eventos de riesgo menos importantes para
remitir menos datos al servidor.
Ver "Configurar parmetros de gestin de registros en una poltica antivirus
y contra software espa" en la pgina 472.
Si an planea cargar grandes cantidades de datos de registro de los clientes a un
servidor, es necesario considerar los factores siguientes:
El nmero de clientes en su red
La frecuencia de latido, que controla cuntas veces los registros de clientes se
cargan al servidor
La cantidad de espacio en el directorio donde se almacenan los datos de registro
antes de ser insertados en la base de datos
Una configuracin que carga una gran cantidad de datos de registro de clientes
al servidor puede causar frecuentemente problemas de espacio. Si es necesario
cargar un gran volumen de datos de registro de clientes, es posible tener que
ajustar algunos valores predeterminados para evitar estos problemas de espacio.
A medida que se implementan clientes, es necesario supervisar el espacio en el
servidor en el directorio de insercin de registros y ajustar estos valores segn
sea necesario. El directorio predeterminado donde los registros se convierten a
archivos .dat y despus se escriben en la base de datos es unidad:\Program
Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log. La
ubicacin del directorio de datos del servidor se configura durante la instalacin,
cuando se le solicita que seleccione la carpeta de datos del servidor. Es posible
ejecutar el Asistente para la configuracin del servidor de administracin desde
el men Inicio para modificar este directorio, si lo desea. \inbox\log se agrega
automticamente al directorio especificado.
La frecuencia con la cual se cargan los registros de clientes se configura en la
pgina Polticas de la pgina Clientes, bajo Configuracin de comunicaciones. La
frecuencia predeterminada indica que se carguen los registros cada cinco minutos.
Para ajustar los valores que controlan el espacio disponible en el servidor, es
necesario modificar estos valores en el registro. Las claves de registro que se
necesitan modificar se encuentran en el servidor en
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint
Protection\SEPM.
La Tabla 21-2 enumera las claves de registro y sus valores predeterminados y
describe sus funciones.
Tabla 21-2 Claves de registro que contienen opciones de carga de registro
Nombre del valor Valor predeterminado y descripcin
MaxInboxSpace MaxInboxSpace especifica el espacio asignado para el

directorio donde los archivos de registro se convierten
a archivos .dat antes de que se almacenen en la base de
datos.
El valor predeterminado es de 200 MB.
MinDataFreeSpace MinDataFreeSpace especifica la cantidad de espacio

mnima que se debe mantener libre en este directorio.
Esta clave es til para asegurarse de que otras
aplicaciones que utilizan el mismo directorio tengan
suficiente espacio para ejecutarse sin afectar el
rendimiento.
El valor predeterminado es 0.
IntervalOfInboxSpaceChecking IntervalOfInboxSpaceChecking especifica cunto tiempo

Symantec Endpoint Protection espera entre las
comprobaciones de espacio en la bandeja de entrada
que est disponible para los datos de registro.
El valor predeterminado es 30 segundos.
Acerca de administrar eventos de registro en la base de datos

La base de datos recibe y almacena un flujo constante de entradas en sus archivos
de registro. Es necesario administrar los datos que se almacenan en la base de
datos de modo que los datos almacenados no consuman todo el espacio libre en
el disco disponible. Si hay demasiados datos, pueden causar que el equipo en el
cual se ejecuta la base de datos se bloquee.
Es necesario comprender su configuracin de mantenimiento de base de datos
predeterminada y modificarla si el espacio libre en el disco que utiliza la base de
datos parece crecer constantemente. Si hay un pico grande en la actividad de
riesgo, es posible que sea necesario eliminar ciertos datos para proteger el espacio
libre en el disco disponible en el servidor.
Configurar opciones de mantenimiento de base de datos para los

registros
Los administradores pueden configurar las opciones de mantenimiento de la base
de datos para los datos que se almacenan en los registros. Las opciones de
mantenimiento de base de datos lo ayudan a administrar el tamao de su base de
datos mediante la especificacin de opciones de compresin y de cunto tiempo

se guardan los datos.
Para obtener informacin sobre las opciones de mantenimiento de base de datos
especficas, consulte la ayuda contextual en el cuadro de dilogo Propiedades del
sitio para nombre del sitio en la ficha Base de datos.
Para configurar opciones de mantenimiento de base de datos para los registros
2 Seleccione un sitio.
4 En la ficha Base de datos, configure el nmero de das para guardar los eventos
de riesgo.
Para conservar el subconjunto de eventos de riesgo de infeccin despus del
umbral especificado para los eventos de riesgo, marque la casilla de
verificacin No eliminar eventos de infecciones.
5 Configure cun frecuentemente se desea comprimir los eventos en que se
hallaron riesgos idnticos en un solo evento.
6 Configure el nmero de das durante los que se guardarn los eventos que
han sido comprimidos.
Este valor incluye el tiempo previo a la compresin de los eventos. Por ejemplo,
suponga que especifica que se eliminen los eventos comprimidos despus de
diez das y se compriman los eventos despus de siete das. En este caso, se
eliminan los eventos tres das despus de que son comprimidos.
7 Configure el nmero de das para guardar las notificaciones reconocidas y
no reconocidas.
8 Configure el nmero de das para guardar los eventos de anlisis.
9 Configure el nmero de das para guardar los comandos que se han ejecutado
desde la consola y su informacin de estado del comando asociada. Despus
de esta vez, Symantec Endpoint Protection no puede distribuir ms los
comandos a sus destinatarios previstos.
10 Marque las casillas de verificacin si desea eliminar las definiciones de virus

sin usar y los eventos de virus que contienen EICAR como el nombre del virus.
El virus de prueba EICAR es un archivo de texto desarrollado por el European
Institute for Computer Anti-Virus Research (EICAR). Proporciona una manera
fcil y segura de probar la mayora del software antivirus. Es posible
descargarlo desde el sitio Web de EICAR. Es posible utilizarlo para verificar
que la porcin de antivirus de Symantec Endpoint Protection funciona.
Acerca de uso de la utilidad SQL interactiva con la base de datos

integrada
Si elige utilizar la base de datos integrada con Symantec Endpoint Protection o
Symantec Network Access Control, debe observar la siguiente informacin. Cuando
ejecute la aplicacin de base de datos SQL interactiva (dbisqlc.exe), se bloquea la
insercin de datos en la base de datos integrada. Si utiliza la aplicacin durante
un tiempo, los archivos .dat se acumulan en la unidad:\Program
Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log
directories. Para aliviar la acumulacin de los archivos .dat y reiniciar la insercin
de datos en la base de datos, cierre la aplicacin.
Cambiar los parmetros de tiempo de espera

Si ocurren errores de la base de datos cuando se ven informes o registros que
contienen muchos datos, es posible realizar los cambios siguientes:
Modificar el tiempo de espera de conexin del servidor de Microsoft SQL
Modificar el tiempo de espera de comandos del servidor de Microsoft SQL
Los valores de informe predeterminados son los siguientes:
El tiempo de espera de conexin es 300 segundos (5 minutos)
El tiempo de espera de comandos es 300 segundos (5 minutos)
cambiar otros parmetros de tiempo de espera. Consulte el artculo "Reporting
server does not report or shows a timeout error message when querying large
amounts of data" (El servidor de informes no genera informes o presenta un
mensaje de error de tiempo de espera al consultar una gran cantidad de datos) en
la base de conocimientos de Symantec (en ingls).
Para cambiar los parmetros de tiempo de espera

1 Abra el archivo Reporter.php, que se encuentra en el directorio \Program
Files\Symantec\Symantec Endpoint Protection
Manager\Inetpub\Reporting\Resources.
2 Utilice un editor de texto para agregar los siguientes valores al archivo:
$CommandTimeout = xxxx
$ConnectionTimeout = xxxx
Los valores del tiempo de espera se especifican en segundos. Si se especifica
un valor igual a cero o se dejan los campos en blanco, se usar la
configuracin predeterminada.
Acerca de recuperar un registro del sistema de cliente daado en

equipos de 64 bits
Si el registro del sistema llega a daarse en un cliente de 64 bits, es posible ver un
mensaje de error no especificado en los registros del sistema en la consola. Si se
daa, no es posible ver los datos en el registro en el cliente y los datos no se cargan
en la consola. Esta condicin puede afectar los datos en los registros e informes
de estado del equipo, riesgos y anlisis de la consola.
Para corregir esta condicin, es posible eliminar el archivo de registro daado y
el archivo serialize.dat en el cliente. Estos archivos se encuentran en el cliente en
Unidad:\Documents and Settings\All Users\Application Data\Symantec\Symantec
AntiVirus Corporate Edition\7.5\Logs\date.Log. Despus de que se eliminen estos
archivos, el archivo de registro se reconstruye y comienza a registrar entradas
correctamente.
Captulo 22
Replicar datos
Acerca de la replicacin de datos
Comprender el impacto de la replicacin
Configurar la replicacin de datos
Programar la replicacin automtica y manual
Replicar paquetes de clientes
Replicar registros

La replicacin es el proceso de compartir informacin entre bases de datos para
asegurarse de que el contenido sea coherente. Es posible utilizar la replicacin
para aumentar el nmero de servidores de bases de datos que estn disponibles
para los clientes y, de tal modo, reducir la carga en cada uno. La replicacin se
configura tpicamente durante la instalacin inicial.
Network Access Control para obtener ms informacin sobre cmo configurar la
replicacin de datos durante una instalacin inicial.
Un asociado de replicacin es otro sitio con un servidor de bases de datos. Adems
tiene una conexin al sitio que usted designa como sitio principal o sitio local. Un
sitio puede tener tantos asociados de replicacin como sea necesario. Todos los
asociados de replicacin comparten una clave de licencia comn. Los cambios que
usted realiz en cualquier asociado de replicacin se duplican al resto de los
asociados de replicacin siempre que Symantec Endpoint Protection Manager se
programe para replicar datos.
346 Replicar datos
Por ejemplo, es posible configurar un sitio en su oficina principal (sitio 1) y un

segundo sitio (sitio 2). El sitio 2 es un asociado de replicacin del primer sitio. Las
bases de datos en el sitio 1 y el sitio 2 son reconciliadas usando una programacin
de sincronizacin que se debe configurar. Si se realiza un cambio en el sitio 1,
aparece automticamente en el sitio 2 despus de que ocurra la replicacin. Si se
realiza un cambio en el sitio 2, aparece automticamente en el sitio 1 despus de
que ocurra la replicacin. Es posible adems instalar un tercer sitio (el sitio 3) que
puede replicar datos del sitio 1 o del sitio 2. El tercer sitio es un asociado de
replicacin de los otros dos sitios.
La Figura 22-1 ilustra cmo ocurre la replicacin de datos de un sitio local a otros
dos sitios.
Replicar datos 347
Figura 22-1 Asociados de replicacin del sitio
Sitio 1 Sitio 2
Symantec Endpoint Symantec

Protection Manager Endpoint
Protection
Manager
Base de datos Base de datos

de MS SQ de MS SQ
Replicacin
Replicacin
Sitio 3
Symantec Endpoint
Protection Manager
Base de datos
de MS SQ
Los asociados de replicacin se mencionan en la pgina Administrador. Es posible

visualizar la informacin sobre asociados de replicacin seleccionando el asociado
en el rbol. Todos los sitios tienen tpicamente el mismo tipo de base de datos. Es
posible, sin embargo, configurar la replicacin entre sitios que usan diversos tipos
de bases de datos. Adems, es posible configurar la replicacin entre una base de
datos integrada y una base de datos de MS SQL.
348 Replicar datos
Si utiliza una base de datos integrada, es posible conectar solamente una instancia
de Symantec Endpoint Protection Manager a ella debido a los requisitos de
configuracin. Si utiliza una base de datos de MS SQL, es posible conectar varias
instancias de Symantec Endpoint Protection Manager o compartir una base de
datos. Solamente la primera instancia de Symantec Endpoint Protection Manager
necesita configurarse como asociado de replicacin.
Se considera que todos los sitios que se configuran como asociados de replicacin
estn en la misma granja de sitios. Inicialmente, se instala el primer sitio y despus
se instala un segundo sitio como asociado de replicacin. Un tercer sitio se puede
instalar y configurarse para conectarse a cualquiera de los primeros dos sitios.
Es posible agregar tantos sitios como sea necesario a la granja de sitios.
Es posible eliminar asociados de replicacin para detener la replicacin. Es posible
agregar ms tarde ese asociado de replicacin nuevamente para que las bases de
datos sean coherentes. Sin embargo, algunos cambios pueden ser incompatibles.
Ver "Qu opciones se replican" en la pgina 348.

Si los administradores realizan cambios en cada sitio de replicacin
simultneamente, algunos cambios pueden perderse. Si modifica la misma opcin
en ambos sitios y se presenta un conflicto, el cambio ms reciente es el que surte
efecto cuando ocurre la replicacin.
Por ejemplo, el sitio 1 (Nueva York) se replica con el sitio 2 (Tokio), y el sitio 2 se
replica con el sitio 3 (Londres). Se desea que los clientes que se conectan a la red
en Nueva York tambin se conecten con Symantec Endpoint Protection Manager
en Nueva York. Sin embargo, es necesario evitar que se conecten a Symantec
Endpoint Protection Manager en Tokio o Londres.
Qu opciones se replican
Cuando se configura la replicacin, las opciones de comunicacin de los clientes
tambin se replican. Por lo tanto, asegrese de que las opciones de comunicacin
sean correctas para todos los sitios en la granja de sitios de la manera siguiente:
Cree opciones de comunicacin genricas de forma que la conexin de un
cliente se base en el tipo de conexin. Por ejemplo, es posible utilizar un nombre
DNS genrico, tal como symantec.com para todos los sitios en una granja de
sitios. Siempre que los clientes se conecten, el servidor DNS resuelve el nombre
y conecta el cliente a la instancia local de Symantec Endpoint Protection
Manager.
Replicar datos 349
Cree opciones de comunicacin especficas asignando grupos a los sitios de

modo que todos los clientes en un grupo se conecten a la instancia de Symantec
Endpoint Protection Manager indicada.
Por ejemplo, es posible crear dos grupos para los clientes en el sitio 1, dos
grupos diferentes para el sitio 2 y dos otros grupos para el sitio 3. Es posible
aplicar las opciones de comunicacin en el nivel de grupo de forma que los
clientes se conecten a la instancia de Symantec Endpoint Protection Manager
indicada.
Sera aconsejable configurar pautas para administrar las opciones de ubicacin
para los grupos. Las pautas pueden ayudar a evitar que ocurran conflictos en las
mismas ubicaciones. Es posible adems ayudar a evitar que ocurran conflictos
para cualquier grupo que se encuentre en diversos sitios.
Cmo se combinan los cambios durante la replicacin

Despus de que ocurra la replicacin, la base de datos en el sitio 1 y la base de
datos en el sitio 2 son iguales. Solamente la informacin de identificacin del
equipo para los servidores se diferencia.
Si los administradores modifican la configuracin en todos los sitios de una granja
de sitios, pueden ocurrir conflictos. Por ejemplo, los administradores en el sitio
1 y el sitio 2 pueden agregar un grupo con el mismo nombre. Si desea resolver
este conflicto, ambos grupos existen despus de la replicacin. Sin embargo, se
cambia el nombre de uno de ellos con un tilde y el nmero 1 (~1).
Si ambos sitios agregaron un grupo que se llama Ventas, despus de la replicacin
se pueden ver dos grupos en ambos sitios. Un grupo se llama Ventas y el otro
Ventas 1. Esta duplicacin ocurre siempre que una poltica con el mismo nombre
se agrega al mismo lugar en dos sitios.
Si se crean adaptadores de red duplicados en diversos sitios con el mismo nombre,
se agregan un tilde y el nmero 1 (~1). Se agregan un tilde y el nmero 1 (~1) a uno
de los nombres.
Si se modifican distintas opciones en ambos sitios, los cambios se combinan
despus de la replicacin. Por ejemplo, si se modifica Configuracin de seguridad
del cliente en el sitio 1 y la proteccin mediante contrasea en el sitio 2, ambos
conjuntos de cambios aparecen despus de la replicacin. Siempre que sea posible,
los cambios se combinan entre los dos sitios.
Si se agregan polticas en ambos sitios, las nuevas polticas aparecen en ambos
sitios despus de la replicacin. Pueden ocurrir conflictos cuando una poltica se
modifica en dos sitios diferentes. Si una poltica se modifica en varios sitios, la
ltima actualizacin de cualquier cambio se mantiene despus de la replicacin.
350 Replicar datos
Si realiza las siguientes tareas con la replicacin programada para ocurrir cada
hora durante la hora:
Se edita AvAsPolicy1 en el sitio 1 a las 2:00 p. m.
Se edita la misma poltica en el sitio 2 a las 2:30 p. m.
A continuacin, solamente los cambios que se han realizado en el sitio 2 aparecen
despus de que la replicacin se completa, cuando la replicacin ocurre a las 3:00
p. m.
Si uno de los asociados de replicacin est desconectado, el sitio remoto puede
an indicar el estado como conectado.

Es posible configurar la replicacin de datos durante la instalacin inicial o en un
momento posterior. Cuando se configura la replicacin durante la instalacin
inicial, es posible adems configurar una programacin para la sincronizacin de
los asociados de replicacin.
Agregar asociados de replicacin y programacin

Si desea replicar datos con otro sitio, usted pudo haberlo configurado ya durante
la instalacin inicial. Si no configur la replicacin durante la instalacin inicial,
es posible hacerlo ahora agregando un asociado de replicacin. Varios sitios se
denominan granja de sitios, siempre que se configuren como asociados de
replicacin. Es posible agregar cualquier sitio en la granja de sitios como asociado
de replicacin.
Network Access Control para obtener ms informacin.
Adems, es posible agregar un asociado de replicacin que fue eliminado
previamente como asociado.
Antes de que comience, es necesario tener la siguiente informacin:
Una direccin IP o un nombre de host de la instancia de Symantec Endpoint
Protection Manager para la cual desee incluir un asociado de replicacin.
La instancia de Symantec Endpoint Protection Manager a la cual desee
conectarse debe previamente haber sido un asociado de replicacin. Symantec
Endpoint Protection Manager puede adems haber sido un asociado de otro
sitio en la misma granja de sitios.
Replicar datos 351
Para agregar un asociado de replicacin

Administrador.
2 En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin.
3 En la pgina Administrador, bajo Tareas, haga clic en Agregar asociado de
replicacin.
4 En el asistente Agregar asociado de replicacin, haga clic en Siguiente.
5 En el cuadro de dilogo Informacin del sitio remoto, escriba la direccin IP
o el nombre de host de la instancia de Symantec Endpoint Protection Manager
que desea incluir como asociado de replicacin.
6 En el cuadro de dilogo Informacin del sitio remoto, escriba el nmero de
puerto del servidor remoto en el cual usted instal Symantec Endpoint
Protection Manager.
La configuracin predeterminada para el puerto del servidor remoto es 8443.
7 En el cuadro de dilogo Informacin del sitio remoto, escriba el nombre de
usuario y la contrasea del administrador.
9 En el cuadro de dilogo Programar replicacin, especifique la programacin
para la replicacin entre los dos asociados haciendo una de las siguientes
tareas:
Marque Replicar automticamente.
Hace que la replicacin frecuente y automtica ocurra entre dos sitios.
sta es la opcin predeterminada. Por lo tanto, no es posible configurar
una programacin personalizada para la replicacin.
Deje sin marcar Replicar automticamente
Es posible ahora configurar una programacin personalizada para la
replicacin:
Seleccione una Frecuencia de replicacin cada hora, diaria o semanal.
Seleccione el da especfico durante el cual debe ocurrir la replicacin
en la lista Da de semana para configurar una programacin semanal.

11 Haga clic en S o No dependiendo de si desea replicar los registros.
La configuracin predeterminada es No.
352 Replicar datos

13 Haga clic en Finalizar. El sitio del asociado de replicacin se agrega bajo
Asociados de replicacin en la pgina Administrador.
Desconectar asociados de replicacin

Eliminar un asociado de replicacin simplemente desconecta un asociado de
replicacin de Symantec Endpoint Protection Manager. No elimina el sitio. Es
posible agregar el sitio ms tarde si es necesario hacerlo agregando un asociado
de replicacin.
Para quitar bases de datos del proceso de replicacin
Administrador.
3 Expanda Asociados de replicacin y seleccione el asociado que desee
desconectar.
4 En la pgina Administrador, debajo del panel Tareas, haga clic en Eliminar
5 Escriba S cuando se le pida que verifique que desea eliminar el asociado de
replicacin.

Es posible programar la replicacin automticamente o manualmente. Es posible
adems especificar la frecuencia con la cual desee programar la replicacin.
Replicar la base de datos ahora

La replicacin ocurre normalmente segn la programacin que se configura cuando
se agrega un asociado de replicacin durante la instalacin. El sitio con el nmero
de ID ms pequeo inicia la replicacin programada. Ocasionalmente, es posible
que la replicacin ocurra inmediatamente. Es posible utilizar la tarea Replicar
ahora para hacer esto desde cualquier asociado de replicacin.
2 Expanda Asociados de replicacin y seleccione el asociado cuya base de datos
se desea replicar inmediatamente.
3 Haga clic en Replicar ahora.
Replicar datos 353
4 Haga clic en S cuando se le pida que verifique que desea iniciar una
replicacin ahora. El siguiente mensaje aparece:
5 Haga clic en Aceptar. La base de datos se replica inmediatamente.

Notas
Si usa una base de datos de Microsoft SQL con ms de un servidor, solamente
es posible iniciar la replicacin desde el primer servidor que fue configurado
en el sitio. Si intenta ahora replicar desde el segundo servidor, usted recibir
un mensaje que diga:
Slo el primer servidor del sitio puede llevar a cabo la replicacin. Inicie sesin
en el servidor <nombre del primer servidor> para iniciar la replicacin.
Modificar frecuencias de replicacin

La replicacin ocurre normalmente segn la programacin que se configura cuando
se agrega un asociado de replicacin durante la instalacin inicial. El sitio con el
nmero de ID ms pequeo inicia la replicacin programada. Cuando se ha
establecido un asociado de replicacin, es posible modificar la programacin de
replicacin. Cuando se modifica la programacin en un asociado de replicacin,
la programacin en ambos lados es igual despus de la replicacin siguiente.
Para modificar frecuencias de replicacin
Administrador.
3 En la pgina Administrador, bajo Tareas, haga clic en Editar asociado de
replicacin.
4 En el cuadro de dilogo Editar asociado de replicacin, especifique la
programacin para la replicacin entre los dos asociados haciendo una de las
siguientes tareas:
Marque Replicar automticamente.
354 Replicar datos
Hace que la replicacin frecuente y automtica ocurra entre dos sitios.

sta es la opcin predeterminada. Por lo tanto, no es posible configurar
una programacin personalizada para la replicacin.
Deje sin marcar Replicar automticamente
Es posible ahora configurar una programacin personalizada para la
replicacin.
Seleccione una Frecuencia de replicacin cada hora, diaria o semanal.
Seleccione el da especfico durante el cual debe ocurrir la replicacin
en la lista Da de semana para configurar una programacin semanal.

Es posible elegir replicar o duplicar paquetes de clientes entre el sitio local y un
asociado de replicacin en un sitio remoto. Sera aconsejable copiar la ltima
versin de un paquete de clientes desde un sitio local a un sitio remoto. El
administrador en el sitio remoto puede entonces implementar el paquete de
clientes.
Network Access Control para obtener ms informacin sobre cmo crear e
implementar los paquetes de instalacin de clientes en un sitio.
Si decide replicar los paquetes de clientes, es posible duplicar una gran cantidad
de datos. Si replica muchos paquetes, los datos pueden llegar a tener hasta 5 GB.
Los paquetes de instalacin de Symantec Endpoint Protection y Symantec Network
Access Control de 32 bits y de 64 bits pueden ocupar hasta 500 MB del espacio
libre en el disco.
Network Access Control para obtener ms informacin sobre los requisitos para
el almacenamiento en discos.
Para replicar paquetes de clientes entre asociados de replicacin
Administrador.
3 Expanda Asociados de replicacin y seleccione el asociado de replicacin
con el cual desee replicar los paquetes de clientes.
Replicar datos 355
Replicar registros
5 En el cuadro de dilogo Propiedades del asociado de replicacin, debajo de

Asociado, haga clic en: Replicar paquetes de clientes entre el sitio local y el
sitio asociado.
Replicar registros
Es posible especificar que desea replicar o duplicar los registros adems de la base
de datos de un asociado de replicacin. Es posible especificar la replicacin de
registros agregando asociados de replicacin o editando las propiedades de un
asociado de replicacin. Si planea replicar registros, asegrese de que tiene
suficiente espacio libre en el disco para registros adicionales en todos los equipos
de asociados de replicacin.
Ver "Ver registros de otros sitios" en la pgina 231.
Para replicar registros entre los asociados de replicacin
Administrador.
3 Expanda Asociados de replicacin y seleccione el asociado de replicacin
para el cual desee iniciar la generacin de registros de replicacin.
5 En el cuadro de dilogo Propiedades del asociado de replicacin, debajo de
Asociado, haga clic en: Replicar registros desde el sitio local al sitio asociado
o Replicar registros desde el sitio asociado al sitio local.
356 Replicar datos
Replicar registros
Captulo 23
Administrar Proteccin
contra intervenciones
Acerca de la Proteccin contra intervenciones
Configurar Proteccin contra intervenciones

La Proteccin contra intervenciones ofrece proteccin en tiempo real para las
aplicaciones de Symantec que se ejecutan en servidores y clientes. Evita que los
procesos que no pertenecen a Symantec, tales como gusanos, caballos de Troya,
virus y riesgos de seguridad, afecten a los procesos de Symantec y a los objetos
internos. Es posible configurar el software para bloquear o para registrar intentos
de modificar los procesos de Symantec o los objetos internos del software que
sincronizan los procesos de Symantec.
Nota: Los analizadores de riesgos de seguridad de otros fabricantes, que detectan

aplicaciones de publicidad no deseada y software espa, y que actan como defensa
contra stos, por lo general, afectan los procesos de Symantec. Si la Proteccin
contra intervenciones est habilitada cuando se ejecuta un analizador, la Proteccin
contra intervenciones genera una gran cantidad de notificaciones y de entradas
de registro. Para un mejor funcionamiento de la Proteccin contra intervenciones,
se recomienda siempre dejarla habilitada. Utilice el filtro de registros si el nmero
de los eventos generados es demasiado grande.
Los objetos internos coordinan la actividad de los programas que se ejecutan en

un equipo. Los equipos con Windows usan distintos tipos de objetos internos.
Proteccin contra intervenciones protege los objetos internos clasificados como
358 Administrar Proteccin contra intervenciones
de exclusin mutua y eventos con nombre. La exclusin mutua permite garantizar

que slo un programa o subproceso pueda usar un recurso, como el acceso a un
archivo, en un determinado momento. Mutexes son objetos de sincronizacin que
pueden poseer solamente un proceso al mismo tiempo. Cuando el subproceso
termina de usar el recurso, libera el objeto de exclusin mutua, que puede ser
usado por otro subproceso. Los procesos crean eventos con nombre, que notifican
a otro programa o subproceso en espera cuando se finaliza el procesamiento. Por
ejemplo, los procesos principales pueden utilizar objetos del evento para evitar
que otros procesos lean en un bfer de memoria compartida mientras que escriben
en ese bfer. Cuando el proceso principal ha finalizado, puede enviar un evento
con nombre para sealar los procesos en espera que pueden reanudar operaciones
ledas.
En el nivel de la interfaz de programacin de aplicaciones, Proteccin contra
intervenciones intercepta solicitudes de creacin, apertura o modificacin de
estos objetos, como CreateEvent, SetEvent, CreateMutex, ReleaseMutex, etc. Luego
compara el nombre del objeto con la lista de nombres protegidos, denominada
manifiesto. Si el nombre coincide, verifica si el archivo ejecutable del proceso que
envi la solicitud cuenta con una firma digital de Symantec vlida. Si el proceso
posee una firma vlida, se permite la solicitud, en caso contrario, se deniega con
el cdigo de error ERROR_ACCESS_DENIED. Esta proteccin acta sobre sistemas
de usuario nico y servidores de terminal.
Cuando un cliente se instala como cliente no administrado, la Proteccin contra
intervenciones tiene los siguientes valores predeterminados:
Se habilita Proteccin contra intervenciones.
La accin que toma la Proteccin contra intervenciones cuando detecta un
intento de intervencin es bloquear el intento y registrar el evento.
La Proteccin contra intervenciones enva al usuario un mensaje
predeterminado cuando detecta un intento de intervencin.
Cuando un cliente se instala como cliente administrado, la Proteccin contra
intervenciones tiene los siguientes valores predeterminados:
Se habilita Proteccin contra intervenciones.
La accin que toma la Proteccin contra intervenciones cuando detecta un
intento de intervencin es slo registrar el evento.
La Proteccin contra intervenciones no enva un mensaje al usuario cuando
detecta un intento de intervencin.
Administrar Proteccin contra intervenciones 359
Nota: Si habilita notificaciones cuando Symantec Endpoint Protection detecta

intentos de intervenciones, las notificaciones sobre los procesos de Windows se
envan a los equipos afectados, as como se envan las notificaciones sobre los
procesos de Symantec.

Es posible habilitar y deshabilitar Proteccin contra intervenciones y configurar
las medidas que toma cuando detecta un intento de intervencin. Es posible adems
configurarla para que notifique a los usuarios cuando detecta un intento de
intervencin.
La mejor opcin cuando se utiliza inicialmente Symantec Endpoint Protection es
utilizar la accin Registrar el evento solamente al supervisar los registros una vez
por semana. Cuando est seguro de que no ve ningn falso positivo, configure
Proteccin contra intervenciones en Bloquear y registrar el evento.
Es posible configurar un mensaje que aparecer en los clientes cuando Symantec
Endpoint Protection detecte un intento de intervencin. De forma predeterminada,
los mensajes de notificacin aparecen cuando el software detecta un intento de
intervencin.
El mensaje que se crea puede contener una mezcla de texto y variables. Las
variables se rellenan con los valores que identifican las caractersticas del ataque.
Si utiliza una variable, debe escribirla exactamente como aparece.
La Tabla 23-1 describe las variables que es posible utilizar para configurar un
mensaje.
Tabla 23-1 Variables y descripciones del mensaje de Proteccin contra

intervenciones
Campo Descripcin
[AccinEfectuada] Accin que Proteccin contra intervenciones llev a cabo

para responder al ataque.
[IdProcesoEjecutor] Nmero de ID del proceso que atac una aplicacin de

Symantec.
[NombreProcesoEjecutor] Nombre del proceso que atac una aplicacin de Symantec.
[Equipo] Nombre del equipo atacado.
[FechaDeteccin] Fecha del ataque.
[TipoDeIdentidad] Tipo de objetivo que atac el proceso.

Campo Descripcin
[NombreArchivo] Nombre del archivo que atac procesos protegidos.
[Ubicacin] rea del hardware o software del equipo que se protegi

contra intervenciones. Para los mensajes de Proteccin
contra intervenciones, este campo es una aplicacin de
Symantec.
[RutaYNombreDeArchivo] La ruta completa y el nombre del archivo que atac procesos

protegidos.
[EventoDelSistema] El tipo de intento de intervencin que ocurri.
[RutaDestino] Ubicacin del objetivo atacado por el proceso.
[IdProcesoDestino] Identificacin del proceso que recibi el ataque.
[IdSesinTerminalDestino] Identificacin de la sesin de la terminal en que ocurri el

evento.
[Usuario] Nombre del usuario que inici la sesin cuando se produjo

el ataque.
Para habilitar o inhabilitar Proteccin contra intervenciones

2 En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general.
3 En la ficha Proteccin contra intervenciones, marque o deje sin marcar
Proteger el software de seguridad de Symantec contra intervenciones o
intentos de cierre.
4 Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen
esta configuracin.
Para configurar las opciones bsicas de Proteccin contra intervenciones
3 En la ficha Proteccin contra intervenciones, en el cuadro de lista, seleccione
una de las siguientes acciones:
Para bloquear y registrar actividad no autorizada, haga clic en Bloquear
y registrar el evento.
Para registrar actividades no autorizadas y permitir que se lleven a cabo,
haga clic en Registrar el evento solamente.
Administrar Proteccin contra intervenciones 361
esta configuracin.
Para habilitar y personalizar los mensajes de notificacin de Proteccin contra
intervenciones
3 En la ficha Proteccin contra intervenciones, haga clic en Mostrar un mensaje
de notificacin al detectar una intervencin.
4 En el cuadro del campo del texto, si desea modificar el mensaje
predeterminado, es posible escribir texto adicional y eliminar texto.
Si utiliza una variable, debe escribirla exactamente como aparece.
esta configuracin.
Seccin 3
Tareas generales de
administracin de polticas
Acerca de las polticas
Administrar la herencia de un grupo para las ubicaciones y las polticas
Extraer o transferir polticas entre los servidores de administracin, los clientes

y los mdulos de Enforcer opcionales
Administrar las ubicaciones de un grupo
Trabajar con polticas
Configurar conexiones entre los servidores de administracin y clientes o

autoridades de aplicacin opcionales
Configurar aplicaciones aprendidas

364
Captulo 24
Acerca de las polticas
Descripcin general de las polticas
Acerca de las polticas compartidas y no compartidas
Acerca de las tareas relacionadas con las polticas
Grupos, herencia, ubicaciones y polticas
Ejemplos de polticas

La pgina Polticas en Symantec Endpoint Protection Manager proporciona una
solucin administrada centralmente. Maneja la aplicacin de polticas de seguridad,
la comprobacin de integridad del host (Symantec Network Access Control
solamente) y la reparacin automatizada de todos los clientes. Las funciones de
polticas son el corazn del software de Symantec. Los clientes se conectan al
servidor para obtener las ltimas polticas, opciones de seguridad y actualizaciones
de software.
Es posible adems realizar muchas de las tareas relacionadas con las polticas en
la pgina Clientes. Tpicamente la mayora de las tareas relacionadas con polticas
para las polticas compartidas se realizan en la pgina Polticas. Sin embargo, la
mayora de las tareas relacionadas con polticas para las tareas no compartidas
se realizan en la pgina Clientes.
Symantec Endpoint Protection Manager aprende el comportamiento de las
comunicaciones, crea e implementa polticas de seguridad y de aplicacin,
administra las estructuras de usuarios y grupos y se comunica con otras instancias
de Symantec Endpoint Protection Manager. Con el protocolo de comunicacin de
latido de Symantec, Symantec Endpoint Protection Manager incorpora el
366 Acerca de las polticas
comportamiento de usuarios, aplicaciones y redes de los clientes. Symantec

Endpoint Protection Manager proporciona a las empresas una vista actualizada
de su estado de seguridad.
Es posible utilizar varios tipos de polticas para administrar el entorno corporativo.
Algunas de estas polticas se crean automticamente durante la instalacin. Es
posible utilizar una poltica predeterminada como est o personalizarla para
adaptarla a un entorno corporativo especfico.
La Tabla 24-1 enumera cada poltica, independientemente de si se crea una poltica
predeterminada durante la instalacin inicial, y una descripcin para cada poltica.
Tabla 24-1 Polticas de Symantec Endpoint Protection Manager
Nombre de poltica Poltica predeterminada Descripcin
Antivirus y proteccin contra S Define la configuracin del

software espa anlisis de amenazas
antivirus y contra software
espa, incluido cmo se
manejan los procesos
detectados.
Firewall S Contiene definiciones de

normas y notificaciones,
opciones de proteccin
contra intrusiones y
respuesta activa, filtro de
trfico inteligente y opciones
de trfico y ocultacin.
Prevencin de intrusiones S Define las excepciones a la

poltica de deteccin de
intrusiones y las aplica a los
grupos.
Integridad del host S Ayuda a definir, restaurar e

imponer la seguridad de los
clientes para mantener las
redes empresariales y los
datos seguros.
Control de aplicaciones y S Configura las polticas de

dispositivos proteccin de software y
dispositivos para los clientes.
Acerca de las polticas 367
Nombre de poltica Poltica predeterminada Descripcin
LiveUpdate S Especifica los equipos que los

clientes deben contactar para
buscar actualizaciones, junto
con la programacin que
define cuntas veces los
clientes deben buscar
actualizaciones.
Excepciones centralizadas No Especifica las excepciones a

funciones de polticas
determinadas que desee
aplicar.
Las empresas utilizan la informacin que Symantec Endpoint Protection Manager

recoge para crear polticas de seguridad. Estas polticas de seguridad enlazan
usuarios, tecnologa de conectividad, aplicaciones y comunicacin por red a las
polticas de seguridad. Las polticas de seguridad de Symantec se administran y
se heredan mediante estructuras de grupos de usuarios, equipos y servidores. Es
posible importar informacin sobre usuarios y equipos. Es posible adems
sincronizar los datos con los servidores de directorios, tales como Active Directory
y LDAP. Symantec Endpoint Protection Manager puede ser centralizado o
distribuido en una empresa global para proporcionar escalabilidad, tolerancia de
fallos, balanceo de carga y replicacin de polticas.
Es posible realizar las siguientes tareas:
Configurar su estructura administrativa y organizativa, que incluye los equipos,
los usuarios y los grupos.
Configurar las polticas de seguridad.
Cada grupo que se define como parte de su estructura organizativa puede tener
una poltica separada. Es posible adems configurar polticas individuales para
ubicaciones, tales como el hogar y la oficina, dentro de un grupo.
Configurar e implementar paquetes de clientes.
Personalizar la configuracin del cliente.
Administrar los sitios y la replicacin de Symantec Endpoint Protection
Manager.
Configurar los mdulos de Symantec Enforcer si usted los utiliza como parte
de su solucin de aplicacin.
Supervisar registros y ver informes.

Es posible crear los siguientes tipos de polticas:
Poltica compartida Se aplica a cualquier grupo y ubicacin. Es posible

tener varias polticas compartidas.
Poltica no compartida Se aplica a una ubicacin especfica en un grupo.

Sin embargo, es posible tener solamente una
poltica por ubicacin.
Es necesario crear polticas compartidas, ya que es posible editar y sustituir

fcilmente una poltica en todos los grupos y ubicaciones que la utilicen. Sin
embargo, es posible que sea necesaria una poltica especializada para una ubicacin
determinada que ya exista. En ese caso, es posible crear una poltica que sea
exclusiva para una ubicacin.
Cuando se crea una nueva poltica, tpicamente se edita una poltica
predeterminada. Una poltica predeterminada siempre incluye normas y opciones
de seguridad predeterminadas.
Se aplica una poltica separada a cada grupo de usuarios o equipos. Sin embargo,
es posible adems aplicar polticas de seguridad separadas a la ubicacin de cada
grupo. Por ejemplo, se han asignado varias ubicaciones a un grupo. Cada usuario
puede querer conectarse a una red de empresa desde una ubicacin diferente
cuando est en la oficina o cuando est en su casa. Es posible que sea necesario
aplicar una poltica diferente con su propio grupo de normas y opciones a cada
ubicacin.

Despus de que se termine la instalacin de la consola de Symantec Endpoint
Protection Manager, es posible personalizar cualquiera de las polticas
predeterminadas.
La Tabla 24-2 enumera las tareas rutinarias al mantener polticas.
Tabla 24-2 Tareas de la administracin de polticas
Nombre de la tarea Poltica compartida Poltica no Tipo de poltica

compartida
Agregar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Editar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas

compartida
Eliminar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Exportar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Asignar S No Antivirus y
proteccin contra
software espa
Firewall
Proteccin de
acceso
LiveUpdate
Excepciones
centralizadas
Proteccin contra
intrusiones

compartida
Retirar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Reemplazar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas

compartida
Copiar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Agregar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas

compartida
Importar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas

Es posible desarrollar polticas compartidas y despus aplicarlas a grupos y
ubicaciones especficos. Las polticas se pueden aplicar en el nivel del grupo Global,
una raz o el grupo principal. Por lo tanto, los subgrupos pueden heredar polticas
en la consola de Symantec Endpoint Protection Manager. Es posible aplicar una
poltica con varias normas a un grupo o una ubicacin.
Por ejemplo, los usuarios remotos utilizan tpicamente DSL e ISDN, para los cuales
puede ser necesaria una conexin VPN. Otros usuarios remotos pueden querer
utilizar el acceso telefnico cuando se conectan a la red de la empresa. Los
empleados que trabajan en la oficina tpicamente utilizan una conexin de
Ethernet. Sin embargo, los grupos de ventas y marketing pueden adems utilizar
conexiones inalmbricas. Cada uno de estos grupos puede necesitar sus propias
polticas de firewall para las ubicaciones desde las cuales se conectan a la red de
la empresa.
Sera aconsejable aplicar una poltica restrictiva con respecto a la instalacin de
aplicaciones no certificadas en la mayora de las estaciones de trabajo de los
empleados para proteger la red de la empresa contra ataques. El grupo de TI puede
necesitar tener acceso a aplicaciones adicionales. Por lo tanto, este grupo puede
necesitar una poltica de seguridad menos restrictiva que los empleados tpicos.
En este caso, es posible crear polticas de firewall diferentes para el grupo de TI.
Captulo 25
Administrar la herencia de
un grupo para las
Acerca de los grupos que heredan ubicaciones y polticas de otros grupos
Cmo anular la herencia de ubicaciones y de polticas de un grupo
Habilitar la herencia de un grupo para las ubicaciones y las polticas
Deshabilitar la herencia de un grupo para las ubicaciones y las polticas
Acerca de los grupos que heredan ubicaciones y

polticas de otros grupos
En una estructura jerrquica, los subgrupos heredan automticamente la
informacin sobre ubicaciones y polticas de un grupo de una estructura superior
al subgrupo. De forma predeterminada, la herencia se habilita para cada grupo.
Inicialmente, un grupo hereda automticamente la informacin sobre polticas y
opciones de un grupo que se encuentre ms arriba que el subgrupo en una
estructura jerrquica. Sin embargo, es posible deshabilitar la herencia en cualquier
momento para cualquier grupo.
Por ejemplo, es posible crear un grupo llamado Ingeniera con un grupo de polticas
y opciones de seguridad. A continuacin, cree un subgrupo que se llame Garanta
de calidad. El subgrupo se crea automticamente con la misma informacin sobre
polticas y opciones que el grupo Ingeniera, a menos que se deshabilite la herencia.
376 Administrar la herencia de un grupo para las ubicaciones y las polticas
Cmo anular la herencia de ubicaciones y de polticas de un grupo
Es posible que posteriormente quiera modificar, agregar o eliminar polticas y

opciones de seguridad en el grupo Garanta de calidad. Desea que las polticas y
las opciones sean diferentes de las del grupo Ingeniera. Por lo tanto, usted primero
necesita deshabilitar la herencia para el grupo Garanta de calidad. Si no deshabilita
la herencia, aparece un mensaje de error automticamente. Este mensaje de error
indica que no es posible agregar ubicaciones o polticas porque son heredadas del
grupo Ingeniera.
Cmo anular la herencia de ubicaciones y de polticas

de un grupo
Si crea un subgrupo y deshabilita posteriormente la herencia para este subgrupo,
nada cambia en ese subgrupo inicialmente. Mantiene todas las ubicaciones y
polticas del grupo del cual inicialmente heredaba informacin sobre sus
ubicaciones y polticas.
Sin embargo, es posible realizar cambios al subgrupo que son independientes del
grupo del cual inicialmente heredaba informacin sobre sus ubicaciones y polticas.
Si realiza cambios y habilita ms tarde la herencia, cualquier cambio para el
subgrupo se sobrescribe. Se sobrescriben por las ubicaciones y las polticas que
estn presentes actualmente en el grupo del cual ahora hereda sus polticas.
Puede desear aplicar polticas y opciones a cada grupo. Por lo tanto, debe agregarlas
al grupo en el nivel ms alto antes de deshabilitar la herencia para un subgrupo.
A continuacin, todos los subgrupos comparten la misma informacin sobre
ubicaciones y polticas, incluso si se habilita ms tarde la herencia de nuevo.
Aunque un subgrupo herede todas las ubicaciones y polticas de un grupo de un
nivel ms alto, es posible que el subgrupo herede solamente una poltica de firewall.
Ver "Agregar normas heredadas de un grupo principal" en la pgina 541.
Habilitar la herencia de un grupo para las ubicaciones

y las polticas
Es posible habilitar la herencia de un grupo en cualquier momento. De forma
predeterminada, se habilita la herencia siempre que se crea una nueva ubicacin
para un grupo.
Administrar la herencia de un grupo para las ubicaciones y las polticas 377
Para habilitar la herencia de un grupo para las ubicaciones y las polticas

2 En la pgina Clientes, bajo Ver, seleccione el grupo para el cual desee habilitar
la herencia de ubicaciones y polticas.
Es posible seleccionar cualquier grupo con excepcin del grupo asociado a
Mi grupo.
3 En el panel asociado al grupo que usted seleccion en el paso anterior, haga
clic en la ficha Polticas.
4 Marque Heredar polticas y configuracin del grupo principal (nombre del
grupo del cual se heredan las polticas y la configuracin).
El subgrupo ahora hereda ubicaciones o polticas del grupo que se encuentra
ms arriba en la estructura jerrquica.
Deshabilitar la herencia de un grupo para las

Es posible deshabilitar la herencia de un grupo para las ubicaciones y las polticas
en la consola de Symantec Endpoint Protection Manager.
Para deshabilitar la herencia de un grupo para las ubicaciones y las polticas
2 En la pgina Clientes, bajo Ver, seleccione el grupo para el cual desee
deshabilitar la herencia de ubicaciones y polticas.
Es posible seleccionar cualquier grupo con excepcin del grupo asociado al
grupo Global.
4 Para deshabilitar la herencia, deje sin marcar Heredar polticas y
configuracin del grupo principal (nombre del grupo del cual se heredan
las polticas y la configuracin).
El subgrupo ya no hereda ubicaciones o polticas de un grupo que se encuentre
ms arriba en la estructura jerrquica.
378 Administrar la herencia de un grupo para las ubicaciones y las polticas
Captulo 26
Extraer o transferir polticas
entre los servidores de
administracin, los clientes
y los mdulos de Enforcer
opcionales
Acerca de Modo de obtencin y Modo de transferencia
Especificar el Modo de transferencia o el Modo de obtencin
Especificar la frecuencia de transfencia de una poltica entre los servidores de

administracin, los clientes y los mdulos de Enforcer opcionales.
Acerca de Modo de obtencin y Modo de transferencia

El cliente se configura en Modo de transferencia o Modo de obtencin. En cualquier
modo, el cliente toma la medida correspondiente basada en el cambio en el estado
del administrador. Debido a la conexin constante, el Modo de transferencia
necesita un ancho de banda de red grande. La mayor parte del tiempo se deben
configurar los clientes en el Modo de obtencin.
Modo de obtencin El cliente se conecta al administrador peridicamente, segn la

frecuencia de la configuracin del latido. El cliente comprueba el estado
del administrador cuando se conecta.
380 Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales
Especificar el Modo de transferencia o el Modo de obtencin
Modo de El cliente establece una conexin HTTP constante con el administrador.

transferencia Siempre que un cambio ocurra en el estado del administrador, notifica
al cliente inmediatamente.
Especificar el Modo de transferencia o el Modo de

obtencin
Modifique la configuracin de las comunicaciones para especificar distintas
opciones. Esta configuracin incluye la seleccin del servidor de administracin,
las descargas de polticas y contenidos, las listas de aplicaciones de clientes y los
intervalos de latidos. Las opciones de comunicacin de los clientes se configuran
desde la ficha Polticas en el administrador.
En lugar de configurar las opciones de comunicacin de los clientes en el nivel de
grupo, es posible adems modificarlas para una ubicacin.
Para transferir u obtener polticas para un grupo
2 En la pgina Clientes, bajo Ver clientes, expanda Global y seleccione el grupo
para el cual desee especificar si se deben transferir u obtener polticas.
Verifique que las opciones de comunicacin para el grupo no sean heredadas
de un grupo principal.
3 En la pgina Clientes, haga clic en la ficha Polticas.
4 En el panel Configuracin y polticas independientes de la ubicacin, bajo
Configuracin, seleccione Configuracin de comunicaciones.
El cuadro de dilogo Configuracin de grupo aparece con la ficha
Comunicacin seleccionada.
5 Desde el cuadro de dilogo Configuracin de comunicaciones, bajo Descarga,
elija si desea descargar polticas del servidor de administracin (la descarga
de polticas es la configuracin predeterminada).
6 Haga clic para seleccionar Modo de transferencia o Modo de obtencin.
Si selecciona Modo de obtencin, configure el intervalo de latidos.
Ver "Descripcin del latido" en la pgina 381.
7 Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de grupo.
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales 381
Especificar la frecuencia de transfencia de una poltica entre los servidores de administracin, los clientes y los
mdulos de Enforcer opcionales.
Para transferir u obtener polticas para una ubicacin

2 En la pgina Clientes, bajo Ver clientes, expanda Global y seleccione el grupo
para el cual desee especificar si se deben transferir u obtener polticas.
Verifique que las opciones de comunicacin para el grupo no sean heredadas
de un grupo principal.
4 Bajo Configuracin y polticas especficas de la ubicacin, localice
Configuracin especfica de la ubicacin.
5 A la derecha de Configuracin de comunicaciones, haga clic en Tareas | Editar
configuracin.
6 Desde el cuadro de dilogo Configuracin de comunicaciones, bajo Descarga,
elija si desea descargar polticas del servidor de administracin (la descarga
de polticas es la configuracin predeterminada).
7 Haga clic para seleccionar Modo de transferencia o Modo de obtencin.
Si selecciona Modo de obtencin, configure el intervalo de latidos.
Especificar la frecuencia de transfencia de una

poltica entre los servidores de administracin, los
clientes y los mdulos de Enforcer opcionales.
Un latido es el intervalo en el cual los equipos cliente cargan datos y descargan
polticas.
Descripcin del latido

Un latido es un protocolo que cada cliente utiliza para comunicarse con Symantec
Endpoint Protection Manager. La frecuencia de latidos es un factor clave en el
nmero de clientes que cada Symantec Endpoint Protection Manager pueda
admitir. Symantec Corporation recomienda lo siguiente para las implementaciones
grandes. Las implementaciones de 1000 puestos o ms deben configurar la
frecuencia de latidos a la longitud del tiempo mxima que cumple los requisitos
de seguridad de una compaa.
Por ejemplo, si desea actualizar polticas de seguridad y reunir registros a diario,
entonces, configure la frecuencia de latidos en 24 horas. Esta configuracin permite
a cada cliente comunicarse con Symantec Endpoint Protection Manager poco
despus de que se reinicia Symantec Endpoint Protection Manager. La primera

vez que ocurre un latido se basa en la frecuencia de latidos que usted configura.
Se calcula esta incidencia del primer latido de la siguiente manera:
frecuencia de latidos x .05 (el 5%)
Cuando usted configura una frecuencia de latidos en 30 minutos, el primer latido

ocurre en 90 segundos. Este intervalo se calcula como cinco por ciento de la
configuracin del latido. Si configura una frecuencia de latidos en 30 minutos o
menos, se limita el nmero total de clientes que Symantec Endpoint Protection
Manager puede admitir. Es posible que necesite una alta frecuencia de latidos en
una implementacin grande (1000 puestos o ms) en cada Symantec Endpoint
Protection Manager. En este caso, consulte a Symantec Professional Services y a
Symantec Enterprise Support para evaluar la configuracin, el hardware y la
arquitectura de red adecuados y necesarios para su entorno de red.
Utilizar detalles del latido

Los procesos siguientes ocurren en cada latido:
Para supervisar el rendimiento de cada Symantec Endpoint Protection Manager
Para supervisar el rendimiento de cada Symantec Endpoint Protection
Manager, haga clic en Supervisin | Resumen.
Esta supervisin se asegura de que cada Symantec Endpoint Protection
Manager pueda admitir el nmero de clientes que se comunican con l. Es
posible adems utilizar una combinacin de herramientas de supervisin de
hardware y Symantec Endpoint Protection Manager.
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales 383
Para actualizar el registro del cliente enviado de un cliente a Symantec Endpoint

Protection Manager
Para configurar los registros que el cliente enva, haga clic en Clientes |
Polticas | Configuracin.
Se enva una solicitud de actualizar las polticas de seguridad para los grupos
de equipos y de usuarios de un cliente a Symantec Endpoint Protection
Manager. El cliente entonces busca una poltica de seguridad actualizada en
Symantec Endpoint Protection Manager. Si una est disponible en Symantec
Endpoint Protection Manager, el cliente solicita la poltica de seguridad
actualizada de Symantec Endpoint Protection Manager. Si ninguna est
disponible, el cliente no enva una solicitud de una poltica de seguridad
actualizada.
Los registros actualizados de los clientes se envan de un cliente a Symantec
Endpoint Protection Manager. Un cliente comprueba con Symantec Endpoint
Protection Manager para verificar que tiene la estructura de cliente correcta.
Si no lo hace, el cliente inicia la funcin AutoUpdate. Una solicitud de
actualizar las bibliotecas de las firmas de deteccin de intrusiones (IDS) se
enva de Symantec Endpoint Protection Manager a un cliente. El cliente
entonces busca firmas de IDS actualizadas. Si las firmas de IDS actualizadas
estn disponibles, el cliente solicita las firmas de IDS actualizadas de Symantec
Endpoint Protection Manager, que se descargan posteriormente. Si no hay
ninguna firma de IDS disponible, el cliente no enva la solicitud de firmas
actualizadas de IDS.
Captulo 27
Administrar las ubicaciones
de un grupo
Acerca de las ubicaciones de un grupo
Habilitar la asignacin automtica de polticas de un cliente
Asignar una ubicacin predeterminada
Agregar la ubicacin y las condiciones de conmutacin de un grupo con un

asistente
Agregar la ubicacin de un grupo sin un asistente
Agregar condiciones de conmutacin de un grupo sin un asistente
Editar el nombre y la descripcin de la ubicacin de un grupo
Eliminar la ubicacin de un grupo

A menudo las polticas y la configuracin deben ser diferentes segn la ubicacin
desde la cual un usuario intenta conectarse a la red corporativa. Por lo tanto, es
posible crear diversas ubicaciones o perfiles para cada grupo del cual un usuario
es miembro.
Es posible tener muchas ubicaciones, por ejemplo:
Oficina (trabajo en una oficina corporativa, la ubicacin predeterminada)
Oficina remota (trabajo en un recurso corporativo remoto)
VPN (VPN desde una ubicacin exterior)
386 Administrar las ubicaciones de un grupo
Hogar (trabajo desde una ubicacin particular a travs de un proveedor de

servicios de Internet)
Es posible personalizar la poltica y la configuracin de cada ubicacin segn las
condiciones especficas que son apropiadas para esa ubicacin.
Por ejemplo, las polticas para la ubicacin Oficina pueden no ser tan estrictas
como las polticas para VPN u Hogar. Se utiliza la poltica asociada a la ubicacin
de la oficina cuando el usuario est ya detrs de un firewall corporativo.
Se agregan ubicaciones despus de que se han configurado todos los grupos que
es necesario administrar. Cada grupo puede tener diversas ubicaciones, si su
estrategia de seguridad lo necesita.
Si agrega una ubicacin, sta se aplica al grupo para el cual usted la cre y a
cualquier subgrupo que herede del grupo principal. Por lo tanto, las ubicaciones
que se proponga aplicar a todos los usuarios finales se deben crear probablemente
en el nivel del grupo Global. Las ubicaciones especficas de un grupo determinado
se pueden crear en el nivel del subgrupo.
Por ejemplo, en la mayora de las compaas, todos los usuarios finales necesitan
generalmente una ubicacin de oficina que se agregue de forma predeterminada
al grupo Global. Sin embargo, no todos los usuarios finales necesitan una conexin
VPN. Los usuarios finales que necesitan una conexin VPN pueden ser ordenados
en un grupo que se llame Teletrabajadores. La ubicacin VPN se agrega al grupo
Teletrabajadores, as como a la ubicacin heredada de Oficina. Los miembros de
ese grupo pueden entonces utilizar las polticas asociadas a las ubicaciones Oficina
o VPN.
Acerca de las ubicaciones y el Reconocimiento de ubicacin

Si desea proteger su red, es necesario configurar las condiciones para activar esta
conmutacin automtica o reconocimiento de ubicacin. Siempre se debe aplicar
automticamente la mejor poltica de seguridad a un cliente o a un servidor. La
mejor poltica de seguridad tpicamente est relacionada con la ubicacin desde
la cual un usuario se conecta.
En la consola es posible agregar un grupo de condiciones a la ubicacin de cada
grupo que selecciona automticamente la poltica de seguridad correcta para un
entorno de usuario. Estas condiciones se basan en informacin tal como la
configuracin de red del equipo desde el cual fue iniciado el pedido de acceso de
red. Una direccin IP, una direccin MAC o la direccin de un servidor de
directorios pueden tambin funcionar como condicin.
Si un administrador modifica una poltica de seguridad, sta se actualiza
automticamente desde la consola de Symantec Endpoint Protection Manager
durante el latido siguiente. Si la ubicacin actual no es vlida despus de la
Administrar las ubicaciones de un grupo 387
actualizacin, el cliente pasa a otra ubicacin que sea vlida o utiliza la ubicacin
predeterminada.
Programacin de ubicaciones
Antes de comenzar a agregar ubicaciones, es necesario considerar los tipos de
polticas de seguridad que se necesitan en su entorno. Adems necesita decidir
los criterios que deben definir cada ubicacin.
Las siguientes son algunas de las preguntas que es necesario considerar:
Desde qu ubicaciones se estn conectando los usuarios?
Considere qu ubicaciones necesitan ser creadas y cmo etiquetar cada una.
Por ejemplo, los usuarios pueden conectarse en la oficina, desde su domicilio,
desde un sitio de cliente o desde otro sitio remoto tal como un hotel durante
un viaje. Puede ser necesario agregar ubicaciones adicionales posteriormente
en un sitio grande.
Se debe configurar el Reconocimiento de ubicacin para cada ubicacin?
Cmo quiere identificar la ubicacin si usa el Reconocimiento de ubicacin?
Los criterios de reconocimiento de ubicacin se pueden basar en direcciones
IP, direcciones de servidores WINS, DHCP o DNS, conexiones de red, mdulos
de plataforma de confianza y otros.
Si identifica la ubicacin por la conexin de red, qu tipo de conexin es?
Por ejemplo, la conexin de red puede ser una conexin a Symantec Endpoint
Protection Manager, a una red de acceso telefnico o a una marca determinada
de servidor VPN.
Es posible utilizar uno de los siguientes adaptadores de VPN:
Check Point VPN
Cisco VPN Client versin 3
Cisco VPN Client versin 4
Si utiliza alguno de los adaptadores de VPN mencionados, no es posible aplicar
ninguna condicin que se base en:
Direcciones IP
Intervalos de IP
Direcciones de subred
Mscaras de subred
Quieren que los clientes que se conectan a esta ubicacin utilicen un tipo
especfico de control, tal como control de servidor, control mixto o control del
cliente?
Desea aplicar el control de integridad del host en cada ubicacin? O desea

omitirla en algn momento, por ejemplo, cuando no est conectado a Symantec
Endpoint Protection Manager?
Qu aplicaciones y servicios se deben permitir en cada ubicacin?
Es necesario que la ubicacin utilice las mismas opciones de comunicacin
que las otras ubicaciones del grupo o utilice una configuracin diferente? Es
posible configurar opciones de comunicacin nicas para una ubicacin.
Despus de considerar las respuestas a estas preguntas, es posible proceder a
agregar ubicaciones.
Acerca de la ubicacin predeterminada de un grupo

La ubicacin predeterminada es la ubicacin que se utiliza si:
Una de las diversas ubicaciones cumple los criterios de la ubicacin y la ltima
ubicacin no cumple los criterios de la ubicacin.
Se est usando Reconocimiento de ubicacin y ninguna ubicacin cumple los
criterios.
Se cambia el nombre de la ubicacin o se la modifica en la poltica, el cliente
vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
Cuando Symantec Endpoint Protection Manager se instala inicialmente, slo se
configura la ubicacin predeterminada, llamada Oficina. En ese momento, la
ubicacin predeterminada de cada grupo es Oficina. Es posible modificar la
ubicacin predeterminada ms tarde despus de agregar otras ubicaciones. Sin
embargo, cada grupo debe tener una ubicacin predeterminada.
Puede preferir designar una ubicacin como Hogar o Calle como ubicacin
predeterminada.
Habilitar la asignacin automtica de polticas de un

cliente
Es posible controlar las polticas que se asignan a los clientes segn la ubicacin
desde la cual un cliente se conecta. Se debe, por lo tanto, habilitar Reconocimiento
de ubicacin.
Para habilitar la asignacin automtica de polticas de un cliente
2 En la pgina Clientes, bajo Ver, expanda Global.
3 Seleccione el grupo para el cual desee ejecutar la conmutacin automtica

de ubicaciones.
Es posible modificar solamente las opciones independientes de la ubicacin
para los grupos que no hayan heredado esas polticas y opciones de un grupo
principal.
5 En la ficha Polticas, bajo Otra configuracin de grupo en el rea Configuracin
de grupo y Polticas, haga clic en Configuracin general.
6 En el cuadro de dilogo Configuracin de grupo, haga clic en la ficha
Configuracin general.
7 En el cuadro de dilogo Configuracin de grupo, bajo Configuracin de
ubicacin avanzada, marque Habilitar reconocimiento de ubicacin.
De forma predeterminada, se habilita Reconocimiento de ubicacin. El cliente
se asigna automticamente a la poltica asociada a la ubicacin desde la cual
el usuario intenta conectarse a la red.
8 En el cuadro de dilogo Configuracin de grupo, bajo Configuracin de
ubicacin avanzada, marque Recordar la ltima ubicacin seleccionada.
De forma predeterminada, esta opcin est habilitada. El cliente se asigna
inicialmente a la poltica asociada a la ubicacin desde la cual el usuario se
conect por ltima vez a la red.
Si la opcin Recordar la ltima ubicacin seleccionada est marcada cuando
un cliente se conecta a la red, se asigna inicialmente una poltica al cliente.
Esta poltica est asociada a la ubicacin ltima usada. Si se habilita
Reconocimiento de ubicacin, el cliente cambia automticamente a la
poltica apropiada despus de algunos segundos. La poltica asociada a
una ubicacin especfica determina la conexin de red de un cliente. Si se
inhabilita Reconocimiento de ubicacin, el usuario puede alternar
manualmente entre las ubicaciones, incluso si estn en modo de control
del servidor. Si se habilita una ubicacin de cuarentena, el cliente puede
alternar a la poltica de cuarentena despus de algunos segundos.
Si la opcin Recordar la ltima ubicacin seleccionada no est seleccionada
cuando un usuario se conecta a la red, al cliente se le asigna inicialmente
la poltica asociada con la ubicacin predeterminada. El usuario no puede
conectarse a la ltima ubicacin usada. Si se habilita Reconocimiento de
ubicacin, el cliente cambia automticamente a la poltica apropiada
despus de algunos segundos. La poltica asociada a una ubicacin
especfica determina la conexin de red de un cliente. Si se inhabilita
Reconocimiento de ubicacin, el usuario puede alternar manualmente
entre las ubicaciones, incluso si estn en modo de control del servidor. Si
se habilita una ubicacin de cuarentena, el cliente puede alternar a la

poltica de cuarentena despus de algunos segundos.

Una ubicacin llamada Oficina es la ubicacin predeterminada despus de que se
termina la instalacin. Es posible especificar otra ubicacin como ubicacin
predeterminada.
Para asignar una ubicacin predeterminada
2 En la pgina Clientes, bajo Ver, haga clic en el grupo al cual desee asignar una
ubicacin predeterminada diferente.
4 En la pgina Clientes, bajo Tareas, haga clic en Administrar ubicaciones.
5 En el cuadro de dilogo Reconocimiento de ubicacin, bajo Ubicaciones,
seleccione la ubicacin que desea establecer como ubicacin predeterminada.
6 En el cuadro de dilogo Reconocimiento de ubicacin, al lado de Ubicaciones,
marque Establecer esta ubicacin como ubicacin predeterminada en caso
de conflicto.
La ubicacin Oficina es siempre la ubicacin predeterminada hasta que se
asigne otra a un grupo.
Agregar la ubicacin y las condiciones de conmutacin

de un grupo con un asistente
Es posible agregar la ubicacin de un grupo usando un asistente o editando
informacin sobre la ubicacin de un grupo. Cada ubicacin tiene tpicamente su
propio grupo de polticas y opciones.
Si decide agregar una ubicacin con el Asistente para agregar ubicaciones, usted
asigna la ubicacin a un grupo especfico. Adems, especifica las condiciones bajo
las cuales las polticas y las opciones de un grupo pasan a una nueva ubicacin
con sus propias polticas y opciones.
Agregar la ubicacin y las condiciones de conmutacin de un grupo con un asistente
Para agregar la ubicacin y las condiciones de conmutacin de un grupo con un

asistente
2 En la pgina Clientes, bajo Ver, haga clic en el grupo para el cual desee agregar
una o ms ubicaciones, tales como Oficina, Hogar u Hotel.
Es posible agregar solamente ubicaciones a los grupos que no heredan polticas
del grupo principal.
4 Si es necesario, deje sin marcar Heredar polticas y configuracin del grupo
principal Mi empresa.
5 En la pgina Clientes, bajo Tareas, haga clic en Agregar ubicacin.
6 En el panel Bienvenido al Asistente para agregar ubicaciones, haga clic en
Siguiente.
7 En el panel Especificar el nombre de la ubicacin, escriba el nombre para la
nueva ubicacin en el cuadro Nombre.
8 En el panel Especificar el nombre de la ubicacin, escriba una descripcin en
el cuadro Descripcin para la ubicacin que desee agregar.
9 En el panel Especificar el nombre de la ubicacin, haga clic en Siguiente.
10 En el panel Especificar una condicin, seleccione cualquiera de las siguientes
condiciones bajo las cuales un cliente conmutar de una ubicacin a otra:
No hay ninguna condicin Seleccione esta opcin de modo que el cliente pueda
especfica elegir esta ubicacin si hay varias ubicaciones
disponibles.
Intervalo de IP Seleccione esta opcin de modo que el cliente pueda

elegir esta ubicacin si su direccin IP est incluida
en el intervalo especificado. Es necesario especificar
la direccin IP inicial y final.
Direccin de subred Seleccione esta opcin de modo que el cliente pueda

elegir esta ubicacin si se especifican su mscara
de subred y su direccin de subred.
Servidor DNS Seleccione esta opcin de modo que el cliente pueda

elegir esta ubicacin si se conecta al servidor DNS
especificado.
El cliente puede resolver el Seleccione esta opcin de modo que el cliente pueda
nombre del host elegir esta ubicacin si se conecta al nombre de
dominio especificado y direccin de resolucin DNS.
El cliente puede conectarse con Seleccione esta opcin de modo que el cliente pueda
el servidor de administracin elegir esta ubicacin si se conecta a la instancia de
especificada.
Tipo de conexin de red Seleccione esta opcin de modo que el cliente pueda
elegir esta ubicacin si se conecta al tipo
especificado de conexin de red. El cliente pasa a
esta ubicacin al usar una de las siguientes
conexiones:
Cualquier red
Acceso telefnico a redes
Ethernet
Inalmbrico
VPN-1 de Check Point
VPN de Cisco
VPN PPTP de Microsoft
VPN de Juniper NetScreen
VPN de Nortel Contivity
VPN de SafeNet SoftRemote
VPN SSL de Aventail
VPN SSL de Juniper

12 En el panel Finaliz el Asistente para agregar ubicaciones, haga clic en
Finalizar.

Es posible agregar una ubicacin con sus polticas y opciones asociadas a un grupo
sin utilizar un asistente.
Ver "Agregar la ubicacin y las condiciones de conmutacin de un grupo con un
Para agregar la ubicacin de un grupo sin un asistente
2 En la pgina Clientes, bajo Ver, haga clic en el grupo para el cual desee agregar
una o ms ubicaciones, tales como Oficina, Hogar u Hotel.

Es posible agregar solamente ubicaciones a los grupos que no heredan polticas
de un grupo ms alto.
principal Mi empresa.
5 En la pgina Cliente, bajo Tareas, haga clic en Administrar ubicaciones.
6 En el cuadro de dilogo Poltica basada en reconocimiento de ubicacin, bajo
Ubicaciones, haga clic en Agregar.
7 En el cuadro de dilogo Nuevas ubicaciones, escriba el nombre de la nueva
ubicacin en el cuadro de texto Nombre.
8 En el cuadro de dilogo Nuevas ubicaciones, escriba cualquier informacin
que lo ayude a identificar esta ubicacin en el cuadro de texto Descripcin.
Agregar condiciones de conmutacin de un grupo sin

un asistente
Para agregar condiciones de conmutacin de un grupo sin un asistente
2 En la pgina Clientes, bajo Ver, haga clic en los grupos a los cuales desee
agregar una norma de conmutacin.
Es posible agregar solamente condiciones de conmutacin a la poltica de un
grupo si este grupo no hereda polticas de un grupo ms alto.
principal a menos que ya est desactivada.
No es posible alternar una norma a menos que la poltica para el subgrupo
ya no sea heredada de un grupo ms alto.
5 En la pgina Clientes, bajo Tareas, haga clic en Administrar ubicaciones.
6 En el cuadro de dilogo Administrar ubicaciones, al lado de Pasar a esta
ubicacin cuando, haga clic en Agregar.
7 En el cuadro de dilogo Especificar criterios de ubicacin, seleccione las
condiciones de conmutacin de la lista Tipo para el grupo que ha seleccionado.
Si agrega una segunda condicin, es necesario terminar el paso siguiente.
8 En el cuadro de dilogo Definir criterios de ubicacin, seleccione Criterios

con relacin Y o Criterios con relacin O.
9 Seleccione el Tipo de conmutacin y haga clic en Agregar para definir ms
los criterios. Los siguientes son los tipos actuales de conmutacin:
Direccin IP del equipo Es posible escribir una direccin IP, un

intervalo de direcciones o una direccin
de subred.
Direccin del servidor de gateway Es posible escribir una direccin IP, un

intervalo de direcciones, una direccin
MAC o una direccin de subred.
Direccin del servidor WINS Es posible escribir una direccin IP, un

de subred.
Direccin del servidor DNS Es posible escribir una direccin IP, un

de subred.
Direccin del servidor DHCP Es posible escribir una direccin IP, un

de subred.
Conexin de red: Seleccione un tipo especfico de conexin

de red. El cliente pasar a esta ubicacin
al usar este tipo de conexin.
Los tipos incluyen los siguientes:
Cualquier red
Acceso telefnico a redes
Ethernet
Inalmbrico
VPN-1 de Check Point
VPN de Cisco
VPN PPTP de Microsoft
VPN de Juniper NetScreen
VPN de Nortel Contivity
VPN de SafeNet SoftRemote
VPN SSL de Aventail
VPN SSL de Juniper
Conexin del servidor de administracin Seleccionar si se alternar a esta ubicacin

si est conectado o no conectado a
Editar el nombre y la descripcin de la ubicacin de un grupo
Mdulo de plataforma de confianza Es posible seleccionar un token TPM, un

token IBM o un token HP.
Bsqueda DNS Es posible escribir el nombre de host y la

direccin resuelta DNS.
Clave de registro Es posible escribir una clave de registro o

un nombre de clave de registro y
especificar sus criterios como Existe o No
existe.
Es posible adems escribir un valor del
registro con el siguiente tipo de cadena:
Cadena
Dword
Binario
Es posible adems especificar sus criterios
como una de las siguientes opciones:
Igual a
No es igual a
SSID inalmbrico Es posible escribir el SSID (identificador

de grupo de servicios). El token identifica
una red 802.11 (Wi-Fi). El administrador
configura el SSID, una clave secreta.
Descripcin de NIC Es posible adems proporcionar una

descripcin de la tarjeta de interfaz de red
(NIC) que usted planea utilizar.
Nombre de dominio Es posible adems escribir el nombre del

dominio.
Editar el nombre y la descripcin de la ubicacin de

un grupo
Es posible editar el nombre y la descripcin de una ubicacin en el nivel de grupo.
Para editar el nombre y la descripcin de la ubicacin de un grupo

2 En la pgina Clientes, bajo Ver, haga clic en el grupo cuyo nombre y
descripcin se desea editar.
4 En la pgina Clientes, bajo Ver, haga clic en Administrar ubicaciones.
5 Edite el nombre de la ubicacin en el campo Nombre de ubicacin.
6 Edite la descripcin de la ubicacin en el campo Descripcin.

Es posible que sea necesario eliminar la ubicacin de un grupo porque ya no se
aplica.
Para eliminar una ubicacin
2 En la pgina Clientes, bajo Ver, haga clic en cualquiera de los grupos para los
cuales desee eliminar una ubicacin y sus condiciones asociadas.
Es posible eliminar solamente ubicaciones de los grupos que no heredan
polticas de sus grupos principales. Adems, tampoco es posible eliminar la
ubicacin predeterminada Oficina de los grupos. Por lo tanto, la opcin de
utilizar la misma poltica que el grupo principal debe estar sin marcar.
4 En la pgina Cliente, bajo Tareas, haga clic en Administrar ubicaciones.
Ubicaciones, seleccione la ubicacin que desee eliminar.
Ubicaciones, haga clic en Eliminar.
7 Haga clic en S cuando se le solicite que verifique que desea eliminar la
ubicacin del grupo asociada a un conjunto de condiciones especfico.
Captulo 28
Trabajar con polticas
Acerca de la utilizacin de polticas
Agregar una poltica
Editar una poltica
Asignar una poltica compartida en la pgina Polticas
Eliminar una poltica
Exportar una poltica
Importar una poltica
Retirar una poltica
Reemplazar una poltica
Copiar una poltica
Pegar una poltica
Acerca de la utilizacin de polticas

Es posible agregar, editar, asignar, eliminar, importar, exportar, retirar, sustituir,
copiar, pegar y convertir polticas.
Es posible realizar estas tareas para cualquiera de los siguientes tipos de polticas:
Antivirus y proteccin contra software espa
Firewall
398 Trabajar con polticas
Agregar una poltica
Prevencin de intrusiones
Integridad del host
LiveUpdate
Excepciones centralizadas
Estas polticas pueden ser polticas compartidas o polticas no compartidas.
Todas las tareas generales que es posible realizar en cualquier poltica se
documentan en esta seccin. Cada tarea, en caso de ser pertinente, tiene referencias
apropiadas a las tareas que describen los componentes especficos de cada tipo
de poltica.
Si agrega o edita polticas compartidas en la pgina Polticas, debe adems
asignarlas. Si no, las polticas no se aplicarn.
Agregar una poltica

Es posible agregar cualquiera de los siguientes tipos de polticas:
Firewall
Integridad del host
LiveUpdate
Estas polticas pueden agregarse como polticas compartidas o no compartidas.
Tpicamente se agrega cualquier poltica que los grupos y las ubicaciones
compartan en la pgina Polticas en la ficha Polticas. Sin embargo, se agrega
cualquier poltica que no sea compartida entre grupos y se aplique solamente a
una ubicacin especfica en la pgina Clientes.
Si decide agregar una poltica en la pgina Clientes, es posible agregar una nueva
poltica mediante los siguientes mtodos:
Basar una nueva poltica en una poltica existente.
Crear una nueva poltica.
Importar una poltica desde una poltica previamente exportada.
Trabajar con polticas 399
Agregar una poltica
Ver "Agregar una poltica compartida en la pgina Polticas" en la pgina 399.

Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente"
en la pgina 400.
Agregar una poltica compartida en la pgina Polticas

Generalmente, se agrega una poltica compartida en la pgina Polticas en lugar
de hacerlo en la pgina Clientes. Tanto las ubicaciones como los grupos pueden
compartir la misma poltica. Debe asignar la poltica compartida cuando termine
de agregarla.
Para agregar una poltica compartida en la pgina Polticas
Polticas.
2 En la pgina Polticas, bajo Ver polticas, haga clic en la poltica que desea.
Es posible seleccionar cualquiera de los siguientes tipos de polticas:
Firewall
Integridad del host
LiveUpdate
3 En la pgina Polticas, bajo Tareas, haga clic en Agregar poltica.

4 En el panel Descripcin general, escriba el nombre de la poltica en el cuadro
Nombre de poltica.
5 En el panel Descripcin general, escriba la descripcin de la poltica en el
cuadro Descripcin.
6 Si no lo ha hecho antes, marque Habilitar esta poltica.
Agregar una poltica
7 En el panel Descripcin general, seleccione una de las siguientes vistas:
Vista de rbol Las polticas asignadas a los grupos y a las

ubicaciones se representan como iconos.
Vista de lista Las polticas asignadas a los grupos y a las

ubicaciones se representan en una lista.
8 Si desea agregar una poltica, seleccione cualquiera de las siguientes polticas:
Antivirus y proteccin contra software Ver "Acerca de trabajar con polticas

espa antivirus y contra software espa"
en la pgina 454.
Firewall Ver "Acerca de trabajar con polticas de

firewall" en la pgina 526.
Prevencin de intrusiones Ver "Acerca del uso de Polticas de

prevencin de intrusiones"
en la pgina 550.
Control de aplicaciones y dispositivos Ver "Acerca de trabajar con polticas de

control de aplicaciones y dispositivos"
en la pgina 603.
Integridad del host Ver "Acerca de las polticas de integridad

del host" en la pgina 659.
LiveUpdate Ver "Acerca de LiveUpdate y las

actualizaciones de definiciones y
contenido" en la pgina 123.
Excepciones centralizadas Ver "Acerca de la utilizacin de polticas

de excepciones centralizadas"
en la pgina 644.
Agregar una poltica no compartida en la pgina Clientes con un

asistente
Es posible agregar polticas no compartidas o polticas compartidas en la pgina
Clientes.
Agregar una poltica
Para agregar una poltica no compartida en la pgina Clientes con un asistente

2 En la pgina Clientes, bajo Ver, seleccione el grupo para el cual desee agregar
una poltica.
Es posible seleccionar cualquier grupo con excepcin del grupo asociado al
grupo Global.
clic en Polticas.
4 Deje sin marcar Heredar polticas y configuracin del grupo principal
(nombre del grupo del cual se heredan las polticas y la configuracin).
Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la
herencia, no es posible agregar una poltica.
5 En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin,
desplcese para encontrar el nombre de la ubicacin para la cual desea agregar
una poltica.
Es posible agregar solamente polticas especficas de la ubicacin si no existe
ninguna. Agregar una poltica aparece solamente si no existe ninguna poltica
para un tipo especfico de poltica.
6 Haga clic en Agregar una poltica, si est disponible.
Si existe una poltica compartida o especfica de la ubicacin, no aparece ms
en el asistente para agregar polticas predeterminadas.
7 En el asistente para agregar polticas predeterminadas, seleccione el tipo de
poltica que desee agregar.
Agregar una poltica

9 Seleccione entre las siguientes opciones:
Haga clic en Crear una nueva poltica. Crea una poltica no compartida.
Ver "Crear una nueva poltica no compartida

en la pgina Clientes" en la pgina 402.
Haga clic en Usar una poltica Crea una poltica no compartida a partir de
compartida existente. una poltica compartida del mismo tipo

de una poltica existente en la pgina
Clientes" en la pgina 403.
Haga clic en Importar una poltica de Crea una poltica no compartida a partir de
un archivo de polticas. un archivo de formato .dat que fue exportado
previamente.

de un archivo de polticas previamente
exportado en la pgina Clientes"
en la pgina 404.
Crear una nueva poltica no compartida en la pgina Clientes

Si crea una poltica no compartida en la pgina Clientes, la poltica se aplica
solamente a una ubicacin especfica. Es necesario haber terminado ya los pasos
del asistente para agregar polticas predeterminadas y haber seleccionado Crear
una nueva poltica.
en la pgina 400.
Para crear una nueva poltica no compartida en la pgina Clientes
1 En el asistente para agregar polticas predeterminadas, haga clic en Siguiente.
Nombre de poltica.
Agregar una poltica
3 En el panel Descripcin general, escriba la descripcin de la poltica en el

cuadro Descripcin.
4 Si desea crear una nueva poltica no compartida, realice las tareas
seleccionando una de las siguientes polticas:

en la pgina 454.


en la pgina 550.

en la pgina 603.



en la pgina 644.
Crear una nueva poltica no compartida de una poltica existente en

la pgina Clientes
Es necesario haber completado ya los pasos en Agregar poltica para el asistente
predeterminado y seleccionar Usar una poltica compartida existente.
en la pgina 400.
Editar una poltica
Para crear una nueva poltica no compartida de una poltica existente en la pgina
Clientes
2 En el cuadro de dilogo Navegador de polticas, seleccione la nueva poltica
de la lista Nueva poltica.
La nueva poltica se ha agregado a la ubicacin y al grupo seleccionados
previamente.
Crear una nueva poltica no compartida de un archivo de polticas

previamente exportado en la pgina Clientes
Debe haber completado los pasos en Agregar poltica para el asistente
predeterminado e Importar una poltica de un archivo de polticas debe estar
seleccionado.
en la pgina 400.
Para crear una nueva poltica no compartida de un archivo de polticas previamente
exportado en la pgina Clientes
2 En el cuadro de dilogo Importar poltica, busque el archivo .dat que fue
exportado previamente.
Tambin puede escribir el nombre del archivo en el cuadro Nombre de archivo.
3 Haga clic en Importar.
La nueva poltica se ha agregado a la ubicacin y al grupo seleccionados
previamente.
Editar una poltica

Es posible editar polticas compartidas en la ficha Polticas de la pgina Polticas
y en la pgina Cliente. Sin embargo, es posible editar solamente polticas no
compartidas en la pgina Clientes.
Es posible editar cualquiera de los siguientes tipos de polticas:
Firewall
Editar una poltica

Integridad del host
LiveUpdate
Editar una poltica compartida en la pgina Polticas

Es posible editar una poltica compartida en la pgina Polticas, adems de asignarla
en la pgina Clientes. Tanto las ubicaciones como los grupos pueden compartir
la misma poltica. Es necesario asignar una poltica compartida despus de que
se la edita.
Para editar una poltica compartida en la pgina Polticas
Polticas.
2 En la pgina Polticas, bajo Ver polticas, haga clic en la poltica que desea.
Firewall
Integridad del host
LiveUpdate
3 En la pgina Polticas, bajo Tareas, haga clic en Editar la poltica.

