Professional Documents
Culture Documents
Symantec Endpoint
Protection y Symantec
Network Access Control
Symantec Endpoint Protection y Symantec Network
Access Control
El software que se describe en este manual se suministra con contrato de licencia y slo
puede utilizarse segn los trminos de dicho acuerdo.
Aviso legal
Copyright 2007 Symantec Corporation. Todos los derechos reservados. Symantec, el
logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence
Online, Digital Immune System y Norton son marcas comerciales o marcas registradas de
Symantec Corporation o de sus subsidiarias en los EE. UU. y en otros pases. Otros nombres
pueden ser marcas comerciales de sus respectivos propietarios.
El producto descrito en este documento se distribuye de acuerdo con licencias que restringen
su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir
cualquier parte de este documento de cualquier forma y mediante cualquier medio sin
autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder
sus licencias, de haberlos.
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014
http://www.symantec.com.mx
Soporte tcnico
El soporte tcnico de Symantec cuenta con centros de soporte global. El rol
principal del soporte tcnico es responder a las consultas especficas sobre
funciones del producto y funcionalidad. El grupo de soporte tcnico, adems,
elabora el contenido para nuestra Base de conocimientos en lnea. El grupo de
soporte tcnico trabaja con otras reas funcionales dentro de Symantec para
contestar las preguntas a tiempo. Por ejemplo, el grupo de soporte tcnico trabaja
con el Departamento de Ingeniera y Symantec Security Response para
proporcionar servicios de alertas y actualizaciones de definiciones de virus.
Las ofertas de soporte de Symantec incluyen lo siguiente:
Una gama de opciones de soporte que brindan flexibilidad para seleccionar la
cantidad adecuada de servicio para organizaciones de cualquier tamao
Soporte telefnico y basado en Web que proporciona respuesta rpida e
informacin actualizada
Garanta de actualizacin que entrega actualizaciones de software
Soporte global comprado segn las horas laborables regionales o 24 horas al
da, 7 das a la semana
Ofertas de servicios superiores que incluyen servicios de administracin de
cuentas
Para obtener informacin sobre las ofertas de soporte de Symantec, puede visitar
el sitio web en la siguiente URL:
http://www.symantec.com/es/mx/business/support/
Todos los servicios de asistencia se prestarn de acuerdo con su acuerdo de soporte
y la poltica empresarial de soporte tcnico vigente en el momento.
Servicio al cliente
La informacin del servicio al cliente est disponible en la siguiente URL:
http://www.symantec.com/es/mx/business/support/
El servicio al cliente est disponible para ayudar con preguntas no tcnicas, como
los siguientes tipos de problemas:
Preguntas relacionadas con la concesin de licencias o la serializacin de
productos
Actualizaciones del registro del producto, como cambio de direccin o de
nombre
Informacin general de producto (funciones, disponibilidad de idioma,
distribuidores locales)
La informacin ms reciente sobre actualizaciones del producto
Informacin sobre garanta de actualizacin y contratos de soporte
Informacin sobre los Programas de compras de Symantec
Sugerencia sobre las opciones de soporte tcnico de Symantec
Preguntas no tcnicas previas a las ventas
Problemas relacionados con los CD-ROM, los DVD o los manuales
Soporte tcnico
ndice
40 Contenido
Seccin 1
Tareas administrativas
bsicas
Administrar administradores
Seccin Audiencia
Tareas generales de administracin Incluye una descripcin de las polticas de todos los
de polticas tipos, los conceptos de herencia y de ubicaciones, y el
uso de aplicaciones incorporadas.
Seccin Audiencia
del sistema para una Consola remota. Es posible adems iniciar sesin en la Consola
de Symantec Endpoint Protection Manager localmente, usando el equipo en el
cual Symantec Endpoint Protection Manager est instalado.
Muchos administradores inician sesin remotamente y pueden hacer las mismas
tareas que los administradores que inician sesin localmente. Usted inici sesin
localmente cuando instal Symantec Endpoint Protection. Para iniciar sesin
remotamente, es necesario saber la direccin IP o el nombre de host de Symantec
Endpoint Protection Manager. Debe adems asegurarse de que las opciones de
Internet del navegador Web permitan que se vea el contenido del servidor en el
que se va a registrar.
Qu es posible ver y hacer desde la Consola de Symantec Endpoint Protection
Manager depende del tipo de administrador que usted sea. Es posible iniciar sesin
como administrador del sistema, administrador o administrador limitado. Un
administrador del sistema tiene privilegios completos a travs de todos los
dominios. Un administrador tiene privilegios que se limitan a un dominio
especfico. Un administrador limitado tiene un subconjunto de los privilegios de
administrador y adems est limitado a un dominio especfico. Si usted es la
persona que instal Symantec Endpoint Protection Manager, usted es
administrador del sistema. Si otro usuario instal el administrador, su estado
puede ser diferente. Si es as, debe leer el material en el vnculo que sigue. La
mayora de las organizaciones, sin embargo, no necesitan ocuparse de los dominios
o el estado de administrador limitado.
La mayora de los administradores en organizaciones ms pequeas inician sesin
como administrador del sistema.
Ver "Acerca de los administradores" en la pgina 97.
Descripcin general de Symantec Endpoint Protection Manager 47
Comprender la Consola de Symantec Endpoint Protection Manager
Etiqueta Descripcin
Supervisin Muestra los registros de supervisin. Es posible adems utilizar estas pginas
para ver y configurar notificaciones, y para supervisar el estado de los
comandos.
Informes Muestra los informes. Tiene una variedad de informes rpidos predefinidos
y personalizables, e informes programados configurables.
Polticas Muestra las polticas para cada tipo de polticas. Utilice esta pgina para
administrar sus polticas.
Clientes Muestra la informacin de polticas para los clientes y los grupos. Utilice
esta pgina para administrar las polticas que se transfieren a los clientes
a travs de paquetes de instalacin.
La pgina Principal
La pgina Principal muestra informacin general del estado de seguridad e
informacin de resumen de definiciones de virus. Si tiene Symantec Endpoint
Protection instalado, su pgina principal muestra informacin sobre la seguridad
de su red. Si ha instalado Symantec Network Access Control solamente, su pgina
52 Descripcin general de Symantec Endpoint Protection Manager
Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
Estado de seguridad
El estado de seguridad es Bueno o Se necesita atencin. Si el estado es Se necesita
atencin, es posible hacer clic en el icono de X rojo o en el vnculo Ms detalles
para obtener ms informacin. Es posible hacer clic en el vnculo Preferencias a
la derecha para configurar los umbrales que definen un estado de seguridad Se
necesita atencin.
Ver "Configurar umbrales de estado de seguridad" en la pgina 185.
Informes favoritos
De forma predeterminada, la seccin Informes favoritos de la pgina principal
contiene los informes siguientes:
Descripcin general de Symantec Endpoint Protection Manager 53
Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
La pgina Supervisin
Utilice la pgina Supervisin para visualizar informacin de registros, para ver
y configurar notificaciones, y para ver el estado de los comandos. Esta pgina
contiene los registros y las notificaciones que los administradores pueden utilizar
para supervisar sus redes.
La pgina Supervisin contiene las fichas siguientes:
Resumen
Si tiene Symantec Endpoint Protection instalado, hay varias vistas de resumen
para elegir. Es posible optar por ver Antivirus y proteccin proactiva contra
amenazas, Proteccin contra amenazas de red, Cumplimiento o Estado del
sitio. Si ha instalado Symantec Network Access Control solamente, despus la
ficha Resumen muestra la informacin de Estado del sitio. Si ha instalado
Symantec Network Access Control solamente, la informacin de Cumplimiento
aparece en la pgina principal.
Ver "Usar la ficha Resumen de Supervisin" en la pgina 226.
Registros
Los registros presentan informacin detallada que se recoge de sus productos
de seguridad. Registros contiene datos de eventos de los servidores de
administracin y de los clientes. Es posible adems realizar acciones desde
algunos de los registros. Algunos administradores prefieren supervisar su red
principalmente usando registros.
Ver "Acerca de tipos, contenido y comandos de registros" en la pgina 220.
Estado del comando
La ficha Estado del comando muestra el estado de los comandos que se han
ejecutado desde la Consola de Symantec Endpoint Protection Manager y sus
detalles.
Ver "Ejecutar comandos y acciones de registros" en la pgina 235.
Notificaciones
Una notificacin es un mensaje que advierte sobre potenciales problemas de
seguridad en su red. Es posible configurar muchas clases diferentes de eventos
54 Descripcin general de Symantec Endpoint Protection Manager
Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
La pgina Informes
Utilice la pgina Informes para obtener descripciones amplias del estado de
seguridad en su red. Los informes son instantneas grficas de los eventos que
suceden en su red y estadsticas sobre los eventos. Es posible utilizar los filtros
en la pgina Informes para elaborar informes predefinidos o personalizados. Los
informes predefinidos se encuentran en la ficha Informes rpidos. En la ficha
Informes programados, es posible programar informes que se ejecuten en
intervalos regulares y enviarlos por correo electrnico a usted mismo o a otros
usuarios.
Ver "Acerca de los informes" en la pgina 192.
La pgina Polticas
Utilice la pgina Polticas para administrar la aplicacin de polticas de seguridad,
la comprobacin de integridad del host y la reparacin automatizada para todos
los clientes. Los clientes se conectan al servidor para conseguir las ltimas polticas
y opciones de seguridad, y las actualizaciones de software se implementan desde
all. Las polticas que se visualizan dependen de los componentes del producto
que usted instal.
La pgina Polticas contiene los paneles siguientes:
Ver polticas
El panel Ver polticas enumera los tipos de polticas que se pueden ver en el
panel superior derecho: Antivirus y proteccin contra software espa, Firewall,
Prevencin de intrusiones, Control de aplicaciones y dispositivos, LiveUpdate
y Excepciones centralizadas. Haga clic en la flecha al lado de Componentes de
polticas para expandir la lista de componentes, si an no se visualiza.
Componentes de polticas
El panel Componentes de polticas enumera los distintos tipos de componentes
de polticas que estn disponibles. Estos componentes incluyen listas de
servidores de administracin, listas de huellas digitales de archivos, entre
otros.
Tareas
El panel Tareas enumera las tareas apropiadas para la poltica que se selecciona
bajo Ver polticas.
El panel derecho
Descripcin general de Symantec Endpoint Protection Manager 55
Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
La pgina Clientes
Utilice la pgina Clientes para administrar los equipos y los usuarios de su red.
La pgina Clientes de Symantec Endpoint Protection Manager contiene los paneles
siguientes:
Ver clientes
Los grupos de la estructura de administracin de clientes, dispuestos
jerrquicamente en una estructura de rbol. Inicialmente, esta estructura
contiene el grupo Global y debajo de ste, el grupo Temporal.
Tareas
El panel Tareas enumera las tareas relacionadas con el cliente que es posible
realizar.
El panel derecho
El panel derecho contiene cuatro fichas: Clientes, Polticas, Detalles y Paquetes
de instalacin. Cada ficha muestra el contenido que pertenece al grupo que
usted seleccion en el rbol Ver.
Es posible realizar las siguientes tareas desde la ficha Clientes:
Agregar grupos, cuentas de equipo y cuentas de usuario.
Importar una unidad organizativa o un contenedor.
Importar usuarios directamente desde Active Directory o un servidor LDAP.
Ejecutar comandos en los grupos.
Buscar clientes.
Configurar el filtro de visualizacin para un grupo.
Buscar equipos no administrados.
Desde la ficha Polticas, es posible configurar algunas opciones independientes
de la ubicacin para el contenido de LiveUpdate, los registros de clientes, las
comunicaciones y algunas opciones generales. Es posible adems configurar
algunas opciones especficas de la ubicacin, tales como el modo de control y la
transferencia u obtencin de comunicacin entre el servidor y el cliente. Es posible
realizar las siguientes tareas desde la ficha Polticas:
56 Descripcin general de Symantec Endpoint Protection Manager
Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
Agregar ubicaciones.
Administrar ubicaciones.
Copiar polticas de grupo.
Agregar grupos.
Es posible realizar las siguientes tareas desde la ficha Detalles:
Agregar grupos.
Importar una unidad organizativa o un contenedor.
Eliminar grupos.
Cambiar nombres de grupos.
Mover grupos.
Editar propiedades de grupos.
Desde la ficha Instalacin de cliente, es posible configurar y agregar un nuevo
paquete de instalacin de clientes. Utilice Symantec Endpoint Protection Manager
para crear y despus exportar uno o ms paquetes de instalacin de clientes a un
servidor de administracin en el sitio. Despus de exportar el paquete de
instalacin de clientes al servidor de administracin, se instalan los archivos del
paquete en los equipos cliente.
Tabla 1-3
Icono Descripcin
Icono Descripcin
La pgina Administrador
Utilice la pgina Administrador para administrar las cuentas de administrador,
las propiedades de dominio, de servidor y de sitio, y los paquetes de instalacin
de clientes para su red. Cuando se selecciona la ficha Administradores, el panel
Ver muestra todos los administradores que administran el dominio en el cual el
administrador inici sesin. Incluye todos los administradores del sistema,
administradores y administradores limitados.
La pgina Administrador de Symantec Endpoint Protection Manager contiene los
paneles siguientes:
Ver administradores, Dominios, Servidores o Paquetes de instalacin. La vista
que aparece depende de la seleccin que se hace en la parte inferior del panel
de navegacin.
Tareas
El panel Tareas enumera las tareas que es posible realizar desde la pgina
Administrador. Estas tareas se modifican de acuerdo con la seleccin que se
hace en la parte inferior del panel de navegacin.
El panel derecho
El panel derecho muestra el contenido relacionado con la seleccin que se hace
en la parte inferior del panel de navegacin.
Cuando se selecciona Administradores, es posible agregar, eliminar y editar cuentas
de administrador.
Cuando se selecciona Dominios, es posible agregar dominios, cambiar su nombre
y editar sus propiedades. Dominios proporciona una manera lgica de agrupar
los equipos en redes grandes. Si tiene una red pequea, probablemente utilice
solamente el dominio predeterminado, cuyo nombre es Predeterminado.
Cuando se selecciona Servidores, las tareas que estn disponibles cambian basadas
en lo que se ha seleccionado en el rbol de navegacin Ver servidores. Es posible
seleccionar Sitio local, un servidor especfico o el host local.
Cuando se selecciona Sitio local, es posible realizar las siguientes tareas:
Editar las propiedades del sitio, tales como el perodo de tiempo de espera de
la consola, opciones de LiveUpdate y opciones de la base de datos.
Configurar el registro externo para enviar datos de registro a un servidor de
archivos o a un servidor Syslog.
Agregar un asociado para la replicacin del sitio.
Descargar contenido de LiveUpdate.
Ver el estado de LiveUpdate.
Descripcin general de Symantec Endpoint Protection Manager 59
Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
Categoras de proteccin
Categoras de proteccin
Symantec Endpoint Protection proporciona varias categoras de proteccin para
los equipos de su red de seguridad.
Estas categoras incluyen:
Proteccin antivirus y contra software espa
Proteccin contra amenazas de red
Proteccin proactiva contra amenazas
Integridad del host y Control de acceso a la red (parte de Symantec Network
Access Control)
Nota: Integridad del host y Control de acceso a la red estn disponibles solamente
con el producto Symantec Network Access Control. Symantec Network Access
Control puede ser instalado solo, o puede ser instalado con Symantec Endpoint
Protection. El resto de las categoras de proteccin vienen estndar con Symantec
Endpoint Protection y no vienen con Symantec Network Access Control.
La Figura 2-1 muestra las categoras de amenazas bloqueadas por cada tipo de
proteccin.
62 Introduccin a la proteccin bsica
Categoras de proteccin
Internet Red
empresarial
Poltica
de firewall
Poltica de
prevencin de
intrusiones
Tarjeta de interfaz de red
Poltica de
control de
aplicaciones y
Sistema de archivos dispositivos
Poltica
antivirus y
contra software
Memoria/perifricos espa
Punto final
que es posible ejecutar cuando lo necesite. Los anlisis antivirus y contra software
espa detectan virus y riesgos de seguridad, como aplicaciones de publicidad no
deseada, software espa y otros archivos riesgosos para un equipo o una red.
Los anlisis adems detectan rootkits de nivel de ncleo. Los rootkits son
programas que intentan ocultarse del sistema operativo de un equipo y podran
utilizarse para propsitos maliciosos.
Es posible aplicar la poltica antivirus y contra software espa predeterminada a
los equipos cliente en su red. Es posible crear polticas antivirus y contra software
espa adicionales y aplicarlas segn sea necesario. Es posible editar la poltica
cuando los requisitos de su red de seguridad cambien.
La poltica antivirus y contra software espa predeterminada est diseada para
compaas de todos los tamaos. Proporciona una proteccin fuerte al mismo
tiempo que reduce al mnimo el impacto a los recursos de punto final.
Ver "Acerca de trabajar con polticas antivirus y contra software espa"
en la pgina 454.
Nota: Integridad del host es una parte de Symantec Network Access Control. Es
ms eficaz cuando se utiliza con el appliance de hardware opcional, Symantec
Enforcer.
Disee este mapa de forma que sea posible aislar y limpiar sistemticamente los
equipos de cada seccin antes de volver a conectarlos a su red local.
Tarea Definicin
Nombre de Descripcin
archivo
SerState.dat Un archivo cifrado que almacena informacin sobre la GUI, tal como
el tamao de la pantalla, si la consola de mensajes se visualiza y si los
servicios de Windows se visualizan. Cuando el cliente se inicia, lee
este archivo y vuelve al mismo estado de GUI que antes de que fuera
detenido.
Captulo 4
Configurar su estructura de
organizacin
En este captulo se incluyen los temas siguientes:
Administrar grupos
cada grupo. Utilice la ficha Polticas para asignar estas polticas de seguridad a
los grupos y a las ubicaciones dentro de esos grupos.
Symantec Endpoint Protection le proporciona la opcin de importar las estructuras
de grupo de un servidor de directorios (LDAP o Active Directory). Hace esta tarea
permitindole importar las unidades organizativas (OU). Configure su estructura
de organizacin de esta manera para permitir que Symantec Endpoint Protection
sincronice automticamente los grupos en la ficha Clientes con los del servidor
de directorios.
Ver Figura 4-1 en la pgina 77. para ver un ejemplo de la jerarqua de rbol de
grupos de una organizacin. Es posible crear los grupos que se basan en la
ubicacin, el departamento o cualquier otra clasificacin que cumpla los requisitos
de su empresa.
Configurar su estructura de organizacin 77
Comprender los usuarios y los equipos
Administrar grupos
La estructura de grupo que se define coincide muy probablemente con la estructura
de organizacin de su empresa. Es posible agrupar usuarios y equipos con
necesidades informticas y requisitos de acceso a la red similares. Es posible
administrar estos grupos usando la ficha Clientes de Symantec Endpoint Protection
Manager. Cuando se selecciona un grupo en el rbol Ver clientes, cuatro fichas de
pgina se visualizan en la pgina a la derecha. Cada una de estas fichas se asocia
a la administracin del grupo seleccionado. Las cuatro fichas son Clientes, Polticas,
Detalles y Paquetes de instalacin. Cada una de estas fichas proporciona diversas
opciones para administrar el grupo seleccionado.
El grupo global es la raz de la estructura de rbol. Debajo de ella, es posible agregar
grupos y subgrupos para que se adapten a la estructura de su organizacin. Adems
incluye al grupo temporal de manera predeterminada. Los usuarios y los equipos
no siempre se asignan a un grupo apenas se registran en Symantec Endpoint
Protection. Se asignan al grupo temporal cuando no pertenecen a un grupo
predefinido.
Ver Figura 4-2 en la pgina 80. para ver un ejemplo de la jerarqua de rbol de
grupos de una organizacin. Base la estructura de grupo de su organizacin en la
ubicacin, el departamento o cualquier otra clasificacin que cumpla los requisitos
de su empresa.
80 Configurar su estructura de organizacin
Administrar grupos
Agregar un grupo
Es posible agregar grupos despus de definir la estructura de grupo para su
organizacin. La estructura de grupo coincide muy probablemente con la estructura
de organizacin de su empresa. Los nombres de los grupos pueden tener hasta
256 caracteres de largo. Las descripciones de los grupos pueden tener hasta 1024
caracteres de largo. Los nombres y las descripciones de los grupos pueden constar
de cualquier carcter, excepto los siguientes: [" / \ * ? < > | :].
Eliminar un grupo
Es posible eliminar los grupos que ya no se utilizan o que ya no reflejan su
estructura de organizacin. Es posible eliminar un grupo solamente cuando est
vaco. No puede contener ningn subgrupo, usuario o equipo. Si un grupo no est
vaco, se deben mover o eliminar primero los subgrupos, los usuarios o los equipos.
A continuacin, es posible eliminar el grupo. Adems, no es posible eliminar el
grupo global o el grupo temporal.
En ciertas condiciones, Symantec Endpoint Protection Manager reconstruye un
grupo eliminado para un cliente. Esta condicin puede incluir la situacin siguiente.
Se crea un paquete de instalacin (un paquete de actualizacin o un paquete de
nueva instalacin) que especifica ese grupo antes de eliminarlo. Adems, la
configuracin de instalacin Conservar funciones existentes del cliente al
actualizar est habilitada para ese paquete de instalacin. En este caso, cuando
el equipo cliente se conecta a Symantec Endpoint Protection, Symantec Endpoint
Protection Manager reconstruye el grupo que fue especificado en el paquete de
instalacin de cliente.
Para eliminar un grupo
1 Desde la consola de Symantec Endpoint Protection Manager, haga clic en la
ficha Clientes.
2 En el panel Ver clientes, haga clic con el botn secundario en el grupo que
desee eliminar.
3 En la lista desplegable, haga clic en Eliminar.
4 En la ventana emergente Eliminar, haga clic en S cuando se le pida confirmar
la eliminacin del grupo.
Configurar su estructura de organizacin 83
Administrar grupos
Mover un grupo
Cualquier grupo junto con sus subgrupos, equipos y usuarios puede moverse de
un nodo del rbol de grupos a otro. Sin embargo, no pueden moverse ni el grupo
global ni el grupo temporal. Adems, no es posible mover los grupos del grupo
temporal o mover un grupo bajo uno de sus subgrupos.