Nombre de poltica.
Editar una poltica
5 En el panel Descripcin general, edite la descripcin de la poltica en el cuadro

Descripcin.
6 Si desea editar una poltica compartida en la pgina Polticas, realice las tareas
seleccionando una de las siguientes polticas:

en la pgina 454.


en la pgina 550.

en la pgina 603.



en la pgina 644.
Editar una poltica compartida o no compartida en la pgina Clientes

Es posible editar las polticas compartidas y no compartidas en la pgina Clientes.
Para editar una poltica compartida o no compartida en la pgina Clientes
2 En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee
editar una poltica.
clic en Polticas.
Editar una poltica

herencia, no es posible editar una poltica.
desplcese para encontrar el nombre de la ubicacin cuya poltica desea editar.
6 Localice la poltica especfica para la ubicacin que desee editar.
7 Haga clic en Tareas y seleccione Editar poltica si planea editar una tarea
compartida en la pgina Clientes.
Para las polticas no compartidas en la Ver Paso 9 en la pgina 408.

pgina Clientes
Para las polticas compartidas en la Ver Paso 8 en la pgina 408.

pgina Clientes
8 Haga clic en Crear local o Editar compartidas.

9 En la tabla siguiente haga clic en el vnculo para el tipo de poltica que desee
editar:

en la pgina 454.


en la pgina 550.

en la pgina 603.



en la pgina 644.

Despus de crear una poltica compartida en la pgina Polticas, debe aplicarla a
uno o ms grupos y a una o ms ubicaciones. De lo contrario, la poltica no es
eficaz.
Es posible que deba asignar una poltica a un grupo y a una ubicacin.
Para asignar una poltica compartida en la pgina Polticas
Polticas.
2 En la pgina Polticas, bajo Ver polticas, haga clic en la poltica que desea
aplicar a uno o ms grupos y a una o ms ubicaciones.

Firewall
Integridad del host
LiveUpdate
3 En el panel Polticas, haga clic en la poltica que desea aplicar si aparece ms

de una poltica.
4 En la pgina Polticas, bajo Tareas, haga clic en Asignar la poltica.
5 En el cuadro de dilogo Asignar el tipo de poltica, marque los grupos y las
ubicaciones en los que desea aplicar la poltica.
6 Haga clic en Asignar.
7 Haga clic en S para confirmar que desea aplicar los cambios de polticas.
8 En el cuadro de dilogo Cambios de polticas asignadas, haga clic en Aceptar.

Es posible que deba eliminar una poltica que se aplique a los grupos y a las
ubicaciones. Por ejemplo, las guas de consulta corporativas pueden modificarse
porque necesitan la implementacin de diferentes polticas. A medida que se
agregan nuevos grupos corporativos, es posible que deba eliminar los grupos
anteriores y sus polticas asociadas.
Eliminar una poltica compartida en la pgina Poltica

Es posible que deba eliminar una poltica al tiempo que las circunstancias se
modifican.
Puede que desee eliminar una poltica compartida en la pgina Polticas. Es posible
que deba eliminar una poltica que se aplique a una ubicacin. Por ejemplo, las
polticas de seguridad corporativas pueden modificarse y necesitar diferentes
polticas. Mientras se agregan nuevas ubicaciones y nuevos grupos, es posible que
deba eliminar polticas anteriores.
Para eliminar una poltica compartida en la pgina Poltica

Polticas.
2 En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que
desea eliminar. La poltica se pudo haber aplicado a uno o ms grupos y a una
o ms ubicaciones.
Puede seleccionar una poltica de antivirus y una proteccin contra software
espa, Firewall, Prevencin de intrusiones, Control de aplicaciones y
dispositivos, Integridad del host, LiveUpdate o de excepciones centralizada.
3 En el panel Polticas, haga clic en la poltica especfica que desea eliminar.
4 En la pgina Polticas, bajo Tareas, haga clic en Eliminar la poltica.
El sistema le solicitar que confirme si desea eliminar la poltica seleccionada.
Est seguro de que desea eliminar la poltica con el nombre

nombre de la poltica?
5 Haga clic en S para eliminar la poltica seleccionada o No para cancelar la

tarea.
Eliminar una poltica compartida o no compartida en la pgina Clientes

Puede que desee eliminar una poltica compartida o no compartida en la pgina
Clientes. Es posible que deba eliminar una poltica que se aplique a una ubicacin.
Por ejemplo, las polticas de seguridad corporativas pueden modificarse y necesitar
diferentes polticas. Mientras se agregan las nuevas ubicaciones, es posible que
deba eliminar polticas anteriores.
Para eliminar la poltica compartida o no compartida en la pgina Clientes
2 En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el que desea
eliminar una poltica.
herencia, no es posible eliminar una poltica.

desplcese para encontrar el nombre de la ubicacin cuya poltica desea
eliminar.
6 Localice la poltica especfica para la ubicacin que desea eliminar.
7 Haga clic en Tareas para seleccionar Quitar poltica.
El sistema le solicitar que confirme la eliminacin de la poltica.
8 Haga clic en S.

Puede exportar polticas existentes a un archivo .dat. Por ejemplo, es posible que
desee exportar una poltica para utilizarla en un sitio distinto. En el otro sitio, es
necesario importar la poltica usando el archivo .dat de este sitio. Toda la
configuracin que se asocia a la poltica se exporta automticamente.
Exportar una poltica compartida en la pgina Polticas

Puede que desee exportar una poltica compartida o no compartida en la pgina
Clientes.
Para exportar una poltica compartida en la pgina Polticas
Polticas.
desea exportar.
Firewall
Integridad del host
LiveUpdate
3 En el panel Polticas, haga clic en la poltica especfica que desea exportar.

4 En la pgina Polticas, bajo Tareas, haga clic en Exportar la poltica.

En el cuadro de dilogo Exportar poltica, localice la poltica especfica que
desea exportar buscando en sus carpetas a menos que ya haya seleccionado
la poltica.
El formato del archivo de exportacin es .dat.
Exportar una poltica compartida o no compartida en la pgina Clientes

Es posible exportar una poltica compartida o no compartida en la pgina Clientes.
Para exportar una poltica compartida o no compartida en la pgina Clientes
2 En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el que desea
exportar una poltica.
3 En el panel asociado al grupo que seleccion en el paso anterior, haga clic en
la ficha Polticas.
Es necesario desmarcar la herencia para este grupo. Si no deshabilita la
herencia, no es posible exportar una poltica.
desplcese para encontrar el nombre de la ubicacin cuya poltica desea
exportar.
6 Localice la poltica especfica para la ubicacin que desea exportar.
7 Haga clic en Tareas para seleccionar Exportar poltica.
8 En el cuadro de dilogo Exportar poltica, busque la carpeta a la que desea
exportar la poltica.
9 En el cuadro de dilogo Exportar poltica, haga clic en Exportar.
El archivo se guarda como un archivo .dat en la carpeta indicada.

Es posible importar un archivo de polticas y aplicarlo a un grupo o solamente a
una ubicacin.
Importar una poltica compartida en la pgina Poltica

Sera aconsejable importar una poltica compartida en la pgina Poltica.
Para importar una poltica compartida en la pgina Polticas
Polticas.
desee importar.
Firewall
Integridad del host
LiveUpdate
3 En la pgina Polticas, bajo Tareas, haga clic en Importar un nombre de

poltica.
En el cuadro de dilogo Importar poltica, busque la poltica que desee
importar.
El formato del archivo de importacin es .dat.
Importar una poltica compartida o no compartida en la pgina Clientes

Es posible importar una poltica compartida o no compartida para una ubicacin
especfica en la pgina Clientes.
Para importar una poltica compartida o no compartida en la pgina Clientes
importar una poltica.
clic en Polticas.
Retirar una poltica

herencia, no es posible exportar una poltica.
desplcese para encontrar el nombre de la ubicacin para la cual desee
importar una poltica.
6 En la ficha Poltica, haga clic en Agregar una poltica.
7 En el asistente Agregar poltica nombre, seleccione el tipo de poltica que desee
importar.
Es posible importar solamente una poltica si no se ha creado ya para el grupo
que usted seleccion previamente. Si ya se ha creado una poltica, no es posible
importar una poltica para el grupo que usted seleccion.
8 En el asistente Agregar poltica nombre, haga clic en Siguiente.
9 En el asistente Agregar poltica nombre, haga clic en Importar una poltica
de un archivo de polticas.
10 En el asistente Importar poltica nombre, haga clic en Siguiente.
11 En el cuadro de dilogo Importar poltica, busque la poltica que desee
importar.
12 En el cuadro de dilogo Importar poltica, haga clic en Aceptar.
Retirar una poltica

Puede ser necesario retirar una poltica de un grupo o una ubicacin en ciertas
circunstancias. Por ejemplo, un grupo especfico pudo haber experimentado
problemas despus de que usted introdujo una nueva poltica. Por lo tanto, es
posible retirar una poltica especfica de un grupo o una ubicacin, pero sin
eliminarla de la base de datos.
Retirar una poltica compartida en la pgina Polticas

Es posible retirar todas las polticas en la pgina Polticas, a excepcin de las
siguientes polticas:
LiveUpdate
Retirar una poltica
Para retirar una poltica compartida en la pgina Polticas

Polticas.
desea retirar.
Puede seleccionar una poltica de Firewall, Prevencin de intrusiones, Control
de aplicaciones y dispositivos, Integridad del host o de excepciones
centralizada.
3 En el panel Polticas, haga clic en la poltica especfica que desea retirar.
4 En la pgina Polticas, bajo Tareas, haga clic en Retirar la poltica.
5 En el cuadro de dilogo Retirar poltica, deje sin marcar los grupos y las
ubicaciones de los cuales desee retirar la poltica.
6 Haga clic en Retirar.
7 Cuando el sistema le solicite que confirme que desea retirar la poltica para
los grupos y las ubicaciones, haga clic en S.
Aparece el nmero de grupos y de ubicaciones de los que retir la poltica.
Retirar una poltica compartida o no compartida en la pgina Clientes

Es posible retirar todas las polticas en la pgina Clientes, a excepcin de las
siguientes polticas:
LiveUpdate
Si retira una poltica, sta se retira automticamente de los grupos y las ubicaciones
que usted seal. Sin embargo, la poltica permanece en la base de datos.
Para retirar una poltica compartida o no compartida en la pgina Clientes
retirar una poltica.
clic en Polticas.

(nombre del grupo principal del cual se heredan las polticas y la
configuracin).
herencia, no es posible retirar una poltica.
desplcese para encontrar el nombre de la ubicacin de la cual desea retirar
una poltica.
6 Localice la poltica especfica para la ubicacin que desee retirar.
7 Haga clic en Tareas para seleccionar Retirar la poltica.
8 En el cuadro de dilogo Retirar poltica, deje sin marcar los grupos y las
ubicaciones de los cuales desee retirar la poltica.
9 En el cuadro de dilogo Retirar poltica, haga clic en Retirar.

Puede sustituir una poltica existente por otra si las circunstancias se han
modificado. Si es necesario solucionar un problema que haya ocurrido, el reemplazo
de una poltica existente puede ser muy prctico.
Reemplazar una poltica compartida en la pgina Polticas

Puede reemplazar una poltica por otra en la pgina Polticas.
Para reemplazar una poltica compartida en la pgina Polticas
Polticas.
desea reemplazar.
Puede seleccionar cualquiera de las siguientes polticas:
Firewall
Integridad del host
LiveUpdate
3 En el panel Polticas, haga clic en la poltica que desea que se convierta en la

nueva poltica.
4 En la pgina Polticas, bajo Tareas, haga clic en Reemplazar la poltica.
En el cuadro de dilogo Reemplazar poltica, seleccione la poltica que desea
reemplazar de la lista Poltica anterior.
5 En el cuadro de dilogo Reemplazar poltica, marque los grupos y las
ubicaciones para los que desea reemplazar la poltica existente.
6 Haga clic en Reemplazar.
7 Cuando el sistema le solicite que confirme el reemplazo de la poltica para
los grupos y las ubicaciones, haga clic en S.
Reemplazar una poltica compartida o no compartida en la pgina

Clientes
Es posible reemplazar una poltica compartida o no compartida en la pgina
Clientes para una ubicacin especfica.
Para reemplazar una poltica compartida o no compartida en la pgina Clientes
reemplazar una poltica.
clic en Polticas.
configuracin).
herencia, no es posible reemplazar una poltica.
desplcese para encontrar el nombre de la ubicacin desde la cual desea
reemplazar una poltica.
6 Localice la poltica especfica para la ubicacin que desee reemplazar.
7 Haga clic en Tareas para seleccionar Reemplazar poltica.
Copiar una poltica
8 En el cuadro de dilogo Reemplazar poltica, seleccione la poltica de

reemplazo desde la lista Nueva poltica.
9 En el cuadro de dilogo Reemplazar poltica, haga clic en Aceptar.
Copiar una poltica

Es posible que desee copiar una poltica antes de comenzar a personalizarla.
Despus de copiar una poltica, debe pegarla.
Ver "Pegar una poltica" en la pgina 419.
Copiar una poltica compartida en la pgina Poltica

Es posible copiar una poltica compartida en la pgina Poltica.
Para copiar una poltica compartida en la pgina Poltica
Polticas.
desee copiar.
Puede seleccionar cualquiera de las siguientes polticas:
Firewall
Integridad del host
LiveUpdate
3 En el panel Polticas, haga clic en la poltica especfica que desee copiar.

4 En la pgina Polticas, bajo Tareas, haga clic en Copiar la poltica.
5 En el cuadro Copiar poltica, haga clic en No volver a mostrar este mensaje.
Marque esta opcin solamente si no desea seguir siendo notificado sobre este
proceso. El mensaje indica que la poltica se ha copiado al portapapeles y que
est lista para ser pegada.
Pegar una poltica
Copiar una poltica compartida o no compartida en la pgina Clientes

Es posible copiar una poltica compartida o no compartida en la pgina Clientes.
Sin embargo, se debe posteriormente pegar la poltica en la pgina Clientes.
Para copiar una poltica compartida o no compartida en la pgina Clientes
2 En la pgina Clientes, bajo Ver clientes, seleccione el grupo desde el cual desee
copiar una poltica.
clic en Polticas.
configuracin).
herencia, no es posible copiar una poltica.
desplcese para encontrar el nombre de la ubicacin desde la cual desea copiar
una poltica.
6 Localice la poltica especfica para la ubicacin que desee copiar.
7 Haga clic en Tareas para seleccionar Copiar.
8 En el cuadro de dilogo Copiar poltica, marque No volver a mostrar este
mensaje si desea que no aparezca ms este mensaje.
9 En el cuadro de dilogo Copiar poltica, haga clic en Aceptar.
Pegar una poltica

Esta tarea no aparece en la pgina Polticas bajo Tareas a menos que ya se haya
copiado la poltica.
Pegar una poltica compartida en la pgina Poltica

Es necesario haber copiado una poltica compartida en la pgina Poltica antes de
que pueda pegarla. Cuando se pega una poltica, la poltica aparece en el panel
derecho. Antes del nombre de la poltica se agrega Copia de. Es posible entonces
editar el nombre de la poltica.
Ver "Copiar una poltica" en la pgina 418.
Para pegar una poltica compartida en la pgina Poltica

1 En la pgina Polticas, haga clic en Polticas.
2 En la pgina Polticas, bajo Tareas, haga clic en Pegar una poltica.
Pegar una poltica compartida o no compartida en la pgina Clientes

Es necesario haber copiado una poltica compartida o no compartida en la pgina
Clientes antes de que pueda pegarla.
Ver "Copiar una poltica" en la pgina 418.
Para pegar una poltica compartida o no compartida en la pgina Clientes
1 En la consola de Symantec Endpoint Protection Manager, en la ficha Polticas,
haga clic en Tareas para seleccionar Pegar.
2 Cuando se le pregunte si desea sobrescribir la poltica existente, haga clic en
S.
Convertir una poltica compartida en una poltica no

compartida
Se puede convertir una poltica compartida existente en una poltica no compartida
porque la poltica ya no se aplica a todos los grupos o ubicaciones. Es necesario
realizar esta tarea en la pgina Clientes.
Para convertir una poltica compartida en una poltica no compartida en la pgina
Clientes
2 En la pgina Clientes, bajo Ver, seleccione el grupo para el cual desee convertir
una poltica.
clic en Polticas.
(nombre del grupo del cual se heredan las polticas y la configuracin) para
deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es
posible exportar ninguna poltica.
desplcese para encontrar el nombre de la ubicacin cuya poltica desee
convertir.
6 Localice la poltica especfica para la ubicacin que desee convertir.

7 Haga clic en Tareas para seleccionar Convertir en poltica no compartida.
8 En el cuadro de dilogo Descripcin general, edite el nombre de la poltica en
el cuadro Nombre de poltica.
9 En el cuadro de dilogo Descripcin general, edite la descripcin de la poltica
en el cuadro Descripcin.
La poltica convertida con su nuevo nombre ahora aparece bajo Configuracin
y polticas especficas de la ubicacin.
Captulo 29
Configurar conexiones
entre los servidores de
administracin y clientes o
autoridades de aplicacin
opcionales
Acerca de los servidores de administracin, la conmutacin por error y el

balanceo de carga
Lista predeterminada de servidores de administracin
Especificar la lista de servidores de administracin de un grupo
Visualizar los grupos y las ubicaciones con listas de servidores de

administracin asignadas
Agregar una lista de servidores de administracin
Asignar una lista de servidores de administracin a un grupo y a una ubicacin
Editar el nombre de servidor y la descripcin de una lista de servidores de

administracin
Editar la direccin IP o el nombre de host de un servidor de administracin en

una lista de servidores de administracin
424 Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales
Acerca de los servidores de administracin, la conmutacin por error y el balanceo de carga
Editar protocolos y nmeros de puerto de un servidor de administracin en

Reasignar direcciones IP, nombres de host y prioridades en una lista de

servidores de administracin
Reemplazo de una lista de servidores de administracin
Copiar y pegar una lista de servidores de administracin
Exportar una lista de servidores de administracin
Importar una lista de servidores de administracin
Eliminar una lista de servidores de administracin
Eliminar direcciones IP, nombres de host y prioridades de una lista de

Acerca de los servidores de administracin, la

conmutacin por error y el balanceo de carga
Los clientes y los mdulos de Enforcer deben poder conectarse a los servidores
de administracin para obtener polticas y opciones de seguridad. Symantec
Endpoint Protection Manager incluye un archivo que ayuda a administrar el trfico
entre los clientes, los servidores de administracin y los mdulos de Enforcer
opcionales. Especifica a qu servidor de administracin se conecta un cliente o
Enforcer. Puede adems especificar a qu servidor de administracin se conecta
un cliente o Enforcer en caso de incidentes con un servidor de administracin.
Se hace referencia a este archivo como lista de servidores de administracin. Una
lista de servidores de administracin incluye las direcciones IP o los nombres de
host del servidor de administracin al cual los clientes y los mdulos de Enforcer
opcionales pueden conectarse despus de la instalacin inicial. Se puede
personalizar la lista de servidor de administracin antes de implementar cualquier
cliente o mdulo de Enforcer opcional.
Lista predeterminada de servidores de administracin

Cuando Symantec Endpoint Protection Manager se instala, se crea una lista
predeterminada de servidores de administracin para permitir la comunicacin
HTTP entre los clientes, los mdulos de Enforcer y Symantec Endpoint Protection
Manager. La lista predeterminada de servidores de administracin incluye las
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales 425
Especificar la lista de servidores de administracin de un grupo
direcciones IP de todas las tarjetas de interfaz de red conectadas (NIC) en todas

las instancias de Symantec Endpoint Protection Manager en el sitio.
Sera aconsejable incluir solamente las NIC externas en la lista. Aunque usted no
pueda editar la lista predeterminada de servidores de administracin, es posible
crear una lista personalizada de servidores de administracin. Una lista
personalizada de servidores de administracin incluye las instancias exactas de
Symantec Endpoint Protection Manager Policy Manager y las NIC correctas a las
cuales es necesario que los clientes se conecten. En una lista personalizada, es
posible adems utilizar el protocolo HTTPS, verificar el certificado de servidor y
personalizar los nmeros de puerto HTTP o HTTPS.
Especificar la lista de servidores de administracin

de un grupo
Es posible especificar la lista de servidores de administracin que los grupos de
clientes y los mdulos de Enforcer opcionales utilizan para conectarse a Symantec
Endpoint Protection Manager en cualquier momento. Sin embargo, esta tarea se
realiza tpicamente despus de que se ha creado una lista personalizada de
servidores de administracin y antes de implementar cualquier paquete de clientes.
Para especificar la lista de servidores de administracin de un grupo
especificar una lista de servidores de administracin.
3 Si an est marcada, deje sin marcar Heredar polticas y configuracin del
grupo principal.
No es posible configurar ninguna opcin de comunicacin para un grupo a
menos que el grupo ya no herede polticas y configuracin de un grupo
principal.
4 En el panel derecho de la ficha Polticas, bajo Configuracin y polticas
independientes de la ubicacin, en el rea Configuracin, haga clic en
Configuracin de comunicaciones.
Visualizar los grupos y las ubicaciones con listas de servidores de administracin asignadas
5 En Configuracin de comunicaciones para nombre del grupo, bajo Lista de

servidores de administracin, seleccione la lista de servidores de
administracin.
El grupo seleccionado previamente utiliza esta lista de servidores de
administracin al comunicarse con el servidor de administracin.
6 En Configuracin de comunicaciones para nombre del grupo, haga clic en
Aceptar.
Visualizar los grupos y las ubicaciones con listas de

servidores de administracin asignadas
Se pueden visualizar los grupos y las ubicaciones a los cuales se ha asignado una
lista de servidores de administracin.
Para visualizar los grupos y las ubicaciones con listas de servidores de
administracin asignadas
Polticas.
2 En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de
polticas > Listas de servidores de administracin.
3 En la pgina Polticas, bajo Tareas, haga clic en Mostrar los grupos y las
ubicaciones asignadas.
4 En el panel derecho, seleccione la lista de servidores de administracin cuyos
grupos y ubicaciones desea visualizar.

Si su empresa tiene varias instancias de Symantec Endpoint Protection Manager,
es posible crear una lista personalizada de servidores de administracin. La lista
de servidores de administracin especifica el orden en el que se conectan los
clientes en un grupo determinado. Los clientes y los mdulos de aplicacin de
Enforcer opcionales primero intentan conectarse a las instancias de Symantec
Endpoint Protection Manager que se especificaron con la prioridad ms elevada.
Si no hay disponible una instancia de Symantec Endpoint Protection Manager
con la prioridad ms elevada, los clientes y los mdulos de Enforcer opcionales
intentan conectarse a los servidores de administracin con la prioridad siguiente.
Una lista predeterminada de servidores de administracin se crea automticamente
para cada sitio. Todas las instancias de Symantec Endpoint Protection Manager
disponibles en ese sitio se agregan a la lista predeterminada de servidores de
administracin con la misma prioridad.
Si agrega varias instancias de Symantec Endpoint Protection Manager con la
misma prioridad, los clientes y los mdulos de Enforcer opcionales pueden
conectarse a cualquier instancia de Symantec Endpoint Protection Manager. Los
clientes balancean automticamente la carga entre las instancias de Symantec
Endpoint Protection Manager disponibles en esa prioridad.
Es posible utilizar el protocolo HTTPS en lugar de la configuracin predeterminada
de HTTP para la comunicacin. Si desea proteger an ms la comunicacin, es
posible personalizar los nmeros de puerto HTTP y HTTPS creando una lista de
servidores de administracin personalizada. Sin embargo, es necesario personalizar
los puertos antes de instalar los clientes. Si no, se pierde la comunicacin entre
el cliente y el servidor de administracin. Si actualiza la versin de Symantec
Endpoint Protection Manager, es necesario volver a personalizar los puertos de
modo que los clientes puedan reanudar la comunicacin.
Despus de que agregue una nueva lista de servidores de administracin, debe
asignarla a un grupo o una ubicacin especfica, o a ambas.
Ver "Asignar una lista de servidores de administracin a un grupo y a una
ubicacin" en la pgina 429.
Para agregar una lista de servidores de administracin
Polticas.
3 En la pgina Polticas, bajo Tareas, haga clic en Agregar una lista de
servidores de administracin.
4 En el cuadro de dilogo Listas de servidores de administracin, escriba el
nombre de la lista de servidores de administracin que desee agregar en el
cuadro Nombre.
5 En el cuadro de dilogo Listas de servidores de administracin, escriba la
descripcin opcional de la lista de servidores de administracin que desee
agregar en el cuadro Descripcin.
6 En el cuadro de dilogo Listas de servidores de administracin, haga clic en
Agregar.
7 En el cuadro de dilogo Agregar servidor, escriba la direccin IP o el nombre
de host del servidor de administracin en el cuadro Direccin del servidor.
8 En el cuadro de dilogo Agregar servidor, seleccione el tipo de protocolo que

desee utilizar para la comunicacin entre los clientes, los mdulos de Enforcer
opcionales y Symantec Endpoint Protection Manager:
Utilizar protocolo HTTP
La configuracin predeterminada es Utilizar protocolo HTTP.
Utilizar protocolo HTTPS
Utilice esta opcin si desea que Symantec Endpoint Protection Manager
se comunique usando HTTPS y si el servidor est ejecutando Secure
Sockets Layer (SSL).
9 Si necesita la verificacin de un certificado con autoridades de certificacin

de otros fabricantes de confianza, marque Verificar certificado al utilizar
protocolo HTTPS.
Agregar y seleccione Nueva prioridad.
Se crea una nueva prioridad.
11 Repita el paso 10 para tantas prioridades adicionales como sea necesario
agregar.
12 En el cuadro de dilogo Servidor de administracin, bajo Servidores de
administracin, seleccione la prioridad a la cual desee agregar una direccin
IP o un nombre de host de un servidor de administracin.
Agregar y seleccione Nuevo servidor.
14 En el cuadro de dilogo Agregar servidor de administracin, escriba la
direccin IP o el nombre de host de Symantec Endpoint Protection Manager
en el cuadro Direccin del servidor.
15 Si desea modificar el nmero de puerto predeterminado para el protocolo
HTTP, marque Personalizar puerto HTTP.
Si personaliza el nmero de puerto HTTP despus de la implementacin del
cliente, los clientes pierden la comunicacin con Symantec Endpoint
Protection Manager.
16 Escriba el nmero de puerto que desee utilizar.
El nmero de puerto predeterminado para el protocolo HTTP es 80.
Asignar una lista de servidores de administracin a un grupo y a una ubicacin
17 Si desea modificar el nmero de puerto predeterminado para el protocolo

HTTPS, marque Personalizar puerto HTTPS.
El nmero de puerto predeterminado para el protocolo HTTPS es 443.
Si personaliza el nmero de puerto HTTPS despus de la implementacin del
cliente, los clientes pierden la comunicacin con Symantec Endpoint
Protection Manager.
18 Repita los pasos 13 a 17 tantas veces como sea necesario para cada prioridad
que seleccione.
19 En el cuadro de dilogo Agregar servidor de administracin, haga clic en
Aceptar.
Aceptar.
Asignar una lista de servidores de administracin a

un grupo y a una ubicacin
Despus de que se agregue una poltica, se necesita asignarla a un grupo o una
ubicacin, o a ambas. Si no, la lista de servidores de administracin no es eficaz.
Es necesario haber finalizado la adicin o la edicin de una lista de servidores de
administracin antes de que pueda asignar la lista.
Ver "Agregar una lista de servidores de administracin" en la pgina 426.
Ver "Editar el nombre de servidor y la descripcin de una lista de servidores de
administracin" en la pgina 430.
Ver "Editar la direccin IP o el nombre de host de un servidor de administracin
en una lista de servidores de administracin" en la pgina 430.
Ver "Editar protocolos y nmeros de puerto de un servidor de administracin en
una lista de servidores de administracin" en la pgina 431.
Para asignar una lista de servidores de administracin a un grupo y a una ubicacin
Polticas.
3 En la pgina Polticas, bajo Tareas, haga clic en Asignar la lista.
4 En Aplicar lista de servidores de administracin, marque los grupos y las
ubicaciones a los cuales desee aplicar la lista de servidores de administracin.
Editar el nombre de servidor y la descripcin de una lista de servidores de administracin

6 Cuando se le solicite, haga clic en S.
Editar el nombre de servidor y la descripcin de una

lista de servidores de administracin
Es posible modificar el nombre y la descripcin de una lista de servidores de
administracin. Despus de editar el nombre del servidor y la descripcin, debe
asignarla a un grupo o una ubicacin, o a ambos.
Para editar el nombre de servidor y la descripcin de una lista de servidores de
administracin
Polticas.
3 En la pgina Polticas, bajo Tareas, haga clic en Editar una lista de servidores
de administracin.
4 En el cuadro de dilogo Listas de servidores de administracin, edite el nombre
de la lista de servidores de administracin en el cuadro Nombre.
5 En el cuadro de dilogo Listas de servidores de administracin, edite la
descripcin opcional de la lista de servidores de administracin en el cuadro
Descripcin.
Aceptar.
Editar la direccin IP o el nombre de host de un

servidor de administracin en una lista de servidores
de administracin
Si la direccin IP o el nombre de host de un servidor de administracin se modifica,
es necesario reflejar este cambio. Despus de editar la direccin IP o el nombre
de host, es necesario asignar la lista a un grupo o una ubicacin, o a ambos.
Editar protocolos y nmeros de puerto de un servidor de administracin en una lista de servidores de administracin
Para editar la direccin IP o el nombre de host de un servidor de administracin en

Polticas.
3 En la pgina Polticas, bajo Tareas, haga clic en Editar la lista.
4 En el cuadro de dilogo Listas de servidores de administracin, bajo Servidores
de administracin, seleccione la direccin IP o el nombre de host del servidor
de administracin que desee modificar.
Editar la lista.
6 En el cuadro de dilogo Agregar servidor de administracin, escriba la nueva
direccin IP o el nombre de host del servidor de administracin en el cuadro
Direccin del servidor.
Aceptar.
Aceptar.
Editar protocolos y nmeros de puerto de un servidor

de administracin en una lista de servidores de
administracin
Si ha modificado el protocolo de comunicacin entre los servidores de
administracin y los clientes o los mdulos de Enforcer, es necesario reflejar este
cambio. Despus de que se editen los protocolos y los nmeros de puerto, es
necesario asignar la lista de servidores de administracin a un grupo o una
ubicacin, o a ambos.
Reasignar direcciones IP, nombres de host y prioridades en una lista de servidores de administracin
Para editar el protocolo y los nmeros de puerto de un servidor de administracin

en una lista de servidores de administracin
Polticas.
de administracin que desee modificar.
Editar.
6 Si desea modificar el protocolo, haga clic en Personalizar puerto HTTP o
Personalizar puerto HTTPS.
Si personaliza el nmero de puerto HTTP o HTTPS despus de la
implementacin de clientes, los clientes pierden la comunicacin con
7 Edite el nmero de puerto HTTP que desee utilizar en el cuadro Nmero de
puerto HTTP.
El nmero de puerto predeterminado para el protocolo HTTP es 80.
8 Edite el nmero de puerto HTTPS que desee utilizar.
El nmero de puerto predeterminado para el protocolo HTTPS es 443.
Aceptar.
Aceptar.
Reasignar direcciones IP, nombres de host y

prioridades en una lista de servidores de
administracin
Si las circunstancias de una red se modifican, puede ser necesario reasignar
direcciones IP o nombres de host, as como las prioridades en una lista de
servidores de administracin. Por ejemplo, uno de los servidores en los cuales
usted instal Symantec Endpoint Protection Manager ha tenido un incidente del
disco. Este servidor de administracin haba funcionado como servidor de balanceo
Reemplazo de una lista de servidores de administracin
de carga y haba recibido la Prioridad 1. Sin embargo, hay otro servidor de

administracin con la Prioridad 2 asignada. Si desea resolver este problema, es
posible reasignar la prioridad de este servidor de administracin. Es posible
cambiar la prioridad de un servidor de administracin a partir de 2 a 1 para
sustituir el servidor de administracin defectuoso.
Para reasignar direcciones IP, nombres de host y prioridades en una lista de
Polticas.
de administracin, seleccione la direccin IP, el nombre de host o la prioridad
del servidor de administracin que desee modificar.
5 Haga clic en Subir o Bajar.
Es posible reasignar una direccin IP o un nombre de host a una prioridad
diferente. Si decide modificar una prioridad, se modifican automticamente
todas las direcciones IP y los nombres de host asociados de la prioridad.
Aceptar.
Reemplazo de una lista de servidores de

administracin
Es posible reemplazar una lista de servidores de administracin que haba sido
aplicada previamente a un grupo o a una ubicacin especficos por otra lista.
Para reemplazar una lista de servidores de administracin
Polticas.
3 En la pgina Polticas, bajo Tareas, haga clic en Reemplazar la lista.
4 En el panel derecho, seleccione la lista de servidores de administracin que
desea reemplazar.
Copiar y pegar una lista de servidores de administracin
5 En el cuadro de dilogo Reemplazar lista de servidores de administracin,

seleccione la lista de servidores de administracin de reemplazo desde la lista
Nuevo servidor de administracin.
6 Marque los grupos o las ubicaciones a los cuales desee aplicar la lista de
servidores de administracin de reemplazo.
8 Cuando se le solicite, haga clic en S.
Copiar y pegar una lista de servidores de

administracin
Es posible copiar y pegar cualquier lista de servidores de administracin. Despus
de copiar y pegar una lista de servidores de administracin, la copia de la lista de
servidores de administracin aparece en el panel derecho.
Para copiar y pegar una lista de servidores de administracin
Polticas.
desea copiar y pegar.
4 En la pgina Polticas, bajo Tareas, haga clic en Copiar la lista.
5 En la pgina Polticas, bajo Tareas, haga clic en Pegar lista.
Exportar una lista de servidores de administracin

Puede exportar una lista existente de servidores de administracin. El formato
de archivo para una lista de servidores de administracin es .dat.
Para exportar una lista de servidores de administracin
Polticas.
3 En la pgina Polticas, bajo Tareas, haga clic en Exportar lista.
4 En el cuadro de dilogo Exportar poltica, busque la carpeta en la cual desea

exportar el archivo de lista de servidores de administracin que desea
exportar.
5 En el cuadro de dilogo Exportar poltica, haga clic en Exportar.
6 Si se le solicita que modifique el nombre de archivo en el cuadro de dilogo
Exportar poltica, modifique el nombre de archivo.
7 En el cuadro de dilogo Exportar poltica, haga clic en Aceptar.

Puede importar una lista existente de servidores de administracin. El formato
de archivo para una lista de servidores de administracin es .dat.
Para importar una lista de servidores de administracin
Polticas.
3 En la pgina Polticas, bajo Tareas, haga clic en Importar una lista de
servidores de administracin.
4 En el cuadro de dilogo Importar poltica, busque el archivo de lista de
servidores de administracin que desea importar.
5 En el cuadro de dilogo Importar poltica, haga clic en Importar.
6 Si se le solicita que modifique el nombre de archivo en el cuadro de dilogo
de entrada, modifique el nombre de archivo.
7 En el cuadro de dilogo de entrada, haga clic en Aceptar.
Eliminar una lista de servidores de administracin

Puede ser necesario eliminar una lista de servidores de administracin porque
los servidores ya no estn en funcionamiento o se haya vuelto a configurar su red.
Para eliminar una lista de servidores de administracin
Polticas.
Eliminar direcciones IP, nombres de host y prioridades de una lista de servidores de administracin

desea eliminar.
4 En la pgina Polticas, bajo Tareas, haga clic en Eliminar la lista.
5 Si se le solicita que elimine la lista de servidores de administracin en Eliminar
Lista de servidores de administracin, haga clic en S.
Eliminar direcciones IP, nombres de host y prioridades

de una lista de servidores de administracin
Cuando cambian las circunstancias, puede ser necesario eliminar direcciones IP
o nombres de hosts y su estado de prioridad asociado de una lista de servidores
de administracin. Por ejemplo, un servidor de administracin ya no forma parte
de una red corporativa. Por lo tanto, se debe actualizar la lista de servidores de
administracin que es parte de una poltica.
Tan pronto como las direcciones IP fuera de servicio o los nombres de host se
eliminan de la lista de servidores de administracin, los clientes y los mdulos de
Enforcer ya no pueden conectarse. La lista actualizada de servidores de
administracin es parte de una poltica que se debe transferir a los clientes y a
los mdulos de Enforcer antes de su aplicacin.
Para eliminar direcciones IP, nombres de host y prioridades de una lista de
Polticas.
de administracin, o la prioridad, que desee modificar.
Si selecciona una prioridad con direcciones IP o nombres de host de servidores
de administracin asociados, se eliminan automticamente las direcciones
IP y los nombres de host. Si selecciona solamente una direccin IP o un nombre
de host de un servidor de administracin, la prioridad u otros servidores no
se eliminan automticamente.

Aceptar.
6 Cuando se le solicite confirmacin en el cuadro de dilogo Listas de servidores
de administracin, haga clic en S.
Captulo 30
Configurar aplicaciones
aprendidas
Acerca de aplicaciones aprendidas
Habilitar aplicaciones aprendidas
Buscar aplicaciones
Acerca de aplicaciones aprendidas

El cliente supervisa y recopila informacin sobre las aplicaciones y los servicios
que se ejecutan en cada equipo. Puede configurar el cliente para que recopile la
informacin en una lista y para enviar la lista al servidor de administracin. La
lista de aplicaciones y sus caractersticas se llama aplicaciones aprendidas.
Es posible utilizar esta informacin para descubrir qu aplicaciones estn
ejecutando los usuarios. Es posible tambin utilizar la informacin para crear
polticas de firewall, polticas de control de aplicaciones y dispositivos, anlisis
de amenazas proactivos o polticas de integridad del host.
La consola incluye una herramienta de consulta para buscar una lista de
aplicaciones. Es posible buscar en criterios basados en aplicaciones o criterios
basados en equipos. Por ejemplo, puede descubrir la versin de Internet Explorer
que cada equipo cliente utiliza.
440 Configurar aplicaciones aprendidas
Nota: En algunos pases, es posible que no est permitido por ley local utilizar la
herramienta de aplicaciones aprendidas en ciertas circunstancias, por ejemplo,
para obtener informacin de uso de la aplicacin desde un equipo porttil cuando
un empleado inicia sesin en la red de la oficina desde su domicilio con el equipo
porttil de la empresa. Antes de Su uso de esta herramienta, confirme que el uso
est permitido para sus propsitos en su jurisdiccin. Si no se permite, siga las
instrucciones para deshabilitar la herramienta.
Nota: El cliente no registra informacin sobre las aplicaciones que ejecutan los
clientes de Symantec Network Access Control. La funcin de las aplicaciones
aprendidas no est disponible en la consola si instala slo Symantec Network
Access Control. Si integra Symantec Network Access Control con Symantec
Endpoint Protection, puede utilizar la herramienta de las aplicaciones aprendidas
con las Polticas de integridad del host. Adems, es necesario instalar el mdulo
de proteccin contra amenazas de red y el mdulo de control de aplicaciones y
dispositivos en el cliente para que esta caracterstica funcione.

Es posible habilitar las aplicaciones aprendidas para sitios enteros, para grupos
dentro de un sitio o para ubicaciones dentro de un grupo. La funcin de aplicaciones
aprendidas est habilitada de forma predeterminada para el sitio, el grupo y la
ubicacin. Primero se habilitan las aplicaciones aprendidas para cada sitio y, luego,
opcionalmente para grupos y ubicaciones especficos.
Para habilitar aplicaciones aprendidas, es necesario realizar las siguientes tareas:
Habilitar aplicaciones aprendidas para el sitio.
Es necesario habilitar las aplicaciones aprendidas para un sitio a fin de
habilitarlo para un grupo o una ubicacin especfica.
Habilitar los clientes para que enven aplicaciones aprendidas al servidor de
administracin por grupo o por ubicacin.
Es posible adems configurar una notificacin que se enviar a su direccin de
correo electrnico cuando cada cliente de un grupo o una ubicacin ejecute una
aplicacin.
Habilitar las aplicaciones aprendidas para un sitio

Puede configurar las aplicaciones aprendidas para los servidores de administracin
dentro de un sitio local o dentro de un sitio remoto.
Configurar aplicaciones aprendidas 441
Para habilitar las aplicaciones aprendidas para un sitio

1 En la consola, haga clic en Administrador y, luego, haga clic en Servidores.
2 Bajo Ver servidores, realice una de las siguientes acciones:
Haga clic en Sitio local (Sitio <nombre del sitio>).
Expanda Sitios remotos y, a continuacin, haga clic en Sitio <nombre del
sitio>.

4 En el cuadro de dilogo Propiedades del sitio para nombre el sitio, en la
ficha General, marque Realizar un seguimiento de cada aplicacin que
ejecutan los clientes.
Habilitar clientes para enviar la lista de aplicaciones aprendidas al

servidor de administracin
Despus de habilitar un sitio para recopilar las listas de aplicaciones aprendidas
de los clientes, se permite a los clientes que enven las listas al servidor por grupo
o por ubicacin.
Nota: Es posible modificar esta opcin solamente para los subgrupos que no
heredan sus polticas y opciones de un grupo principal.
Para enviar la lista de aplicaciones aprendidas al servidor de administracin

2 Bajo Ver clientes, seleccione un grupo y haga clic en la ficha Polticas.
3 En la ficha Polticas, haga clic en Configuracin de comunicaciones.
4 En el cuadro de dilogo Configuracin de comunicaciones para nombre del
grupo, asegrese de que Cargar una lista de aplicaciones que los clientes
ejecutaron est marcada.
Para enviar aplicaciones aprendidas al servidor de administracin para una ubicacin
2 Bajo Ver clientes, seleccione un grupo.
3 Bajo Configuracin y polticas especficas de la ubicacin, seleccione la
ubicacin y despus expanda Configuracin especfica de la ubicacin.
Buscar aplicaciones
4 A la derecha de Configuracin de comunicaciones, haga clic en Tareas y

despus deje sin marcar Usar configuracin de comunicaciones de grupo.
Esta opcin permite crear una opcin de ubicacin en lugar de una opcin de
grupo.
5 Haga clic en Tareas y despus haga clic en Editar configuracin.
6 En el cuadro de dilogo Configuracin de comunicaciones para <nombre de
la ubicacin>, marque Cargar una lista de aplicaciones que los clientes
ejecutaron.
Buscar aplicaciones
Despus de que el servidor de administracin reciba la lista de aplicaciones de los
clientes, es posible realizar consultas sobre los detalles de las aplicaciones. Por
ejemplo, es posible encontrar todos los equipos cliente que utilizan una aplicacin
no autorizada. Es posible entonces crear una norma de firewall para bloquear la
aplicacin en el equipo cliente. O es posible actualizar todos los equipos cliente
para que utilicen la versin ms actual de Microsoft Word.
Es posible buscar una aplicacin de las siguientes maneras:
Por aplicacin.
Es posible limitar la bsqueda a aplicaciones o detalles de aplicaciones
especficos, como el nombre, la huella digital del archivo, la ruta, el tamao,
la versin o la hora de la ltima modificacin.
Por cliente o equipo cliente.
Es posible buscar las aplicaciones que un usuario o un equipo especfico ejecuta.
Por ejemplo, es posible buscar la direccin IP del equipo.
Es posible adems buscar aplicaciones para utilizarlas en una norma de firewall,
directamente dentro de las polticas de firewall.
Ver "Agregar aplicaciones a una norma" en la pgina 574.
Para buscar aplicaciones
2 En la pgina Polticas, bajo Tareas, haga clic en Buscar aplicaciones.
3 En el cuadro de dilogo Buscar aplicaciones, a la derecha del campo Buscar
aplicaciones en, haga clic en Examinar.
Configurar aplicaciones aprendidas 443
Buscar aplicaciones
4 En el cuadro de dilogo Seleccionar grupo o ubicacin, seleccione un grupo

de clientes cuyas aplicaciones desee ver y haga clic en Aceptar.
Es posible especificar solamente un grupo por vez.
5 Asegrese de que Buscar subgrupos est marcada.
6 Realice una de las acciones siguientes:
Para buscar informacin por usuario o equipo, haga clic en A partir de
informacin del equipo/cliente.
Para buscar por aplicacin, haga clic en A partir de aplicaciones.
7 Haga clic en Campo de bsqueda y despus seleccione los criterios de

bsqueda de la lista.
La celda Campo de bsqueda muestra criterios que se basan en la opcin que
usted seleccion. Para obtener informacin sobre las opciones, haga clic en
Ayuda.
8 Haga clic en Operador de comparacin y seleccione uno de los operadores.
9 Haga clic en Valor y entonces seleccione o escriba un valor.
La celda Valor puede proporcionar un formato o un valor de la lista
desplegable, de acuerdo con los criterios que usted haya seleccionado en la
celda Campo de bsqueda.
10 Para agregar criterios de bsqueda adicionales, haga clic en la segunda fila
y despus escriba informacin en las celdas Campo de bsqueda, Operador
de comparacin y Valor.
Si escribe ms de una fila de criterios de bsqueda, la consulta busca
coincidencias con ambas condiciones.
11 Haga clic en Buscar.
12 En la tabla Resultados de la consulta, realice una de las siguientes tareas:
Haga clic en las flechas de desplazamiento para ver filas y columnas
adicionales.
Haga clic en Atrs y Siguiente para ver pantallas de informacin
adicionales.
Seleccione una fila y despus haga clic en Ver detalles para ver
informacin adicional sobre la aplicacin.
Los resultados no se guardan a menos que usted los exporte a un archivo.
13 Para quitar los resultados de la consulta, haga clic en Borrar todo.
Buscar aplicaciones
Guardar los resultados de una bsqueda de aplicaciones

Despus de que se ejecute la consulta, es posible guardar los resultados en un
archivo de texto o un archivo delimitado por comas. La herramienta de consulta
exporta todos los resultados de la consulta, en lugar de una fila seleccionada.
Para guardar los resultados de una bsqueda de aplicaciones
1 Busque los detalles sobre una aplicacin o un equipo cliente.
2 En el cuadro de dilogo Buscar aplicaciones, bajo Resultados de la consulta,
haga clic en Exportar.
3 En el cuadro de dilogo Exportar resultados, escriba qu pantalla o pgina de
detalles de la aplicacin y del equipo cliente desea exportar.
4 Seleccione o escriba el nombre de ruta y el nombre de archivo al cual desee
exportar el archivo y haga clic en Exportar.
5 Para confirmar, haga clic en Aceptar.
6 Cuando haya terminado de buscar aplicaciones, haga clic en Cerrar.
Seccin 4
Configurar la proteccin
antivirus y contra software
espa
Configuracin bsica de polticas antivirus y contra software espa
Configurar Auto-Protect
Usar anlisis definidos por el administrador

446
Captulo 31
Configuracin bsica de
polticas antivirus y contra
software espa
Fundamentos de la proteccin antivirus y contra software espa
Acerca de trabajar con polticas antivirus y contra software espa
Acerca de los virus y los riesgos de seguridad
Acerca de analizar
Acerca de acciones para los virus y los riesgos de seguridad que los anlisis
detectan
Configurar parmetros de gestin de registros en una poltica antivirus y contra

software espa
Acerca de la interaccin del cliente con opciones de antivirus y software espa
Modificar la contrasea necesaria para analizar unidades de red asignadas
Especificar cmo el Centro de Seguridad de Windows interacta con el cliente

de Symantec Endpoint Protection
Exhibir una advertencia de definiciones desactualizadas o ausentes
Especificar la URL que se debe mostrar en las notificaciones de error de

antivirus y software espa
Especificar una URL para una pgina principal del navegador

448 Configuracin bsica de polticas antivirus y contra software espa
Configurar las opciones que se aplican a los anlisis antivirus y de software

espa
Enviar informacin sobre anlisis a Symantec
Administrar los archivos en cuarentena
Fundamentos de la proteccin antivirus y contra

software espa
Es posible proporcionar proteccin antivirus y contra software espa para los
equipos de su red de seguridad mediante las acciones siguientes:
Crear un plan para responder ante virus y riesgos de seguridad.
Ver el estado de su red en la pgina principal de la consola.
Ejecutar comandos de la consola para activar Auto-Protect, iniciar un anlisis
manual o actualizar definiciones.
Utilice las polticas antivirus y contra software espa para modificar la
configuracin de Auto-Protect y de anlisis en los equipos cliente.
Acerca de crear un plan para responder ante virus y riesgos de

seguridad
Una respuesta eficaz a un virus y a un ataque de riesgos de seguridad necesita un
plan que le permita responder rpida y eficientemente. Es necesario crear un plan
para el ataque y definir acciones para manejar archivos sospechosos.
La Tabla 31-1 define las tareas para crear un plan para ataques de virus y riesgos
de seguridad.
Configuracin bsica de polticas antivirus y contra software espa 449
Tabla 31-1 Plan de ejemplo
Tarea Descripcin
Comprobar que los archivos de Verifica que los equipos infectados tengan los ltimos
definiciones estn al da. archivos de definiciones. Es posible ejecutar informes
para comprobar que los equipos cliente tengan las
ltimas definiciones.
Para actualizar definiciones, realice una de las siguientes
acciones:
Aplique una poltica de LiveUpdate.

Ver "Configurar polticas de clientes de LiveUpdate"
en la pgina 131.
Ejecute el comando Actualizar contenido para un
grupo o los equipos seleccionados que sean
mencionados en la ficha Clientes.
Ejecute el comando Actualizar contenido en los
equipos seleccionados que se enumeran en un
registro de riesgos o estados del equipo.
Realizar un mapa de la topologa Prepara un mapa de la topologa de la red que permite

de la red aislar y limpiar sistemticamente los equipos por
segmentos antes de volver a conectarlos a la red local.
El mapa debe incluir la siguiente informacin:
Nombres y direcciones de los equipos cliente

Protocolos de red
Recursos compartidos
Conocer las soluciones de Es necesario entender la topologa de su red y la

seguridad. implementacin del cliente en la red. Es necesario
tambin entender la puesta en prctica de cualquier
otro producto de seguridad que se utilice en su red.
Considere las preguntas siguientes:
Cules son los programas de seguridad que protegen

los servidores y las estaciones de trabajo de la red?
Cul es la planificacin para actualizar las
definiciones?
De qu mtodos alternativos se dispone para
obtener las actualizaciones si los canales normales
son atacados?
Qu archivos de registro estn disponibles para
realizar un seguimiento de los virus en la red?
Tarea Descripcin
Contar con un plan de copias de En caso de infeccin catastrfica, es posible que necesite
respaldo restaurar equipos cliente. Asegrese de que tiene un
plan de copia de respaldo pensado para restaurar
equipos crticos.
Aislar los equipos infectados Las amenazas combinadas, como los gusanos, pueden
transmitirse a travs de los recursos compartidos sin
necesidad de que intervenga el usuario. Cuando se deba
responder a una infeccin provocada por gusanos
informticos, es fundamental aislar los equipos
afectados desconectndolos de la red.
Identificar el riesgo Los informes y los registros de la consola de

administracin son una buena fuente de informacin
sobre riesgos en su red. Es posible utilizar la
enciclopedia de virus de Symantec Security Response
para aprender ms sobre un riesgo determinado que
usted identifique en informes o registros. En algunos
casos, es posible que encuentre instrucciones adicionales
para manejar el riesgo.
Responder a riesgos desconocidos Es necesario consultar el sitio Web de Symantec Security

Response para obtener informacin actualizada cuando
las situaciones siguientes son verdaderas:
No es posible identificar un archivo sospechoso

examinando los registros y los informes.
Los ltimos archivos de definiciones de virus no
limpian el archivo sospechoso.
En el sitio Web, es posible que encuentre informacin

reciente sobre el archivo sospechoso. Consulte las
ltimas amenazas y recomendaciones de seguridad de
virus.
Dnde obtener ms informacin

Es posible buscar las bases de conocimientos de Symantec en lnea para obtener
ms informacin. Las bases de conocimientos contienen informacin detallada
que no estaba disponible a la hora de la publicacin de esta gua.
Tambin puede consultar las pginas Web de Symantec Security Response para
obtener informacin actualizada sobre virus y riesgos de seguridad.
http://www.symantec.com/es/mx/enterprise/security_response/
Acerca de ver el estado del antivirus y la proteccin contra software

espa de su red
Es posible ver rpidamente el estado de su red de seguridad en la pgina principal
de la consola. Un resumen de estado le muestra cuntos equipos de su red de
seguridad han deshabilitado el antivirus y la proteccin contra software espa.
Un resumen muestra las acciones que el cliente realiz sobre los virus y los riesgos
de seguridad detectados. La pgina principal tambin incluye la distribucin de
las definiciones de virus a travs de la red.
Tambin puede ejecutar informes y ver registros.
Ver "Acerca del uso de Supervisin e Informes para asegurar la red"
en la pgina 251.
Acerca de ejecutar comandos para la proteccin antivirus y contra

software espa
Es posible ejecutar rpidamente comandos desde la pgina Clientes en la consola
o usando los registros de estado del equipo de la pgina Supervisin.
Acerca de habilitar Auto-Protect manualmente

La poltica antivirus y contra software espa predeterminada habilita Auto-Protect
de forma predeterminada. Si los usuarios en los equipos cliente deshabilitan
Auto-Protect, es posible volver a habilitarlo rpidamente en la consola.
Puede seleccionar los equipos para los cuales usted desea habilitar Auto-Protect
en la consola en la pgina Clientes. Es posible tambin habilitar Auto-Protect
desde un registro que usted genere en la pgina Supervisin.
Ver "Habilitar Auto-Protect para el sistema de archivos" en la pgina 494.
Acerca de ejecutar anlisis manuales

Es posible incluir anlisis programados como parte de polticas antivirus y contra
software espa. Sin embargo, es posible que necesite ejecutar manualmente anlisis
en los equipos cliente.
Es posible seleccionar los equipos para los cuales usted desea ejecutar anlisis
manuales en la consola en la pgina Clientes. Tambin se puede ejecutar un anlisis
manual desde un registro que usted genere en la pgina Supervisin.
Es posible ejecutar un anlisis personalizado, rpido o completo. Si elige ejecutar

un anlisis personalizado, el cliente utiliza la configuracin para los anlisis
manuales que usted configure en la poltica antivirus y contra software espa.
Ver "Ejecutar anlisis manuales" en la pgina 517.
Acerca de polticas antivirus y contra software espa

Una poltica antivirus y contra software espa incluye los siguientes tipos de
opciones:
Parmetros de Otros
Anlisis de Auto-Protect
Anlisis de amenazas proactivos
Anlisis definidos por el administrador (anlisis programados y manuales)
Opciones de cuarentena
Opciones de Envos
Cuando se instala Symantec Endpoint Protection, aparece una poltica antivirus
y contra software espa predeterminada en la lista de polticas en la consola. Es
posible modificar la poltica predeterminada o crear nuevas polticas.
Nota: Las polticas antivirus y contra software espa incluyen la configuracin

para los anlisis de amenazas proactivos.
Ver "Acerca de analizar" en la pgina 459.
Acerca de la poltica antivirus y contra software espa

predeterminada
La poltica antivirus y contra software espa predeterminada contiene las siguientes
opciones de configuracin importantes:
Auto-Protect se encuentra activado.
Anlisis de amenazas proactivo se encuentra activado.
Los archivos en cuarentena se ponen en el directorio de la cuarentena local y
se reparan y restauran automticamente cuando se obtienen nuevas
definiciones.
El icono de Symantec Antivirus Advanced Protection se muestra en los equipos
cliente.
Todos los eventos se envan del cliente al servidor de administracin.
Los envos a Symantec Security Response se encuentran activados.
Acerca de bloquear configuraciones de polticas antivirus y

contra software espa
Es posible bloquear ciertas configuraciones de una poltica antivirus y contra
software espa. Cuando se bloquea una configuracin, los usuarios no pueden
modificar las opciones en los equipos cliente que utilizan la poltica.
Acerca de polticas antivirus y contra software espa para los

clientes de versiones anteriores
Si su entorno contiene clientes con versiones anteriores distintas, es posible que
su poltica antivirus y contra software espa tenga configuraciones que no puedan
ser aplicadas. Es posible que necesite configurar y administrar polticas antivirus
y contra software espa separadas para los clientes de una versin anterior.
Acerca de la configuracin predeterminada para la

administracin de archivos sospechosos
Con la poltica antivirus y de proteccin contra software espa predeterminada,
el cliente de Symantec Endpoint Protection realiza las siguientes acciones cuando
identifica un archivo que puede estar infectado con un virus:
El cliente intenta reparar el archivo.
Si el archivo no se puede reparar con el grupo actual de definiciones, el cliente
mueve el archivo infectado a la cuarentena local. Adems, el cliente hace una
entrada de registro del evento de riesgo. El cliente transmite los datos al
servidor de administracin. Es posible ver los datos de registro de la consola.
Se pueden llevar a cabo las acciones adicionales que se indican a continuacin
con el fin de completar la estrategia para el tratamiento de virus:
Configurar la funcin de informes para notificarle cuando se encuentren los
virus.
Ver "Usar notificaciones" en la pgina 244.
Definir las diferentes acciones de reparacin que se basan en el tipo de virus.
Por ejemplo, es posible configurar el cliente para reparar virus de macro
automticamente. Luego, puede configurar una accin diferente para que el
cliente realice cuando detecte un archivo de programa.
Asignar una accin de copia de respaldo para los archivos que el cliente no
puede reparar.
Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad
conocidos" en la pgina 481.
Acerca de trabajar con polticas antivirus y contra software espa
Configurar el rea de cuarentena local para que enve los archivos infectados
a un servidor de Cuarentena central. Es posible configurar Cuarentena central
para que intente realizar una reparacin. Cuando Cuarentena central intenta
realizar una reparacin, utiliza su grupo de definiciones de virus. Las
definiciones de Cuarentena central pueden estar ms actualizadas que las
definiciones del equipo local. Es posible adems remitir automticamente las
muestras de archivos infectados a Symantec Security Response para realizar
un anlisis.
Consulte la Gua del administrador de la Cuarentena central si desea obtener
ms informacin.
Acerca de usar polticas para administrar elementos en

cuarentena
Cuando el cliente detecta un virus conocido, pone el archivo en la cuarentena local
del equipo cliente. El cliente puede tambin poner en cuarentena los elementos
que los anlisis de amenazas proactivos detectan. Se configuran las opciones de
cuarentena como parte de una poltica antivirus y contra software espa que se
aplique a los clientes.
Es posible especificar las siguientes opciones:
Una ruta del directorio de la cuarentena local
Si los clientes envan manualmente elementos en cuarentena a Symantec
Security Response
Si los clientes envan automticamente elementos en cuarentena a un servidor
de Cuarentena central
Cmo maneja la cuarentena local la correccin cuando se obtienen nuevas
definiciones de virus
Ver "Administrar los archivos en cuarentena" en la pgina 488.
Es posible tambin eliminar elementos en cuarentena en sus equipos cliente desde
el registro de riesgos en la consola.
Ver "Acerca del uso de Supervisin e Informes para asegurar la red"
en la pgina 251.
Acerca de trabajar con polticas antivirus y contra

software espa
Se crean y editan las polticas antivirus y contra software espa de forma similar
a cmo usted crea y modifica otros tipos de polticas. Es posible asignar, retirar,
sustituir, copiar, exportar, importar o eliminar una poltica antivirus y contra

software espa.
Se asigna tpicamente una poltica a los grupos varios en su red de seguridad. Es
posible crear una poltica especfica de una ubicacin no compartida si tiene
requisitos especficos para una ubicacin determinada.
Los pasos de este captulo asumen que usted est familiarizado con los
fundamentos de la configuracin de polticas.
Ver "Acerca de la utilizacin de polticas" en la pgina 397.

Una poltica antivirus y contra software espa analiza en busca de virus y riesgos
de seguridad; ejemplos de riesgos de seguridad son software espa, software de
publicidad no deseada y otros archivos que pueden poner un equipo o una red en
riesgo. Los anlisis antivirus y contra software espa detectan rootkits del nivel
de ncleo. Los rootkits son programas que intentan ocultarse del sistema operativo
de un equipo y podran utilizarse para propsitos maliciosos.
La poltica antivirus y contra software espa predeterminada realiza las acciones
siguientes:
Detecta, elimina y repara los efectos secundarios de virus, gusanos, caballos
de Troya y amenazas combinadas.
Detecta, elimina y repara los efectos secundarios de riesgos de seguridad, como
publicidad no deseada, marcadores, herramientas de piratera, programas
broma, programas de acceso remoto, software espa, programas de seguimiento,
etc.
La Tabla 31-2 describe los tipos de riesgos que busca el software de cliente.
Tabla 31-2 Virus y riesgos de seguridad
Riesgo Descripcin
Virus Programa o cdigo que adjunta una copia de

si mismo a otro programa informtico o
documento cuando se ejecuta. Cuando el
programa infectado se ejecuta, el programa
de virus asociado se activa y se adjunta a
otros programas y documentos. Cuando un
usuario abre un documento que contiene un
virus de macro, el programa de virus adjunto
se activa y se asocia a otros programas y
documentos.
Por regla general, los virus entregan una

carga, como puede ser mostrar un mensaje
en una fecha concreta. Algunos virus daan
especficamente datos. Estos virus pueden
daar programas, eliminar archivos o
cambiar el formato de discos.
Bots maliciosos de Internet Programas que ejecutan tareas

automatizadas en Internet con propsitos
maliciosos.
Los bots se pueden utilizar para automatizar

ataques en los equipos o para recoger
informacin de sitios Web.
Gusanos Programas que se reproducen sin infectar

otros programas. Algunos gusanos se
propagan copindose a s mismos de disco a
disco, mientras que otros slo se reproducen
en la memoria para ralentizar el equipo.
Caballos de Troya Programas maliciosos que se ocultan en algo

benigno, por ejemplo, un juego o una
utilidad.
Amenazas combinadas Amenazas que combinan las caractersticas

de virus, gusanos, caballos de Troya y cdigo
con los puntos vulnerables de Internet y de
los servidores para iniciar, transmitir y
extender un ataque. Las amenazas
combinadas emplean diversos mtodos y
tcnicas para propagarse con rapidez, y
causan un dao generalizado en toda la red.
Riesgo Descripcin
Publicidad no deseada Programas independientes o anexos a otros

que recogen, de forma secreta, informacin
personal a travs de Internet y la transmiten
a otro equipo. La publicidad no deseada
puede realizar un seguimiento de los hbitos
de navegacin del usuario con intereses
comerciales. Este tipo de aplicaciones
tambin puede enviar contenido publicitario.
Tambin es posible descargarlas de sitios

Web sin advertirlo, por lo general, dentro de
aplicaciones gratuitas o de uso compartido,
y recibirlas a travs de mensajes de correo
electrnico o programas de mensajera
instantnea. A menudo, un usuario descarga,
sin saberlo, publicidad no deseada cuando
acepta un contrato de licencia de usuario
final de un programa de software.
Marcadores Programas que utilizan un equipo, sin el

permiso ni conocimiento del usuario, para
realizar llamadas a travs de Internet a un
nmero 900 (de pago especial) o a un sitio
FTP. Tpicamente, estos nmeros se marcan
para acumular gastos.
Herramientas de piratera Programas utilizados por un hacker para

tener acceso no autorizado al equipo de un
usuario. Por ejemplo, una clase de
herramienta de piratera es un registrador
de pulsaciones del teclado, el cual realiza un
seguimiento de las pulsaciones individuales
del teclado, las registra y enva esta
informacin al hacker. Entonces, el hacker
puede realizar anlisis de puerto y de puntos
dbiles. Las herramientas de piratera se
pueden emplear tambin para desarrollar
virus.
Riesgo Descripcin
Programas broma Programas que alteran o interrumpen el

funcionamiento de un equipo con el fin de
gastar una broma o asustar al usuario. Por
ejemplo, se puede descargar un programa
mediante un sitio Web, correo electrnico o
programa de mensajera instantnea. Dicho
programa podra hacer que la Papelera de
reciclaje se aleje del puntero cuando el
usuario intente eliminar un archivo, o
invertir las funciones de los botones del
mouse.
Otros Otros riesgos de seguridad que no se ajusten

exactamente a las definiciones de virus,
caballos de Troya, gusanos u otras categoras
de riesgos de seguridad.
Programas de acceso remoto Programas que permiten acceder a travs de

Internet desde otro equipo, de manera que
pueden recopilar informacin del equipo de
un usuario, atacarlo o alterar su contenido.
Por ejemplo, un usuario puede instalar un
programa u otro proceso puede instalar un
programa sin el conocimiento del usuario.
Este programa puede utilizarse con fines
dainos, modificando o no el programa
original de acceso remoto.
Software espa Programas independientes que pueden

supervisar, de forma secreta, la actividad del
sistema, as como detectar contraseas y
otro tipo de informacin confidencial para
transmitirla a otro equipo.
Tambin es posible descargarlos de sitios

Web sin advertirlo, por lo general dentro de
aplicaciones gratuitas o de uso compartido,
y recibirlos a travs de mensajes de correo
electrnico o programas de mensajera
instantnea. A menudo, un usuario descarga,
sin saberlo, software espa cuando acepta un
contrato de licencia de usuario final de un
programa de software.
Acerca de analizar
Riesgo Descripcin
Programas de seguimiento Aplicaciones independientes o anexas a otras

que realizan un seguimiento de la ruta del
usuario en Internet y envan la informacin
al sistema de destino. Por ejemplo, la
aplicacin puede descargarse mediante un
sitio Web, un mensaje de correo electrnico
o un programa de mensajera instantnea.
Posteriormente, sta puede obtener
informacin confidencial relativa al
comportamiento del usuario.
De forma predeterminada, Auto-Protect analiza en busca de virus, caballos de

Troya, gusanos y riesgos de seguridad cuando se ejecuta.
Algunos riesgos, como Back Orifice, se detectaban como virus en versiones
anteriores del software de cliente. Se siguen detectando como virus a fin de que
el software de cliente pueda seguir proporcionando proteccin a equipos con
versiones anteriores.
Acerca de analizar
Es posible incluir los tipos siguientes de anlisis en una poltica antivirus y contra
software espa:
Anlisis antivirus y de software espa
Anlisis de Auto-Protect
Anlisis definidos por el administrador

De forma predeterminada, todos los anlisis antivirus y de software espa detectan
virus y riesgos de seguridad, tales como publicidad no deseada y software espa;
los anlisis ponen en cuarentena los virus y los riesgos de seguridad, y quitan o
reparan sus efectos secundarios. Los anlisis de Auto-Protect y definidos por el
administrador detectan virus conocidos y riesgos de seguridad. Los anlisis de
amenazas proactivos detectan virus y riesgos de seguridad desconocidos analizando
en busca de conducta potencialmente maliciosa.
Acerca de analizar
Nota: En ocasiones, se puede llegar a instalar inadvertidamente una aplicacin

que incluya un riesgo de seguridad, como aplicaciones de publicidad no deseada
o software espa. Si Symantec determina que bloquear el riesgo no causar ningn
dao al equipo, el software de cliente lo bloquear. Si el bloqueo del riesgo deja el
equipo en condicin inestable, el cliente espera a que finalice la instalacin de la
aplicacin para poner el riesgo en cuarentena. Despus se reparan los efectos
secundarios del riesgo.
Acerca de los anlisis de Auto-Protect

Los anlisis de Auto-Protect incluyen los siguientes tipos de anlisis:
Anlisis de Auto-Protect para el sistema de archivos
Anlisis de Auto-Protect para archivos adjuntos de correo electrnico para
Lotus Notes, Microsoft Exchange y Outlook (MAPI e Internet)
Anlisis de Auto-Protect para mensajes de correo electrnico de Internet y
para archivos adjuntos que utilizan los protocolos de comunicacin POP3 o
SMTP; los anlisis de Auto-Protect para correo electrnico de Internet tambin
incluyen anlisis heursticos del correo saliente
Nota: Por motivos de rendimiento, no se admite Auto-Protect para correo

electrnico de Internet para POP3 en los sistemas operativos de servidor. En
Microsoft Exchange Server, no es necesario instalar Auto-Protect para Microsoft
Outlook.
Auto-Protect analiza de forma continua archivos y mensajes de correo electrnico

en busca de virus y riesgos de seguridad, como software espa y aplicaciones de
publicidad no deseada, a medida que se los lee o se los escribe en un equipo.
Es posible configurar Auto-Protect para que analice solamente las extensiones de
archivo seleccionadas. Cuando analiza extensiones seleccionadas, Auto-Protect
puede tambin determinar el tipo de un archivo, incluso si un virus modifica la
extensin del archivo.
Durante la configuracin, es posible bloquear ciertas opciones de Auto-Protect
en los clientes para aplicar una directiva de seguridad de la empresa sobre virus
o riesgos de seguridad. Los usuarios no podrn modificar las opciones que se
bloqueen.
Auto-Protect se encuentra habilitado de forma predeterminada. Es posible ver el
estado Auto-Protect en la consola, bajo la ficha Clientes o generando los informes
y los registros que muestran el estado del equipo. Es posible tambin ver el estado
de Auto-Protect directamente en el cliente.
Acerca de analizar
Mediante el anlisis de Auto-Protect, se pueden analizar archivos adjuntos de

correo electrnico de las siguientes aplicaciones:
Lotus Notes 4.5x, 4.6, 5.0 y 6.x
Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)
Si utiliza Microsoft Outlook sobre MAPI o el cliente de Microsoft Exchange, y
Auto-Protect est habilitado para el correo electrnico, los archivos adjuntos se
descargan inmediatamente al equipo que est ejecutando el cliente de correo
electrnico. Se analizan los archivos adjuntos cuando el usuario abre el mensaje.
Si descarga un archivo adjunto de gran tamao con una conexin lenta, el
rendimiento del correo se ver afectado. En el caso de usuarios que reciban con
regularidad datos adjuntos extensos, tal vez prefiera deshabilitar esta funcin.
Nota: Si Lotus Notes o Microsoft Outlook est instalado en el equipo cuando se

realiza una instalacin de software de cliente, el software de cliente detecta la
aplicacin de correo electrnico. El cliente entonces instala el complemento de
Auto-Protect adecuado. Se instalan ambos complementos si se seleccion una
instalacin completa en la instalacin manual.
Si su programa de correo electrnico no se encuentra entre los formatos de datos

admitidos, podr proteger la red mediante la activacin de Auto-Protect en el
sistema de archivos. Si un usuario recibe un mensaje con un archivo adjunto
infectado en un sistema de correo electrnico Novell GroupWise, Auto-Protect
puede detectar el virus cuando el usuario abre el archivo adjunto. Esto se debe a
que la mayora de los programas de correo electrnico guardan los archivos
adjuntos en un directorio temporal cuando se ejecutan desde el programa. Si
habilita Auto-Protect en su sistema de archivos, Auto-Protect detecta el virus
cuando se los escribe al directorio temporal. Auto-Protect tambin detecta el virus
si el usuario intenta guardar el archivo adjunto infectado en una unidad local o
de red.
Acerca de la deteccin Auto-Protect de los procesos que

descargan continuamente el mismo riesgo de seguridad
Si Auto-Protect detecta un proceso que descarga continuamente un riesgo de
seguridad al equipo cliente, Auto-Protect muestra una notificacin y registra la
deteccin. (Auto-Protect se debe configurar para enviar notificaciones). Si el
proceso contina descargando el mismo riesgo de seguridad, aparecen varias
notificaciones en el equipo del usuario y Auto-Protect registra varios eventos.
Para evitar el exceso de notificaciones y eventos registrados, Auto-Protect detiene
automticamente el envo de notificaciones sobre el riesgo de seguridad despus
Acerca de analizar
de tres detecciones. Auto-Protect tambin deja de registrar el evento despus de

tres detecciones.
En algunas situaciones, Auto-Protect no detiene el envo de notificaciones y el
registro de eventos para el riesgo de seguridad.
Auto-Protect contina enviando notificaciones y registrando eventos cuando
cualquiera de las siguientes situaciones son verdades:
Usted o los usuarios de los equipos cliente deshabilitan los bloqueos de la
instalacin de riesgos de seguridad (se habilita la configuracin
predeterminada)
La accin para el tipo de riesgo de seguridad que descarga el proceso tienen la
accin No hacer nada.
Acerca de la exclusin automtica de archivos y carpetas para

los productos Microsoft Exchange Server y Symantec
Si los servidores de Microsoft Exchange se instalan en el equipo donde usted
instal el cliente de Symantec Endpoint Protection, el software de cliente detecta
automticamente la presencia de Exchange. Cuando el software de cliente detecta
un servidor de Microsoft Exchange, crea las exclusiones apropiadas de archivo y
de carpeta para Auto-Protect para el sistema de archivos y el resto de los anlisis.
Los servidores de Microsoft Exchange pueden incluir servidores agrupados. El
software de cliente busca cambios en la ubicacin de los archivos y las carpetas
apropiados de Exchange a intervalos regulares. Si instala Exchange en un equipo
donde el software de cliente ya est instalado, se crean las exclusiones cuando el
cliente busca cambios. El cliente excluye los archivos y las carpetas; si un solo
archivo se mueve desde una carpeta excluida, el archivo permanece excluido.
El software de cliente crea exclusiones de anlisis de carpetas y archivos para las
versiones siguientes de Microsoft Exchange Server:
Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Para Exchange 2007, vea la documentacin para el usuario para ver la informacin
sobre compatibilidad con software antivirus. Es posible que necesite crear
exclusiones de anlisis para algunas carpetas de Exchange 2007 manualmente.
Por ejemplo, si agrupa servidores o si utiliza ubicaciones no predeterminadas para
las carpetas, es necesario crear exclusiones. Consulte Preventing Symantec
Endpoint Protection 11.0 from scanning the Microsoft Exchange 2007 directory
structure" (Evitar que Symantec Endpoint Protection 11.0 analice la estructura
Acerca de analizar
de directorios de Microsoft Exchange 2007) (en ingls) en las bases de

conocimientos de Symantec en la direccin URL siguiente:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072619121148
El cliente tambin crea exclusiones de anlisis apropiadas de archivos y carpetas
para los productos siguientes de Symantec cuando se detectan:
Symantec Mail Security 4.0, 4.5, 4.6 y 5.0 para Microsoft Exchange
Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange
Norton AntiVirus 2.x para Microsoft Exchange
Nota: Para ver las exclusiones que el cliente crea, es posible examinar el contenido
de la clave del Registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec
Endpoint Protection\AV\Exclusions. No es necesario editar el Registro
directamente. Es posible configurar cualquier exclusin adicional usando
excepciones centralizadas.
El cliente no excluye las carpetas temporales del sistema de los anlisis, ya que
se originara una importante vulnerabilidad del sistema en el equipo.
Si las aplicaciones de correo electrnico cliente utilizan una

sola bandeja de entrada
Las aplicaciones que almacenan todo el correo electrnico en un solo archivo
incluyen Outlook Express, Eudora, Mozilla y Netscape. Si sus equipos cliente
utilizan aplicaciones de correo electrnico que usan una sola bandeja de entrada,
es necesario crear una excepcin centralizada para excluir el archivo de la bandeja
de entrada. La excepcin se aplica a todos los anlisis antivirus y de software espa,
as como de Auto-Protect.
El cliente de Symantec Endpoint Protection pone en cuarentena la bandeja de
entrada entera y los usuarios no pueden acceder a su correo electrnico si las
declaraciones siguientes son verdaderas:
El cliente detecta un virus en el archivo de la bandeja de entrada durante un
anlisis manual o programado.
La accin que se configura para el virus es Poner en cuarentena.
Symantec no recomienda generalmente excluir los archivos de los anlisis. Cuando
se excluye de los anlisis el archivo de la bandeja de entrada, sta no puede ser
puesta en cuarentena; sin embargo, si el cliente detecta un virus cuando un usuario
abre un mensaje de correo electrnico, puede poner en cuarentena o borrar con
seguridad el mensaje.
Acerca de analizar
Acerca de anlisis definidos por el administrador

Los anlisis definidos por el administrador son los anlisis antivirus y de software
espa que detectan virus conocidos y riesgos de seguridad. Para una proteccin
ms completa, es necesario programar anlisis ocasionales para sus equipos
cliente. A diferencia de Auto-Protect, que analiza los archivos y el correo
electrnico al tiempo que se leen desde el equipo y hacia l, los anlisis definidos
por el administrador detectan virus y riesgos de seguridad examinando todos los
archivos y procesos (o un subconjunto de archivos y procesos). Los anlisis
definidos por el administrador pueden tambin analizar la memoria y puntos de
carga.
Se configuran anlisis definidos por el administrador como parte de una poltica
antivirus y contra software espa.
Los anlisis definidos por el administrador incluyen los siguientes tipos de anlisis:
Anlisis programados
Anlisis manuales
Tpicamente, es posible que desee crear un anlisis programado completo para
que se ejecute una vez por semana y un anlisis rpido que se ejecute una vez por
da. De forma predeterminada, el cliente de Symantec Endpoint Protection genera
un anlisis rpido que se ejecuta durante el inicio en los equipos cliente.
Acerca de los anlisis planificados

Es posible programar anlisis para que se ejecuten en momentos determinados.
Los usuarios pueden tambin programar anlisis para sus equipos desde equipos
cliente, pero no pueden modificar o deshabilitar los anlisis que usted programa
para sus equipos. El software de cliente ejecuta un anlisis programado a la vez.
Si existe ms de un anlisis planificado para el mismo momento, se ejecutar uno
y despus el otro.
Los anlisis planificados cuentan con opciones similares a las de los anlisis de
Auto-Protect, pero cada tipo de anlisis se debe configurar de forma independiente.
Las excepciones centralizadas que usted configura se aplican a todos los tipos de
anlisis antivirus y de software espa.
Si un equipo est apagado en el momento en que deba realizarse un anlisis
planificado, ste no se ejecutar, a menos que el equipo est configurado para
ejecutar anlisis no realizados.
Los anlisis planificados inspeccionan archivos en busca de virus y riesgos de
seguridad, como aplicaciones de publicidad no deseada o software espa.
La Tabla 31-3 describe los tipos de anlisis programado.
Acerca de analizar
Tabla 31-3 Tipos de anlisis programado
Tipo Descripcin
Anlisis rpido Analiza con gran rapidez la memoria del sistema y todas
las ubicaciones tpicas de los virus y riesgos de seguridad.
Completo Analiza el equipo entero en busca de virus y riesgos de

seguridad, incluso el sector de arranque y la memoria del
sistema.
Personalizado Analiza las carpetas y los archivos seleccionados en busca

de virus y riesgos de seguridad.
Acerca de anlisis manuales

Es posible ejecutar un anlisis manual desde la consola para examinar las carpetas
y los archivos seleccionados en los equipos cliente seleccionados. Los anlisis
manuales proporcionan resultados inmediatos de anlisis efectuados en un rea
de la red o en una unidad de disco duro local. Es posible ejecutar estos anlisis
desde la ficha Cliente en la consola. Puede tambin ejecutar estos anlisis desde
la ficha Supervisin en la consola.
Ver "Ejecutar anlisis manuales" en la pgina 517.
El anlisis manual predeterminado analiza todos los archivos y las carpetas. Es
posible modificar la configuracin para los anlisis manuales en una poltica
antivirus y contra software espa. En la poltica, es posible especificar las
extensiones de archivo y las carpetas que usted desee analizar. Cuando se ejecuta
un anlisis manual desde la pgina de Supervisin, el anlisis se ejecuta en el
cliente sobre la base de las opciones configuradas en la poltica.
Ver "Configurar opciones de anlisis manual" en la pgina 515.
Acerca de los anlisis de amenazas proactivos

Los anlisis de amenazas proactivos utilizan la heurstica para analizar en busca
de comportamiento similar al de virus y riesgos de seguridad. A diferencia de los
anlisis antivirus y de software espa, que detectan virus conocidos y riesgos de
seguridad, los anlisis de amenazas proactivos detectan el virus y riesgos de
seguridad desconocidos.
Nota: Debido a que el anlisis de amenazas proactivo examina procesos activos

en equipos cliente, el anlisis puede afectar el rendimiento del sistema.
Acerca de analizar
El software de cliente ejecuta anlisis de amenazas proactivos de forma

predeterminada. Es posible habilitar o deshabilitar los anlisis de amenazas
proactivos en una poltica antivirus y contra software espa. Los usuarios en los
equipos cliente pueden habilitar o deshabilitar este tipo de anlisis si usted no
bloquea la configuracin.
Aunque incluya una configuracin para anlisis de amenazas proactivos en una
poltica antivirus y contra software espa, usted establece la configuracin de
anlisis de manera diferente que en los anlisis antivirus y de software espa.
Acerca del anlisis tras la actualizacin de los archivos de definiciones

Si la funcin Auto-Protect est activada, el software de cliente comenzar el
anlisis de inmediato con los archivos de definiciones actualizados.
Cuando se actualizan los archivos de las definiciones, el software de cliente intenta
reparar los archivos que se almacenan en Cuarentena y analiza los procesos
activos.
En el anlisis de amenazas proactivo las detecciones se ponen en cuarentena, los
archivos se analizan para considerar si ahora se consideran un virus o un riesgo
de seguridad. El cliente analiza los elementos en cuarentena mediante anlisis de
amenazas proactivos de forma similar a cmo analiza elementos en cuarentena
mediante otros tipos de anlisis. Para las detecciones en cuarentena, el software
de cliente termina la correccin y limpia cualquier efecto secundario. Si la deteccin
de amenazas proactiva ahora es parte de la lista blanca de Symantec, el software
de cliente restaura y quita la deteccin de la cuarentena; sin embargo, el proceso
no se vuelve a ejecutar.
Acerca de analizar extensiones o carpetas seleccionadas

Para cada tipo de anlisis antivirus y contra software espa y de Auto-Protect, es
posible seleccionar los archivos para incluir por extensin. Para los anlisis
definidos por un administrador, es posible tambin seleccionar los archivos para
incluir por carpeta. Por ejemplo, es posible especificar que un anlisis programado
analice solamente ciertas extensiones y que los anlisis de Auto-Protect analicen
todas las extensiones.
Cuando se seleccionan extensiones de archivo o carpetas para los anlisis, es
posible seleccionar varias extensiones o carpetas que usted desee analizar.
Cualquier extensin o carpeta que usted no seleccione se excluyen del anlisis.
En el cuadro de dilogo Extensiones de archivo es posible agregar rpidamente
las extensiones para todos los programas comunes o todos los documentos
comunes. Es posible tambin agregar sus propias extensiones. Cuando se agrega
Acerca de analizar
una extensin propia, es posible especificar una extensin con cuatro caracteres,
como mximo.
En el cuadro de dilogo Editar carpetas, se seleccionan carpetas de Windows, en
lugar de las rutas completas de las carpetas. Los equipos cliente en su red de
seguridad pueden utilizar diversas rutas para estas carpetas. Puede seleccionar
cualquiera de las siguientes carpetas:
COMMON_APPDATA
COMMON_DESKTOPDIRECTORY
COMMON_DOCUMENTS
COMMON_PROGRAMS
COMMON_STARTUP
PROGRAM_FILES
PROGRAM_FILES_COMMON
SYSTEM
WINDOWS
Cuando se analizan carpetas o extensiones de archivo seleccionados, es posible
mejorar el rendimiento del anlisis. Por ejemplo, si usted copia una carpeta grande
que no est en la lista seleccionada de carpetas, el proceso que copia es ms rpido
porque el contenido de la carpeta es excluido.
Es posible excluir archivos de anlisis por tipo de extensin o directorio. Se
excluyen archivos configurando una poltica de excepciones centralizadas que
contenga las exclusiones. Cuando se especifican exclusiones en una poltica, las
exclusiones se aplican en cualquier momento con cualquier anlisis antivirus y
de software espa ejecutado en clientes con esa poltica.
Cuando se analizan extensiones seleccionadas, el software de cliente no lee el
encabezado del archivo para determinar el tipo de archivo; cuando se analizan
extensiones seleccionadas, el cliente analiza solamente los archivos con las
extensiones que usted especifica.
Advertencia: Como el software de cliente excluye los archivos y las carpetas de los
anlisis, no protege las carpetas y los archivos seleccionados contra virus y riesgos
de seguridad.
La Tabla 31-4 describe las extensiones que se recomienda analizar.