Si un grupo utiliza una poltica heredada, adquiere la nueva poltica heredada del
grupo al cual se mueve. Si tiene una poltica especfica aplicada, mantiene esa
poltica despus del movimiento.
Si no hay una poltica de grupo aplicada explcitamente al grupo que se mueve,
utiliza la poltica de grupo del grupo de destino. Los clientes del grupo que se
mueve utilizan el nuevo perfil.
Para mover un grupo
1 Desde la consola de Symantec Endpoint Protection Manager, haga clic en la
ficha Clientes.
2 En el panel Ver clientes, haga clic con el botn secundario en el grupo que
desee mover.
3 Haga clic en Mover.
84 Configurar su estructura de organizacin
Administrar grupos
4 En la ventana emergente Mover grupo, navegue a los nodos del rbol del
grupo para encontrar el grupo de destino al cual desee mover el grupo.
5 Con el grupo de destino seleccionado, haga clic en Aceptar.
Usuarios Equipos
Usuarios Equipos
Descripcin Departamento
= Igual a
!= No es igual a
Agregar equipos
Se pueden agregar equipos a cualquier grupo dentro de Symantec Endpoint
Protection Manager. La razn principal para agregar un equipo a un grupo es
proteger ese equipo. Las polticas de seguridad de ese grupo protegen el equipo.
Por ejemplo, un equipo puede estar en una ubicacin vulnerable, como un pasillo
90 Configurar su estructura de organizacin
Administrar usuarios y equipos
Agregar usuarios
Es posible agregar manualmente usuarios a un dominio. Sin embargo, en la mayora
de los casos, este procedimiento no es prctico, a menos que se desee agregar un
nmero limitado de usuarios por motivos de mantenimiento. La mayora de los
administradores importa listas de usuarios de un servidor LDAP o de dominios.
Es posible primero agregar manualmente un usuario a un grupo especfico e
instalar ms tarde el cliente con un grupo preferido asignado a l. Esta tarea se
hace asociando polticas de grupo durante la creacin del paquete. El cliente se
agrega al grupo especificado en el servidor en lugar de hacerlo al especificado en
el paquete.
Para agregar usuarios manualmente
1 Asegrese de que los clientes no estn bloqueados para poder agregarlos a
los grupos.
2 Desde la consola de Symantec Endpoint Protection Manager, haga clic en
Clientes.
3 En el rbol Ver clientes, elija el grupo al que desea agregar un usuario.
4 Haga clic en Agregar cuenta de usuario.
5 En Nombre de usuario de Agregar usuario, escriba el nombre del nuevo
usuario.
6 En Nombre de dominio, elija si se desea iniciar sesin en un dominio
especificado o iniciar sesin en el equipo local.
7 En Descripcin, escriba una descripcin del usuario.
8 Haga clic en Aceptar.
9 Repita los pasos 3 a 8 para agregar usuarios adicionales.
Departamento
Nmero de empleado
Estado de empleo
Nmero de telfono del trabajo
Nmero de telfono celular
Nmero de telfono particular
Tipo de cliente
Para habilitar la recopilacin de informacin de usuario
1 Desde la consola de Symantec Endpoint Protection Manager, haga clic en
Clientes.
2 Desde el panel Ver clientes, expanda Usuarios y equipos.
3 Haga clic en Configurar la recopilacin de informacin de usuarios de la
lista de tareas.
4 En el panel Recopilar informacin del usuario, asegrese de que Habilitar
Recopilar informacin del usuario est activada.
5 Si desea que el usuario tenga la posibilidad de posponer la recopilacin del
usuario, marque Habilitar Recordrmelo ms tarde y establezca una hora.
6 Mueva la informacin que desea recoger del lado izquierdo del rea del campo
a la derecha, usando la opcin Agregar. Es posible hacerla opcional, marcando
la casilla Opcional.
7 Haga clic en Aceptar para finalizar.
Quitar un administrador
Es posible quitar un administrador cuando ya no se necesita ese administrador
en su sistema.
Para quitar un administrador
1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Administrador.
2 En la pgina Administrador, en el panel Tareas, haga clic en el icono
Administradores.
3 En el rbol Ver, haga clic para seleccionar el administrador que desea quitar.
4 En el panel Tareas, haga clic en Eliminar administrador.
5 En el cuadro de dilogo Eliminar administrador: [nombre], haga clic en S
para verificar que desea quitar este administrador.
Agregar un administrador
A medida que su red se expande o cambia, es posible que el nmero de
administradores resulte escaso para cumplir sus necesidades. En tal punto, es
posible agregar uno o ms administradores. Cuando se agrega un administrador,
se especifican las funcionalidades y las restricciones del administrador. Como
administrador del sistema, es posible agregar otro administrador del sistema. Es
104 Administrar administradores
Tareas del administrador del sistema
inicio de sesin fallidos exceden cierto umbral. Es posible adems modificar los
derechos de acceso y las restricciones de elaboracin de informes y modificar
muchas otras propiedades.
Para editar las propiedades de un administrador
1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Administrador.
2 En la pgina Administrador, en el panel Tareas, haga clic en el icono
Administradores.
3 En el rbol Ver, seleccione al administrador cuyas propiedades de cuenta
desea modificar.
4 En el panel Tareas, haga clic en Editar propiedades del administrador.
Aparece el cuadro de dilogo Propiedades de administrador para nombre.
5 Tiene la opcin de escribir o modificar el nombre completo del administrador
en el segundo cuadro de texto.
Este campo tiene propsitos informativos solamente.
6 Tiene la opcin de escribir o modificar la direccin de correo electrnico del
administrador en el tercer cuadro de texto. Se utiliza esta direccin cuando
se marca la casilla de verificacin Enviar alerta por correo electrnico cuando
se bloquee la cuenta.
7 Mueva el control deslizante de Umbral de intentos de inicio de sesin para
especificar el nmero de intentos de inicios de sesin permitidos. Es posible
adems hacer clic en el nmero o el nivel deseado. (La configuracin
predeterminada es Bajo).
8 Para bloquear la cuenta cuando se excede el umbral especificado en el paso
7, haga clic en la casilla de verificacin. (En la configuracin predeterminada,
no se habilita).
9 Para enviar un correo electrnico cuando se bloquea una cuenta, haga clic en
la casilla de verificacin.
Para que el correo electrnico sea recibido, se debe especificar una direccin
en el paso 6.
10 Es posible bloquear una cuenta por un nmero especificado de minutos
despus de que el nmero de intentos de inicio de sesin permitidos se haya
excedido. Configure el nmero de 1 a 60 en el cuadro de opcin. El valor
predeterminado es de 15 minutos.
11 Haga clic en la ficha Derechos de acceso.
Si es administrador limitado, vaya al paso 14.
Administrar administradores 109
Tareas del administrador
Quitar un administrador
Es posible quitar un administrador cuando ya no se necesita ese administrador
en su sistema.
Para quitar un administrador
1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Administrador.
2 En la pgina Administrador, en el panel Tareas, haga clic en la opcin
Administradores.
3 En el rbol Ver, haga clic para seleccionar el administrador que desea quitar.
4 En el panel Tareas, haga clic en Eliminar.
Se muestra el cuadro de dilogo Eliminar administrador:[nombre].
5 Si est seguro de que desea quitar el administrador seleccionado, haga clic
en S; si no, haga clic en No.
Agregar un administrador
A medida que su red se expande o cambia, es posible que el nmero de
administradores resulte escaso para cumplir sus necesidades. En tal punto, es
posible agregar uno o ms administradores. Cuando se agrega un administrador,
se especifican las funcionalidades y las restricciones del administrador. Un
administrador puede agregar otro administrador. Es posible limitar las
funcionalidades de un administrador creando un administrador limitado.
Ver Tabla 5-1 en la pgina 98.
Para agregar un administrador
1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Administrador.
2 En la pgina Administrador, en el panel Tareas, haga clic en el icono
Administradores.
3 En el panel Tareas, haga clic en Agregar administrador.
Se muestra el cuadro de dilogo Agregar administrador.
Administrar administradores 111
Tareas del administrador
Nota: Esta convencin de nomenclatura no hace una distincin entre los paquetes
de instalacin de clientes para Symantec Endpoint Protection y Symantec Network
Access Control. El nombre del paquete exportado para un solo ejecutable es
setup.exe para Symantec Endpoint Protection y Symantec Network Access Control.
Por lo tanto, asegrese de crear una estructura de directorios que le permita
distinguir entre los archivos de instalacin de Symantec Endpoint Protection y
de Symantec Network Access Control.
Trabajar con paquetes de instalacin de clientes 119
Exportar paquetes de instalacin
Tiene una decisin importante para tomar cuando se exportan los paquetes. Es
necesario decidir si crear un paquete de instalacin para los clientes
administrados o para los no administrados. Si crea un paquete para los clientes
administrados, es posible administrarlos con la Consola de Symantec Endpoint
Protection Manager. Si crea un paquete para los clientes no administrados, no es
posible administrarlos con la Consola de Symantec Endpoint Protection Manager.
Symantec LiveUpdate
Servidor de Servidor de
Grupo de clientes administracin administracin
Proveedor de
actualizaciones
grupales (cliente)
Grupos de
clientes
Clientes
Grupo de
clientes
Actualizar definiciones y contenido 125
Acerca de LiveUpdate y las actualizaciones de definiciones y contenido
Symantec LiveUpdate
Servidor de administracin
Grupos de clientes
Grupos de clientes
Symantec Endpoint De forma predeterminada, Symantec Utilice esta arquitectura como el mtodo
Protection Manager para Endpoint Protection Manager actualiza los ms fcil de implementar. Se instala y se
los clientes clientes que administra, y los servidores de configura de forma predeterminada despus
administracin extraen estas de la instalacin del servidor de
(Valor predeterminado)
actualizaciones de la base de datos del sitio. administracin. Es posible adems combinar
La base de datos del sitio recibi este mtodo con el proveedor de
actualizaciones de un servidor de Symantec actualizaciones grupales.
LiveUpdate.
Proveedor de El proveedor de actualizaciones grupales es Utilice este mtodo para los grupos ubicados
actualizaciones grupales un cliente que acta como proxy entre junto a ubicaciones remotas con ancho de
para los clientes Symantec Endpoint Protection Manager y banda mnimo. Adems, este mtodo reduce
los clientes del grupo. El proveedor de la carga en los servidores de administracin.
actualizaciones grupales recibe
actualizaciones de un servidor de
administracin o de LiveUpdate, y luego
transmite las actualizaciones a los otros
clientes del grupo. Un proveedor de
actualizaciones grupales puede actualizar
varios grupos.
Servidor de LiveUpdate Los clientes pueden extraer actualizaciones Utilice el servidor externo de Symantec
para los clientes directamente de un servidor de LiveUpdate. LiveUpdate para los equipos cliente no
El servidor de LiveUpdate puede ser un administrados que no se conectan siempre
servidor externo de Symantec LiveUpdate, a la red corporativa. Utilice el servidor
o un servidor interno de LiveUpdate que interno de LiveUpdate en redes grandes para
recibe actualizaciones de un servidor reducir la carga del servidor de Symantec
externo de Symantec LiveUpdate. Endpoint Protection Manager.
Nota: No configure una gran cantidad de
clientes administrados, conectados para
extraer actualizaciones de un servidor
externo de Symantec LiveUpdate. Esta
configuracin consume cantidades
innecesarias de ancho de banda de la
gateway de Internet.