Acerca de analizar
Tabla 31-4 Extensiones de archivo recomendadas para el anlisis
Extensin de archivo Descripcin
386 Controlador
ACM Controlador; gestor de compresin de audio
ACV Controlador; gestor de compresin y descompresin de

audio
ADT Archivo ADT; fax
AX Archivo AX
BAT Proceso por lotes
BTM Proceso por lotes
BIN Archivo binario
CLA Clase de Java
COM Ejecutable
CPL Panel de control de subprogramas para Microsoft

Windows
CSC Secuencia de comandos de Corel
DLL Biblioteca de vnculos dinmicos
DOC Microsoft Word
DOT Microsoft Word
DRV Controlador
EXE Ejecutable
HLP Archivo de ayuda
HTA Aplicacin HTML
HTM Archivo HTML
Archivo HTML Archivo HTML
HTT Archivo HTML
INF Secuencia de comandos de instalacin
INI Archivo de inicio

Acerca de analizar
JPEG Archivo de grficos
JPG Archivo de grficos
JS Script de Java
JSE JavaScript codificado
JTD Ichitaro
MDB Microsoft Access
MP? Microsoft Project
MSO Microsoft Office 2000
OBD Cuaderno de Microsoft Office
OBT Cuaderno de Microsoft Office
OCX Objeto de Microsoft que integra un control personalizado

y tiene un vnculo a l
OV? Archivo de superposicin
PIF Archivo de informacin de programa
PL Cdigo fuente de programa PERL (UNIX)
PM Grficos de mapas de bits de Presentation Manager
POT Microsoft PowerPoint
PPT Microsoft PowerPoint
PPS Microsoft PowerPoint
RTF Documento de texto enriquecido
SCR Fax, protector de pantalla, instantnea o script para

Farview o Microsoft Windows
SH Archivo de intrprete de comandos (UNIX)
SHB Archivo de Corel Show Background
SHS Archivo temporal de intrprete de comandos
SMM Lotus AmiPro
SYS Controlador de dispositivo

Acerca de analizar
VBE BIOS VESA (funciones principales)
VBS VBScript
VSD Microsoft Office Visio
VSS Microsoft Office Visio
VST Microsoft Office Visio
VXD Controlador virtual de dispositivo
WSF Archivo de secuencia de comandos de Windows
WSH Archivo de configuracin de Windows Script Host
XL? Microsoft Excel
Acerca de la exclusin de carpetas y archivos por nombre

Es posible que haya ciertos riesgos de seguridad que la poltica de seguridad de
su empresa le permita mantener en sus equipos. Es posible configurar el cliente
para que excluya estos riesgos de todos los anlisis antivirus y de software espa.
Es posible excluir archivos y carpetas con nombre de anlisis de Auto-Protect y
definidos por el administrador. Por ejemplo, es posible excluir la ruta
C:\Temp\Install o carpetas que contengan un riesgo de seguridad permisible.
Puede excluir los archivos que activan alertas positivas falsas. Por ejemplo, si
usted utiliz otro programa de anlisis de virus para limpiar un archivo infectado,
es posible que el programa no pueda quitar totalmente el cdigo del virus. El
archivo puede ser inofensivo pero el cdigo del virus deshabilitado podra hacer
que el software de cliente registre un falso positivo. Consulte con el soporte tcnico
de Symantec si no est seguro de que un archivo est infectado.
Cuando se crea una exclusin, se aplica a todos los tipos de anlisis antivirus y de
software espa que ejecute. Se crea una exclusin como parte de una excepcin
centralizada.
Acerca de acciones para los virus y los riesgos de seguridad que los anlisis detectan
Acerca de acciones para los virus y los riesgos de

seguridad que los anlisis detectan
Muchas de las opciones estn disponibles en distintos tipos de anlisis. Cuando
se configuran anlisis manuales, programados o de Auto-Protect, es posible asignar
las primeras y segundas acciones que se deben efectuar cuando el software de
cliente encuentra virus y riesgos de seguridad.
Es posible asignar primeras y segundas acciones individuales que se deben aplicar
cuando el cliente detecta los siguientes tipos de riesgos:
Virus de macro
Virus no de macro
Todos los riesgos de seguridad (aplicaciones de publicidad no deseada, software
espa, programas broma, marcadores, herramientas de piratera, programas
de acceso remoto, programas de seguimiento y otros)
Categoras individuales de riesgos de seguridad, como software espa
Acciones personalizadas para determinados riesgos de seguridad
De forma predeterminada, el cliente de Symantec Endpoint Protection primero
intenta limpiar un archivo que est infectado por un virus.
Si el software de cliente no puede limpiar el archivo, realiza las acciones siguientes:
Mueve el archivo a la Cuarentena en el equipo infectado
Niega el acceso al archivo
Registra el evento
De forma predeterminada, el cliente mueve cualquier archivo infectado por riesgos
de seguridad a la Cuarentena en el equipo infectado. El cliente tambin intenta
quitar o reparar los efectos secundarios del riesgo. De forma predeterminada, la
Cuarentena contiene un registro de todas las acciones que el cliente realiz. Si es
necesario, el equipo puede volver al estado que tena antes de que el cliente
intentara la eliminacin y la reparacin.
De no ser posible colocar un riesgo de seguridad en cuarentena y repararlo, la
segunda accin es registrarlo.
Para las detecciones de anlisis de amenazas proactivo, las acciones se determinan
dependiendo de si usted utiliza configuraciones predeterminadas administradas
por Symantec o si elige configurar las acciones usted mismo. Las acciones para
anlisis de amenazas proactivos se configuran en una parte separada de la poltica
Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa
Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos
de Troya, gusanos y registradores de pulsaciones" en la pgina 595.
Configurar parmetros de gestin de registros en una

poltica antivirus y contra software espa
Es posible incluir parmetros de gestin de registros en la poltica antivirus y
contra software espa. De forma predeterminada, los clientes envan siempre
ciertos tipos de eventos al servidor de administracin (tal como Anlisis detenido
o Anlisis iniciado). Es posible elegir enviar o no enviar otros tipos de eventos
(tales como Archivo no analizado).
Los eventos que los clientes envan al servidor de administracin afectan la
informacin de informes y registros. Es necesario decidir qu tipo de informacin
usted desea reenviar al servidor de administracin. Es posible reducir el tamao
de los registros y la cantidad de informacin que se incluye en los informes si
usted selecciona solamente ciertos tipos de eventos.
Es posible tambin configurar cunto tiempo el cliente conserva elementos de
registro. La opcin no afecta los eventos que los clientes enven a la consola de
administracin. Es posible utilizar la opcin para reducir el tamao real del registro
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones
que se utilizan en este procedimiento.
Configurar los parmetros de gestin de registros para una poltica antivirus y
1 En la pgina Poltica antivirus y contra software espa, haga clic en Otros.
2 En la ficha Tratamiento de registros, bajo Filtrado de eventos de registros de
antivirus y software espa, seleccione los eventos que usted desea reenviar
al servidor de administracin.
3 Bajo Retencin de registros, seleccione la frecuencia con la que el cliente debe
eliminar lneas del registro.
4 En Registrar agrupacin de eventos, seleccione con qu frecuencia se deben
enviar eventos agregados al servidor.
Acerca de la interaccin del cliente con opciones de antivirus y software espa
Acerca de la interaccin del cliente con opciones de

Es posible configurar los parmetros especficos en la poltica que controlan la
experiencia del usuario del cliente.
Puede realizar las siguientes acciones:
Configurar opciones de progreso de anlisis para anlisis programados.
Configurar opciones de anlisis para clientes.
Modificar la contrasea necesaria para analizar unidades asignadas.
Especificar cmo el Centro de Seguridad de Windows interacta con el cliente
de Symantec Endpoint Security.
Mostrar advertencias de definiciones desactualizadas o ausentes.
Especificar la URL que se debe mostrar en las notificaciones de error de
antivirus y software espa.
Especificar la URL que se debe utilizar para volver a dirigir un navegador de
Internet si un riesgo de seguridad intenta modificar la URL.
Es posible ver y personalizar mensajes de advertencia en los equipos infectados.
Por ejemplo, si los usuarios tienen un programa de software espa instalado en
sus equipos, es posible notificarles que han infringido su poltica corporativa.
Puede incluir un mensaje en la notificacin que indique que los usuarios deben
desinstalar la aplicacin inmediatamente.
Nota: Es posible tambin bloquear configuraciones de polticas de modo que los

usuarios no puedan modificar la configuracin.
Modificar la contrasea necesaria para analizar

unidades de red asignadas
Symantec Endpoint Protection exige a los usuarios de los equipos cliente que
proporcionen una contrasea antes de que puedan analizar una unidad de red
asignada. La contrasea predeterminada es symantec.
Nota: Si los usuarios analizan unidades de red, el anlisis puede afectar el

rendimiento del equipo cliente.
Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection
que se utilizan en el procedimiento.
Para modificar la contrasea necesaria para analizar unidades asignadas
2 En la ficha Otros, bajo Analizar unidad de red, marque Solicitar una
contrasea antes de analizar una unidad de red asignada.
3 Haga clic en Cambiar la contrasea.
4 En el cuadro de dilogo Configuracin de contrasea, introduzca la nueva
contrasea y vuelva a escribirla para confirmarla.
Especificar cmo el Centro de Seguridad de Windows

interacta con el cliente de Symantec Endpoint
Protection
Si utiliza el Centro de Seguridad de Windows en Windows XP Service Pack 2 o
Windows Vista, es posible utilizar la poltica antivirus y contra software espa
para configurar las siguientes opciones en los equipos cliente:
El perodo despus del cual WSC considera que los archivos de definiciones
no estn actualizados.
Si WSC muestra alertas de antivirus para los productos de Symantec del equipo
host.
Nota: El estado del producto de Symantec est siempre disponible en la consola

de administracin, sin importar si el WSC est habilitado o deshabilitado.
Configurar el cliente de Symantec Endpoint Protection para deshabilitar

el Centro de seguridad de Windows
Es posible configurar las circunstancias bajo las que el software de cliente
deshabilita el Centro de seguridad de Windows (WSC).
Para configurar Symantec Endpoint Protection a fin de que deshabilite el Centro
de Seguridad de Windows
2 Haga clic en la ficha Otros.
Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection
3 Bajo Centro de seguridad de Windows, en la lista desplegable Deshabilitar

Centro de seguridad de Windows, seleccione una de las siguientes opciones:
Nunca Nunca deshabilita el WSC.
Una vez Deshabilita el Centro de Seguridad de Windows slo una

vez. Si un usuario vuelve a habilitarlo, el software de cliente
no lo deshabilita nuevamente.
Siempre Siempre deshabilita el WSC. Si un usuario vuelve a

habilitarlo, el software de cliente lo vuelve a deshabilitar
inmediatamente.
Restaurar Volver a activar el Centro de Seguridad de Windows slo si

Symantec Endpoint Protection lo desactiv.
Configuracin de alertas de Symantec Endpoint Protection en el equipo

host
Es posible configurar WSC para que muestre alertas del cliente de Symantec
Endpoint Protection.
Para configurar alertas que se muestren en el equipo host
3 En el Centro de Seguridad de Windows, en el men desplegable Mostrar alertas
de antivirus en el Centro de seguridad de Windows, seleccione una de las
Deshabilitar El WSC no muestra estas alertas en el rea de

notificacin de Windows.
Habilitar WSC muestra estas alertas en el rea de

notificacin de Windows.
Usar la configuracin existente WSC utiliza la configuracin actual de estas

alertas.

Exhibir una advertencia de definiciones desactualizadas o ausentes
Configuracin del tiempo de desactualizacin de las definiciones

De forma predeterminada, WSC considera que las definiciones de Symantec quedan
desactualizadas al transcurrir 30 das. Es posible modificar el nmero de das que
las definiciones puedan estar obsoletas durante la instalacin en el programa de
instalacin de Windows. Es posible tambin modificar la configuracin en la
poltica antivirus y contra software espa.
En los equipos cliente, el cliente de Symantec Endpoint Protection compara cada
15 minutos la fecha de caducidad, la fecha de las definiciones y la fecha actual.
Por lo general, no se informa sobre el estado de desactualizacin a WSC porque
las definiciones se actualizan de forma automtica. Si actualiza definiciones
manualmente, es posible que tenga que esperar hasta 15 minutos para ver un
estado exacto en WSC.
Para configurar el tiempo de desactualizacin de las definiciones
3 En Centro de Seguridad de Windows, bajo Mostrar un mensaje del Centro de
seguridad de Windows cuando las definiciones estn desactualizadas, escriba
el nmero de das. Es posible tambin utilizar las flechas hacia arriba o hacia
abajo para seleccionar el nmero de das que las definiciones de virus y riesgos
de seguridad puedan estar desactualizadas.
El valor debe estar entre 1 y 30.
Exhibir una advertencia de definiciones

desactualizadas o ausentes
Es posible exhibir y personalizar los mensajes de advertencia que aparecern en
los equipos cliente con definiciones de virus y riesgos de seguridad desactualizadas
o ausentes. Es posible que desee alertar a los usuarios si no tiene actualizaciones
programadas automticas. Tambin puede ser que desee alertar a usuarios si
permite que desactiven LiveUpdate.
Para exhibir una advertencia sobre definiciones
2 En la ficha Notificaciones, bajo Acciones, seleccione una de las siguientes
opciones, o ambas:
Mostrar el mensaje cuando las definiciones no estn actualizadas
Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa
Mostrar un mensaje cuando Symantec Endpoint Protection se est

ejecutando sin definiciones de virus
3 Fije el nmero de das que las definiciones de virus y riesgos de seguridad

pueden permanecer desactualizadas antes de que aparezca la advertencia.
4 Para las definiciones inexistentes de virus y riesgos de seguridad, configure
el nmero de intentos de reparacin que Symantec Endpoint Protection debe
hacer antes de que aparezca la advertencia.
5 Haga clic en Advertenciapara cada opcin marcada, y personalice el mensaje
predeterminado.
6 En el cuadro de dilogo de alerta, haga clic en Aceptar.
Especificar la URL que se debe mostrar en las

notificaciones de error de antivirus y software espa
En casos poco comunes, los usuarios podran ver aparecer errores en los equipos
cliente. Por ejemplo, es posible que el equipo cliente encuentre desbordamientos
de bfer o problemas de descompresin durante los anlisis.
Es posible especificar una URL que lleve al sitio Web de soporte de Symantec o a
una URL personalizada. Por ejemplo, en cambio, es posible que tenga un sitio Web
interno que usted desee especificar.
Nota: La URL tambin aparece en el registro de eventos del sistema para el equipo
cliente en el cual se produce el error.
Para especificar una URL que se debe mostrar en las notificaciones de error de
2 En la ficha Notificaciones, seleccione Mostrar mensajes de error con la URL
de una solucin.
3 Seleccione una de las siguientes opciones:
Mostrar el vnculo predeterminado al sitio Web de soporte tcnico de
Symantec
Mostrar el vnculo a una URL personalizada
4 Haga clic en Personalizar mensaje de error si desea personalizar el mensaje.

Especificar una URL para una pgina principal del navegador
5 Escriba el texto personalizado que usted desea incluir y haga clic en Aceptar.
Especificar una URL para una pgina principal del

navegador
Es posible especificar la URL que se debe utilizar como pgina principal cuando
el cliente de Symantec Endpoint Protection repara un riesgo de seguridad que
secuestr la pgina principal del navegador.
Para especificar una URL para una pgina principal del navegador
2 En la ficha Otros, bajo Proteccin del navegador de Internet, escriba la URL.
Configurar las opciones que se aplican a los anlisis

antivirus y de software espa
Algunas opciones son comunes para todos los anlisis antivirus y de software
espa. Los anlisis antivirus y de software espa incluyen anlisis de Auto-Protect
y definidos por el administrador.
La poltica incluye las siguientes opciones:
Configurar anlisis de las extensiones de archivo o de las carpetas seleccionadas
Configurar las excepciones centralizadas para los riesgos de seguridad
Configurar acciones para las detecciones de virus y riesgos de seguridad
conocidos
Administrar los mensajes de notificacin en equipos infectados
Personalizar y mostrar notificaciones en los equipos infectados
Agregar avisos a los mensajes de correo electrnico infectados
Notificar a los remitentes de mensajes de correo electrnico infectados
Notificar a usuarios sobre la recepcin de mensajes de correo electrnico
infectados
La informacin sobre acciones y notificaciones para los anlisis de amenazas
proactivos se incluye en una seccin separada.
Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Ver "Configurar notificaciones para anlisis de amenazas proactivos"

en la pgina 597.
Configurar anlisis de las extensiones de archivo seleccionadas

El cliente de Symantec Endpoint Protection puede realizar anlisis en menos
tiempo si slo se analizan los archivos de determinadas extensiones. Los anlisis
que incluyen solamente extensiones seleccionadas ofrecen menos proteccin a
los equipos; sin embargo, cuando usted analiza solamente las extensiones
seleccionadas es posible seleccionar los tipos de archivo que los virus atacan
tpicamente. Cuando se analizan extensiones seleccionadas, es posible hacer
anlisis ms eficientes y utilizar menos recursos del equipo.
Es posible configurar las extensiones que se analizarn para balancear los
requisitos siguientes:
La cantidad de proteccin que su red necesita
La cantidad de tiempo y recursos necesarios para proporcionar proteccin
Por ejemplo, es posible analizar slo los archivos con las extensiones ms expuestas
a virus y a otros riesgos. Cuando se analizan slo algunas extensiones, se excluyen
de forma automtica todos los archivos con extensiones diferentes. Cuando se
excluyen archivos de los anlisis, se disminuye la cantidad de recursos del equipo
necesarios para ejecutar el anlisis.
Advertencia: Cuando se seleccionan extensiones para el anlisis, cualquier otra

extensin no estar protegida contra virus y riesgos de seguridad.
Para incluir solamente los archivos con extensiones determinadas para anlisis de
Auto-Protect o definidos por el administrador
1 En la ficha Detalles del anlisis, bajo Tipos de archivos, haga clic en Analizar
slo las extensiones seleccionadas.
2 Haga clic en Extensiones seleccionadas.
3 En el cuadro de dilogo Extensiones de archivos, es posible realizar las
siguientes acciones:
Agregar extensiones propias escribindolas y haciendo clic en Agregar.
Quitar cualquier extensin seleccionndolas y despus haciendo clic en
Eliminar.
Devolver la lista a su configuracin predeterminada haciendo clic en

Predeterminadas.
Agregar todas las extensiones de programa haciendo clic en Agregar
programas comunes.
Agregar todas las extensiones de documento haciendo clic en Agregar
documentos comunes.
Configurar anlisis de carpetas seleccionadas

Es posible configurar carpetas seleccionadas que ciertos anlisis definidos por el
administrador analizarn. Estos anlisis definidos por el administrador incluyen
anlisis programados personalizados y anlisis manuales. No es posible configurar
carpetas seleccionadas para Auto-Protect.
Ver "Acerca de analizar extensiones o carpetas seleccionadas" en la pgina 466.
Para configurar los anlisis de carpetas seleccionadas
1 En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis
definidos por el administrador.
2 En la ficha Anlisis, realice una de las siguientes acciones:
Haga clic en Agregar Anlisis.
Bajo Anlisis programados, seleccione un anlisis existente y haga clic en
Editar.
Bajo Anlisis manual del administrador, haga clic en Editar.
3 En la ficha Detalles del anlisis, en la lista desplegable de Tipo de anlisis,

seleccione Personalizado.
Los anlisis manuales se preestablecen en Personalizado.
4 Bajo Anlisis, haga clic en Editar carpetas.
5 En el cuadro de dilogo Editar carpetas, seleccione Analizar las carpetas
seleccionadas y, en la lista de carpetas, marque todas las carpetas que desea
incluir en este anlisis.
El campo Carpetas seleccionadas muestra todas las opciones.
6 Haga clic en Aceptar hasta volver a la pgina Anlisis definido por el

administrador.
Acerca de excepciones para riesgos de seguridad

Si desea conservar cualquier riesgo de seguridad en su red, es posible omitir los
riesgos de seguridad cuando se detectan en los equipos cliente.
Si un usuario ha configurado acciones personalizadas para un riesgo de seguridad
que usted ha especificado que debe omitirse, las acciones personalizadas del
usuario no se utilizan.
Nota: Cuando se agrega un riesgo de seguridad a la lista de excepciones, el cliente

de Symantec Endpoint Protection deja de registrar eventos relacionados con el
riesgo de seguridad. Es posible configurar el cliente para registrar el riesgo incluso
si usted incluye el riesgo en la lista de excepciones. Sin importar si el riesgo se
registra o no, no se notifica a los usuarios de ninguna manera cuando el riesgo
est presente en sus equipos.
Es posible utilizar una poltica de excepciones centralizada para configurar

excepciones.
Configurar las acciones para las detecciones de virus y riesgos de

seguridad conocidos
Las acciones se utilizan para especificar cmo responden los clientes cuando un
anlisis de antivirus y contra software espa detecta un virus o un riesgo de
seguridad conocido. Estas acciones se aplican a Auto-Protect y a los anlisis
definidos por el administrador. Las acciones para los anlisis de amenazas
proactivos se configuran por separado.
Las acciones permite que configure cmo responde el software de cliente cuando
detecta un virus o un riesgo de seguridad conocidos. Puede asignar una primera
accin y, en caso de que la primera accin no sea posible, una segunda accin. El
cliente Symantec Endpoint Protection utiliza estas acciones cuando detecta un
virus o un riesgo de seguridad, como publicidad no deseada o software espa. Los
tipos de virus y riesgos de seguridad se presentan en la jerarqua.
que se utilizan en los procedimientos.
Nota: Para riesgos de seguridad, use la accin de eliminar con precaucin. En

algunos casos, la eliminacin de riesgos de seguridad provoca la prdida de
funcionalidad de algunas aplicaciones.
Advertencia: Si configura el software de cliente para eliminar los archivos afectados

por los riesgos de seguridad, no puede restaurar los archivos.
Para hacer copia de respaldo de los archivos afectados por los riesgos de seguridad,
configure el software de cliente para ponerlos en Cuarentena.
Para configurar las acciones para las detecciones de virus y riesgos de seguridad
conocidos
1 En la ficha Acciones, bajo Deteccin, seleccione un tipo de virus o riesgo de
seguridad.
De forma predeterminada, cada subcategora de riesgos de seguridad se
configura automticamente para utilizar las acciones establecidas para la
categora entera de riesgos de seguridad.
2 A fin de configurar una situacin especfica de una categora de riesgo de
seguridad para que se efecten acciones diferentes, marque Anular acciones
configuradas para Riesgos de seguridad y, a continuacin, fije las acciones
exclusivas para esa categora.
3 Bajo Acciones para, seleccione la primera y la segunda accin que el software
de cliente toma cuando detecta esa categora de virus o riesgo de seguridad.
Puede bloquear acciones de modo que los usuarios no puedan modificar la
accin en los equipos cliente que utilizan esta poltica.
Para riesgos de seguridad, use la accin de eliminar con precaucin. En algunos
casos, la eliminacin de riesgos de seguridad provoca la prdida de
funcionalidad de algunas aplicaciones.
4 Repita el paso 3 para cada categora a la que desee asignar acciones (virus y
riesgos de seguridad).
Acerca de los mensajes de notificacin en los equipos infectados

Es posible habilitar un mensaje de notificacin personalizado para que aparezca
en los equipos infectados cuando un anlisis definido por el administrador o
Auto-Protect encuentre un virus o un riesgo de seguridad. Estas notificaciones
pueden alertar a los usuarios a revisar su actividad reciente en el equipo cliente.
Por ejemplo, el hecho de que un usuario descargue una aplicacin o visite pginas
Web puede dar como resultado una infeccin de software espa.
Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente
no pueda interpretar algunos caracteres en los nombres de virus. Si el sistema
operativo no puede interpretar los caracteres, stos aparecen como signos de
interrogacin en las notificaciones. Por ejemplo, algunos nombres de virus en
unicode pueden contener caracteres de doble byte. En los equipos con el cliente
en un sistema operativo en ingls, estos caracteres aparecen como signos de
interrogacin.
Para los anlisis de Auto-Protect de correo electrnico, es posible tambin

configurar las siguientes opciones:
Adicin de avisos a los mensajes de correo electrnico infectados
Notificaciones para los remitentes de mensajes de correo electrnico infectados
Notificaciones para los usuarios sobre la recepcin de mensajes de correo
electrnico infectados
Ver "Configurar opciones de notificacin para Auto-Protect" en la pgina 503.
Las notificaciones para los resultados del anlisis de amenazas proactivo se
configura por separado.
Ver "Configurar notificaciones para anlisis de amenazas proactivos"
en la pgina 597.
Personalizar y mostrar advertencias en equipos infectados

Puede crear el mensaje personalizado que desea mostrar en los equipos infectados
al detectar un virus o un riesgo de seguridad. Es posible escribir directamente en
el campo del mensaje para agregar o modificar el texto.
Cuando se ejecuta un anlisis remoto, es posible notificar al usuario de un problema
mostrando un mensaje en la pantalla del equipo infectado. Se puede personalizar
el mensaje incluyendo informacin, como el nombre del riesgo, el nombre del
archivo infectado, el estado del riesgo. Un mensaje de aviso podra tener el
siguiente aspecto:
Tipo de anlisis: Anlisis programado
Evento: Riesgo detectado
NombreDelRiesgoDeSeguridad: Stoned-C
Archivo: C:\Autoexec.bat
Ubicacin C:
Equipo: ACCTG-2
Usuario: JSmith
Accin efectuada: Limpiado
La Tabla 31-5 describen los campos variables disponibles para los mensajes.
Tabla 31-5 Variables del mensaje de notificacin
Campo Descripcin
NombreDelRiesgo- Nombre del virus o del riesgo de seguridad detectado.

DeSeguridad
AccinEfectuada La accin efectuada al detectar el virus o el riesgo de seguridad. Puede

ser la primera o la segunda accin configurada.
Estado Estado del archivo: Infectado, No infectado o Eliminado.
Esta variable de mensaje no se usa de forma predeterminada. Para

mostrar esta informacin, debe agregar manualmente esta variable
al mensaje.
NombreArchivo Nombre del archivo infectado por el virus o el riesgo de seguridad.
RutaYNombre- Nombre y ruta completa del archivo infectado por el virus o el riesgo
DeArchivo de seguridad.
Ubicacin Unidad del equipo en la que se ubic el virus o el riesgo de seguridad.
Equipo Nombre del equipo donde se detect el virus o el riesgo de seguridad.
Usuario Nombre del usuario conectado al detectar el virus o el riesgo de

seguridad.
Evento Tipo de evento, como Riesgo detectado.
RegistradoPor El tipo de anlisis que detect el virus o el riesgo de seguridad.
FechaDeteccin Fecha en la que se detect el virus o el riesgo de seguridad.
NombreDe- El rea afectada de la aplicacin, por ejemplo, Auto-Protect para el

Almacenamiento sistema de archivos o Auto-Protect para Lotus Notes.
Campo Descripcin
Descripcin- Descripcin completa de las acciones efectuadas en respuesta a la

DeLaAccin deteccin del virus o del riesgo de seguridad.
Para mostrar mensajes de notificacin en los equipos infectados

1 En la pgina Poltica antivirus y contra software espa, realice una de las
Haga clic en Anlisis definidos por el administrador.
Haga clic en Auto-Protect para el sistema de archivos.
Haga clic en Auto-Protect para correo electrnico de Internet.
Haga clic en Auto-Protect para Microsoft Outlook.
Haga clic en Auto-Protect para Lotus Notes.
2 Si seleccion Anlisis definido por el administrador, en la ficha Anlisis, haga

clic en Agregar anlisis o Editar.
3 En la ficha Notificaciones, marque Mostrar un mensaje de notificacin en
el equipo infectado y modifique el cuerpo del mensaje de notificacin.

Es posible especificar que la informacin sobre detecciones de anlisis de amenazas
proactivos y la informacin sobre Auto-Protect o detecciones de anlisis se enven
automticamente a Symantec Security Response.
La informacin que los clientes envan ayuda a Symantec a determinar si una
amenaza detectada es verdadera. Si Symantec determina que la amenaza es
verdadera, Symantec puede generar una firma para tratar la amenaza. La firma
se incluye en una versin actualizada de definiciones. Para las detecciones de
amenazas proactivas, Symantec puede actualizar sus listas de procesos permitidos
o bloqueados.
Cuando un cliente enva informacin sobre un proceso, incluye los puntos
siguientes:
La ruta del archivo ejecutable
El archivo ejecutable
La informacin de estado interno
La informacin sobre el archivo y los puntos de carga del registro relacionados

con la amenaza
La versin del contenido que utiliz el anlisis de amenazas proactivo
No se enva ninguna informacin personal que permita identificar el equipo cliente.
La informacin sobre tasas de deteccin puede ayudar a Symantec a refinar las
actualizaciones de las definiciones de virus. Las tasas de deteccin muestran los
virus y los riesgos de seguridad detectados con mayor frecuencia por los clientes.
Symantec Security Response puede quitar las firmas que no se detectan y
proporcionar una lista de definiciones de virus dividida en segmentos para los
clientes que la solicitan. Las listas divididas en segmentos aumentan el rendimiento
del anlisis antivirus y de software espa.
Cuando un anlisis de amenazas proactivo hace una deteccin, el software de
cliente verifica si la informacin sobre el proceso se ha enviado. Si se ha enviado
la informacin, el cliente no enva la informacin de nuevo.
Nota: Cuando los anlisis de amenazas proactivos detectan elementos de la lista

de aplicaciones comerciales, la informacin sobre estas detecciones no se enva
a Symantec Security Response.
Cuando se habilita el envo para los procesos, se actualizan los elementos que son
puestos en cuarentena por los anlisis de amenazas proactivos. Cuando se
actualizan los elementos, la ventana Cuarentena indica que las muestras se han
enviado a Symantec Security Response. El software de cliente no notifica a los
usuarios, y la consola de administracin muestra una indicacin cuando se envan
detecciones con otros tipos de acciones. Otros tipos de acciones incluyen el registro
o la finalizacin.
Es posible enviar muestras de cuarentena a Symantec.
Ver "Enviar elementos en cuarentena a Symantec" en la pgina 491.
Acerca de la aceleracin de envos

Los clientes pueden, o no, enviar muestras a Symantec en funcin de la siguiente
informacin:
La fecha del archivo de control de datos del envo
El porcentaje de los equipos que pueden realizar envos
Symantec publica su archivo de datos de control del envo (SCD) y lo incluye como
parte de un paquete de LiveUpdate. Cada producto de Symantec tiene su propio
SCD.
El archivo controla la configuracin siguiente:

Cuntos envos un cliente puede realizar en un da
Cunto tiempo se debe esperar para que el software de cliente vuelva a intentar
envos
Cuntas veces se debe volver a intentar un envo con errores
Qu direccin IP del servidor de Symantec Security Response recibe el envo
Si el SCD queda obsoleto, los clientes detienen los envos. Symantec considera el
SCD desactualizado cuando un equipo cliente no ha descargado contenido de
LiveUpdate en 7 das.
Si los clientes detienen la transmisin de envos, el software de cliente no recopila
la informacin de envos y la enva ms tarde. Cuando los clientes se inician para
realizar envos de nuevo, envan solamente la informacin sobre los eventos que
ocurren despus del reinicio de la transmisin.
Los administradores pueden tambin configurar el porcentaje de equipos que
pueden realizar envos. Cada equipo cliente determina si debe enviar informacin
o no. El equipo cliente selecciona aleatoriamente un nmero de 1 a 100. Si el
nmero es inferior o igual al porcentaje configurado en la poltica de ese equipo,
el equipo enva informacin. Si el nmero es mayor que el porcentaje configurado,
el equipo no enva la informacin.
Configurar opciones de envo

Los envos estn habilitados de forma predeterminada. Es posible habilitar o
deshabilitar los envos en una poltica antivirus y contra software espa desde la
ficha Envos.
Para especificar si se enva informacin sobre los procesos detectados por los
anlisis de amenazas proactivos
1 En la pgina Poltica antivirus y contra software espa, haga clic en Envos.
2 Bajo Procesos, marque o deje sin marcar Permitir que los equipos cliente
enven procesos detectados por los anlisis de amenazas proactivos.
3 Cuando se selecciona este parmetro, es posible modificar el porcentaje de
equipos cliente que deben enviar informacin sobre procesos.
4 Si habilit los envos, utilice las flechas hacia arriba o hacia abajo para
seleccionar el porcentaje o escriba el valor deseado en el cuadro de texto.
Para especificar si se enva informacin sobre Auto-Protect y tasas de deteccin

de anlisis manual
2 Bajo Tasas de deteccin, marque o deje sin marcar Permitir que los equipos
cliente enven tasas de deteccin de amenazas.
Cuando se selecciona este parmetro, es posible modificar el porcentaje de
equipos cliente que deben enviar tasas de deteccin.

Administrar los archivos en cuarentena incluye los siguientes pasos:
Especificacin de un directorio de cuarentena local
Envo de elementos en cuarentena a Symantec
Configuracin de acciones ante el arribo de nuevas definiciones
Acerca de la configuracin de cuarentena

Se utiliza la poltica antivirus y contra software espa para establecer la
configuracin de cuarentena del cliente.
La configuracin de cuarentena se administra como parte importante de su
estrategia ante ataques de virus.
Especificar un directorio de cuarentena local

Si no desea utilizar el directorio de cuarentena predeterminado para almacenar
los archivos en cuarentena en los equipos cliente, es posible especificar un
directorio local diferente. Es posible utilizar la extensin de ruta, para ello use el
signo de porcentaje al escribir la ruta. Por ejemplo, puede escribir
%COMMON_APPDATA%. Las rutas relativas no se permiten.
El software admite los siguientes parmetros de expansin:
%COMMON_APPDATA% Esta ruta generalmente se refiere a

C:\Documents and Settings\All
Users\Application Data
%PROGRAM_FILES% Esta ruta generalmente se refiere a

C:\Program Files
%PROGRAM_FILES_COMMON% Esta ruta generalmente se refiere a

C:\Program Files\Common
%COMMON_PROGRAMS% Esta ruta generalmente se refiere a

C:\Documents and Settings\All Users\Start
Menu\Programs
%COMMON_STARTUP% Esta ruta generalmente se refiere a

C:\Documents and Settings\All Users\Start
Menu\Programs\Startup
%COMMON_DESKTOPDIRECTORY% Esta ruta generalmente se refiere a

Users\Desktop
%COMMON_DOCUMENT% Esta ruta generalmente se refiere a

Users\Documents
%SYSTEM% Esta ruta generalmente se refiere a

C:\Windows\System32
%WINDOWS% Esta ruta generalmente se refiere a

C:\Windows
Para especificar un directorio de cuarentena local

1 En la pgina Poltica antivirus y contra software espa, haga clic en
Cuarentena.
2 En la ficha Otros, bajo Opciones locales de cuarentena, seleccione Especificar
directorio de cuarentena.
3 En el cuadro de texto, escriba el nombre de un directorio local en los equipos
cliente. Es posible utilizar la extensin de ruta, para ello use el signo de
porcentaje al escribir la ruta. Por ejemplo, es posible escribir
%COMMON_APPDATA%, pero las rutas relativas no se permiten.
Configurar opciones de limpieza automtica

Cuando el software de cliente detecta un archivo sospechoso, lo coloca en la carpeta
del rea de cuarentena local del equipo infectado. La funcin de limpieza de la
cuarentena elimina automticamente los archivos en cuarentena cuando superan
una antigedad especificada; la funcin de limpieza de la cuarentena elimina
automticamente los archivos de la cuarentena cuando el directorio alcanza un
tamao determinado.
Es posible configurar estas opciones desde la poltica antivirus y contra software

espa. Es posible configurar individualmente el nmero de das durante los que
se conservarn los archivos reparados, de copia de respaldo y en cuarentena. Es
posible tambin configurar el tamao mximo permitido para el directorio antes
de que los archivos se quiten automticamente del equipo cliente.
Se puede usar una de estas opciones, o ambas. Si se configuran los dos tipos de
lmites, se depurarn primero todos los archivos de antigedad mayor a la
especificada. Si el tamao del directorio an excede el lmite de tamao
especificado, se eliminan los archivos anteriores uno por uno. Se eliminan archivos
hasta que el tamao del directorio sea inferior al lmite. De forma predeterminada,
estas opciones no estn habilitadas.
Para configurar opciones de limpieza automtica
Cuarentena.
2 En la ficha Limpieza, bajo Archivos reparados, marque o deje sin marcar
Habilitar la eliminacin automtica de archivos reparados.
3 En el cuadro Suprimir despus de, escriba el intervalo o haga clic en las flechas
para seleccionarlo.
4 Maque la casilla de verificacin Eliminar los archivos ms antiguos para
limitar el tamao del directorio en y escriba el tamao de directorio mximo
permitido, en megabytes. El valor predeterminado es 50 megabytes.
5 Bajo Archivos de copia de respaldo, marque o deje sin marcar Habilitar la
eliminacin automtica de archivos de copia de respaldo.
para seleccionarlo.
8 Bajo Archivos en cuarentena, marque o deje sin marcar Habilitar la
eliminacin automtica de archivos en cuarentena que no se pudieron
reparar.
para seleccionarlo.
Enviar elementos en cuarentena a un servidor de Cuarentena central

Es posible habilitar los elementos en cuarentena para que se remitan de la
Cuarentena local a un servidor de Cuarentena central. Es necesario configurar el
cliente para que remita elementos si usted utiliza un servidor de Cuarentena
central en su red de seguridad. El servidor de Cuarentena central puede remitir
la informacin a Symantec Security Response. La informacin que los clientes
envan ayuda a Symantec a determinar si una amenaza detectada es verdadera.
Nota: Solamente los elementos en cuarentena que son detectados por anlisis
antivirus y de software espa se pueden enviar a un servidor de Cuarentena central.
Los elementos en cuarentena que son detectados por anlisis de amenazas
proactivos no pueden ser enviados.
Para habilitar el envo de elementos en cuarentena a un servidor de cuarentena

2 Bajo Elementos en cuarentena, marque Permitir que los equipos cliente
enven automticamente elementos de la cuarentena a un servidor de
cuarentena.
3 Escriba el nombre del Servidor de cuarentena.
4 Escriba el nmero de puerto que desea utilizar y seleccione el nmero de
segundos para reintentar la conexin.
5 Cuando haya terminado de establecer la configuracin para esta poltica,
Enviar elementos en cuarentena a Symantec

Es posible configurar el software de cliente para que permita a los usuarios enviar
a Symantec Security Response archivos sospechosos o infectados, y efectos
secundarios relacionados para que se los analice con ms minuciosidad. Cuando
los usuarios envan informacin, Symantec puede refinar su deteccin y reparacin.
Los archivos enviados a Symantec Security Response se convierten en propiedad
de Symantec Corporation. En ciertos casos, los archivos se comparten con la
comunidad de antivirus. Si Symantec comparte los archivos, Symantec utiliza el
cifrado estndar de la industria y puede mantener los datos annimos para ayudar
a proteger la integridad del contenido y su privacidad.
En algunos casos, Symantec puede rechazar un archivo. Por ejemplo, Symantec
puede rechazar un archivo porque no parece estar infectado. Es posible habilitar
el reenvo de archivos si desea permitir a los usuarios reenviar archivos
seleccionados. Los usuarios pueden reenviar los archivos una vez por da.
Para habilitar el envo de elementos en cuarentena a Symantec

2 Bajo Elementos en cuarentena, marque Permitir que los equipos cliente
enven manualmente elementos de la cuarentena a Symantec Security
Response.
Configurar acciones ante el arribo de nuevas definiciones

Es posible configurar acciones que desea realizar cuando los equipos cliente reciben
nuevas definiciones. De forma predeterminada, el cliente vuelve a analizar los
elementos en cuarentena y los repara y restaura automticamente. Por lo general,
debe utilizar siempre esta configuracin.
Para configurar acciones ante nuevas definiciones
Cuarentena.
2 En la ficha General, bajo Cuando lleguen nuevas definiciones de virus,
seleccione una de las siguientes acciones:
Reparar y restaurar automticamente de forma silenciosa
Reparar de forma silenciosa sin restaurar
Preguntar al usuario
No hacer nada

Captulo 32
Configurar Auto-Protect
Acerca de configurar Auto-Protect
Acerca de los tipos de Auto-Protect
Habilitar Auto-Protect para el sistema de archivos
Configuracin de Auto-Protect para el sistema de archivos
Configurar Auto-Protect para correo electrnico de Internet
Configurar Auto-Protect para Microsoft Outlook
Configurar Auto-Protect para Lotus Notes
Configurar opciones de notificacin para Auto-Protect
Acerca de configurar Auto-Protect

Se establece la configuracin de Auto-Protect como parte de una poltica antivirus
y contra software espa. Es posible tambin habilitar manualmente Auto-Protect
para un grupo de clientes o para equipos y usuarios determinados.
Es posible bloquear o desbloquear muchas opciones de Auto-Protect en una poltica
antivirus y contra software espa. Cuando se bloquea una opcin, los usuarios en
los equipos cliente no pueden modificar la opcin. De forma predeterminada, las
opciones estn desbloqueadas.
Algunas opciones de Auto-Protect son similares a las opciones para otros anlisis
antivirus y de software espa.
Ver "Configurar las opciones que se aplican a los anlisis antivirus y de software
espa" en la pgina 478.
494 Configurar Auto-Protect

Auto-Protect protege el sistema de archivos y los adjuntos de correo electrnico
que los clientes reciben.
Es posible configurar los siguientes tipos de Auto-Protect:
Auto-Protect para el sistema de archivos
Auto-Protect para correo electrnico de Internet
Auto-Protect para Microsoft Outlook
Lotus Notes, Auto-Protect
De forma predeterminada, se habilitan todos los tipos de Auto-Protect. Si los
equipos cliente ejecutan otros productos de seguridad de correo electrnico, como
Symantec Mail Security, es posible que no necesite habilitar Auto-Protect para el
correo electrnico.
Ver "Acerca de los anlisis de Auto-Protect" en la pgina 460.
Habilitar Auto-Protect para el sistema de archivos

Las opciones de Auto-Protect se incluyen en la poltica antivirus y contra software
espa que se aplica a los equipos cliente. De forma predeterminada, Auto-Protect
para el sistema de archivos est habilitado. Es posible bloquear la configuracin,
de forma que los usuarios de los equipos cliente no puedan deshabilitar
Auto-Protect para el sistema de archivos. Es posible que necesite habilitar
Auto-Protect desde la consola, si permite que los usuarios modifiquen esta opcin
o si deshabilita Auto-Protect para el sistema de archivos.
Es posible habilitar Auto-Protect para el sistema de archivos mediante la ficha
Clientes de la consola. Es posible tambin habilitar manualmente Auto-Protect
para el sistema de archivos desde los registros de estado del equipo.
Si desea deshabilitar Auto-Protect, es necesario deshabilitar la configuracin en
la poltica antivirus y contra software espa que se aplica al grupo.
Para habilitar Auto-Protect para el sistema de archivos
1 En la consola, haga clic en Clientes y, bajo Ver clientes, seleccione el grupo
que incluye los equipos para los cuales se desea habilitar Auto-Protect.
2 En el panel derecho, seleccione la ficha Clientes.
Configurar Auto-Protect 495
En el panel izquierdo, bajo Ver clientes, haga clic con el botn secundario
en el grupo para el cual desea habilitar Auto-Protect.
En el panel derecho, en la ficha Clientes, seleccione los equipos y los
usuarios para los cuales desea habilitar Auto-Protect y, despus, haga clic
con el botn secundario en la seleccin.

Haga clic en Ejecutar comando en el grupo > Habilitar Auto-Protect
Haga clic en Ejecutar comando en los clientes > Habilitar Auto-Protect
5 En el mensaje que aparece, haga clic en Aceptar.

Si desea habilitar o deshabilitar Auto-Protect para el correo electrnico, debe
incluir la configuracin en la poltica antivirus y contra software espa.
Configuracin de Auto-Protect para el sistema de

archivos
Cuando se configura Auto-Protect para el sistema de archivos como parte de una
poltica antivirus y contra software espa, usted establece la configuracin que
define cmo Auto-Protect y sus funciones asociadas se comportan. Puede
especificar si desea analizar disquetes, unidades de red o ambos.
Nota: Cuando se configuran las opciones de Auto-Protect, es posible hacer clic en

el icono del candado que est al lado de la configuracin de Auto-Protect. Los
usuarios con los equipos cliente que utilizan esta poltica no pueden modificar
las configuraciones bloqueadas.
Para configurar Auto-Protect para el sistema de archivos
Auto-Protect para el sistema de archivos.
2 En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect
para el sistema de archivos.
3 Bajo anlisis, en Tipos de archivos, seleccione una de las siguientes opciones
Analizar todos los archivos.
Analizar slo las extensiones seleccionadas.
Ver "Configurar anlisis de las extensiones de archivo seleccionadas"

en la pgina 479.
4 En Opciones adicionales, active o desactive Analizar en busca de riesgos de
seguridad y Bloquear la instalacin de riesgos de seguridad.
Ver "Acerca de anlisis y bloqueo de riesgos de seguridad con Auto-Protect"
en la pgina 496.
5 En Configuracin de red, active o desactive Red para habilitar o deshabilitar
el anlisis de Auto-Protect de archivos de red.
6 Si activ Red, haga clic en Configuracin de red.
7 En el cuadro de dilogo Configuracin de red, realice una de las siguientes
acciones:
Habilite o deshabilite Auto-Protect para que confe en los archivos de los
equipos remotos que ejecutan Auto-Protect.
Configure las opciones de memoria cach de la red para los anlisis de
Auto-Protect.

9 En la ficha Acciones, configure las opciones de las acciones.
11 En la ficha Notificaciones, configure las opciones de notificacin.
13 En la ficha Avanzado, configure las siguientes opciones:
Inicio y cierre
Opciones de recarga
14 En Opciones adicionales, haga clic en Cach de archivos o Buscador de

riesgos.
Acerca de anlisis y bloqueo de riesgos de seguridad con Auto-Protect

De forma predeterminada, Auto-Protect hace las acciones siguientes:
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y

software espa.
Pone en cuarentena los archivos infectados.
Quita o repara los efectos secundarios de los riesgos de seguridad.
En los casos en que bloquear la instalacin de un riesgo de seguridad no afecta la
estabilidad del equipo, Auto-Protect tambin bloquea la instalacin, de forma
predeterminada. Si Symantec determina que el bloqueo de un riesgo de seguridad
podra poner en peligro la estabilidad de un equipo, Auto-Protect permite la
instalacin del riesgo. Auto-Protect tambin toma inmediatamente la medida que
se configura para el riesgo.
Sin embargo, de vez en cuando quizs sea necesario deshabilitar temporalmente
el anlisis de riesgos de seguridad en Auto-Protect y volver a habilitarlo. Puede
tambin ser necesario deshabilitar el bloqueo de riesgos de seguridad para
controlar el momento en que Auto-Protect reacciona ante ciertos riesgos de
seguridad.
Nota: No es posible deshabilitar el anlisis de riesgos de seguridad en otros tipos

de anlisis. Sin embargo, es posible configurar Symantec Endpoint Protection
para que no haga nada con los riesgos de seguridad y slo registre la deteccin.
Puede tambin excluir riesgos especficos de forma global de todos los tipos de
anlisis agregndolos a la lista de excepciones centralizadas.
Ver "Acerca de las polticas de excepciones centralizadas" en la pgina 643.
Configurar opciones avanzadas de anlisis y supervisin

Es posible configurar opciones avanzadas de anlisis y supervisin para los anlisis
de Auto-Protect de archivos y procesos. Las opciones incluyen cundo analizar
archivos y la configuracin de anlisis heurstico.
El anlisis heurstico como parte de Auto-Protect es diferente del anlisis de
amenazas proactivo. El anlisis heurstico de Auto-Protect analiza los archivos
en busca de conducta maliciosa y el anlisis de amenazas proactivo examina los
procesos en ejecucin en busca de conducta maliciosa.
Configurar opciones avanzadas de anlisis y supervisin

2 En la ficha Detalles del anlisis, bajo Anlisis, haga clic en Anlisis y
supervisin avanzados.
3 Bajo Analizar archivos, especifique qu actividades activan anlisis.
4 Bajo Opciones de deteccin Bloodhound(TM), active o desactive Habilitar
deteccin de virus Bloodhound (TM). Es posible tambin modificar el nivel
de proteccin.
Acerca del Buscador de riesgos

El Buscador de riesgos permite identificar el origen de las infecciones vricas
basadas en recursos compartidos de una red en equipos en los que se ejecuten los
sistemas operativos Windows XP/2000/2003.
Cuando Auto-Protect detecta una infeccin, enva informacin a Rtvscan, el
servicio principal de Symantec Endpoint Protection. Rtvscan determina si la
infeccin se ha originado local o remotamente.
Si la infeccin vino de un equipo remoto, Rtvscan puede hacer las siguientes
acciones:
Buscar y registrar el nombre del equipo NetBIOS del equipo y su direccin IP.
Buscar y registrar al usuario que inici sesin en el equipo en momento del
envo.
Mostrar la informacin en el cuadro de dilogo Propiedades de riesgos.
Rtvscan sondea cada segundo de forma predeterminada en busca de sesiones de
red y guarda en la memoria cach esta informacin como una lista de origen
secundaria de equipos remotos. Esta informacin maximiza la frecuencia con la
que el Buscador de riesgos puede identificar correctamente el equipo remoto
infectado. Por ejemplo, un riesgo puede cerrar el recurso de red compartido antes
de que Rtvscan pueda registrar la sesin de red. Entonces, el Buscador de riesgos
utilizar la lista de origen secundaria para intentar identificar el equipo remoto.
Es posible configurar esta informacin en el cuadro de dilogo Opciones avanzadas
de Auto-Protect.
La informacin del Buscador de riesgos aparece en el cuadro de dilogo Propiedades
del riesgo y slo est disponible para las entradas de riesgos causadas por archivos
infectados. Cuando el Buscador de riesgos determina que la actividad del host

local caus una infeccin, enumera el origen como el host local.
El Buscador de riesgos clasifica un origen como desconocido cuando las condiciones
siguientes son verdades:
No logra identificar el equipo remoto.
El usuario autenticado para compartir un archivo remite a varios equipos. Esto
puede ocurrir cuando un ID de usuario se asocia a varias sesiones de red. Por
ejemplo, varios equipos pueden iniciar sesin en un servidor de archivos
compartidos con el mismo ID de usuario de servidor.
Es posible registrar la lista completa de los equipos remotos que infectan
actualmente el equipo local. Configure el valor de la cadena
HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint
Protection\AV\ProductControl\Debug como THREATTRACER X en el equipo
cliente local. El valor THREATTRACER activa el resultado de la depuracin y la
X garantizan que slo aparezcan los resultados de la depuracin relacionados con
el Buscador de riesgos. Tambin puede agregar una L para asegurarse de que los
resultados se incluyan en el archivo de registro
<Carpeta_programa_SAV>\vpdebug.log. Para asegurarse de que no aparezca la
ventana de depuracin, agregue XW.
Si desea intentar esta opcin, utilice el archivo de prueba de virus Eicar.com,
disponible en:
www.eicar.org
El Buscador de riesgos tambin incluye una opcin para bloquear las direcciones
IP de los equipos de origen. Para que esta opcin tenga efecto, es necesario
configurar la opcin correspondiente en las polticas de firewall para habilitar
este tipo de bloqueo automtico.
Configurar Auto-Protect para correo electrnico de

Internet
Auto-Protect para correo electrnico de Internet protege los mensajes de correo
electrnico entrantes y los mensajes de correo electrnico salientes que utilizan
el protocolo de comunicaciones POP3 o SMTP sobre Secure Sockets Layer (SSL).
Cuando se habilita Auto-Protect para correo electrnico de Internet, el software
de cliente analiza el texto del cuerpo del correo electrnico y los archivos adjuntos
que se incluyan.
Es posible habilitar Auto-Protect para admitir la administracin del correo
electrnico cifrado sobre conexiones POP3 y SMTP. Auto-Protect detecta las
conexiones seguras y no analiza los mensajes cifrados. Aunque Auto-Protect para

correo electrnico de Internet no analiza mensajes cifrados, contina protegiendo
los equipos contra virus y riesgos de seguridad en archivos adjuntos.
Esta funcin analiza los archivos adjuntos de correo electrnico al guardarlos en
el disco duro.
Nota: Auto-Protect para correo electrnico de Internet no se admite para equipos

de 64 bits. Auto-Protect para correo electrnico de Internet tampoco admite el
anlisis del correo electrnico POP3 en los sistemas operativos del servidor.
El cliente de Symantec Endpoint Protection tambin proporciona el anlisis

heurstico del correo electrnico saliente. El anlisis heurstico utiliza la deteccin
de virus Bloodhound para identificar los riesgos que se pueden contener en
mensajes de salida. Cuando el cliente analiza los mensajes de correo electrnico
salientes, el anlisis ayuda a prevenir la extensin de riesgos. Estos riesgos incluyen
los gusanos que pueden utilizar clientes de correo electrnico para replicarse y
distribuirse a travs de una red.
El anlisis del correo electrnico no es compatible con los siguientes clientes de
correo:
Clientes IMAP
Clientes AOL
Correo electrnico basado en HTTP como Hotmail y Yahoo! Correo
Para configurar Auto-Protect para correo electrnico de Internet
Auto-Protect para correo electrnico de Internet.
para correo electrnico de Internet.
3 En Anlisis, bajo Tipos de archivos, seleccione el tipo de archivo que desee
analizar:
en la pgina 479.
4 Active o desactive Analizar archivos incluidos en archivos comprimidos.

8 En la ficha Notificaciones, bajo Notificaciones por correo electrnico, configure
cualquiera de las siguientes opciones:
Insertar un aviso en el mensaje de correo electrnico
Enviar correo electrnico al remitente
Enviar correo electrnico a otros.
10 En la ficha Avanzada, bajo Conexiones cifradas, habilite o deshabilite las
conexiones POP3 o SMTP cifradas.
11 Bajo Anlisis heurstico de gusanos en correo masivo, active o desactive
Heurstica de gusanos salientes.

De forma predeterminada, Auto-Protect analiza los archivos adjuntos de correo
electrnico de Microsoft Outlook. Es posible personalizar la configuracin del
anlisis.
Para configurar Auto-Protect para Microsoft Outlook
Auto-Protect para Microsoft Outlook.
para Microsoft Outlook.
analizar:

en la pgina 479.
8 En la ficha Notificaciones, configure las siguientes opciones:

De forma predeterminada, Auto-Protect analiza archivos adjuntos de correo
electrnico de Lotus Notes. Es posible personalizar la configuracin del anlisis.
Para configurar Auto-Protect para Lotus Notes
Auto-Protect para Lotus Notes.
para Lotus Notes.
analizar:
en la pgina 479.

8 En la ficha Notificaciones, configure las siguientes opciones:
9 Cuando haya terminado de establecer la configuracin de polticas, haga clic
en Aceptar.

De forma predeterminada, los resultados de los anlisis de Auto-Protect para el
sistema de archivos aparecen en los equipos infectados. Es posible configurar la
poltica antivirus y contra software espa de modo que los resultados no aparezcan
Es posible personalizar el mensaje de notificacin que aparece en los equipos
cliente cuando Auto-Protect hace una deteccin.
Ver "Personalizar y mostrar advertencias en equipos infectados" en la pgina 483.
Para el software de correo electrnico compatible, es posible tambin configurar
Auto-Protect para que haga lo siguiente:
Agregar un aviso a los mensajes de correo electrnico sobre los equipos
infectados.
Notificar a los remitentes de mensajes de correo electrnico infectados.
Notificar a otros usuarios sobre la recepcin de mensajes de correo electrnico
infectados.
Es posible personalizar los mensajes de correo electrnico que se envan para
notificar a los usuarios.
Nota: Tenga precaucin cuando se configure opciones para notificar a los

remitentes y a otros usuarios sobre mensajes de correo electrnico infectados. La
direccin del mensaje de correo electrnico infectado puede ser falsificada. Si
enva notificaciones, es posible que genere correo electrnico no deseado y aumente
el trfico de la red.
Los campos variables que usted personaliza para los mensajes y el correo
electrnico de las notificaciones son levemente diferentes. Es posible personalizar
la informacin del cuerpo del mensaje y la informacin del campo de infeccin.
La Tabla 32-1 describe los campos del cuerpo del mensaje de correo electrnico.
Tabla 32-1 Campos del cuerpo del mensaje de correo electrnico
Campo Descripcin
Usuario Nombre del usuario conectado al detectar el virus o el

riesgo de seguridad.
RemitenteDeCorreo Direccin de correo electrnico que envi el mensaje con

el archivo adjunto infectado.
ListaDeDestinatarios La lista de direcciones a las cuales el correo electrnico

con el archivo adjunto infectado fue enviado.
La Tabla 32-2 describe los campos de informacin de la infeccin.
Tabla 32-2 Campos de informacin de la infeccin
Campo Descripcin
NombreDelRiesgoDeSeguridad Nombre del virus o del riesgo de seguridad detectado.
AccinEfectuada La accin efectuada al detectar el virus o el riesgo de

seguridad. Puede ser la primera o la segunda accin
configurada.
Estado Estado del archivo: Infectado, No infectado o Eliminado.

Esta variable de mensaje no se usa de forma
predeterminada. Para mostrar esta informacin, agregue
manualmente esta variable al mensaje.
NombreArchivo Nombre del archivo infectado por el virus o el riesgo de

seguridad.
Campo Descripcin
RutaYNombreDeArchivo Nombre y ruta completa del archivo infectado por el virus

o el riesgo de seguridad.
Equipo Nombre del equipo donde se detect el virus o el riesgo

de seguridad.
Usuario Nombre del usuario conectado al detectar el virus o el

riesgo de seguridad.
NombreDelArchivoAdjunto- Nombre del archivo adjunto que contiene el virus o el

Original riesgo de seguridad.
NombreDeAlmacenamiento El rea afectada de la aplicacin. Por ejemplo, el nombre

del almacenamiento puede ser Auto-Protect para el
sistema de archivos o Auto-Protect para Lotus Notes.
Visualizar los resultados de Auto-Protect en los equipos infectados

Si desea que los usuarios vean los resultados de los anlisis de archivos y procesos
de Auto-Protect, es posible visualizar los resultados en los equipos infectados. Es
posible tambin deshabilitar la visualizacin si usted no desea que los resultados
aparezcan en los equipos cliente.
Para visualizar resultados de Auto-Protect en equipos infectados
2 En la ficha Notificaciones, active o desactive Mostrar el cuadro de dilogo
de resultados de Auto-Protect en el equipo infectado.
3 Cuando haya terminado de establecer la configuracin de polticas, haga clic
en Aceptar.
Adicin de avisos a los mensajes de correo electrnico infectados

Para los programas de correo electrnico admitidos, se puede configurar
Auto-Protect con el fin de insertar un aviso en el cuerpo de los mensajes de correo
electrnico infectados. Un mensaje de advertencia es importante si el cliente de
Symantec Endpoint Protection no puede limpiar el virus del mensaje. El mensaje
es tambin importante si el archivo adjunto infectado se mueve o se elimina, y
tambin cuando se le cambia el nombre o cuando no se hace nada con l. El aviso

informa sobre el virus encontrado y detalla la accin que se ha llevado a cabo.
Puede agregar el siguiente texto al principio del mensaje de correo electrnico
que contiene el archivo infectado:
Symantec Endpoint Protection encontr riesgos de seguridad en un archivo adjunto
de [RemitenteDeCorreo].
Adems, se aade al mensaje la siguiente informacin relativa a cada archivo
infectado:
El nombre del archivo adjunto
El nombre del riesgo
Las medidas tomadas
El estado de infeccin del archivo
Se pueden personalizar el asunto y el cuerpo del mensaje.
El mensaje incluye el campo [RemitenteDeCorreo]. Todos los campos que aparecen
entre corchetes contienen informacin variable. Es posible personalizar el mensaje
predeterminado.
El aviso aparecer ante el destinatario de la siguiente forma:
Symantec Endpoint Protection encontr un riesgo de seguridad en un archivo
adjunto de Juan.Fernandez@ miempresa.com.
Para agregar avisos de correo electrnico a los mensajes de correo electrnico
infectados
2 En la ficha Notificaciones, bajo Notificaciones por correo electrnico, marque

Insertar un aviso en el mensaje de correo electrnico.
3 Haga clic en Advertencia y realice una de las siguientes acciones:
Haga clic en Aceptar para aceptar el mensaje predeterminado.
Personalice el mensaje de advertencia.
Notificar a los remitentes de mensajes de correo electrnico infectados

Auto-Protect con el fin de responder automticamente al remitente de un mensaje
de correo que contiene un archivo adjunto infectado.
Nota: Tenga precaucin cuando se configure opciones para notificar a los

remitentes y a otros usuarios sobre mensajes de correo electrnico infectados. La
direccin del mensaje de correo electrnico infectado puede ser falsificada. Si
enva notificaciones, es posible que genere correo electrnico no deseado y aumente
el trfico de la red.
Es posible tambin configurar Auto-Protect para enviar un mensaje de correo

electrnico de respuesta predeterminado con el siguiente asunto:
Riesgo de seguridad detectado en el mensaje [AsuntoDelMensaje]
El cuerpo del mensaje comunica quin envi el archivo adjunto infectado:
adjunto que usted ([RemitenteDeCorreo]) envi a [ListaDeDestinatariosDeCorreo].
infectado:
Las medidas tomadas
Tambin es posible personalizar este mensaje.
Para notificar a los remitentes de mensajes de correo electrnico infectados
2 En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active

Enviar correo electrnico a remitente.
3 Haga clic en Remitente.
4 En el cuadro de dilogo Enviar correo electrnico a remitente, en la ficha
Mensaje, bajo Texto del mensaje, realice una de las siguientes acciones:
Haga clic en Aceptar para aceptar el mensaje predeterminado.
Escriba el asunto, el cuerpo del mensaje y la informacin de la infeccin
para que aparezcan en cada mensaje. Luego, haga clic en Aceptar.
Es posible hacer clic en Ayuda para obtener informacin sobre las variables
que puede utilizar en el mensaje.
5 Para Auto-Protect para correo electrnico de Internet solamente, en la ficha

Servidor de correo electrnico, escriba la siguiente informacin:
El nombre y el puerto del servidor de correo
El nombre de usuario y la contrasea
La ruta inversa del correo electrnico
Notificar a otros usuarios sobre la recepcin de mensajes de correo

electrnico infectados
Auto-Protect con el fin de notificar a otros usuarios cuando se abra un mensaje
de correo que contenga un archivo adjunto infectado.
Nota: Tenga precaucin cuando configure opciones para notificar a otros usuarios
sobre mensajes de correo electrnico infectados. La direccin del mensaje de
correo electrnico infectado puede ser falsificada. Si enva notificaciones, es
posible que genere correo electrnico no deseado y aumente el trfico de la red.
Es posible enviar un mensaje de correo electrnico a otros usuarios con el asunto

siguiente:
Riesgo de seguridad detectado en el mensaje [AsuntoDelMensaje]
El cuerpo del mensaje informa sobre la identidad del remitente del archivo adjunto
infectado:

adjunto proveniente de [RemitenteDeCorreo].
infectado:
Las medidas tomadas
Tambin es posible personalizar este mensaje.
Para notificar a otros usuarios sobre mensajes de correo infectado
2 En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active

3 Haga clic en Otros.
4 En el cuadro de dilogo Enviar correo electrnico a otros, en la ficha Otros,
proporcione una o ms direcciones de correo electrnico a las cuales deben
enviarse las notificaciones.
5 Haga clic en la ficha Mensaje y escriba un asunto, el cuerpo del mensaje y la
informacin de infeccin que aparecer en cada mensaje.
Es posible hacer clic en Ayuda para obtener informacin sobre las variables
que puede utilizar en el mensaje.
6 Para Auto-Protect para correo electrnico de Internet solamente, en la ficha
Servidor de correo electrnico, escriba la siguiente informacin:
El nombre y el puerto del servidor de correo
El nombre de usuario y la contrasea
La ruta inversa del correo electrnico

Configurar notificaciones de progreso para anlisis de Auto-Protect

de correo electrnico de Internet
Es posible habilitar o deshabilitar las opciones del indicador de progreso para los
anlisis de Auto-Protect de correo electrnico de Internet.
Es posible configurar las siguientes opciones:
Si se debe mostrar o no una ventana de progreso en el equipo cliente cuando
se enva un mensaje de correo electrnico.
Si se debe mostrar o no un icono en el rea de notificacin para indicar el estado
de transmisin del correo electrnico.
Estas opciones estn habilitadas de forma predeterminada.
Para configurar notificaciones de progreso
Auto-Protect para correo electrnico de Internet.
2 En la ficha Notificaciones, bajo Notificaciones de progreso, realice las
Active o desactive Mostrar un indicador de progreso al enviar correo
electrnico.
Active o desactive Mostrar un icono en el rea de notificacin.

Captulo 33
Usar anlisis definidos por
el administrador
Acerca del uso de los anlisis definidos por administrador
Agregar anlisis programados a una poltica antivirus y contra software espa
Configurar opciones de anlisis manual
Ejecutar anlisis manuales
Configurar opciones de progreso del anlisis para los anlisis definidos por el
administrador
Configurar opciones avanzadas para anlisis definidos por el administrador
Acerca del uso de los anlisis definidos por

administrador
Los anlisis definidos por el administrador incluyen los anlisis antivirus y de
software espa programados y los anlisis manuales. Se configuran las opciones
para estos tipos de anlisis como parte de una poltica antivirus y contra software
espa.
Se utilizan anlisis programados y anlisis manuales para complementar la
proteccin que proporciona Auto-Protect. Auto-Protect proporciona la proteccin
cuando lee y escribe los archivos. Los anlisis programados y los anlisis manuales
pueden analizar cualquier archivo que exista en los equipos cliente. Pueden
tambin proteger memoria, los puntos de carga y otras ubicaciones importantes
en sus equipos cliente.
512 Usar anlisis definidos por el administrador
Nota: Para los equipos cliente administrados, Symantec Endpoint Protection

proporciona un anlisis programado predeterminado que analiza todos los
archivos, carpetas y ubicaciones en los equipos cliente.
Algunas opciones para los anlisis definidos por el administrador son similares
a las opciones para los anlisis de Auto-Protect. Las opciones similares incluyen
las acciones de deteccin y las notificaciones que usted especifica.
Ver "Configurar las opciones que se aplican a los anlisis antivirus y de software
Agregar anlisis programados a una poltica antivirus

y contra software espa
Se configuran anlisis programados como parte de una poltica antivirus y contra
software espa.
Es posible guardar su configuracin de anlisis programados como plantilla. Es
posible utilizar cualquier anlisis que guarde como plantilla como base para una
poltica antivirus y contra software espa distinta. Las plantillas de anlisis pueden
ahorrarle tiempo al configurar diversas polticas antivirus y contra software espa.
Una plantilla de anlisis programado est incluida en la poltica de forma
predeterminada. El anlisis programado predeterminado analiza todos los archivos
y directorios.
Agregar un anlisis programado a una poltica antivirus y contra software espa
1 En la pgina Polticas antivirus y contra software espa, haga clic en Anlisis
2 En la ficha Anlisis, bajo Anlisis programados, haga clic en Agregar.
3 En el cuadro de dilogo Agregar anlisis programado, seleccione Crear un
nuevo anlisis programado.
5 En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del
anlisis, escriba un nombre y una descripcin para este anlisis programado.
6 Seleccione el tipo de anlisis (Rpido, Completo o Personalizado).
7 Si seleccion Personalizado, bajo Anlisis, es posible especificar qu directorios
se deben analizar.
Usar anlisis definidos por el administrador 513
8 Bajo Tipos de archivos, seleccione Analizar todos los archivos o Analizar slo
las extensiones seleccionadas.
en la pgina 479.
9 En Comprobar lo siguiente para mejorar el anlisis, seleccione Memoria,
Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y
riesgos de seguridad.
10 Haga clic en Opciones de anlisis avanzadas.
11 Configure las opciones para los archivos comprimidos, la migracin del
almacenamiento o la optimizacin del rendimiento.
12 Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis.
13 En la ficha Programacin, bajo Programacin de anlisis, configure la
frecuencia y la hora en las cuales el anlisis se debe ejecutar.
Ver "Acerca de los mensajes de notificacin en los equipos infectados"
en la pgina 482.
16 Si desea guardar este anlisis como plantilla, seleccione Guardar una copia
como plantilla de anlisis programado.
Agregar un anlisis programado desde una plantilla
1 En la pgina Polticas antivirus y contra software espa, haga clic en Anlisis
2 En la ficha Anlisis, bajo Anlisis programados, haga clic en Agregar.
3 En el cuadro de dilogo Agregar anlisis programado, seleccione Crear un
anlisis programado a partir de una plantilla de anlisis programado.
4 Seleccione la plantilla de anlisis que usted desea utilizar para esta poltica.
Establecer opciones para anlisis programados no realizados

Si un equipo no realiza un anlisis programado por alguna razn, el cliente de
Symantec Endpoint Protection intentar hacerlo durante un intervalo de tiempo
especfico. Si el cliente no puede iniciar el anlisis en ese intervalo, no lo llevar

a cabo.
Si el usuario que defini un anlisis no est conectado, el software de cliente
ejecuta el anlisis de todos modos. Es posible especificar que el cliente no ejecute
el anlisis si el usuario no est conectado.
La Tabla 33-1 describe los intervalos de tiempo predeterminados.
Tabla 33-1 Intervalos de tiempo predeterminados
Frecuencia del anlisis Intervalo predeterminado
Anlisis diarios 8 horas
Anlisis semanales 3 das
Anlisis mensuales 11 das
Si no desea utilizar el intervalo predeterminado, puede especificar uno diferente

para intentar realizar el anlisis programado.
Es posible configurar las opciones para los anlisis programados no realizados al
crear un anlisis programado o al editar un anlisis programado existente.
Para establecer opciones para anlisis programados no realizados
2 En la ficha Anlisis, bajo Anlisis programados, realice una de las siguientes
acciones:
Haga clic en Agregar y, en el cuadro de dilogo Agregar anlisis
programado, asegrese de que Crear un nuevo anlisis programado est
marcada. Haga clic en Aceptar.
Seleccione un anlisis de la lista y haga clic en Editar.
3 En la ficha Programar, bajo Anlisis programados no realizados, marque

Reintentar el anlisis programado ennmerohoras de la hora programada.
Escriba el nmero o utilice las flechas para especificar el intervalo de tiempo
para que el cliente reintente el anlisis programado.
Editar, suprimir o deshabilitar anlisis planificados

Es posible editar, eliminar o deshabilitar anlisis programados en una poltica
antivirus y contra software espa. Los cambios surten efecto la prxima vez que
se aplica la poltica.
Para editar un anlisis programado
2 En la ficha Anlisis, seleccione el anlisis que desea editar y haga clic en
Editar.
3 En el cuadro de dilogo Editar anlisis programado, haga las modificaciones
que desee.
Para eliminar un anlisis programado
2 En la ficha Anlisis, seleccione el anlisis que desea eliminar.
4 En el mensaje que aparece, haga clic en S.
Para deshabilitar un anlisis programado
2 En la ficha Anlisis, seleccione el anlisis que desea deshabilitar en esta
poltica.
3 Haga clic en Editar.
4 En el cuadro de dilogo Editar anlisis programado, en la ficha Programar,
deje sin marcar Habilitar anlisis.

Es posible configurar las opciones para los anlisis personalizados que usted desea
ejecutar manualmente. Se ejecutan los anlisis manuales desde la pgina Clientes.
Es posible tambin ejecutar anlisis manuales desde la pgina Supervisin en la

consola de administracin.
No es posible configurar un nombre o una descripcin de anlisis para las opciones
de anlisis. El cliente utiliza las opciones siempre que se ejecuta un anlisis manual
personalizado desde la consola de administracin en el equipo cliente.
Nota: Es posible ejecutar un anlisis rpido o un anlisis completo cuando lo

necesite.
Ver "Acerca de anlisis definidos por el administrador" en la pgina 464.

Las opciones para los anlisis manuales son similares a las de los anlisis
programados.
Ver "Agregar anlisis programados a una poltica antivirus y contra software
Para configurar opciones para los anlisis manuales
2 En la ficha Anlisis, bajo Anlisis manual del administrador, haga clic en
Editar.
3 En el cuadro de dilogo Editar anlisis manual del administrador, en la ficha
Detalles del anlisis, bajo Anlisis, haga clic en Editar carpetas. De forma
predeterminada, el anlisis incluye todas las carpetas.
4 En el cuadro de dilogo Editar carpetas, seleccione las carpetas deseadas y
5 En el cuadro de dilogo Editar anlisis manual del administrador, bajo Tipos
de archivos, seleccione Analizar todos los archivos o Analizar slo las
extensiones seleccionadas.
Ver "Acerca de analizar extensiones o carpetas seleccionadas" en la pgina 466.
6 Bajo Comprobar lo siguiente para mejorar el anlisis, marque o deje sin marcar
Memoria, Ubicaciones comunes de infecciones o Ubicaciones conocidas de
virus y riesgos de seguridad.
7 Haga clic en Opciones de anlisis avanzadas.
8 Configure las opciones para los archivos comprimidos, la migracin del
almacenamiento o la optimizacin del rendimiento.
9 Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis.
Ver "Acerca de los mensajes de notificacin en los equipos infectados"
en la pgina 482.

Es posible ejecutar un anlisis de forma remota desde la consola de administracin.
Es posible ejecutar el anlisis desde la ficha Clientes en la consola. Es posible
tambin ejecutar el anlisis desde los registros de estado del equipo que se generan
bajo la ficha Supervisin.
Es posible ejecutar un anlisis manual personalizado, rpido o completo. El anlisis
personalizado utiliza las opciones establecidas para los anlisis manuales en la
De forma predeterminada, el anlisis evala los siguientes tipos de elementos:
Todos los directorios
Todos los tipos de archivo
Memoria
Ubicaciones comunes de infecciones
Ubicaciones conocidas de virus y riesgos de seguridad
Ver "Configurar opciones de anlisis manual" en la pgina 515.
Nota: Si se emite un comando de reinicio en un equipo cliente que ejecuta un

anlisis manual, el anlisis se detiene y el equipo cliente se reinicia. El anlisis no
se reinicia.
Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
Para ejecutar un anlisis manual en un grupo

1 En la consola, haga clic en Clientes y, bajo Ver clientes, haga clic con el botn
secundario en el grupo que incluye los equipos que desea analizar.
2 Haga clic en Ejecutar comando en el grupo > Anlisis.
3 En el cuadro de dilogo Seleccionar tipo de anlisis, seleccione Anlisis rpido,
Anlisis completo o Anlisis personalizado.
Para ejecutar un anlisis manual en un equipo o un usuario
1 En la consola, haga clic en Clientes. A continuacin, en el panel derecho, bajo
Clientes, seleccione los equipos y los usuarios para los cuales desea ejecutar
un anlisis.
2 Haga clic con el botn secundario en la seleccin y despus haga clic en
Ejecutar comando en los clientes > Anlisis.
3 En el cuadro de dilogo Seleccionar tipo de anlisis, seleccione Anlisis rpido,
Anlisis completo o Anlisis personalizado.
Configurar opciones de progreso del anlisis para los

anlisis definidos por el administrador
Es posible configurar si el cuadro de dilogo Resultados del anlisis aparece en
los equipos cliente. Si permite que el cuadro de dilogo aparezca en los equipos
cliente, siempre se permite a los usuarios interrumpir momentneamente o
retrasar un anlisis definido por el administrador.
Es posible permitir que los usuarios detengan un anlisis por completo. Es posible
tambin configurar las opciones sobre cmo los usuarios podrn interrumpir o
retrasar los anlisis.
Las posibles acciones de usuario posibles son las siguientes:
Anlisis interrumpido Cuando un usuario interrumpe el anlisis, el cuadro de

dilogo de resultados del anlisis permanece abierto, en
espera de que el usuario reanude o cancele el anlisis. Si
se apaga el equipo, el anlisis interrumpido no continuar.
Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
Anlisis pospuesto Cuando un usuario pospone un anlisis programado, el

usuario tiene la opcin de posponer el anlisis por una o
por tres horas. Es posible configurar la cantidad de veces
que puede posponerlo. Cuando se pospone un anlisis, el
cuadro de dilogo de resultados se cierra y reaparece
cuando finaliza el perodo de aplazamiento y se reanuda
el anlisis.
Anlisis detenido Cuando un usuario detiene un anlisis, ste generalmente

se detiene de inmediato. Si un usuario detiene un anlisis
mientras el software de cliente analiza un archivo
comprimido, el anlisis no se detiene inmediatamente. En
ese caso, la detencin se produce al finalizar el anlisis
del archivo comprimido. Los anlisis que se hayan
detenido no se reanudarn.
Los anlisis interrumpidos se reanudan automticamente una vez que transcurre

el intervalo de tiempo especificado.
Para configurar opciones de progreso del anlisis para los anlisis definidos por el
administrador
2 En la ficha Avanzadas, bajo Opciones de progreso de anlisis, seleccione
Mostrar el progreso del anlisis o Mostrar el progreso del anlisis si se detecta
un riesgo.
3 Para cerrar automticamente el indicador de progreso del anlisis despus
de que el anlisis termine, marque Cerrar la ventana de progreso del anlisis
al finalizar.
4 Marque la opcin Permitir al usuario detener el anlisis.
5 Haga clic en Opciones para interrumpir.
6 En el cuadro de dilogo Opciones de pausa del anlisis, realice una de las
Para limitar el tiempo durante el que un usuario puede interrumpir un
anlisis, marque Limitar el tiempo durante el que puede interrumpirse
el anlisis y escriba una cantidad de minutos. El intervalo es de 3 a 180.
Para limitar el nmero de veces que un usuario puede retrasar (o posponer)
un anlisis, en el cuadro Cantidad mxima de oportunidades para posponer,
escriba un nmero entre 1 y 8.
Configurar opciones avanzadas para anlisis definidos por el administrador
De forma predeterminada, el usuario puede posponer un anlisis durante

una hora. Para modificar este lmite a 3 horas, marque Permitir a los
usuarios posponer el anlisis durante 3 horas.
Configurar opciones avanzadas para anlisis definidos

por el administrador
Es posible configurar opciones avanzadas para anlisis programados y manuales.
Para configurar opciones avanzadas para anlisis definidos por el administrador
2 En la ficha Avanzadas, bajo Anlisis programados, active o desactive las
Retrasar los anlisis programados cuando el equipo est funcionando con
batera
Permitir que se ejecuten anlisis programados definidos por el usuario
cuando el autor no est conectado
3 Bajo Anlisis al iniciar y anlisis activados, marque o deje sin marcar las
Ejecutar anlisis de inicio cuando los usuarios inicien sesin
Permitir a los usuarios modificar los anlisis de inicio
Ejecutar un anlisis rpido cuando lleguen nuevas definiciones

Seccin 5
Configuracin bsica de la proteccin contra amenazas de red
Configurar la prevencin de intrusiones
Personalizar la proteccin contra amenazas de red

522
Captulo 34
Configuracin bsica de la
proteccin contra
amenazas de red
Acerca del firewall
Acerca de trabajar con polticas de firewall
Acerca de las normas de firewall
Agregar normas vacas
Agregar normas con el asistente para la configuracin de normas
Agregar normas heredadas de un grupo principal
Importar y exportar normas
Editar y eliminar normas
Copiar y pegar normas
Alteracin del orden de las normas
Habilitar e deshabilitar normas
Habilitar el filtro de trfico inteligente
Habilitar configuracin de trfico y de ocultacin

524 Configuracin bsica de la proteccin contra amenazas de red

Los ataques de red se aprovechan del modo en que los equipos transfieren
informacin. El cliente puede proteger los equipos supervisando la informacin
que entra en el equipo y sale de l, y bloqueando los intentos de ataque.
La informacin viaja por Internet en forma de paquetes. Cada paquete incluye un
encabezado con informacin acerca del equipo remitente, del equipo al que va
dirigida la informacin, del modo en que los datos del paquete deben ser procesados
y del puerto que debe recibir el paquete.
Los puertos son los canales que dividen la secuencia de informacin que viene de
Internet en rutas separadas que manejan las aplicaciones individuales. Cuando
las aplicaciones de Internet se ejecutan en un equipo, acuden a uno o ms puertos
y aceptan la informacin enviada a dichos puertos.
Los ataques de red se aprovechan de las debilidades de determinados programas
de Internet. Los atacantes utilizan las herramientas que envan los paquetes que
contienen cdigos de programacin maliciosos a un puerto determinado. Si una
aplicacin vulnerable a este ataque recibe informacin por ese puerto, el cdigo
puede dejar que el atacante acceda al equipo, lo desactive o incluso llegue a
controlarlo. El cdigo de programacin que se emplea para generar los ataques
puede estar dentro de un nico paquete o abarcar varios paquetes.
Es posible instalar el cliente con las configuraciones predeterminadas para la
proteccin contra amenazas de red. En la mayora de los casos no es necesario
modificar la configuracin. Por lo general, resulta seguro dejar la configuracin
como est. Sin embargo, si tiene conocimientos profundos sobre redes, puede
efectuar varios cambios en el firewall cliente para personalizar la proteccin de
los equipos cliente.
Cmo Symantec Endpoint Protection protege los equipos contra

ataques de red
El cliente Symantec Endpoint Protection incluye las siguientes herramientas que
protegen los equipos de su organizacin contra intentos de intrusin:
Firewall Supervisa todas las comunicaciones de Internet y crea un escudo

que bloquea o limita los intentos de visualizar la informacin
del equipo.
Prevencin de Analiza toda la informacin entrante y la informacin saliente

intrusiones para los modelos de los datos que son tpicos de un ataque.
Ver "Acerca del sistema de prevencin de intrusiones"

en la pgina 547.
Configuracin bsica de la proteccin contra amenazas de red 525
Acerca del firewall
Acerca del firewall

El firewall de Symantec Endpoint Protection es el software que proporciona una
barrera entre el equipo e Internet. El firewall evita que los usuarios no autorizados
accedan a los equipos y a las redes que se conectan a Internet. Detecta posibles
ataques de hacker, protege la informacin personal y elimina fuentes no deseadas
de trfico de red.
El firewall supervisa los intentos

de acceso desde Internet
Equipo cliente
El firewall permite o bloquea el

Internet trfico de red especificado en
la poltica de firewall
Toda la informacin que entra en la red privada o sale de ella debe pasar a travs
del firewall, que examina los paquetes de informacin. El firewall bloquea los
paquetes que no cumplen con los criterios de seguridad especificados. La manera
en que el firewall examina los paquetes de informacin es con el uso de polticas
de firewall. Las polticas de firewall tienen una o ms normas que trabajan juntas
para permitir o bloquear el acceso de usuarios a la red. Solamente el trfico
autorizado puede pasar. Las polticas de firewall definen el trfico autorizado.
El firewall se ejecuta en segundo plano. Usted determina el nivel de interaccin
que desea que los usuarios tengan con el cliente permitiendo o bloqueando su
capacidad de configurar normas de firewall y opciones del firewall. Los usuarios
pueden interactuar con el cliente solamente cuando les notifica sobre nuevas
conexiones de red y problemas posibles, o puede ser que tengan total acceso a la
interfaz de usuario.
Ver "Acerca de las normas de firewall" en la pgina 527.

Symantec Endpoint Protection Manager incluye polticas de firewall
predeterminadas con normas de firewall y configuracin del firewall para el
entorno de la oficina. El entorno de la oficina est normalmente bajo proteccin
de firewalls, de filtros de paquete de lmites o de servidores antivirus corporativos.
Por lo tanto, es normalmente ms seguro que la mayora de los ambientes
familiares, donde la proteccin reducida del lmite est disponible.
Cuando se instala la consola por primera vez, se agrega una poltica de firewall
predeterminada a cada grupo automticamente. Cada vez que usted agrega una
nueva ubicacin, la consola copia una poltica de firewall a la ubicacin
predeterminada automticamente.
Si la proteccin predeterminada no es adecuada, es posible personalizar las
polticas de firewall para cada ubicacin, por ejemplo para un sitio del hogar o
sitio de cliente. Si no desea polticas de firewall predeterminadas, puede editarlas
o reemplazarlas por otra poltica compartida.
Las polticas de firewall incluyen los siguientes elementos:
Normas de firewall Supervisa todas las comunicaciones de Internet y crea un

escudo que bloquea o limita los intentos de visualizar la
informacin del equipo. Las normas de firewall permiten
que el equipo sea invisible para otros en Internet.
Las normas de firewall protegen a los usuarios remotos

contra ataques de hackers y evitan que los hackers utilicen
la puerta trasera para acceder a la red corporativa a travs
de estos equipos. Es posible notificar a los usuarios cuando
el firewall bloquea una aplicacin de su equipo.
Filtros de trfico inteligentes Permite los tipos de trfico especficos que son obligatorios
en la mayora de las redes, como el trfico DHCP, DNS y
WINS.
Configuracin de trfico y Detecta y bloquea el trfico que viene de ciertos

ocultacin controladores, de los protocolos y de otras fuentes.
Ver "Habilitar configuracin de trfico y de ocultacin"

en la pgina 546.
Es posible configurar una ubicacin en control del cliente o en control mixto de

modo que el usuario pueda personalizar las polticas de firewall.
Ver "Configurar las opciones de proteccin contra amenazas de red para el control
mixto" en la pgina 565.
Las polticas de firewall se crean y editan de forma similar a otros tipos de polticas.
Puede asignar, quitar, reemplazar, copiar, exportar, importar o eliminar polticas
de firewall.

Las normas de firewall controlan el modo en que el cliente protege el equipo cliente
de trfico entrante y saliente malicioso. El firewall comprueba automticamente
todos los paquetes entrantes y salientes con estas normas. A continuacin, el
firewall permite o bloquea los paquetes que se basan en la informacin que se
especifica en las normas. Cuando un equipo intenta conectarse a otro equipo, el
firewall compara el tipo de conexin con su lista de normas de firewall.
Acerca de los elementos de una norma

Una norma de firewall describe generalmente las condiciones en las que una
conexin de red puede permitirse o negarse. Se utilizan los siguientes criterios
para definir una norma de firewall:
Activadores Aplicaciones, hosts, protocolos y adaptadores de red.
Cuando el firewall evala la norma, todos los activadores deben ser

verdaderos para que se produzca una coincidencia. Si un activador no es
verdadero en relacin con el paquete actual, el firewall no podr aplicar
la norma. Es posible combinar las definiciones de la activacin para formar
normas ms complejas, por ejemplo, para identificar un protocolo
determinado en relacin con una direccin de destino especfica.
Condiciones Estado de programacin y protector de pantalla.
Los parmetros condicionales no describen un aspecto de una conexin

de red. Por el contrario, los parmetros condicionales determinan el estado
activo de una norma. Es posible definir una programacin o identificar
un estado del protector de pantalla que indique cuando una norma se
considera activa o inactiva. Los parmetros condicionales son opcionales
y si no se definen, no son significativos. El firewall no evala normas
inactivas.
Acciones Permitir o bloquear, y registrar o no registrar.
Los parmetros de accin especifican qu medidas toma el firewall cuando

una norma coincide. Si la norma coincide y se selecciona en respuesta a
un paquete recibido, el firewall realiza todas las acciones. El firewall
permite o bloquea el paquete, y registra o no el paquete. Si el firewall
permite el trfico, permite que el trfico especificado por la norma acceda
a la red. Si el firewall bloquea el trfico, bloquea el trfico especificado
por la norma para que no acceda a la red.
Una norma que combina todos los criterios puede permitir trfico a la direccin
IP 192.58.74.0 en el puerto remoto 80 todos los das entre las 9 y las 5 P.M.
Acerca de activadores de la aplicacin

Cuando la aplicacin es el nico activador que usted define en una norma de
permiso de trfico, el firewall permite que la aplicacin realice cualquier operacin
de red. La aplicacin es el valor significativo, no las operaciones de red que la
aplicacin realiza. Por ejemplo: se permite Internet Explorer y no se define ningn
otro activador. Los usuarios podrn acceder a los sitios remotos que utilizan HTTP,
HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador Web.
Es posible definir activadores adicionales para describir los hosts y protocolos de
red con los que se permite comunicacin.
Las normas basadas en la aplicacin pueden ser difciles de solucionar, porque
una aplicacin puede utilizar varios protocolos. Por ejemplo, si el firewall procesa
una norma que permite Internet Explorer antes de una norma que bloquee el ftp,
el usuario se puede comunicar con el ftp. El usuario puede escribir una URL basada
en ftp en el navegador, tal como ftp://ftp.symantec.com.
No es necesario utilizar normas de aplicaciones para controlar el trfico en el
nivel de red. Por ejemplo, una norma que bloquee o limite el uso de Internet
Explorer no tendra ningn efecto si el usuario utilizara otro navegador Web. El
trfico que el otro navegador Web genera sera comparado con el resto de las
normas, excepto con la norma de Internet Explorer. Las normas basadas en la
aplicacin son ms eficaces cuando se configuran para bloquear las aplicaciones
que envan y reciben trfico.
Nota: Si TrendMicro PC-cillin IS 2007 y el cliente de Symantec Endpoint Protection

se instalan en el mismo equipo, las normas de firewall para un navegador Web
especfico no funcionan. TrendMicro PC-cillin entrega trfico Web a su propio
software proxy. En la TrendMicro PC-cillin, es necesario deshabilitar los controles
de acceso del sitio Web y la opcin de amenazas de la prevencin de los datos.
Acerca de los activadores de hosts

Cuando se definen activadores de hosts, se especifica el host en ambos lados de
la conexin de red descrita.
Tradicionalmente, la manera de expresar la relacin entre los hosts se denomina
el origen o destino de una conexin de red.
Es posible definir la relacin del servicio de host de cualquiera de las siguientes
maneras:
Origen y destino El host de origen y el host de destino dependen de la direccin

del trfico. En un caso el equipo cliente local puede ser el origen,
mientras que en otro caso el equipo remoto puede ser el origen.
La relacin de origen y destino se utiliza ms comunmente en

firewalls basados en redes.
Host local y remoto El host local es siempre el equipo cliente local, y el host remoto
es siempre un equipo remoto que se coloca en otra parte en la
red. Esta expresin del vnculo del host es independiente de la
direccin del trfico.
La relacin local y remota se utiliza ms comnmente en

firewalls basados en host, y es una manera ms simple de mirar
el trfico.
La Figura 34-1 ilustra la relacin de origen y destino con respecto a la direccin

del trfico.
Figura 34-1 Hosts de origen y destino
Origen Destino
` HTTP
Cliente de Symantec.com
SEP
Destino Origen
` RDP
`
Cliente de
SEP Otro cliente
La Figura 34-2 ilustra la relacin del host local y el host remoto con respecto a la
direccin del trfico.
Figura 34-2 Host local y remoto
Local Remoto
` HTTP
Cliente Symantec.com
de SEP
Local Remoto
` RDP
`
Cliente
de SEP Otro cliente
Es posible definir varios hosts de origen y varios hosts de destino. Los hosts que
usted define de cualquier lado de la conexin se evalan mediante la instruccin
O. La relacin entre los hosts seleccionados se evala mediante una instruccin
Y.
Por ejemplo, considere una norma que defina un solo host local y varios host
remotos. Como el firewall examina los paquetes, el host local debe coincidir con
la direccin IP relevante. Sin embargo, las caras de oposicin de la direccin pueden
coincidir con cualquier host remoto. Por ejemplo, es posible definir una norma
para permitir la comunicacin HTTP entre el host local y symantec.com,
yahoo.com, o google.com. La norma es igual que tres normas.
Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 568.
Acerca de los activadores de servicio de red

Un activador de servicio de red identifica uno o ms protocolos de red significativos
en relacin con el trfico de red descrito.
Es posible definir las siguientes clases de protocolos:
TCP Puerto o intervalos de puerto.
UDP Puerto o intervalos de puerto.
ICMP Tipo y cdigo.

IP Nmero de protocolo (tipo de IP).
Ejemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Ethernet Tipo del marco de Ethernet.
Ejemplos: Tipo 0x0800 = IPv4, Tipo = 0x8BDD = IPv6, Tipo

0x8137 = IPX
Cuando usted define elementos que activan servicios basados en TCP o UDP,
identifica los puertos en ambos lados de la conexin de red descrita.
Tradicionalmente, los puertos se consideran el origen o el destino de una conexin
de red.
Es posible definir la relacin del servicio de red de cualquiera de las siguientes
maneras:
Origen y destino El puerto de origen y el puerto de destino dependen de la

direccin del trfico. En algn caso, es posible que el equipo
cliente local maneje el puerto de origen, mientras que, en otro
caso, puede manejarlo el equipo remoto.
Host local y remoto El equipo host local maneja siempre el puerto local y el equipo
remoto maneja siempre el puerto remoto. Esta expresin del
vnculo del puerto es independiente de la direccin del trfico.
Se especifica la direccin del trfico cuando usted define el protocolo.

Es posible definir diversos protocolos. Por ejemplo, una norma puede incluir los
protocolos ICMP, IP y TCP. La norma describe diversos tipos de conexiones
establecidos entre los equipos cliente identificados o utilizados por una aplicacin.
Acerca de los activadores del adaptador de red

Si define un activador de adaptador de red, la norma es relevante solamente para
el trfico transmitido o recibido usando el tipo especificado de adaptador.
Es posible especificar uno de los siguientes tipos de adaptadores:
Ethernet
Inalmbrico
Acceso telefnico
Cualquier VPN
Adaptadores virtuales especficos de proveedores
Cuando se define un tipo determinado de adaptador, tenga en cuenta cmo se
utiliza ese adaptador. Por ejemplo, si una norma permite trfico saliente HTTP
de los adaptadores de Ethernet, HTTP se permite a travs de todos los adaptadores

instalados del mismo tipo. La nica excepcin es si tambin especifica direcciones
del host local. El equipo cliente puede utilizar los servidores multi NIC y las
estaciones de trabajo que conectan dos o ms segmentos de la red. Para controlar
el trfico concerniente a un adaptador determinado, se debe utilizar el esquema
de la direccin de cada segmento en lugar del adaptador mismo.
Acerca de la orden de procesamiento de norma

Las normas de firewall se ordenan secuencialmente, desde la prioridad ms alta
hasta la prioridad ms baja, o desde arriba abajo en la lista de normas. El firewall
examina las normas en este orden. Si la primera norma no especifica cmo
administrar un paquete, el firewall examina la segunda norma para la informacin
acerca de cmo administrar un paquete. Este proceso contina hasta que el firewall
encuentre una coincidencia. Despus de que encuentra una coincidencia, el firewall
toma las medidas que la norma especifica, y no se examinan las normas
subsecuentes de una prioridad ms baja. Por ejemplo, si una norma que bloquea
todo el trfico se enumera primero, seguida por una norma que permita todo el
trfico, el cliente bloquea todo el trfico.
La Tabla 34-1 muestra el orden en el que el firewall procesa las normas y la
configuracin.
Tabla 34-1 Secuencia para procesar normas de firewall, firmas IPS y

configuracin
Prioridad Opcin
Primer lugar Firmas IPS personalizadas
Segundo lugar Configuracin de la prevencin de intrusiones, configuracin del trfico

y modo de ocultacin
Tercer lugar Filtros de trfico inteligentes
Cuarto lugar Normas de firewall
Quinto lugar Comprobacin de anlisis de puertos
Sexto lugar Firmas IPS que se descargan con LiveUpdate
La lista Normas contiene una lnea divisoria azul. La lnea divisoria configura la
prioridad de las normas en las siguientes situaciones:
Cuando un subgrupo hereda normas de un grupo principal.
Cuando el cliente se configura en control mixto. El firewall procesa normas
del servidor y normas de clientes.
La Figura 34-3 visualiza una lista de normas y la lnea divisoria azul.
Figura 34-3 Lista de normas
Acerca de las normas heredadas

Los procesos de firewall heredaron normas de firewall de la siguiente manera:
Sobre la lnea divisoria azul, las normas que la poltica hereda toman
precedencia sobre las normas que usted crea.
Bajo la lnea divisoria azul, las normas que usted crea toman precedencia sobre
las normas que la poltica hereda.
La Figura 34-4 visualiza cmo la lista de normas pide normas cuando un subgrupo
hereda normas de un grupo principal. En este ejemplo, el grupo de ventas es el
grupo principal. El grupo de ventas de Europa hereda del grupo de ventas.
Figura 34-4 Normas de firewall heredadas
Grupo Grupo Ventas Grupo Ventas

Ventas europeas europeas
Ventas europeas hereda las
normas de firewall de Ventas Norma 1 Toma precedencia
Norma 1 Norma 3
Norma 3
Lnea azul Lnea azul Lnea azul
Norma 4 Toma precedencia

Norma 2 Norma 4
Norma 2
Ver "Agregar normas heredadas de un grupo principal" en la pgina 541.
Acerca de las normas del servidor y normas de clientes

Las normas se categorizan como normas del servidor o normas de clientes. Las
normas del servidor son las normas que crea en la consola de Symantec Endpoint
Protection Manager y que se descargan en el cliente de Symantec Endpoint
Protection. Las normas de clientes son las normas que el usuario crea en el cliente.
La Tabla 34-2 describe la relacin entre el nivel de control del usuario del cliente
y la interaccin del usuario con las normas de firewall.
Tabla 34-2 Nivel de control del usuario y estado de las normas
Nivel de control del Interaccin del usuario

usuario
Control de servidores El cliente recibe normas del servidor, pero el usuario no puede
verlas. El usuario no puede crear normas de clientes.
Control mixto El cliente recibe normas del servidor. El usuario puede crear las
normas de clientes, que se combinan con normas del servidor
y con la configuracin de seguridad del cliente.
Control de clientes El cliente no recibe normas del servidor. El usuario puede crear
normas de clientes. No es posible ver las normas de clientes.
Ver "Configurar opciones de la interfaz de usuario" en la pgina 159.

Para los clientes de control mixto, el firewall procesa las normas del servidor y
las normas de clientes en un orden determinado.
La Tabla 34-3 enumera el orden en que el firewall procesa las normas del servidor,
las normas de clientes y la configuracin de los clientes.
Tabla 34-3 Prioridad de procesamiento de normas del servidor y de normas de

clientes
Prioridad Tipo o configuracin de la norma
Primer lugar Normas del servidor con los niveles prioritarios (normas
ubicadas sobre la lnea azul en la lista de normas)
Segundo lugar Normas de clientes
Tercer lugar Normas del servidor con los niveles prioritarios ms bajos
(normas ubicadas bajo la lnea azul en la lista de normas)
En el cliente, las normas del servidor ubicadas bajo la lnea azul

se procesan despus de normas de clientes.
Cuarto lugar Configuracin de seguridad de los clientes
Quinto lugar Configuracin especfica de la aplicacin del cliente
En el cliente, los usuarios pueden modificar las normas de clientes o la

configuracin de seguridad, pero no pueden modificar una norma del servidor.
Advertencia: Si el cliente est en control mixto, los usuarios pueden crear una
norma de cliente que permita todo el trfico. Esta norma anula todas las normas
del servidor ubicadas bajo la lnea azul.
Ver "Alteracin del orden de las normas" en la pgina 544.
Acerca de la inspeccin de estado

El firewall utiliza la inspeccin de estado, un proceso que realiza un seguimiento
de la informacin sobre conexiones actuales, como direcciones IP de origen y
destino, puertos, aplicaciones. El cliente toma decisiones sobre el flujo de trfico
usando esta informacin de conexin antes de examinar las normas de firewall.
Por ejemplo, si una norma de firewall permite que un cliente se conecte a un
servidor Web, el firewall registra informacin sobre la conexin. Cuando el servidor
responde, el firewall detecta que se espera una respuesta del servidor Web al
cliente y sin inspeccionar la base de normas permite el flujo del trfico del servidor
Web hacia el cliente que inici la comunicacin. Una norma debe permitir el trfico
saliente inicial antes de que el firewall registre la conexin.
La inspeccin de estado permite simplificar las bases de normas, dado que evita
la necesidad de crear normas que permitan el trfico en las dos direcciones para
el trfico que normalmente slo se inicia en una direccin. El trfico del cliente
que se inicia normalmente en una direccin incluye Telnet (puerto 23), HTTP
(puerto 80) y HTTPS (puerto 443). Los clientes inician este trfico saliente, de
forma que slo es necesario crear una norma que permita el trfico saliente para
estos protocolos. El firewall permite el trfico de retorno.
Al configurar solamente las normas de salida, se aumenta la seguridad del cliente
de las siguientes maneras:
Se reduce la complejidad de las bases de normas.
Se elimina la posibilidad de que un gusano o cualquier otro programa malicioso
pueda iniciar conexiones con clientes en puertos configurados slo para el
trfico de salida. Tambin puede configurar slo las normas de entrada para
el trfico con los clientes que no haya sido iniciado por ellos.
La inspeccin de estado es compatible con todas las normas que dirigen el trfico
TCP. No es compatible con las normas que filtran el trfico ICMP. Para el trfico
ICMP, se deben crear normas que permitan el trfico en ambas direcciones cuando
sea necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban
respuestas, deber crear una norma que permita el trfico ICMP en ambas
direcciones.
Ya que el firewall tiene estados incluidos, slo se deben crear las normas que
inician una conexin, no las caractersticas de un paquete determinado. Todos
los paquetes que pertenecen a una conexin permitida se permiten implcitamente,
como una parte integral de esa misma conexin.
Acerca de las conexiones UDP

Para las comunicaciones UDP, el cliente analiza el primer datagrama UDP y aplica
la accin que se efecta sobre el datagrama inicial a los siguientes datagramas
UDP de la sesin de programa en curso. El trfico entrante o saliente entre los
mismos equipos se considera parte de la conexin UDP.
Para el trfico de estado de UDP, cuando se establece una conexin UDP, se permite
la comunicacin UDP entrante, incluso si la norma de firewall la bloquea. Por
ejemplo, si una norma bloquea las comunicaciones UDP entrantes para una
aplicacin especfica, pero usted elige permitir un datagrama UDP saliente, se
permiten todas las comunicaciones UDP entrantes para la sesin actual de la
aplicacin. Para UDP sin estado, es necesario crear una norma de firewall para
permitir la respuesta entrante de la comunicacin UDP.
El tiempo de espera de una sesin de UDP finaliza a los 40 segundos si la aplicacin

cierra el puerto.

Cuando se crean nuevas polticas de firewall, la poltica incluye varias normas
predeterminadas. Las normas predeterminadas le dan la proteccin bsica para
un entorno de oficina. Si necesita normas de firewall adicionales, es posible
agregarlas.
Se agregan normas de las siguientes maneras:
Agregue una norma vaca a la lista y configrela manualmente.
Ejecute el asistente de configuracin de normas.
Ver "Agregar normas con el asistente para la configuracin de normas"
en la pgina 539.
Para simplificar la administracin de la base de normas, es necesario especificar
el trfico entrante y saliente en la norma siempre que sea posible. No es necesario
crear normas de entrada para el trfico tal como HTTP. El cliente de Symantec
Endpoint Protection utiliza la inspeccin de estado para el trfico TCP y no necesita
una norma para filtrar el trfico de retorno que los clientes inician.
Ver "Acerca de la inspeccin de estado" en la pgina 535.
Para agregar normas vacas
1 En la consola, abra una poltica de firewall.
2 En la pgina Poltica de firewall, haga clic en Normas.
3 En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma vaca.
4 Haga clic en el cuadro de texto Nombre y escriba un nombre para la norma.
5 En el campo Gravedad, haga clic en la lista desplegable y seleccione una de
las siguientes opciones:
Crtico
Importante
Menor
Informacin
6 Haga clic con el botn secundario en el campo Aplicacin, haga clic en Editar
y, en el cuadro de dilogo Lista de aplicaciones, defina una aplicacin.
Ver "Agregar aplicaciones a una norma" en la pgina 574.

8 Haga clic con el botn secundario en el campo Host, haga clic en Editar y, en
la lista Host, defina un host.
Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 568.
10 Haga clic con el botn secundario en el campo Hora, haga clic en Editar y
configure una programacin.
Ver "Agregar programaciones a una norma" en la pgina 575.
12 Haga clic con el botn secundario en el campo Servicio y haga clic en Editar
para agregar o para configurar un servicio de red personalizado.
Ver "Agregar servicios de red a una norma" en la pgina 571.
14 Haga clic con el botn secundario en el campo Adaptador y seleccione uno o
ms de los puntos siguientes:
Todos los adaptadores
Cualquier VPN
Acceso telefnico
Ethernet
Inalmbrico
Ms adaptadores para agregar y seleccionar de una lista de adaptadores
especficos de un proveedor.
Ver "Agregar adaptadores de red" en la pgina 571.
15 Haga clic con el botn secundario en el campo Protector de pantalla y
seleccione el estado que desea para el protector de pantalla:
Activado
Desactivado
Cualquiera
16 Haga clic con el botn secundario en el campo Accin y seleccione la accin

que usted quisiera que el firewall tome cuando el trfico coincida con una
norma:
Permitir
Bloquear
Preguntar
17 Haga clic con el botn secundario en el campo Registro y seleccione una o

ms acciones de registro que usted quisiera que el firewall tome cuando el
trfico coincida con la norma:
Escribir en el registro de trfico
Escribir en el registro de paquetes
Enviar alerta de correo electrnico
en la pgina 578.
El campo Creada el no es editable. Si la poltica es compartida, el campo
muestra el trmino Compartido. Si la poltica no es compartida, el campo
muestra el nombre del grupo al que la poltica no compartida est asignada.
18 Haga clic con el botn secundario en el campo Descripcin y, despus, haga
clic en Editar.
19 En el cuadro de dilogo Introducir descripcin, escriba una descripcin
opcional para la norma y despus haga clic en Aceptar.
20 Cuando haya terminado de agregar la norma, realice una de las siguientes
acciones:
Agregue otra norma.
Agregue la configuracin de filtrado inteligente del trfico o la
configuracin de trfico y ocultacin.
Cuando haya terminado la configuracin de esta poltica, haga clic en
Aceptar.
21 Si se le pide, asigne la poltica a una ubicacin.

Ver "Asignar una poltica compartida en la pgina Polticas" en la pgina 408.
Agregar normas con el asistente para la configuracin

de normas
Utilice al asistente para la configuracin de normas para crear uno de los siguientes
tipos de normas:
Normas de Norma que se basa en un determinado proceso en ejecucin que

aplicaciones intenta utilizar recursos de red.
Normas de hosts Norma que se basa en los puntos finales de las conexiones de red.
Normas de servicios Norma que se basa en los protocolos que son utilizados por las
conexiones de red.
Es posible que deba incluir dos o ms criterios para describir el trfico de red
especfico, tal como un protocolo determinado que se origina en un host especfico.
Es necesario configurar la norma despus de agregarla, porque el asistente para
la configuracin de normas no configura nuevas normas con varios criterios.
Cuando se familiarice con cmo se definen y se procesan las normas, puede agregar
normas vacas y configurar los campos segn sea necesario. Una norma vaca
permite todo el trfico.
Ver "Agregar normas vacas" en la pgina 537.
Para agregar normas con el asistente para la configuracin de normas
3 En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma.
4 En el Asistente para la creacin de normas de firewall, haga clic en Siguiente.
5 En la pantalla Seleccionar tipo de norma, seleccione uno de los tipos de
normas.
7 Escriba los datos en cada panel para crear el tipo de norma que seleccion.
8 Para las aplicaciones y los hosts, haga clic en Agregar ms para agregar
aplicaciones y servicios adicionales.
9 Cuando haya terminado, haga clic en Finalizar.
10 En la lista de normas, haga clic con el botn secundario en cualquier campo
para editar la norma.

Es posible agregar normas al heredar slo las normas de un grupo principal. Para
heredar las normas de un grupo principal, la poltica del subgrupo debe ser una
poltica no compartida.
Nota: Si el grupo hereda todas las polticas de un grupo principal, esta opcin no
est disponible.
Las normas heredadas se habilitan automticamente. La poltica de subgrupo

puede heredar solamente las normas de firewall que se habilitan en el grupo
principal. Cuando haya heredado las normas, es posible deshabilitarlas, pero no
es posible modificarlas. A medida que se agregan nuevas normas a la poltica del
grupo principal, las nuevas normas se agregan automticamente a la poltica
heredera.
Cuando las normas heredadas aparecen en la lista de normas, se sombrean en
prpura. Sobre la lnea azul, las normas heredadas se agregan sobre las normas
que usted cre. Bajo la lnea azul, las normas heredadas se agregan sobre las
normas que usted cre.
Las polticas de firewall tambin heredan normas predeterminadas, as que las
polticas de firewall del subgrupo pueden tener dos grupos de normas
predeterminadas. Es posible eliminar un grupo de normas predeterminadas.
Si desea quitar las normas heredadas, puede desheredarlas en lugar de optar por
la eliminacin. Debe quitar todas las normas heredadas en lugar de las normas
seleccionadas.
Para agregar normas heredadas de un grupo principal
3 En la ficha Normas, sobre Lista de normas, marque Heredar normas de
firewall del grupo principal.
Para quitar las normas heredadas, desmarque Heredar normas de firewall
del grupo principal.
Ver "Grupos, herencia, ubicaciones y polticas" en la pgina 373.

Es posible exportar e importar normas de firewall y configuracin de otra poltica
de firewall de modo que usted no tenga que reconstruirlas. Por ejemplo, es posible
importar un conjunto de normas parcial de una poltica a otra. Para importar
normas, primero tiene que exportar las normas a un archivo .dat y tener acceso
al archivo.
Las normas se agregan en el mismo orden que estn enumeradas en la poltica
principal con respecto a la lnea azul. Es posible entonces modificar el orden de
procesamiento.
Para exportar normas
3 En la lista Normas, seleccione las normas que desea exportar, haga clic con
el botn secundario y, despus, haga clic en Exportar.
4 En el cuadro de dilogo Guardar, seleccione un directorio para guardar el
archivo .dat, escriba un nombre de archivo y haga clic en Guardar.
Para importar normas
3 Haga clic con el botn secundario en la lista de normas y, despus, haga clic
en Importar.
4 En el cuadro de dilogo Abrir, ubique el archivo .dat que contiene las normas
de firewall que desea importar y haga clic en Abrir.
5 En el cuadro de dilogo de entrada, escriba un nuevo nombre para la poltica
y haga clic en Aceptar.
Editar y eliminar normas

Es posible modificar las normas de firewall si no funcionan de la manera que
desea. Modificar una norma es lo mismo que agregar una norma en blanco y
despus editarla.
Es posible eliminar cualquier norma de firewall, incluso una norma

predeterminada. No es posible eliminar una norma en una poltica que se herede
de una poltica principal.
Para editar las normas
3 En la ficha Normas, bajo la lista de normas, haga doble clic en cualquier
columna de una norma para editar la norma.
4 Edite cualquier columna en la tabla de la norma.
Ver "Agregar normas vacas" en la pgina 537.
5 Haga clic en Aceptar para guardar los cambios.
Para borrar las normas
3 En la ficha Normas, seleccione la norma que desea eliminar y, debajo de lista
de normas, haga clic en Eliminar.
4 Haga clic en S para confirmar que desea eliminar la norma.

Puede copiar y pegar normas de la misma poltica o de otra poltica.
3 En la ficha Normas, haga clic con el botn secundario en la norma que usted
desea copiar y, despus, haga clic en Copiar norma.
4 Haga clic con el botn secundario en la fila donde usted desea pegar la norma
y, despus, haga clic en Pegar norma.

El firewall procesa la lista de normas de firewall desde abajo hacia arriba. Es posible
determinar cmo el firewall procesa las normas de firewall modificando su orden.
Los cambios realizados en el orden slo afectan a la ubicacin seleccionada en ese
momento.
Para modificar el orden de las normas
2 En la pgina de Polticas de firewall, haga clic en Normas y seleccione la
norma que usted desea mover.
3 Realice una de las tareas siguientes:
Para procesar esta norma antes que la norma anterior, haga clic en Subir.
Para procesar esta norma despus de la que est debajo de ella, haga clic
en Subir.
Habilitar e deshabilitar normas

Las normas se deben habilitar para que el firewall las procese. Puede deshabilitar
una norma de firewall si necesita permitir el acceso especfico de un programa o
equipo. La norma se deshabilita para todas las ubicaciones si es una poltica
compartida y solamente para una ubicacin si es una poltica especfica para una
ubicacin. La norma tambin se deshabilita para todas las polticas heredadas.
Para habilitar o deshabilitar normas
3 En la ficha Normas, seleccione la norma que usted desea habilitar o
deshabilitar y, despus, active o desactive la casilla de verificacin en la
columna Habilitada.

Los filtros de trfico inteligente permiten la comunicacin entre ciertos servicios
de red, de modo que usted no tenga que definir las normas que permiten
explcitamente esos servicios. Es posible permitir que los filtros de trfico
inteligentes admitan trfico DHCP, DNS y WINS en la mayora de las redes. Los
filtros de trfico inteligentes admiten solicitudes salientes y respuestas entrantes
para las conexiones de red que se configuraron para utilizar DHCP, DNS y WINS.
Los filtros permiten que los clientes DHCP, DNS o WINS reciban una direccin IP
de un servidor mientras protegen a los clientes contra ataques de la red.
Si el cliente enva una solicitud al servidor, el cliente espera cinco segundos
para permitir una respuesta entrante.
Si el cliente no enva una solicitud al servidor, los filtros no admiten el paquete.
Los filtros inteligentes admiten el paquete si efectu una solicitud. No bloquean
los paquetes. Las normas de firewall admiten o bloquean los paquetes.
Nota: Para configurar estas opciones en el control mixto, es necesario tambin

habilitar estas opciones en el cuadro de dilogo Configuracin del control mixto
de la interfaz de usuario del cliente.

Para habilitar los filtros de trfico inteligentes
2 En la pgina Poltica de firewall, haga clic en Filtros de trfico inteligentes.
3 Si no estn marcadas, marque una de las siguientes casillas de verificacin:
Habilitar DHCP inteligente
Habilitar DNS inteligente
Habilitar WINS inteligente
Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.

Es posible permitir que la configuracin del trfico detecte y bloquee el trfico
que se comunica a travs de los controladores, de NetBIOS y de token rings. Es
posible tambin configurar las opciones para detectar el trfico que utiliza ms
ataques invisibles.


Para habilitar la configuracin de trfico y ocultacin
2 En la pgina Poltica de firewall, haga clic en Configuracin de trfico y modo
de ocultacin.
3 Si una casilla no est seleccionada an, active una de las siguientes:
Habilitar la proteccin en el controlador
Habilitar la proteccin de NetBIOS
Permitir el trfico de token ring
Deshabilitar bsqueda inversa de DNS
Habilitar normas contra la falsificacin de MAC
Habilitar exploracin Web en modo de ocultacin
Habilitar nueva secuencia TCP
Habilitar enmascaramiento de huella digital de SO
Captulo 35
Configurar la prevencin de
intrusiones
Acerca del sistema de prevencin de intrusiones
Importar firmas IPS personalizadas preconfiguradas
Crear firmas personalizadas de IPS

El sistema de prevencin de intrusiones (IPS) es la segunda lnea de defensa del
cliente Symantec Endpoint Protection despus del firewall. El sistema de
prevencin de intrusiones es un sistema basado en redes que funciona en todos
los equipos en que se instale el cliente y se habilite el sistema de IPS. Si se detecta
un ataque conocido, una o ms tecnologas de prevencin de intrusiones pueden
bloquearlo automticamente.
El sistema de prevencin de intrusiones analiza cada paquete que entra y sale de
los equipos de la red en busca de firmas de ataques. Las firmas de ataques son las
secuencias del paquete que identifican el intento de un atacante de explotar una
vulnerabilidad conocida del sistema operativo o del programa.
Si la informacin coincide con un ataque conocido, IPS desecha automticamente
el paquete. IPS puede tambin separar la conexin con el equipo que envi los
datos por una cantidad de tiempo especificada. Esta funcin se llama respuesta
activa y protege los equipos de la red.
El cliente incluye los tipos siguientes de motores IPS que identifican firmas de
ataques.
548 Configurar la prevencin de intrusiones
Firmas IPS de Symantec Las firmas IPS de Symantec utilizan un motor basado en
secuencias que analiza varios paquetes. Las firmas IPS de
Symantec interceptan datos de red en el nivel de las sesiones
y captura segmentos de los mensajes que pasan de un lado
a otro entre una aplicacin y la pila de red.
Firmas IPS personalizadas Las firmas IPS personalizadas utilizan un motor basado en
paquetes que analiza cada paquete individualmente.
El sistema de prevencin de intrusiones registra los ataques detectados en los

registros de seguridad. Es posible permitir a las firmas personalizadas IPS que
registren los ataques detectados en el registro Paquete.
Acerca de las firmas IPS de Symantec

El IPS de Symantec examina los paquetes de dos maneras. Analiza todos los
paquetes de forma individual en busca de patrones que no se ajusten a las
especificaciones y que puedan dejar fuera de servicio la pila TCP/IP. Tambin
supervisa los paquetes como una secuencia de informacin. Supervisa en busca
de los comandos dirigidos a un servicio determinado para explotar o bloquear el
sistema. Adems, es capaz de recordar la lista de patrones o de patrones parciales
de paquetes anteriores y aplicar esta informacin en inspecciones posteriores de
paquetes.
IPS se basa en una detallada lista de firmas de ataques para detectar y bloquear
las actividades de red sospechosas. El equipo de Symantec Security Response
suministra la lista de amenazas conocidas, que es posible actualizar en el cliente
mediante Symantec LiveUpdate. Se descargan las firmas a la consola y despus
se utiliza una poltica de contenido de LiveUpdate para descargarlas al cliente. El
motor IPS de Symantec y el correspondiente grupo de firmas IPS se instalan en
el cliente de forma predeterminada.
Ver "Configurar una poltica de contenido de LiveUpdate" en la pgina 133.
Es posible tambin modificar el comportamiento de las firmas IPS de Symantec.
Ver "Modificar el comportamiento de las firmas IPS de Symantec" en la pgina 551.
Acerca de las firmas IPS personalizadas

El cliente contiene un motor IPS adicional que admite firmas basadas en paquetes.
Los motores basados en secuencias y en paquetes detectan firmas en los datos de
red que atacan la pila TCP/IP, los componentes del sistema operativo y la capa de
aplicacin. Sin embargo, las firmas basadas en paquetes pueden detectar ataques
a la pila TCP/IP antes que las firmas basadas en secuencias.
Configurar la prevencin de intrusiones 549
El motor basado en paquetes no detecta las firmas que abarcan varios paquetes.
El motor IPS basado en paquetes es ms limitado porque no almacena coincidencias
parciales y analiza solamente cargas de un solo paquete.
Las firmas basadas en paquetes examinan un solo paquete que coincida con una
norma. La norma especifica un protocolo, un puerto, una direccin IP de origen
o destino, o una aplicacin. Ciertos ataques se inician comnmente contra
aplicaciones especficas. Las firmas personalizadas utilizan normas basadas en
aplicaciones, que se modifican dinmicamente para cada paquete. La norma se
basa en varios criterios, tales como aplicacin, nmero de indicador de tcp, puerto
y protocolo. Por ejemplo, una firma personalizada puede supervisar los paquetes
de informacin que se reciben en busca de la cadena "phf" en GET / cgi-bin/phf?
como indicador de un ataque de un programa CGI. Cada paquete se evala en
busca de ese patrn especfico. Si el paquete de trfico coincide con la norma, el
cliente permite o bloquea el paquete y registra opcionalmente el evento en el
registro de paquetes.
Las firmas pueden ocasionar falsos positivos porque se basan a menudo en
coincidencias con expresiones regulares y cadenas. Las firmas personalizadas
utilizan ambos criterios para buscar cadenas al buscar coincidencias con un
paquete.
De forma predeterminada, el cliente no incluye las firmas personalizadas. Es
posible importar firmas IPS personalizadas preconfiguradas del sitio Web de
Symantec o crear firmas IPS personalizadas. Las firmas personalizadas que usted
crea utilizan la misma sintaxis que las firmas personalizadas preconfiguradas.
Ver "Importar firmas IPS personalizadas preconfiguradas" en la pgina 555.
Ver "Crear firmas personalizadas de IPS" en la pgina 556.

La configuracin predeterminada de IPS protege los equipos cliente contra una
gran variedad de amenazas. Es posible personalizar las configuraciones
predeterminadas para su red. Es posible personalizar la configuracin de IPS de
una o ms de las maneras siguientes:
Habilitar la configuracin de prevencin de intrusiones.
Modificar el comportamiento de firmas de ataques especficas.
Excluir equipos especficos del anlisis.
Bloquear un equipo atacante automticamente.
Habilitar notificaciones de prevencin de intrusiones.
Ver "Configurar notificaciones de proteccin contra amenazas de red"

en la pgina 576.
Importar firmas personalizadas de IPS.
Ver "Importar firmas IPS personalizadas preconfiguradas" en la pgina 555.
Crear firmas personalizadas de IPS.
Ver "Crear firmas personalizadas de IPS" en la pgina 556.
Acerca del uso de Polticas de prevencin de intrusiones

A excepcin de las firmas IPS personalizadas y las notificaciones de prevencin
de intrusiones, cuando usted configura la prevencin de intrusiones, se crea una
poltica de prevencin de intrusiones. Para las firmas IPS personalizadas, usted
crea una biblioteca IPS personalizada.
Las polticas de prevencin de intrusiones se crean y editan de forma similar a
otros tipos de polticas. Es posible asignar, retirar, sustituir, copiar, exportar,
importar o eliminar una poltica de prevencin de intrusiones o una biblioteca
personalizada de prevencin de intrusiones.
Habilitar opciones de prevencin de intrusiones

Es posible bloquear ciertos tipos de ataques en el cliente, de acuerdo con la
tecnologa de prevencin de intrusiones que seleccione.
Es necesario habilitar las opciones de prevencin de intrusiones para habilitar el
motor de firmas IPS de Symantec o el motor personalizado de firmas IPS. Si no
se habilita esta configuracin, el cliente ignora las firmas de posibles ataques.

Para habilitar opciones de prevencin de intrusiones

1 En la consola, abra una poltica de prevencin de intrusiones.
2 En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin.
3 En la pgina Configuracin, marque las casillas de verificacin siguientes
que se apliquen:
Habilitar prevencin de intrusiones
Habilitar la deteccin de negacin de servicio
Habilitar la deteccin de anlisis de puertos
4 Cuando termine de configurar esta poltica, haga clic en Aceptar.
Ver "Configurar una lista de equipos excluidos" en la pgina 553.
Modificar el comportamiento de las firmas IPS de Symantec

Puede ser necesario modificar el comportamiento predeterminado de las firmas
IPS predefinidas de Symantec por los motivos siguientes:
Para reducir la posibilidad de un falso positivo. Hay algunos casos en los que
una actividad de red benigna puede asemejarse a una firma de ataque. Si recibe
repetidas advertencias acerca de posibles ataques y sabe que esos ataques se
deben a un comportamiento seguro, puede excluir la firma de ataque que
coincida con la actividad benigna.
Para reducir el consumo de recursos reduciendo el nmero de firmas de ataques
que el cliente comprueba. Sin embargo, debe estar seguro de que una firma de
ataque no supone ninguna amenaza antes de excluirla del bloqueo.
Es posible modificar las medidas que el cliente toma cuando el IPS reconoce una
firma de ataque. Es posible tambin modificar si el cliente registra el evento en
el registro de seguridad.
Nota: Para modificar el comportamiento de una firma IPS personalizada que usted
cree o importe, se edita la firma directamente.
Para modificar el comportamiento de firmas IPS de Symantec

2 En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones.
3 En la pgina Excepciones, haga clic en Agregar.

4 En el cuadro de dilogo Agregar excepciones de prevencin de intrusiones,
realice una de las siguientes acciones para filtrar las firmas:
Para visualizar las firmas de una categora determinada, seleccione una
opcin de la lista desplegable Mostrar categora.
Para visualizar las firmas clasificadas con una gravedad determinada,
seleccione una opcin de la lista desplegable Mostrar gravedad.
5 Seleccione una o ms firmas IPS.

Para hacer que el comportamiento de todas las firmas sea igual, haga clic en
Seleccionar todos.
7 En el cuadro de dilogo Accin de la firma, modifique la accin de Bloquear
a Permitir o de Permitir a Bloquear.
8 Opcionalmente, modifique la accin de registro del registro de Registrar el
trfico a No registrar el trfico o de No registrar el trfico a Registrar el trfico.
Si desea quitar la excepcin y recuperar el comportamiento de la firma
original, seleccione la firma y haga clic en Eliminar.
11 Si desea modificar el comportamiento de otras firmas, repita los pasos 3 a
10.
Ver "Ver y modificar la poltica de contenido de LiveUpdate que se aplica a
un grupo" en la pgina 135.
Para quitar la excepcin
2 En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones.
3 En el panel Excepciones, seleccione la excepcin que desea quitar y haga clic
en Eliminar.
4 Cuando se le solicite que confirme la eliminacin, haga clic en S.
Bloquear un equipo atacante

Cuando el cliente de Symantec Endpoint Protection detecta un ataque de red,
puede bloquear automticamente la conexin para asegurarse de que el equipo
cliente est seguro. El cliente activa una respuesta activa, que bloquea
automticamente toda la comunicacin hacia el equipo atacante y desde l por
un tiempo determinado. La direccin IP del equipo atacante se bloquea para una
sola ubicacin.
La direccin IP del atacante se inscribe en los registros de seguridad. En control
de clientes, los usuarios pueden desbloquear un ataque deteniendo la respuesta
activa en los registros de seguridad.
Si configura el cliente al control mixto, es posible especificar si la configuracin
est disponible o no en el cliente para que el usuario la habilite. Si no est
disponible, es necesario habilitarla en el cuadro de dilogo Configuracin del
control mixto de la interfaz de usuario del cliente.
Las firmas de IPS actualizadas, las firmas actualizadas de negacin de servicio,
los anlisis de puertos y la falsificacin de MAC tambin inician una respuesta
activa.
Para bloquear un equipo atacante
3 En la pgina Configuracin, seleccione Bloquear automticamente la
direccin IP de un atacante.
4 En el campo de texto Nmero de segundos durante los que se bloquea la
direccin IP: ... segundos, especifique el nmero de segundos que se deben
bloquear atacantes potenciales.
Escriba un nmero entre 1 y 999.999 segundos.
Configurar una lista de equipos excluidos

El cliente de Symantec Endpoint Protection puede definir algunas actividades
normales de Internet, como ataques. Por ejemplo, las que realizan algunos
proveedores de servicios de Internet al analizar los puertos de los equipos para
asegurarse de que se cumplen los acuerdos de servicio. Tambin es posible
configurar algunos equipos en su red interna que usted desee para propsitos de
prueba.
Es posible configurar una lista de equipos cuyas firmas de ataque no coincidan
con el cliente, o que no busque anlisis de puertos o ataques de negacin de servicio.
El cliente permite todo el trfico saliente y entrante de estos hosts, sin importar
la configuracin y las normas de firewall o las firmas de IPS.
Nota: Es posible tambin configurar una lista de equipos que permita todo el trfico
saliente y entrante a menos que una firma de IPS detecte un ataque. En este caso,
se crea una norma de firewall que permita todos los hosts.
Para configurar una lista de equipos excluidos

3 Si no est seleccionada, seleccione la opcin Habilitar hosts excluidos y,
despus, haga clic en Hosts excluidos.
4 En el cuadro de dilogo Hosts excluidos, haga clic en Agregar.
5 En el cuadro de dilogo Host, en la lista desplegable, seleccione uno de los
siguientes tipos de hosts:
Dominio DNS
Host DNS
Direccin IP
Intervalo de IP
Direccin MAC
Subred
6 Escriba la informacin apropiada que se asocia al tipo de hosts que usted

seleccion.
8 Repita los pasos Paso 4 y Paso 7 para agregar los dispositivos y los equipos
adicionales a la lista de equipos excluidos.
9 Para excluir o incluir el host, active o desactive la casilla Habilitada.
10 Para editar o eliminar los hosts excluidos, seleccione una fila y haga clic en
Editar o Eliminar.

Las firmas IPS personalizadas preconfiguradas son las firmas que bloquean los
ataques que intentan afectar la pila TCP/IP del cliente en Windows Vista. Es posible
importar firmas IPS personalizadas preconfiguradas desde el sitio Web de
Symantec en una biblioteca IPS personalizada. Estas bibliotecas se guardan en
un archivo .daz que se descarga al equipo y se incluye en una biblioteca de
Prevencin de intrusiones personalizada.
Es posible tambin importar firmas del producto anterior Symantec Sygate
Enterprise Protection en una poltica de prevencin de intrusiones personalizada.
Advertencia: Es posible modificar la accin predeterminada para las firmas IPS

personalizadas importadas. Sin embargo, no se debe modificar el contenido de
las firmas.
Para importar firmas IPS personalizadas preconfiguradas

1 Desde el sitio Web de Symantec, descargue uno de los archivos .daz a su
equipo.
2 En la consola, haga clic en Polticas y despus haga clic en Prevencin de
intrusiones.
3 Bajo Tareas, haga clic en Importar una poltica de prevencin de intrusiones.
4 En el cuadro de dilogo Importar poltica, localice el archivo .daz que guard
en su equipo anteriormente y haga clic en Importar.
5 En el panel Polticas de prevencin de intrusiones, haga doble clic en la
biblioteca importada para abrirla.
6 En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada,
en la lista Firmas para este grupo, es posible modificar la accin de una firma.
8 Cuando termine de configurar esta biblioteca, haga clic en Aceptar.

Puede escribir sus propias firmas para identificar una intrusin especfica y reducir
la posibilidad de firmas que causen un falso positivo. Mientras ms informacin
agregue a una firma personalizada, ms eficaz ser sta.
Cuando se crea una biblioteca personalizada, es posible organizar firmas en grupos
de firmas para administrarlas ms fcilmente. Es necesario agregar, por lo menos,
un grupo de firmas a una biblioteca de firmas personalizadas antes de agregar las
firmas al grupo. Es posible copiar y pegar firmas entre grupos y entre bibliotecas.
Advertencia: Es necesario est familiarizado con los protocolos TCP, UDP o ICMP
antes de desarrollar firmas de prevencin de intrusiones. Una firma
incorrectamente creada puede daar la biblioteca IPS personalizada y la integridad
de los clientes.
Para crear firmas IPS personalizadas, es necesario realizar los pasos siguientes:
Cree una biblioteca IPS personalizada.
Agregue una firma.
Asigne la biblioteca IPS personalizada a un grupo.
Para crear una biblioteca IPS personalizada
1 En la consola, haga clic en Polticas y en Prevencin de intrusiones.
2 Bajo Tareas, haga clic en Agregar firmas de prevencin de intrusiones
personalizada.
escriba un nombre y una descripcin opcional para la biblioteca.
El Grupo NetBIOS es un grupo de firmas de muestra con una firma de ejemplo.
Es posible editar el grupo existente o agregar un nuevo grupo.
4 Para agregar un nuevo grupo, en la ficha Firmas de la lista Grupos de firmas,
5 En el cuadro de dilogo Grupo de firmas de prevencin de intrusiones, escriba
un nombre de grupo y una descripcin opcional, y haga clic en Aceptar.
El grupo est habilitado de forma predeterminada. Si el grupo de firmas est
habilitado, todas las firmas del grupo se habilitan automticamente. Para
conservar el grupo como referencia pero deshabilitado, desactive la opcin
Habilitar este grupo.
6 Agregue una firma personalizada.
Para agregar una firma personalizada

1 Agregue una biblioteca IPS personalizada.
2 En la ficha Firmas, bajo Firmas para este grupo, haga clic en Agregar.
3 En el cuadro de dilogo Agregar firma, escriba un nombre y una descripcin
opcional para la firma.
4 En la lista desplegable Gravedad, seleccione un nivel de gravedad.
Los eventos que coinciden con las condiciones de la firma se registran con
esta gravedad.
5 En la lista desplegable Direccin, especifique la direccin del trfico que desea
que la firma controle.
6 En el campo Contenido, escriba la sintaxis de la firma.
Para obtener ms informacin sobre la sintaxis, haga clic en Ayuda.
7 Si desea que una aplicacin active la firma, haga clic en Agregar.

8 En el cuadro de dilogo Agregar aplicacin, escriba el nombre de archivo y
una descripcin opcional para la aplicacin.
Por ejemplo, para agregar la aplicacin Microsoft Internet Explorer, escriba
el nombre de archivo de las siguientes formas: iexplore o iexplore.exe. Si
no especifica un nombre de archivo, cualquier aplicacin puede activar la
firma.
La aplicacin agregada queda habilitada de forma predeterminada. Si desea
deshabilitar la aplicacin hasta otro momento, deje sin marcar la casilla de
verificacin Habilitada.
10 En el grupo del cuadro Accin, seleccione la accin que desea que el cliente
tome cuando la firma detecta el evento:
Bloquear Identifica y bloquea el evento o el ataque y lo registra en

Permitir Identifica y permite el evento o el ataque y lo registra en

Escribir en el registro de Registra el evento o el ataque en el registro de paquetes.

paquetes

La firma agregada queda habilitada de forma predeterminada. Si desea
deshabilitar la firma hasta otro momento, deje sin marcar la casilla de
verificacin Habilitada.
12 Para agregar firmas adicionales al grupo, repita los pasos del 2 al 11.
Para editar o eliminar una firma, seleccinela y haga clic en Editar o en
Eliminar.
14 Si se le solicita asignar firmas IPS personalizadas a un grupo, haga clic en S.
15 En el cuadro de dilogo Asignar poltica de prevencin de intrusiones,
seleccione los grupos a los que desea asignar la poltica.
16 Haga clic en Asignar y, despus, en S.
Asignar varias bibliotecas IPS personalizadas a un grupo

Despus de crear una biblioteca IPS personalizada, usted la asigna a un grupo en
lugar de a una ubicacin individual. Luego, es posible asignar bibliotecas IPS
personalizadas adicionales al grupo.
Para asignar varias bibliotecas IPS personalizadas a un grupo
2 Bajo Ver clientes, seleccione el grupo al cual desea asignar las firmas
personalizadas y haga clic en la ficha Polticas.
3 Bajo Configuracin y polticas independientes de la ubicacin, haga clic en
Prevencin de intrusiones personalizada.
4 En el cuadro de dilogo Prevencin de intrusiones personalizada para <nombre
de grupo>, marque la casilla Habilitada para cada biblioteca IPS personalizada
que desee asignar a ese grupo.
Modificar el orden de las firmas

El motor IPS para las firmas personalizadas verifica cada firma en el orden en que
aparecen en la lista de firmas. Solamente se puede activar una firma por paquete.
Cuando una firma coincide con un paquete de trfico entrante o saliente, el motor
IPS deja de verificar otras firmas. Para que el motor IPS ejecute las firmas en el
orden correcto, es posible modificar el orden de las firmas en la lista de firmas.
Si coinciden varias firmas, desplace las firmas de mayor prioridad a la parte

superior.
Por ejemplo, si usted agrega un grupo de firmas para bloquear el trfico TCP en
ambas direcciones en el puerto de destino 80, es posible que tenga que agregar
las firmas siguientes:
Bloquear todo el trfico en el puerto 80
Permitir todo el trfico en el puerto 80
Si la firma Bloquear todo el trfico se enumera primero, la firma Permitir todo el
trfico nunca se aplica. Si la firma Permitir todo el trfico se enumera primero,
la firma Bloquear todo el trfico nunca se aplica y todo el trfico HTTP se permite
siempre.
Para modificar el orden de las firmas
1 Abra una biblioteca IPS personalizada.
2 Agregue o edite una firma.
Ver "Para agregar una firma personalizada" en la pgina 557.
3 En la ficha Firmas, en la tabla Firmas para este grupo, seleccione la firma que
usted desea mover y realice una de las siguientes acciones:
Para procesar esta firma antes que la firma que est sobre ella, haga clic
en Subir.
Para procesar esta firma despus de la firma que est debajo de ella, haga
clic en Bajar.
Copiar y pegar firmas

Es posible copiar y pegar firmas dentro del mismo grupo de firmas, entre grupos
de firmas o entre bibliotecas de firmas. Por ejemplo, podra notar que agreg una
firma en el grupo de firmas incorrecto. O es posible que haya dos firmas que son
casi idnticas.
Para copiar y pegar firmas
1 Abra una biblioteca IPS personalizada.
2 Agregue o edite una firma.
en la ficha Firmas, en la tabla Firmas para este grupo, haga clic con el botn
secundario en la firma que desea copiar. A continuacin, haga clic en Copiar.
4 Haga clic con el botn secundario en la lista de firmas y, despus, haga clic
en Pegar.
Definir variables para las firmas

Cuando se agrega una firma IPS personalizada, es posible utilizar variables para
representar los datos modificables en las firmas. Si los datos cambian, es posible
editar la variable en vez de editar las firmas en la biblioteca.
Antes de que pueda utilizar las variables de la firma, es necesario definirlas. Las
variables que usted defina en la biblioteca personalizada de firmas se pueden
utilizar en cualquier firma de esa biblioteca.
Es posible copiar y pegar el contenido de la variable de ejemplo existente para
utilizar como base para crear contenido.
Para definir variables
1 Cree una biblioteca IPS personalizada.
haga clic en la ficha Variables.
3 Haga clic en Agregar.
4 En el cuadro de dilogo Agregar variable, escriba un nombre y una descripcin
opcional para la variable.
5 Agregue una cadena de contenido para el valor variable, de hasta 255
caracteres.
Cuando escriba la cadena variable de contenido, siga las mismas guas de
sintaxis que se utilizan para escribir valores en el contenido de la firma.
Despus de agregar la variable a la tabla, es posible utilizar la variable en
cualquier firma de la biblioteca personalizada.
Para utilizar variables en firmas

1 En la ficha Firmas, agregue o edite una firma.
2 En el cuadro de dilogo Agregar firma o Editar firma, en el campo Contenido,
escriba el nombre de la variable con un signo de dlar ($) delante de ella.
Por ejemplo, si usted crea una variable llamada HTTP para especificar puertos
HTTP, escriba lo siguiente:
$HTTP

Captulo 36
Personalizar la proteccin
Habilitar e deshabilitar Proteccin contra amenazas de red
Configurar las opciones de proteccin contra amenazas de red para el control

mixto
Agregar hosts y grupos de hosts
Editar y eliminar grupos de hosts
Agregar hosts y grupos de hosts a una norma
Agregar servicios de red
Editar y eliminar servicios de red personalizados
Agregar servicios de red a una norma
Agregar adaptadores de red
Agregar adaptadores de red a una norma
Editar y eliminar adaptadores de red personalizados
Agregar aplicaciones a una norma
Agregar programaciones a una norma
Configurar notificaciones de proteccin contra amenazas de red
Configurar la supervisin de aplicaciones de red

564 Personalizar la proteccin contra amenazas de red
Habilitar e deshabilitar Proteccin contra amenazas de red
Habilitar e deshabilitar Proteccin contra amenazas

de red
De forma predeterminada, la proteccin contra amenazas de red est habilitada.
Es posible deshabilitar la proteccin contra amenazas de red en equipos
seleccionados. Por ejemplo, puede ser necesario instalar un parche en los equipos
cliente que haran que el firewall bloquee la instalacin.
Si deshabilita la proteccin contra amenazas de red, sta se habilitar
automticamente cuando suceda lo siguiente:
El usuario cierra y reinicia el equipo cliente.
La ubicacin del cliente cambia de control del servidor a control del cliente.
Se configur el cliente para habilitar la proteccin despus de cierto perodo.
Se descarga en el cliente una nueva poltica de seguridad que habilita la
proteccin.
Es posible tambin habilitar manualmente la proteccin contra amenazas de red
desde los registros de estado del equipo.
Puede tambin otorgar al usuario del equipo cliente permisos para habilitar o
deshabilitar la proteccin. Sin embargo, es posible anular la configuracin del
cliente. O es posible deshabilitar la proteccin en el cliente, incluso si los usuarios
la han habilitado. Se puede habilitar la proteccin incluso si los usuarios la han
deshabilitado.
Para habilitar e deshabilitar la proteccin contra amenazas de red para un grupo
2 Bajo Ver clientes, seleccione un grupo para el cual desee habilitar o
deshabilitar la proteccin.
Para todos los equipos y usuarios del grupo, haga clic con el botn
secundario en el grupo, haga clic en Ejecutar comando en el grupo y
despus en Habilitar proteccin contra amenazas de red o Inhabilitar
proteccin contra amenazas de red.
Para los usuarios o los equipos seleccionados dentro de un grupo, haga
clic en la ficha Clientes y seleccione los usuarios o los equipos. A
continuacin, haga clic con el botn secundario en la seleccin y haga clic
Personalizar la proteccin contra amenazas de red 565
Configurar las opciones de proteccin contra amenazas de red para el control mixto
en Ejecutar comando en los clientes > Habilitar proteccin contra

amenazas de red o Inhabilitar proteccin contra amenazas de red.
4 Para confirmar la accin, haga clic en S.

Configurar las opciones de proteccin contra

amenazas de red para el control mixto
Es posible configurar el cliente de modo que los usuarios no tengan ningn control,
tengan pleno control o tengan control limitado sobre las opciones de Proteccin
contra amenazas de red que pueden configurar. Cuando configure el cliente, utilice
las pautas siguientes:
Si configura el cliente para que sea controlado por el servidor, el usuario no
podr crear ninguna norma de firewall ni habilitar opciones de firewall y de
Si configura el cliente para que sea controlado por el cliente, el usuario puede
crear normas de firewall y habilitar todas las opciones de firewall y de
Si configura el cliente para que tenga un control mixto, el usuario puede crear
normas de firewall y usted decide qu opciones de firewall y de prevencin de
intrusiones puede habilitar el usuario.
Para configurar las opciones de proteccin contra amenazas de red para el control
mixto
2 Bajo Ver clientes, seleccione el grupo con el nivel de control de usuario que
usted desea modificar y haga clic en Polticas.
3 En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin,
bajo una ubicacin, expanda Configuracin especfica de la ubicacin.
5 En el cuadro de dilogo Configuracin del modo de control, haga clic en
Control mixto y despus haga clic en Personalizar.
6 En la ficha Configuracin de control de clientes y servidores, bajo la categora
de Poltica de firewall y Poltica de prevencin de intrusiones, realice una de
las siguientes acciones:
Para hacer que una opcin del cliente est disponible para que los usuarios
la configuren, haga clic en Cliente.
Para configurar una opcin del cliente, haga clic en Servidor.

8 Para cada opcin de firewall y de prevencin de intrusiones que usted
establezca en Servidor, habilite o deshabilite la opcin en la poltica de firewall
o de prevencin de intrusiones.
Ver "Configurar la prevencin de intrusiones" en la pgina 549.

Un grupo de hosts es una coleccin de nombres de dominio DNS, nombres de host
DNS, direcciones IP, intervalos de IP, direcciones MAC o subredes que se agrupan
bajo un nombre. El propsito de los grupos de hosts es eliminar la necesidad de
volver a escribir direcciones y nombres de hosts. Por ejemplo, es posible agregar
varias direcciones IP una por vez a una norma de firewall. O es posible agregar
varias direcciones IP a un grupo de hosts y, despus, agregar el grupo a la norma
de firewall.
A medida que se incorporan grupos de hosts, es necesario describir dnde se
utilizan los grupos. Si decide posteriormente eliminar un grupo de hosts, antes
ser necesario eliminar el grupo de hosts de todas las normas que hagan referencia
a l.
Cuando se agrega un grupo de hosts, ste aparece en la parte inferior de la lista
Hosts. Es posible acceder a la lista Hosts desde el campo Host de una norma de
firewall.
Ver "Acerca de los activadores de hosts" en la pgina 529.
Para crear grupos de hosts
1 En la consola, haga clic en Polticas > Componentes de polticas > Grupos
de hosts.
2 Bajo Tareas, haga clic en Agregar un grupo de hosts.
3 En el cuadro de dilogo Grupo de hosts, escriba un nombre y haga clic en
Agregar.
4 En el cuadro de dilogo Host, en la lista desplegable Tipo, seleccione uno de
los siguientes tipos de hosts:
Dominio DNS
Host DNS
Direccin IP
Intervalo de IP
Direccin MAC
Subred
5 Escriba la informacin apropiada para cada tipo de host.

7 Agregue hosts adicionales, si es necesario.

Es posible editar o eliminar cualquier grupo de hosts personalizado que usted
haya agregado. No es posible editar o eliminar un grupo de hosts predeterminado.
Antes de que pueda eliminar un grupo de hosts personalizado, es necesario quitar
el grupo de hosts de todas las normas que se refieren al grupo. La configuracin
que usted edita se cambia en todas las normas que se refieren al grupo.
Para editar los grupos de hosts
de hosts.
2 En el panel Grupos de hosts, seleccione el grupo de hosts que desea editar.
3 Bajo Tareas, haga clic en Editar el grupo de hosts.
4 En el cuadro de dilogo Grupo de hosts, edite el nombre del grupo (opcional),
seleccione un host y, a continuacin, haga clic en Editar.
Para quitar el host del grupo, haga clic en Eliminar y, luego, en S.
5 En el cuadro de dilogo Host, modifique el tipo de hosts o edite la configuracin
de hosts.
Para eliminar los grupos de hosts

de hosts.
2 En el panel Grupos de hosts, seleccione el grupo de hosts que desea eliminar.
3 Bajo Tareas, haga clic en Eliminar el grupo de hosts.
4 Cuando se le solicite confirmacin, haga clic en Eliminar.

Para bloquear trfico hacia un servidor especfico, o desde l, bloquee el trfico
mediante la direccin IP en lugar de por nombre de dominio o nombre del host.
Si no, el usuario puede acceder al equivalente de la direccin IP del nombre de
host.
Para agregar hosts y grupos de hosts a una norma
3 En la ficha Normas, en la lista Normas, seleccione la norma que desea editar,
haga clic con el botn secundario en el campo Host y despus haga clic en
Editar.
4 En el cuadro de dilogo Lista de hosts, realice una de las siguientes acciones:
Haga clic en Origen o destino.
Haga clic en Local o remoto.
5 En las tablas Origen y Destino o Local y remota, realice una de las siguientes
tareas:
Para habilitar un grupo de hosts que se haya agregado a travs de la lista
Componentes de polticas, vaya al paso 10.
Ver "Agregar hosts y grupos de hosts" en la pgina 566.
Para agregar un host para la norma seleccionada solamente, haga clic en
Agregar.
6 En el cuadro de dilogo Host, seleccione un tipo de host de la lista desplegable

Tipo y escriba la informacin apropiada para cada tipo de host.
Para obtener informacin ms detallada sobre cada opcin en este cuadro de
dilogo, haga clic en Ayuda.
8 Agregue hosts adicionales, si es necesario.

9 En el cuadro de dilogo Lista de hosts, para cada host o grupo de hosts que
desee que active la norma de firewall, asegrese de que la casilla Habilitada
est marcada.
10 Haga clic en Aceptar para volver a la lista Normas.

Los servicios de red permiten que los equipos conectados enven y reciban
mensajes, compartan archivos e impriman. Un servicio de red utiliza uno o ms
protocolos o puertos para transmitir un tipo de trfico especfico. Por ejemplo, el
servicio HTTP utiliza los puertos 80 y 443 en el protocolo TCP. Es posible crear
una norma de firewall que permita o bloquee los servicios de red.
La lista de servicios de red elimina la necesidad de volver a escribir un protocolo
y un puerto para cada norma que usted cree. Es posible seleccionar un servicio de
red de una lista predeterminada de servicios de red de uso general. Es posible
entonces agregar el servicio de red a la norma de firewall. Es posible tambin
agregar servicios de red a la lista predeterminada.
Nota: IPv4 e IPv6 son los dos protocolos de nivel de red que se utilizan en Internet.
El firewall bloquea los ataques que viajan con IPv4, pero no con IPv6. Si instala
el cliente en los equipos que ejecutan Microsoft Vista, la lista Normas incluye una
norma predeterminada que bloquea el tipo de protocolo Ethernet IPv6. Si quita
la norma predeterminada, deber crear una norma que bloquee IPv6.
Si desea permitir o bloquear un servicio de red que no est en la lista

predeterminada, es posible agregarlo. Es necesario estar familiarizado con el tipo
de protocolo y los puertos que el servicio utiliza.
Para agregar un servicio de red personalizado que sea accesible desde cualquier
norma de firewall, usted debe agregarlo mediante la lista Componentes de polticas.
Para agregar un servicio de red personalizado a la lista predeterminada
1 En la consola, haga clic en Polticas > Componentes de polticas > Servicios
de red.
2 Bajo Tareas, haga clic en Agregar un servicio de red.
3 Haga clic en Agregar un servicio.
4 En el cuadro de dilogo Servicio de red, escriba un nombre para el servicio y
5 De la lista desplegable Protocolo, seleccione uno de los siguientes protocolos:
TCP
UDP
ICMP
IP
Ethernet
Las opciones se modifican de acuerdo con el protocolo que usted selecciona.
Para obtener ms informacin, haga clic en Ayuda.
6 Complete los campos apropiados y haga clic en Aceptar.
7 Agregue uno o ms protocolos adicionales, segn sea necesario.
Es posible agregar el servicio a cualquier norma de firewall.

Es posible editar o eliminar cualquier servicio de red personalizado que usted
haya agregado. No es posible editar o eliminar un servicio de red predeterminado.
Antes de eliminar un servicio de red personalizado, es necesario quitarlo de todas
las normas que hacen referencia a l.
Para editar servicios de red personalizados
de red.
2 En el panel Servicios de red, seleccione el servicio que desea editar.
3 Bajo Tareas, haga clic en Editar el servicio de red.
4 En el cuadro de dilogo Servicio de red, modifique el nombre del servicio o
seleccione el protocolo y haga clic en Editar.
5 Modifique la configuracin del protocolo.
Para obtener informacin acerca de las opciones en este cuadro de dilogo,
haga clic en Ayuda.
Para eliminar servicios de red personalizados

de red.
2 En el panel Servicios de red, seleccione el servicio que desea eliminar.
3 Bajo Tareas, haga clic en Eliminar el servicio de red.
4 Cuando se le solicite confirmacin, haga clic en S.

Es posible agregar un servicio de red personalizado mediante una norma de
firewall. Sin embargo, el servicio de red no se agrega a la lista predeterminada.
No es posible acceder al adaptador personalizado desde otras normas.
Para agregar servicios de red a una norma
haga clic con el botn secundario en el campo Servicio y despus haga clic en
Editar.
4 En el cuadro de dilogo Lista de servicios, marque la casilla de verificacin
de Habilitar para cada servicio que desee que active la norma.
5 Para agregar un servicio adicional solamente para la norma seleccionada,
6 En el cuadro de dilogo Protocolo, seleccione un protocolo de la lista
desplegable Protocolo.
7 Complete los campos apropiados.
Agregar adaptadores de red

Es posible aplicar una norma de firewall separada a cada adaptador de red. Por
ejemplo, es posible bloquear trfico con una VPN en una ubicacin de la oficina,
pero no en una ubicacin domstica.
Es posible seleccionar un adaptador de red de una lista predeterminada que est

compartida por varias normas y polticas de firewall. Los adaptadores ms comunes
se incluyen en la lista predeterminada de la lista Componentes de polticas. Los
adaptadores comunes incluyen adaptadores de VPN, Ethernet, inalmbricos, Cisco,
Nortel y Enterasys. Utilice la lista predeterminada de modo que no sea necesario
volver a escribir cada adaptador de red para cada norma que cree.
Nota: El cliente no filtra ni detecta trfico de red de los dispositivos PDA (ayudante
personal digital).
Para agregar un adaptador de red personalizado a la lista predeterminada

1 En la consola, haga clic en Polticas > Componentes de polticas >
Adaptadores de red.
2 Bajo Tareas, haga clic en Agregar un adaptador de red.
3 En el cuadro de dilogo Adaptador de red, haga clic en la lista desplegable
Tipo de adaptador y seleccione un adaptador.
4 En el campo Nombre del adaptador, escriba opcionalmente una descripcin.
5 En el cuadro de texto Identificacin del adaptador, escriba la marca del
adaptador, con diferenciacin entre maysculas y minsculas.
Para encontrar la marca del adaptador, abra una lnea de comandos en el
cliente y escriba el texto siguiente:
ipconfig/all.

Es posible entonces agregar el adaptador a cualquier norma de firewall.

Es posible agregar un adaptador de red personalizado desde una norma de firewall.
Sin embargo, ese adaptador no se agrega a la lista compartida. No es posible
acceder al adaptador personalizado desde ninguna otra norma.
Para agregar un adaptador de red a una norma

haga clic con el botn secundario en el campo Adaptador y despus haga clic
en Ms adaptadores.
4 En el cuadro de dilogo Adaptador, realice una de las siguientes acciones:
Para activar la norma para cualquier adaptador, incluso si no est en la
lista, haga clic en Aplicar la norma a todos los adaptadores y despus
vaya al paso 8.
Para activar la norma para los adaptadores seleccionados, haga clic en
Aplicar la norma a los siguientes adaptadores y despus marque la casilla
de verificacin Habilitado para cada adaptador que desee que active la
norma.
5 Para agregar un adaptador personalizado para la norma seleccionada

solamente, haga clic en Agregar.
6 En el cuadro de dilogo Adaptador de red, seleccione el tipo de adaptador y
escriba la marca del adaptador en el campo de texto Identificacin del
adaptador.

Es posible editar o eliminar cualquier adaptador de red personalizado que usted
haya agregado. No es posible editar o eliminar un adaptador de red predeterminado.
Antes de eliminar un adaptador personalizado, es necesario quitarlo de todas las
normas que se refieren al adaptador. La configuracin que usted edita se cambia
en todas las normas que se refieren al adaptador.
Para editar un adaptador de red personalizado
Adaptadores de red.
2 En el panel Adaptadores de red, seleccione el adaptador personalizado que
desea editar.
3 Bajo Tareas, haga clic en Editar el adaptador de red.
4 En el cuadro de dilogo Adaptadores de red, modifique el tipo, el nombre o el
texto de identificacin del adaptador.
Para eliminar un adaptador de red personalizado

Adaptadores de red.
2 En el panel Adaptadores de red, seleccione el adaptador personalizado que
desea eliminar.
3 Bajo Tareas, haga clic en Eliminar el adaptador de red.
4 Cuando se le solicite confirmacin, haga clic en S.