128 Actualizar definiciones y contenido
Acerca de LiveUpdate y las actualizaciones de definiciones y contenido
Distribucin de Las herramientas de otro fabricante como Utilice este mtodo cuando se desee probar
herramientas de otro Microsoft SMS le permitieron distribuir los los archivos de la actualizacin antes de
fabricante archivos especficos de la actualizacin a distribuirlos. Adems, utilice este mtodo
los clientes. Puede recuperar los archivos si tiene una infraestructura de distribucin
(No ilustrado)
autoextrables de Intelligent Updater del de herramientas de otro fabricante y desea
sitio Web de Symantec que contienen los aprovechar la infraestructura.
archivos de las definiciones de virus y el
riesgo de seguridad con extensiones jdb y
vdb. Ya no se admiten extensiones Idb. Para
recibir otros archivos de actualizacin, es
necesario configurar un servidor de
Symantec Endpoint Protection Manager
para descargar y preparar los archivos de la
actualizacin.
Firmas del descompresor Estas firmas admiten el motor del antivirus y la proteccin
contra software espa, y se utilizan para descomprimir y
leer los datos que se almacenan en varios formatos.
Firmas de control de envos Estas firmas controlan el flujo de envos a Symantec Security
Response.
Nota: Los sitios descargan archivos MSP para las actualizaciones de productos, y
despus crean nuevos archivos MSI. Los sitios replican los archivos MSI si
selecciona replicar actualizaciones de productos. Los archivos MSP son una
fraccin del tamao de los archivos MSI. La mejor prctica es la programacin
predeterminada de que el administrador de Symantec Endpoint Protection Manager
ejecute LiveUpdate cada 4 horas.
Nota: Est disponible una configuracin avanzada para permitir que los usuarios
inicien LiveUpdate manualmente desde los equipos cliente, y la configuracin
est deshabilitada de forma predeterminada. Si habilita esta configuracin, los
usuarios pueden iniciar LiveUpdate y descargar las ltimas definiciones del virus
de contenido, las actualizaciones de componentes y las actualizaciones del producto
potenciales. Si la configuracin de polticas avanzada para descargar
actualizaciones de productos con LiveUpdate est habilitada, las actualizaciones
de productos que se descargan son versiones de mantenimiento y parches para
el software del cliente de Symantec. Segn el tamao de la poblacin de usuarios,
es posible que no desee permitir que los usuarios descarguen todo el contenido
sin probarlo antes. Adems, pueden surgir problemas si se ejecutan dos sesiones
de LiveUpdate simultneamente en los equipos cliente. La mejor prctica es dejar
esta opcin deshabilitada.
El siguiente directorio aparece en los equipos cliente que ejecutan Windows Vista:
Nota: Una mejor prctica es habilitar esta ayuda con la poltica de LiveUpdate.
El siguiente directorio aparece en los equipos cliente del grupo que ejecuta
Windows Vista:
smc.exe -start
El siguiente directorio aparece en los equipos cliente que ejecutan Windows Vista:
Tipos de notificaciones
Es posible enviar los tipos de notificaciones siguientes:
Error de autenticacin
Error de autenticacin en un servidor
Modificacin en la lista de clientes
Alerta de seguridad de cliente
Alerta de seguridad del cliente por cantidad de equipos
Alerta de seguridad de clientes en equipos individuales
Enforcer inactivo
Buscar nuevos riesgos
Aplicacin aprendida
Nuevo paquete de software
Ataque por nm. de equipos
Ataque por equipos individuales
Ataque de riesgo
Estado del servidor
Evento de riesgo simple
Evento del sistema
Equipo sin clientes
Definiciones de virus desactualizadas
Se detect aplicacin en lista blanca
Estas notificaciones se le envan a la direccin de correo electrnico que usted
especific en "Para configurar las opciones de notificacin de correo electrnico
para un administrador del sistema" en la pgina 146. Es posible adems notificar
a otras cuentas de correo electrnico y configurar un intervalo de reduccin en
los correos de alertas.
148 Configurar mecanismos de notificacin de comunicaciones
Notificar al administrador del sistema sobre eventos
Nota: Los clientes que se ejecutan en control de clientes o control mixto pasan al
control de servidores cuando el servidor aplica una poltica de cuarentena.
158 Limitar el acceso de usuarios a las funciones de clientes
Modificar el nivel de control del usuario
3 Para las siguientes opciones que usted configura en Servidor, haga clic en
Configuracin de la interfaz de usuario del cliente para configurarlas:
Acerca del uso del filtro ltimas 24 horas para informes y registros
Nota: Es posible adems utilizar la consola o un navegador Web para ver informes
cuando est conectado a travs de una sesin de terminal remota.
Nota: Los informes se filtran automticamente basados en los permisos del usuario
que ha iniciado sesin. Si es administrador del sistema, se ve la informacin de
todos los dominios. Si es administrador limitado con derechos de acceso a
solamente un dominio, se ve la informacin solamente de ese dominio.
Estado de seguridad El estado de seguridad puede ser Bueno o Malo. Los umbrales que usted
establece en la ficha Estado de seguridad determinan las definiciones de
Bueno y Malo. Se accede a la ficha Estado de seguridad desde el vnculo
Preferencias de la pgina principal.
Resumen de acciones por De forma predeterminada, la pgina principal muestra un resumen de acciones
cantidad de detecciones| para las ltimas 24 horas y por la cantidad de infecciones para los virus y los
Resumen de acciones por riesgos de seguridad. Es posible hacer clic en el vnculo Preferencias para
cantidad de equipos modificar el intervalo de tiempo que se utiliza por la ltima semana en vez
de las ltimas 24 horas. Es posible utilizar el mismo vnculo para modificar
la visualizacin por cantidad de detecciones a una visualizacin por nmero
de equipos.
Por ejemplo, suponga que tiene cinco acciones limpiadas en la vista por
cantidad de detecciones. Si todas las detecciones ocurren en el mismo equipo,
la vista por cantidad de equipos muestra una cantidad de uno, no cinco.
Ataques | Detecciones | Este informe consiste en un grfico lineal. El grfico lineal demuestra la
Infecciones Por hora: incidencia de los ataques, las detecciones o las infecciones en su red de
ltimas 24 horas | Por da: seguridad durante las 24 horas pasadas. Es posible seleccionar una de las
ltimos 7 das siguientes opciones para visualizar:
Resumen del estado de notificaciones El resumen del estado de notificaciones muestra un resumen de una lnea
sobre el estado de las notificaciones que se han configurado. Por ejemplo,
100 notificaciones no reconocidas en las ltimas 24 horas.
Resumen del estado El resumen del estado resume el estado operacional de los equipos en su red.
Contiene el nmero de equipos en la red que tienen los siguientes problemas:
Es posible hacer clic en cada nmero del Resumen del estado para obtener
informacin.
Es posible alternar entre ellas haciendo clic en una nueva vista en el cuadro
de lista. Es posible hacer clic en el grfico circular para ver un informe ms
detallado sobre la distribucin de las definiciones o las firmas en una nueva
ventana.
Fundamentos de la elaboracin de informes 177
Usar la pgina principal de Symantec Endpoint Protection
Security Response La seccin Security Response muestra las amenazas principales y las ltimas
amenazas determinadas por Symantec Security Response. Adems, muestra
el nmero de equipos en su red que estn desprotegidos contra estas
amenazas. El contador de ThreatCon indica el nivel de gravedad actual de
amenaza a los equipos de una red. Los niveles de gravedad se basan en las
evaluaciones de amenazas que realiza Symantec Security Response. El nivel
de seguridad de ThreatCon brinda una imagen general de la seguridad de
Internet.
Ver "Acerca del uso de los vnculos de Security Response" en la pgina 179.
Nota: Symantec no admite la instalacin de Symantec Client Firewall en el
mismo equipo que Symantec Endpoint Protection Manager. Si instala ambos
en el mismo equipo, esta situacin puede causar errores de CGI cuando se
hace clic en los vnculos de Security Response en la pgina principal.
Para seleccionar los informes a los que usted desea acceder desde la pgina
principal, puede hacer clic en el icono ms (+) ubicado al lado de Informes
favoritos.
Es posible utilizar el vnculo Preferencias para modificar el plazo para los informes
y los resmenes que se visualizan en esas pginas. La configuracin
predeterminada es de las ltimas 24 horas; la otra opcin es la ltima semana. Es
posible adems modificar los informes predeterminados que se visualizan en la
seccin Informes favoritos de la pgina principal.
178 Fundamentos de la elaboracin de informes
Usar la pgina principal de Symantec Endpoint Protection
Los valores configurados en esta pgina se guardarn para todas las sesiones. La
prxima vez que se registre en la consola de administracin con las mismas
credenciales de usuario, esta configuracin se utilizar para la visualizacin de
la pgina principal.
La Tabla 10-3 describe las opciones de visualizacin de la pgina principal.
Opcin Definicin
Nombre del informe Enumera los nombres de los informes disponibles para el tipo de
informe que usted seleccion.
Fundamentos de la elaboracin de informes 179
Usar la pgina principal de Symantec Endpoint Protection
Opcin Definicin
Vnculo Qu muestra
Vnculo Qu muestra
Nota: Los informes se filtran automticamente basados en los permisos del usuario
que ha iniciado sesin. Si es administrador del sistema, se ve la informacin de
todos los dominios. Si es administrador limitado con derechos de acceso a
solamente un dominio, se ve la informacin solamente de ese dominio.
La Tabla 10-5 describe los informes de la pgina principal para Symantec Network
Access Control.
Resumen Descripcin
Resumen Descripcin
Inicio y supervisin
Estado de seguridad
Registros e informes
Nota: El inicio del filtro de intervalo de tiempo de las ltimas 24 horas de la pgina
de inicio se establece en el momento en que se accede a la pgina principal.
Ver informes
Ver informes
Utilice la pgina Informes para ejecutar, ver, imprimir y programar informes para
que se ejecuten de manera regular.
La Figura 11-1 muestra un ejemplo de un informe de riesgo.
190 Ver y configurar informes
Ver informes
ltima semana da
ltimo mes
Mes actual
ltimos 3 meses
ltimo ao mes
mayor que 1 da, pero inferior o igual a 7 das son por hora
Control de aplicaciones y Los informes de Control de aplicaciones y dispositivos contienen informacin sobre
Control de dispositivos los eventos en los que se bloque el acceso a un equipo o se evit que un dispositivo
llegara a la red.
Estado del equipo Los informes de Estado del equipo contienen informacin sobre el estado operacional
de los equipos de la red en tiempo real.
Proteccin contra amenazas Los informes de la proteccin contra amenazas de red permiten realizar un
de red seguimiento de la actividad del equipo y de su interaccin con otros equipos y redes.
Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de
ellos mediante sus conexiones de red.
Riesgo Los informes de riesgos incluyen informacin sobre eventos del riesgo en los
servidores de administracin y sus clientes.
Ver y configurar informes 193
Acerca de los informes
Anlisis Los informes de anlisis proporcionan informacin sobre la actividad del anlisis
antivirus y de software espa.
Sistema Los informes del sistema contienen informacin que es til para solucionar los
problemas del cliente.