Es posible definir informacin sobre las aplicaciones que los clientes ejecutan e
incluir esta informacin en una norma de firewall. Por ejemplo, es posible que
desee permitir versiones anteriores de Microsoft Word.
Es posible definir aplicaciones de las siguientes maneras:
Es posible definir las caractersticas de una aplicacin escribiendo la
informacin manualmente. Si no tiene suficiente informacin, puede buscarla
en la lista de aplicaciones incorporadas.
Es posible definir las caractersticas de una aplicacin buscando en la lista de
aplicaciones incorporadas. Las aplicaciones de la lista de aplicaciones
incorporadas son las aplicaciones que los equipos cliente de su red ejecutan.
Para definir aplicaciones
2 En la pgina Polticas de firewall, haga clic en Normas.
3 En la ficha Normas, en la lista Normas, haga clic con el botn secundario en
el campo Aplicacin y despus haga clic en Editar.
4 En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar.
5 En el cuadro de dilogo Agregar aplicacin, escriba uno o varios de los campos
siguientes:
Ruta y nombre de archivo
Descripcin
Tamao, en bytes
Fecha en que la aplicacin fue modificada por ltima vez
Huella digital de archivos

Para buscar aplicaciones en la lista de aplicaciones incorporadas
1 En la pgina Polticas de firewall, haga clic en Normas.
2 En la ficha Normas, seleccione una norma, haga clic con el botn secundario
en el campo Aplicacin y despus haga clic en Editar.
3 En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar desde.
4 En el cuadro de dilogo Buscar aplicaciones, busque una aplicacin.
Ver "Buscar aplicaciones" en la pgina 442.
5 Bajo la tabla de Resultados de la consulta, para agregar la aplicacin a la lista
Aplicaciones, seleccione la aplicacin, haga clic en Agregar y, a continuacin,
en Aceptar.

Es posible configurar un plazo en el que una norma est activa o inactiva.
Para agregar programaciones a una norma
3 En la ficha Normas, seleccione la norma que desea editar, haga clic con el
botn secundario en el campo Hora y despus haga clic en Editar.
4 En la Lista de programacin, haga clic en Agregar.
5 En el cuadro de dilogo Agregar programacin, configure el momento de
inicio y finalizacin durante el que la norma estar activa o inactiva.
6 En la lista desplegable Mes, seleccione Todos o un mes especfico.
7 Marque una de las siguientes casillas de verificacin:
Todos los das
Fines de semana
Das de semana
Especificar das
Si marca Especificar das, elija uno o varios de los das mencionados.

9 En la Lista de programacin, realice una de las siguientes acciones:
Para mantener la norma activada durante este tiempo, deje sin marcar la
casilla Cualquier momento excepto.
Para dejar la norma inactiva durante este tiempo, marque la casilla
Cualquier momento excepto.
Configurar notificaciones de proteccin contra

amenazas de red
De forma predeterminada, aparecen notificaciones en los equipos cliente cuando
el cliente detecta varios eventos de proteccin contra amenazas de red. Es posible
habilitar algunas de estas notificaciones. Las notificaciones habilitadas muestran
un mensaje estndar. Es posible agregar texto personalizado al mensaje estndar.
La Tabla 36-1 muestra los tipos de eventos que usted puede habilitar y configurar.
Tabla 36-1 Notificaciones de proteccin contra amenazas de red
Tipo de notificacin Tipo de Descripcin

notificacin
Mostrar notificacin en el Firewall Una norma de firewall en el cliente bloquea

equipo cuando el cliente una aplicacin. Es posible habilitar o
bloquea una aplicacin deshabilitar esta notificacin y agregarle
texto adicional.
Texto adicional que se Firewall Las aplicaciones del cliente intentan acceder
mostrar si la accin para a la red. Esta notificacin est siempre
una norma de firewall es habilitada y no puede deshabilitarse.
Preguntar
Mostrar notificaciones de Prevencin de El cliente detecta un ataque de prevencin de

prevencin de intrusiones intrusiones intrusiones. Es posible habilitar o deshabilitar
esta notificacin en el control del servidor o
mixto.
Para configurar notificaciones de firewall

2 En la pgina de Poltica de firewall, haga clic en Normas y despus haga clic
en Notificaciones.
3 En la ficha Notificaciones, marque Mostrar notificacin en el equipo cuando
el cliente bloquea una aplicacin.
4 Para agregar texto personalizado al mensaje estndar que aparece cuando la
accin de una norma es Preguntar, marque Texto adicional que se mostrar
si la accin para una norma de firewall es Preguntar.
5 Para cualquier notificacin, haga clic en Establecer texto adicional.
6 En el cuadro de dilogo Introducir texto adicional, escriba el texto adicional
que desea mostrar en la notificacin y despus haga clic en Aceptar.
Para configurar notificaciones de prevencin de intrusiones
1 En la consola, haga clic en Clientes y bajo Ver clientes, seleccione un grupo.
2 Haga clic en Polticas.
3 En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin,
bajo una ubicacin, expanda Configuracin especfica de la ubicacin.
5 En el cuadro de dilogo Configuracin de los controles de la interfaz del
usuario del cliente para <nombre de grupo>, haga clic en Control mixto o
Control de servidores.
6 Al lado de Control mixto o de Control de servidores, haga clic en Personalizar.
Si hizo clic en Control mixto, en la ficha Configuracin del control de
clientes y servidores, al lado de Mostrar/ocultar notificaciones de
prevencin de intrusiones, haga clic en Servidor. A continuacin, haga
clic en la ficha Configuracin de la interfaz de usuario del cliente.
7 En el cuadro de dilogo o la ficha Configuracin de la interfaz de usuario del

cliente, haga clic en Mostrar notificaciones de prevencin de intrusiones.
8 Para habilitar una seal sonora cuando aparece la notificacin, haga clic en
Usar sonido al notificar a los usuarios.
9 En el campo de texto Nmero de segundos que se deben mostrar las

notificaciones, escriba el nmero de segundos durante los que usted quisiera
que la notificacin apareciera.
10 Para agregar texto a la notificacin estndar que aparece, haga clic en Texto
adicional.
11 En el cuadro de dilogo Texto adicional, escriba el texto adicional que desea
mostrar en la notificacin y despus haga clic en Aceptar.
Configurar mensajes de correo electrnico para eventos de trfico

Es posible configurar Symantec Endpoint Protection Manager para que enve un
mensaje de correo electrnico cada vez que el firewall detecta una violacin de
norma, un ataque o un evento. Por ejemplo, es posible saber cundo un cliente
bloquea el trfico proveniente de una direccin IP determinada.
Para configurar los mensajes de correo electrnico para los eventos de trfico
3 En la ficha Normas, seleccione una norma, haga clic con el botn secundario
en el campo Registro y haga lo siguiente:
Para enviar un mensaje de correo electrnico cuando se activa una norma
de firewall, marque Enviar alerta de correo electrnico.
Para generar un evento de registro cuando se activa una norma de firewall,
marque Escribir en el registro de trfico y Escribir en el registro de
paquetes.

5 Configure una alerta de seguridad.
6 Configure un servidor de correo.
Ver "Establecer comunicacin entre Symantec Endpoint Protection Manager
y servidores de correo" en la pgina 300.

Es posible configurar el cliente para que detecte y supervise cualquier aplicacin
que se ejecute en el equipo cliente y que est conectada. Las aplicaciones de red
envan y reciben trfico. El cliente detecta si el contenido de una aplicacin se
modifica.
El contenido de una aplicacin se modifica por los motivos siguientes:
Un caballo de Troya atac la aplicacin.
La aplicacin fue actualizada con una nueva versin o una actualizacin.
Si sospecha que un caballo de Troya ha atacado una aplicacin, es posible utilizar
la supervisin de aplicaciones de red a fin de configurar el cliente para que bloquee
la aplicacin. Es posible tambin configurar el cliente para que pregunte a los
usuarios si desean permitir o bloquear la aplicacin.
La supervisin de aplicaciones de red sigue el comportamiento de una aplicacin
en el Registro de seguridad. Si el contenido de una aplicacin se modifica con
demasiada frecuencia, es probable que un caballo de Troya haya atacado la
aplicacin y que el equipo cliente no sea seguro. Si el contenido de una aplicacin
se modifica con menor frecuencia, es probable que se haya instalado un parche y
que el equipo cliente sea seguro. Es posible utilizar esta informacin para crear
una norma de firewall que permita o bloquee una aplicacin.
Es posible agregar aplicaciones a una lista, de modo que el cliente no las supervise.
Puede excluir las aplicaciones que usted piense que estn a salvo de un ataque de
caballo de Troya, pero que tengan actualizaciones frecuentes y automticas de
parches.
Es posible deshabilitar la supervisin de aplicaciones de red si usted confa en que
los equipos cliente reciben proteccin adecuada contra virus y software espa.
Puede tambin querer reducir al mnimo el nmero de notificaciones que solicitan
a los usuarios que permitan o bloqueen una aplicacin de red.
Para configurar la supervisin de aplicaciones de red
2 Bajo Ver clientes, seleccione un grupo y haga clic en Polticas.
3 En la ficha Polticas, bajo Configuracin y polticas independientes de la
ubicacin, haga clic en Supervisin de aplicaciones de red.
4 En el cuadro de dilogo Supervisin de aplicaciones de red para <nombre de
grupo>, haga clic en Habilitar supervisin de aplicaciones de red.
5 En la lista desplegable Cuando se detecta un cambio en una aplicacin,

seleccione la accin que el firewall realizar sobre la aplicacin que se ejecuta
en el cliente:
Preguntar
Pregunta al usuario si desea permitir o bloquear la aplicacin.
Bloquear trfico
Bloquea la ejecucin de la aplicacin.
Permitir y registrar
Permite que se ejecute la aplicacin y registra la informacin en el Registro
de seguridad.
El firewall toma esta medida solamente sobre las aplicaciones que se han
modificado.
6 Si seleccion Preguntar, haga clic en Texto adicional.

7 En el cuadro de dilogo Texto adicional, escriba el texto que desea mostrar
bajo el mensaje estndar y despus haga clic en Aceptar.
8 Para excluir una aplicacin de la supervisin, bajo Lista de aplicaciones sin
supervisin, realice una de las siguientes acciones:
Para definir una aplicacin manualmente, haga clic en Agregar, complete
uno o ms campos y despus haga clic en Aceptar.
Para definir una aplicacin desde una lista de aplicaciones incorporadas,
haga clic en Agregar desde.
Ver "Buscar aplicaciones" en la pgina 442.
La funcin de incorporacin de aplicaciones debe estar habilitada.
Ver "Habilitar aplicaciones aprendidas" en la pgina 440.
La lista de aplicaciones incorporadas supervisa las aplicaciones de red y las
que no estn conectadas. Es necesario seleccionar aplicaciones de red
solamente de la lista de aplicaciones incorporadas. Despus de agregar
aplicaciones a la Lista de aplicaciones sin supervisin, es posible habilitarlas,
deshabilitarlas, editarlas o eliminarlas.
9 Para habilitar o deshabilitar una aplicacin, marque la casilla Habilitada.
Seccin 6
Configurar anlisis de amenazas proactivos
Administrar Polticas de control de aplicaciones y dispositivos
Configurar dispositivos de hardware
Personalizar polticas de control de aplicaciones y de dispositivos

582
Captulo 37
Configurar anlisis de
amenazas proactivos
Acerca del uso de la configuracin predeterminada de Symantec
Acerca de los procesos que los anlisis de amenazas proactivos detectan
Acerca de la administracin de falsos positivos detectados por los anlisis de

amenazas proactivos
Acerca de los procesos que los anlisis de amenazas proactivos ignoran
Cmo funcionan los anlisis de amenazas proactivos con la Cuarentena
Cmo funcionan los anlisis de amenazas proactivos con excepciones

centralizadas
Informacin sobre las detecciones de amenazas proactivas
Configurar la frecuencia del anlisis de amenazas proactivo
Configurar notificaciones para anlisis de amenazas proactivos

El anlisis de amenazas proactivo proporciona un nivel adicional de proteccin a
su equipo. El anlisis de amenazas proactivo complementa sus tecnologas
antivirus, de software espa de prevencin de intrusiones y de proteccin del
firewall existentes.
584 Configurar anlisis de amenazas proactivos
Acerca del uso de la configuracin predeterminada de Symantec
Los anlisis antivirus y de software espa dependen sobre todo de firmas para
detectar amenazas conocidas. Los anlisis de amenazas proactivos utilizan la
heurstica para detectar amenazas desconocidas. Los anlisis de procesos
heursticos analizan el comportamiento de una aplicacin o un proceso. El anlisis
determina si el proceso exhibe caractersticas de amenazas, tales como caballos
de Troya, gusanos o registradores de pulsaciones. Este tipo de proteccin se
denomina a veces proteccin contra ataques de da cero.
Nota: Auto-Protect tambin utiliza un tipo de heurstica llamada Bloodhound para

detectar comportamientos sospechosos en archivos. Los anlisis de amenazas
proactivos detectan comportamientos sospechosos en procesos activos.
Se incluye la configuracin sobre anlisis de amenazas proactivos como parte de

una poltica antivirus y contra software espa. Muchas de las opciones de
configuracin pueden ser bloqueadas de modo que los usuarios en los equipos
cliente no puedan modificar la configuracin.
Es posible configurar las siguientes opciones:
Qu tipos de amenazas debe buscar el anlisis
Con qu frecuencia ejecutar anlisis de amenazas proactivos
Independientemente de si las notificaciones deben aparecer en el equipo cliente
cuando ocurre una deteccin de una amenaza proactiva
Se habilita Proteccin proactiva contra amenazas cuando se habilitan las opciones
Analizar en busca de caballos de Troya y gusanos, o Analizar en busca de
registradores de pulsaciones. Si se deshabilita cualquier opcin, la pgina de estado
en el cliente de Symantec Endpoint Protection muestra la proteccin proactiva
contra amenazas como deshabilitada.
El anlisis de amenazas proactivo est habilitado de forma predeterminada.
Nota: Puesto que los anlisis de amenazas proactivos analizan aplicaciones y

procesos en busca de anomalas en el comportamiento, pueden afectar el
rendimiento de su equipo.
Acerca del uso de la configuracin predeterminada

de Symantec
Es posible decidir cmo desea administrar las detecciones de amenazas proactivas.
Es posible utilizar la configuracin predeterminada de Symantec o especificar el
nivel de sensibilidad y la accin de deteccin.
Configurar anlisis de amenazas proactivos 585
Si elige permitir que Symantec administre las detecciones, el software de cliente

determina la accin y el nivel de sensibilidad. El motor de anlisis que se ejecuta
en el equipo cliente determina la configuracin predeterminada. Si elige
administrar las detecciones personalmente, puede configurar una sola accin de
deteccin y un nivel de sensibilidad especfico.
Para reducir al mnimo las detecciones positivas falsas, Symantec recomienda
utilizar la configuracin predeterminada de Symantec inicialmente. Despus de
cierto tiempo, es posible observar el nmero de falsos positivos que los clientes
detectan. Si el nmero es bajo, se puede ajustar la configuracin del anlisis de
amenazas proactivo gradualmente. Por ejemplo, para la deteccin de caballos de
Troya y gusanos, es posible mover el control deslizante para aumentar levemente
la sensibilidad predeterminada. Es posible observar los resultados de los anlisis
de amenazas proactivos que se ejecutan despus de establecer la nueva
configuracin.
Ver "Informacin sobre las detecciones de amenazas proactivas" en la pgina 592.
Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos
de Troya, gusanos y registradores de pulsaciones" en la pgina 595.
Acerca de los procesos que los anlisis de amenazas

proactivos detectan
Los anlisis de amenazas proactivos detectan los procesos que se comportan como
caballos de Troya, gusanos o registradores de pulsaciones. Los procesos exhiben
tpicamente un tipo de comportamiento que una amenaza puede explotar, por
ejemplo, la apertura de un puerto en el equipo de un usuario.
Es posible configurar las opciones para algunos tipos de detecciones de amenazas
proactivas. Es posible habilitar o deshabilitar la deteccin de procesos que se
comporten como caballos de Troya, gusanos o registradores de pulsaciones. Por
ejemplo, es posible que necesite detectar los procesos que se comportan como
caballos de Troya y gusanos, pero no los procesos que se comportan como
aplicaciones de registradores de pulsaciones.
Symantec tambin mantiene una lista de aplicaciones comerciales que se podran
utilizar para propsitos maliciosos. La lista incluye las aplicaciones comerciales
que registran las pulsaciones del teclado del usuario. Tambin incluye las
aplicaciones que controlan un equipo cliente de forma remota. Es posible que
desee saber si estos tipos de aplicaciones estn instaladas en los equipos cliente.
De forma predeterminada, los anlisis de amenazas proactivos detectan estas
aplicaciones y registran el evento. Es posible especificar diversas acciones de
reparacin.
Es posible configurar el tipo de accin que el cliente efecta cuando detecta tipos
determinados de aplicaciones comerciales. Las detecciones incluyen las
aplicaciones comerciales que supervisan o registran las pulsaciones del teclado
de un usuario o que controlan el equipo de un usuario remotamente. Si un anlisis
detecta un registrador de pulsaciones comercial o un programa de control remoto
comercial, el cliente utiliza la accin configurada en la poltica. Es posible tambin
permitir que el usuario controle las acciones.
Los anlisis de amenazas proactivos tambin detectan los procesos que se
comportan como aplicaciones de publicidad no deseada y software espa. No es
posible configurar cmo los anlisis de amenazas proactivos manejan estos tipos
de detecciones. Si los anlisis de amenazas proactivos detectan publicidad no
deseada o software espa que usted desea permitir en sus equipos cliente, debe
crear una excepcin centralizada.
La Tabla 37-1 describe los procesos que los anlisis de amenazas proactivos
detectan.
Tabla 37-1 Procesos detectados por los anlisis de amenazas proactivos
Tipo de procesos Descripcin
Caballos de Troya y Procesos que exhiben caractersticas de caballos de Troya o de

gusanos gusanos.
Los anlisis de amenazas proactivos utilizan la heurstica para

buscar los procesos que se comportan como caballos de Troya
o gusanos. Estos procesos pueden ser amenazas o no.
Registradores de Procesos que exhiben caractersticas de registradores de

pulsaciones pulsaciones.
Los anlisis de amenazas proactivos detectan registradores de

pulsaciones comerciales, pero tambin detectan procesos
desconocidos que exhiban comportamiento de registrador de
pulsaciones. Los registradores de pulsaciones son las
aplicaciones que capturan las pulsaciones del teclado de los
usuarios. Estas aplicaciones se pueden utilizar para recopilar
informacin sobre contraseas y otra informacin vital. Pueden
ser amenazas o no.
Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos
Tipo de procesos Descripcin
Aplicaciones comerciales Aplicaciones comerciales conocidas que se pueden utilizar con

propsitos maliciosos.
Los anlisis de amenazas proactivos detectan varios tipos de

aplicaciones comerciales. Es posible configurar acciones para
dos tipos: registradores de pulsaciones y programas de control
remoto.
Publicidad no deseada y Procesos que exhiben caractersticas de publicidad no deseada

software espa y de software espa.
Los anlisis de amenazas proactivos utilizan la heurstica para

detectar procesos desconocidos que se comportan como
publicidad no deseada y software espa. Estos procesos pueden
ser riesgos o no.
Es posible configurar si el software de cliente enva informacin sobre detecciones

de amenazas proactivas a Symantec. Se incluye esta opcin como parte de una
Ver "Enviar informacin sobre anlisis a Symantec" en la pgina 485.
Acerca de la administracin de falsos positivos

detectados por los anlisis de amenazas proactivos
Los anlisis de amenazas proactivos a veces detectan falsos positivos. Estos anlisis
buscan aplicaciones y procesos con comportamiento sospechoso en lugar de virus
o riesgos de seguridad conocidos. Por su naturaleza, estos anlisis sealan
tpicamente elementos que podra no ser necesario detectar.
Para la deteccin de caballos de Troya, gusanos o registradores de pulsaciones,
es posible elegir utilizar la accin y los niveles de sensibilidad predeterminados
que Symantec especifica. O es posible elegir administrar las acciones y los niveles
de sensibilidad de la deteccin usted mismo. Si administra las opciones usted
mismo, se arriesga a la deteccin de muchos falsos positivos. Si desea administrar
las acciones y los niveles de sensibilidad, debe tener en cuenta el impacto sobre
su red de seguridad.
Nota: Si modifica el nivel de sensibilidad, modifica el nmero total de detecciones.

Si modifica el nivel de sensibilidad, es posible que se reduzca el nmero de falsos
positivos que los anlisis de amenazas proactivos producen. Symantec recomienda
que si usted modifica los niveles de sensibilidad, los modifique gradualmente y
supervise los resultados.
Si un anlisis de amenazas proactivo detecta un proceso que usted determina que

no es un problema, es posible crear una excepcin. Una excepcin garantiza que
los anlisis futuros no sealen el proceso. Los usuarios de los equipos cliente
pueden tambin crear excepciones. Si hay un conflicto entre una excepcin definida
por el usuario y una excepcin definida por el administrador, la excepcin definida
por el administrador toma precedencia.
La Tabla 37-2 indica las tareas para crear un plan para administrar falsos positivos.
Tabla 37-2 Plan para administrar falsos positivos
Tarea Descripcin
Asegrese de que Las polticas antivirus y contra software espa incluyen opciones
Symantec administre administradas por Symantec. Estas opciones estn habilitadas de
las detecciones de forma predeterminada. Cuando se habilita esta configuracin,
caballos de Troya, Symantec determina las medidas que se toman para las detecciones
gusanos y de estos tipos de procesos. Symantec tambin determina el nivel
registradores de de sensibilidad que se utiliza para el anlisis.
pulsaciones.
Cuando Symantec administra las detecciones, los anlisis de
amenazas proactivos realizan una accin basada en la forma en
que el anlisis interpreta la deteccin.
El anlisis aplica una de las siguientes acciones a la deteccin:
Cuarentena: el anlisis utiliza esta accin para las detecciones

que probablemente sean amenazas verdaderas.
Slo registrar: el anlisis utiliza esta accin para las detecciones
que probablemente sean falsos positivos.
Nota: Si elige administrar la accin de la deteccin, debe elegir
una accin. Esa accin se utilizar siempre para ese tipo de
deteccin. Si establece la accin en Cuarentena, el cliente pone en
cuarentena todas las detecciones de ese tipo.
Tarea Descripcin
Asegrese de que el Verifique que los equipos que producen falsos positivos tengan
contenido de Symantec el ltimo contenido de Symantec. El contenido ms actualizado
est actualizado. incluye informacin sobre procesos que Symantec ha determinado
como falsos positivos conocidos. Estos falsos positivos conocidos
son excluidos de la deteccin del anlisis de amenazas proactivo.
Es posible ejecutar un informe en la consola para comprobar qu

equipos estn ejecutando la ltima versin del contenido.
Ver "Acerca del uso de Supervisin e Informes para asegurar la

red" en la pgina 251.
Es posible actualizar el contenido haciendo cualquiera de las
Aplique una poltica de LiveUpdate.

Ver "Configurar polticas de clientes de LiveUpdate"
en la pgina 131.
Ejecute el comando Actualizar para los equipos seleccionados
incluidos en la ficha Clientes.
Ejecute el comando Actualizar en los equipos seleccionados
que se enumeran en el registro de riesgos o estados del equipo.
Asegrese de que los Las opciones de envos estn incluidas en la poltica antivirus y
envos estn contra software espa.
habilitados.
Asegrese de que los equipos cliente estn configurados para
enviar informacin automticamente a Symantec Security
Response sobre los procesos detectados por los anlisis de
amenazas proactivos. Estas opciones estn habilitadas de forma
predeterminada.
Ver "Enviar informacin sobre anlisis a Symantec"

en la pgina 485.
Cree excepciones para Es posible crear una poltica que incluya excepciones para los
los falsos positivos que falsos positivos que usted detecta. Por ejemplo, es posible que
usted detecta. tenga que ejecutar un determinado proceso o aplicacin en su red
de seguridad. Sabe que es seguro ejecutar el proceso en su entorno.
Si los anlisis de amenazas proactivos detectan el proceso, se
puede crear una excepcin de modo que los anlisis futuros no
detecten el proceso.
Ver "Configurar una poltica de excepciones centralizada"

en la pgina 646.
Acerca de los procesos que los anlisis de amenazas proactivos ignoran
Acerca de los procesos que los anlisis de amenazas

proactivos ignoran
Los anlisis de amenazas proactivos permiten ciertos procesos y los eximen de
los anlisis. Symantec mantiene esta lista de procesos. Symantec generalmente
rellena la lista con las aplicaciones que son falsos positivos conocidos. Los equipos
cliente de su red de seguridad reciben peridicamente actualizaciones para la lista
cuando descargan nuevo contenido. Los equipos cliente pueden descargar el
contenido de varias maneras. El servidor de administracin puede enviar el
contenido actualizado. Usted o los usuarios pueden tambin ejecutar LiveUpdate
Los anlisis de amenazas proactivos omiten algunos procesos. Estos procesos
pueden incluir las aplicaciones para las cuales Symantec no tiene suficiente
informacin o las aplicaciones que cargan otros mdulos.
Es posible tambin especificar que los anlisis de amenazas proactivos omitan
ciertos procesos. Usted especifica que los anlisis de amenazas proactivos omitan
ciertos procesos creando una excepcin centralizada.
Los usuarios de los equipos cliente pueden tambin crear excepciones para los
anlisis de amenazas proactivos. Si una excepcin definida por el administrador
est en conflicto con una excepcin definida por el usuario, los anlisis de
amenazas proactivos aplican solamente la excepcin definida por el administrador.
El anlisis omite la excepcin de usuario.
Ver "Cmo funcionan los anlisis de amenazas proactivos con excepciones
centralizadas" en la pgina 591.
Cmo funcionan los anlisis de amenazas proactivos

con la Cuarentena
Es posible configurar los anlisis de amenazas proactivos para que pongan en
cuarentena las detecciones. Los usuarios de los equipos cliente pueden restaurar
los elementos en cuarentena. El cliente de Symantec Endpoint Protection puede
tambin restaurar automticamente los elementos de la cuarentena.
Cuando un cliente recibe nuevas definiciones, el cliente vuelve a analizar los
elementos en cuarentena. Si los elementos en cuarentena se consideran maliciosos,
el cliente registra el evento.
Peridicamente, los equipos cliente reciben actualizaciones para las listas definidas
por Symantec de procesos y aplicaciones conocidos. Cuando las nuevas listas estn
disponibles en los equipos cliente, se comparan los elementos en cuarentena con
Cmo funcionan los anlisis de amenazas proactivos con excepciones centralizadas
las ltimas listas. Si las ltimas listas permiten algunos de los elementos en
cuarentena, el cliente restaura automticamente los elementos.
Adems, los administradores o los usuarios pueden crear excepciones para las
detecciones de amenazas proactivas. Cuando las ltimas excepciones permiten
los elementos en cuarentena, el cliente restaura los elementos.
Los usuarios pueden ver los elementos en cuarentena en la pgina Ver Cuarentena
en el cliente.
El cliente no enva a un servidor de cuarentena central los elementos que los
anlisis de amenazas proactivos ponen en cuarentena. Los usuarios pueden enviar
automticamente o manualmente elementos de la cuarentena local a Symantec
Security Response.
Ver "Enviar elementos en cuarentena a Symantec" en la pgina 491.
Cmo funcionan los anlisis de amenazas proactivos

con excepciones centralizadas
Es posible crear listas de excepciones propias para que el cliente de Symantec
Endpoint Protection compruebe cuando ejecuta anlisis de amenazas proactivo.
Se crean estas listas mediante excepciones. Las excepciones especifican el proceso
y la accin que se debe tomar cuando un anlisis de amenazas proactivo detecta
un proceso especificado. Es posible crear solamente excepciones para los procesos
que no se incluyen en la lista definida por Symantec de procesos y aplicaciones
conocidos.
Por ejemplo, es posible que desee crear una excepcin para realizar una de las
Omitir cierto registrador de pulsaciones comercial
Poner en cuarentena una aplicacin determinada que usted no desee ejecutar
en los equipos cliente
Permitir que se ejecute una aplicacin de control remoto especfica
Para evitar conflictos entre excepciones, los anlisis de amenazas proactivos
utilizan el orden de precedencia siguiente:
Excepciones definidas por Symantec
Excepciones definidas por el administrador
Excepciones definidas por el usuario
La lista definida por Symantec toma siempre precedencia sobre excepciones

definidas por el administrador. Las excepciones definidas por el administrador
siempre toman precedencia sobre las excepciones definidas por el usuario.
Es posible utilizar una poltica de excepciones centralizada para especificar que
los procesos detectados conocidos se permiten configurando la accin de deteccin
Omitir. Es posible tambin crear una excepcin centralizada para especificar que
ciertos procesos no se permiten configurando la accin Poner en cuarentena o
Terminar.
Los administradores pueden forzar detecciones de amenazas proactivas creando
una excepcin centralizada que especifique un nombre de archivo que deben
detectar los anlisis de amenazas proactivos. Cuando el anlisis de amenazas
proactivo detecta el archivo, el cliente registra el caso. Dado que los nombres de
archivo no son exclusivos, es posible que varios procesos utilicen el mismo nombre
de archivo. Es posible utilizar detecciones forzadas para ayudarlo a crear
excepciones para omitir, poner en cuarentena o terminar un proceso determinado.
Cuando un anlisis de amenazas proactivo en el equipo cliente registra la deteccin,
sta se convierte en parte de una lista de procesos conocidos. Es posible seleccionar
un elemento de la lista cuando usted crea una excepcin para anlisis de amenazas
proactivos. Puede configurar una accin determinada para la deteccin. Es posible
tambin utilizar el registro de deteccin proactiva bajo la ficha Supervisin en la
consola para crear la excepcin.
Ver "Ver registros" en la pgina 229.
Los usuarios pueden crear excepciones en el equipo cliente con uno de los
siguientes mtodos:
La lista Ver Cuarentena
Cuadro de dilogo de resultados del anlisis
Un administrador puede bloquear una lista de excepciones de modo que un usuario
no pueda crear ninguna excepcin. Si un usuario cre excepciones antes de que
el administrador bloqueara la lista, se deshabilitan las excepciones creadas por
el usuario.
Informacin sobre las detecciones de amenazas

proactivas
Cuando un anlisis de amenazas proactivo detecta procesos que seala como
potencialmente maliciosos, gpor lo general, algunos de los procesos son legtimos.
Algunas detecciones no proporcionan suficiente informacin para ser

categorizadas como amenaza o falso positivo; estos procesos se consideran
desconocidos.
Un anlisis de amenazas proactivo observa el comportamiento de los procesos
activos en el momento en que se ejecuta el anlisis. El motor de anlisis busca
comportamiento tal como la apertura de puertos o la captura de pulsaciones del
teclado. Si un proceso implica una cantidad suficiente de este tipo de
comportamiento, el anlisis seala el proceso como amenaza potencial. El anlisis
no seala el proceso si ste no exhibe comportamiento sospechoso durante el
anlisis.
De forma predeterminada, los anlisis de amenazas proactivos detectan los
procesos que se comportan como caballos de Troya y gusanos, o los procesos que
se comportan como registradores de pulsaciones. Es posible habilitar o deshabilitar
estos tipos de detecciones en una poltica antivirus y contra software espa.
Nota: La configuracin del anlisis de amenazas proactivo no tiene ningn efecto

sobre los anlisis antivirus y de software espa, que utilizan firmas para detectar
riesgos conocidos. El cliente detecta riesgos conocidos primero.
El cliente utiliza la configuracin predeterminada de Symantec para determinar

qu accin tomar sobre los elementos detectados. Si el motor de anlisis determina
que el elemento no necesita ser reparado, el cliente registra la deteccin. Si el
motor de anlisis determina que el elemento debe ser reparado, el cliente pone
en cuarentena el elemento.
Nota: Las opciones Analizar en busca de caballos de Troya y gusanos y Analizar

en busca de registradores de pulsaciones no se admiten actualmente en los sistemas
operativos de servidor Windows. Es posible modificar las opciones en la poltica
antivirus y contra software espa para los clientes que se ejecutan en sistemas
operativos de servidor, pero los anlisis no se ejecutan. En la interfaz de usuario
del cliente de los sistemas operativos de servidor, las opciones de anlisis no
aparecen disponibles. Si habilita las opciones de anlisis en la poltica, estas
opciones aparecen marcadas y no disponibles.
La configuracin predeterminada de Symantec tambin se utiliza para determinar

la sensibilidad del anlisis de amenazas proactivo. Cuando el nivel de sensibilidad
es mayor, se sealan ms procesos. Cuando el nivel de sensibilidad es ms bajo,
se sealan menos procesos. El nivel de sensibilidad no indica el nivel de certeza
sobre la deteccin. Tampoco afecta el ndice de detecciones positivas falsas.
Mientras mayor sea el nivel de sensibilidad, ms falsos positivos y positivos
verdaderos detectar el anlisis.
Es necesario utilizar la configuracin predeterminada de Symantec para ayudar

a reducir al mnimo el nmero de falsos positivos que se detectan.
Es posible deshabilitar la configuracin predeterminada definida por Symantec.
Cuando se deshabilita la configuracin predeterminada de Symantec, es posible
configurar las acciones y el nivel de sensibilidad para la deteccin de caballos de
Troya, gusanos o registradores de pulsaciones. En la interfaz de usuario del cliente,
las opciones predeterminadas que aparecen no reflejan la configuracin
predeterminada de Symantec. Reflejan las opciones predeterminadas que se
utilizan cuando se administran las detecciones manualmente.
Para las aplicaciones comerciales, es posible especificar las medidas que el cliente
toma cuando un anlisis de amenazas proactivo hace una deteccin. Es posible
especificar acciones separadas para la deteccin de un registrador de pulsaciones
comercial y la deteccin de una aplicacin de control remoto comercial.
Nota: Los usuarios de los equipos cliente pueden modificar las opciones del anlisis
de amenazas proactivo si estn desbloqueadas en la poltica antivirus y contra
software espa. En el equipo cliente, las opciones de anlisis de amenazas proactivo
aparecen bajo Proteccin proactiva contra amenazas.
Especificar los tipos de procesos que detectan los anlisis de amenazas

proactivos
De forma predeterminada, los anlisis de amenazas proactivos detectan caballos
de Troya, gusanos y registradores de pulsaciones. Es posible deshabilitar la
deteccin de caballos de Troya y los gusanos, o de registradores de pulsaciones.
Para especificar los tipos de procesos que detectan los anlisis de amenazas
proactivos
de amenazas proactivo.
2 En la ficha Detalles del anlisis, bajo Anlisis, marque o deje sin marcar
Analizar en busca de caballos de Troya y gusanos y Analizar en busca de
registradores de pulsaciones.
Especificar las acciones y los niveles de sensibilidad para detectar

caballos de Troya, gusanos y registradores de pulsaciones
Los anlisis de amenazas proactivos se diferencian de los anlisis antivirus y de
software espa. Los anlisis antivirus y de software espa buscan riesgos conocidos.
Los anlisis de amenazas proactivos buscan riesgos desconocidos basados en el
comportamiento de ciertos tipos de procesos o de aplicaciones. Los anlisis
detectan cualquier comportamiento que sea similar al comportamiento de caballos
de Troya, de gusanos o registradores de pulsaciones.
Cuando se permite que Symantec administre las detecciones, la accin de deteccin
es poner en cuarentena positivos verdaderos y slo registrar los falsos positivos.
Cuando administra las detecciones usted mismo, es posible configurar la accin
de deteccin. Esa accin se utiliza siempre que los anlisis de amenazas proactivos
hacen una deteccin. Por ejemplo, es posible que tenga que especificar que el
cliente de Symantec Endpoint Protection registre la deteccin de procesos que se
comporten como caballos de Troya y gusanos. Cuando el cliente realiza una
deteccin, no pone en cuarentena el proceso; slo registra el evento.
Es posible configurar el nivel de sensibilidad. Los anlisis de amenazas proactivos
hacen ms detecciones (verdaderos y falsos positivos) cuando configura el nivel
de sensibilidad superior.
Nota: Si habilita esta configuracin, se arriesga a detectar muchos falsos positivos.

Es necesario tener en cuenta los tipos de procesos que se ejecuten en su red de
seguridad.
que se utilizan para los anlisis de amenazas proactivos.
Para especificar la accin y la sensibilidad para los caballos de Troya, los gusanos
o los registradores de pulsaciones
2 En la ficha Detalles del anlisis, bajo Analizando, asegrese de seleccionar
Analizar en busca de caballos de Troya y gusanos y Analizar en busca de
registradores de pulsaciones
3 Para cualquier tipo de riesgo, desactive Usar los valores definidos por
Symantec.
Configurar la frecuencia del anlisis de amenazas proactivo
4 Para cualquier tipo de riesgo, configure la accin en Registrar, Poner en

cuarentena o Terminar.
Se envan notificaciones si una accin se configura en Poner en cuarentena
o Terminar, y se han habilitado notificaciones. (Las notificaciones estn
habilitadas de forma predeterminada). Utilice la accin Terminar con
precaucin. En algunos casos, es posible que una aplicacin pierda
funcionalidad.
Mueva el control deslizante a la izquierda o a la derecha para disminuir
o aumentar la sensibilidad respectivamente.
Seleccione Bajo o Alto.
Especificar acciones para las detecciones de aplicaciones comerciales

Es posible modificar las acciones que se efecten cuando un anlisis de amenazas
proactivo hace una deteccin. Si establece la accin Omitir, los anlisis de amenazas
proactivos ignoran las aplicaciones comerciales.
Para especificar acciones para las detecciones de aplicaciones comerciales
2 En la ficha Detalles del anlisis, bajo Deteccin de aplicaciones comerciales,
establezca la accin en Registrar, Finalizar, Cuarentena u Omitir.
Configurar la frecuencia del anlisis de amenazas

proactivo
Es posible configurar cuntas veces se ejecutan los anlisis de amenazas proactivos
incluida la opcin correspondiente en una poltica antivirus y contra software
espa.
Nota: Si modifica la frecuencia de los anlisis de amenazas proactivos, puede verse

afectado el rendimiento de los equipos cliente.
Para configurar la frecuencia del anlisis de amenazas proactivo
2 En la ficha Frecuencia del anlisis, bajo Frecuencia del anlisis, seleccione
una de las siguientes opciones:
Con la frecuencia de anlisis predeterminada
El software del motor de anlisis determina la frecuencia del anlisis. Esta
opcin es la predeterminada.
Con una frecuencia personalizada de anlisis
Si habilita esta opcin, es posible especificar que el cliente analice los
nuevos procesos cliente cuando los detecta. Es posible tambin configurar
la frecuencia del anlisis.
Configurar notificaciones para anlisis de amenazas

proactivos
De forma predeterminada, se envan notificaciones a los equipos cliente siempre
que haya una deteccin del anlisis de amenazas proactivo. Es posible deshabilitar
notificaciones si usted no desea que se notifique al usuario.
Las notificaciones advierten al usuario que un anlisis de amenazas proactivo
hizo una deteccin que debe repararse. El usuario puede utilizar el cuadro de
dilogo de la notificacin para reparar la deteccin. Para las detecciones de anlisis
de amenazas proactivos que no necesitan reparacin, el cliente de Symantec
Endpoint Protection registra la deteccin pero no enva una notificacin.
Nota: Si se utiliza la configuracin predeterminada de Symantec para las

detecciones, se envan notificaciones solamente si el cliente recomienda una
reparacin para el proceso.
Los usuarios pueden tambin reparar detecciones viendo el registro de amenazas

de la proteccin proactiva contra amenazas y seleccionando una accin.
Es posible crear una excepcin centralizada para excluir un proceso de la deteccin.
Los usuarios de los equipos cliente pueden tambin crear excepciones.
Ver "Acerca de las polticas de excepciones centralizadas" en la pgina 643.
Para configurar notificaciones para anlisis de amenazas proactivos
2 En la ficha Notificaciones, marque Mostrar los resultados en el equipo cliente
cuando hay una deteccin.
3 Es posible habilitar o deshabilitar las siguientes opciones:
Mostrar un mensaje cuando se produzca una deteccin.
Avisar antes de terminar un proceso.
Avisar antes de detener un servicio.

Captulo 38
Administrar Polticas de
control de aplicaciones y
dispositivos
Acerca de las Polticas de control de aplicaciones y dispositivos
Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos
Acerca del control de aplicaciones
Acerca del control de dispositivos
Acerca de trabajar con polticas de control de aplicaciones y dispositivos
Poltica de control de aplicaciones y dispositivos predeterminada
Polticas personalizadas de control de aplicaciones y dispositivos
Antes de crear polticas de control de aplicaciones y dispositivos
Para crear una Poltica de control de aplicaciones y dispositivos
Tareas adicionales de las polticas de control de aplicaciones y dispositivos
Administrar la lista de dispositivos de hardware

600 Administrar Polticas de control de aplicaciones y dispositivos
Acerca de las Polticas de control de aplicaciones y dispositivos
Acerca de las Polticas de control de aplicaciones y

dispositivos
EL control de aplicaciones y dispositivos se implementa en los equipos cliente
mediante polticas. Una Poltica de control de aplicaciones y dispositivos ofrece
dos tipos de control o proteccin sobre los equipos cliente: control de aplicaciones
y control de dispositivos. Los administradores pueden utilizar las siguientes
opciones:
Control de aplicaciones para supervisar las llamadas de API de Windows a los
equipos cliente y controlar el acceso a los archivos, las claves de registro y los
procesos de los equipos cliente.
Control de dispositivos para administrar los dispositivos perifricos que pueden
asociarse a los equipos.
Es posible definir cada uno de estos tipos de proteccin cuando se crea una nueva
poltica. Tambin tiene la opcin de primero agregar el control de aplicaciones o
dispositivos y luego el otro tipo de proteccin.
Es posible aplicar solamente una Poltica de control de aplicaciones y dispositivos
a cada ubicacin dentro de un grupo. Por lo tanto, una poltica debe definir el
control de aplicaciones y el control de dispositivos, si se desea implementar ambos
tipos de proteccin.
Nota: La informacin de este captulo se aplica solamente a los equipos cliente de

32 bits. Las Polticas de control de aplicaciones y dispositivos no funcionan en los
equipos cliente de 64 bits.
Acerca de la estructura de una Poltica de control de

aplicaciones y dispositivos
Una Poltica de control de aplicaciones y dispositivos consiste en dos tipos de
proteccin de acceso: control de aplicaciones y control de dispositivos. Para la
proteccin del control de aplicaciones, cada control puede tener varios conjuntos
de normas. Cada conjunto de normas puede tener varios grupos de permisos de
proceso denominados normas. Cada una de estas normas contiene propiedades,
acciones y condiciones.
El control de dispositivos consiste en dos listas: Dispositivos bloqueados y
Dispositivos excluidos del bloqueo. El administrador administra el contenido de
estas dos listas.
Administrar Polticas de control de aplicaciones y dispositivos 601
Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos
La lista siguiente muestra la jerarqua de componentes para cada uno de los dos
tipos de proteccin:
Control de aplicaciones Conjuntos de normas de control de aplicaciones

Normas
Condiciones
Propiedades
Acciones
Control de dispositivos Dispositivos bloqueados

Dispositivos excluidos del bloqueo
La Figura 38-1 ilustra los componentes del control de aplicaciones y dispositivos

y cmo se relacionan entre ellos.
Figura 38-1 Descripcin general del control de aplicaciones y dispositivos


El control de aplicaciones bloquea o permite las aplicaciones definidas que intentan
acceder a recursos del sistema en un equipo cliente. El control de aplicaciones se
implementa mediante los conjuntos de normas de control de aplicaciones.
Al trabajar con el control de aplicaciones, los administradores pueden hacer lo
siguiente:
Importar archivos de poltica de control de aplicaciones y dispositivos.
Crear polticas de control de aplicaciones y dispositivos.
Aplicar polticas de control de aplicaciones y dispositivos a ubicaciones o a
grupos.
Editar polticas de control de aplicaciones y dispositivos existentes.
Los administradores utilizan las polticas de control de aplicaciones para proteger
los equipos cliente de diversas maneras. Por ejemplo, es posible utilizar polticas
de control de aplicaciones y dispositivos para lo siguiente:
Proteger claves de registro y valores especficos.
Salvaguardar el directorio siguiente: \WINDOWS\system.
Evitar que los usuarios alteren los archivos de configuracin.
Proteger los archivos de programa importantes, tales como el directorio
principal de Symantec donde se instala el cliente.
Aplicar proteccin a procesos especficos o excluir procesos.
Controlar el acceso a DLL.
Nota: Los eventos de control de aplicaciones y dispositivos se incluyen en el registro

de control de clientes.
Acerca de los conjuntos de normas de control de aplicaciones

Un conjunto de normas de control de aplicaciones contiene una o ms normas
creadas por usted. Cada norma contiene una o ms condiciones. Utilice los
conjuntos de normas de control de aplicaciones para definir el componente de
control de aplicaciones de su poltica de control de aplicaciones y dispositivos.
La Tabla 38-1 enumera las cinco categoras de condiciones del conjunto de normas
de control de aplicaciones y sus descripciones asociadas.
Tabla 38-1 Condiciones de normas
Condicin Descripcin
Intentos de acceso al registro Permite o bloquea el acceso a los valores del registro de un
equipo cliente.
Intentos de acceso a archivos Permite o bloquea el acceso a archivos o carpetas definidos

y carpetas en un equipo cliente.
Intentos de iniciar procesos Permite o bloquea la capacidad de iniciar un proceso en un

equipo cliente.
Intentos de terminar Permite o bloquea la capacidad de terminar un proceso en

procesos un equipo cliente. Por ejemplo, es posible bloquear la
detencin de una aplicacin determinada.
Intentos de cargar DLL Permite o bloquea la capacidad de cargar la DLL en un equipo

cliente.

Utilice el control de dispositivos para administrar el acceso al equipo desde
dispositivos perifricos. El administrador ejecuta el control de dispositivos
mediante conjuntos de normas que bloquean o permiten el acceso del dispositivo
a los equipos. Aunque un dispositivo pueda estar conectado fsicamente a un
equipo, an se le puede negar el acceso a ese equipo. Este tipo de control incluye
dispositivos tales como USB, infrarrojo, FireWire, dispositivos SCSI, puertos serie
y puertos paralelos.
El control de dispositivos otorga al administrador un nivel de control ms detallado
sobre qu dispositivos pueden acceder a los equipos. Los administradores pueden
personalizar el control de dispositivos para bloquear el acceso de ciertos tipos de
dispositivos, como dispositivos USB. Sin embargo, el administrador puede tambin
permitir que otros tipos de dispositivo, tales como un disco duro USB, sean
excluidos del bloqueo.
Acerca de trabajar con polticas de control de

Se crean y editan las polticas de control de aplicaciones y dispositivos de forma
similar a como crea y modifica otros tipos de polticas. Es posible asignar, retirar,
sustituir, copiar, exportar, importar o eliminar una poltica de control de
aplicaciones y dispositivos.
Poltica de control de aplicaciones y dispositivos predeterminada

Poltica de control de aplicaciones y dispositivos

predeterminada
Una poltica de control de aplicaciones y dispositivos predeterminada se crea
automticamente cuando instala Symantec Endpoint Protection Manager. El
nombre de la poltica es Poltica de control de aplicaciones y dispositivos. De forma
predeterminada, esta poltica no contiene normas ni controles de dispositivos.
Utilice esta poltica para implementar rpidamente el control de los dispositivos
y las aplicaciones en los equipos cliente.
Polticas personalizadas de control de aplicaciones

y dispositivos
La poltica predeterminada de control de aplicaciones y dispositivos puede no
proporcionar la proteccin necesaria para su entorno. Si ocurre esta situacin, es
posible editar la poltica predeterminada de control de aplicaciones y dispositivos.
Tambin tiene la opcin de crear su propia poltica de control de aplicaciones y
dispositivos personalizada.
Ver "Para crear una Poltica de control de aplicaciones y dispositivos"
en la pgina 605.
Antes de crear polticas de control de aplicaciones y

dispositivos
La capacidad de crear polticas de control de aplicaciones y dispositivos
personalizadas es una herramienta de gran alcance que le permite crear polticas
personalizadas de cumplimiento para su entorno. Sin embargo, los errores de
configuracin pueden deshabilitar un equipo o un servidor. Symantec Corporation
le recomienda primero utilizar una poltica en modo de prueba solamente antes
de implementarla. Es posible buscar errores en los registros de control de clientes.
Symantec Corporation tambin recomienda que usted primero pruebe la poltica

en un entorno de laboratorio de prueba.
Nota: El equipo cliente puede fallar, o la comunicacin con el administrador de

polticas puede bloquearse, cuando usted implementa una poltica de proteccin
de acceso. Si ocurre este tipo de error, no es posible configurar el equipo cliente
de forma remota. Su nica opcin puede ser restaurar el equipo cliente localmente.
Si aplica una poltica de control de aplicaciones y dispositivos, y detecta que no

funciona correctamente, es posible realizar una de las siguientes acciones:
Retirar la poltica.
Editar la poltica.
Eliminar la poltica.
Deshabilitar la poltica.
Para crear una Poltica de control de aplicaciones y

dispositivos
Esta seccin muestra cmo crear una nueva Poltica de control de aplicaciones y
dispositivos. Primero cree una Poltica de control de aplicaciones y dispositivos
y luego aplique esa poltica a uno o ms grupos o ubicaciones.
Ver "Asignar una poltica de control de aplicaciones y dispositivos" en la pgina 611.
Siempre que se actualice la poltica, sta se actualizar en cada ubicacin donde
est en uso.
Nota: Es posible tambin importar Polticas de control de aplicaciones y dispositivos

desde los archivos especficos desarrollados para tipos determinados de equipos.
Se deben realizar varias tareas para crear una Poltica de control de aplicaciones
y dispositivos. Cada una de estas tareas permite ejecutar algunas de las funciones
que se incluyen con Symantec Endpoint Protection.
La secuencia de tareas es la siguiente. Haga clic en un vnculo para ir directamente
a esa tarea.
Crear una poltica de control de aplicaciones y dispositivos
Crear un conjunto de normas de control de aplicaciones
Crear Control de dispositivos
Asignar una poltica de control de aplicaciones y dispositivos

Ahora ya puede crear un conjunto de normas del control de aplicaciones, una o
varias normas y controles de dispositivos. Un conjunto de normas de control de
aplicaciones contiene una o varias normas y define qu aplicaciones supervisar
Symantec Endpoint Protection Manager y las acciones que aplica sobre esas
aplicaciones.
Una norma contiene las condiciones de supervisin de archivos, carpetas y procesos
especficos. Las condiciones incluyen lo siguiente:
Intentos de crear, leer y escribir archivos, carpetas o claves del registro
Intentos de iniciar DLL
Intentos de iniciar procesos
Intentos de terminar procesos
Una norma tambin contiene las acciones que se aplicarn cuando se encuentran
las condiciones especificadas. Estas acciones incluyen el registro y la notificacin
al usuario del intento, el bloqueo del intento o la finalizacin de la aplicacin
supervisada.
El control de dispositivos consiste en dos listas: Dispositivos bloqueados y
Dispositivos excluidos del bloqueo. El panel Dispositivos bloqueados enumera los
dispositivos para los cuales se desea bloquear el acceso a los equipos cliente. El
panel Dispositivos excluidos del bloqueo enumera los dispositivos que se desean
excluir de la lista Dispositivos bloqueados.
La Tabla 38-2 enumera combinaciones de configuracin de puertos y dispositivos
de ejemplo. Tambin muestra el efecto que cada combinacin tiene sobre el
dispositivo que intenta acceder al equipo cliente. Por ejemplo, puede decidir
bloquear todos los puertos, pero permitir que un mouse USB pueda conectarse a
un equipo cliente. En esta situacin, el mouse USB funciona en el equipo cliente
aunque ese puerto est bloqueado.
Tabla 38-2 Combinaciones de configuracin de puertos y dispositivos
Configuracin Resultado
Puerto bloqueado + Dispositivo habilitado El dispositivo funciona
Puerto habilitado + Dispositivo bloqueado El dispositivo no funciona (nunca bloquee

un teclado)
Crear una poltica de control de aplicaciones y dispositivos

Es posible crear una nueva poltica de control de aplicaciones y dispositivos si la
poltica predeterminada no cumple con sus requisitos.
Para crear una nueva poltica de aplicaciones y dispositivos
1 En la consola de Symantec Endpoint Protection Manager, haga clic en la ficha
Polticas.
2 En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos.
Se muestra la pgina Polticas de control de aplicaciones y dispositivos.
3 En el panel Tareas, haga clic en Agregar una poltica de control de
Se muestra la pgina Poltica de control de aplicaciones y dispositivos.
4 En la pgina Descripcin general, en Nombre de la poltica, escriba el nombre
de la nueva poltica de control de aplicaciones y dispositivos. El nombre
predeterminado para la nueva poltica es Nueva poltica de control de
5 En Descripcin, escriba una descripcin de la poltica de control de
aplicaciones y dispositivos. Esta informacin es opcional: se utiliza para
propsitos de referencia solamente.
6 La casilla Habilitar esta poltica est seleccionada de forma predeterminada.
Haga clic para quitar la seleccin de esta casilla si no desea aplicar
inmediatamente la poltica.
Se muestra la ventana emergente Asignar poltica.
8 Haga clic en S para asignar la poltica.
Se muestra la pgina Asignar poltica de control de aplicaciones y dispositivos.
9 Haga clic en una o varias casillas de verificacin correspondientes a los grupos
y las ubicaciones a los cuales desea aplicar la poltica.
Se muestra la ventana emergente Asignar poltica de control de aplicaciones
y dispositivos.
11 Haga clic en S para confirmar y asignar los cambios de las polticas.
12 Haga clic en Aceptar para continuar.
Regresar a la pgina Polticas de control de aplicaciones y dispositivos. La
poltica que usted cre se muestra debajo de la poltica predeterminada.
Despus de crear una nueva poltica, puede crear un conjunto de normas de control
de aplicaciones, o un conjunto de normas de control de dispositivos, o ambos.
Consulte las siguientes secciones:
Ver "Crear un conjunto de normas de control de aplicaciones" en la pgina 608.
Ver "Crear Control de dispositivos" en la pgina 610.
Nota: Recuerde que slo se puede aplicar una poltica de control de aplicaciones
y dispositivos a cada ubicacin. Por lo tanto, su poltica de control de aplicaciones
y dispositivos debe contener el control de la aplicacin y el control de dispositivo
si desea ejecutar ambos tipos de la proteccin.
Crear un conjunto de normas de control de aplicaciones

La parte de control de aplicaciones de una poltica de control de aplicaciones y
dispositivos se compone de los conjuntos de normas de control de aplicaciones.
Se crean cuatro conjuntos de normas de control de aplicaciones predeterminados
cuando instala Symantec Endpoint Protection Manager. Cada conjunto de normas
de control de aplicaciones se compone de una o ms normas.
Nota: No edite estos conjuntos de normas de control de aplicaciones

predeterminados. En cambio, cree un nuevo conjunto de normas del control de
aplicaciones para cumplir sus requisitos.
Para crear un conjunto de normas de control de aplicaciones

1 En la pgina Polticas de control de aplicaciones y dispositivos, seleccione la
poltica a la que desea agregar un conjunto de normas de control de
aplicaciones.
2 En el panel Tareas, seleccione Editar la poltica.
3 Seleccione Control de aplicaciones.
Se mostrar la pgina Control de aplicaciones. Revise los conjuntos de normas
de control de aplicaciones predeterminados.
4 Verifique si los conjuntos de normas y las configuraciones de control
necesarios para la poltica de control de aplicaciones y dispositivos ya existen
y cumplen con los requisitos.
5 Verifique si uno o ms de los conjuntos de normas y de la configuracin

predeterminados del control cumplen con los requisitos. Seleccione la casilla
ubicada junto a cada conjunto de normas que desea habilitar. No se habilitan
de forma predeterminada.
6 Si los conjuntos de normas y los controles predeterminados no cumplen con
sus requisitos, puede crear conjuntos de normas de control de aplicaciones
y dispositivos personalizados.
Se mostrar la pgina Agregar conjunto de normas de control de aplicaciones.
Agregar una norma

Un conjunto de normas de aplicaciones contiene un conjunto de una o ms normas
definidas por el administrador. Las normas contienen las condiciones de
supervisin de archivos, carpetas y procesos especficos.
Para agregar una norma
1 En la pgina Control de aplicaciones, haga clic en Agregar.
Se mostrar la pgina Agregar conjunto de normas de control de aplicaciones.
2 En Nombre del conjunto de normas, escriba un nombre para el nuevo conjunto
de normas.
Este conjunto de normas contiene una o ms normas creadas por usted.
3 En Descripcin, escriba una descripcin para el nuevo conjunto de normas.
4 En Nombre de la norma, escriba un nombre para la nueva norma.
5 En Descripcin, escriba una descripcin de la nueva norma.
6 La casilla Habilitar esta norma est seleccionada de forma predeterminada.
Haga clic para deseleccionar la casilla si no desea habilitar inmediatamente
la nueva norma.
7 Seleccione las definiciones de procesos que se aplicarn a la norma. A
continuacin, seleccione las definiciones de procesos que se excluirn de la
norma.
Para seleccionar procesos para aplicar o excluir de una norma

Una norma est formada por dos listas de definiciones de procesos. Una lista de
definiciones de procesos contiene los procesos a los cuales la norma se aplica. La
otra lista de definiciones de procesos contiene los procesos a los cuales la norma
no se aplica.
Para seleccionar procesos para aplicar o excluir de una norma

1 Haga clic en Agregar, ubicado a la derecha de Aplicar esta norma a los
siguientes procesos.
Se mostrar la pgina Agregar definicin de procesos.
2 Haga clic en los controles adecuados para hacer sus selecciones y escriba la
informacin obligatoria en los campos de entrada de informacin.
Los procesos que usted defini se visualizan en Aplicar esta norma al panel
de los siguientes procesos.
4 Haga clic en Agregar, ubicado a la derecha del panel No aplicar esta norma
a los siguientes procesos.
Se mostrar la pgina Agregar definicin de procesos.
5 Haga clic en los controles adecuados para hacer sus selecciones y escriba la
informacin obligatoria en los campos de entrada de informacin.
Los procesos que usted defini se visualizan en No aplicar esta norma al panel
de los siguientes procesos.
7 Revise los detalles de la norma.
Crear normas adicionales

Es posible crear varias normas y agregarlas a un solo conjunto de normas de
control de aplicaciones. Cree tantas normas como sea necesario para implementar
la proteccin que usted desea.
Para crear normas adicionales
1 Repita del paso 1 al paso 7 para crear normas adicionales.
2 Haga clic en Aceptar una vez que haya creado todas las normas.
Regresar a la pgina de Control de aplicaciones.
3 Cree el control de dispositivos.
Crear Control de dispositivos

Utilice Control de dispositivos para administrar las listas de control de dispositivos
de hardware. Es posible modificar esta lista en cualquier momento.
Ver "Administrar la lista de dispositivos de hardware" en la pgina 615.
Para crear un control de dispositivos para su poltica de control de aplicaciones y

dispositivos
1 En el panel Poltica de control de aplicaciones y dispositivos, seleccione
Control de dispositivos.
Se mostrar la pgina Control de dispositivos.
2 En Dispositivos bloqueados, haga clic en Agregar.
Se mostrar la ventana emergente Agregar dispositivo de hardware.
3 Revise la lista de dispositivos de hardware y seleccione el dispositivo que
desea bloquear para el acceso al equipo cliente.
Regresar a la pgina Control de dispositivos. Repita el paso 3 para cada
dispositivo de hardware que desea bloquear.
5 En Dispositivos excluidos del bloqueo, haga clic en Agregar.
Se mostrar la ventana emergente Agregar dispositivo de hardware.
6 Revise la lista de dispositivos de hardware y haga clic para seleccionar el
dispositivo que desea excluir del bloqueo cuando acceden al equipo cliente.
Regresar a la pgina Control de dispositivos. Repita el paso 6 para cada
dispositivo de hardware que desea bloquear.
La ventana emergente Asignar poltica le solicita que decida si desea asignar
la poltica.
9 Haga clic en S.
Contine con el paso siguiente, iniciando en el paso 3
Asignar una poltica de control de aplicaciones y dispositivos

Despus de crear una poltica, es posible asignar esa poltica a las ubicaciones.
Cada ubicacin puede tener solamente una Poltica de control de aplicaciones y
dispositivos asignada a ella. Si asigna una Poltica de control de aplicaciones y
dispositivos a una ubicacin donde ya existe una, la nueva poltica sobrescribe la
poltica existente. Si asigna una Poltica de control de aplicaciones y dispositivos
a un grupo, esa poltica se asigna a cada ubicacin dentro del grupo seleccionado.
Para asignar una poltica de control de aplicaciones y dispositivos

Polticas.
2 En el panel Ver polticas, haga clic para seleccionar Control de aplicaciones
y dispositivos y despus haga clic para seleccionar la poltica que desea
asignar.
3 En el panel Tareas, haga clic en Asignar la poltica.
Una marca verde indica que una poltica existente se ha aplicado a esa
ubicacin.
4 Haga clic para seleccionar las ubicaciones o los grupos a los cuales usted desea
asignar la Poltica de control de aplicaciones y dispositivos, y haga clic en
Asignar.
y dispositivos.
5 Haga clic en S para confirmar sus cambios.
Regresar a la pgina Polticas de control de aplicaciones y dispositivos.
Comparacin de polticas compartidas y no compartidas

Cuando se realiza un cambio de poltica a una poltica compartida, el cambio afecta
a todas las ubicaciones en las que se aplica esa poltica compartida. Si desea realizar
un cambio de poltica solamente para una ubicacin, convierta la poltica
compartida en una poltica no compartida.
Modo de prueba
Cuando se crea un conjunto de normas de control de aplicaciones, el modo de
prueba es el predeterminado. En modo de prueba, es posible aplicar la poltica a
dispositivos y generar un registro de control de clientes. El modo de prueba no
modifica el comportamiento de un dispositivo. Examine los registros de control
de clientes para ver si hay errores y haga las correcciones necesarias. Cuando la
poltica funciona correctamente, es posible cambiar al modo de produccin para
implementar el conjunto de normas de control de aplicaciones.
Ver " Modificar un modo del conjunto de normas de control de aplicaciones"
en la pgina 613. para conocer las instrucciones para alternar entre estos dos
modos.
Tareas adicionales de las polticas de control de

Es posible actualizar las polticas de control de aplicaciones y dispositivos en otro
momento. Es posible modificar las prioridades de uno o varios conjuntos de normas
de control de aplicaciones o deshabilitarlas.
Configurar prioridades del Conjunto de normas de control de

aplicaciones
Es posible controlar el orden en el cual se aplican los Conjuntos de normas de
control de aplicaciones. Es posible tambin controlar el orden en el cual las normas
individuales dentro de un conjunto de normas se aplican.
Para modificar el orden en el cual se aplican los conjuntos de normas de control
de aplicaciones
3 Haga clic para seleccionar la poltica que desea editar.
4 En el panel Tareas, haga clic en Editar la poltica.
Se muestra el panel Conjuntos de normas de control de aplicaciones.
6 Seleccione el conjunto de normas de control de aplicaciones que desea mover.
7 Haga clic en Subir o Bajar para modificar su prioridad dentro de la lista.
8 Repita los pasos para cada conjunto de normas de aplicaciones cuya prioridad
desee modificar.
9 Una vez finalizados los cambios, haga clic en Aceptar.
Modificar un modo del conjunto de normas de control de aplicaciones

Cuando crea por primera vez un conjunto de normas de control de aplicaciones,
lo crea en modo de prueba. Despus de probar el conjunto de normas de una
poltica, es posible modificar el modo al modo de produccin.
Para modificar el modo de un conjunto de normas de control de aplicaciones

Polticas.
A continuacin haga clic para seleccionar la poltica cuyo modo del conjunto
de normas de control de aplicaciones desea modificar.
3 Haga clic en Editar la poltica.
4 Haga clic en Control de aplicaciones.
Se muestra el panel Control de aplicaciones.
5 Localice el conjunto de normas cuyo modo desea modificar y haga clic para
seleccionarlo.
6 Haga clic en la flecha correspondiente de la lista desplegable para visualizar
la lista de modos.
7 Haga clic para seleccionar el nuevo modo.
Regresar al panel Polticas de control de aplicaciones y dispositivos.
Deshabilitar una norma en una Poltica de control de aplicaciones y

dispositivos
Es posible que ocasionalmente necesite deshabilitar una norma determinada en
una Poltica de control de aplicaciones y dispositivos sin retirar o eliminar la
poltica entera.
Para deshabilitar una norma en una Poltica de control de aplicaciones y dispositivos
3 Haga clic para seleccionar la poltica que contiene la norma que desea
deshabilitar.
4 En el panel Tareas, haga clic en Editar la poltica.
Se muestra el panel Conjuntos de normas de control de aplicaciones.
6 No seleccione la casilla de verificacin que se encuentra al lado del conjunto

de normas de control de aplicaciones que desea deshabilitar.
7 Repita este paso para cada conjunto de normas de control de aplicaciones
que desee deshabilitar.
8 Una vez finalizados los cambios, haga clic en Aceptar.
Regresar a la pgina Polticas de control de aplicaciones y dispositivos. Ahora
habr deshabilitado una sola norma o norma subordinada sin deshabilitar la
poltica entera.

Es posible agregar, editar o eliminar los dispositivos de hardware para administrar
la lista de dispositivos de hardware.
Para agregar un dispositivo de hardware
1 En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas
> Componentes de polticas > Dispositivos de hardware > Agregar un
dispositivo de hardware.
Se mostrar la ventana emergente Dispositivo de hardware.
2 En Nombre del dispositivo, escriba un nombre descriptivo para el dispositivo
de hardware.
3 En ID del dispositivo, escriba la cadena de caracteres del ID del dispositivo.
Regresar al panel Dispositivos de hardware. El dispositivo de hardware que
usted agreg se muestra en la columna Nombre del dispositivo.
Para editar un dispositivo de hardware
> Componentes de polticas > Dispositivos de hardware.
Se mostrar el panel Dispositivos de hardware.
2 Busque la columna Nombre del dispositivo y, a continuacin, seleccione el
dispositivo de hardware que desea editar.
3 En el panel Tareas, haga clic en Editar un dispositivo de hardware.
Se mostrar la ventana emergente Dispositivo de hardware.
4 En Nombre del dispositivo, actualice el nombre del dispositivo de hardware.
5 En ID del dispositivo, actualice la cadena de caracteres del ID del dispositivo.

Regresar al panel Dispositivos de hardware. Se mostrar la informacin del
dispositivo de hardware actualizada.
Para eliminar un dispositivo de hardware
> Componentes de polticas > Dispositivos de hardware.
Se mostrar el panel Dispositivos de hardware.
2 Busque la columna Nombre del dispositivo y, a continuacin, seleccione el
dispositivo de hardware que desea eliminar.
3 En el panel Tareas, haga clic en Eliminar el dispositivo de hardware.
Se mostrar la ventana emergente Eliminar dispositivo de hardware.
4 Haga clic en Eliminar para confirmar que desea eliminar el dispositivo
seleccionado.
Regresar al panel Dispositivos de hardware. El dispositivo de hardware que
elimin se ha quitado de la lista Nombre del dispositivo.
Administrar Polticas de control de aplicaciones y

dispositivos
Esta seccin abarca las tareas implicadas en la administracin de Polticas de
control de aplicaciones y dispositivos despus de que usted las crea. Para aplicar
las Polticas de control de aplicaciones y dispositivos que usted cre, aplquelas
a los grupos o las ubicaciones. Ms adelante, puede necesitar editar, sustituir,
retirar o eliminar esas polticas aplicadas previamente. Es posible copiar, pegar,
exportar e importar las polticas. Es posible tambin ver informacin sobre una
poltica, las ubicaciones a las cuales se aplica o su historial de cambios.
Las tareas de administracin incluyen las siguientes:
Editar una Poltica de control de aplicaciones y dispositivos
Reemplazar una poltica de control de aplicaciones y dispositivos
Copiar una Poltica de control de aplicaciones y dispositivos
Exportar una poltica de control de aplicaciones y dispositivos
Importar una poltica de control de aplicaciones y dispositivos
Retirar una poltica de control de aplicaciones y dispositivos
Eliminar una poltica de control de aplicaciones y dispositivos

Ver el historial de cambios de la poltica de control de aplicaciones y dispositivos
Editar una Poltica de control de aplicaciones y dispositivos

Tenga precaucin cuando edita polticas. Symantec Corporation recomienda
exportar una poltica a un archivo .dat antes de editarla. Si la versin editada de
la poltica no funciona correctamente, es posible restaurar su configuracin
original importando el archivo .dat. Acostmbrese a probar una nueva poltica o
una poltica editada en un entorno seguro. Si tiene una Poltica de control de
aplicaciones y dispositivos, es posible modificar esa poltica.
Para editar una Poltica de control de aplicaciones y dispositivos existente
2 En el rbol Polticas, expanda Polticas de control de aplicaciones y
dispositivos y seleccione la poltica que desea editar.
3 Haga clic en Editar esta poltica. Aparece el cuadro de dilogo de
configuracin de la Poltica de control de aplicaciones y dispositivos.
4 Edite la poltica modificando las protecciones existentes. Es posible agregar
nuevas normas, modificar el orden de las normas, modificar las normas de
modo de prueba a modo normal, o modificar las opciones de control de
aplicaciones y dispositivos. Haga clic en Bloqueo de dispositivos para
configurar el control de aplicaciones y dispositivos para los dispositivos.
5 Cuando haya finalizado, haga clic en Aceptar para cerrar el cuadro de dilogo
de configuracin de Polticas de control de aplicaciones y dispositivos.
Otra manera de editar una Poltica de control de aplicaciones y dispositivos
es seleccionarla en el panel Polticas. Haga clic con el botn secundario en la
poltica y elija Editar.
Para editar una Poltica de control de aplicaciones y dispositivos aplicada a una
ubicacin o a un grupo
Clientes.
2 En el rbol Ver clientes, expanda Global y haga clic para seleccionar el grupo
cuya Poltica de control de aplicaciones y dispositivos desea editar. Las
ubicaciones asociadas con el grupo seleccionado se enumeran a la derecha.
4 Bajo Configuracin y polticas especficas de la ubicacin, haga clic para

seleccionar la Poltica de control de aplicaciones y dispositivos que desea
editar.
Se muestra la ventana emergente Editar poltica. Utilice la ventana emergente
para editar una poltica compartida o para convertir la poltica en una poltica
no compartida.
5 Haga clic en Editar compartidas o Convertir en no compartida.
6 Edite la poltica modificando las protecciones existentes. Es posible agregar
nuevas normas, modificar el orden de las normas, modificar las normas de
modo de prueba a modo normal, o modificar las opciones de control de
aplicaciones y dispositivos. Haga clic en Bloqueo de dispositivos para
configurar el control de aplicaciones y dispositivos para los dispositivos.
7 Cuando haya finalizado, haga clic en Aceptar para cerrar el cuadro de dilogo
de configuracin de Polticas de control de aplicaciones y dispositivos.
Regresar a la pgina Clientes del grupo seleccionado.
Reemplazar una poltica de control de aplicaciones y dispositivos

Es posible reemplazar una Poltica de control de aplicaciones y dispositivos que
se aplica actualmente a una o ms ubicaciones o grupos por otra.
Para reemplazar polticas de control de aplicaciones y dispositivos
3 Seleccione la poltica existente que desea reemplazar.
4 Haga clic en Reemplazar la poltica. Se muestra la pgina Reemplazar poltica
de control de aplicaciones y dispositivos.
5 En Nueva poltica de control de aplicaciones y dispositivos, haga clic en la
flecha para visualizar la lista desplegable. A continuacin, haga clic para
seleccionar la poltica que desea utilizar para reemplazar la Poltica de control
de aplicaciones y dispositivos anterior.
6 En el panel Reemplazar poltica, se muestran en un formato de rbol los

grupos y las ubicaciones a los cuales pueden aplicarse las polticas. Haga clic
en la casilla al lado de cada grupo o ubicacin para los cuales desee reemplazar
la poltica seleccionada.
La nueva poltica se aplica solamente a las ubicaciones donde se aplicaba la
poltica anterior. La nueva poltica no se aplica a las ubicaciones o los grupos
a los cuales se aplica otra poltica, o si no se ha aplicado ninguna poltica.
Una ventana emergente le solicita que confirme sus cambios.
8 Haga clic en S.
10 Verifique sus cambios en la columna Recuento de uso de ubicaciones.
Copiar una Poltica de control de aplicaciones y dispositivos

Es posible crear una nueva poltica que se base en una poltica existente para crear
una nueva poltica con la misma configuracin. Utilice esta funcin para mantener
la poltica original asignada a los grupos seleccionados. Copie varias veces la
poltica y asigne cada una de esas polticas copiadas a cada conjunto de grupos y
ubicaciones. Cada uno de estos grupos y ubicaciones necesita una configuracin
personalizada diferente de la poltica original.
Para copiar una Poltica de control de aplicaciones y dispositivos
2 En el panel Ver polticas, seleccione Polticas de control de aplicaciones y
dispositivos.
3 Abra la lista de polticas y haga clic para seleccionar la poltica que desea
copiar.
4 En el panel Tareas, seleccione Copiar la poltica.
Se muestra la ventana emergente Copiar poltica.
6 En el panel Tareas, seleccione Pegar una poltica.

La poltica se copia en la lista de polticas en la pgina Polticas de control de
El nombre de la nueva copia de la poltica tiene el formato Copia de nombre
de la poltica. Es posible pegar la poltica varias veces. Cada nombre tendr
el formato Copia(n)de nombre de la poltica.
7 Haga clic para seleccionar una poltica copiada.
Se muestra la pgina Poltica de control de aplicaciones y dispositivos. Ahora
puede editar la poltica.
Para editar una Poltica de control de aplicaciones y dispositivos copiada
Polticas.
3 Abra la lista de polticas y haga clic para seleccionar la poltica copiada que
desea modificar.
5 En la pgina Descripcin general, en Nombre de poltica, escriba el nuevo
nombre de la Poltica de control de aplicaciones y dispositivos copiada.
6 En Descripcin, modifique la descripcin de la Poltica de control de
aplicaciones y dispositivos copiada. Esta informacin es opcional: se utiliza
para propsitos de referencia solamente.
7 En el panel Grupos que usan esta poltica, verifique las ubicaciones a las cuales
usted desea asignar la poltica. Para ver los grupos, haga clic en el men
desplegable para seleccionar Vista de rbol o Vista de lista.
8 Haga clic para seleccionar la casilla Habilitar esta poltica si desea aplicar
inmediatamente la poltica.
Se muestra la ventana emergente Asignar poltica.
10 Haga clic en S para asignar la poltica.
11 Haga clic en una o varias casillas de verificacin correspondientes a los grupos

y las ubicaciones a los cuales desea aplicar la poltica.
y dispositivos.
13 Haga clic en S para confirmar y asignar los cambios de las polticas.
Regresar a la pgina Polticas de control de aplicaciones y dispositivos. La
poltica que usted cre se visualiza despus de la poltica predeterminada.
Exportar una poltica de control de aplicaciones y dispositivos

Es posible exportar Polticas de control de aplicaciones y dispositivos existentes
a un archivo .dat. Exporte una poltica para hacer lo siguiente:
Utilizar la poltica en un sitio diferente.
Realizar una copia de respaldo de una poltica existente antes de editarla.
Tambin puede exportar una poltica de control de aplicaciones y dispositivos
desde la pgina Polticas de control de aplicaciones y dispositivos. Seleccione la
poltica, haga clic sobre ella con el botn secundario y, luego, seleccione Exportar.
Para exportar polticas de control de aplicaciones y dispositivos
Polticas.
2 En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos
y seleccione la Poltica de control de aplicaciones y dispositivos que desea
exportar.
3 En el panel Tareas, haga clic en Exportar la poltica. Se muestra en la pantalla
Exportar conjunto de normas.
4 Busque la ubicacin en la que desea guardar la poltica de control de
aplicaciones y dispositivos exportada (archivo .dat). Corrija el nombre de
archivo si es necesario, y haga clic en Exportar.
La poltica de control de aplicaciones y dispositivos se exporta al archivo .dat
en la ubicacin que usted especific. Se exporta la configuracin que se asocia
con la poltica de control de aplicaciones y dispositivos, incluidas las normas
de control de aplicaciones y dispositivos.
Importar una poltica de control de aplicaciones y dispositivos

Puede importar polticas de control de aplicaciones y dispositivos previamente
exportadas. Es posible importar estas polticas desde un archivo .dat.
Importe una poltica para realizar una de las siguientes actividades:
Utilizar una poltica de un sitio diferente.
Restaurar una poltica existente despus de editarla.
Tambin puede importar una poltica de control de aplicaciones y dispositivos
desde la pgina Polticas de control de aplicaciones y dispositivos. Seleccione la
poltica, haga clic sobre ella con el botn secundario y, luego, seleccione Importar.
Para importar las polticas de control de aplicaciones y dispositivos
3 En el panel Tareas, haga clic en Importar una poltica de control de
aplicaciones y dispositivos. Se muestra en la pantalla Importar conjunto de
normas.
4 Busque la ubicacin del archivo de la poltica de control de aplicaciones y
dispositivos (*.dat), seleccione el archivo y, luego, haga clic en Importar.
Se importa la poltica de control de aplicaciones y dispositivos que seleccion,
y se enumera en la lista de polticas de control de aplicaciones y dispositivos
en el panel derecho. Se importan todas las normas y la configuracin que se
asocian con la poltica de control de aplicaciones y dispositivos. Ahora puede
asignar la poltica importada a las ubicaciones.
Retirar una poltica de control de aplicaciones y dispositivos

Es posible encontrar las situaciones en las cuales una poltica no se aplica ms a
una ubicacin. Utilice la tarea Retirar la poltica para retirar la poltica seleccionada
de la ubicacin seleccionada. Es necesario tambin retirar una poltica de todas
las ubicaciones antes de poder eliminar esa poltica.
Para retirar una poltica de control de aplicaciones y dispositivos
3 En la pgina Polticas de control de aplicaciones y dispositivos, seleccione la
poltica de control de aplicaciones y dispositivos que desea retirar.
4 En el panel Tareas, haga clic en Retirar la poltica.

Aparece el cuadro de dilogo para retirar la poltica de control de aplicaciones
y dispositivos. Los grupos y las ubicaciones que utilizan la poltica muestran
una marca verde a su lado.
5 Haga clic para activar los grupos o las ubicaciones de los que desea retirar la
poltica.
6 Haga clic en Retirar.
Un cuadro de dilogo le solicita que confirme la opcin de retirar la poltica.
7 Haga clic en S.
La poltica de control de aplicaciones y dispositivos se retira de los grupos o
de las ubicaciones seleccionados que la utilizan actualmente.
Regresar al panel Polticas de control de aplicaciones y dispositivos.
Eliminar una poltica de control de aplicaciones y dispositivos

Elimine las polticas de control de aplicaciones y dispositivos que ya no necesita.
Compruebe que la poltica que desea eliminar no est aplicada a ninguna ubicacin
ni a ningn grupo. Si no ha retirado la poltica de las ubicaciones a las cuales se
aplica, puede evitar eliminarla.
Para eliminar una poltica de control de aplicaciones y dispositivos
Se muestra una lista de polticas de control de aplicaciones y dispositivos en
la pgina Polticas de control de aplicaciones y dispositivos.
3 Seleccione la poltica que desea eliminar.
4 En el panel Tareas, seleccione Eliminar la poltica.
Se muestra la ventana emergente de confirmacin Eliminar poltica.
5 Haga clic en S para eliminar la poltica.
La poltica se elimina y se quita del panel Polticas de control de aplicaciones
y dispositivos.
Ver el historial de cambios de la poltica de control de aplicaciones y

dispositivos
Utilice la ficha Polticas para ver el historial de cambios de las polticas de control
de aplicaciones y dispositivos. Cambiar el historial proporciona la siguiente
informacin para cada poltica:
Una descripcin del cambio de poltica
La fecha y hora de la marca del cambio de poltica
El nombre del administrador que realiz el cambio
Para ver el historial de cambios de una poltica de control de aplicaciones y
dispositivos:
3 Ubique el panel en la parte inferior de la pgina que contiene el ttulo A
continuacin se muestran los cambios recientes.
Esta lista muestra el historial de cambios combinado para todas las polticas
de control de aplicaciones y dispositivos que se incluyen en la pgina. Esta
lista incluye la siguiente informacin para los ltimos 100 eventos de registro:
Descripcin del cambio y de la poltica afectada.
La fecha y hora de la marca del cambio.
El nombre de inicio de sesin del administrador que realiz el cambio.
Captulo 39
Configurar dispositivos de
hardware
Acerca de los dispositivos de hardware
Editar un dispositivo de hardware
Eliminar un dispositivo de hardware
Acerca de los dispositivos de hardware

Utilice la lista predeterminada de dispositivos de hardware para agregar un
dispositivo a una poltica de control de aplicaciones y dispositivos. La lista
Dispositivos de hardware elimina la necesidad de volver a escribir a estos
dispositivos cada vez que usted desea agregar uno de una norma.
Un dispositivo tiene solamente un ID de dispositivo, que es el ID ms especfico
para un dispositivo. Adems, un dispositivo puede tener ID menos especficos de
hardware e ID compatibles.
La consola de Symantec Endpoint Protection Manager incluye las listas de los
dispositivos que se pueden bloquear y de los dispositivos que pueden ser excluidos
del bloqueo, segn lo que fuera necesario. El administrador puede agregar, eliminar
o editar dispositivos de la lista.