Esta seccin describe los informes por nombre y contenido general. Puede
seleccionar Configuracin bsica y Configuracin avanzada para que todos los
informes clarifiquen los datos que desea ver. Tambin puede guardar el filtro
personalizado con un nombre para ejecutar el mismo informe personalizado ms
tarde.
Si tiene varios dominios en su red, muchos informes permiten que se vean los
datos de todos los dominios, de un sitio o de algunos sitios. La configuracin
predeterminada para todos los informes rpidos es mostrar todos los dominios,
grupos, servidores y as sucesivamente, segn sea necesario para el informe que
selecciona para crear.
Grupos principales con Este informe consiste en un grfico circular con barras relativas. Muestra los grupos
registros de control de con los registros del control de aplicaciones que han generado el nmero ms grande
aplicaciones con mayor de alertas de seguridad.
cantidad de alertas
194 Ver y configurar informes
Acerca de los informes
Principales destinos Este informe consiste en un grfico circular con barras relativas para cada uno de
bloqueados los siguientes destinos, si es necesario:
Archivos principales
Claves de registro principales
Procesos principales
Mdulos principales (dlls)
Principales dispositivos Este informe consiste en un grfico circular con una barra relativa que muestra los
bloqueados dispositivos para los que se bloquea el acceso a su red con ms frecuencia.
Polticas utilizadas Este informe muestra las polticas que los clientes y las ubicaciones utilizan
actualmente. La informacin incluye el nombre de dominio, el nombre de grupo y el
nmero de serie de la poltica que se aplica a cada grupo.
Estado de cumplimiento de Este informe consiste en un grfico lineal y una tabla. Muestra la fecha y hora del
la red evento, el nmero de ataques y el porcentaje de ataques implicados en cada uno.
Es posible ver el nmero total de clientes a los que se aplican las siguientes acciones
de cumplimiento en el intervalo de tiempo seleccionado:
Autenticado
Desconectado
Error
Aprobado
Rechazado
Ver y configurar informes 195
Acerca de los informes
Estado de cumplimiento Es posible seleccionar una accin para ver un grfico lineal que muestre uno de los
siguientes:
El nmero total de clientes que han pasado un anlisis de integridad del host en
su red en el intervalo de tiempo seleccionado
El nmero total de clientes que no han pasado un anlisis de integridad del host
en su red en el intervalo de tiempo seleccionado
Este informe tambin incluye una tabla que muestra la fecha y hora del evento, el
nmero de clientes y el porcentaje de clientes implicados en cada uno.
Resumen de clientes por Este informe consiste en un grfico de barras que muestra la siguiente informacin:
error de cumplimiento
La cantidad de estaciones de trabajo nicas por tipo de evento de errores de control,
tal como antivirus, firewall o VPN.
El nmero total de clientes en el grupo.
Detalles del error de Este informe consiste en una tabla que muestra el nmero de equipos nicos por
cumplimiento error de control. Muestra los criterios y la norma que est implicada en cada error.
Incluye el porcentaje de los clientes que se implementan y el porcentaje de los que
fallaron.
Clientes con errores de Este informe consiste en una tabla que muestra los eventos de error de cumplimiento.
cumplimiento por ubicacin Estos eventos se muestran en grupos que se basan en su ubicacin. La informacin
incluye los equipos nicos que fallaron y el porcentaje total de errores y de errores
de ubicacin.
La Tabla 11-6 describe los informes de estado del equipo que estn disponibles.
Distribucin de definiciones Este informe muestra las versiones nicas de los archivo de definiciones de virus que
de virus se utilizan en su red, y del nmero de equipos y del porcentaje que utiliza cada versin.
Consiste en un grfico circular, una tabla y barras relativas.
Equipos no registrados en el Este informe muestra una lista de todos los equipos que no se han registrado en el
servidor servidor. Adems muestra la direccin IP del equipo, la hora de la ltima verificacin
y el nombre del usuario que inici sesin en aquel momento.
Versiones de producto de Este informe muestra la lista de nmeros de versin para todas las versiones del
Symantec Endpoint producto de Symantec Endpoint Protection de su red. Adems, incluye el dominio y
Protection el servidor para cada uno, as como el nmero de equipos y el porcentaje de cada uno.
Consiste en un grfico circular y barras relativas.
196 Ver y configurar informes
Acerca de los informes
Distribucin de la firma de Este informe visualiza las versiones del archivo de firmas IPS que se utilizan en su
prevencin de intrusiones red. Adems, incluye el dominio y el servidor para cada uno, as como el nmero de
equipos y el porcentaje de cada uno. Consiste en un grfico circular y barras relativas.
Inventario de clientes Este informe consiste en los siguientes grficos con barras relativas que muestran
el nmero total de equipos y el porcentaje de cada uno:
Sistema operativo
Memoria total
Memoria libre
Espacio total en disco
Espacio libre en disco
Tipo de procesador
Distribucin del estado de Este informe consiste en un grfico circular con barras relativas que muestran
cumplimiento aprobaciones y errores de cumplimiento por grupo o subred. Muestra el nmero de
equipos y el porcentaje.
Estado de conexin del Este informe consiste en grficos circulares con barras relativas por grupo o subred.
cliente Muestra el porcentaje de equipos que estn conectados.
Conectados tiene los siguientes significados:
Para los clientes que estn en modo de transferencia, "conectados" significa que
los clientes estn conectados actualmente al servidor.
Para los clientes que estn en modo de obtencin, "conectados" significa que los
clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes.
Para los clientes en sitios remotos, "conectados" significa que los clientes estaban
conectados a la hora de la ltima replicacin.
Clientes con la ltima poltica Este informe consiste en grficos circulares con barras relativas por grupo o subred.
Muestra el nmero de equipos y el porcentaje de la ltima poltica que se aplic.
Cantidad de clientes por Este informe consiste en una tabla que incluye estadsticas de informacin de hosts
grupo por grupo. Incluye la cantidad de clientes y de usuarios. Si utiliza varios dominios,
esta informacin aparece por dominio.
Ver y configurar informes 197
Acerca de los informes
Resumen del estado de Este informe refleja el estado de la seguridad general de la red.
seguridad
Este informe muestra el nmero y el porcentaje de los equipos que tienen el siguiente
estado:
Versiones de contenido de Este informe muestra todas las versiones proactivas del contenido de proteccin que
proteccin se utilizan en su red en un solo informe. Se muestra un grfico circular para cada
tipo de proteccin.
Estn disponibles los siguientes tipos de contenido:
Migracin de clientes Este informe consiste en las tablas que describen el estado de migracin de clientes
por dominio, grupo y servidor. Muestra la direccin IP del cliente y si la migracin
tuvo xito, si fall o si an no se ha iniciado.
Distribucin de software Este informe consiste en las tablas que siguen el progreso de las implementaciones
cliente (instantneas) de paquetes de clientes. La informacin de la instantnea le permite observar los
rpidos progresos de la distribucin, y la cantidad de clientes que an no se
Este informe est disponible
implementaron completamente.
slo como un informe
programado.
Clientes Este informe consiste en grficos lineales y tablas que muestran el nmero de clientes
conectados/desconectados a conectados o desconectados. Se muestra un grfico para cada uno de los destinos
lo largo del tiempo principales. El destino es un grupo o un sistema operativo.
(instantneas)
Clientes con la ltima poltica Este informe consiste en un grfico lineal que muestra los clientes que tienen la
a lo largo del tiempo ltima poltica aplicada. Se muestra un grfico para cada uno de los clientes
(instantneas) principales.
Clientes con errores de Este informe consiste en un grfico lineal que muestra el porcentaje de clientes que
cumplimiento a lo largo del no han superado un anlisis de la integridad del host a lo largo del tiempo. Se muestra
tiempo (instantneas) un grfico para cada uno de los clientes principales.
Distribucin de definiciones Este informe incluye las versiones de paquetes de definiciones de virus que se han
de virus (instantneas) distribuido a los clientes. Esta informacin es til para realizar un seguimiento del
progreso de la implementacin de nuevas definiciones de virus de la consola.
Este informe est disponible
slo como un informe
programado.
La Tabla 11-7 describe los informes de la proteccin contra amenazas de red que
estn disponibles.
Principales destinos atacados Este informe consiste en un grfico circular con barra relativa. Puede ver la
informacin usando como destino los grupos, las subredes, los clientes o los puertos.
Incluye informacin tal como el nmero y el porcentaje de ataques, el tipo y la
gravedad del ataque, y la distribucin de ataques.
Principales fuentes de ataque Este informe consiste en un grfico circular con barras relativas que muestra los
hosts principales que iniciaron ataques contra su red. Incluye informacin tal como
el nmero y el porcentaje de ataques, el tipo y la gravedad del ataque, y la distribucin
de ataques.
Principales tipos de ataque Este informe consiste en un grfico circular asociado con barras relativas. Incluye
informacin como el nmero y el porcentaje de eventos. Adems, incluye el grupo y
la gravedad, y el tipo y nmero de evento por grupo.
Ver y configurar informes 199
Acerca de los informes
Principales aplicaciones Este informe consiste en un grfico circular con barras relativas que muestran las
bloqueadas principales aplicaciones que no pudieron acceder a su red. Incluye informacin tal
como el nmero y el porcentaje de ataques, el grupo y la gravedad del ataque, y la
distribucin de ataques por grupo.
Ataques a lo largo del tiempo Este informe consiste en uno o ms grficos lineales que muestran los ataques durante
el intervalo de tiempo seleccionado. Por ejemplo, si el intervalo de tiempo es el mes
anterior, el informe muestra el nmero total de ataques por da del ltimo mes. Incluye
el nmero y el porcentaje de ataques. Es posible ver los ataques para todos los equipos,
o por los sistemas operativos, los usuarios, las direcciones IP, los grupos o los tipos
principales de ataque.
Eventos de seguridad por Este informe consiste en un grfico circular que muestra el nmero total y el
gravedad porcentaje de eventos de seguridad de su red, ordenados segn su gravedad.
Aplicaciones bloqueadas a lo Este informe consiste en un grfico lineal y una tabla. Muestra el nmero total de
largo del tiempo aplicaciones que no pudieron acceder a su red durante un intervalo de tiempo
seleccionado. Incluye la hora del evento, el nmero de ataques y el porcentaje. Puede
ver la informacin para todos los equipos, o por grupo, direccin IP, sistema operativo
o usuario.
Notificaciones de trfico a lo Este informe consiste en un grfico lineal. Muestra el nmero de notificaciones que
largo del tiempo fueron basadas en violaciones de la norma de firewall a lo largo del tiempo. Las normas
que se cuentan son sas donde usted activ la opcin Enviar alerta de correo
electrnico en la columna Registro de la lista Normas de polticas de firewall. Puede
ver la informacin de este informe para todos los equipos, o por grupo, direccin IP,
sistema operativo o usuario.
Principales notificaciones de Este informe consiste en un grfico circular con barras relativas que enumera al
trfico grupo o subred, y el nmero y el porcentaje de notificaciones. Muestra el nmero de
notificaciones que fueron basadas en las violaciones de la norma de firewall
configurada como importante. Las normas que se cuentan son sas donde usted activ
la opcin Enviar alerta de correo electrnico en la columna Registro de la lista Normas
de polticas de firewall. Es posible ver la informacin para todos los equipos, para el
registro de trfico, o para el registro del paquete, agrupado por grupos principales o
subredes.