Los dispositivos se muestran cuando se selecciona Dispositivos de hardware en
la ficha Polticas. Esta lista puede ser utilizada cuando se desarrollan las polticas
626 Configurar dispositivos de hardware
de proteccin de acceso que implican el control de acceso en el nivel de los

dispositivos.
Para agregar dispositivos de hardware a la lista
Polticas.
2 En la pgina Polticas, en la seccin Componentes de polticas del panel Ver
polticas, haga clic para seleccionar Dispositivos de hardware.
3 En el panel Tareas, haga clic en Agregar un dispositivo de hardware. Se
muestra el cuadro de dilogo Dispositivo de hardware.
4 Escriba el nombre del dispositivo que desea agregar y su ID. Los ID de
dispositivo se indican entre llaves por convencin. Por ejemplo, las unidades
de disco genricas tienen el ID de dispositivo
{4D36E967-E325-11CE-BFC1-08002BE10318}.

El nuevo dispositivo se visualiza en la lista Nombre del dispositivo. Tambin
puede agregar un dispositivo si hace clic con el botn secundario en la lista
de dispositivos de hardware de la derecha y, luego, hace clic en Agregar.

Es posible editar cualquier dispositivo de hardware que usted haya agregado a la
lista. Los dispositivos predeterminados de la lista no pueden ser editados.
Para editar un dispositivo de hardware
Polticas.
polticas, haga clic para seleccionar Dispositivos de hardware.
3 En la lista Dispositivos de hardware, haga clic para seleccionar el dispositivo
de hardware que usted desea editar.
4 Haga clic para seleccionar Editar el dispositivo de hardware.
Se muestra el cuadro de dilogo Dispositivo de hardware.
5 Edite el nombre de dispositivo o su ID.
La informacin actualizada del dispositivo se visualiza en la lista Nombre del
dispositivo.
Configurar dispositivos de hardware 627

Es posible eliminar cualquier dispositivo de hardware que usted haya agregado a
la lista. Los dispositivos predeterminados de la lista no pueden ser eliminados.
Para eliminar un dispositivo de hardware
Polticas.
polticas, seleccione Dispositivos de hardware.
3 En la lista Dispositivos de hardware, haga clic para seleccionar el dispositivo
de hardware que usted desea eliminar.
4 Haga clic en Eliminar el dispositivo de hardware. Se muestra el cuadro de
dilogo Eliminar dispositivo de hardware.
El dispositivo de hardware se quita de la lista Dispositivos de hardware.
628 Configurar dispositivos de hardware
Captulo 40
Personalizar polticas de
control de aplicaciones y de
dispositivos
Acerca de la autorizacin del uso de aplicaciones, parches y utilidades
Crear e importar una lista de huellas digitales de archivos
Acerca de la autorizacin de aplicaciones
Acerca de la autorizacin del uso de aplicaciones,

parches y utilidades
Symantec Endpoint Protection Manager brinda la posibilidad de proteger los
equipos cliente contra ataques de aplicaciones no aprobadas. Ofrece esta capacidad
de dos maneras. Primero, permite utilizar huellas digitales de archivos para
identificar aplicaciones aprobadas, parches y utilidades que pueden ejecutarse en
los equipos cliente. A continuacin, le permite decidir que la accin se ejecutar
cuando las aplicaciones no aprobadas intentan acceder a los equipos cliente. Si
habilita bloqueo del sistema, es posible despus configurar Symantec Endpoint
Protection Manager para que solamente registre las aplicaciones no aprobadas o
utilizar el bloqueo del sistema para proteger los equipos cliente atacados por
programas no autorizados.
Para utilizar el bloqueo del sistema, primero cree una huella digital de archivos
para cada tipo de cliente del su entorno. Una huella digital de archivo es una lista
de aplicaciones aprobadas para ese equipo cliente. A continuacin, agregue cada
una de las huellas digitales de archivos a una lista de huellas digitales en Symantec
630 Personalizar polticas de control de aplicaciones y de dispositivos
Endpoint Protection Manager. Por ltimo, configure la accin que se realizar

sobre el cliente cuando una aplicacin no aprobada intente acceder a ese equipo.
Por ejemplo, cree una huella digital de archivo para cada tipo de cliente de su
entorno. Asuma que el entorno contiene Windows Vista de 32 bits, Windows Vista
de 64 bits y clientes de Windows XP SP2. Ejecute el archivo checksum.exe en una
imagen de cada uno de estos tres tipos de clientes que existan en su entorno.
Checksum.exe genera una huella digital de archivo para cada tipo de cliente. En
este ejemplo, obtendr tres huellas digitales de archivos: una para cada imagen.
A continuacin, utilice Symantec Endpoint Protection para crear una lista de
huellas digitales de archivos a la cual se agreguen las tres huellas digitales de
archivos que usted gener: una huella digital de archivos para cada tipo de cliente.
ste es el momento en el cual usted define qu accin adopta Symantec Endpoint
Protection cuando una aplicacin no aprobada intenta acceder a un equipo cliente.
Es posible deshabilitar el bloqueo del sistema y permitir el acceso de la aplicacin.
Es posible optar por solamente registrar las aplicaciones no aprobadas. Para
obtener mayor proteccin, es posible habilitar el bloqueo del sistema en el equipo
cliente al cual la aplicacin no autorizada est intentando acceder.
Crear e importar una lista de huellas digitales de

archivos
Una huella digital de archivo para una imagen del equipo cliente consiste en una
lista de sumas de comprobacin para cada aplicacin en ese equipo cliente junto
con las rutas del archivo completo de esas aplicaciones. Compruebe que cada
imagen contenga todos los archivos ejecutables para los que se autorice el uso en
su compaa. Para crear una huella digital de archivos, utilice la utilidad
checksum.exe que se instala junto con Symantec Endpoint Protection en el equipo
cliente. Ejecute este comando en cada imagen del equipo en su entorno para crear
una huella digital de archivos para esas imgenes. El archivo checksum.exe se
encuentra en la siguiente ubicacin:
C:\Program Files\Symantec\Symantec Endpoint Protection
Ejecute esta herramienta desde la lnea de comandos. Checksum.exe crea un
archivo de texto que contiene una lista de todos los archivos ejecutables en ese
equipo y sus sumas de comprobacin correspondientes.
Utilice Symantec Endpoint Protection Manager para importar las huellas digitales
de archivos para cada tipo de equipo cliente en la lista de huellas digitales de
archivos. La lista de huellas digitales de archivos se administra con Symantec
Endpoint Protection Manager. La lista de huellas digitales de archivos contiene
los archivos aprobados para todos los equipos cliente. Es posible tambin agregar
las definiciones de archivo para los archivos individuales que usted desea autorizar.
Personalizar polticas de control de aplicaciones y de dispositivos 631
Crear una huella digital de archivos

Utilice checksum.exe para crear una huella digital de archivos. Las huellas digitales
de archivos incluyen una lista de todos los archivos y la suma de comprobacin
correspondiente que reside en la imagen del equipo cliente. Esta herramienta se
proporciona con Symantec Endpoint Protection en el cliente.
Para crear una huella digital de archivos
1 Vaya al equipo que contiene la imagen para la que desea crear una huella
digital de archivos. El equipo debe tener el software de cliente Symantec
Endpoint Protection instalado.
2 Abra una ventana de la lnea de comandos.
3 Desplcese hasta el directorio que contiene el archivo checksum.exe. De forma
predeterminada, este archivo se encuentra en la siguiente ubicacin:
C:\Program Files\Symantec\Symantec Endpoint Protection
4 Escriba el comando siguiente:
checksum.exe outputfiledrive
donde outputfile es el nombre del archivo de texto que contiene las sumas
de comprobacin para todos los archivos ejecutables que se encuentran en
la unidad especificada. El archivo de salida es un archivo de texto
(outputfile.txt).
Lo que sigue es un ejemplo de la sintaxis que utiliza:
checksum.exe cdrive.txt c:\
Este comando crea un archivo que se llama cdrive.txt. Contiene las sumas de
comprobacin y las rutas de los archivos de todos los archivos ejecutables y
DLL que se encontraron en la unidad de C del equipo cliente en el que se
ejecut.
Ejemplo de salida de checksum.exe

A continuacin, se incluye un ejemplo de un archivo de salida checksum.exe que
fue ejecutado en una imagen del equipo. El formato de cada lnea es <suma de
comprobacin del archivo > <espacio> <nombre de ruta completo del
archivo exe o DLL >.
cfca3291df528430fb6b2c526e9a04d0 c:\agent\Export\SPA\Export\SPA\SPA.exe
6abae642541e9cb4d3c2b1370ea29b9a c:\agent\Export\SPA\SPA.exe
213e91bf26f7f100869749b7fa5b0b7f c:\AgentPackage5.0\Global_PUB-CROCKER\
SPA\SPA.exe
0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe
35162d98c2b445199fef95e838feae4b c:\dell\pnp\m\co\HSFCI008.dll
77e4ff0b73bc0aeaaf39bf0c8104231f c:\dell\pnp\m\co\HSFHWBS2.sys
f59ed5a43b988a18ef582bb07b2327a7 c:\dell\pnp\m\co\HSF_CNXT.sys
60e1604729a15ef4a3b05f298427b3b1 c:\dell\pnp\m\co\HSF_DP.sys
4f3ef8d2183f927300ac864d63dd1532 c:\dell\pnp\m\co\HXFSetup.exe
dcd15d648779f59808b50f1a9cc3698d c:\dell\pnp\m\co\MdmXSdk.dll
eeaea6514ba7c9d273b5e87c4e1aab30 c:\dell\pnp\m\co\MDMXSDK.sys
0a7782b5f8bf65d12e50f506cad6d840 c:\dell\pnp\mgmt\drac2wdm.sys
9a6d7bb226861f6e9b151d22b977750d c:\dell\pnp\mgmt\racser.sys
d97e4c330e3c940ee42f6a95aec41147 c:\dell\pnp\n\bc\b57xp32.sys
Editar una lista de huellas digitales de archivos

No es posible editar directamente una lista de huellas digitales de archivos
existente. Primero, utilice checksum.exe para crear una nueva lista de huellas
digitales de archivos mediante una imagen diferente del equipo. Es posible entonces
combinar la lista de huellas digitales de archivos de Symantec Endpoint Protection
Manager con la nueva lista de huellas digitales de archivos de la imagen del cliente.
Para editar una lista de huellas digitales de archivos
Polticas.
2 En la pgina Polticas, bajo Ver polticas, expanda Componentes de polticas.
3 En la pgina Polticas, bajo Componentes de polticas, haga clic en Lista de
huellas digitales de archivos.
4 En el panel Listas de huellas digitales de archivos, haga clic con el botn
secundario en la lista de huellas digitales que desea editar en el rea de la
informacin de la derecha.
5 Haga clic en Editar.
6 En el Asistente para editar huellas digitales de archivos, haga clic en Siguiente.
7 Elija Agregar un archivo de huella digital a la huella digital de archivo para
agregar un nuevo archivo al archivo existente y haga clic en Siguiente.
La lista aparece en el rea de informacin de la derecha cuando las listas de
huellas digitales de archivos se seleccionan en el rbol Polticas.
Importar una lista de huellas digitales de archivos

Es posible agregar listas de huellas digitales de archivos a una poltica compartida
mediante la importacin de un archivo. Es necesario haber creado la lista
previamente.
Ver "Crear una huella digital de archivos" en la pgina 631.
Para importar una lista de huellas digitales de archivos a una poltica compartida
Polticas.
4 En la pgina Polticas, bajo Tareas, haga clic en Agregar una lista de huellas
digitales de archivos.
5 En el panel Bienvenido al Asistente para agregar huellas digitales de archivos,
6 En el panel Informacin acerca de la nueva huella digital de archivo, escriba
el nombre de la lista de huellas digitales que desea agregar en el cuadro de
texto Nombre.
una descripcin de la lista de huellas digitales que desea agregar en el cuadro
de texto Descripcin.
Este paso es opcional.
9 En el panel Crear una huella digital de archivo, haga clic en Crear la huella
digital de archivo importando un archivo de huella digital de archivo.
11 Haga clic en Examinar para localizar el archivo o escriba la ruta completa de
la lista de huellas digitales de archivos en el cuadro de texto.
La lista aparece en el rea de informacin de la derecha cuando las listas de
huellas digitales de archivos se seleccionan en el rbol Polticas.
Combinar listas de huellas digitales de archivos

Es posible combinar varias listas de huellas digitales de archivos de una poltica
compartida. Es necesario haber agregado ya las listas que se desea combinar antes
de iniciar esta tarea.
Ver "Importar una lista de huellas digitales de archivos" en la pgina 633.
Para combinar listas de huellas digitales de archivos en una poltica compartida
Polticas.
4 En el panel Bienvenido al Asistente para agregar huellas digitales de archivos,
el nombre de la lista de huellas digitales combinadas que desea agregar en el
cuadro de texto Nombre.
una descripcin de la lista de huellas digitales combinadas que desea agregar
en el cuadro de texto Descripcin.
Este paso es opcional.
8 En el panel Crear una huella digital de archivos, haga clic en Crear la huella
digital de archivo combinando varias huellas digitales de archivos
existentes.
Esta opcin est disponible solamente si hay listas de huellas digitales de
archivos en la poltica compartida.
10 Seleccione las huellas digitales que desea combinar.
La lista de huellas digitales combinada aparece en el rea de informacin de
la derecha.
Eliminar una lista de huellas digitales de archivos

Es posible eliminar cualquier lista de huellas digitales de archivos que ya no se
necesiten. Primero asegrese de que la lista de huellas digitales de archivos ya no
se necesite en el nivel de grupo antes de eliminarla de una poltica compartida.
Para eliminar una lista de huellas digitales de archivos
Polticas.
4 En el panel Listas de huellas digitales de archivos, seleccione la lista de huellas
digitales de archivos que desee eliminar.
5 En la pgina Polticas, bajo Tareas, haga clic en Eliminar.
La lista de huellas digitales de archivos se elimina de Symantec Endpoint
Protection Manager, pero queda en su equipo en la ubicacin desde la que se
la import.

El bloqueo de sistema es una opcin de proteccin que permite controlar
detalladamente qu aplicaciones se pueden ejecutar en el equipo cliente. Es posible
crear una lista de huellas digitales de archivos que contenga sumas de control y
ubicaciones de todas las aplicaciones para las cuales se autoriz el uso en su
compaa.
Esta lista de aplicaciones puede incluir todos los tipos de archivos ejecutables,
incluidos los siguientes:
.exe
.com
.dll
.ocx
Utilice el bloqueo del sistema para bloquear prcticamente cualquier caballo de
Troya, software espa o software malicioso que intente ejecutarse o cargarse en
una aplicacin existente. Por ejemplo, es posible evitar que estos archivos se
carguen en Internet Explorer. El bloqueo del sistema garantiza el sistema se
mantenga en un estado conocido y de confianza.
Ver la lista de excepciones

La lista de excepciones incluye las aplicaciones que los clientes ejecutan pero que
no estn incluidas en la lista de huellas digitales de archivos de aplicaciones
aprobadas. Despus de ejecutar el bloqueo del sistema en modo de prueba bastante
tiempo para ver qu aplicaciones no aprobadas se ejecutan, puede realizar las
Aprobar el uso de las Agregar aplicaciones a la lista de aplicaciones permitidas

aplicaciones adicionales siempre en la ficha Bloqueo del sistema, o agregar las
aplicaciones a la imagen donde cre la huella digital de
archivos.
Notificar a los usuarios Puede notificar a un usuario que no tiene ms acceso a un

equipo. Tambin puede informar al usuario que las
aplicaciones especificadas se pueden utilizar en una cierta
fecha futura que usted indique. Es posible entonces
proceder a habilitar el bloqueo del sistema en esa fecha.
Seguir registrando el uso de No se necesita ninguna accin adicional.

aplicaciones no aprobadas.
Para ver la lista de aplicaciones no aprobadas de un cliente

2 En la pgina Clientes, bajo Ver, expanda el grupo Global para seleccionar el
grupo especfico cuya lista de excepciones desea ver.
La lista de excepciones incluye la informacin sobre los grupos que se hereda
del grupo seleccionado.
4 En la ficha rea de configuracin y polticas de grupo, bajo Proteccin, haga
clic en Bloqueo del sistema.
5 En Bloqueo del sistema, en el el nombre del grupo, haga clic en Mostrar
lista de excepciones.
Esta opcin slo est disponible si se aplican cualquiera de las siguientes
opciones:
Registrar aplicaciones no aprobadas
Habilitar bloqueo del sistema
6 Revise las aplicaciones que se enumeran en la lista de excepciones. Esta lista

incluye la informacin sobre la hora en que la aplicacin fue ejecutada, el
nombre de host del equipo, el nombre de usuario del cliente y el nombre del
archivo ejecutable.
7 Determine cmo desea administrar las aplicaciones no aprobadas. Agregue
los nombres de las aplicaciones que desea permitir en la lista de archivos que
se permiten siempre. Puede agregar el archivo ejecutable en la imagen del
equipo la prxima vez que cree una huella digital de archivo.
Acerca del bloqueo del sistema

Utilice el bloqueo del sistema para controlar minuciosamente qu aplicaciones
pueden ejecutar los usuarios en el cliente. El software cliente incluye una
herramienta que se llama checksum.exe. Utilice esta herramienta para crear una
lista de huellas digitales de archivos. Una lista de huellas digitales de archivos
contiene sumas de comprobacin y las ubicaciones de todas las aplicaciones
autorizadas para el uso en su compaa. La ventaja de esta funcin es que el
bloqueo del sistema se puede aplicar independientemente de la conexin del
usuario a la red.
Symantec recomienda que implemente el bloqueo del sistema en las siguientes
fases:
Obtenga una imagen aprobada del cree una imagen de software que incluya todas las
software aplicaciones que usted desea que los usuarios
utilicen en sus equipos. Utilice esta imagen para
crear una lista de huellas digitales de archivos.
Registre las aplicaciones no Habilite el bloqueo del sistema registrando las

aprobadas aplicaciones que no se incluyen en la lista de huellas
digitales de archivos. Podr ajustar su huella digital
de archivos para que incluya las aplicaciones
necesarias de los usuarios. Es posible avisarles
adecuadamente antes de bloquear las aplicaciones
no aprobadas.
Agregue aplicaciones permitidas Agregue los archivos ejecutables que desea permitir
incluso si no estn en la lista de huellas digitales de
archivos.
Habilite el bloqueo del sistema refuerce el bloqueo del sistema y bloquee las
aplicaciones no aprobadas.
Tiene la opcin de definir un mensaje personalizado para mostrar a los usuarios

que tienen aplicaciones bloqueadas.
Ver la lista de excepciones

La lista de excepciones incluye las aplicaciones que los clientes estn ejecutando
pero que no estn incluidas en la lista de huellas digitales de archivos de
aplicaciones aprobadas. Despus de ejecutar el bloqueo del sistema en modo de
prueba bastante tiempo para ver qu aplicaciones no aprobadas se ejecutan, es
posible:
Autorizar el uso de esas aplicaciones adicionales. Esta accin agrega
aplicaciones a la lista de aplicaciones siempre permitidas en la ficha Bloqueo
del sistema o a la imagen donde se cre la huella digital de archivo.
Notificar a los usuarios que las aplicaciones ya no se permitirn a partir de
determinada fecha que usted especifique. Es posible entonces proceder a
habilitar el bloqueo del sistema en esa fecha.
Seguir registrando el uso de aplicaciones no aprobadas. No se necesita ninguna
accin adicional.
Para ver la lista de aplicaciones no aprobadas que los clientes utilizan
2 En el rbol Polticas, expanda Global y seleccione el grupo cuya lista de
excepciones desea ver. La lista de excepciones incluye informacin sobre los
grupos que se hereda del grupo seleccionado.
3 Bajo Configuracin de proteccin, a la derecha, seleccione Bloqueo del sistema.
Aparece el cuadro de dilogo Configuracin de grupo, donde se muestra la
ficha Bloqueo del sistema.
4 Haga clic en Mostrar lista de excepciones. Esta opcin est disponible
solamente si se aplican las opciones Registrar aplicaciones no aprobadas o
Habilitar bloqueo del sistema. Se muestra la lista de excepciones.
5 Revise las aplicaciones que se enumeran en la lista de excepciones. La
informacin que se visualiza incluye el momento en que que se ejecut la
aplicacin, el nombre de host del equipo, el nombre de usuario del cliente y
el nombre de archivo del ejecutable.
6 Determine cmo desea administrar las aplicaciones no aprobadas. Agregue
las que desee permitir a la lista de archivos que se permiten siempre. Puede
agregar el archivo ejecutable en la imagen del equipo la prxima vez que cree
una huella digital de archivo.
Habilitar bloqueo del sistema

Ejecute el bloqueo del sistema en el modo de prueba bastante tiempo para detectar
que las aplicaciones (eventualmente) aparezcan en la lista de excepciones. Realice
los cambios necesarios para permitir las aplicaciones que aparecen. A continuacin
habilite el bloqueo del sistema.
Para habilitar bloqueo del sistema
1 En los pgina clientes, haga clic en la ficha Polticas.
2 En el rbol Ver, expanda Global y seleccione al grupo para el que desea
configurar el bloqueo del sistema.
Slo puede bloquear los equipos cliente en esos grupos que no se hereden de
un grupo principal.
3 Bajo Configuracin de proteccin, a la derecha, seleccione Bloqueo del sistema.
Aparece el cuadro de dilogo Configuracin de grupo, donde se muestra la
ficha Bloqueo del sistema.
4 Haga clic en Paso 2: permitir el bloqueo del sistema para activar esta
proteccin. Este paso bloquea las aplicaciones no aprobadas que los clientes
intentan ejecutar.
5 Aunque no se recomienda, ahora puede agregar listas de huellas digitales de
archivos y archivos ejecutables permitidos.
Debe asegurarse de que todo funciona en la prueba antes de habilitar el
bloqueo del sistema.
6 Elija si seleccionar Notificar al usuario si se bloquea la aplicacin (no hay
notificacin predeterminada). Si desea notificar a los usuarios, agregue un
mensaje que puedan ver al hacer clic en Agregar mensaje adicional. Escriba
el mensaje y haga clic en Aceptar.
Requisitos previos de bloqueo del sistema

Los siguientes requisitos previos se deben cumplir antes de que pueda habilitar
el bloqueo del sistema:
Crear la huella digital de archivos Es necesario haber creado una huella digital de
archivos que incluya las aplicaciones que se
permiten. Esta lista se puede crear desde una
imagen corporativa que se instale regularmente en
los equipos de los usuarios. Esta lista se crea en un
equipo que ejecute el cliente.
Agregar una o ms huellas digitales Despus de que usted cree las huellas digitales, debe
de archivos agregarlas al administrador.
Combinar las huellas digitales de Se pueden combinar varias huellas digitales de

archivos archivos. Por ejemplo, es posible utilizar diferentes
imgenes para diferentes grupos en su compaa.
Implemente el bloqueo del sistema en las siguientes fases:
Probar el bloqueo del sistema Antes de bloquear los archivos ejecutables no

aprobados, es posible agregar una o ms listas de
huellas digitales de archivos. Agregue las
aplicaciones que deben se deben permitir siempre
y registre los resultados en el registro de
comportamiento.
Verificar la lista de excepciones Despus de algunos das de prueba de bloqueo del

sistema, puede ver la lista de excepciones. Esta lista
muestra las aplicaciones no aprobadas que ejecutan
los usuarios del grupo. Es posible decidir si desea
agregar ms aplicaciones a la huella digital de
archivos o a la lista permitida.
Habilitar el bloqueo del sistema Luego, puede habilitar el bloqueo del sistema para
bloquear las aplicaciones que no se incluyen en las
listas de huellas digitales de archivos.
Seccin 7
Configurar excepciones
centralizadas
Configurar polticas de excepciones centralizadas

642
Captulo 41
Configurar polticas de
excepciones centralizadas
Acerca de las polticas de excepciones centralizadas
Configurar una poltica de excepciones centralizada
Configurar restricciones de clientes para las excepciones centralizadas
Crear excepciones centralizadas de eventos de registro

Las polticas de excepciones centralizadas contienen excepciones para los
siguientes tipos de anlisis:
Anlisis antivirus y de software espa
Anlisis de Proteccin contra intervenciones
Nota: Los anlisis antivirus y de software espa incluyen todos los anlisis de
Auto-Protect, anlisis programados, anlisis manuales o anlisis definidos por el
usuario.
Tpicamente, las excepciones son riesgos o procesos que usted desea que el software
cliente excluya del anlisis. Si utiliza excepciones en equipos cliente, es posible
que se reduzca el tiempo del anlisis. Si reduce el tiempo del anlisis, aumenta el
rendimiento del sistema en los equipos cliente.
644 Configurar polticas de excepciones centralizadas
Para los anlisis de amenazas proactivos, es posible que desee adems que el
software de cliente detecte un proceso especfico que no se detecta de forma
predeterminada. Es posible crear una excepcin para forzar la deteccin. Cuando
la deteccin aparece en la lista de procesos detectados, puede crear otra excepcin
para especificar una accin para la deteccin.
Nota: Para los anlisis antivirus y de software espa, o de Proteccin contra

intervenciones, se utilizan excepciones centralizadas para especificar elementos
determinados que se deben excluir de los anlisis. Para los anlisis de amenazas
proactivos, sin embargo, se utilizan excepciones centralizadas para especificar
acciones para los procesos detectados o para forzar una deteccin.
Cuando se crea una poltica de excepciones centralizada, las excepciones se aplican

a todos los anlisis de ese tipo en el equipo cliente que utiliza la poltica. Es posible
incluir todas las excepciones en la misma poltica.
A diferencia de otras polticas, la consola de Symantec Endpoint Protection no
incluye una poltica de excepciones centralizada predeterminada. Es necesario
crear una nueva poltica. Es posible crear polticas de excepciones centralizadas
desde la pgina de polticas o puede crear polticas de excepciones centralizadas
desde la pgina clientes en la consola de administracin.
Puede agregar excepciones a una poltica de excepciones centralizada usando los
registros de la consola de administracin. Es necesario crear una poltica de
excepciones centralizada para poder utilizar este mtodo para crear excepciones.
Ver "Crear excepciones centralizadas de eventos de registro" en la pgina 654.
Acerca de la utilizacin de polticas de excepciones centralizadas

Se crean y editan polticas de excepciones centralizadas de la misma forma en
que se crean y modifican otros tipos de polticas. Puede asignar, quitar, reemplazar,
copiar, exportar, importar o eliminar una poltica de excepciones centralizada.
Se asigna tpicamente una poltica a los diferentes grupos de su red de seguridad.
Es posible crear una poltica especfica de una ubicacin no compartida si tiene
Para trabajar con polticas de excepciones centralizadas, debe estar familiarizado
con los fundamentos de la configuracin de polticas.
Configurar polticas de excepciones centralizadas 645
Acerca de las excepciones centralizadas para los anlisis antivirus y

Es posible que desee excluir un riesgo de seguridad determinado de los anlisis
antivirus y contra software espa. Es recomendable excluir ciertos archivos,
carpetas o extensiones de archivo de los anlisis.
Cuando se excluye un riesgo de seguridad, los anlisis ignoran el riesgo. Es posible
configurar la excepcin de modo que los anlisis registren la deteccin. En
cualquier caso, el software de cliente no notifica a los usuarios cuando detecta los
riesgos de seguridad especificados. Cuando se excluyen archivos, carpetas o
extensiones, los anlisis ignoran los archivos, las carpetas o las extensiones.
Nota: Las excepciones centralizadas se aplican a todas los anlisis antivirus y

contra software espa. No puede crear diferentes excepciones para distintos tipos
de anlisis. Por ejemplo, puede crear una excepcin centralizada para excluir una
extensin de archivo determinada. El software de cliente excluye la extensin de
los anlisis de Auto-Protect y de todos los anlisis definidos por el administrador
y por el usario. Los anlisis definidos por el administrador y los anlisis definidos
por el usario incluyen anlisis programados y anlisis manuales.
Acerca de las excepciones centralizadas para los anlisis de amenazas

proactivos
Es posible que desee excluir ciertos procesos de los anlisis de amenazas proactivos.
Es necesario determinar que los procesos que desea excluir sean seguros de ejecutar
en los equipos cliente en su red de seguridad. Para excluir un proceso detectado,
configure la accin de deteccin en Omitir.
Tambin puede crear una excepcin centralizada para especificar que ciertos
procesos no estn permitidos. Para especificar que los procesos no estn
permitidos, configure la accin de deteccin en Cuarentena o Finalizar.
Es posible forzar una deteccin de la amenaza proactiva creando una excepcin
centralizada que especifique un nombre de archivo. Cuando el anlisis de amenazas
proactivo detecta el archivo, el cliente registra el evento. Dado que los nombres
de archivo no son exclusivos, es posible que varios procesos utilicen el mismo
nombre de archivo. Es posible utilizar una deteccin forzada para crear una
excepcin para poner en cuarentena o para finalizar un proceso que se asocie al
archivo.
Ver "Cmo funcionan los anlisis de amenazas proactivos con excepciones
centralizadas" en la pgina 591.
Acerca de las excepciones centralizadas para la proteccin contra

intervenciones
La proteccin contra intervenciones protege los equipos cliente de los procesos
que intervienen en los procesos de Symantec y los objetos internos. Cuando la
proteccin contra intervenciones detecta un proceso que puede modificar las
opciones de configuracin de Symantec o los valores del registro de Windows,
bloquea el proceso. Es posible que deba permitir que una aplicacin modifique la
configuracin de Symantec. Es posible que desee detener la proteccin contra
intervenciones para ciertas reas del registro o para ciertos archivos del equipo
cliente.
Acerca de la interaccin del cliente con excepciones centralizadas

Las excepciones definidas por el administrador siempre toman precedencia sobre
las excepciones definidas por el usuario. En los equipos cliente, los usuarios pueden
ver la lista de excepciones definidas por el administrador, pero no pueden
modificarlas. Un usuario tambin puede ver cualquier excepcin que l cree.
De forma predeterminada, los usuarios en los equipos cliente tienen derechos de
configuracin limitados para las excepciones centralizadas.
De forma predeterminada, los usuarios tienen las siguientes restricciones:
No pueden crear excepciones para forzar las detecciones para los anlisis de
amenazas proactivos. No pueden hacer una seleccin de una lista de procesos
detectados para crear una excepcin para los anlisis de amenazas proactivos.
Sin embargo, pueden seleccionar un archivo del equipo cliente para crear una
excepcin del anlisis de amenazas proactivo.
Los usuarios no pueden crear ninguna excepcin para la proteccin contra
intervenciones.
Puede restringir usuarios en los equipos cliente de modo que no puedan crear
excepciones para los anlisis antivirus y contra software espa, o para los anlisis
de amenazas proactivos.
Ver "Configurar restricciones de clientes para las excepciones centralizadas"
en la pgina 653.

Se configura una poltica de excepciones centralizada de la misma forma en que
se configuran otros tipos de polticas.
Para configurar una poltica de excepciones centralizada

1 En la pgina Poltica de excepciones centralizada, haga clic en Excepciones
centralizadas.
2 Bajo Excepciones centralizadas, haga clic en Agregar y realice una de las
Haga clic en Excepciones de riesgos de seguridad y agregue una excepcin
de riesgos de seguridad que usted desee incluir en la poltica.
Ver "Configurar una excepcin centralizada para los anlisis antivirus y
Haga clic en Excepciones de anlisis de amenazas proactivo y agregue
una excepcin de anlisis de amenazas proactivo que desee incluir en la
poltica.
Ver "Configurar una excepcin centralizada para los anlisis de amenazas
proactivos" en la pgina 650.
Haga clic en Excepcin de proteccin contra intervenciones y agregue
una excepcin de anlisis de amenazas proactivo que desee incluir en la
poltica.
Ver "Configurar una excepcin centralizada para la proteccin contra
intervenciones" en la pgina 652.
3 Repita el paso 2 para agregar ms excepciones.

Configurar una excepcin centralizada para los anlisis antivirus y

Puede crear las excepciones para riesgos de seguridad conocidos, archivos, carpetas
o extensiones de archivo. Las excepciones se aplican a todos los anlisis antivirus
y contra software espa que se ejecuten en los equipos cliente que utilizan la
poltica.
Para configurar una excepcin centralizada para los anlisis antivirus y contra
software espa
centralizadas.
2 Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos
de seguridad y, a continuacin, realice una de las siguientes acciones:
Haga clic en Riesgos conocidos y, luego, configure la excepcin.

Ver "Configurar excepciones centralizadas para los riesgos de seguridad
conocidos" en la pgina 648.
Haga clic en Archivo y, luego, configure la excepcin.
Ver "Configurar una excepcin centralizada para un archivo"
en la pgina 649.
Haga clic en Carpeta y, luego, configure la excepcin.
Ver "Configurar una excepcin centralizada para una carpeta"
en la pgina 649.
Haga clic en Extensiones y, luego, configure la excepcin.
Ver "Configurar una excepcin centralizada para una extensin de archivo"
en la pgina 650.

Configurar excepciones centralizadas para los riesgos de

seguridad conocidos
Los riesgos de seguridad que el software de cliente detecta aparecen en el cuadro
de dilogo Excepciones de riesgos de seguridad conocidos.
La lista de los riesgos de seguridad conocidos incluye la informacin sobre la
gravedad del riesgo.
Para configurar excepciones centralizadas para los riesgos de seguridad conocidos
centralizadas.
de seguridad > Riesgos conocidos.
3 En el cuadro de dilogo Excepciones de riesgos de seguridad conocidos,
seleccione uno o ms riesgos de seguridad que desee excluir de los anlisis
4 Marque Registrar la deteccin del riesgo de seguridad si desea registrar la
deteccin.
Si no marca esta opcin, el cliente ignora el riesgo cuando detecta los riesgos
seleccionados. Por lo tanto, el cliente no registra la deteccin.

Configurar una excepcin centralizada para un archivo

Las excepciones para archivos se agregan individualmente. Si desea crear
excepciones para ms de un archivo, repita el procedimiento.
Para configurar una excepcin centralizada para un archivo
centralizadas.
de seguridad > Archivo.
3 Bajo Excepcin de archivos de riesgos de seguridad, en el cuadro desplegable
Variable de prefijo, seleccione una ubicacin de archivo si desea restringir la
excepcin.
Seleccione NINGUNO si desea que la excepcin se aplique al archivo en
cualquier ubicacin en el equipo cliente.
4 En el cuadro de texto Archivo, escriba el nombre del archivo.
Incluya la informacin de la ruta del archivo.
Configurar una excepcin centralizada para una carpeta

Las excepciones para las carpetas se agregan individualmente. Si desea crear
excepciones para ms de una carpeta, repita el procedimiento.
Para configurar una excepcin centralizada para una carpeta
centralizadas.
de seguridad > Carpeta.
3 Bajo Excepcin de carpeta de riesgos de seguridad, en el cuadro desplegable
Variable de prefijo, seleccione una ubicacin de carpeta si desea restringir la
excepcin.
Utilice NINGUNO si desea que la excepcin se aplique al archivo en cualquier
ubicacin en el equipo cliente.
4 En el cuadro de texto Carpeta, escriba el nombre del archivo.

Incluya la informacin de la ruta de la carpeta.
Configurar una excepcin centralizada para una extensin de

archivo
Es posible agregar varias extensiones de archivo a una excepcin. Despus de
crear la excepcin, no es posible crear otra excepcin de extensiones para la misma
poltica. Es necesario editar la excepcin existente.
Nota: Es posible agregar solamente una extensin por vez. Si escribe varios
nombres de extensin en el cuadro de texto Agregar, la poltica trata la entrada
como un solo nombre de extensin.
Para configurar una excepcin centralizada para una extensin de archivo

centralizadas.
de seguridad > Extensin.
3 En el cuadro de texto, escriba la extensin que desea excluir y despus haga
clic en Agregar.
4 Repita el paso 3 para agregar ms extensiones a la excepcin.
Configurar una excepcin centralizada para los anlisis de amenazas

proactivos
Puede configurar excepciones para excluir procesos detectados de los anlisis de
amenazas proactivos futuros. Tambin puede forzar un anlisis de amenazas
proactivo para detectar un proceso determinado.
Para configurar una excepcin centralizada para los anlisis de amenazas proactivos
centralizadas.
2 Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo y, a
continuacin, realice una de las siguientes acciones:
Haga clic en Procesos detectados.
Ver "Configurar una excepcin centralizada para un proceso detectado"
en la pgina 651.
Haga clic en Procesar.
Ver "Configurar una excepcin para forzar anlisis de amenazas proactivos
para detectar un proceso" en la pgina 652.

Configurar una excepcin centralizada para un proceso

detectado
Es posible crear una excepcin para un proceso que los anlisis de amenazas
proactivos detecten.
Cuando crea una excepcin para un proceso detectado, usted elige de una lista de
detecciones. La consola de administracin llena la lista con las detecciones que el
cliente registra en su red de seguridad.
La lista de deteccin aparece vaca si los equipos cliente de su red an no han
hecho ninguna deteccin.
Es posible forzar anlisis de amenazas proactivos para detectar un proceso
determinado. Cuando un anlisis de amenazas proactivo detecta el proceso y la
consola de administracin recibe el evento, el proceso aparece en la lista de
procesos detectados.
Ver "Configurar una excepcin para forzar anlisis de amenazas proactivos para
detectar un proceso" en la pgina 652.
Para configurar una excepcin centralizada para un proceso detectado
centralizadas.
2 Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo >
Procesos detectados.
3 Seleccione los procesos para los cuales desee crear una excepcin.
4 En el cuadro desplegable Accin, seleccione Omitir, Finalizar, Cuarentena o

Registrar.
Configurar una excepcin para forzar anlisis de amenazas

proactivos para detectar un proceso
Es posible configurar una excepcin para forzar anlisis de amenazas proactivos
para detectar un proceso. Es posible que tenga que configurar este tipo de
excepcin cuando los anlisis de amenazas proactivos no detectan un proceso
determinado.
Una vez que los anlisis se ejecutan y detectan el proceso especificado, es posible
crear otra excepcin para manejar el proceso.
Ver "Configurar una excepcin centralizada para un proceso detectado"
en la pgina 651.
Para configurar una excepcin para forzar anlisis de amenazas proactivos para
detectar un proceso
centralizadas.
2 Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo >
Proceso.
3 En el cuadro de dilogo Agregar excepcin de proceso de anlisis de amenazas
proactivo, escriba el nombre del proceso.
Por ejemplo, es posible que tenga que escribir el nombre de un archivo
ejecutable de la siguiente forma:
foo.exe
Configurar una excepcin centralizada para la proteccin contra

intervenciones
Puede configurar las excepciones centralizadas para la proteccin contra
intervenciones.
Configurar restricciones de clientes para las excepciones centralizadas
Para configurar una excepcin centralizada para la proteccin contra intervenciones

centralizadas.
2 Haga clic en Agregar > Excepcin de proteccin contra intervenciones.
3 En el cuadro de dilogo Excepcin de proteccin contra intervenciones, en el
cuadro desplegable Variable de prefijo, seleccione una ubicacin de archivo
para restringir la excepcin.
4 En el cuadro de texto Archivo, escriba el nombre del archivo.
Incluya la informacin de la ruta del archivo.
Configurar restricciones de clientes para las

excepciones centralizadas
Puede configurar restricciones para que los usuarios de los equipos cliente no
puedan crear excepciones para los anlisis antivirus y contra software espa, o
para los anlisis de amenazas proactivos. De forma predeterminada, los usuarios
pueden configurar excepciones. Para los anlisis de amenazas proactivos, los
usuarios tienen privilegios de configuracin limitados.
Nota: Los usuarios de los equipos cliente nunca pueden crear las excepciones para
la proteccin contra intervenciones, sin importar la configuracin de la restriccin.
Para configurar las restricciones de clientes para las excepciones centralizadas

1 En la pgina Poltica de excepciones centralizada, haga clic en Restricciones
del cliente.
2 Bajo Restricciones del cliente, marque o quite la marca de Excepciones
centralizadas de riesgos de seguridad y Excepciones de anlisis de amenazas
proactivo.
Crear excepciones centralizadas de eventos de

registro
Puede crear excepciones centralizadas de eventos de registro para los anlisis
antivirus y contra software espa, o los anlisis de amenazas proactivos. No es
posible crear excepciones de los eventos de registro para la proteccin contra
intervenciones.
Cuando se crean excepciones de eventos de registro, se agrega un riesgo, un
archivo, una carpeta, una extensin o un proceso a la poltica de excepciones
centralizada. Se especifica la poltica de excepciones centralizada cuando usted
crea la excepcin.
Ver "Acerca de los registros" en la pgina 219.
Para crear excepciones centralizadas de eventos de registro
1 En la ficha Supervisin, haga clic en la ficha Registros.
2 En el cuadro de la lista desplegable Tipo de registro, realice una de las
Seleccione el riesgo.
Seleccione la proteccin de amenazas proactiva.
Seleccione Control de aplicaciones y dispositivos.
3 Si seleccion Control de aplicaciones y dispositivos, seleccione Control de

aplicaciones en el cuadro de la lista Contenido del registro.
5 Siga las instrucciones para agregar las excepciones centralizadas para el tipo
de registro que seleccion.
Ver "Agregar una excepcin centralizada para eventos de riesgo"
en la pgina 654.
Ver "Agregar una excepcin centralizada para eventos de proteccin proactiva
contra amenazas" en la pgina 655.
Ver "Agregar una excepcin centralizada para eventos de Proteccin contra
intervenciones" en la pgina 656.
Agregar una excepcin centralizada para eventos de riesgo

Es posible agregar una excepcin centralizada para eventos de riesgo.
Para agregar una excepcin centralizada para eventos de riesgo

1 En la pgina Registros de riesgos, seleccione uno o ms eventos para los cuales
desee agregar una excepcin centralizada.
2 Junto a Accin, realice una de las siguientes acciones:
Seleccione Agregar riesgo a la poltica de excepciones centralizada.
Seleccione Agregar archivo a la poltica de excepciones centralizada.
Seleccione Agregar carpeta a la poltica de excepciones centralizada.
Seleccione Agregar extensin a la poltica de excepciones centralizada.

4 En el cuadro de dilogo, puede quitar cualquier riesgo, archivo, carpeta o
extensin asociados al evento. Si quita elementos, no se los incluye en la
excepcin.
Si ningn elemento aparece en los riesgos, los archivos, las carpetas o las
listas de extensiones, no es posible crear una excepcin.
5 Para los riesgos de seguridad, es posible activar Registrar la deteccin del
riesgo de seguridad si desea que el software de cliente registre la deteccin.
6 Seleccione todas las polticas de excepciones centralizadas que deban utilizar
esta excepcin.
Agregar una excepcin centralizada para eventos de proteccin

Es posible agregar una excepcin centralizada para eventos de proteccin proactiva
contra amenazas.
Para agregar una excepcin centralizada para eventos de proteccin proactiva
contra amenazas
1 En la pgina Registros de proteccin activa de amenazas, seleccione uno o
ms eventos para los cuales desee agregar una excepcin centralizada.
2 Junto a Accin, seleccione Agregar proceso a la poltica de excepciones
centralizada.
4 En el cuadro de dilogo, en la lista desplegable Respuesta, seleccione la accin

de deteccin para el proceso.
Opcionalmente, es posible quitar cualquier proceso que usted no desee incluir
en la excepcin.
5 Seleccione las polticas de excepciones centralizadas que debe incluir esta
excepcin.
Agregar una excepcin centralizada para eventos de Proteccin contra

intervenciones
Es posible agregar una excepcin centralizada para los eventos de Proteccin
contra intervenciones.
Para agregar una excepcin centralizada para eventos de Proteccin contra
intervenciones
1 En la pgina de registros de Control de aplicaciones y dispositivos, seleccione
uno o ms eventos para los cuales usted desee agregar una excepcin
centralizada.
2 Al lado de Accin, seleccione Agregar archivo a la poltica de excepciones
centralizada.
4 Para quitar un archivo que usted no desee incluir en la excepcin, seleccione
el archivo y haga clic en Quitar.
Repita este paso para quitar ms archivos.
5 Seleccione las polticas de excepciones centralizadas que debe incluir esta
excepcin.
Seccin 8
Tareas de Network Access
Control e integridad del host
Configurar polticas de integridad del host
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que
no cumplen las polticas
Administrar mdulos de Enforcer desde la consola
Informes y registros de Enforcer

658
Captulo 42
Configurar polticas de
integridad del host
Acerca de las polticas de integridad del host
Cmo funciona la aplicacin de integridad del host
Consideraciones para la planificacin de requisitos de integridad del host
Crear polticas de integridad del host
Configuracin para la comprobacin de integridad del host
Configurar requisitos de integridad del host
Requisitos predefinidos de integridad del host
Requisitos personalizados de integridad del host
Opciones para reparacin de integridad del host
Administrar polticas de integridad del host
Acerca de las polticas de integridad del host

Una poltica de integridad del host configura los requisitos para los firewalls,
antivirus, software espa, parches, Service Packs u otras aplicaciones obligatorias
Cada poltica de integridad del host se compone de:
Uno o ms requisitos que abarcan:
Qu condiciones se deben comprobar.
660 Configurar polticas de integridad del host
Qu acciones (como descargas e instalaciones) el cliente admite como

respuesta a la condicin.
Configuracin general, por ejemplo, cundo y cuntas veces el cliente ejecuta

una comprobacin de integridad del host. Adems, cuntas veces un usuario
puede cancelar una accin de reparacin.
Cuando se especifican requisitos de integridad del host, es posible elegir entre los
siguientes tipos: requisitos predefinidos, personalizados o de la plantilla. Los
requisitos de la plantilla estn disponibles mediante el servicio de LiveUpdate de
polticas de integridad del host. Es posible copiar y pegar, y exportar e importar
requisitos entre polticas.
Se crean polticas de integridad del host y se aplican a grupos o ubicaciones en la
pgina Polticas del servidor de administracin. Es posible adems crear una
poltica de integridad del host predeterminada para una ubicacin al tiempo que
se crea la ubicacin.
Ver "Acerca de las ubicaciones de un grupo" en la pgina 385.
Si utiliza la replicacin, es necesario comprender qu sucede si las polticas de
integridad del host se crean y se modifican en sitios varios en la granja del sitio.
Ver "Acerca de la replicacin de datos" en la pgina 345.

Configure las polticas de integridad del host para asegurarse de que los equipos
cliente que se conectan a una red de la empresa ejecuten las aplicaciones y los
archivos de datos necesarios. El cliente que ejecuta una comprobacin de integridad
del host implementa las configuraciones de las polticas de integridad del host
que usted configura.
Durante la comprobacin de integridad del host, el cliente sigue los requisitos que
se configuran en la poltica de integridad del host. Examina las claves del Registro,
las aplicaciones activas, la fecha y el tamao de un archivo, y otros parmetros
posibles para determinar la existencia del software necesario.
El cliente genera automticamente una entrada en los registros de seguridad
siempre que encuentre que el software obligatorio no est instalado en el equipo.
Si la notificacin de usuario se habilita en el cliente, aparece un mensaje en el
equipo del usuario.
Si el software necesario no est instalado en el equipo, el cliente se puede
configurar para conectarse silenciosamente a un servidor de reparacin. Desde
all puede descargar e instalar el software necesario. El software puede incluir
una revisin del software, una correccin, una actualizacin de definiciones de
virus y ms. El cliente puede dar al usuario la opcin de descargar inmediatamente
Configurar polticas de integridad del host 661
o de posponer una descarga. El equipo no puede conectarse a la red de la empresa

hasta que se instale el software.
El cliente puede adems detectar si una aplicacin antivirus est desactualizada
o no. Si una aplicacin antivirus es ms antigua que lo que un administrador del
sistema ha especificado, es posible evitar que el cliente se conecte a la red de la
empresa. Antes de que pueda conectarse, el cliente necesita una versin actualizada
de la aplicacin antivirus.
La poltica de integridad del host incluye las configuraciones que determinan la
frecuencia con que el cliente debe ejecutar una comprobacin de integridad del
host en el equipo cliente. El equipo cliente puede conectarse a la red con Symantec
Enforcer. En esta situacin, es posible configurar la Poltica de integridad de host
de modo que el cliente ejecute la comprobacin de integridad del host solamente
cuando se lo solicite Enforcer. Enforcer puede verificar lo siguiente: el cliente se
est ejecutando, la poltica del cliente est actualizada y la comprobacin de
integridad del host es aprobada antes de que se permita el acceso a la red.
Cada vez que un cliente recibe una nueva poltica de seguridad, ejecuta
inmediatamente una comprobacin de integridad del host. El cliente se puede
configurar para descargar e instalar automticamente la ltima poltica de
seguridad. Se genera una entrada en el registro de seguridad si la actualizacin
de polticas falla. Si la notificacin de usuario se habilita en el cliente, aparece un
mensaje en el equipo del usuario.
El siguiente es un ejemplo de las clases de requisitos necesarios que deben tenerse
en cuenta cuando se configura la aplicacin de integridad del host. En este ejemplo,
la poltica de integridad del host se ha configurado para exigir lo siguiente:
El cliente ejecuta el software antivirus actualizado.
Se realiza la comprobacin de integridad del host solamente cuando el cliente
intenta conectarse a la red mediante Enforcer.
La comprobacin activa las acciones que ocurren silenciosamente en el cliente.
Enforcer hace automticamente lo siguiente:
Verifica que un cliente se haya instalado en el equipo de un usuario.
Solicita a un cliente descargar polticas de seguridad actualizadas, si estn
disponibles.
Enforcer solicita al cliente ejecutar la comprobacin de integridad del host.
El cliente primero verifica que el software antivirus ms reciente est instalado
y lo ejecuta. Si se ha instalado pero no se est ejecutando, el cliente inicia
silenciosamente la aplicacin antivirus. Si no est instalado, el cliente descarga
el software desde la URL que se especifica en el requisito de integridad del host.
Despus, el cliente instala e inicia el software.
A continuacin, el cliente verifica que los archivos de firmas del antivirus sean
actuales. Si los archivos del antivirus no son actuales, el cliente extrae e instala
silenciosamente los archivos actualizados.
El cliente ejecuta la comprobacin de integridad del host de nuevo y la aprueba.
Enforcer recibe los resultados y concede el acceso del cliente a la red de la empresa.
En este ejemplo, deben cumplirse los siguientes requisitos:
El servidor de archivos que se utiliza para las actualizaciones de integridad
del host tiene los ltimos archivos instalados. El cliente obtiene aplicaciones
actualizadas del servidor de archivos. Es posible configurar uno o ms
servidores de reparacin que se conecten a la red de la empresa. Desde los
servidores de reparacin, los usuarios pueden copiar o descargar
automticamente las revisiones y las correcciones necesarias para cualquier
aplicacin obligatoria.
Si un servidor de reparacin falla, la reparacin de integridad del host tambin
fallar. Si el cliente intenta conectarse mediante Enforcer, ste bloquea el
cliente si la integridad del host falla. Tiene la opcin de configurar la poltica
de integridad del host de modo que el cliente notifique a Enforcer que la
comprobacin de integridad del host se aprob aunque haya fallado. En este
caso, Enforcer no bloquea el cliente. La informacin sobre la comprobacin de
integridad del host con fallas se asienta en el registro de seguridad del cliente.
El servidor de administracin debe configurarse para enviar las actualizaciones
de la poltica de seguridad automticamente a cualquier equipo que ejecute el
cliente.
Si los parmetros que se definen para polticas de integridad del host no son
correctos, Enforcer no permite que el cliente se conecte a la red de la empresa. El
siguiente mensaje aparece en el cliente:
Symantec Enforcer ha bloqueado todo el trfico del cliente.

norma: {nombre del requisito} fall.
El cliente intenta recuperarse. Si la poltica de integridad del host del cliente se

configura para actualizar los archivos antes de que permita que el cliente se
conecte a la red de la empresa, se notifica al usuario que se debe proporcionar una
actualizacin. Un indicador de progreso para la actualizacin sigue a la
actualizacin. Si el usuario se desconecta de la red de la empresa, el proceso se
inicia de nuevo.
Consideraciones para la planificacin de requisitos de integridad del host
Consideraciones para la planificacin de requisitos

de integridad del host
Cuando se planean los requisitos de integridad del host, es necesario considerar
las reas generales siguientes:
Qu software (aplicaciones, archivos, parches y as sucesivamente) desea
exigir para la seguridad empresarial?
Qu ocurre si un requisito no se cumple? Por ejemplo:
El cliente puede conectarse a un servidor y restaurar el software para que
se cumpla el requisito.
La comprobacin de la integridad del host puede aprobarse aunque no se
cumpla el requisito.
La comprobacin de la integridad del host puede no aprobarse y el acceso
de red puede ser bloqueado.
Un mensaje emergente puede indicar al usuario qu hacer despus.
Considere las siguientes reas ms detalladamente:

Qu aplicaciones antivirus, contra software espa y de firewall, parches o
actualizaciones son obligatorios en la estacin de trabajo, equipo porttil o
servidor de cada usuario cuando se conecta a la red de la empresa? Se crea
generalmente un requisito separado para cada tipo de software. Los requisitos
predefinidos de integridad del host le permiten fcilmente configurar estos
requisitos de uso comn.
Es posible dar a usuarios el derecho de seleccionar qu aplicaciones de firewall,
contra software espa o antivirus desean ejecutar en sus equipos. Los requisitos
predefinidos le permiten especificar una aplicacin especfica o una lista entera
de aplicaciones compatibles aceptables. Es posible crear un requisito
personalizado que incluya las aplicaciones que son aceptables en su compaa.
Cmo manejar la restauracin del equipo de un usuario para cumplir los
requisitos? Normalmente, es necesario configurar un servidor de reparacin
con el software obligatorio. Cuando se configura el requisito, es necesario
especificar la URL desde la cual el cliente puede descargar e instalar el software
obligatorio.
Algunos parches necesitan que el usuario reinicie el equipo. Las actualizaciones
se terminan en un orden especfico para aplicar todas las actualizaciones antes
de que un usuario tenga que reiniciar. Como parte de la poltica de integridad
del host, es posible configurar el orden en el cual se activan los requisitos y se
intenta la reparacin.
Se debe, adems, considerar qu ocurre si un requisito falla y no puede ser

restaurado. Para cada requisito, tiene la opcin de permitir que la comprobacin
de integridad del host se apruebe aunque ese requisito no lo haga. Como parte
de la poltica de integridad del host general, adems puede configurar mensajes
emergentes. El cliente muestra estos mensajes emergentes al usuario si la
comprobacin de integridad del host falla o si se aprueba despus de un fallo
anterior. Quizs desee planificar instrucciones adicionales para el usuario en
estos mensajes emergentes. Adems, es posible configurar una poltica de
cuarentena que deba activarse si la integridad del host falla.
Es posible simplificar la administracin de aplicaciones obligatorias si incluye
aplicaciones similares en un requisito personalizado. Por ejemplo, es posible
incluir navegadores de Internet, como Internet Explorer y Netscape Navigator,
en un requisito.
Como parte de un requisito personalizado, puede especificar si desea permitir
que la comprobacin de integridad del host se apruebe si el requisito falla.
Cuando usted planifique cuntas condiciones se deben comprobar en un script,
recuerde que esta configuracin se aplica al script del requisito personalizado
en conjunto. Este aspecto de la configuracin puede afectar si desea crear
varios requisitos personalizados pequeos o uno ms largo que incluya varios
pasos.
Es posible que encuentre til configurar una hoja de clculo que represente los
requisitos de cumplimiento de integridad del host de su empresa.

Es posible crear polticas de integridad del host de las siguientes maneras:
Crear polticas de integridad del host compartidas.
Crear polticas de integridad del host para una ubicacin especfica solamente.
Cree una poltica de integridad de host predeterminada cuando agrega una
ubicacin.
Ver "Configuracin para la comprobacin de integridad del host" en la pgina 669.
Ver "Requisitos predefinidos de integridad del host" en la pgina 680.
Ver "Requisitos personalizados de integridad del host" en la pgina 681.
Ver "Opciones para reparacin de integridad del host" en la pgina 700.

Conserve las polticas de integridad del host ms utilizadas en la lista Poltica. De
este modo, es posible editar y sustituir la poltica en todos los grupos y las
ubicaciones que la utilicen. No es necesario terminar todas estas tareas al mismo
tiempo. Es posible detenerse en cualquier punto despus de dar un nombre a la
poltica y guardarla. A continuacin, puede editarla para terminarla ms adelante.
Para crear una poltica de integridad del host es necesario realizar las tareas
siguientes generales:
Agregar la poltica y la informacin bsica.
Agregar los requisitos.
Especificar la configuracin avanzada.
Guardar la poltica.
Aplicar la poltica (opcional).
Para agregar una poltica e informacin bsica
1 Haga clic en la pgina Polticas.
2 En el panel Ver polticas, haga clic en Polticas de integridad del host.
3 Haga clic en Agregar una poltica. El cuadro de dilogo Configuracin de la
integridad del host aparece, con la ficha Requisitos en la parte superior.
4 Despus de Nombre de poltica, escriba el nombre de la poltica (se muestra
Nueva Poltica de integridad del host de forma predeterminada).
5 Opcionalmente, escriba una descripcin de la nueva poltica.
6 Elija la condicin bajo la cual usted desea realizar la comprobacin de
integridad del host: nunca, siempre, solamente con Enforcer o solamente
cuando est conectado al servidor de administracin. Una opcin adicional
en la ficha Configuracin avanzada le permite especificar la frecuencia de la
comprobacin.
Cuando se agregan requisitos de integridad del host, es posible utilizar
cualquiera de las siguientes opciones: requisitos predefinidos, requisitos
personalizados o plantillas de requisitos.
Ver "Configurar cundo ejecutar comprobaciones de integridad del host"
en la pgina 669.
Para agregar requisitos predefinidos o personalizados

2 En el cuadro de dilogo Nuevos requisitos, escriba el nombre del requisito en
el cuadro de dilogo Nuevo requisito. El nombre del requisito puede aparecer
en la interfaz del cliente. La GUI del cliente notifica al usuario si el requisito
se aprob, fall, o solicita al usuario descargar el software.
3 Seleccione un tipo de requisito de la lista Tipo y haga clic en Aceptar.
Es posible elegir entre los siguientes requisitos:
Requisito de antivirus
Requisito de proteccin contra software espa
Requisito de firewall
Requisito de parche
Requisito de Service Pack
Requisito personalizado
4 Seleccione la configuracin para el requisito.

Para agregar un requisito de una plantilla
1 Haga clic en Plantilla.
2 En el cuadro de dilogo Actualizacin en lnea de la integridad del host, es
posible ver las plantillas disponibles. Haga clic en la opcin Agregar al lado
de cada plantilla que usted desea agregar.
Ver "Importar requisitos de integridad del host desde plantillas"
en la pgina 679.
Cada nuevo requisito se agrega a la parte inferior de la tabla Requisitos.
4 Active o desactive la casilla Habilitar para habilitar o deshabilitar el requisito.
La configuracin predeterminada es habilitado. Quizs desee deshabilitar el
requisito si lo agrega para utilizarlo en el futuro.
5 Modifique la posicin de los requisitos en la tabla Requisitos para determinar
el orden en que se ejecutan. Esta posicin puede ser importante cuando usted
descarga cualquier software que necesite un reinicio despus de la instalacin.
Si un reinicio es obligatorio para un requisito, coloque ese requisito ltimo
en la lista. Para modificar el orden en que se ejecutan los requisitos, seleccione
un requisito en la tabla. Utilice los iconos Subir o Bajar para moverlo hacia
arriba o hacia abajo en la tabla.
6 En el cuadro de dilogo Configuracin de la integridad del host, haga clic en

Aceptar. El cuadro de dilogo se cerrar. La nueva poltica de integridad del
host se guarda y se agrega a la lista de polticas. La poltica de integridad del
host ya est disponible para que la use cualquier grupo. Antes de que pueda
ser utilizada, es necesario seleccionar los grupos y las ubicaciones a los que
usted desea aplicar esta poltica.
7 Opcionalmente, modifique las configuraciones predeterminadas en la ficha
Configuracin avanzada.
8 Opcionalmente, aplique la poltica.
Ver "Configuracin para la comprobacin de integridad del host"
en la pgina 669.
Para aplicar la poltica:
1 Con la poltica seleccionada en el panel Ver polticas, haga clic en Aplicar
esta poltica.
2 En el cuadro de dilogo Aplicar poltica, seleccione los grupos o las ubicaciones
a los que desea aplicar la poltica. A continuacin, haga clic en Aplicar.
Crear una poltica de integridad del host para una ubicacin

Cuando se agrega una ubicacin es posible crear una poltica de integridad del
host predeterminada con un requisito predefinido de antivirus, un requisito
predefinido de firewall, o ambos.
Ver "Acerca de las ubicaciones de un grupo" en la pgina 385.
Para crear una poltica de integridad del host para una ubicacin
2 En el panel Ver polticas, ample Global. Seleccione el grupo con la ubicacin
donde usted desea agregar una poltica de integridad del host. Las ubicaciones
que se asocian al grupo seleccionado se muestran a la derecha, en el rea de
descripcin general de ubicaciones. Para cada ubicacin, es posible agregar
o editar opciones de configuracin.
3 En Ubicacin, junto a Polticas, haga clic en Agregar.
4 Seleccione Poltica de integridad del host y haga clic en Siguiente.

5 Tiene las siguientes opciones cuando crea la poltica de integridad del host:
Crear una nueva poltica Abre el cuadro de dilogo Configuracin

de la integridad del host, donde es posible
agregar requisitos y hacer otras
selecciones
Ver "Crear polticas de integridad del host"

en la pgina 664.
Desde lista Poltica Le permite seleccionar una poltica

existente y utilizarla en esta ubicacin. Si
edita esta poltica, se modifica en todas las
ubicaciones que la utilizan.
Desde un archivo de polticas Le permite utilizar en esta ubicacin una

previamente exportado poltica de integridad del host previamente
exportada. Ubique el archivo .dat que
contiene la poltica que export. A
continuacin, haga clic en Abrir. La
poltica se muestra bajo Polticas en la
ubicacin. Es posible editar la poltica y
afecta solamente a la poltica en esta
ubicacin.
Generalmente, es una buena idea conservar las polticas de integridad del

host ms utilizadas. De este modo, es posible editar y sustituir la poltica en
todos los grupos y las ubicaciones que la utilicen. Si ha creado una poltica
para una ubicacin y desea agregarla a la biblioteca, es posible copiar y pegar
la poltica.
Ver "Copiar polticas de integridad del host" en la pgina 707.
Poltica de integridad del host predeterminada al agregar una ubicacin

Cuando se agrega una ubicacin, el Asistente para agregar ubicaciones permite
crear una poltica de integridad del host predeterminada para esa ubicacin. El
asistente ofrece la opcin de incluir un requisito de antivirus, un requisito de
firewall, o ambos. El requisito predeterminado comprueba la existencia del software
que usted especifica. Si la comprobacin de integridad del host encuentra el
software necesario, se aprueba la comprobacin de integridad del host; si no, la
comprobacin de integridad del host falla.
Estas opciones predeterminadas son similares a cuando se crea una poltica de
integridad del host y se selecciona un requisito predefinido de antivirus o de
firewall. Se utilizan las opciones predeterminadas para el requisito predefinido.

Es posible modificarlas ms tarde editando la poltica de integridad del host.
Ver "Requisitos predefinidos de integridad del host" en la pgina 680.
Configuracin para la comprobacin de integridad

del host
Cuando se configuran polticas de integridad del host, es posible seleccionar entre
varias opciones. Estas opciones se relacionan con la forma en que se realiza la
comprobacin de integridad del host y cmo se manejan los resultados.
Es posible saber cmo aplicar estas opciones bajo los siguientes ttulos:
Configurar cundo ejecutar comprobaciones de integridad del host
Configurar el tiempo de retencin para los resultados de integridad del host
Continuar comprobando los requisitos de integridad del host despus de un
error
Habilitar o deshabilitar el registro detallado de integridad del host
Configurar mensajes emergentes de integridad del host
Permitir que se apruebe la comprobacin de integridad del host si un requisito
falla
Configurar cundo ejecutar comprobaciones de integridad del host

Como parte de una poltica de integridad del host, se configura la frecuencia con
la que el cliente ejecuta una comprobacin de integridad del host. Es posible
deshabilitar una comprobacin de integridad del host o restringirla de modo que
se ejecute solamente bajo ciertas condiciones.
Para configurar cundo se ejecutarn las comprobaciones de integridad del host

1 En el panel Ver polticas, haga clic en Integridad del host. Si est agregando
una nueva poltica de integridad del host, haga clic en Agregar una poltica
de integridad del host. O es posible seleccionar una poltica existente y hacer
clic en Editar la poltica. Es posible adems crear o editar una poltica desde
una ubicacin.
2 En la pgina Requisitos, bajo Cundo se debe comprobar la integridad del
host en el cliente?, seleccione entre las siguientes opciones:
Comprobar siempre la integridad del host Esta opcin es la predeterminada. Siempre

se realiza una comprobacin de integridad
del host en esta ubicacin en el intervalo
de frecuencia que usted especifica.
Comprobar la integridad del host slo a Se realiza una comprobacin de integridad

travs del DHCP o Gateway Enforcer del host en esta ubicacin solamente
cuando el cliente se autentica mediante
Gateway o DHCP Enforcer.
Comprobar la integridad del host slo Se realiza una comprobacin de integridad

cuando est conectado al servidor de del host en esta ubicacin solamente
administracin cuando el cliente est conectado a un
servidor de administracin.
No comprobar nunca la integridad del host Nunca se realiza una comprobacin de

integridad del host en esta ubicacin.
3 Haga clic en la ficha Configuracin avanzada.

4 En la casilla de verificacin Frecuencia de comprobacin de la integridad del
host, escriba un nmero entero entre 1 y 24855 y seleccione minutos, horas
o das. El valor predeterminado es 2 minutos.
5 Cuando termine de modificar la configuracin, haga clic en Aceptar para
guardar las opciones y cerrar el cuadro de dilogo Configuracin de la
integridad del host.
Comprobaciones de integridad del host cuando se modifican las

polticas
Si modifica una poltica de integridad del host, sta se descarga al cliente en el
siguiente latido. El cliente entonces ejecuta una comprobacin de integridad del
host.
Si el usuario pasa a una ubicacin con una poltica de integridad del host diferente
y hay una comprobacin de integridad del host en curso cuando se pasa a esa
ubicacin, el cliente detiene la comprobacin que est en curso. Se detienen
tambin los intentos de reparacin, si los requiere la poltica. El usuario puede
recibir un mensaje de tiempo de espera agotado si no hay una conexin de servidor
de reparacin disponible en la nueva ubicacin. Cuando el anlisis se completa,
el cliente rechaza los resultados. A continuacin, el cliente ejecuta inmediatamente
una nueva comprobacin de integridad del host basada en la nueva poltica para
la ubicacin.
Si la poltica es igual en la nueva ubicacin, el cliente mantiene cualquier
configuracin del temporizador de integridad del host. El cliente ejecuta una nueva
comprobacin de integridad del host solamente cuando lo requieren las opciones
de la poltica.
Configurar el tiempo de retencin para los resultados de integridad

del host
En la poltica de integridad del host, es posible configurar la cantidad de tiempo
que un cliente conserva el resultado de una comprobacin de integridad del host
anterior. El cliente guarda el resultado incluso si el usuario toma medidas que
normalmente daran lugar a una nueva comprobacin de integridad del host. Dos
ejemplos son: cuando un cliente descarga nuevo software o cuando se modifica
la ubicacin.
Para configurar el tiempo de retencin para los resultados de integridad del host
1 En A, panel Ver polticas para configurar el tiempo de retencin para los
resultados de Integridad del host, haga clic en Polticas de integridad del
host. Si est agregando una nueva poltica de integridad del host, haga clic
en Agregar una poltica. O seleccione una poltica existente y haga clic en
Editar esta poltica. El cuadro de dilogo Configuracin de la integridad del
host aparece, con la ficha Requisitos en la parte superior. Es posible adems
crear o editar una poltica desde una ubicacin.
3 En el cuadro de texto Mantener resultado de integridad del host por, escriba
el nmero de minutos, horas o das que se conservar el resultado de la
comprobacin de integridad del host. El valor predeterminado es 30 das.
Continuar comprobando los requisitos de integridad del host despus

de un error
El cliente comprueba los requisitos de integridad del host en el orden que se
especifica en la poltica de integridad del host. En su poltica de integridad del
host, es posible especificar que el cliente contine comprobando los requisitos
incluso si uno falla.
Cuando habilite o deshabilite si se continuarn comprobando los requisitos de
integridad del host despus de que uno falle, tenga en cuenta los siguientes consejos
tiles:
Si habilita esta opcin, la comprobacin de integridad del host falla, pero es
posible intentar otras acciones de reparacin, si es necesario.
Hay adems una opcin para permitir que se apruebe la comprobacin de
integridad del host incluso si un requisito falla. Esta opcin se encuentra en
el cuadro de dilogo Requisitos y no en el cuadro de configuracin de la
integridad del host. Se aplica la opcin por separado para cada requisito.
Para habilitar o deshabilitar si se continuarn comprobando los requisitos de
integridad del host despus de que uno falle
1 En el panel Ver polticas, haga clic en Polticas de integridad del host. Si est
agregando una nueva poltica de integridad del host, haga clic en Agregar
una poltica. O seleccione una poltica existente y haga clic en Editar esta
poltica. El cuadro de dilogo Configuracin de la integridad del host aparece,
con la ficha Requisitos en la parte superior. Es posible adems crear o editar
una poltica desde una ubicacin.
3 Marque la casilla de verificacin que est al lado de Continuar con la ejecucin
de requisitos despus de que uno de ellos presente un error.
Habilitar o deshabilitar el registro detallado de integridad del host

Cuando el cliente ejecuta una comprobacin de integridad del host, registra el
resultado de cada comprobacin de requisitos y muestra los resultados en la
ventana del cliente. Aunque los administradores del sistema necesiten esta
informacin para solucionar problemas, generalmente no desean que los usuarios
tengan acceso a la informacin detallada del registro.
Si deshabilita la opcin Mostrar un registro detallado de la integridad del host en

la poltica de integridad del host en un servidor de administracin, la informacin
detallada de integridad del host deja de aparecer en el panel inferior derecho de
la ventana del registro de seguridad de un cliente. Los ejemplos de informacin
detallada incluyen las claves del registro y los nombres de archivo. Se enumera
cualquier requisito de integridad del host aprobado o con errores. Los detalles
an se incluyen en el registro y se pueden ver desde la ficha Supervisin del
servidor de administracin.
Para habilitar o deshabilitar el registro detallado de integridad del host
agregando una nueva poltica de integridad del host o selecciona una poltica
existente, haga clic en Agregar una poltica. O haga clic en Editar esta
poltica. El cuadro de dilogo Configuracin de la integridad del host aparece,
con la ficha Requisitos en la parte superior. Es posible adems crear o editar
una poltica desde una ubicacin.
2 Marque o deje sin marcar la casilla de verificacin Mostrar un registro
detallado de la integridad del host para habilitar o deshabilitar esta opcin.
De forma predeterminada, est habilitada.
Configurar mensajes emergentes de integridad del host

Como parte de una poltica de integridad del host, es posible establecer si el cliente
muestra mensajes emergentes al usuario final. El cliente puede mostrar mensajes
emergentes cuando ocurren las siguientes condiciones:
Una comprobacin de integridad del host falla.
Se aprueba una comprobacin de integridad del host despus de haber fallado.
Adems, es posible agregar texto personalizado, de hasta 512 caracteres, a los
mensajes emergentes. Por ejemplo, si la comprobacin de integridad del host falla
y el cliente restaura el software necesario de forma que se apruebe la comprobacin
de integridad del host, el siguiente mensaje puede aparecer cuando se aprueba el
anlisis:
Comprobacin de integridad del host aprobada.
Puede agregar texto como el siguiente:
Su sistema cumple todos los requisitos para conectarse a la

red corporativa.
Cuando configure mensajes emergentes de integridad del host, considere las

siguientes recomendaciones: Se pueden mostrar varios otros mensajes emergentes
como resultado de errores en la comprobacin de integridad del host:
Si permite que el usuario cancele la reparacin para un requisito, una ventana
emergente dar al usuario la opcin de realizar la descarga inmediatamente
o posponer la reparacin. Opcionalmente, es posible agregar texto al mensaje
predeterminado.
Si se est ejecutando un mdulo de Enforcer y la comprobacin de integridad
del host falla, es posible especificar si el cliente muestra un mensaje emergente
que notifique al usuario que Enforcer ha bloqueado el acceso de red. Tambin
es posible agregar texto al mensaje predeterminado. Para habilitar o
deshabilitar esta ventana emergente para el cliente y agregar texto, haga clic
en la pgina Polticas, seleccione el grupo de clientes (o Global) en el panel Ver
polticas y haga clic en Configuracin general.
Ver "Permitir que los usuarios pospongan una reparacin de integridad del host"
en la pgina 701.
Para habilitar o deshabilitar mensajes emergentes para una comprobacin de
integridad del host
agregando una nueva poltica de integridad del host, haga clic en Agregar
una poltica. O seleccione una poltica existente y haga clic en Editar esta
poltica. Aparece el cuadro de dilogo Poltica de integridad del host. Es
posible adems crear o editar una poltica desde una ubicacin.
2 Haga clic en Opciones avanzadas.
3 Bajo Notificaciones, seleccione si se mostrarn mensajes emergentes cuando
una comprobacin de integridad del host falla. Es posible adems optar por
mostrar un mensaje cuando se aprueba una comprobacin de integridad del
host despus de haber fallado. De forma predeterminada, estn deshabilitados.
Opcionalmente, haga clic en Establecer texto adicional y escriba hasta 512
caracteres de texto adicional.
guardar las opciones y cerrar el cuadro de dilogo Poltica de integridad del
host.
Permitir que se apruebe la comprobacin de integridad del host si un

requisito falla
Adems de habilitar o deshabilitar un requisito en su poltica de integridad del
host para determinar si el cliente ejecuta el script de requisito, es posible hacer
que el cliente ejecute el script de requisito y registre los resultados, pero ignore
los resultados. Es posible permitir que se apruebe la comprobacin de integridad
del host independientemente de si el requisito falla. Un requisito puede aprobarse
incluso si no se cumple la condicin del requisito.
La opcin Permitir que se apruebe el control de la integridad del host aunque este
requisito no se cumpla se habilita en el cuadro de dilogo para un requisito
especfico. Si desea aplicar esta opcin a todos los requisitos, debe habilitar la
opcin en cada requisito por separado. Esta opcin est deshabilitada de forma
predeterminada.
Si habilita la opcin para permitir que la comprobacin de integridad del host se
apruebe incluso si el requisito falla, aparecer el siguiente mensaje en la ventana
del cliente cuando ocurra el evento:
La integridad del host no se aprob, pero se registr como APROBADA
Para habilitar o deshabilitar esta configuracin para un requisito

1 En el panel Ver polticas, haga clic en Polticas de integridad del host. Si
agrega una nueva poltica de integridad del host, haga clic en Agregar una
poltica. O seleccione una poltica existente y haga clic en Editar esta poltica.
El cuadro de dilogo Configuracin de la integridad del host aparece, con la
ficha Requisitos en la parte superior. Es posible adems crear o editar una
poltica desde una ubicacin.
2 En la tabla Requisitos, realice una de las siguientes acciones:
Para abrir un cuadro de dilogo para agregar requisitos predefinidos o
requisitos personalizados, haga clic en Agregar. Escriba el nombre del
requisito y seleccione el tipo de requisito de la lista.
Para editar un requisito seleccionado, haga clic en Editar.
3 En el cuadro de dilogo para el requisito, marque o deje sin marcar la casilla

de verificacin Permitir que se apruebe el control de la integridad del host
aunque este requisito no se cumpla.
4 Cuando termine de especificar las opciones del requisito, haga clic en Aceptar
para guardar la configuracin.

Es posible elegir las siguientes maneras para definir requisitos de integridad del
host en una poltica de integridad del host:
Requisitos predefinidos, que cubren los tipos ms comunes de comprobacin
de requisitos y permiten elegir de listas predefinidas que incluyen:
Requisito de antivirus
Requisito de proteccin contra software espa
Requisito de firewall
Requisito de parche
Requisito de Service Pack
Requisito personalizado
Requisitos personalizados, que se definen usando el editor de requisitos

personalizados.
(Opcional) Plantillas de requisitos de integridad del host, que se actualizan
como parte del servicio de suscripcin en lnea empresarial de Symantec
Enterprise Protection.
Agregar, editar o eliminar requisitos de integridad del host

La ficha Requisitos del cuadro de dilogo Configuracin de la integridad del host
contiene una tabla. Utilice esta tabla para agregar nuevos requisitos o para editar
o eliminar requisitos existentes de una poltica de integridad del host. Es posible
hacer doble clic en un requisito en la tabla Requisitos para abrirlo y editarlo. Es
posible hacer clic con el botn secundario en la tabla Requisitos a fin de agregar,
editar, eliminar, mover, importar, exportar, copiar o pegar requisitos.
Para agregar, editar o eliminar un requisito desde una poltica
1 En el panel Ver polticas, expanda Polticas de integridad del host.
Utilice el panel Ver polticas para las polticas que desee agregar o editar.
Adems, es posible agregar o editar requisitos para las polticas que pertenecen
a una ubicacin determinada.
Para agregar una nueva poltica de integridad del host, haga clic en
Agregar una poltica.
Para seleccionar una poltica existente, haga clic en Editar esta poltica.
3 En el cuadro de dilogo Configuracin de la integridad del host, en la tabla

Requisitos, realice una de las siguientes acciones:
Para abrir un cuadro de dilogo a fin de agregar requisitos predefinidos
o personalizados, utilice el icono Agregar. Escriba el nombre del requisito
y seleccione el tipo de requisito de la lista. El nombre del requisito puede
aparecer en la interfaz del cliente (GUI). La GUI del cliente notifica al
usuario si el requisito se aprob, fall, o solicita al usuario descargar el

software.
Para abrir un cuadro de dilogo a fin de importar requisitos desde plantillas
de integridad del host, utilice la opcin Plantilla.
Para editar un requisito seleccionado, utilice la opcin Editar.
Para eliminar permanentemente la configuracin de un requisito
seleccionado, utilice la opcin Eliminar.
Para deshabilitar un requisito temporalmente en lugar de eliminarlo, haga
clic para dejar sin marcar la casilla de verificacin Habilitar para ese
requisito.
Para especificar el orden en el cual se comprueban los requisitos, seleccione
un requisito en la tabla. A continuacin, utilice las opciones Subir o Bajar
para moverlo hacia arriba o hacia abajo en la tabla.
Habilitar o deshabilitar requisitos de integridad del host

Cuando se crean requisitos para una poltica de integridad del host, es posible
crear requisitos para uso futuro. Sin embargo, deshabiltelos hasta que sean
necesarios. Es posible deshabilitar un requisito temporalmente al probar una
poltica de integridad del host.
Para habilitar o deshabilitar requisitos existentes en una poltica de integridad del
host
Para editar una poltica existente, haga clic en Editar esta poltica.
Es posible adems crear o editar una poltica desde una ubicacin.
Requisitos, realice una de las siguientes acciones:
Para deshabilitar un requisito, haga clic para dejar sin marcar la casilla
de verificacin Habilitar para ese requisito.
Para habilitar un requisito, haga clic para seleccionar la casilla de
verificacin Habilitar para ese requisito.
Modificar la secuencia de requisitos de integridad del host

Cuando se crea una poltica de integridad del host, la ficha Requisitos del cuadro
de dilogo Configuracin de la integridad del host para una poltica contiene una
tabla de requisitos. En esta tabla, se agregan nuevos requisitos, se editan o se
cancelan los requisitos existentes.
Es posible modificar la posicin de los requisitos en la lista. Cuando modifica la
posicin, usted determina en qu orden se ejecutan. La posicin puede ser
importante cuando usted descarga software que necesite un reinicio despus de
la instalacin. Configure el orden para asegurarse de que los requisitos que
necesitan un reinicio para la reparacin se realicen en ltimo lugar.
Para especificar el orden en el cual los requisitos de integridad del host se
comprueban en el cliente

Requisitos, seleccione un requisito.
4 Utilice las opciones Subir y Bajar para desplazar el requisito hacia arriba o
hacia abajo en la tabla.
Copiar y pegar requisitos de integridad del host

Es posible copiar y pegar requisitos entre distintas polticas de integridad del host.
Por ejemplo, si tiene varias ubicaciones definidas para un grupo con diversas
polticas para cada uno, puede ser necesario agregar el mismo requisito a todas
las ubicaciones. En este caso, es posible abrir una poltica, agregar el requisito y
despus copiarlo en otra poltica.
Para copiar y pegar un requisito
1 En la pgina Polticas, seleccione la poltica de integridad del host de la cual
desea copiar el requisito. Abra la poltica para editarla. Se visualiza con la
ficha Requisitos en la parte superior.
Requisitos, haga clic con el botn secundario en el requisito que desea copiar.
A continuacin, haga clic en Copiar.
3 Abra la poltica en la cual desea copiar el requisito.