200 Ver y configurar informes
Acerca de los informes
Informe completo Este informe brinda la siguiente informacin de la proteccin contra amenazas de
red en un solo informe:
Equipos infectados y en Este informe consiste en dos tablas. Una tabla enumera los equipos que tienen una
riesgo infeccin por virus. La otra tabla enumera los equipos que tienen un riesgo de
seguridad que an no se ha reparado.
Resumen de acciones de Este informe consiste en una tabla que muestra una cantidad de todas las medidas
deteccin posibles que se tomaron cuando se detectaron los riesgos. Las acciones posibles son
Limpiado, Sospechoso, Bloqueado, En cuarentena, Eliminado, Recientemente infectado
y An infectado. Esta informacin adems aparece en la pgina de inicio de Symantec
Endpoint Protection.
Conteo de detecciones de Este informe consiste en un grfico circular, una tabla de riesgos y una barra relativa
riesgos asociada. Muestra el nmero total de detecciones de riesgos por dominio, servidor o
equipo. Si tiene clientes de versiones anteriores de Symantec AntiVirus, el informe
utiliza el grupo de servidores en lugar del dominio.
Ver y configurar informes 201
Acerca de los informes
Nuevos riesgos detectados en Este informe incluye una tabla y un grfico circular de la distribucin.
la red
Para cada nuevo riesgo, la tabla proporciona la siguiente informacin:
Correlacin principal de Este informe consiste en un grfico de barra tridimensional que establece una
detecciones de riesgos correlacin entre las detecciones de virus y riesgos de seguridad usando dos variables.
Puede seleccionar del equipo, del nombre de usuario, del dominio, del grupo, del
servidor, o del nombre del riesgo para las variables del eje de x y de y. Este informe
muestra los cinco casos principales para cada variable del eje. Si seleccion "equipos"
como una de las variables y hay menos de cinco equipos infectados, los equipos no
infectados pueden aparecer en el grfico.
Nota: Para los equipos que ejecutan versiones anteriores de Symantec AntiVirus,
se utilizan el grupo de servidores y el servidor principal en lugar del dominio y el
servidor.
Resumen de distribucin de Este informe incluye un grfico circular y un grfico de barra asociado que muestra
riesgos un porcentaje relativo para cada elemento nico del tipo de destino elegido. Por
ejemplo, si el destino elegido es nombre de riesgo, el grfico circular muestra partes
de cada riesgo nico. Se muestra una barra para cada nombre de riesgo, y los detalles
incluyen el nmero de detecciones y el porcentaje de las detecciones totales. Los
destinos incluyen el nombre de riesgo, el dominio, el grupo, el servidor, el equipo, el
nombre de usuario, la fuente, el tipo de riesgo o la gravedad del riesgo. Para los equipos
que ejecutan versiones anteriores de Symantec AntiVirus, se utilizan el grupo de
servidores y el servidor principal en lugar del dominio y el servidor.
Distribucin de riesgos a lo Este informe consiste en una tabla que muestra el nmero de detecciones de virus y
largo del tiempo riesgos de seguridad por unidad de tiempo y barra relativa.
202 Ver y configurar informes
Acerca de los informes
Resultados de la deteccin de Este informe consiste en un grfico circular y grficos de barra que muestran la
amenazas proactiva siguiente informacin:
Una lista de las aplicaciones clasificadas como riesgos que se han agregado a las
excepciones como aceptables en su red.
Una lista de las aplicaciones que se detectaron como riesgos confirmados.
Una lista de las aplicaciones que se han detectado, pero que an no se han
confirmado como riesgos.
Para cada lista, este informe muestra el nombre de la empresa, el hash de la aplicacin,
y la versin y el equipo implicados. Para las aplicaciones permitidas, tambin se
muestra la fuente del permiso.
Distribucin de amenazas Este informe consiste en un grfico circular que muestra los nombres de las principales
proactiva aplicaciones detectadas con barras relativas y una tabla de resumen. Las detecciones
incluyen aplicaciones de la lista de aplicaciones comerciales y las detecciones forzadas.
La primera tabla de resumen contiene el nombre de la aplicacin, y el nmero y el
porcentaje de detecciones.
La tabla de resumen muestra lo siguiente, por deteccin:
Deteccin de amenazas Este informe consiste en un grfico lineal que muestra el nmero de detecciones de
proactivas a lo largo del amenazas proactivas para el intervalo de tiempo seleccionado. Tambin contiene una
tiempo tabla con barras relativas que incluye los nmeros totales de las amenazas que se
detectaron a lo largo del tiempo.
Resumen de acciones para los Este informe incluye una lista de los informes de riesgos principales que se
riesgos principales encontraron en su red. Para cada uno, se muestran barras de resumen de acciones
que muestran el porcentaje de cada accin que se tom cuando se detect un riesgo.
Las acciones incluyen en cuarentena, limpiado, eliminado, etc. Este informe muestra,
adems, el porcentaje de tiempo para el que cada accin determinada era la primera
accin configurada, la segunda accin configurada, ninguna o desconocida.
Ver y configurar informes 203
Acerca de los informes
Nmero de notificaciones Este informe consiste en un grfico circular asociado con una barra relativa. Los
grficos muestran el nmero de notificaciones que se activaron por las violaciones
de la norma de firewall configurada como importante. Incluye el tipo de notificaciones
y el nmero de cada una.
Nmero de notificaciones a Este informe consiste en un grfico lineal que muestra el nmero de notificaciones
lo largo del tiempo en la red para el intervalo de tiempo seleccionado. Tambin contiene una tabla que
incluye el nmero y el porcentaje de notificaciones a lo largo del tiempo. Puede filtrar
los datos para ver la lista por tipo de notificacin, estado del acuse de recibo, creador
y nombre de la notificacin.
Ataques semanales Este informe muestra el nmero de virus y de detecciones de riesgos de seguridad, y
una barra relativa por semana para cada uno de los intervalos de tiempo especificados.
Un intervalo de un da muestra la semana anterior.
Informe completo de riesgos De forma predeterminada, este informe incluye todos los informes de distribucin y
los informes de nuevos riesgos. Sin embargo, puede configurarlo para incluir slo
algunos informes. Este informe incluye informacin de todos los dominios.
Histograma de estadsticas Este informe se presenta como histograma. Puede seleccionar si desea que la
de anlisis informacin del informe de anlisis se distribuya. Es posible seleccionar uno de los
siguientes mtodos:
Es posible que desee modificar los valores del informe para maximizar la informacin
que se genera en el histograma del informe. Por ejemplo, es posible que desee
considerar el tamao de la red y la cantidad de informacin que ve.
Equipos por ltimo anlisis Este informe muestra una lista de los equipos de la red de seguridad que fueron
analizados la ltima vez. Tambin incluye la direccin IP y el nombre del usuario que
inici sesin a la hora del anlisis.
Equipos no analizados Este informe muestra una lista de equipos de la red de seguridad que no fueron
analizados.
Proporciona la siguiente informacin adicional:
La direccin IP
La hora del ltimo anlisis
El nombre del usuario actual o del usuario que inici sesin a la hora del ltimo
anlisis
La Tabla 11-10 describe los informes del sistema que estn disponibles.
Principales clientes que Este informe consiste en un grfico circular para cada condicin de advertencia y
generan errores condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el
porcentaje de advertencias por cliente.
Ver y configurar informes 205
Acerca de los informes
Principales servidores que Este informe consiste en un grfico circular para cada condicin de advertencia y
generan errores condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el
porcentaje de advertencias por servidor.
Principales instancias de Este informe consiste en un grfico circular para cada condicin de advertencia y
Enforcer que generan errores condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el
porcentaje de advertencias por instancia de Enforcer.
Errores de replicacin de Este informe consiste en un grfico lineal con una tabla asociada que enumera los
base de datos a lo largo del errores de replicacin para el intervalo de tiempo seleccionado.
tiempo
Estado del sitio Este informe muestra el estado actual y la velocidad de transferencia de todos los
servidores de su sitio local. Tambin muestra la informacin sobre la instalacin del
cliente, el estado en lnea del cliente y el volumen de registro del cliente para su sitio
local. Los datos que se extraen de este informe se actualizan cada diez segundos, pero
debe volver a realizar el informe para ver datos actualizados.
Nota: Si tiene varios sitios, este informe muestra el total de clientes instalados y en
lnea de su sitio local, no de todos los sitios.
Si tiene restricciones del sitio o del dominio como administrador, slo ver la
informacin que se le permite ver.
El estado de salud de un servidor se clasifica de la siguiente manera:
Para cada servidor, este informe contiene el estado, el estado de salud y el motivo, el
206 Ver y configurar informes
Aspectos importantes de la elaboracin de informes
Para los clientes que estn en modo de transferencia, "conectados" significa que
los clientes estn conectados actualmente al servidor.
Para los clientes que estn en modo de obtencin, "conectados" significa que los
clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes.
Para los clientes en sitios remotos, "conectados" significa que los clientes estaban
conectados a la hora de la ltima replicacin.
Para una descripcin de cada opcin avanzada que se pueda configurar, es posible
hacer clic en Ms informacin para ese tipo de informe en la consola. Hacer clic
en Ms informacin muestra la ayuda contextual para ese tipo de informe.
Es posible guardar la configuracin del informe de modo que se pueda ejecutar el
mismo informe en una fecha posterior, y es posible imprimir y guardar informes.
Nota: Los cuadros de texto de opcin del filtro que aceptan caracteres comodn y
buscan coincidencias no diferencian entre maysculas y minsculas. El carcter
del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como
carcter comodn.
Opcin Descripcin
Intervalo de tiempo Especifica el intervalo de tiempo de los eventos que usted desea ver en el informe.
Seleccione a partir de las opciones siguientes:
ltimas 24 horas
Semana pasada
ltimo mes
Mes actual
ltimos tres meses
Ao pasado
Definir fechas especficas
Si elige Definir fechas especficas, algunos informes necesitan que se configure una fecha
inicial y una fecha final. Otros informes necesitan que usted establezca la hora de la ltima
verificacin, que es la ltima vez que el equipo se registr con su servidor.
Esta opcin slo est disponible cuando se selecciona Definir fechas especficas para el
intervalo de tiempo.
Ver y configurar informes 209
Crear informes rpidos
Opcin Descripcin
Esta opcin slo est disponible cuando se selecciona Definir fechas especficas para el
intervalo de tiempo.
Nota: No es posible configurar una fecha final que sea igual que la fecha inicial o anteriores
a sta.
ltimo registro Especifica que usted desea ver todas las entradas que impliquen a un equipo que no se ha
despus de registrado en su servidor desde el momento especificado.
Solamente disponible para los informes de estado del equipo cuando se selecciona Definir
fechas especficas para el intervalo de tiempo.
Estado Disponible para el informe de cumplimiento del estado de cumplimiento de la red. Seleccione
entre las siguientes opciones:
Autenticado
Desconectado
Error
Aprobado
Rechazado
Disponible para el informe de cumplimiento del estado de cumplimiento. Seleccione una
de las acciones siguientes:
Aprobado
Error
Agrupar por Muchos de los informes se pueden agrupar de maneras apropiadas. Por ejemplo, la opcin
ms comn es ver la informacin para solamente un grupo o una subred, pero algunos
informes proporcionan otras opciones apropiadas.
210 Ver y configurar informes
Crear informes rpidos
Opcin Descripcin
Seleccionar destino Disponible para el informe de proteccin contra amenazas de red de los principales destinos
atacados. Seleccione entre las siguientes opciones:
Grupo
Subred
Cliente
Puerto
Disponible para el informe de proteccin contra amenazas de red de los ataques a lo largo
del tiempo. Seleccione entre las siguientes opciones:
Todos
Grupo
Direccin IP
Sistema operativo
Nombre de usuario
Tipo de ataque
Disponible para los informes de proteccin contra amenazas de red de aplicaciones
bloqueadas a lo largo del tiempo y notificaciones de trfico a lo largo del tiempo. Seleccione
entre las siguientes opciones:
Todos
Grupo
Direccin IP
Sistema operativo
Nombre de usuario
Disponible para el informe de proteccin contra amenazas de red de las principales
notificaciones de trfico. Seleccione entre las siguientes opciones:
Todos
Trfico
Paquete
Amplitud de clases Especifica la amplitud para formar un histograma. Disponible para el informe de anlisis
del histograma de estadsticas de anlisis.
Ver y configurar informes 211
Crear informes rpidos
Opcin Descripcin
Nmero de Especifica el nmero de contenedores que usted desea utilizar para formar las barras de
contenedores un histograma. Disponible para el informe de anlisis del histograma de estadsticas de
anlisis.
Configuracin avanzada proporciona control adicional sobre los datos que desee
ver. Son especficos para el tipo y el contenido del informe.
Para una descripcin de cada opcin avanzada que se pueda configurar, es posible
hacer clic en Ms informacin para ese tipo de informe en la consola. Hacer clic
en Ms informacin muestra la ayuda contextual para ese tipo de informe.
Para crear un informe rpido
1 En la consola, haga clic en Informes.
2 En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione
el tipo de informe que desee crear. Por ejemplo, seleccione Riesgo.
3 Bajo Qu tipo de informe de anlisis desea ver, en el cuadro de lista Seleccionar
un informe, seleccione el nombre del informe que desee ver. Por ejemplo,
seleccione Conteo de detecciones de riesgos.
4 En el cuadro de lista Utilizar filtro guardado, seleccione una configuracin
de filtro guardada que desee utilizar o deje el filtro predeterminado.
5 Bajo Qu configuracin de filtros desea utilizar, en el cuadro de lista Intervalo
de tiempo, seleccione el intervalo de tiempo para el informe.
6 Si seleccion Definir fechas especficas, utilice los cuadros de lista Fecha
inicial y Fecha final. Estas opciones configuran el intervalo de tiempo sobre
el cual se desea ver informacin.
7 Si desea configurar las opciones adicionales para el informe, haga clic en
Configuracin avanzada y configure las opciones que desee. Es posible hacer
clic en Ms informacin en la ficha Informes rpidos para ver las descripciones
de las opciones del filtro en la ayuda contextual.
Cuando el botn de 3 puntos est disponible, lo lleva a una lista de opciones
conocidas para esa opcin. Por ejemplo, esta opcin puede llevarlo a una lista
de servidores conocidos o a una lista de dominios conocidos.
Es posible guardar las opciones de configuracin del informe si piensa que
querr ejecutar este informe de nuevo en el futuro.
Ver "Guardar y eliminar los filtros de informes guardados" en la pgina 212.
8 Haga clic en Crear informe.
212 Ver y configurar informes
Guardar y eliminar los filtros de informes guardados
Nota: Las opciones de configuracin del filtro que guarda estn disponibles para
la cuenta del inicio de sesin del usuario solamente. Otros usuarios con privilegios
de elaboracin de informes no tienen acceso a la configuracin guardada.
Puede eliminar las configuraciones de informe que usted crea. Si se elimina una
configuracin, el informe ya no estar disponible. El nombre de la configuracin
de informe predeterminado aparece en el cuadro de lista Utilizar informe guardado,
y la pantalla vuelve a completarse con las opciones de configuracin
predeterminadas.
Para guardar un filtro
1 En la consola, haga clic en Informes.
2 Seleccione un tipo informe del cuadro de lista.
3 Modifique cualquier Configuracin bsica o Configuracin avanzada para el
informe.
4 Haga clic en Guardar filtro.
5 En el cuadro de texto Nombre del filtro, escriba un nombre descriptivo para
este filtro de informes. Slo se muestran los primeros 32 caracteres del nombre
cuando el filtro se agrega a la lista Usar un filtro guardado.
6 Haga clic en Aceptar.
7 Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.
Despus de que se guarda un filtro, aparece en el cuadro de lista Usar un filtro
guardado para los informes y los registros relacionados.
Para eliminar un filtro guardado
1 En la ficha Informes, seleccione un tipo de informe.
2 En el cuadro de lista Utilizar filtro guardado, seleccione el nombre de la
configuracin del filtro que desea eliminar.
3 Haga clic en el icono Eliminar ubicado junto al cuadro de lista Usar un filtro
guardado.
Ver y configurar informes 213
Imprimir y guardar una copia de un informe
Nota: Si tiene varios servidores dentro de un sitio que compartan una base de
datos, slo el servidor instalado primero ejecuta los informes programados para
el sitio. Esta configuracin predeterminada se asegura de que todos los servidores
en el sitio no ejecuten los mismos anlisis programados simultneamente. Si desea
sealar un servidor diferente para ejecutar informes programados, es posible
configurar esta opcin en las propiedades del sitio local.
Ver "Editar propiedades del sitio" en la pgina 278.
Ver y configurar informes 215
Crear y eliminar informes programados
Para obtener informacin sobre las opciones que es posible configurar en estos
procedimientos, en la ficha Informes programados, es posible hacer clic en Ms
informacin.
Para crear un informe programado
1 En la consola, haga clic en Informes.
2 En la ficha Informes programados, haga clic en Agregar.
3 En el cuadro de texto Nombre del informe, escriba un nombre descriptivo y,
opcionalmente, escriba una descripcin ms larga.
Aunque se puedan pegar ms de 255 caracteres en el cuadro de texto de la
descripcin, slo 255 caracteres se guardan en la descripcin.
4 Deje sin marcar la casilla de verificacin Activar este informe programado
si usted no quiere que este informe se ejecute.
216 Ver y configurar informes
Crear y eliminar informes programados
Ver registros
Usar notificaciones
Nota: Las pginas de informes y las pginas del registro siempre se muestran en
el idioma con el que se instal el servidor de administracin. Para ver estas pginas
cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada
debe estar instalada en el equipo.
Nota: Si tiene solamente Symantec Network Access Control instalado, slo algunos
de los registros contienen datos; algunos registros estn vacos. El registro de
auditora, el registro de estado del equipo y el registro de sistema contienen datos,
al igual que el registro de cumplimiento. Si tiene solamente Symantec Endpoint
Protection instalado, los registros de cumplimiento y los registros de Enforcer
estn vacos, pero el resto de los registros contienen datos.
La Tabla 12-1 describe los distintos tipos de contenido que es posible ver y las
acciones que pueden efectuarse desde cada registro.
222 Ver y configurar registros y notificaciones
Acerca de los registros
Servidor de Enforcer
Este registro realiza un seguimiento de la comunicacin entre los mdulos de
Enforcer y su servidor de administracin. La informacin que se registra incluye
el nombre del mdulo de Enforcer, cundo se conecta al servidor de administracin,
el tipo de evento, el sitio y el nombre del servidor.
Cliente de Enforcer
Proporciona la informacin sobre todas las conexiones del cliente de Enforcer.
Los datos disponibles incluyen el nombre, tipo, sitio, host remoto y direccin MAC
remota de cada Enforcer, y si el cliente fue aprobado, rechazado o autenticado.
Trfico de Enforcer (Gateway Enforcer solamente)
Proporciona cierta informacin sobre el trfico que se mueve a travs de un
dispositivo Enforcer. Esta informacin incluye la direccin y la hora del trfico,
el protocolo que fue utilizado, el nombre y el sitio del mdulo Enforcer. La
informacin adems incluye el puerto local que fue utilizado, la direccin y una
cantidad. Es posible filtrar segn los intentos de conexin que fueron permitidos
o bloqueados.
Cumplimiento del host
Este registro realiza un seguimiento de los detalles de los anlisis de integridad
de los hosts de los clientes. La informacin disponible incluye la hora, la ubicacin,
el sistema operativo, el motivo de los errores y una descripcin.
Estado del equipo Los registros de estado del equipo contienen informacin sobre el estado operacional
de los equipos cliente de la red en tiempo real. La informacin disponible incluye el
nombre del equipo y la direccin IP, la hora de la ltima verificacin, la fecha de las
definiciones, el estado de infeccin, el estado de Auto-Protect, el servidor, el grupo,
el dominio y el nombre de usuario.
Es posible realizar las siguientes acciones desde el registro de estado del equipo:
Anlisis
Este comando inicia un anlisis rpido, completo o personalizado. Las opciones
de anlisis personalizado son las que usted ha configurado para los anlisis de
comandos en la pgina Anlisis definidos por el administrador. El comando utiliza
la configuracin de la poltica antivirus y contra software espa que se aplica a los
clientes que usted seleccion para analizar.
Actualizar contenido
Este comando activa una actualizacin de polticas, definiciones y software desde
la consola para los clientes del grupo seleccionado.
Actualizar contenido y anlisis
Este comando activa una actualizacin de polticas, definiciones y software en los
clientes del grupo seleccionado. Este comando inicia un anlisis rpido, completo
o personalizado. Las opciones de anlisis personalizado son las que usted ha
configurado para los anlisis de comandos en la pgina Anlisis definidos por el
administrador. El comando utiliza la configuracin de la poltica antivirus y contra
software espa que se aplica a los clientes que usted seleccion para analizar.
Cancelar todos los anlisis
Este comando cancela todos los anlisis en curso y cualquier anlisis en cola para
los destinatarios seleccionados.
Reiniciar equipos
Este comando reinicia los equipos que usted seleccion. Si los usuarios han iniciado
sesin, se les advierte sobre el reinicio basado en las opciones de reinicio que el
administrador configur para ese equipo. Es posible configurar las opciones de
reinicio de clientes en la ficha Configuracin general del cuadro de dilogo
Configuracin de la pgina Clientes.
Habilitar Auto-Protect
Este comando activa Auto-Protect para todos los equipos cliente que usted
seleccion.
Habilitar proteccin contra amenazas de red
Este comando activa la proteccin contra amenazas de red para todos los equipos
cliente que usted seleccion.
Inhabilitar proteccin contra amenazas de red
Este comando desactiva la proteccin contra amenazas de red para todos los
equipos cliente que usted seleccion.
Es posible adems eliminar el estado infectado de los equipos desde este registro.
Ver y configurar registros y notificaciones 225
Acerca de los registros
Proteccin contra amenazas Los registros de proteccin contra amenazas de red contienen informacin sobre
de red ataques en el firewall y en la prevencin de intrusiones. Existe informacin disponible
sobre ataques de negacin de servicio, anlisis de puertos y los cambios que fueron
realizados a los archivos ejecutables. Adems contienen la informacin sobre las
conexiones que se hacen a travs del firewall (trfico) y los paquetes de datos que
pasan a travs de l. Estos registros adems contienen algunos de los cambios
operacionales que se realizan en los equipos, como detectar aplicaciones de red y
configurar software. La informacin disponible incluye elementos como la hora, el
tipo de evento y las acciones efectuadas. La informacin adicional disponible incluye
la gravedad, la direccin, el nombre de host, las acciones efectuadas, la direccin IP
y el protocolo implicado.