4 Haga clic con el botn secundario en la tabla Requisitos y seleccione Pegar.
Exportar e importar requisitos de integridad del host

Es posible exportar todos los requisitos a partir de una poltica de integridad del
host e importarlos a otro.
Para exportar requisitos de una poltica
1 En la pgina Polticas, seleccione la poltica de integridad del host de la cual
desee exportar el requisito. Abra la poltica para editarla.
Requisitos, haga clic con el botn secundario y seleccione Exportar. Aparece
el cuadro de dilogo Guardar.
3 En el cuadro de dilogo Guardar, desplcese hasta la ubicacin donde desea
guardar los requisitos exportados (archivo .dat) y corrija el nombre de archivo,
si es necesario. Haga clic en Guardar. Los requisitos se exportan a un archivo
.dat.
Para importar requisitos a una poltica que est editando
Requisitos, haga clic con el botn secundario y seleccione Importar.
2 En el cuadro de dilogo Abrir, desplcese hasta la poltica de integridad del
host (archivo de importacin .dat) desde la cual desee importar los requisitos.
Haga clic en Abrir.
Importar requisitos de integridad del host desde plantillas

El servicio de suscripcin en lnea proporciona plantillas de integridad del host.
Es posible importar las ltimas plantillas y utilizarlas al desarrollar requisitos
personalizados para una poltica de integridad del host. Es posible seleccionar la
cantidad de requisitos que desee. Puede seleccionar el requisito y usarlo como
est o modificarlo segn sea necesario para su entorno.
Para importar requisitos de integridad del host desde plantillas

3 En el cuadro de dilogo Configuracin de la integridad del host, haga clic en
Plantilla.
Se descargan las plantillas nuevas. O se notifica si el servidor de
administracin tiene ya las ltimas plantillas. Si no tiene una licencia vigente,
se le notificar que su licencia debe renovarse. Las ltimas plantillas no se
descargan. Se muestra el cuadro de dilogo Actualizacin en lnea de la
integridad del host con las plantillas disponibles.
4 En el rbol del cuadro de dilogo Actualizacin en lnea de la integridad del
host, haga clic en una rama bajo Plantillas. Los requisitos disponibles se
visualizan en el panel derecho.
5 Para cada requisito que desee agregar a la poltica, haga clic en el icono
Agregar bajo el requisito.
6 Cuando haya terminado de seleccionar los requisitos que desea agregar, haga
clic en Importar.
Si importa un requisito por segunda vez y existe un requisito con el mismo
nombre, el requisito importado no sobrescribe el requisito existente. En
cambio, el requisito importado se muestra con el nmero 2 al lado de su
nombre en la tabla Requisitos.
Los requisitos que usted seleccione se agregan a la tabla Requisitos. Si desea
editar el requisito, seleccinelo en la tabla y despus haga clic en Editar.
Si su suscripcin ha caducado, los requisitos importados previamente an
pueden ser utilizados. Sin embargo, las ltimas actualizaciones ya no estn
disponibles para importar.

Los requisitos predefinidos de integridad del host permiten crear rpidamente
requisitos para los tipos ms comunes de comprobaciones de requisitos. Incluyen
los siguientes requisitos:
Antivirus
Antispyware
Firewall
Parche
Service Pack
Personalizado
Cuando se agrega un nuevo requisito, es posible seleccionar uno de estos tipos de

requisitos predefinidos. Se muestra un cuadro de dilogo con el grupo de opciones
predefinidas que usted puede configurar. Si la configuracin predefinida no cumple
sus necesidades, es posible crear un requisito personalizado.
Nota: Para obtener informacin sobre estos requisitos de integridad del host, abra
el cuadro de dilogo y despus visualice la ayuda en pantalla.

El editor de requisitos personalizados permite crear un script de requisito de
integridad del host simple o complejo usando selecciones y campos predefinidos.
Generalmente, los mismos campos y listas disponibles en los cuadros de dilogo
de requisitos predefinidos estn disponibles cuando se crean requisitos
personalizados. Sin embargo, los requisitos personalizados ofrecen ms
flexibilidad. En requisitos personalizados, es posible agregar aplicaciones que no
se incluyen en las listas predefinidas de aplicaciones. O es posible crear
subconjuntos de las listas predefinidas agregando cada aplicacin individualmente.
Las condiciones se pueden especificar como presentes o ausentes (NO). Es posible
incluir varias instrucciones de condicin usando Y u O.
Ver "Crear polticas de integridad del host" en la pgina 664.
Ver "Configurar requisitos de integridad del host" en la pgina 675.
Crear un requisito personalizado de integridad del host

El editor de requisitos personalizados contiene una estructura de rbol en el panel
izquierdo y una lista desplegable de instrucciones o funciones en el panel derecho.
Para crear un requisito personalizado, agregue una o ms instrucciones IF...THEN...
al rbol. Cuando se ejecuta el script, se comprueba la condicin mencionada bajo
el nodo IF. Dependiendo de la condicin, se ejecuta la accin mencionada bajo el
nodo THEN. Se devuelve el resultado (aprobado o error).
Como parte de un requisito personalizado, puede especificar si desea permitir que
la comprobacin de integridad del host se apruebe si el requisito falla. Cuando
usted planifique cuntas condiciones diferentes se deben comprobar en un script,
recuerde que esta configuracin se aplica al script del requisito personalizado en
conjunto. Esta opcin puede afectar si desea crear varios requisitos personalizados
pequeos o uno ms amplio que incluya pasos varios.
Para crear un requisito personalizado

1 En el panel Ver polticas, expanda Polticas de integridad del host.
Se utiliza el panel Ver polticas para las polticas que se desea agregar o editar.
Tambin es posible agregar o editar requisitos para las polticas que
pertenecen a una ubicacin determinada.
Si agrega una nueva poltica de integridad del host, haga clic en Agregar
una poltica.
Si edita una poltica existente, haga clic en Editar esta poltica.
3 En la ficha Requisitos del cuadro de dilogo Configuracin de la integridad

del host, haga clic en Agregar.
4 En el cuadro de dilogo Nuevo requisito, escriba un nombre para el requisito.
El nombre del requisito puede aparecer en la GUI del cliente. El nombre
notifica al usuario si el requisito fue aprobado, si hubo un error, o solicita al
usuario que descargue software.
En el campo Tipo, seleccione Requisito personalizado y haga clic en Aceptar.
5 En el cuadro de dilogo Requisito personalizado, haga clic en Agregar lo
siguiente.
6 Para agregar nodos IF...THEN..., seleccione IF...THEN.... Los nodos IF y THEN
se agregan al rbol y se resalta la rama de condicin vaca bajo el nodo IF.
Opcionalmente, es posible agregar una funcin.
7 En el panel derecho, seleccione la condicin que desea agregar. Los campos
adicionales aparecen debajo de la condicin seleccionada.
8 En el panel derecho, especifique la informacin adicional necesaria.
9 Para agregar ms condiciones bajo el nodo IF, haga clic con el botn secundario
en la condicin en el rbol y haga clic en Agregar lo siguiente.
Para visualizar un men para un elemento seleccionado en el rbol, es posible
hacer clic con el botn secundario como alternativa a hacer clic en la opcin
Agregar lo siguiente.
10 Seleccione Y u O.
11 Para agregar instrucciones bajo el nodo THEN, haga clic en //Insertar
instrucciones aqu y, a continuacin, en Agregar lo siguiente. Puede
seleccionar una instruccin IF THEN anidada, una funcin, una respuesta
(aprobacin o fallo) o un comentario.
12 Opcionalmente, haga clic para seleccionar la casilla de verificacin Permitir

que se apruebe el control de la integridad del host aunque este requisito no
se cumpla en la parte inferior de la pantalla.
13 Haga clic en Aceptar para guardar el requisito personalizado.
Uso del editor de requisitos personalizados

Para utilizar el editor de requisito personalizado de integridad del host:
Ver "Configurar requisitos de integridad del host" en la pgina 675.
Agregar una instruccin IF THEN

Para agregar una instruccin IF THEN al rbol del requisito personalizado
1 En el rbol, seleccione una de las opciones siguientes:
Para agregar la primera instruccin IF THEN, seleccione la lnea superior
del rbol.
Para agregar una instruccin IF THEN en el mismo nivel que una existente,
seleccione END IF.
Para agregar una instruccin IF THEN anidada, seleccione la lnea bajo la
cual desea agregarla.
2 Haga clic en Agregar lo siguiente o haga clic con el botn secundario y

seleccione Agregar lo siguiente.
3 Seleccione IF..THEN.
Los nodos IF y THEN se agregan al rbol y se resalta la rama de condicin
vaca bajo el nodo IF.
Agregar una condicin

Para agregar condiciones y especificar informacin relacionada
1 Seleccione la lnea bajo el nodo IF.
2 En el panel derecho, seleccione la condicin que desea agregar bajo el nodo
IF.
Las selecciones adicionales se muestran en el panel derecho para
personalizarlo. Si selecciona Antivirus: Antivirus instalado, se muestra la
lista de aplicaciones antivirus predefinidas.
3 En el panel derecho, especifique la informacin adicional necesaria para la
condicin.
Agregar varias condiciones (Y/O)

Un nodo IF puede contener una sola condicin o varias.
Para agregar varias condiciones
1 Haga clic con el botn secundario en la condicin existente y seleccione
Agregar lo siguiente.
2 Seleccione Y u O
Alternar entre la instruccin IF e IF NOT

Es posible que sea necesario alternar entre comprobar la presencia o la ausencia
de una condicin.
Para alternar entre comprobar la presencia o la ausencia de una condicin
1 Haga clic con el botn secundario en la lnea de la condicin.
2 Elija Alternar NOT.
Agregar una instruccin THEN

Para agregar una instruccin THEN
1 Bajo el nodo THEN, haga clic en //Insertar instrucciones aqu.
Para agregar declaraciones adicionales, haga clic en una lnea existente de la
instruccin THEN.
2 Haga clic en Agregar lo siguiente.
Puede seleccionar una instruccin IF THEN anidada, una funcin, una
respuesta (aprobacin o fallo) o un comentario.
Agregar un nodo ELSE

Para agregar un nodo ELSE
1 En el rbol, haga clic en THEN.
3 Seleccione ELSE.
El nodo ELSE se agrega debajo del nodo THEN.
Eliminar una condicin IF o un nodo IF THEN

Si hay solamente una declaracin de condicin bajo un nodo IF, al eliminarla, se
elimina la instruccin IF THEN completa.
Para eliminar una declaracin de condicin IF

1 Elija la condicin en el rbol.
Copiar y pegar instrucciones

Es posible copiar y pegar instrucciones o nodos IF THEN enteros dentro de
requisitos personalizados o entre ellos.
Para copiar en el nivel del nodo
1 Haga clic con el botn secundario en IF y seleccione Copiar.
2 Para pegar, haga clic con el botn secundario en una lnea de la instruccin
vaca y haga clic en Pegar
Guardar el requisito personalizado

Para guardar el requisito personalizado
En el cuadro de dilogo Requisito personalizado, haga clic en Aceptar.
Si el requisito es nuevo, se agrega a la parte inferior de la tabla de requisitos.
Opciones de antivirus en un requisito personalizado de integridad del

host
Para un requisito personalizado de integridad del host, es posible especificar
aplicaciones antivirus e informacin del archivo de firmas que se comprobar
como parte de su instruccin condicional IF-THEN.
Es posible comprobar las siguientes condiciones:
Antivirus instalado
Antivirus en funcionamiento
La firma de antivirus est actualizada
Al comprobar aplicaciones y archivos de firmas como parte de un requisito
personalizado, usted especifica la misma informacin que cuando crea un requisito
predefinido. Los nombres de las opciones pueden ser levemente distintos.
Cuando se comprueba si la aplicacin est instalada y en funcionamiento, es
posible seleccionar las siguientes opciones:
Cualquier aplicacin antivirus admitida (cualquier aplicacin en la lista)
eTrust Antivirus/InoculateIT
McAfee AntiVirus
Microsoft ForeFront Client Security
Microsoft Live OneCare AntiVirus
Norton AntiVirus
Panda AntiVirus
Sophos AntiVirus
Symantec AntiVirus Corporate Edition
Trend Micro OfficeScan Corporate Edition
Trend Micro PC-cillin
Si selecciona la opcin Cualquier aplicacin antivirus admitida, cualquiera de las
aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir un
subconjunto de aplicaciones seleccionando cada una y usando la condicin O.
Cuando se especifica informacin del archivo de firmas, es posible elegir una o
ambas opciones para comprobar que el archivo de firmas est actualizado. Si
selecciona ambas, las siguientes condiciones se deben satisfacer para cumplir el
requisito:
Seleccione Comprobar si el archivo de firmas es menor que, y escriba un nmero
de das. Un archivo con fecha anterior al nmero de das especificado est
desactualizado.
Seleccione Comprobar si la fecha del archivo de firmas es, y seleccione: antes
de, despus de, igual a, o no es igual a, y especifique una fecha (mm/dd/aaaa).
Opcionalmente, especifique una hora y minutos; la configuracin
predeterminada es 00:00. La fecha de la ltima modificacin del archivo
determina la antigedad del archivo de firmas.
Opciones de proteccin contra software espa en un requisito

personalizado de integridad del host
aplicaciones de proteccin contra software espa e informacin del archivo de
firmas que se comprobar como parte de su instruccin condicional IF-THEN.
Software de proteccin contra software espa instalado
Software de proteccin contra software espa en funcionamiento
La firma de proteccin contra software espa est actualizada
Al comprobar aplicaciones y archivos de firmas como parte de un requisito

personalizado, usted puede especificar la misma informacin que cuando crea un
requisito predefinido. Los nombres de las opciones pueden ser levemente distintos.
Cuando se comprueba si la aplicacin est instalada y en funcionamiento, es
posible seleccionar las siguientes opciones:
Cualquier aplicacin de proteccin contra software espa admitida (cualquier
aplicacin en la lista)
Lavasoft Ad-Aware
McAfee Internet Security
Microsoft Defender
Microsoft ForeFront Client Security
Symantec Endpoint Protection
Webroot Spy Sweeper
Si selecciona la opcin Cualquier aplicacin de proteccin contra software espa
admitida, cualquiera de las aplicaciones de la lista desplegable cumple con el
requisito.
Cuando se especifica informacin del archivo de firmas, es posible elegir una o
ambas opciones para comprobar que el archivo de firmas est actualizado. Si
selecciona ambas, las dos condiciones se deben satisfacer para cumplir el requisito:
Seleccione Comprobar si el archivo de firmas es menor que, y escriba un nmero
de das.
Un archivo con fecha anterior al nmero de das especificado est
desactualizado.
Seleccione Comprobar si la fecha del archivo de firmas es, y seleccione: antes
de, despus de, igual a, o no es igual a, y especifique una fecha (mm/dd/aaaa).
Opcionalmente, especifique una hora y minutos; la configuracin
predeterminada es 00:00. La fecha de la ltima modificacin del archivo
determina la antigedad del archivo de firmas.
Opciones de firewall en un requisito personalizado de integridad del

host
aplicaciones de firewall que se comprobarn como parte de su instruccin
condicional IF-THEN.
Firewall instalado
Firewall en funcionamiento
Es posible seleccionar entre las siguientes opciones:
Cualquier aplicacin de firewall admitida (cualquier aplicacin en la lista)
ISS RealSource Desktop Protector
McAfee Personal Firewall
Microsoft Windows Firewall
Norton Personal Firewall
Protection Agent
Symantec Security Agent
ZoneAlarm
Si selecciona la opcin Cualquier aplicacin de firewall admitida, cualquiera de
las aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir
un subconjunto de aplicaciones seleccionando cada una y usando la condicin O.
Opciones de archivo en un requisito personalizado de integridad del

host
Para un requisito personalizado de integridad del host, es posible comprobar una
aplicacin o un archivo como parte de su instruccin condicional IF-THEN.
Opciones para comprobar informacin de archivo
Archivo: Comparar la antigedad del Especifique un nmero de das o semanas y

archivo con seleccione: mayor que o menor que.
Archivo: Comparar la fecha del archivo Especifique una fecha en el formato mm/dd/aaaa.
con Opcionalmente, especifique una hora y minutos.
La configuracin predeterminada es 00:00. Es
posible seleccionar: igual a, no es igual a, antes o
despus.
Archivo: Comparar el tamao del Especifique el nmero de bytes. Es posible

archivo con seleccionar: igual a, no es igual, menor que o
mayor que.
Archivo: Comparar la versin del Especifique una versin del archivo en el formato
archivo con x.x.x.x donde x representa un nmero decimal a
partir de 0 a 65535. Es posible seleccionar: igual
a, no es igual, menor que o mayor que.
Archivo: El archivo existe Especifique el nombre del archivo que se

comprobar.
Archivo: La huella del archivo es igual Normalmente esta informacin se obtiene

a seleccionando una aplicacin mediante Buscar
aplicaciones.
Especificar un nmero hexadecimal Cuando se selecciona una opcin, los campos

(hasta 32 dgitos) adicionales aparecen en el cuadro de dilogo. Para
cada opcin, usted especifica el nombre de archivo
y la ruta, y escribe la informacin adicional
necesaria.
Archivo: Finaliz la descarga del Es posible descargar un archivo desde una

archivo ubicacin que usted especifique a un directorio
que especifique. Si se requiere autenticacin para
acceder a una ubicacin de archivo mediante
HTTP, es posible especificar el nombre de usuario
y la contrasea.
Ver "Acerca de la restauracin de aplicaciones y archivos para integridad del host"

en la pgina 700.
Especificar el nombre del archivo

Es posible utilizar variables de sistema, valores del registro o una combinacin
de ambos para especificar el nombre del archivo y la ruta. Cuando se selecciona
una de las opciones de archivo, el cuadro de dilogo muestra ejemplos de maneras
de escribir el nombre de archivo y la ruta.
Es posible utilizar la consulta Buscar aplicaciones para localizar las aplicaciones
que se han registrado usando la funcin Buscar aplicaciones. Cuando se especifican
opciones de archivo en el editor de requisitos personalizados, la opcin Buscar
aplicaciones proporciona acceso a la misma herramienta de bsqueda que la
herramienta Buscar aplicaciones. Si hace clic en Buscar aplicaciones, aparece el
cuadro de dilogo Buscar aplicaciones. Es posible buscar los grupos definidos en
el servidor de administracin para filtrar las aplicaciones, escribir una consulta
de bsqueda y exportar los resultados a un archivo.
Para buscar usando variables de entorno del sistema o valores de registro:
Para utilizar la variable de entorno Para especificar el archivo denominado cmd.exe

del sistema situado bajo el directorio que se especifica en la
variable de entorno WINDIR, escriba lo siguiente:
%WINDIR%\cmd.exe.
Para utilizar el valor del registro Para leer el valor

HKEY_LOCAL_MACHINE\Software\Symantec\\AppPath
como la ruta del archivo sem.exe, escriba lo siguiente:
#HKEY_LOCAL_MACHINE\Software\Symantec\AppPath#\
sem.exe.
Para utilizar la variable combinada Utilice el siguiente ejemplo para utilizar la variable
del registro y el entorno del sistema combinada del valor del registro y el entorno del
sistema:
%SYSTEMDIR%\#HKEY_LOCAL_MACHINE\Software\Symantec\
AppPath#.
Opciones del sistema operativo en un requisito personalizado de

integridad del host
informacin del sistema operativo que se comprobar como parte de su instruccin
condicional IF-THEN. Cuando se selecciona una opcin, los campos adicionales
aparecen en el cuadro de dilogo.
Utilidad: El sistema operativo es Especifique un sistema operativo. Cuando desee

actualizar un parche, deber seleccionar las
versiones exactas que necesitan ese parche. Es
posible utilizar la condicin O para especificar
ms de un sistema operativo.
Utilidad: El idioma del sistema La funcin detecta la versin de idioma del

operativo es sistema operativo del cliente. Si la versin de
idioma no est incluida en el cuadro de dilogo
Requisito personalizado, es posible agregar
idiomas escribiendo sus identificadores en el
campo Identificadores de idioma. Para agregar
varios identificadores, utilice una coma para
separar cada ID, tal como 0405,0813. Consulte la
tabla de Identificadores de idioma para conocer
la lista de identificadores.
Parche: Comparar Service Pack actual Escriba el nmero del Service Pack que desea
con la versin especificada comprobar, por ejemplo 1a. El nmero se limita
a dos caracteres. Es posible comprobar las
siguientes condiciones: igual a, no es igual a,
menor que o mayor que.
Un nmero seguido por una letra se considera

mayor que el nmero solo; por ejemplo, el Service
Pack 6a se considera mayor que 6. Asegrese de
aplicar los parches uno a la vez.
Parche: Parche instalado Escriba el nombre del parche que desea

comprobar. Por ejemplo: KB12345. Es posible
escribir solamente nmeros y letras en este
campo.
Asegrese de que el nmero de parche o Service Pack coincida con la versin

correcta del sistema operativo. Si especifica un sistema operativo que no coincide
con el parche o el Service Pack, el requisito falla.
Identificadores de idioma del sistema operativo

Es posible especificar los siguientes identificadores cuando usted selecciona la
opcin Utilidad: El idioma del sistema operativo es, en un requisito personalizado
de integridad del host.
Tabla 42-1 Identificadores de idioma del sistema operativo
Cdigo Idioma
0x0401 rabe
0x0402 Blgaro
0x0403 Cataln
0x0404 Chino tradicional
0x0405 Checo
0x0406 Dans
0x0407 Alemn
0x0408 Griego
0x0409 Ingls (Estados Unidos)
0x040A Espaol (Espaa)

Cdigo Idioma
0x040B Fins
0x040C Francs
0x040D Hebreo
0x040E Hngaro
0x040F Islands
0x0410 Italiano
0x0411 Japons
0x0412 Coreano
0x0413 Neerlands
0x0414 Noruego (Bokmal)
0x0415 Polaco
0x0416 Portugus (Brasil)
0x0417 Rhaeto-Romance
0x0418 Rumano
0x0419 Ruso
0x041A Serbocroata (latino)
0x041B Eslovaco
0x041C Albans
0x041D Sueco
0x041E Tailands
0x041F Turco
0x0420 Urdu
0x0421 Bahasa
0x0804 Chino simplificado
0x0807 Alemn (Suiza)
0x0809 Ingls (Reino Unido)

Cdigo Idioma
0x080A Espaol (Mxico)
0x080C Francs (Blgica)
0x0C0C Francs (Canad)
0x100C Francs (Suiza)
0x0810 Italiano (Suiza)
0x0813 Neerlands (Blgica)
0x0814 Noruego (Nynorsk)
0x0816 Portugus (Portugal)
0x081A Serbocroata (cirlico)
Opciones de registro en un requisito personalizado de integridad del

host
opciones de registro que se comprobarn como parte de su instruccin condicional
IF-THEN. Es posible adems especificar maneras de modificar valores del registro.
Los nicos valores de registro admitidos son HKEY_LOCAL_MACHINE,
HKEY_CLASSES_ROOT y HKEY_CURRENT_CONFIG.
Las siguientes selecciones estn disponibles para comprobar valores del registro.
Registro: La clave del registro existe Especifique un nombre de clave de registro para
comprobar si existe.
Registro: El valor del Registro es igual Especifique un nombre de clave de registro y un

a nombre de valor, y especifique con qu datos se
comparar el valor.
Registro: El valor del registro existe Especifique un nombre de clave de registro para
comprobar si tiene el nombre de valor
especificado.
Registro: Establecer el valor del Especifique un valor para asignarlo a la clave

Registro especificada; si la clave no existe, se crear. Esta
seleccin sustituye un valor existente,
independientemente de si es del mismo tipo; es
decir, si el valor existente es un valor DWORD
pero usted especifica un valor de cadena, se
sustituye DWORD por el valor de la cadena.
Registro: Incrementar el valor DWORD Especifique un valor DWORD. Esta seleccin le

del Registro permite realizar conteos, tales como permitir que
un equipo sin parche cumpla el requisito no ms
que n veces.
Claves del registro

Tenga en cuenta las siguientes consideraciones cuando especifique claves del
registro:
El nombre de la clave se limita a 255 caracteres.
Si la clave del registro tiene una barra invertida (\) en el final, se interpreta
como una clave del registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\
Si la clave del registro no tiene ninguna barra invertida en el final, se interpreta
como un nombre de registro. Por ejemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
Valores del registro

Tenga en cuenta las siguientes consideraciones cuando especifique valores del
registro:
El nombre del valor se limita a 1024 caracteres.
Es posible comprobar si hay valores como DWORD (decimal), binarios
(hexadecimal) o cadenas.
Para los valores DWORD, es posible comprobar si el valor es menor, igual,
diferente o mayor que el valor especificado.
Para los valores de cadena, es posible comprobar si los datos del valor son
iguales a una cadena determinada o la contienen. Si desea que la comparacin
de cadenas incluya la diferenciacin entre maysculas y minsculas, marque
la casilla de Coincidir maysculas y minsculas.
Para los valores binarios, es posible comprobar si los datos del valor son iguales
a un fragmento determinado de datos binarios o lo contiene. Los bytes
hexadecimales representan los datos. Si especifica el valor "contiene", es posible
adems especificar el desplazamiento para estos datos. Si el desplazamiento
se deja en blanco, se busca el valor de los datos binarios especificados. Los

valores permitidos para el cuadro de edicin hexadecimal son nmeros del 0
al 9 y letras de la "a" a la "f".
Los siguientes son ejemplos de valores del registro:
DWORD 12345 (en decimal)
Binario 31 AF BF 69 74 A3 69 (en hexadecimal
Cadena ef4adf4a9d933b747361157b8ce7a22f
Comprobar si un proceso o un servicio est ejecutndose en un

requisito personalizado de integridad del host
Para un requisito personalizado de integridad del host, es posible seleccionar una
opcin para comprobar si un proceso o un servicio est ejecutndose.
Para comprobar un proceso:
1 Seleccione Utilidad: Proceso en ejecucin.
2 Especifique el nombre del archivo ejecutable. Por ejemplo: Symantec.exe o
c:\Program Files\Symantec.exe
Para comprobar un servicio

1 Seleccione Utilidad: Servicio en funcionamiento
2 Especifique el nombre del servicio o el nombre para mostrar. Por ejemplo:
Sistema de archivos distribuidos.
Recuerde que la barra diagonal (/), la barra invertida (\) y las comillas (") son
caracteres no vlidos para el nombre del servicio.
Ejecutar una opcin de programa en un requisito personalizado de

integridad del host
Para un requisito personalizado de integridad del host, es posible especificar una
funcin para hacer que el cliente inicie un programa.
Para especificar un programa que se ejecutar:
1 En el editor de requisitos personalizados, seleccione el nodo en el rbol donde
usted desea agregar la accin.
3 Seleccione Funcin.
4 Seleccione Utilidad: Ejecutar un programa.

5 Especifique el comando para ejecutar.
Las variables de entorno se sustituyen antes de la ejecucin. Por ejemplo:
%windir% es sustituido por la ruta del directorio de Windows. Es posible
utilizar la variable %1 para ejecutar el ltimo archivo descargado.
Opcionalmente, modifique la seleccin de en el contexto del sistema,
que es la configuracin predeterminada. Si selecciona en el contexto de un
usuario conectado, el comando de ejecucin debe incluir la ruta completa
del archivo, para mostrar quin es el usuario registrado. Si no hay ningn
usuario conectado, el resultado falla.
Opcionalmente, seleccione si se esperar que el comando de ejecucin termine,
que es la opcin predeterminada. Si modifica la seleccin a Introduzca el
tiempo mximo, escriba un valor en segundos.
Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza
la ejecucin del archivo. Es posible adems seleccionar No esperar con esta
opcin; la accin devuelve el valor "verdadero" si la ejecucin es correcta pero
no espera hasta que se termine la ejecucin.
6 Opcionalmente, haga clic para dejar sin seleccionar la casilla de verificacin
Mostrar una nueva ventana de proceso.
Ejecutar una opcin de script en un requisito personalizado de

integridad del host
En el requisito personalizado de integridad del host, es posible especificar una
funcin para hacer que el cliente ejecute un script.
Para especificar un script que se ejecutar
4 Seleccione Utilidad: Ejecutar un script.
5 Especifique un nombre de archivo para el script. Por ejemplo: miscript.js
6 Escriba el contenido del script.
7 En el campo Comando de ejecucin, escriba el comando para ejecutar el
script. Utilice %F para especificar el nombre del archivo de script. El script se
ejecuta en el contexto del sistema.
8 Opcionalmente, seleccione si desea esperar que el comando de ejecucin

finalice (la opcin predeterminada). Si modifica la seleccin a Introduzca el
tiempo mximo, escriba un valor en segundos. Si el comando de ejecucin
no se termina en el tiempo especificado, se finaliza la ejecucin del archivo.
Es posible adems seleccionar No esperar con esta opcin. La accin devuelve
un valor verdadero si la ejecucin se realiza correctamente, pero no espera
hasta que se termine la ejecucin.
9 Opcionalmente, haga clic para dejar sin marcar la casilla de verificacin
Eliminar el archivo temporal despus de haber finalizado o terminado la
ejecucin. Esta opcin est deshabilitada y no disponible si se selecciona No
esperar.
10 Opcionalmente, deje sin marcar la casilla de verificacin Mostrar una nueva
ventana de proceso.
Registrar una opcin de mensaje en un requisito personalizado de

integridad del host
funcin para registrar un mensaje sobre una accin. Esta funcin inserta la cadena
de mensaje especificada en los registros de seguridad de los clientes. El mensaje
aparece en el rea de detalles de los registros de seguridad.
Para registrar un mensaje
4 Seleccione Utilidad: Mensaje de registro.
5 Seleccione uno de los tipos de gravedad del mensaje: informacin, importante,
menor o crtico.
6 Escriba un mensaje de hasta 512 caracteres de largo.
Comprobar una marca de hora en un requisito personalizado de

integridad del host
funcin (Establecer marca de hora) que cree una opcin de registro para almacenar
la fecha y la hora actuales. Es posible utilizar la funcin Establecer marca de hora
para descubrir si ha transcurrido una cantidad de tiempo especificada desde que
la marca de hora fue creada.
Un ejemplo es si ha configurado la comprobacin de integridad del host para que

se ejecute en un intervalo corto, como 2 minutos, y desea especificar una accin
que ocurra en un intervalo ms largo, por ejemplo, una vez por da. En este caso,
se quita el valor de tiempo almacenado cuando el cliente recibe un nuevo perfil o
cuando el usuario ejecuta manualmente una comprobacin de integridad del host.
Para almacenar la hora actual
4 Seleccione Utilidad: Establecer marca de hora.
5 Escriba un nombre de hasta 256 caracteres de largo para la opcin del registro
que almacena la informacin sobre la fecha y la hora.
Para comparar la hora actual con el valor almacenado
1 En el cuadro de dilogo del editor de requisitos personalizados, seleccione el
nodo en el rbol donde usted desea agregar la accin.
3 Seleccione IF...THEN.
4 Seleccione Utilidad: Comprobar marca de hora.
5 Escriba el nombre que especific para la opcin de registro de hora
almacenada.
6 Especifique una cantidad de tiempo en minutos, horas, das o semanas. El
valor predeterminado es 0 minutos.
Si la cantidad de tiempo especificada fue aprobada, o si el valor de la opcin
del registro est vaco, la funcin Establecer marca de hora devuelve un valor
verdadero.
Opciones del cuadro de mensaje en un requisito personalizado de

integridad del host
funcin o condicin que cree un cuadro de mensaje que el cliente mostrar al
usuario. La funcin o condicin devuelve el valor verdadero si el usuario hace clic
en Aceptar o S. Si no, devuelve un valor falso.
Para crear un cuadro de mensaje que se muestra al usuario

3 Para insertar una funcin, seleccione Funcin y despus seleccione Utilidad:
Mostrar cuadro de dilogo del mensaje. Para insertar una condicin,
seleccione IFTHEN, seleccione la rama apropiada. A continuacin, seleccione
Utilidad: El valor devuelto en el cuadro de dilogo del mensaje es igual a.
4 Escriba un ttulo para el cuadro de mensaje de hasta 64 caracteres.
5 Escriba el texto para el cuadro de mensaje de hasta 480 caracteres.
6 Seleccione uno de los siguientes iconos para visualizar: Informacin, Pregunta,
Advertencia o Error. Se visualizan el icono y el texto.
7 Seleccione las opciones que se mostrarn: pueden ser Aceptar y Cancelar, o
S y No.
8 Seleccione la opcin predeterminada.
9 Para cerrar el cuadro de mensaje y devolver un valor predeterminado despus
de un determinado tiempo sin interaccin del usuario, seleccione la casilla
de verificacin Seleccionar el valor predeterminado que se devolver.
Especifique la cantidad de tiempo en segundos. El valor de tiempo debe ser
mayor que 0.
Especificar la opcin de espera en un requisito personalizado de

integridad del host
funcin que haga que el script de requisito personalizado espere un determinado
tiempo.
Para especificar la opcin de espera en un requisito personalizado de integridad
del host
4 Seleccione Utilidad: Esperar.
5 Escriba el nmero de segundos que se esperar.

Si la comprobacin de integridad del host del cliente muestra que los requisitos
de integridad del host no se cumplen, el cliente puede intentar restaurar la
integridad del host. El cliente descarga e instala archivos, o inicia las aplicaciones
necesarias. Cuando se configuran polticas de integridad del host, es posible
especificar qu sucede durante el proceso de reparacin. Es posible especificar no
slo desde dnde descargar el cliente los archivos de reparacin, sino tambin
cmo se ejecuta el proceso de reparacin.
Configurar la cancelacin de la reparacin de integridad del host

Es posible habilitar o deshabilitar las opciones que permiten al usuario cancelar
una descarga de reparacin. Es posible configurar el nmero de veces que el
usuario puede posponer una descarga y durante cunto tiempo. La configuracin
se aplica a todos los requisitos de la poltica excepto aquellos en los cuales se ha
deshabilitado la cancelacin de la reparacin.
Configurar el tiempo que se esperar la reparacin de integridad del

host
Para especificar el tiempo que se esperar antes de que el cliente intente instalar
e iniciar la descarga de reparacin nuevamente
1 En el cuadro de dilogo para cada requisito predefinido, haga clic en
Especifique el tiempo de espera para volver a intentar la descarga si hay
errores.
Si no se especifica ninguna descarga, esta opcin queda deshabilitada.
2 Especifique la cantidad de tiempo que se esperar, para ello introduzca un
nmero y seleccione: minutos, horas o das. Sin importar el tiempo que se
especifique en esta opcin, siempre que se inicie una nueva comprobacin
de integridad del host, la reparacin se intenta de nuevo.
Acerca de la restauracin de aplicaciones y archivos para integridad

del host
Cuando se configura la reparacin para un requisito, se especifica la ubicacin de
un paquete de instalacin o de los archivos que se descargarn e instalarn. Cuando
se especifica la ubicacin del paquete de instalacin o del archivo que se descargar,
es posible utilizar cualquiera de los siguientes formatos:
UNC \\nombredeservidor\nombrecompartido\nombredir\nombredearchivo
La restauracin de UNC no funciona si la opcin Bsqueda de entorno de

red est deshabilitada en el cliente de destino. Asegrese de que Bsqueda
de entorno de red no fue deshabilitada si usted utiliza rutas UNC para la
reparacin.
FTP FTP://ftp.nuestroftp.nuestraempresa.com/carpeta/nombredearchivo
HTTP HTTP://www.nuestrawww.nuestraempresa.com/carpeta/nombredearchivo
Los paquetes de instalacin o los archivos se descargan siempre al directorio

temporal. Cualquier ruta relativa se refiere a este directorio. El directorio temporal
se define en la variable de entorno TMP, si existe. Si no, se incluye en la variable
de entorno TEMP. La configuracin predeterminada es el directorio de Windows.
Para la ejecucin del archivo, el directorio de trabajo actual se establece siempre
como el directorio temporal de Windows. Las variables de entorno se sustituyen
antes de la ejecucin. Lo que sigue es un ejemplo de la sintaxis:
La ruta de directorio de Windows sustituye el comando %windir%
Es posible utilizar %1 (la opcin predeterminada) para ejecutar el archivo que usted
especific en el campo URL de descarga. La variable %1 representa el ltimo archivo
descargado.
Despus de la descarga, la instalacin o la ejecucin de un comando para restaurar
un requisito, el cliente siempre reexamina el requisito. Adems, el cliente registra
los resultados como aprobado o error.
Permitir que los usuarios pospongan una reparacin de integridad del

host
Si un requisito especifica una accin de reparacin, es posible permitir que el
usuario cancele la reparacin. Tambin es posible permitir que el usuario posponga
la reparacin hasta un momento ms conveniente. Entre los ejemplos de acciones
de reparacin se incluyen la instalacin de una aplicacin o una actualizacin de
un archivo de firmas. Es posible establecer un lmite de cuntas veces puede
cancelarse una reparacin y durante cunto tiempo el usuario puede posponerla.
Los lmites establecidos determinan las selecciones disponibles para el usuario
en la ventana emergente que el cliente ve cuando es necesaria una reparacin.
Tambin es posible agregar texto a la ventana emergente.
Para permitir que el usuario cancele una descarga para un requisito, es necesario
habilitar la opcin correspondiente en el cuadro de dilogo para ese requisito.
Las opciones de tiempo mnimo y mximo determinan el intervalo de opciones

disponibles en la ventana emergente. La ventana emergente se muestra al usuario
cuando un requisito falla. El intervalo aparece como una lista al lado del icono
Recordrmelo ms tarde en el mensaje emergente.
La siguiente lista presenta todas las opciones:
2 minutos
5 minutos
10 minutos
15 minutos
30 minutos
1 hora
2 horas
4 horas
8 horas
1 da
2 das
4 das
1 semana
2 semanas
4 semanas
Si el usuario selecciona un perodo para posponer ms breve que la frecuencia de
comprobacin de integridad del host, se anula la seleccin del usuario. Es decir,
la ventana emergente no se muestra nuevamente hasta que el cliente ejecute otra
comprobacin de integridad del host. Si el usuario ha optado por recibir un
recordatorio en 5 minutos, pero la comprobacin de integridad del host se ejecuta
cada 30 minutos, la ventana emergente de la reparacin no se mostrar hasta que
hayan pasado 30 minutos. Para que sea menos confuso para el usuario, es posible
sincronizar la opcin de tiempo mnima con la opcin de la frecuencia de
comprobacin de integridad del host.
Si el usuario pospone la reparacin, el cliente registra el evento. El requisito no
se cumple, y la integridad del host se mostrar como no aprobada. El usuario puede
ejecutar manualmente una nueva comprobacin de integridad del host en cualquier
momento desde la interfaz de usuario del cliente.
Si el usuario ha pospuesto una accin de reparacin y, en el intervalo, el cliente

recibe una poltica actualizada, la cantidad de tiempo disponible para la reparacin
se reajusta al mximo especificado.
Para permitir que un usuario posponga una reparacin de integridad del host y
mostrar una ventana emergente en el equipo de un usuario
2 En el cuadro de dilogo Configuracin de la integridad del host, realice una
de las siguientes tareas:
Para seleccionar una poltica existente, haga clic en Editar esta poltica.
4 Bajo Opciones del cuadro de dilogo de correccin, configure los lmites de
tiempo mnimo y mximo que determinan por cunto tiempo se permitir al
usuario posponer la reparacin de integridad del host. El tiempo mnimo
predeterminado es de 2 minutos y el tiempo mximo predeterminado es de
4 das.
5 Escriba el nmero de veces que se permitir al usuario cancelar la reparacin.
La configuracin predeterminada es de 2 veces.
6 Opcionalmente, haga clic en Establecer texto adicional. Escriba un mensaje
personalizado de hasta 512 caracteres. El mensaje que usted escribe se muestra
en la ventana emergente de correccin del cliente si el usuario hace clic en
la opcin Detalles. Si no especifica ningn texto adicional, el texto
predeterminado de la ventana emergente se repite en el rea Detalles si el
usuario hace clic en Detalles.
7 Cuando termine de modificar la configuracin, haga clic en Aceptar.
Reparacin de integridad del host y configuracin de Enforcer

Cuando se configuran los requisitos de integridad del host, es posible especificar
que, si no se cumplen los requisitos, el cliente debe actualizar el sistema del cliente
con los elementos necesarios conectndose a un servidor de reparacin. Si aplica
tales requisitos a los clientes que se conectan a la red mediante Enforcer, usted
debe asegurarse de que el cliente, mientras est bloqueado su acceso de red regular,
pueda acceder al servidor de reparacin. Si no, el cliente no podr restaurar la
integridad del host y continuar sin aprobar el requisito de integridad del host.
La forma en que se realiza esta tarea depende del tipo de Enforcer. La siguiente
lista ofrece algunos ejemplos:
Para Gateway Enforcer, es posible configurar el mdulo de Gateway Enforcer
para que reconozca el servidor de reparacin como una direccin IP interna
de confianza.
Para DHCP Enforcer, se establece la configuracin de red de cuarentena en el
servidor DHCP para que permita el acceso al servidor de reparacin.
Para LAN Enforcer, si se usa un conmutador con funcionalidad de VLAN
dinmica, es posible configurar una VLAN con acceso al servidor de reparacin.

Esta seccin abarca las tareas que implica administrar polticas de integridad del
host despus de crearlas. Para comenzar a utilizar polticas de integridad del host
que haya creado, aplquelas a grupos o a ubicaciones. Ms adelante, es posible
editar, reemplazar, alternar, retirar o eliminar las polticas que fueron aplicadas
previamente.
Es posible copiar, pegar, exportar e importar las polticas. Es posible tambin ver
informacin sobre una poltica, las ubicaciones a las cuales se aplica o su historial
de cambios.
Aplicar polticas de integridad del host

Las polticas de integridad del host se pueden aplicar en el nivel de grupo global,
una raz o un grupo principal, o en el nivel del subgrupo. Los subgrupos pueden
heredar polticas del grupo principal.
Se aplica una poltica de integridad del host diferente a cada grupo de usuarios o
de equipos. Adems, es posible aplicar una poltica diferente a la ubicacin de
cada grupo si se han asignado varias ubicaciones a un grupo.
Para aplicar una poltica de integridad del host previamente creada a grupos o
ubicaciones
2 En el panel Ver polticas, expanda Polticas de integridad del host y seleccione
la poltica que desea aplicar a los grupos o las ubicaciones.
3 Haga clic en Aplicar esta poltica.
4 En el cuadro de dilogo Aplicar poltica, seleccione los grupos o las ubicaciones
a las que desea aplicar la poltica y haga clic en Aplicar.
5 Haga clic en S cuando se le solicite confirmar que desea aplicar cambios en

las polticas.
6 Haga clic en Aceptar en el cuadro de dilogo Se aplicaron los cambios de la
poltica de integridad del host. Le indicar cuntas ubicaciones fueron
actualizadas como resultado de sus cambios.
La poltica se aplica a las ubicaciones y a los grupos que seleccion. Si esos
grupos o ubicaciones utilizaron previamente una poltica de integridad del
host, la poltica que usted aplic reemplaza a la anterior.
Ver informacin acerca de polticas de integridad del host

Es posible ver un resumen de informacin sobre cada poltica. Un resumen de
informacin sobre la poltica se muestra en el panel derecho, que tiene dos fichas
en su parte inferior.
Normas de integridad del Muestra los requisitos de integridad del host en la poltica y si
host estn habilitados o no.
Ubicaciones en que se Muestra las ubicaciones en las cuales se ha aplicado la poltica.

aplic
Para ver informacin sobre polticas de integridad del host

la poltica que desea ver.
Editar polticas de integridad del host

Tenga precaucin cuando edita polticas. Se recomienda exportar una poltica a
un archivo .dat antes de editarla. Si la versin editada de la poltica no funciona
correctamente, es posible restaurar su configuracin original importando el
archivo .dat. Pruebe una poltica nueva o editada en un entorno seguro.
Editar polticas de integridad del host

Es posible editar polticas de integridad del host especficas o las que pertenezcan
a un grupo determinado.
Para editar polticas de integridad del host especficas
la poltica de integridad del host que usted desea editar.
3 Haga clic en Editar esta poltica. Aparece el cuadro de dilogo de

configuracin de integridad del host.
4 Se edita la poltica al agregar, editar o eliminar requisitos, modificar la
secuencia de requisitos o modificar cundo se debe realizar la comprobacin
Es posible, adems, editar una poltica haciendo clic con el botn secundario
en su nombre en el panel Ver polticas y haciendo clic en Editar.
5 Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de la
Editar polticas de integridad del host desde ubicaciones

Es posible que sea necesario editar polticas de integridad del host que pertenezcan
a una ubicacin en un grupo determinado.
Para editar las polticas de integridad del host que pertenezcan a una ubicacin de
un grupo determinado
2 En el panel Ver polticas, expanda Global y seleccione el grupo. Las ubicaciones
asociadas con el grupo seleccionado se enumeran a la derecha.
Es posible editar solamente polticas de integridad del host que no sean
heredadas de un grupo principal.
3 En la ubicacin, junto a la poltica de integridad del host existente, haga clic
en Editar. Aparece el cuadro de dilogo de configuracin de integridad del
host.
4 Se edita la poltica al agregar, editar o eliminar requisitos, modificar la
secuencia de requisitos o modificar cundo se debe realizar la comprobacin
5 Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de la
Reemplazar polticas de integridad del host

Es posible reemplazar la poltica de integridad del host que se aplica actualmente
a una ubicacin o a un grupo.
Para reemplazar una poltica de integridad del host

2 En el panel Ver polticas, expanda Polticas de integridad del host. Seleccione
la nueva poltica que usted desea utilizar para sustituir una poltica existente
que se aplique a los grupos o a las ubicaciones.
3 Haga clic en Reemplazar poltica anterior. Aparece el cuadro de dilogo
Reemplazar poltica de integridad del host. Muestra un rbol de grupos y
ubicaciones y los nombres de la poltica de integridad del host que se aplican
actualmente a cada ubicacin.
4 Junto a Nombre anterior de la poltica de integridad del host, seleccione la
poltica anterior que desea reemplazar. Las ubicaciones donde la poltica
seleccionada se aplica actualmente aparecen en negrita en el rbol del cuadro
de dilogo.
5 Seleccione las ubicaciones o los grupos donde usted desea que la nueva poltica
reemplace a la anterior.
La nueva poltica se aplica solamente en las ubicaciones o los grupos donde
la poltica anterior fue aplicada. Si selecciona una ubicacin o un grupo donde
otra poltica fue aplicada o si no se aplic ninguna poltica, la nueva poltica
no se aplica all.
6 Haga clic en Aplicar.
7 Haga clic en S cuando se le pregunte si desea aplicar los cambios de poltica
Alternar polticas de integridad del host

Cuando se agrega una poltica a una ubicacin, se enumera en la seccin Polticas
del cuadro de la ubicacin en el rea de la descripcin general de la ubicacin.
Si hace clic en la flecha doble de la derecha de Editar junto al nombre de la poltica,
aparecer un nuevo men secundario. Es posible seleccionar opciones del men
para alternar entre una poltica local y una de la biblioteca. Tambin, puede
alternar entre polticas de biblioteca.
Copiar polticas de integridad del host

Es posible copiar y pegar polticas de la lista de polticas en las ubicaciones. Es
posible tambin copiar y pegar una poltica de una ubicacin a otra o a la lista
Poltica.
Cuando se pega una poltica a una ubicacin, debe haber ya una poltica existente.
Copiar polticas de la lista de polticas

Para copiar una poltica de integridad del host de la lista de polticas
la poltica que desea copiar.
3 Haga clic con el botn secundario y seleccione Copiar del men.
Es posible pegar la poltica en una ubicacin que tenga una poltica existente.
4 En la ubicacin donde usted desea pegar la poltica, en el rea de Polticas,
haga clic a la derecha de Editar. Aparecer un men.
5 Seleccione Pegar. Si una poltica del mismo tipo existe en esa ubicacin, se
le pedir sobrescribir la poltica existente.
Copiar polticas de ubicaciones

Para copiar polticas de una ubicacin a la lista Poltica o a otra ubicacin
2 En el panel Ver polticas, expanda Global y seleccione el grupo cuya poltica
desea copiar. Las ubicaciones asociadas con el grupo seleccionado se enumeran
a la derecha.
3 Busque la ubicacin donde reside la poltica, localice el nombre de la poltica
y haga clic a la derecha de Editar. Aparecer un men.
4 Seleccione Copiar del men.
Es posible pegar la poltica en otra ubicacin o en la lista de polticas.
Para pegar la poltica en otra ubicacin
1 Busque la ubicacin donde usted desea pegar la poltica y, en el rea de
Polticas, haga clic a la derecha de Editar. Aparecer un men.
2 Seleccione Pegar. Si una poltica del mismo tipo existe en esa ubicacin, se
le pedir sobrescribir la poltica existente.
Para pegar la poltica en la lista de polticas
1 En el panel Ver polticas, seleccione el nodo para ese tipo de poltica.
2 Haga clic con el botn secundario y seleccione Pegar.
Exportar polticas de integridad del host

Es posible exportar polticas de integridad del host existentes a un archivo .dat.
Por ejemplo, puede ser que desee exportar una poltica para utilizarla en un sitio
distinto. En el otro sitio, es necesario importar la poltica usando el archivo .dat

de este sitio.
Para exportar Polticas de integridad del host de la lista Poltica o de una ubicacin
la poltica que desea exportar.
3 Haga clic en Exportar poltica. Aparece el cuadro de dilogo Guardar.
Tambin puede exportar una poltica de la biblioteca haciendo clic con el
botn secundario en el nombre de la poltica en el panel Ver polticas y, luego,
en Exportar.
4 Seleccione dnde desea guardar la poltica exportada (archivo .dat), corrija
el nombre de archivo si es necesario y haga clic en Guardar.
La poltica y su configuracin se exportan a un archivo .dat.
Para exportar polticas desde una ubicacin
desea editar. Las ubicaciones asociadas con el grupo seleccionado se enumeran
a la derecha.
3 Busque la ubicacin donde reside la poltica, localice el nombre en la lista y
haga clic a la derecha de Editar. Aparecer un men.
4 Seleccione Exportar poltica del men. Aparece el cuadro de dilogo Guardar.
5 Seleccione dnde desea guardar la poltica exportada (archivo .dat), corrija
el nombre de archivo si es necesario y haga clic en Guardar.
Importar polticas de integridad del host

Puede importar polticas de integridad del host que se han exportado previamente
a un archivo .dat. Por ejemplo, es posible que desee importar una poltica de
integridad del host de un sitio diferente. En el otro sitio, debe haber exportado la
poltica.
Tambin puede importar una poltica de las siguientes maneras:
Seleccione una poltica de integridad del host existente en el panel Ver polticas,
y haga clic en Importar Poltica de integridad del host.
Haga clic con el botn secundario en Polticas de integridad del host o Poltica
de integridad del host existente en el panel Ver polticas, y haga clic en Importar
Para importar polticas de integridad del host a la Lista de polticas

3 Haga clic en Importar una poltica. Aparecer el cuadro de dilogo Abrir.
4 Busque un archivo de poltica de integridad del host (archivo .dat) para
importar, y luego haga clic en Abrir.
Retirar polticas de integridad del host

Para retirar una poltica de integridad del host que fue aplicada previamente
2 En el panel Ver polticas, expanda Polticas de integridad del host, y
seleccione la poltica que desea quitar.
3 Haga clic en Retirar esta poltica.
4 En el cuadro de dilogo Retirar poltica de integridad del host, seleccione los
grupos o las ubicaciones de los que desea retirar la poltica, y haga clic en
Aplicar.
La poltica se retirar de los grupos o las ubicaciones seleccionados que la
utilizan actualmente.
Eliminar polticas de integridad del host

Antes de eliminar una poltica, debe quitarla de todas las ubicaciones en las que
se aplica. Puede eliminar una poltica de la Lista de polticas o puede quitarla de
una ubicacin.
Para eliminar polticas de integridad del host de la Lista de polticas
2 En el panel Ver polticas, expanda Polticas de integridad del host, y
seleccione la poltica que desea eliminar.
3 Haga clic en Eliminar esta poltica.
Tambin puede eliminar una poltica de la biblioteca haciendo clic con el
botn secundario en el nombre de la poltica en el panel Ver polticas, y
haciendo clic en Eliminar.
Para quitar polticas de una ubicacin

desea editar. Las ubicaciones asociadas con el grupo seleccionado se enumeran
a la derecha.
3 Busque la ubicacin donde reside la poltica, localice la poltica y haga clic a
la derecha de Editar. Aparecer un men.
4 Seleccione Quitar poltica del men.
Cuando quita una poltica de una ubicacin, no la quita de la Lista de polticas
(si esa poltica reside all).
Ver el historial de cambios de la poltica de integridad del host

Puede ver el historial de cambios de la poltica de integridad del host en la pgina
Poltica. El historial muestra los ltimos 100 eventos de una poltica. Puede ver
el registro de polticas completo desde la pgina Supervisin.
El historial muestra la siguiente informacin:
La fecha y hora del cambio
Quin realiz el cambio
Qu cambios se realizaron
Para ver el historial de cambios de la poltica de integridad del host
2 En el panel Ver polticas, ample Poltica.
3 Haga clic en Polticas de integridad del host.
4 Seleccione la poltica cuyo historial desea ver. Aparece el historial de cambios
de la poltica a la derecha del panel inferior.
Captulo 43
Usar Symantec Enforcer
para mantener fuera de la
red los puntos finales que
no cumplen las polticas
Acerca de los mdulos de Enforcer de Symantec
Diferentes tipos de mdulos de Enforcer
Enforcer y las comprobaciones de la integridad del host
Informacin que verifica el mdulo Enforcer
Comunicacin entre un mdulo de Enforcer y un servidor de administracin
Comunicacin entre un mdulo de Enforcer y los clientes
Descripcin de Gateway Enforcer
Cmo funciona Gateway Enforcer
Descripcin general de DHCP Enforcer
Cmo funciona DHCP Enforcer
Descripcin de LAN Enforcer
Acerca de la autenticacin 802.1x
Cmo funciona LAN Enforcer

714 Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas
Cmo funciona la configuracin bsica de LAN Enforcer
Cmo funciona el modo transparente de LAN Enforcer
Usar la autenticacin 802.1x
Compatibilidad con productos de aplicacin de otros proveedores

Symantec Enforcer es un componente opcional que funciona junto con Symantec
Endpoint Protection Manager y los clientes de Symantec para proteger la red de
la empresa. Los mdulos de Enforcer se instalan en los puntos de la entrada a la
red de los clientes externos o internos. Por ejemplo, se puede instalar un mdulo
Enforcer entre la red y un servidor VPN. Tambin se puede instalar delante de un
servidor DHCP. Se puede configurar para la aplicacin de los clientes que se
conectan a la red mediante un conmutador con 802.1x habilitado o un punto de
acceso inalmbrico.
Enforcer realiza la autenticacin de hosts en lugar de la autenticacin a nivel de
los usuarios. Enforcer se asegura de que los equipos cliente que intentan conectarse
a la red de la empresa cumplan con las polticas de seguridad empresariales. Estas
polticas se configuran en Protection Manager. Si el cliente no cumple con estas
polticas, Enforcer puede bloquear su acceso a la red o permitir el acceso a recursos
limitados solamente. Puede redirigir al cliente a una zona de cuarentena con un
servidor de reparacin. El software, las aplicaciones, los archivos de firmas o los
parches necesarios se pueden descargar desde el servidor de reparacin.
Diferentes tipos de mdulos de Enforcer

Symantec proporciona diferentes tipos de mdulos de Enforcer. Se pueden utilizar
juntos o por separado, como parte de la aplicacin de red. Se incluyen los siguientes
mdulos de Enforcer:
Gateway Enforcer Se utiliza para la aplicacin en los puntos de acceso de equipos

externos que se conectan de forma remota mediante VPN, una
LAN inalmbrica o un servidor de acceso remoto. Gateway Enforcer
tambin se puede configurar para restringir el acceso a ciertos
servidores permitiendo solamente direcciones IP especificadas.
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas 715
Enforcer y las comprobaciones de la integridad del host
LAN Enforcer Se utiliza para la aplicacin de los clientes que se conectan a la

LAN a travs de un conmutador o de un punto de acceso
inalmbrico que admite autenticacin 802.1x. LAN Enforcer acta
como proxy para el Servicio de usuario de acceso telefnico de
autenticacin remota (RADIUS). LAN Enforcer puede funcionar
con un servidor RADIUS que proporcione la autenticacin de nivel
de usuario o sin l.
DHCP Enforcer Se utiliza para la aplicacin de los clientes que acceden a la LAN.
Recibe una direccin IP dinmica mediante un servidor de
protocolo Dynamic Host Configuration Protocol (DHCP).
Es posible utilizar uno o ms tipos de mdulos de aplicacin de Enforcer con el

mismo servidor de administracin. Cada tipo de Enforcer se instala en una
ubicacin distinta usando un paquete de instalacin separado. Por ejemplo, una
parte de su red puede ya estar configurada de modo que los clientes se conecten
a la LAN a travs de conmutadores compatibles con 802.1x. Si es as, es posible
utilizar LAN Enforcer para estos clientes. Es posible tener otras partes de la red
que no se configuren para la compatibilidad con 802.1x. Es posible utilizar DHCP
Enforcer para administrar la aplicacin para estos clientes. Si tiene empleados
que trabajan remotamente y se conectan mediante VPN o acceso telefnico, es
posible utilizar Gateway Enforcer para esos clientes. Para los clientes que se
conectan a travs de un punto de acceso inalmbrico compatible con 802.1x, es
posible utilizar LAN Enforcer. Si el punto de acceso inalmbrico no es compatible
con 802.1x, es posible utilizar Gateway Enforcer.
Si se requiere alta disponibilidad, es posible instalar dos o ms mdulos de Enforcer
del mismo tipo en la misma ubicacin para proporcionar funcionalidades de la
conmutacin por error. En algunas configuraciones de red, un cliente puede
conectarse a una red por ms de un mdulo de Enforcer. En tal caso, el mdulo
de Enforcer primero autentica al cliente. Se permite el acceso a todos.
Enforcer y las comprobaciones de la integridad del

host
Las polticas de seguridad para los equipos cliente se definen como polticas de
integridad del host en la consola de administracin. Las polticas de integridad
del host especifican el software que se debe ejecutar obligatoriamente en el equipo
cliente. Por ejemplo, las aplicaciones de seguridad son algunos de los requisitos
que se sealan. Algunos ejemplos incluyen el firewall o software antivirus, las
actualizaciones del archivo de firmas del antivirus, la informacin de la versin
y los parches del sistema operativo. Los clientes de Symantec se pueden configurar
para funcionar con comprobaciones de integridad del host en diversos momentos.
Cuando un cliente intenta conectarse a la red, el cliente de Symantec en el equipo

cliente ejecuta una comprobacin de integridad del host. El cliente de Symantec
enva los resultados al mdulo de Enforcer. Antes de que Enforcer conceda el
acceso de un cliente a la red corporativa, Enforcer verifica que el equipo cliente
haya realizado la comprobacin de la integridad del host. La comprobacin de la
integridad del host muestra si el cliente cumple con las polticas de integridad del
host.

Enforcer comprueba la siguiente informacin antes de permitir el acceso de un
cliente a la red:
Se est ejecutando un cliente de Symantec?
El cliente tiene el identificador correcto que prueba que es el cliente correcto?
El perfil del cliente se actualiza con las ltimas polticas?
El equipo cliente aprob la comprobacin de integridad del host?
Est de acuerdo con las polticas de integridad del host?
Enforcer no realiza autenticacin de nivel de usuario. Un mdulo de LAN Enforcer
que se configura para funcionar con un servidor RADIUS remite la informacin
de usuario que recibe del suplicante de 802.1x al servidor RADIUS para la
autenticacin. LAN Enforcer no concede el acceso a un cliente que no apruebe la
autenticacin de nivel de usuario.
Comunicacin entre un mdulo de Enforcer y un

Enforcer permanece conectado al servidor de administracin. En los intervalos
regulares (intervalo de latidos), Enforcer extrae la configuracin del servidor de
administracin que controla cmo funciona Enforcer (el perfil de Enforcer). Cuando
se realizan cambios en la configuracin de Enforcer en el servidor de
administracin, Enforcer recibe la actualizacin en el siguiente intervalo de latidos.
Enforcer transmite su informacin de estado al servidor de administracin y puede
registrar los eventos y enviar los registros al servidor de administracin.
El servidor de administracin mantiene una lista de servidores con la informacin
de base de datos replicada. El servidor de administracin descarga la lista a los
mdulos de Enforcer y a los clientes conectados. Si Enforcer pierde la comunicacin
con un servidor de administracin, se puede conectar a otro servidor que est en
Comunicacin entre un mdulo de Enforcer y los clientes
la lista. Si Enforcer se reinicia, Enforcer utiliza la lista del servidor de

administracin para restablecer una conexin con un servidor de administracin.
Cuando un cliente intenta conectarse a la red mediante un mdulo Enforcer,
Enforcer autentica el identificador nico del cliente (UID). Enforcer autentica el
UID al enviarlo al servidor de administracin, y recibe una respuesta de aceptacin
o rechazo. Es posible configurar DHCP o Gateway Enforcer para extraer la
informacin del servidor de administracin. Esta informacin determina si el
perfil del cliente tiene las ltimas polticas de seguridad. Si el identificador o el
perfil del cliente se modifica en el servidor de administracin, el servidor de
administracin puede enviar la informacin a Enforcer. Enforcer puede realizar
de nuevo la autenticacin de hosts en el cliente.
Comunicacin entre un mdulo de Enforcer y los

clientes
La comunicacin entre un mdulo de Enforcer y un cliente comienza cuando el
cliente en el cual se ejecuta el cliente intenta conectarse a la red. Enforcer detecta
si un cliente est ejecutndose. Si se est ejecutando, Enforcer comienza el proceso
de autenticacin del cliente. El cliente responde ejecutando una comprobacin de
integridad del host y enviando los resultados, junto con su informacin de perfil,
a Enforcer. El cliente tambin enva su identificador nico (UID), que Enforcer
pasa al servidor de administracin para su autenticacin. Enforcer utiliza la
informacin del perfil para verificar que el cliente est actualizado con las polticas
de seguridad ms recientes. Si no lo est, Enforcer notifica al cliente que actualice
su perfil.
Despus de que el mdulo de Enforcer permite que el cliente se conecte a la red,
contina comunicndose con el cliente en intervalos regulares. Esta comunicacin
permite a Enforcer continuar autenticando el cliente. Para LAN Enforcer, el
conmutador 802.1x dirige esta reautenticacin peridica. Una nueva sesin de
autenticacin comienza si un cliente modifica su estado, perfil o estado de
integridad del host. El mdulo de Enforcer debe ejecutarse siempre. Si no, los
clientes que intentan acceder a la red corporativa pueden ser bloqueados.
Descripcin de Gateway Enforcer

Gateway Enforcer se utiliza generalmente en lnea como puente seguro de
aplicacin de polticas para proteger una red corporativa contra intrusos externos.
Los mdulos de Gateway Enforcer pueden ser colocados en toda la empresa para
asegurarse de que todos los puntos finales cumplen con la poltica de seguridad.
Los mdulos de Gateway Enforcer pueden adems utilizarse para proteger
servidores dentro de la compaa. Solamente los clientes de confianza o

autenticados pueden acceder a estos servidores.
Es posible utilizar mdulos de Gateway Enforcer en las siguientes ubicaciones de
red:
VPN
LAN inalmbrica
Conexin telefnica (RAS)
Segmentos de Ethernet (LAN)
Es posible otorgar a usuarios remotos acceso a travs de una VPN o de un servidor
de acceso telefnico, ya que se pueden aplicar las polticas de seguridad en sus
equipos. Si un cliente no satisface los requisitos, Enforcer puede bloquear el acceso
a un segmento protegido de la red. Puede adems dirigir al cliente a un servidor
de reparacin, desde el cual se pueden descargar las aplicaciones necesarias, tales
como software antivirus o parches. Si es obligatorio contar con alta disponibilidad,
es posible instalar dos o ms mdulos de Gateway Enforcer para proporcionar
funcionalidades de redireccionamiento.

Los mdulos de Gateway Enforcer realizan comprobaciones solamente en una
direccin. Comprueban los clientes que intentan acceder a la red mediante el NIC
externo de Gateway Enforcer usando las siguientes tareas:
Cuando un cliente intenta acceder a la red de la empresa, Enforcer primero
comprueba si el equipo cliente ejecuta un cliente de Symantec. Si es as,
comienza el proceso de autenticacin del host.
El cliente de Symantec que se ejecuta en el cliente realiza una comprobacin
de integridad del host. El cliente de Symantec entonces pasa los resultados al
mdulo de Enforcer, junto con su informacin de identificacin y el estado de
su poltica de seguridad.
Enforcer verifica con el servidor de administracin que el cliente sea un cliente
legtimo y que su poltica de seguridad est actualizada.
El mdulo de Enforcer verifica que el cliente haya aprobado la comprobacin
de integridad del host y, por lo tanto, cumple las polticas de seguridad.
Si se aprueban todos los pasos, Enforcer permite que el cliente acceda a la red.
Si un cliente no satisface los requisitos para el acceso, se puede configurar el
mdulo de Enforcer para que realice las siguientes acciones:
Supervisar y registrar determinados eventos.
Bloquear usuarios si falla la comprobacin de integridad del host.

Mostrar un mensaje emergente en el cliente.
Proporcionar al cliente acceso limitado a la red a fin de permitir el uso de
recursos de red para la reparacin.
Para configurar la autenticacin de Gateway Enforcer, es posible configurar qu
direcciones IP de clientes se comprobarn. Es posible especificar las direcciones
IP externas de confianza que Enforcer permite sin autenticacin. Para la
reparacin, es posible configurar Gateway Enforcer para que permita el acceso
de clientes a las direcciones IP internas de confianza. Por ejemplo, es posible
permitir que los clientes accedan a un servidor de actualizacin o a un servidor
de archivos que contiene los archivos de firmas del antivirus. Para los clientes sin
el cliente de Symantec, es posible dirigir las solicitudes HTTP del cliente a un
servidor Web. El servidor Web puede dar instrucciones adicionales o permitir que
se descargue el cliente.
Es posible adems configurar Gateway Enforcer para que permita que los clientes
que no usan Windows accedan a la red. Gateway Enforcer funciona como puente
y no como router. Tan pronto como se autentica el cliente, el mdulo de Enforcer
reenva los paquetes. Esta accin permite que el cliente acceda a la red.

DHCP Enforcer se utiliza en lnea como puente seguro de aplicacin de polticas
para proteger una red interna. Los clientes que intentan conectarse a la red envan
una solicitud DHCP para una direccin IP dinmica. El conmutador o el router,
que acta como cliente de retransmisin de DHCP, dirige la solicitud DHCP a DHCP
Enforcer. DHCP Enforcer se configura en lnea delante del servidor DHCP. Antes
de que enve la solicitud DHCP al servidor DHCP, el mdulo Enforcer verifica que
los clientes cumplan con polticas de seguridad.
Si un cliente cumple con las polticas de seguridad, DHCP Enforcer enva la solicitud
del cliente para una direccin IP al servidor DHCP normal. Si el cliente no cumple
con las polticas de seguridad, Enforcer lo conecta al servidor DHCP de cuarentena.
El servidor de cuarentena asigna el cliente a una configuracin de red de
cuarentena.
Es posible instalar un servidor DHCP en un equipo y configurarlo para proporcionar
una configuracin de red normal y una configuracin de red de cuarentena. Para
terminar la solucin de DHCP Enforcer, el administrador debe configurar un
servidor de reparacin. El servidor de reparacin restringe el acceso de los clientes
en cuarentena de modo que tales clientes puedan interactuar recprocamente slo
con el servidor de reparacin. Si es obligatorio contar con alta disponibilidad, es
posible instalar dos o ms mdulos de aplicacin DHCP Enforcer para proporcionar

funcionalidades de redireccionamiento.

DHCP Enforcer impone polticas de seguridad en los clientes que intentan acceder
a un servidor DHCP. No bloquea la solicitud DHCP si el cliente falla la autenticacin
pero transmite la solicitud DHCP a un servidor DHCP de cuarentena para una
configuracin de red restringida de corto plazo.
Cuando el cliente enva la solicitud DHCP, DHCP Enforcer la transmite al servidor
DHCP de cuarentena para una direccin IP temporal con tiempo de concesin
corto. Enforcer puede entonces comenzar su proceso de autenticacin del cliente.
Enforcer autentica los clientes usando las siguientes tareas:
Cuando un cliente intenta acceder a la red de la empresa, Enforcer verifica si
el equipo cliente est ejecutando un cliente de Symantec y, si es as, comienza
el proceso de autenticacin de hosts.
El cliente de Symantec que se ejecuta en el cliente realiza una comprobacin
de la integridad del host y transmite los resultados a Enforcer, junto con la
informacin de identificacin y la informacin sobre el estado de la poltica
de seguridad.
Enforcer verifica con Protection Manager que el cliente sea un cliente legtimo
y que su poltica de seguridad est actualizada.
El mdulo de Enforcer verifica que el cliente haya aprobado la comprobacin
de integridad del host y, por lo tanto, cumple las polticas de seguridad.
Si se aprueban todos los pasos, Enforcer se asegura de que la direccin IP de
cuarentena est liberada y dirige el trfico de red a la solicitud DHCP del cliente
al servidor DHCP normal. El cliente entonces recibe una direccin IP normal
y una configuracin de red.
Si el cliente no cumple los requisitos de seguridad, el mdulo de Enforcer se asegura
de que se renueve la solicitud DHCP en el servidor DHCP de cuarentena. El cliente
recibe una configuracin de red de cuarentena, que se debe establecer para permitir
el acceso a un servidor de reparacin.
DHCP Enforcer se puede configurar para permitir que los clientes que no utilizan
Windows tengan acceso al servidor DHCP normal.
Nota: Es posible instalar un servidor DHCP en un equipo y configurarlo para

proporcionar una configuracin de red normal y una configuracin de red de
cuarentena.
Figura 43-1 Cmo funciona DHCP Enforcer
Los clientes
solicitan
direcciones IP
Equipo Equipo
externo externo
Este equipo
presenta un error
Enforcer verifica que el
Router porque no ejecuta el
equipo ejecute el cliente y
cliente o no aprueba
cumpla las polticas de
la comprobacin de
seguridad (comprobacin
integridad del host
de integridad del host)
DHCP
Enforcer
Conmutador
Servidor
DHCP de
cuarentena
Servidor
DHCP normal
Enforcer transmite la solicitud DHCP del

Enforcer transmite la solicitud cliente que no aprueba la autenticacin al
DHCP del cliente autenticado servidor DHCP de cuarentena, que
al servidor DHCP normal proporciona una direccin IP de
cuarentena para permitir el acceso a un
servidor de reparacin.

LAN Enforcer acta como proxy para el Servicio de usuario de acceso telefnico
de autenticacin remota (RADIUS).
Es posible utilizar LAN Enforcer con un servidor RADIUS para las siguientes
acciones:
Realizar autenticacin de usuario tradicional 802.1x/EAP.
Verificar que los equipos cliente cumplan las polticas de seguridad

configuradas en el servidor de administracin (autenticacin de host).
En las redes que no utilizan un servidor RADIUS, LAN Enforcer realiza solamente
la autenticacin de host.
Cuando se instala LAN Enforcer con un servidor RADIUS, se proporcionan las
siguientes ventajas para la red de seguridad:
Se niega el acceso de red a equipos no deseados. Los usuarios que intentan
acceder a la red deben autenticarse primero mediante RADIUS.
Es posible imponer polticas de seguridad, tales como asegurarse de que el
equipo tenga el software antivirus, los parches u otro software correctos. Es
posible validar que el equipo cliente est ejecutando el cliente de Symantec y
que haya aprobado la comprobacin de integridad del host.
Un mdulo de LAN Enforcer se comunica con un conmutador o un punto de acceso
inalmbrico que admita la autenticacin EAP/802.1x. El conmutador o punto de
acceso inalmbrico generalmente se configura en dos o ms redes virtuales de
rea local (VLANs). Los clientes de Symantec en los equipos cliente pasan la
informacin de EAP o de integridad del host al conmutador usando el protocolo
EAPOL (EAP sobre LAN). El conmutador transmite la informacin al mdulo de
LAN Enforcer para la autenticacin.
Es posible configurar LAN Enforcer con un grupo de respuestas posibles ante un
error de autenticacin. Las respuestas dependen del tipo de error de autenticacin:
autenticacin de host o autenticacin de usuario EAP.
Si utiliza un conmutador o un punto de acceso inalmbrico, es posible configurar
LAN Enforcer para dirigir a un cliente autenticado a distintas VLAN. El conmutador
o punto de acceso inalmbrico debe proporcionar funcionalidad de VLAN dinmica.
Las VLAN pueden incluir una VLAN de reparacin.
Si utiliza LAN Enforcer con un servidor RADIUS, es posible configurar varias
conexiones de servidor RADIUS para Enforcer. Si una conexin del servidor
RADIUS no funciona, el mdulo de LAN Enforcer puede utilizar una diferente.
Adems, pueden se pueden configurar varios mdulos de LAN Enforcer para
conectarse al conmutador. Si un mdulo de LAN Enforcer no responde, otro mdulo
puede administrar la autenticacin.

IEEE 802.1X-2001 es un estndar que define el control de acceso para LAN
inalmbricas y conectadas por cable. El estndar proporciona un marco para
autenticar y controlar el trfico de los usuarios en una red protegida. El estndar
especifica el uso del Protocolo de autenticacin extensible (EAP), que utiliza un
servidor de autenticacin centralizado, tal como RADIUS (Servicio de usuario de

acceso telefnico de autenticacin remota). El servidor autentica a cada usuario
que intenta acceder a la red. El estndar 802.1x incluye especificaciones para EAP
sobre LAN (EAPOL). EAPOL se utiliza para encapsular mensajes EAP en marcos
de capa de vnculo (por ejemplo, Ethernet) y adems proporciona funciones de
control.
La arquitectura de 802.1x incluye los siguientes componentes clave:
Autenticador La entidad que administra la autenticacin,

por ejemplo, un conmutador LAN compatible
con 802.1x o un punto de acceso inalmbrico.
Servidor de autenticacin La entidad que proporciona la autenticacin

real validando las credenciales que se
proporcionan en respuesta al desafo, por
ejemplo, un servidor RADIUS.
Suplicante La entidad que busca acceder a la red e

intenta autenticarse correctamente, por
ejemplo, un equipo.
Cuando un dispositivo suplicante se conecta a un autenticador de conmutador de

red con 802.1x habilitado, ocurre el siguiente proceso:
El conmutador emite una solicitud de identidad EAP.
El software del suplicante EAP responde con una Respuesta de identidad EAP,
que es remitida al servidor de autenticacin (por ejemplo, RADIUS) por el
conmutador.
El servidor de autenticacin emite un desafo EAP, que es remitido al suplicante
por el conmutador.
El usuario escribe las credenciales de autenticacin (nombre de usuario y
contrasea, token, etc.).
El suplicante enva una Respuesta de desafo EAP, que incluye las credenciales
proporcionadas por el usuario, al conmutador, que la reenva al servidor de
autenticacin.
El servidor de autenticacin valida las credenciales y contesta con un resultado
de EAP o de autenticacin de usuario, que indica el resultado correcto o
incorrecto de la autenticacin.
Si la autenticacin se realiza correctamente, el conmutador permite el acceso
para el trfico normal. Si la autenticacin falla, se bloquea el acceso del cliente
al dispositivo. En cualquier caso, se notifica al suplicante del resultado.
Nota: Solamente se permite el trfico EAP durante el proceso de autenticacin
Para obtener informacin sobre EAP, consulte la RFC 2284 de IETF en la siguiente
URL:
http://www.ietf.org/rfc/rfc2284.txt
Para obtener detalles adicionales sobre el estndar IEEE 802.1x, consulte el texto
sobre este estndar en la siguiente URL:
http://standards.ieee.org/getieee802/download/802.1x-2001.pdf

LAN Enforcer funciona con un autenticador: un conmutador o un punto de acceso
inalmbrico (AP) compatible con la autenticacin 802.1x.
Es posible utilizar LAN Enforcer de dos maneras:
Configuracin bsica: Con un servidor RADIUS para realizar autenticacin de
usuario EAP (Protocolo de autenticacin extensible) tradicional junto con
autenticacin de hosts.
Modo transparente: Sin un servidor RADIUS para realizar solamente la
autenticacin de hosts.
Nota: El modo transparente no est disponible al usar un punto de acceso

inalmbrico.
En la configuracin bsica, LAN Enforcer realiza la autenticacin de host, pero

adems se configura para funcionar con un servidor RADIUS, que proporciona
autenticacin de usuarios. En modo transparente, no hay interaccin con un
servidor RADIUS. En ambos casos, LAN Enforcer utiliza el protocolo EAPOL (EAP
sobre LAN). Utiliza el protocolo para comunicarse con el suplicante EAP del cliente
a travs del conmutador o punto de acceso 802.1x.
El suplicante EAP del equipo cliente intenta autenticarse a travs del autenticador.
A continuacin, comienza el proceso de autenticacin de usuarios EAP (en la
configuracin bsica) y autenticacin de hosts.
El servidor RADIUS realiza la autenticacin y devuelve el resultado (permitido o
denegado) al mdulo de LAN Enforcer.
La autenticacin de host falla si la comprobacin de integridad del host realizada
por el cliente de Symantec detecta que se cumple cualquiera de las siguientes
condiciones:
El equipo no cumple los requisitos de la poltica de integridad del host.

El cliente no tiene la poltica ms reciente.
El autenticador puede admitir la alternacin dinmica de VLAN. En ese caso, es
posible configurar el autenticador y el mdulo de LAN Enforcer para asignar el
puerto a una VLAN segn los resultados de la autenticacin. Si no desea utilizar
los resultados de la autenticacin, es posible configurarlos para que asignen el
puerto de acuerdo con los atributos de RADIUS. Las configuraciones tpicas de
VLAN pueden incluir acceso de red normal, acceso de red de administrador especial
o acceso restringido para cuarentena o reparacin. Es posible adems configurar
el mdulo de LAN Enforcer con un atributo de VLAN personalizado, por ejemplo,
para enviar una lista de control de acceso (ACL) al conmutador.
Un suplicante pudo no aprobar la autenticacin EAP, la autenticacin de host, o
ambas. En ese caso, LAN Enforcer acta como servidor de autenticacin. Puede
dar instrucciones al autenticador para que bloquee el acceso o asigne
dinmicamente el dispositivo cliente a una VLAN de cuarentena o reparacin.
Una VLAN de reparacin tpicamente proporciona acceso de red restringido para
permitir que se realicen correctamente las acciones de reparacin automticas.
Estas acciones pueden incluir la instalacin o la actualizacin del software, u otros
pasos necesarios para que el dispositivo cliente vuelva a cumplir la poltica de
seguridad. Por ejemplo, un cliente puede descargar la ltima actualizacin del
antivirus. El cliente puede entonces iniciar nuevamente el proceso de autenticacin.
El cliente aprobar la autenticacin y se podr conectar a su VLAN de red regular
en vez de la VLAN de reparacin.
El cliente obtiene una nueva direccin IP cuando se cumplen las siguientes
condiciones:
Un cliente (que acta como suplicante de 802.1x) aprueba o falla la
autenticacin.
La VLAN tiene cambios (debido a un inicio de sesin o como resultado de un
conmutador de VLAN por cualquier motivo).
Nota: Para obtener una nueva direccin IP, el cliente inicia una liberacin y
renovacin de IP en Windows 2000. En el resto de las plataformas, el cliente inicia
una renovacin de IP.
Cmo funciona la configuracin bsica de LAN Enforcer
Cmo funciona la configuracin bsica de LAN

Enforcer
Si est familiarizado con la autenticacin 802.1x, puede ver detalles sobre los
clientes que intentan acceder a la red usando la configuracin bsica. Esta
informacin puede resultar til para resolver problemas con las conexiones de
red.
La configuracin bsica de LAN Enforcer 802.1x funciona de la siguiente manera:
Un suplicante (por ejemplo, un equipo cliente) intenta acceder a la red mediante
un autenticador (por ejemplo, un conmutador 802.1x).
El conmutador detecta el equipo y solicita la identificacin.
El suplicante de 802.1x del equipo solicita al usuario un nombre de usuario y
una contrasea, y responde con su identificacin.
El conmutador transmite esta informacin al mdulo de LAN Enforcer, que la
reenva al servidor RADIUS.
El servidor RADIUS genera un desafo EAP seleccionando un tipo de EAP
basado en su configuracin.
El mdulo de LAN Enforcer recibe este desafo, agrega un desafo de integridad
del host y lo reenva al conmutador.
El conmutador transmite los desafos EAP y de integridad del host al cliente.
El cliente recibe los desafos y enva una respuesta.
El conmutador recibe la respuesta y la transmite al mdulo de LAN Enforcer.
LAN Enforcer examina el resultado de la comprobacin de integridad del host
y la informacin de estado del cliente y la reenva al servidor RADIUS.
El servidor RADIUS realiza la autenticacin EAP y enva el resultado de vuelta
al mdulo de LAN Enforcer.
LAN Enforcer recibe los resultados de la autenticacin y transmite el resultado
y la accin que se debe realizar.
El conmutador selecciona la accin apropiada y permite el acceso de red normal,
bloquea el acceso o permite el acceso a una VLAN alternativa, de acuerdo con
los resultados.
Cmo funciona el modo transparente de LAN Enforcer

El modo transparente de LAN Enforcer funciona de las siguientes maneras:
Un suplicante (por ejemplo, un equipo cliente) intenta acceder a la red mediante

un autenticador (por ejemplo, un conmutador 802.1x).
El autenticador ve el equipo y enva un paquete de autenticacin de un
Protocolo de autenticacin extensible (EAP) (slo se permite el trfico del EAP).
El cliente (acta como suplicante del EAP) ve el paquete de la autenticacin y
responde con la autenticacin de la integridad del host.
El conmutador enva los resultados de la autenticacin de la integridad del
host a LAN Enforcer (se ejecuta como servidor proxy RADIUS).
LAN Enforcer le responde al conmutador incluyendo la informacin de
asignacin de VLAN que se basa en los resultados de la autenticacin.

Si su red corporativa utiliza LAN Enforcer para la autenticacin, debe configurar
el equipo cliente para realizar la autenticacin IEEE 802.1x.
El proceso de autenticacin 802.1x incluye los pasos siguientes:
Un cliente no autenticado o un suplicante de otro fabricante enva la
informacin del usuario y del cumplimiento a un conmutador de red 802.11
administrado.
El conmutador de red retransmite la informacin a LAN Enforcer. LAN Enforcer
enva la informacin del usuario al servidor de autenticacin para su
autenticacin. El servidor RADIUS es el servidor de autenticacin.
Si el cliente no aprueba la autenticacin de nivel de usuario o no cumple con
la poltica de integridad del host, Enforcer puede bloquearle el acceso a la red.
Enforcer coloca los equipos cliente que no cumplen en una red de cuarentena
donde el equipo puede ser corregido.
Una vez que el cliente repara el equipo y alcanza el cumplimiento, el protocolo
802.1x vuelve a autenticar el equipo y le concede acceso a la red.
Para funcionar con LAN Enforcer, el cliente puede utilizar un suplicante de otro
fabricante o un suplicante integrado.
La Tabla 43-1 describe los tipos de opciones que se pueden configurar para la
autenticacin 802.1x.
Tabla 43-1 Opciones de la autenticacin 802.1x
Opcin Descripcin
Suplicante de otro Utiliza un suplicante de 802.1x de otro fabricante.

fabricante
LAN Enforcer funciona con un servidor RADIUS y suplicantes de
802.1x de otro fabricante para realizar la autenticacin de usuarios.
El suplicante de 802.1x solicita informacin del usuario, que LAN
Enforcer transmite al servidor RADIUS para la autenticacin de nivel
de usuario. El cliente enva el perfil del cliente y el estado de integridad
del host a Enforcer a fin de que Enforcer autentique el equipo.
Nota: Si desea utilizar el cliente de Symantec Network Access Control
con un suplicante de otro fabricante, debe instalar el mdulo
Proteccin contra amenazas de red del cliente de Symantec Endpoint
Protection.
Para utilizar un suplicante de otro fabricante de 802.1x, debe:
Configurar el conmutador 802.1x para utilizar LAN Enforcer como

el servidor RADIUS, de modo que el conmutador remita los
paquetes de autenticacin a LAN Enforcer.
Agregar LAN Enforcer como cliente del servidor RADIUS, de modo
que acepte solicitudes de LAN Enforcer.
En la consola, debe especificar la informacin del servidor RADIUS
y habilitar la autenticacin de 802.1x para los clientes.
Opcin Descripcin
Modo transparente Utiliza el cliente para ejecutarse como suplicante de 802.1x.
Se utiliza este mtodo si no desea utilizar un servidor RADIUS para

realizar la autenticacin de usuario. LAN Enforcer se ejecuta en modo
transparente y acta como servidor RADIUS falso.
El modo transparente implica que el suplicante no solicita informacin

del usuario. En el modo transparente, el cliente acta como suplicante
de 802.1x. El cliente responde a la solicitud de EAP del conmutador
con el perfil del cliente y el estado de integridad del host. El
conmutador, en su momento, transmite la informacin a LAN Enforcer,
que acta como servidor RADIUS falso. LAN Enforcer valida la
informacin de integridad del host y del perfil del cliente provista por
el conmutador y puede permitir, bloquear o asignar dinmicamente
una VLAN, segn sea necesario.
Nota: Para utilizar un cliente como suplicante de 802.1x, debe
desinstalar o inhabilitar los suplicantes de 802.1x de otros fabricantes
en el equipo cliente.
En modo transparente, es posible dejar la informacin del servidor

RADIUS vaca en el cuadro de dilogo Configuracin de LAN Enforcer.
La direccin IP del servidor RADIUS se establece en 0 y no se lleva a
cabo ninguna autenticacin de usuario tradicional del EAP.
Suplicante Utiliza el suplicante de 802.1x integrado del equipo cliente.

integrado
Los protocolos de autenticacin integrados incluyen Tarjeta
inteligente, PEAP o TLS. Despus de habilitar la autenticacin 802.1x,
es necesario especificar qu protocolo de autenticacin se utilizar.
Advertencia: Es necesario saber si su red corporativa utiliza el servidor RADIUS

como servidor de autenticacin. Si configura la autenticacin de 802.1x
incorrectamente, la conexin a la red puede romperse.
Nota: Para permitir que el usuario configure la autenticacin 802.1 en el cliente,

debe configurar el cliente como control del cliente.
Para configurar el cliente para utilizar el modo transparente o un suplicante

integrado
2 Bajo Ver clientes, seleccione el grupo de clientes que desea que realicen la

4 En la ficha Configuracin de seguridad, marque Habilitar la autenticacin
802.1x.
5 Marque Usar el cliente como suplicante de 802.1x.
Para seleccionar el modo transparente, seleccione Usar modo transparente
de Symantec.
Para permitir que el usuario configure un suplicante integrado, seleccione
Permitir al usuario seleccionar el protocolo de autenticacin.
Los usuarios pueden elegir el protocolo de autenticacin para su conexin
de red.

Para configurar el cliente para utilizar un suplicante de otro fabricante
2 Bajo Ver clientes, seleccione el grupo de clientes que desea que realicen la
4 En la ficha Configuracin de seguridad, marque Habilitar la autenticacin
802.1x.
Puede configurar al cliente para que utilice el suplicante integrado. Se habilita al
cliente para la autenticacin 802.1x y como suplicante de 802.1x.
Acerca de la reautenticacin en el equipo cliente

Si el equipo cliente pas la comprobacin de integridad del host, pero la red bloquea
el equipo, es posible que los usuarios deban reautenticar sus equipos. Bajo
circunstancias normales, los usuarios nunca deberan reautenticar el equipo.
La red puede bloquear el equipo cuando ocurre uno de los siguientes eventos:
Se produjo un error durante la autenticacin del usuario en el equipo cliente
porque los usuarios escribieron el nombre de usuario o la contrasea
incorrectamente.
El equipo cliente est en la VLAN incorrecta.
El equipo cliente no obtiene una conexin de red. Los problemas de conexin
de red suceden generalmente porque el conmutador entre el equipo cliente y
LAN Enforcer no autentic el nombre de usuario y la contrasea.
Los usuarios deben iniciar sesin en un equipo cliente que haya autenticado
un usuario anterior.
El equipo cliente no aprob la comprobacin de cumplimiento.
Los usuarios pueden reautenticar el equipo slo si se configur el equipo con un
suplicante integrado. El men contextual del rea del icono de notificacin del
equipo cliente muestra un comando de reautenticacin.
Compatibilidad con productos de aplicacin de otros

proveedores
Symantec proporciona compatibilidad de varias maneras para las soluciones de
aplicacin desarrolladas por otros proveedores:
API de aplicacin universal
Symantec ha desarrollado la API de aplicacin universal para permitir que
otros proveedores con tecnologa relacionada integren sus soluciones con el
software de Symantec.
Control de admisin de red de Cisco
Los clientes de Symantec son compatibles con la solucin Control de admisin
de red de Cisco.
Captulo 44
Administrar mdulos de
Enforcer desde la consola
Acerca de la administracin de mdulos de Enforcer desde la consola
Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores
Acerca de los grupos de Enforcer
Acerca de la informacin de Enforcer que aparece en la consola
Visualizar informacin acerca de Enforcer desde la consola
Modificar el nombre y la descripcin de un mdulo de Enforcer
Eliminar un mdulo de Enforcer o un grupo de Enforcer
Exportar e importar opciones de grupo de Enforcer
Mensajes emergentes para los clientes bloqueados
Acerca de la configuracin de clientes y Enforcer
Configurar clientes para utilizar una contrasea para detener el servicio del
cliente
Acerca de la administracin de mdulos de Enforcer

desde la consola
Las opciones de configuracin de Symantec Enforcer de la consola del servidor
de administracin ayudan a configurar el mdulo de Enforcer, sus interacciones
de autenticacin y las interacciones de aplicacin de normas con los clientes.
734 Administrar mdulos de Enforcer desde la consola
Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores
Antes de configurar las opciones de Enforcer en la consola, termine la instalacin

y la configuracin del mdulo de Enforcer en el equipo de Enforcer.
Las opciones de Enforcer en la consola dependen de qu tipo de Enforcer se
configura: Gateway, LAN o DHCP. Por lo tanto, las opciones para cada uno se
cubren por separado.
Ver "Descripcin de Gateway Enforcer" en la pgina 717.
Ver "Descripcin general de DHCP Enforcer" en la pgina 719.
Ver "Descripcin de LAN Enforcer" en la pgina 721.
La mayor parte de la configuracin y la administracin de Enforcer se realiza
desde la consola. La mayora de las opciones de configuracin de Enforcer se
pueden modificar solamente en la consola. Sin embargo, algunas opciones de
Enforcer requieren que se edite un archivo de Enforcer en el equipo de Enforcer,
en lugar de en la consola. Casi todas las opciones para los mdulos de Enforcer se
configuran desde la pgina Servidores en la consola. LAN Enforcer tiene algunas
opciones obligatorias adicionales en la pgina Polticas.
Si administra varios mdulos de Enforcer y es responsable de otras tareas,
generalmente es ms conveniente administrarlas todas a partir de una ubicacin
centralizada. La consola proporciona esta funcionalidad. Es posible iniciar sesin
en una consola para visualizar informacin sobre todas las instancias de Enforcer.
Es necesario realizar algunas tareas en el equipo en el cual se instala Enforcer.
Las tareas incluyen el uso de la consola local de Enforcer en lugar de la consola
de administracin, y tareas de mantenimiento de hardware. Por ejemplo, los
problemas de Enforcer y de conexin de la consola se solucionan en el mdulo de
Enforcer mismo. Para definir el problema, puede ser necesario comprobar
fsicamente el estado del hardware de Enforcer o modificar su conexin de red.
Este captulo no incluye informacin sobre cmo configurar el cliente de aplicacin
de Symantec, que es un componente separado de Enforcer.
Acerca de la administracin de mdulos de Enforcer

desde la pgina Servidores
La pgina Servidores de consola enumera los mdulos de Enforcer instalados,
junto con los servidores y las consolas conectados, en el panel Ver servidores.
Cada mdulo de Enforcer se menciona bajo un nombre de grupo. Las propiedades
de Enforcer se editan en el nivel de grupo.
Ver "Modificar el nombre y la descripcin de un mdulo de Enforcer"
en la pgina 738.
Administrar mdulos de Enforcer desde la consola 735
Se necesitan privilegios completos de administrador del sistema para ver la pgina

Servidores. Solamente un administrador de sistema con acceso a la consola
completa tiene acceso a las opciones de configuracin de Enforcer en la pgina
Servidores de la consola. Los administradores de dominio no pueden ver la pgina
Servidores. Los administradores de dominio no tienen acceso a la pgina
Servidores.

La configuracin de Enforcer en la consola se hace en el nivel de grupo de Enforcer,
en lugar de en el nivel del mdulo de Enforcer individual. Los mdulos de Enforcer
se mencionan bajo un nombre de grupo en la pgina Servidores de la consola.
Los grupos de Enforcer son una forma de sincronizar la configuracin de Enforcer.
Todos los mdulos de Enforcer de un grupo comparten las mismas opciones
(propiedades). Para actualizar las propiedades de Enforcer, es necesario seleccionar
el nombre del grupo en el panel Ver servidores y editar las propiedades del grupo.
Cmo la consola determina el nombre de grupo de Enforcer

Cuando se configura la conexin de la consola en la consola local de Enforcer, es
posible especificar un nombre de grupo. El mdulo de Enforcer se registra en la
consola despus de establecer la conexin. La consola asigna automticamente el
mdulo de Enforcer al grupo especificado y enumera el mdulo bajo el nombre de
grupo en el panel Ver servidores de la consola. Si no se especifica un nombre
durante la instalacin, la consola asigna el mdulo de Enforcer a un grupo
predeterminado. La consola utiliza el nombre del equipo de Enforcer como nombre
de grupo.
Acerca de los grupos de Enforcer de conmutacin por error

Un nuevo mdulo de Enforcer se identifica en la consola como mdulo de
conmutacin por error en espera. Esta identificacin sucede si se agrega un mdulo
de DHCP Enforcer o Gateway Enforcer de conmutacin por error que se conecte
mediante un hub o un conmutador a la misma subred. La consola entonces asigna
el nuevo mdulo de Enforcer de conmutacin por error en espera al mismo grupo
que el mdulo de Enforcer activo. La asignacin ocurre independientemente de
si se especific un nombre de grupo durante la instalacin en la consola local. Esta
accin garantiza que el mdulo de DHCP Enforcer o Gateway Enforcer de
conmutacin por error tenga exactamente la misma configuracin que el mdulo
de Enforcer primario.
Para los mdulos de LAN Enforcer, la conmutacin por error se administra a travs
del conmutador en lugar de con Enforcer, as que no se realiza la asignacin
Acerca de la informacin de Enforcer que aparece en la consola
automtica al mismo grupo. Es posible asegurarse de que los distintos mdulos

de LAN Enforcer compartan opciones. Especifique el mismo nombre de grupo en
la consola local de Enforcer, en el cuadro de dilogo Configuracin.
Acerca de la creacin de un nuevo grupo de Enforcer

En general, solamente se necesita crear un nuevo grupo de Enforcer si se agrega
un mdulo de Enforcer que requiere opciones diferentes de los mdulos existentes.
Es posible crear un nuevo grupo de Enforcer en la consola local de Enforcer
especificando el nuevo nombre en el cuadro de dilogo Configuracin de la consola.
El nuevo grupo adopta las opciones predeterminadas de Enforcer.
Es posible dejar en blanco el nombre del grupo cuando conecta el nuevo mdulo
de Enforcer desde la consola local. En ese caso, la consola asigna el mdulo a un
nuevo grupo.Este grupo toma el nombre del equipo de Enforcer y sus opciones
predeterminadas.
Es posible utilizar el mismo mtodo para mover un mdulo de Enforcer a otro
grupo. Especifique el nombre de grupo deseado desde la consola local de Enforcer.
El mdulo adquiere la configuracin del grupo en el que se lo coloca.
Acerca de la modificacin de un nombre de grupo

No es posible modificar un nombre de grupo de Enforcer desde la consola. Sin
embargo, es posible especificar un nuevo nombre de grupo desde la consola local
de Enforcer. El mdulo de Enforcer entonces se traslada al nuevo grupo. Puede
ser necesario actualizar la pantalla de la consola para ver el cambio.
Acerca de la informacin de Enforcer que aparece en

la consola
Es posible visualizar informacin acerca de Enforcer en la consola.
Es posible modificar solamente las opciones para las tarjetas de interfaz de red
en el equipo de Enforcer, pero no en la consola. Si modifica la configuracin de la
NIC en el equipo local de Enforcer, las nuevas opciones se cargan en la consola
durante el siguiente latido.
Es posible ver informacin similar acerca de Enforcer en la consola local de
Enforcer.
La Tabla 44-1 describe el tipo de informacin que es posible ver.
Visualizar informacin acerca de Enforcer desde la consola
Tabla 44-1 Informacin acerca de Enforcer en la consola
Campo Descripcin
Nombre Igual al campo Nombre de host.
Descripcin Breve descripcin del mdulo de Enforcer (esta descripcin es la nica

informacin que se puede editar desde la consola).
Versin Versin del software de Enforcer que se ejecuta en el equipo de

Enforcer seleccionado.
Nombre de host Nombre del equipo en el cual se instal Enforcer.
Sistema operativo Sistema operativo que se ejecuta en el equipo en el cual se instal el

mdulo de Enforcer seleccionado.
Estado de En lnea: el servicio est ejecutndose y es el mdulo de Enforcer activo

conexin primario.
Desconectado: el servicio est detenido.
Estado de (Gateway y DHCP Enforcer solamente). Si Enforcer est activo o en

conmutacin por espera.
error
IP interna Direccin IP de la tarjeta de interfaz de red interna.
IP externa (Gateway y DHCP Enforcer solamente). Direccin IP de la tarjeta de

interfaz de red externa.
MAC interna Direccin MAC de la tarjeta de interfaz de red interna.
MAC externa (Gateway y DHCP Enforcer solamente). Direccin MAC de la tarjeta

de interfaz de red externa.
NIC interno Fabricante y modelo de la tarjeta de interfaz de red interna.
NIC externo (Gateway y DHCP Enforcer solamente). Fabricante y modelo de la

tarjeta de interfaz de red externa.
Visualizar informacin acerca de Enforcer desde la

consola
Es posible visualizar informacin acerca de Enforcer desde una consola.
Modificar el nombre y la descripcin de un mdulo de Enforcer
Para visualizar la informacin acerca de Enforcer desde una consola

1 En la consola, en la pgina Administrador, haga clic en Servidores.
2 Bajo Ver servidores, haga clic en los nombres de los Enforcer sobre los que
desea ver informacin.
Para LAN Enforcer, los campos que se refieren al NIC externo no muestran
informacin, ya que LAN Enforcer necesita slo un NIC interno. Adems, no
se muestra ningn estado de conmutacin por error, ya que la conmutacin
por error de LAN Enforcer se administra a travs del conmutador.
Modificar el nombre y la descripcin de un mdulo

de Enforcer
El nombre de Enforcer es siempre el nombre de host del equipo en el cual se instala.
Es posible modificar solamente el nombre de Enforcer modificando el nombre de
host del equipo.
Es posible modificar la descripcin de Enforcer desde la consola. Por ejemplo, es
posible escribir una descripcin para identificar la ubicacin de Enforcer.
Para modificar una descripcin de Enforcer
2 Bajo Ver servidores, haga clic en el nombre del mdulo de Enforcer y, a
continuacin, bajo Tareas, haga clic en Editar propiedades de Enforcer.
Aparece el cuadro de dilogo Propiedades. El campo de nombre no es editable.
3 Escriba el texto deseado en el cuadro de texto Descripcin.
Es posible adems editar la descripcin de Enforcer haciendo clic con el botn
secundario en el nombre del mdulo de Enforcer y seleccionando Propiedades.
Eliminar un mdulo de Enforcer o un grupo de

Enforcer
Es posible eliminar un mdulo de Enforcer desde la consola. Cuando se elimina
un mdulo de Enforcer, se libera una licencia porque el equipo utilizado ya no
ejecuta el mdulo. No es posible eliminar un mdulo de Enforcer desde la consola
mientras el mdulo est en lnea. Es posible desactivar el mdulo de Enforcer y
despus eliminarlo. Cuando se reinicia el equipo de Enforcer, el mdulo vuelve a
conectarse a la consola. Enforcer se registra de nuevo y reaparece en la pgina
Servidores. Para eliminar un mdulo de Enforcer permanentemente desde la

consola, primero desinstale el mdulo desde el equipo de Enforcer.
Para eliminar un mdulo de Enforcer despus de desinstalarlo desde el equipo de
Enforcer
1 Desactive o desinstale el mdulo de Enforcer en el equipo de Enforcer.
3 Bajo Ver servidores, haga clic en el nombre del mdulo de Enforcer y, a
continuacin, bajo Tareas, haga clic en Eliminar Enforcer. Un cuadro de
mensaje le solicitar que confirme la eliminacin.
4 Para confirmar la eliminacin, haga clic en S.
Si no hay mdulos de Enforcer enumerados en un grupo de Enforcer y usted desea
no utilizar ms ese grupo, es posible eliminar el grupo. El grupo debe estar vaco
para que pueda eliminarlo. Cuando se elimina un grupo, se elimina cualquier
opcin personalizada para el grupo.
Para eliminar un grupo de Enforcer
2 Bajo Ver servidores, haga clic en el nombre del grupo de Enforcer.
3 Haga clic en Eliminar grupo. Un cuadro de mensaje le solicitar que confirme
la eliminacin.
4 Para confirmar la eliminacin, haga clic en S.

Quizs desee exportar o importar opciones de configuracin para un grupo de
Enforcer. Las opciones se exportan a un archivo en formato .xml. Cuando importa
opciones, usted debe importarlas en un grupo de Enforcer existente, que
sobrescribe las opciones del grupo seleccionado.
Para exportar opciones del grupo de Enforcer
2 Bajo Ver servidores, haga clic en el nombre de grupo de Enforcer y despus
haga clic en Exportar propiedades del grupo.
3 Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre
de archivo.
Cuando importa opciones, usted debe importarlas en un grupo de Enforcer

existente, que sobrescribe las opciones del grupo seleccionado.
Para importar opciones de grupo de Enforcer
2 Bajo Ver servidores, haga clic en el nombre de grupo de Enforcer cuyas
opciones desee sobrescribir y despus haga clic en Importar propiedades del
grupo.
3 Seleccione el archivo que desea importar y haga clic en Abrir. Se le pedir
que confirme si desea sobrescribir las propiedades actuales del grupo de
Enforcer.
4 Haga clic en S.

Cuando Enforcer bloquea un cliente que intenta conectarse a la red, pueden
configurarse los dos siguientes tipos de mensajes emergentes:
Mensaje para los equipos que ejecutan un cliente.
Mensaje para los equipos de Windows que no estn ejecutando un cliente
(Gateway o DHCP Enforcer solamente).
Mensajes para los equipos que ejecutan el cliente

Si Enforcer bloquea los equipos aunque estn ejecutando un cliente, puede ser
por varias causas. Puede ser porque una comprobacin de integridad del host fall
o porque el perfil del cliente no est actualizado. Cuando ocurren estos eventos,
es posible indicar que se muestre un mensaje emergente en el cliente. Ese mensaje
notifica al usuario que Enforcer ha bloqueado todo el trfico proveniente del
cliente y por qu fue bloqueado. Por ejemplo, se muestra el siguiente mensaje si
el cliente no tiene el ltimo perfil:
Symantec Enforcer ha bloqueado todo el trfico del cliente porque

ste no tiene el ltimo perfil.
Es posible agregar texto al mensaje predeterminado. Por ejemplo, es posible decirle

al usuario del equipo qu hacer para corregir la situacin. Se configura este mensaje
como parte de la configuracin de polticas del grupo de equipos cliente en lugar
de la configuracin de Enforcer.
Mensajes para los equipos de Windows que no estn ejecutando un

cliente (Gateway o DHCP Enforcer solamente)
En algunos casos, los clientes intentan conectarse a la red de la empresa sin
ejecutar el cliente. Gateway Enforcer y DHCP Enforcer muestran un mensaje
emergente para informar a los usuarios de los equipos con Windows sobre la
necesidad de instalar el software de cliente. El mensaje avisa a los clientes que
estn bloqueados para acceder a la red porque el cliente de Symantec no est
ejecutndose. Es posible configurar el contenido del mensaje en la ficha
Autenticacin del cuadro de dilogo de configuracin de Enforcer. Utilice la opcin
Habilitar el mensaje emergente en el cliente si el cliente no se est ejecutando.
Nota: Para Gateway Enforcer solamente, una alternativa al mensaje emergente

es la opcin de redireccin HTTP. La opcin de redireccin HTTP conecta al cliente
a un sitio Web con funcionalidades o instrucciones de reparacin.
Para que Enforcer haga que el cliente muestre un mensaje, los puertos UDP 137
y 138 deben estar abiertos para transmitir el mensaje.
La mensajera de Windows, tambin llamada Messenger, debe ejecutarse en
sistemas basados en Windows NT (Windows NT 4.0, 2000, XP y Windows Server
2003) para que el equipo muestre mensajes emergentes. Si el cliente se est
ejecutando, no se requiere Mensajera de Windows para mostrar un mensaje
emergente desde el cliente.
Configurar los mensajes de Enforcer

Puede configurar los mensajes de Enforcer que aparecen en los clientes cuando
un Enforcer bloquea clientes.
Nota: Puede modificar la configuracin solamente para los grupos que no heredan
la configuracin de un grupo principal.
Para configurar los mensajes de Enforcer

1 En la consola, en la pgina Clientes, seleccione la ficha Polticas.
2 Bajo Ver polticas, seleccione el grupo para el que desea especificar un mensaje
emergente.
3 Bajo Configuracin, seleccione Configuracin general. El cuadro de dilogo
Configuracin de grupo aparece con la ficha Configuracin general
seleccionada.
4 En la ficha Configuracin de seguridad, seleccione Mostrarunmensajecuando

Symantec Enforcer bloquea un cliente.
5 Si desea agregar texto al mensaje predeterminado, haga clic en Establecer
texto adicional, luego escriba el texto y haga clic en Aceptar.

Los clientes de Symantec funcionan con Enforcer sin ninguna configuracin
especial. La excepcin es una opcin de configuracin de la autenticacin 802.1x
necesaria para LAN Enforcer. Adems, debe tener en cuenta una situacin al
configurar clientes. Si un usuario final detiene el cliente cuando se est ejecutando,
podra ocurrir un problema.
Configurar clientes para utilizar una contrasea para

detener el servicio del cliente
El cliente puede pasar la autenticacin de Enforcer inicialmente, mientras se
ejecuta, y recibir una configuracin de red y una direccin IP normales. Si ms
tarde se produce un error en la autenticacin, Enforcer enva un mensaje al cliente.
Este incidente provoca que el cliente haga una versin y renueve la direccin IP.
Sin embargo, si el usuario final detiene al cliente en el equipo cliente, Enforcer
no puede imponer la versin y llevar a cabo la renovacin. Para asegurarse de que
Enforcer pueda continuar poniendo en cuarentena o bloqueando clientes, es posible
que desee restringir qu usuarios pueden detener un cliente. Puede restringir
usuarios al solicitar una contrasea para que el usuario final detenga al cliente.
Para configurar clientes para utilizar una contrasea para detener el servicio del
cliente
1 En la consola, en la pgina Cliente, seleccione el grupo de equipos cliente.
3 En la ficha Configuracin de seguridad, bajo Proteccin de contrasea del
cliente, seleccione Solicitar una contrasea para detener el servicio de cliente
y especifique la contrasea.
Captulo 45
Informes y registros de
Enforcer
Acerca de los informes de Enforcer
Acerca de los registros de Enforcer
Configurar opciones de registro de Enforcer
Acerca de los informes de Enforcer

La pgina Informes de la consola de Symantec Endpoint Protection Manager
proporciona informes predefinidos e informes personalizados. Es posible ver los
informes rpidos predefinidos que contienen informacin sobre los mdulos de
Enforcer en la pgina Informes.
Los siguientes informes de Enforcer estn disponibles:
El informe del sistema, Principales instancias de Enforcer que generan errores,
contiene informacin sobre los mdulos de Enforcer que generaron errores y
advertencias.
El informe del sistema, Estado del sitio, contiene informacin sobre la velocidad
del sistema, el trfico y el registro de paquetes de Enforcer.
Los informes de cumplimiento contienen informacin sobre el estado de
cumplimiento de los clientes.
744 Informes y registros de Enforcer

Los mdulos de Enforcer proporcionan los siguientes registros de cumplimiento
que pueden utilizarse para supervisar la actividad del sistema y para solucionar
problemas:
Registro del servidor de Enforcer
Registro de clientes de Enforcer
Registro de trfico de Enforcer (Gateway Enforcer solamente)
De forma predeterminada, los registros de Enforcer se almacenan en un mdulo
de Enforcer y los datos de registro se envan a la consola y se almacenan en la
base de datos. Desde la consola, es posible modificar las opciones de registro de
Enforcer, ver los registros de Enforcer y generar informes sobre los mdulos de
Enforcer. Las actividades se registran en el mismo registro del servidor de Enforcer
para todos los mdulos de Enforcer en un sitio.
Nota: Tambin est disponible en la consola un registro del sistema, Actividad de

Enforcer. Contiene informacin sobre eventos, como el inicio de los mdulos de
aplicacin de Enforcer y cundo se conectan al administrador.
Ver "Acerca de tipos, contenido y comandos de registros" en la pgina 220.
Acerca del registro del servidor de Enforcer

El registro del servidor de Enforcer proporciona informacin relacionada
directamente con el funcionamiento de un mdulo de Enforcer.
La Tabla 45-1 describe la informacin disponible en el registro del servidor de
Enforcer.
Tabla 45-1 Informacin del registro del servidor de Enforcer
Nombre de la columna Descripcin

del registro
Hora La fecha y la hora del evento registrado.

Nota: Es necesario tener la hora del registro del servidor de
Enforcer sincronizada con la hora de sistema Linux en el equipo
de Enforcer. Es posible que deba modificar manualmente la hora
en su sistema de Linux para que coincida con las modificaciones
de horario de verano.
Informes y registros de Enforcer 745

del registro
Tipo de evento El tipo de evento. Por ejemplo, Enforcer registrado o El servidor

recibi el registro de Enforcer son tipos de eventos.
Nombre de Enforcer El nombre de Enforcer que este evento implica.
Sitio El nombre del sitio que este evento implica.
Servidor El nombre de servidor que este evento implica.
Acerca del registro del cliente Enforcer

El registro del cliente Enforcer proporciona informacin sobre las interacciones
entre Enforcer y los clientes que intentaron conectarse a la red con Enforcer.
Muestra la informacin sobre autenticacin, errores de autenticacin y
desconexin.
La Tabla 45-2 describe la informacin disponible en el registro del cliente Enforcer.
Tabla 45-2 Informacin del registro del cliente Enforcer

del registro
Hora La fecha y la hora en que ocurri la interaccin con el cliente.
Nombre de Enforcer El nombre del host del equipo de Enforcer que este evento
implica.
Tipo de Enforcer El tipo de Enforcer que este evento implica, ya sea Gateway
Enforcer, DHCP Enforcer o LAN Enforcer.
Host remoto El nombre de host del cliente que este evento implica (si
corresponde).

del registro
Accin La accin que Enforcer efectu. Esta columna puede contener

las acciones siguientes:
Autenticado
El identificador nico del cliente (UID) era correcto.
Rechazado
El UID del cliente era incorrecto o no se estaba ejecutando
ningn cliente.
Desconectado
El cliente se desconect de Enforcer o el servicio de Enforcer
se detuvo.
Aprobado
El cliente pas la comprobacin de integridad del host.
Error
El cliente no pas la comprobacin de integridad del host.
MAC remota La direccin MAC del cliente.
Acerca del registro de trfico de gateway de Enforcer

El registro de trfico registra todo el trfico que entra a travs de un adaptador
externo de Enforcer y sale a travs del adaptador interno.
Nota: Los registros de trfico estn disponibles en los mdulos Gateway Enforcer
solamente. El contenido depende del filtro de registro de trfico que se configura
en el cuadro de dilogo Configuracin de Gateway Enforcer.
La Tabla 45-3 describe la informacin disponible en el registro de trfico de

Gateway Enforcer.
Tabla 45-3 Informacin del registro de trfico de Enforcer

del registro
Hora La fecha y la hora del trfico registrado.
Nombre de Enforcer El nombre de Enforcer que este evento implica.
Tipo de Enforcer El nombre del tipo de Enforcer que este evento implica, Gateway

del registro
Puerto local El puerto TCP o el puerto UDP del destino del paquete.
IP de host local La direccin IP del origen del paquete.
IP de host remoto La direccin IP del destino del paquete.
Direccin La direccin del trfico, ya sea entrante, que entra en Enforcer,

o saliente, que sale de Enforcer.
Accin La accin efectuada. Por ejemplo, la accin puede ser autenticada

o ser bloqueada.
Recuento El nmero de veces que el mismo paquete fue recibido.
Acerca del registro de actividades de Enforcer

El registro de actividades de Enforcer es un registro de sistema que contiene
informacin sobre eventos, como el inicio y la detencin de los servicios.
La Tabla 45-4 describe la informacin disponible en el registro de actividades de
Enforcer del sistema.
Tabla 45-4 Informacin de registro de actividades de Enforcer
Nombre de columna Descripcin

del registro
Hora La fecha y la hora en que ocurri el evento.
Tipo de evento El tipo de evento.
Nombre de Enforcer El nombre del host del equipo de Enforcer que este evento
implica.
Tipo de Enforcer El tipo de Enforcer que este evento implica, ya sea Gateway
Sitio El nombre del sitio.
Gravedad El nivel de gravedad del trfico.
Descripcin Una descripcin del evento.


Es posible configurar opciones para los registros de Enforcer en el cuadro de
dilogo Configuracin de nombre de Enforcer en la ficha Registro. Los cambios
se envan al mdulo de Enforcer seleccionado durante el latido siguiente.
Deshabilitar el registro de Enforcer

De forma predeterminada, el registro de Enforcer est habilitado, pero es posible
deshabilitarlo desde la consola. Si deshabilita el registro, es posible habilitarlo
desde esta misma ubicacin.
Para deshabilitar el registro de Enforcer
2 Seleccione el grupo de Enforcer que desee en el panel Ver servidores y haga
clic en Editar propiedades de grupo, bajo Tareas.
3 En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha
Registro, deje sin marcar la casilla de verificacin Habilitar registro para
cada registro que desee deshabilitar.
Enviar registros de Enforcer a la consola

De forma predeterminada, todos los registros se envan a Symantec Endpoint
Protection Manager. Esta funcin guarda todos los registros de Symantec en una
ubicacin central y permite verlos desde la consola. Es necesario realizar esta
tarea solamente si se han modificado las opciones predeterminadas.
Para enviar registros a Symantec Endpoint Protection Manager
clic en Editar propiedades de grupo, bajo Tareas.
3 En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha
Registro, marque la casilla de verificacin Enviar el registro al servidor de
administracin para cada tipo de registro que desee enviar.
4 Cuando haya finalizado sus cambios en el cuadro de dilogo Configuracin,
Configurar el tamao y la antigedad de los registros de Enforcer

Es posible especificar el tamao mximo de los archivos de registro de Enforcer
y por cuntos das se almacenan las entradas de registro.
Nota: Es posible borrar las entradas de los registros de Enforcer de la consola local
de Enforcer.
Para configurar el tamao y la antigedad de los registros de Enforcer

clic en Editar propiedades de grupo.
3 En el cuadro de dilogo de configuracin Nombre de Enforcer, en la ficha
Registro, en cada uno de los campos Tamao mximo del archivo de registro,
especifique el nmero de KB de datos que se mantedrn en cada registro. La
configuracin predeterminada es 512 KB.
4 En el campo La entrada del registro caducar despus de, especifique el
nmero de das que la entrada permanecer en la base de datos antes de que
se quite. El intervalo es de 1 da a 365 das, con una configuracin
predeterminada de 30 das.
Filtrar los registros de trfico para Enforcer

Si tiene muchos clientes que se conecten mediante Enforcer, puede generarse un
registro de trfico grande. Es posible filtrar el tipo de trfico que Enforcer incluye
en el registro de trfico y, de esta forma, reducir el tamao medio del registro. La
lista de filtros ofrece la capacidad de prefiltrar el trfico que Enforcer registra.
Para filtrar los registros del trfico para Enforcer
clic en Editar propiedades de grupo.
3 En el cuadro de dilogo de congifuracin Nombre de Enforcer, en la ficha de

Registro, en la lista Filtro de registros de trfico, seleccione una de las
siguientes opciones de filtro:
Todo el trfico Registra todo el trfico, incluido el que est

permitido y quitado
Slo el trfico bloqueado Registra solamente los clientes que Enforcer

bloquea
Slo el trfico permitido Registra solamente el trfico que Enforcer

permite

Apndice A
Usar la interfaz de lnea de
comandos
En este Apndice se incluyen los temas siguientes:
El servicio del cliente

Es posible manipular el cliente directamente desde la lnea de comandos en el
equipo cliente usando el comando smc para el servicio del cliente. Puede utilizar
este comando en un script que ejecute los parmetros remotamente. Por ejemplo,
si es necesario detener el cliente para instalar una aplicacin en varios clientes,
es posible detener y reiniciar cada servicio de cliente.
A excepcin de smc -start, el servicio del cliente debe estar en ejecucin para
utilizar los parmetros de lnea de comandos. Los parmetros de lnea de comandos
no diferencian entre maysculas y minsculas.
La Tabla A-1 describe los parmetros que es posible ejecutar si los usuarios son
miembros de cualquier grupo de usuarios de Windows.
Tabla A-1 Parmetros que todos los miembros de Windows pueden utilizar
Parmetro Descripcin
smc -checkinstallation Comprueba si el servicio de cliente smc est instalado.
Devuelve 0, -3.
smc -checkrunning Comprueba si el servicio de cliente smc est ejecutndose.
Devuelve 0, -4.
752 Usar la interfaz de lnea de comandos
Parmetro Descripcin
smc -dismissgui Cierra la interfaz de usuario del cliente de Symantec Endpoint

Protection o Symantec Network Access Control e incluye el icono
del rea de notificacin.
El cliente an se ejecuta y protege el equipo cliente.
Devuelve 0.
smc -exportlog Exporta todo el contenido de un registro a un archivo .txt.
Para exportar un registro, utilice la siguiente sintaxis:
smc -exportlog tipo_registroarchivo_de_salida
Donde:
tipo_registro es:
0 = Registro del sistema

1 = Registro de seguridad
2 = Registro de trfico
3 = Registro de paquetes
4 = Registro de control
Es posible exportar solamente los registros de control, de
paquetes, de seguridad, del sistema y de trfico.
archivo_de_salida es el nombre de ruta y el nombre del

archivo asignados al archivo exportado.
Devuelve 0, -2, -5.
smc -runhi Si Symantec Network Access Control est instalado, ejecuta una
comprobacin de integridad del host.
Devuelve 0.
smc -showgui Muestra la interfaz de usuario del cliente de Symantec Endpoint

Protection o Symantec Network Access Control.
Devuelve 0.
smc -updateconfig Comprueba si el archivo de polticas del servidor de

administracin es ms reciente que el archivo de polticas del
cliente.
Si el archivo de polticas del cliente est desactualizado,

updateconfig descarga el archivo de polticas ms reciente y
sustituye el existente, que es serdef.dat.
Devuelve 0.
Es posible ejecutar los siguientes parmetros solamente si:

Usar la interfaz de lnea de comandos 753
El cliente ejecuta Windows 2003/XP/Vista y los usuarios son miembros del

grupo de administradores de Windows.
El cliente ejecuta Windows 2003/XP y los usuarios son miembros del grupo de
usuarios avanzados.
Nota: Si el cliente ejecuta Windows Vista y el control de cuentas de usuario est

habilitado, el usuario pasa a ser automticamente un miembro del grupo de
administradores y de usuarios. Para utilizar los siguientes parmetros, los usuarios
deben ser miembros del grupo de administradores solamente.
Tabla A-2 Parmetros que los miembros del grupo de administradores pueden
utilizar
Parmetro Descripcin
smc -importconfig Agrega el contenido de un archivo de polticas al contenido del

archivo de polticas actual del cliente.
Este comando no sustituye el contenido del archivo de polticas

actual. Por lo tanto, es posible implementar el archivo de
polticas ms actual sin tener que quitar la configuracin
desactualizada de normas de firewall, anlisis antivirus, opciones
de seguridad y opciones de la interfaz de usuario.
Es necesario especificar el nombre de la ruta y el nombre de

archivo. Por ejemplo, es posible escribir el siguiente comando:
smc -importconfig C:\policy\OfficeRules.xml.
Devuelve 0, -1, -5, -6.
smc -exportconfig Exporta el archivo de polticas del cliente a un archivo .xml.

smc -exportconfig C:\policy\OfficeRules.xml
Devuelve 0, -1, -5, -6.

Parmetro Descripcin
smc -importadvrule Agrega las normas de firewall importadas a la lista del cliente
de normas de firewall existentes.
Estas normas no sobrescriben las normas existentes. El cliente

enumera las normas existentes y las normas importadas, incluso
si cada norma tiene el mismo nombre y los mismos parmetros.
El cliente debe ejecutarse para importar el contenido del archivo
de polticas.
Las normas de firewall y del cliente se aplican solamente al

cliente cuando se utiliza el control del cliente o el control mixto.
El cliente ignora estas normas en el control del servidor.
Para importar normas de firewall, usted importa un archivo

.sar. Por ejemplo, es posible escribir el siguiente comando:
smc -importadvrule
C:\config\AllowExplorerRule.sar
Se agrega una entrada al registro del sistema despus de

importar normas.
Devuelve 0, -1, -5, -6.
smc -exportadvrule Exporta las normas de firewall del cliente a un archivo .sar.
Las normas de clientes se aplican solamente al cliente cuando

se utiliza el control del cliente o el control mixto. El cliente
ignora estas normas en el control del servidor.

smc -exportadvrule
C:\config\AllowExplorerRule.sar
Devuelve 0, -1, -5, -6.
smc -start Inicia el servicio del cliente de Symantec Endpoint Protection

o Symantec Network Access Control.
Devuelve 0, -1.
smc -stop Detiene el servicio del cliente de Symantec Endpoint Protection

o Symantec Network Access Control y lo descarga de la memoria.
Devuelve 0, -1.
Cuando importe archivos de polticas y normas de firewall, recuerde que se aplican

las siguientes normas:
Usar la interfaz de lnea de comandos 755
No es posible importar archivos de polticas o de normas de firewall

directamente desde una unidad de red asignada.
El cliente no admite rutas UNC (convencin de nomenclatura universal).
Cdigos de error
El cliente registra los cdigos de error del comando smc en el registro del sistema.
La Tabla A-3 muestra los cdigos de error que el comando smc devuelve cuando
los parmetros obligatorios faltan o no son vlidos.
Tabla A-3 Cdigos de error de smc
Cdigo de error Descripcin
0 El comando era correcto.
-1 El usuario no pertenece al grupo de administradores de Windows o al

grupo de superusuarios de Windows. Si el cliente ejecuta Windows
Vista, el usuario no es miembro del grupo de administradores de
Windows.
-2 Parmetro no vlido.
Pudo haber escrito el parmetro incorrectamente o haber agregado

un conmutador incorrecto despus del parmetro.
-3 El servicio del cliente smc no est instalado.
-4 El servicio del cliente smc no se est ejecutando.
-5 Archivo de entrada no vlido.
Por ejemplo, los parmetros importconfig, exportconfig,

updateconfig, importadv, exportadvrule y exportlog
necesitan el nombre de ruta y el nombre de archivo correctos.
-6 El archivo de entrada no existe.
Por ejemplo, los parmetros importconfig, updateconfig y

importadvrule necesitan el nombre de ruta, el nombre de archivo
de polticas (.xml) o el nombre de archivo de las normas de firewall
(.sar) correctos.
Escribir un parmetro si el cliente est protegido con contrasea

Es posible proteger con contrasea el equipo cliente para los siguientes parmetros:
-stop El cliente pide una contrasea antes de que usted o el usuario detengan
el cliente.
-importconfig El cliente pide una contrasea antes de que pueda importar el archivo
de polticas.
-exportconfig El cliente pide una contrasea antes de que pueda exportar el archivo
de polticas.
Ver "Proteger el cliente con contrasea" en la pgina 161.
Nota: La contrasea se limita a 15 caracteres o menos.
Para escribir un parmetro si el cliente est protegido con contrasea

1 En el equipo cliente, en la barra de tareas, haga clic en Inicio > Ejecutar.
2 En el cuadro de dilogo Ejecutar, escriba cmd.
3 En el smbolo del sistema de MS-DOS de Windows, escriba una de las siguientes
opciones:
smc -parmetro-p contrasea
smc contrasea-parmetro-p
Donde:
parmetro es -stop, -importconfig o -exportconfig.
contrasea es la contrasea que usted especific en la consola.
Por ejemplo, es posible escribir:

smc -exportconfig c:\perfil.xml -p contrasea o
smc -p contrasea-exportconfig c:\perfil.xml
4 Cierre la lnea de comandos.

ndice
A informes 264
activadores interrumpido 518
adaptador de red 531 opciones avanzadas para anlisis definidos por
aplicacin 528 el administrador 520
host 529 opciones de progreso del anlisis 518
normas de firewall 527 pospuesto 519
servicio de red 530 registros 264
activadores de hosts seleccin de archivos y carpetas para
normas de firewall 529 analizar 466
activadores de la aplicacin visualizacin de mensaje de aviso en el
normas de firewall 528 cliente 483
actualizacin de clientes 120 anlisis de amenazas proactivo 584
actualizacin de clientes en uno o ms grupos 121 acciones 595
adaptadores. Ver adaptadores de red administracin de detecciones 593
adaptadores de red deteccin forzada 592
activadores 531 excepciones centralizadas 591
adicin a la lista predeterminada 571 nivel de sensibilidad 595
adicin a una norma 572 anlisis de amenazas proactivos
edicin y eliminacin 573 aplicaciones comerciales 596
agrupacin 336 configuracin predeterminada 584
amenazas 261, 524 configuracin predeterminada de Symantec 584
Ver tambin Proteccin contra amenazas de red Cuarentena 590
Ver tambin Proteccin proactiva contra deteccin de procesos 585
amenazas envo de informacin a Symantec 485
combinadas 456 excepciones centralizadas 645, 650
amenazas combinadas 456 falsos positivos 587
Anlisis forzar una deteccin 652
informes 203 frecuencia 596
registros 226 notificaciones 597
anlisis 464 omitir procesos 590
Ver tambin anlisis programados procesos 594
acerca de 459 anlisis definidos por el administrador 511
antivirus y contra software espa Ver tambin anlisis manuales
excepciones centralizadas para 645 Ver tambin anlisis programados
antivirus y software espa 478 anlisis manuales
asignacin de acciones 471 configuracin 516
Auto-Protect 460 ejecucin 517
detenido 519 opciones avanzadas 520
ejecucin manual 517 opciones de progreso del anlisis 518
exclusin de archivos en los anlisis 470 anlisis programados 464
extensiones de archivo recomendadas 468 Ver tambin anlisis
acerca de 464
758 ndice
agregar a una poltica 512 auditora

Consider reformatting to remove the informe 194
commas--franedicin, eliminacin o registro 222
deshabilitacin 515 autenticacin
guardar como plantilla 512 certificado 309
opciones avanzadas 520 host 714
opciones cuando no se realiza 514 nivel de usuario 716
opciones de progreso del anlisis 518 reautenticacin 730
API de aplicacin universal 731 autenticacin 802.1x
aplicaciones 575 acerca de 727
Ver tambin aplicaciones aprendidas configuracin 730
adicin a una norma 574 Autenticacin IEEE 802.1x
autorizar 635 acerca de 727
bsqueda 442, 575 opciones 727
definicin 574 Auto-Protect
lista de excepciones 636 anlisis 460
opciones en requisitos de integridad del host 688 anlisis y bloqueo de riesgos de seguridad 497
restauracin para integridad del host 700 configuracin 493
supervisin de aplicaciones de red 579 configuracin de opciones de notificacin 503
aplicaciones aprendidas 575 configurar notificaciones de progreso 510
Ver tambin aplicaciones Lotus Notes 502
acerca de 439 Microsoft Outlook 501
bsqueda 442 opciones avanzadas de anlisis y
guardado de resultados de la bsqueda 444 supervisin 497
habilitacin 440441 para correo electrnico de Internet 499
lista 575 para el sistema de archivos
aplicaciones de publicidad no deseada 457 configuracin 495
archivo de almacn de claves JKS 309 habilitacin 494
archivo del almacn de claves PKCS12 310 tipos de 494
archivos visualizar resultados en equipos infectados 505
exclusin del anlisis 470 Auto-Protect para correo electrnico de Internet 499
opciones en requisitos de integridad del host 688 Auto-Protect para el sistema de archivos. Ver
restauracin para integridad del host 700 Auto-Protect
archivos de definiciones
analizar despus de actualizar 466 B
configurar acciones ante nuevas
balanceo de carga 424
definiciones 492
base de datos
exhibicin de advertencia de desactualizacin o
administracin
ausencia 476
integrada 315
Archivos MSI 129
MS SQL 315
Archivos MSP 129
Asistente para la configuracin del servidor de
archivos sospechosos 453
administracin 316
asistente para la configuracin de normas 539
cambio de los parmetros de tiempo de
Asistente para la configuracin del servidor de
espera 343
administracin 316
copia de respaldo 317
ataques
automtica 319, 326
bloqueo 524, 553
copias de respaldo manuales 319
firmas 547
edicin
ataques de da cero 584
descripcin 329
ndice 759
nombre 329 archivo de almacn de claves JKS 309

errores 343 archivo del almacn de claves PKCS12 310
errores CGI 343 certificado y archivo de clave privada (formato
errores de proceso terminados 343 DER y PEM) 310
integrada digital 309
convencin de nomenclatura 316 servidor 309
reconfiguracin 318 cifrado 309
mantenimiento 341342 cliente 354
MS SQL Ver tambin replicacin
archivo bcp.exe 331 actualizaciones
convenciones de nomenclatura 316 Intelligent Updater 137
reconfiguracin 318 comandos 751
programar copia de respaldo automtica 326 comunicacin con los mdulos de Enforcer 717
reconfiguracin desconectado 271
integrada 332 eliminacin de paquetes de actualizacin 122
restaurar interfaz de usuario
acerca de 318 acceso a 153
paso 327 configuracin 155, 159
tamao 317 configurar 154
Utilidad Symantec Database Backup and mensajes cuando se bloquea 740
Restore 316 normas 534
volver a configurar proteccin mediante contrasea 161
MS SQL 330 registro de control 602
Bases de conocimientos 450 replicacin de paquetes 354
bibliotecas. Ver firmas IPS riesgos
bloquear equipos atacantes 553 herramientas de distribucin de otro
bloqueo automtico 553 fabricante 138
bloqueos Cliente de aplicacin de Symantec 734
en polticas antivirus y contra software clientes de versiones anteriores
espa 453 Polticas antivirus y contra software espa
bots 456 para 453
bots de Internet 456 clientes desconectados 271
Buscador de riesgos 498 clientes no administrados
bloquear direcciones IP 499 distribucin de actualizaciones con herramientas
de otro fabricante 142
C cdigos de error 755
comando smc
Caballos de Troya 456, 579
acerca de 751
candados
cdigos de error 755
iconos de candado 154
comandos
carpetas
cliente 751
anlisis de seleccin 480
ejecutar de registros 235
categora de riesgo Otros 458
comprobaciones de integridad del host
Centro de Seguridad de Windows 474
cambios de polticas 670
alertas 475
cundo ejecutar 669
tiempo de caducidad para las definiciones 476
despus de un error 672
Centro de seguridad de Windows
forzar la aprobacin 675
deshabilitacin 474
mensajes 673
certificado
registro de detalles 672
actualizacin 310
760 ndice
registro detallado 672 cuarentena

retencin de resultados 671 directorio local 488
Comprobaciones de la integridad del host envo de elementos a Symantec 491
Mdulos de Enforcer y 715 opciones 488
condiciones opciones de limpieza 489
agregar a los requisitos 683684 remisin de elementos a la Cuarentena
configuracin administrada central 491
bloquear y desbloquear 154 cumplimiento
configuracin de ocultacin 546 informes 194, 254, 743
Conjunto de normas de control de aplicaciones registros 223, 254, 744
configuracin de prioridades 613
modos 612613 D
conmutacin por error 424
Declaracin de condicin IF 684
consola
DHCP Enforcer . Ver mdulos de Enforcer
administracin de Enforcer 734, 736
distribucin de contenido de otro fabricante
pgina Servidores 734
acerca de 138
registros de Enforcer 748
en equipos cliente administrados 139
visualizar informacin de Enforcer 737
habilitacin con una poltica de LiveUpdate 139
consola de administracin. Ver consola
requisito de la clave del registro para no clientes
Control de admisin de red de Cisco 731
no administrados 142
control de aplicaciones y dispositivos
uso con clientes no administrados 142
conjuntos de normas 602
dominios
creacin de polticas personalizadas 613
acerca de 70
informes 193, 253
administracin 71
registros 222, 253, 602
visualizacin 70
control de clientes 156
visualizacin de grupos 70
control de nivel de aplicaciones 602
control de nivel de dispositivos
control de aplicaciones y dispositivos 603 E
informes 193 elaboracin de informes
control de servidores 156 Preferencias de la pgina principal 184
control mixto 157 registros 219
acerca de 158 Symantec Endpoint Protection
configuracin de opciones de proteccin contra pgina principal 171
amenazas de red 565 Symantec Network Access Control
copia de respaldo pgina principal 181
Base de datos de Microsoft SQL 317 envo de informacin de amenazas a Symantec 485
Base de datos de Microsoft SQL con el asistente envos 486
MS SQL 321 configuracin de opciones 487
base de datos de Microsoft SQL desde la consola envo al servidor de Cuarentena central 491
de Symantec Endpoint Protection envo de elementos a Symantec 491
Manager 321 envo de informacin a Symantec 485
base de datos integrada 317 equipos infectados
base de datos integrada desde la consola de visualizar resultados de Auto-Protect en 505
Symantec Endpoint Protection Manager 325 errores CGI
Cuarentena base de datos 343
acerca de 454 errores de proceso terminados
administrar elementos 454 base de datos 343
borrar archivos 236
ndice 761
estado del equipo filtros de trfico inteligentes 545

informes 195, 256 firewall
registros 224, 256 acerca de 524525
eventos configuracin del trfico 546
acerca de 167 notificaciones 577
agrupacin 336, 338 requisitos de integridad del host 687
mantenimiento de la base de datos firmas. Ver firmas IPS
opciones 342 firmas IPS
excepciones 551, 643 personalizadas
Ver tambin excepciones centralizadas acerca de 548
firmas IPS 551 asignacin de bibliotecas a un grupo 558
excepciones centralizadas 643 bibliotecas 556, 558
Ver tambin Polticas de excepciones copiado y pegado 559
centralizadas creacin 556
archivos 649 crear una biblioteca 556
carpetas 649 importacin 555
Eventos de Proteccin contra intervenciones 656 modificar el orden 559
eventos de proteccin proactiva contra variables 560
amenazas 655 Symantec
extensiones 650 acerca de 548
forzar una deteccin de anlisis de amenazas excepciones 551
proactivo 652 modificacin del comportamiento 551
para anlisis antivirus y contra software formato DER y PEM 310
espa 645
para anlisis de amenazas proactivos 591, 645, G
650
Gateway Enforcer . Ver mdulos de Enforcer
para procesos detectados 651
grupo principal. Ver herencia
Proteccin contra intervenciones 646, 652
grupos
riesgos de seguridad conocidos 648
acerca de 70
sucesos de riesgos 654
asignacin de lista de servidores de
excepciones de IPS 551
administracin 429
exclusiones. Ver excepciones centralizadas
especificacin de una lista de servidores de
exportacin
administracin 425
lista de servidores de administracin 434
visualizacin 70
normas de firewall 542
grupos de hosts
opciones de grupo de Enforcer 739
adicin a una norma 568
paquetes de instalacin de clientes 118
creacin 566
polticas 411412
edicin 567
Polticas de control de aplicaciones y
eliminacin 567
dispositivos 621
gusanos 456
Polticas de integridad del host 708
requisitos de poltica de integridad del host 679
extensiones H
anlisis de seleccin 479 herencia
deshabilitacin 377
habilitacin 376
F normas de firewall 533, 541
falsos positivos 549, 587
poltica 375
reduccin al mnimo 556
anulacin 376
filtros 232
762 ndice
ubicacin 375 configurar los filtros 166

anulacin 376 control de aplicaciones 193
herencia de grupo. Ver herencia control de aplicaciones y dispositivos 253
herencia de ubicacin 375 control de dispositivos 193
herramientas de piratera 457 cumplimiento 194, 254, 743
historial descripcin general 165
Polticas de control de aplicaciones y eliminacin de las opciones de
dispositivos 624 configuracin 212
hosts estado del equipo 195, 256
adicin a una norma 568 filtro ltimas 24 horas 187
equipo local y remoto 529530 Impresin 213
exclusin de la prevencin de intrusiones 554 mdulos de Enforcer
origen y destino 529 acerca de 743
hosts excluidos 554 Proteccin contra amenazas de red 198, 259
huellas digitales de archivos 630 Proteccin proactiva contra amenazas 261
rpidos 192
I Riesgo 200
Riesgos 263
iconos
Sistema 204, 265
candado 154
sistema 743
iconos de candado 154
tipos 165
IEEE 802.1x
Informes favoritos
configuracin 726
importacin
personalizacin 178
archivos de polticas
informes programados 214
limitaciones 754
Ver tambin informes
informacin de usuario desde bsqueda del
acerca de 214
servidor de directorios LDAP 295
creacin 215
informacin de usuario desde un servidor
eliminacin 217
LDAP 292
modificacin 215
lista de servidores de administracin 435
informes rpidos
normas de firewall 542
configuracin bsica de filtro 208
limitaciones 754
creacin 211
opciones de grupo de Enforcer 739
inspeccin. Ver inspeccin de estado
polticas 413
inspeccin de estado
Polticas de integridad del host 709
acerca de 535
requisitos de poltica de integridad del host 679
creacin de normas de trfico 535
plantillas y 679
instrucciones IF THEN 683
unidades organizativas 296
instrucciones THEN 684
Informes
Integridad del host
aspectos importantes 206
acerca de 64
conceptos bsicos 165
interfaz de usuario
informes 214
acerca de 153
Ver tambin Informes programados
configuracin 155, 159
almacenamiento 213
configurar 154
almacenamiento de las opciones de
IPv4 569
configuracin 212
IPv6 569
Anlisis 203
anlisis 264
auditora 194, 254
ndice 763
L modificar las polticas de contenido aplicadas a

LAN Enforcer . Ver mdulos de Enforcer los grupos 135
lista de dispositivos de hardware opciones avanzadas de distribucin 137
administracin 615 opciones de la distribucin de otro
lista de servidores de administracin fabricante 126
acerca de 424 polticas
adicin 427 acerca de 131
asignacin a grupo y ubicacin 429 configurar 132133
balanceo de carga 424 tipos de actualizaciones 128
conmutacin por error 424 usar con la replicacin 129
copiado 434 uso de las herramientas de distribucin de otro
edicin fabricante en lugar del 138
descripciones 430
direcciones IP 430 M
nombres de host 430 manuales, anlisis. Ver anlisis manuales
nombres de servidor 430 marcadores 457
nmeros de puerto 431 mensaje de aviso
protocolos HTTP 431 adicin a mensaje de correo infectado 506
protocolos HTTPS 431 ejemplo 483
eliminacin 435 visualizacin en equipos infectados 483
direcciones IP 436 mensajes
nombres de host 436 Enforcer 740
prioridades 436 modificacin 741
especificacin para un grupo 425 visualizacin 741
exportacin 434 opciones de cuadro en requisitos de integridad
importacin 435 del host 698
lista predeterminada 425 registro en requisitos de integridad del host 697
pegado 434 mensajes de correo electrnico 499, 508
reasignacin Ver tambin Auto-Protect para correo
direcciones IP 433 electrnico de Internet
nombres de host 433 Ver tambin mensajes de correo electrnico
prioridades 433 infectados
reemplazo 433 para normas de firewall 578
visualizacin de grupos y ubicaciones mensajes de correo electrnico infectados
asignados 426 adicin de advertencia a 506
LiveUpdate notificacin a otros usuarios 508
actualizar definiciones y contenido 123 notificacin de remitentes 507
Administrador de LiveUpdate 129 mensajes de notificacin
archivos MSI y MSP 129 para anlisis antivirus y de software espa 483
arquitecturas distribucin de redes 124 Modo de produccin 612613
configuracin Modo de prueba 612613
de un sitio para descargar modo transparente 726
actualizaciones 129 modos 612613
configurar mdulos de Enforcer
poltica de configuracin 132 acerca de 714
un proveedor de actualizaciones clientes
grupales 135 comunicacin con 717
una poltica del contenido 133 configuracin del cliente 742
firmas y definiciones 128 conmutacin por error 715, 735
764 ndice
consola basado en secuencia 548

administracin 734 MS SQL
limitaciones 736 administrar base de datos 315
DHCP 715
acerca de 719 N
niveles de control 155
eliminacin 739
niveles de control del usuario 155
Gateway 714
nodos ELSE 684
acerca de 718
nombre de archivo
especificacin 689
funciones 718
normas. Ver normas de firewall
Registro de trfico 746
normas de firewall
grupos 735
acciones 528
creacin 736
acerca de 527, 534
exportacin de opciones 739
activadores 527
importacin de opciones 739
activadores de adaptador de red 531
modificacin 736
activadores de servicio de red 530
modificacin del nombre 736
adaptadores de red
informacin verificada 716
adicin 571572
informes 743
edicin y eliminacin 573
LAN 715
adicin
autenticacin 802.1x 727
mediante el asistente 539
configuracin 726
usar norma vaca 537
aplicaciones 528
modo transparente 726
adicin 574
modificacin de la descripcin 738
cliente 534
modificacin de nombre 738
condiciones 527
otros proveedores 731
copiar 543
registro Cliente 745
deshabilitacin 544
Registro de actividades 747
edicin 542
Registro de servidores 744
elementos 527
Registro de trfico 746
eliminacin 542
registros
exportacin 542
acerca de 744
grupos de hosts
configuracin 748
adicin 568
deshabilitacin 748
creacin 566
envo a la consola 748
filtrado 749
habilitacin 544
retencin 749
herencia 533, 541
tamao 749
hosts 529
restauracin de integridad del host 703
importacin 542
restriccin de interrupciones del cliente 742
limitaciones 754
lista 533
comunicacin con 716
mensajes de correo electrnico 578
tipos 714
modificar el orden 544
valores 734
orden de procesamiento 532
varios 715
modificacin 544
motores IPS 547
pegar 543
basado en paquete 549
ndice 765
programaciones paquetes de instalacin de clientes

adicin 575 acerca de 115
servicios de red adicin 120
adicin 569, 571 adicin de actualizaciones 120
edicin y eliminacin 570 configuracin 116117
servidor 534 exportacin 118
normas vacas 537 recopilacin de informacin de usuarios 117
notificaciones parmetros de tiempo de espera
anlisis de amenazas proactivo 597 base de datos 343
opciones de Auto-Protect 503 PC-cillin 528
Proteccin contra amenazas de red 576 plan para ataques de virus 448
registro 226 plantillas
para anlisis programados 512
O requisitos de integridad del host
importacin 679
opciones
poltica 397
firewall 526, 546
Ver tambin LiveUpdate
Proteccin contra amenazas de red 565
Ver tambin normas de firewall
opciones administradas
Ver tambin polticas antivirus y contra software
configurar en el cliente 153
espa
opciones bloqueadas y desbloqueadas
Ver tambin Polticas de control de aplicaciones
cliente 154
y dispositivos
opciones contra software espa
Ver tambin Polticas de excepciones
requisitos de integridad del host 686
centralizadas
opciones de antivirus
Ver tambin Polticas de firewall
Ver tambin Polticas de integridad del host
opciones de arquitectura de redes
Ver tambin Prevencin de intrusiones
para la administracin de otro fabricante de
acerca de 365, 397
actualizaciones 126
adicin de polticas no compartidas
para LiveUpdate y la distribucin del
desde exportado 404
contenido 124
pgina Clientes 400, 402
opciones de espera
agregar compartida
ejecucin de script de integridad del host 699
desde una carpeta compartida
reparacin de integridad del host 700
existente 403
opciones de registro
pgina Poltica 399
asignar compartida 408
opciones del sistema operativo
compartida 368
convertir compartidas en no compartidas 612
edicin de polticas compartidas
P pgina Clientes 406
pgina principal pgina Polticas 405
Symantec Endpoint Protection edicin de polticas no compartidas
acerca de 171 pgina Clientes 406
personalizacin 178 ejemplo 373
utilizacin 172 eliminar compartida
vnculos de Security Response 179 pgina Clientes 410
Symantec Network Access Control pgina Poltica 409
acerca de 181 eliminar no compartida
utilizacin 181 pgina Clientes 410
766 ndice
exportar compartida retirar 622

pgina Clientes 412 tipos de controles 600
pgina Polticas 411 trabajar con 603
exportar no compartida ver el historial de cambios 624
pgina Clientes 412 Polticas de excepciones centralizadas 643
herencia 375 Ver tambin excepciones centralizadas
importacin de archivos de polticas 754 configuracin 646
importacin de poltica compartida crear excepciones de eventos de registro 654
pgina Clientes 413 excepciones para los anlisis de amenazas
pgina Polticas 413 proactivos 650
importacin de poltica no compartida interaccin del cliente 646
pgina Clientes 413 para anlisis antivirus y contra software
LiveUpdate 131 espa 647
no compartida 368 restricciones de clientes 653
predeterminada 366 trabajar con 644
retirar poltica compartida 415 Polticas de firewall
retirar poltica no compartida 415 acerca de 525526
poltica compartida. Ver poltica Polticas de integridad del host 659
poltica no compartida. Ver poltica alternar 707
poltica predeterminada 366 aplicar 704
Polticas antivirus y contra software espa copiado 707
acerca de 452 creacin 664
trabajar con 455 compartido 665
polticas antivirus y contra software espa especficas de una ubicacin 667
administrar la interaccin del cliente 473 edicin 705
anlisis programados 512 eliminacin 710
bloquear configuracin 453 exportacin 708
clientes de versiones anteriores 453 historial de cambios 711
configurar la gestin de registros 472 importacin 709
configurar opciones del Centro de Seguridad de Mdulos de Enforcer y 715
Windows 474 predeterminada 668
opciones de envo 485 reemplazo 706
poltica predeterminada 452 requisitos
Polticas de control de aplicaciones y dispositivos adicin 676
administracin 616 aprobacin incluso cuando una condicin
asignacin 611 no se cumple 675
copiado 619 comprobacin de la marca de hora 697
creacin 605 copiado 678
edicin 617 definicin 675
eliminacin 623 deshabilitacin 677
estructura 600 edicin 676
exportacin 621 editor 683
importacin 622 ejemplo 661
normas eliminacin 676
deshabilitacin 614 habilitacin 677
prioridades 613 importacin 679
personalizacin 604 opcin de espera 699
predeterminada 604 opcin de registro de mensaje 697
reemplazo 618 opciones contra software espa 686
ndice 767
opciones de antivirus 685 programaciones

opciones de archivo 688 adicin a una norma 575
opciones de cuadro de mensaje 698 programas broma 458
opciones de ejecucin de programa 695 programas de acceso remoto 458
opciones de ejecucin de script 696 Programas de seguimiento 459
opciones de firewall 687 Proteccin antivirus y contra software espa
opciones de registro 693 bloquear y desbloquear funciones 154
opciones del sistema operativo 690 conceptos bsicos 448
pegado 678 Proteccin contra amenazas de red
personalizadas 684 configuracin para el control mixto 565
personalizados 681, 683, 685691, 693 creacin de notificaciones 576
planificacin 663 descripcin general 524
plantillas 666 deshabilitacin 564
predefinidos 680 habilitacin 564
secuencia 678 informes 198, 259
tipos 660 registros 225, 259
restauracin de integridad del host 700 Proteccin contra intervenciones
configuracin de Enforcer 703 administracin 357
posposicin 701 bloquear y desbloquear funciones 154
retirar 710 excepciones centralizadas 646, 652
supresin 710 mensajes 359
valores 669 proteccin mediante contrasea
ver 705 anlisis de unidades asignadas 473
ver el historial de cambios 711 cambio de contrasea 473
Polticas de proteccin de acceso 64 cliente 161, 742
preferencias mdulos de Enforcer 742
elaboracin de informes 184 parmetros 755
prevencin de intrusiones Proteccin proactiva contra amenazas
acerca de 524, 547 acerca de 64
bloquear equipos atacantes 553 informes 261
configuracin 549 registros 225, 261
deshabilitar en los equipos especificados 554 proteccin proactiva contra amenazas 584
habilitacin 550 protocolo
notificaciones 577 LDAP 292
prioridades de normas protocolo HTTP 427
Polticas de control de aplicaciones y protocolo HTTPS 427
dispositivos 613 Protocolo LDAP 292
Productos de Symantec protocolos
exclusiones automticas 463 adicin 569
programacin adicin a una norma 571
copia de respaldo automtica de base de edicin y eliminacin 570
datos 326 HTTP 427
copia de respaldo cuando sea necesaria de la base HTTPS 309, 427
de datos integrada 325 Proveedor de actualizaciones grupales
copia de respaldo manual de base de datos de configurar una poltica de configuracin 135
Microsoft SQL 321 puertos y comunicaciones 135
copia de respaldo manual de la base de datos con proxy RADIUS 715
el Asistente para el mantenimiento de bases
de datos Microsoft SQL 321
768 ndice
R Riesgos 225, 263

reautenticacin 730 servidor
reconfiguracin configuracin de tamao 336
base de datos de Microsoft SQL 318 Sistema 226, 265, 755
base de datos integrada 318, 332 tipos 220
registro externo 239 ver remotamente 231
registros 219, 254 visualizacin 229
acceso remoto 231 registros de eventos 229
acerca de 168 filtro ltimas 24 horas 187, 232
actualizacin 230 registros e informes de firewall. Ver Proteccin
administracin 341 contra amenazas de red
almacenamiento 334 reparacin
Anlisis 226 Integridad del host 700
anlisis 264 aplicaciones 700
auditora 222 archivos 700
borrar de base de datos 335 cancelacin 700
cliente posposicin 701
configuracin de tamao 338 tiempo de espera 700
control de aplicaciones y dispositivos 222, 253 replicacin
cumplimiento 223, 254, 744 agregar asociado de replicacin 350
detalles de eventos 230 combinacin de datos 349
ejecutar comandos de 235 configuracin
eliminar opciones de configuracin 233 inicial 350
errores de la base de datos 229 posterior a la instalacin 350
estado del equipo 224, 256 desconexin de asociado de replicacin 352
exportacin de datos 239 descripcin general 345
filtrado 232 ejemplo 348
filtro ltimas 24 horas 232 ejemplo ilustrado 347
guardar configuraciones de filtro 232 frecuencia 353
mantenimiento de la base de datos LiveUpdate y 129
opciones 342 opciones de comunicacin 348
mdulos de Enforcer 744 paquete de clientes 354
Actividad 747 registros 355
Cliente 745 respuesta activa
configuracin 748 configuracin 553
deshabilitacin 748 restauracin
envo a la consola 748 Base de datos de Microsoft SQL 318
filtrado 749 base de datos integrada 318
retencin 749 retirar
Servidor 744 poltica compartida 415
tamao 749 poltica no compartida 415
Trfico 746 Polticas de control de aplicaciones y
Notificaciones 226 dispositivos 622
Proteccin contra amenazas de red 225, 259 riesgo 455
Proteccin proactiva contra amenazas 225, 261 Ver tambin riesgos de seguridad
registro de control de clientes 602 deteccin 455
replicar 231 eliminacin 267
riesgo informes 200, 263
eliminar archivos de Cuarentena 236
ndice 769
registros 225, 263 servidores de directorios LDAP 289

eliminar archivos de Cuarentena 236 bsqueda de usuarios 292
riesgos de seguridad 455 filtro 290
Ver tambin riesgo importacin
acciones 453 informacin de usuario desde una bsqueda
configuracin de acciones 481 del servidor de directorios LDAP 295
omitir durante el anlisis 481 unidades organizativas 296
proceso que contina descargando 462 sincronizacin
sobre las acciones para 471 servidores de directorios 291
rootkits 455 unidades organizativas 297
Sistema
S informes 204, 265
registros 226, 265
servicios
cdigos de error del comando smc 755
adicin 569
sistema
informes 743
Sitio Web de Security Response
servicios de red
activadores 530
acceso desde pgina principal 179
adicin a la lista predeterminada 569
software espa 458
supervisin de aplicaciones de red 579
edicin 570
Symantec Security Response 450
eliminacin 570
envos 486
servidor
adicin de servidor de directorios 290
directorio 289 T
normas 534 tasas de deteccin
Proxy FTP 301 envo de informacin a Symantec 486
Proxy HTTP 301 trfico
registros 336 habilitar trfico inteligente 545
servidor de administracin opciones 546
comunicacin con los mdulos de Enforcer 716 Trfico DHCP 545
servidor de directorios LDAP Trfico DNS 545
importacin de informacin de usuario al Trfico ICMP 536
servidor de administracin 292 Trfico TCP 536
Servidor de Microsoft Exchange Trfico UDP 536
exclusiones automticas 462 Trfico WINS 545
servidor proxy TrendMicro PC-cillin 528
FTP 301
HTTP 301 U
Servidor proxy FTP 301
unidades organizativas
Servidor proxy HTTP 301
importacin 296
servidores de directorios
sincronizacin 297
activos 289
URL
adicin 290
especificar la pgina principal del
LDAP 289
navegador 478
sincronizacin 291
que aparece en notificaciones de error 477
servidores de directorios activos 289
Utilidad Symantec Database Backup and Restore 316
filtro 290
770 ndice
V
variables en firmas 560
virus 455456
acciones 453
configuracin de acciones 481
sobre las acciones para 471
volver a configurar
Base de datos de Microsoft SQL 330
W
Windows Vista 555

Administration Guide

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Administration Guide

Uploaded by

Copyright:

Available Formats

Gua de administracin para

Versin de la documentacin 11.00.00.00.03

LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE

El Software y la Documentacin con licencia se consideran programas informticos

Contactar al soporte tcnico

Concesin de licencia y registro

Recursos de acuerdos de soporte

Asia Pacfico y Japn customercare_apac@symantec.com

Europa, Oriente Medio y frica semea@symantec.com

Norteamrica y Amrica Latina supportsolutions@symantec.com

Seccin 1 Tareas administrativas bsicas

Captulo 2 Introduccin a la proteccin bsica

Captulo 3 Revisar su estructura de organizacin para la

Captulo 4 Configurar su estructura de organizacin

Administrar usuarios y equipos ...................................................... 89

Captulo 5 Administrar administradores

Captulo 6 Trabajar con paquetes de instalacin de clientes

Captulo 7 Actualizar definiciones y contenido

Captulo 8 Configurar mecanismos de notificacin de

Captulo 9 Limitar el acceso de usuarios a las funciones de

Captulo 10 Fundamentos de la elaboracin de informes

Captulo 11 Ver y configurar informes

Aspectos importantes de la elaboracin de informes ......................... 206

Captulo 12 Ver y configurar registros y notificaciones

Captulo 13 Usar Supervisin e Informes para asegurar la red

Acerca de la informacin de los informes y el registro de estado

Seccin 2 Tareas administrativas avanzadas

Captulo 15 Administrar servidores

Iniciar y detener el servicio de Symantec Endpoint Protection

Captulo 16 Administrar servidores de directorio

Captulo 17 Administrar servidores de correo electrnico

Captulo 18 Administrar servidores proxy

Captulo 19 Administrar servidores RSA

Captulo 20 Administrar certificados de servidor

Captulo 21 Administrar bases de datos

Acerca de configurar las opciones de administracin de registros

Captulo 22 Replicar datos

Captulo 23 Administrar Proteccin contra intervenciones

Seccin 3 Tareas generales de administracin de

Grupos, herencia, ubicaciones y polticas ........................................ 373

Captulo 25 Administrar la herencia de un grupo para las

Captulo 26 Extraer o transferir polticas entre los servidores de

Captulo 27 Administrar las ubicaciones de un grupo

Captulo 28 Trabajar con polticas

Pegar una poltica compartida en la pgina Poltica .................... 419

Captulo 29 Configurar conexiones entre los servidores de

Captulo 30 Configurar aplicaciones aprendidas

Buscar aplicaciones ..................................................................... 442

Seccin 4 Configurar la proteccin antivirus y contra

Configuracin del tiempo de desactualizacin de las definiciones

Captulo 32 Configurar Auto-Protect

Configurar opciones de notificacin para Auto-Protect ...................... 503

Captulo 33 Usar anlisis definidos por el administrador

Seccin 5 Configurar la proteccin contra amenazas

Agregar normas con el asistente para la configuracin de

Captulo 35 Configurar la prevencin de intrusiones

Captulo 36 Personalizar la proteccin contra amenazas de red

Agregar aplicaciones a una norma ................................................. 574

Seccin 6 Configurar la proteccin proactiva contra

Captulo 38 Administrar Polticas de control de aplicaciones y

Acerca de los conjuntos de normas de control de

Captulo 39 Configurar dispositivos de hardware

Captulo 40 Personalizar polticas de control de aplicaciones y de

Seccin 7 Configurar excepciones centralizadas