Los registros siguientes de proteccin contra amenazas de red estn disponibles:
Ataques
Trfico
Paquete
Proteccin proactiva contra El registro de proteccin proactiva contra amenazas contiene informacin sobre las
amenazas amenazas que se han detectado durante el anlisis de amenazas proactivo. Los anlisis
de amenazas proactivos utilizan la heurstica para analizar en busca de
comportamientos similares al de los virus y los riesgos de seguridad. Este mtodo
puede detectar virus desconocidos y riesgos de seguridad. La informacin disponible
incluye elementos como la hora de la incidencia, el nombre del evento, el equipo y el
usuario implicados, el nombre y el tipo de aplicacin y el nombre del archivo.
Anlisis El registro de anlisis contiene informacin sobre la actividad del anlisis antivirus
y de software espa. La informacin disponible incluye elementos tales como el nombre
del equipo, la direccin IP, el estado, la hora del anlisis, la duracin y los resultados
del anlisis.
Sistema Los registros de sistema contienen informacin sobre eventos tales como cundo se
inician y se detienen los servicios. La informacin disponible incluye elementos tales
como el tiempo y el tipo de evento; el sitio, el dominio y el servidor implicados; y la
gravedad.
Estn disponibles los siguientes registros de sistema:
Administrativo
Actividad del cliente y el servidor
Actividad del servidor
Actividad del cliente
Actividad de Enforcer
Lista Estado del comando La lista Estado del comando contiene informacin sobre el estado de los comandos
que se han ejecutado desde la consola. Incluye informacin tal como la fecha en que
se ejecut el comando, quin lo emiti y una descripcin del comando. Adems incluye
el estado de avance del comando y los clientes a los que afect dicho comando.
Lista Notificaciones La lista Notificaciones contiene informacin sobre eventos de notificaciones. Tales
eventos incluyen informacin tal como la fecha y la hora de la notificacin. Adems
incluye informacin sobre si la notificacin fue reconocida, quin la cre, su asunto
y el mensaje.
Amenazas proactivas
Distribucin de riesgos
Nuevos riesgos
Distribucin de riesgos por origen
Distribucin de riesgos por atacante
Distribucin de riesgos por grupo
Estado del sitio La vista Estado del sitio contiene la siguiente informacin:
Ver registros
Puede generar una lista de eventos para ver desde los registros que se basan en
un conjunto de opciones de filtro seleccionadas. Cada tipo de registro y de
contenido tiene una configuracin de filtro predeterminada que puede utilizarse
como est o modificarse. Es posible adems crear y guardar nuevas configuraciones
de filtro. Estos nuevos filtros se pueden basar en el filtro predeterminado o en un
filtro existente que usted cre previamente. Si guarda la configuracin del filtro,
puede generar la misma vista de registro en una fecha posterior sin tener que
volver a configurar las opciones. Es posible eliminar las configuraciones de filtro
personalizadas si ya no las necesita.
Ver "Guardar y eliminar filtros" en la pgina 232.
Debido a que los registros contienen cierta informacin que se recopila a intervalos,
es posible actualizar las vistas de los registros. Para configurar la frecuencia de
230 Ver y configurar registros y notificaciones
Ver registros
Nota: Los campos de opcin del filtro que aceptan caracteres comodn y buscan
coincidencias no diferencian entre maysculas y minsculas. El carcter del
asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter
comodn.
Nota: Si elige replicar registros, asegrese de que tiene suficiente espacio libre
en el disco para registros adicionales en todos los asociados de replicacin.
Opcin Descripcin
Usar un filtro guardado Especifica qu filtro se desea utilizar para crear la vista del
registro.
ltimas 24 horas
Semana pasada
ltimo mes
Mes actual
ltimos tres meses
Ao pasado
Definir fechas especficas
Nota: No es posible filtrar los datos de una versin anterior de Symantec Client
Firewall para conocer las firmas de prevencin de intrusiones. Para ver las
versiones de firmas que se ejecutan en un equipo, es posible ir al registro Estado
del equipo. Seleccione un equipo que tenga Symantec Client Firewall instalado y
a continuacin haga clic en Detalles. Esta informacin est en el campo Versin
de IDS.
Es posible cancelar todos los anlisis en curso y en cola para los clientes
seleccionados desde el registro Estado del equipo. Si confirma el comando, la tabla
se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado
del comando.
Nota: Para seleccionar los archivos del archivo comprimido, debe visualizarlos
todos en la vista de registro. Es posible utilizar la opcin Lmite en la configuracin
avanzada del filtro del registro Riesgo para aumentar el nmero de entradas en
la vista.
La Tabla 12-4 muestra la correspondencia de los tipos de datos de registro con los
nombres de los archivos de datos de registro exportados.
La Tabla 12-5 muestra la correspondencia de los tipos de datos de registro con los
nombres de los archivos de datos de registro exportados para los registros de
Enforcer.
Para obtener ms informacin sobre las opciones que pueden configurarse con
este procedimiento, haga clic en Ayuda, en la consola para ver la ficha General.
Para exportar datos de registro a un archivo de volcado
1 En la consola, haga clic en Administrador.
2 Haga clic en Servidores.
3 Haga clic en el sitio local o en el sitio remoto para el que desee configurar el
registro externo.
4 Haga clic en Configurar el registro externo.
5 En la ficha General, seleccione la frecuencia con la que se enviarn los datos
de registro al archivo.
6 Seleccione el Servidor de registro maestro que manejar el registro externo.
Si utiliza Microsoft SQL con ms de un servidor de administracin conectado
a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 Marque Exportar registros a un archivo de volcado.
8 Si es necesario, marque Limitar registros de archivos de volcado y escriba
el nmero de entradas que se quieran enviar al mismo tiempo al archivo de
texto.
242 Ver y configurar registros y notificaciones
Exportar datos de registro
Nota: Recuerde configurar su servidor Syslog para recibir los datos de registro.
Recurso de registro:
Especifique el nmero del recurso de registro que desee utilizar en el
archivo de configuracin Syslog o utilice la configuracin predeterminada.
Los valores vlidos van de 3 a 23.
Usar notificaciones
Las notificaciones son mensajes sobre los eventos de seguridad que han ocurrido
en su red. Es posible configurar muchos tipos distintos de notificaciones. Algunas
notificaciones se dirigen a los usuarios y algunas se dirigen a los administradores.
Es posible configurar las siguientes acciones de notificacin para alertar a
administradores o a otros individuos designados cuando se cumplen determinadas
condiciones relacionadas con la seguridad:
Enviar un correo electrnico.
Ejecutar un archivo por lotes u otro archivo ejecutable.
Registrar una entrada en el registro de notificaciones de la base de datos.
Ver "Crear notificaciones de administrador" en la pgina 245.
Para obtener una descripcin de cada opcin configurable, es posible hacer clic
en Ms informacin, en la consola. Ms informacin muestra la ayuda contextual.
Nota: Es posible filtrar la vista de las condiciones de notificacin que se han creado
usando el cuadro de lista Mostrar tipos de notificacin. Para estar seguro de que
se visualizan las nuevas notificaciones creadas, asegrese de que la opcin Todos
est seleccionada en este cuadro de lista.
Grupos principales con registros Utilice este informe para comprobar qu grupos son
de control de aplicaciones con los ms riesgosos de su red.
mayor cantidad de alertas
Registro de control de aplicaciones Utilice este registro para ver informacin sobre las
entidades siguientes:
Registro de control de dispositivos Utilice este registro cuando es necesario ver los detalles
de Control de dispositivos, tales como la hora exacta
en que Control de dispositivos habilit o deshabilit
los dispositivos. Este registro adems visualiza
informacin tal como el nombre del equipo, su
ubicacin, el usuario que haba iniciado sesin y el
sistema operativo implicado.
Nota: Si Symantec Network Access Control no est instalado, los registros y los
informes de cumplimiento no contienen datos.
Estado del cumplimiento de red Utilice este informe para ver el cumplimiento general,
para saber si los clientes han fallado la comprobacin
de integridad del host o la autenticacin, o han sido
desconectados.
Usar Supervisin e Informes para asegurar la red 255
Acerca del uso de Supervisin e Informes para asegurar la red
Estado de cumplimiento Utilice este informe para ver el nmero total de clientes
que hayan aprobado o fallado una comprobacin de
integridad del host en su red.
Resumen de clientes por error de Utilice este informe para ver los motivos generales
cumplimiento para los eventos de errores de control, tales como
antivirus, firewall o VPN.
Detalles del error de cumplimiento Utilice este informe para ver un mayor nivel de detalle
sobre los errores de cumplimiento. Muestra los criterios
y la norma que estuvo implicada en cada error. Incluye
el porcentaje de los clientes que fueron implementados
y el porcentaje de los que fallaron.
Por ejemplo, el Resumen de errores de cumplimiento
puede mostrar diez errores de clientes debido al
software antivirus. En cambio, Detalles del error de
cumplimiento muestra la siguiente informacin:
Clientes con errores de Utilice este informe para ver si algunas ubicaciones
cumplimiento por ubicacin tienen ms problemas de cumplimiento que otras.
Registro del servidor de Enforcer Utilice este registro para ver informacin sobre eventos
de cumplimiento de Enforcer, el nombre del mdulo
de Enforcer implicado, su sitio y su servidor.
Entre otras cosas, este registro contiene la siguiente
informacin:
Registro de clientes de Enforcer Utilice este registro para ver qu clientes tienen
comprobaciones de integridad del host aprobadas o
falladas, si fueron autenticados o rechazados, o si
fueron desconectados de la red.
256 Usar Supervisin e Informes para asegurar la red
Acerca del uso de Supervisin e Informes para asegurar la red
Registro de trfico de Enforcer Utilice este registro para ver informacin sobre el
trfico que pasa por un mdulo de Enforcer.
La informacin disponible incluye:
Registro de cumplimiento del host Utilice este registro para ver informacin especfica
sobre eventos de cumplimiento determinados. Tales
eventos incluyen el motivo, el usuario implicado y el
nombre del sistema operativo implicado.
Distribucin de definiciones de Utilice este informe para asegurarse de que todos los
virus grupos, dominios o servidores en su red utilizan
versiones actualizadas de los archivos de definiciones
de virus.
Versiones de producto de Utilice este informe para comprobar las versiones del
Symantec Endpoint Protection software del producto, las definiciones de virus, las
firmas IPS y el contenido de proteccin proactiva en
uso en su red. Con esta informacin es posible localizar
los equipos que necesitan una actualizacin.
Distribucin de la firma de Utilice este informe para asegurarse de que todos los
prevencin de intrusiones grupos de su red utilizan firmas actualizadas de
prevencin de intrusiones. Es posible adems ver qu
dominios o servidores estn desactualizados.
Distribucin del estado de Utilice este informe para ver qu grupos o subredes
cumplimiento tienen el porcentaje ms grande de equipos fuera de
cumplimiento. Sera aconsejable investigar si ciertos
grupos parecen tener muchos ms problemas de
cumplimiento que otros.
Estado de conexin del cliente Utilice este informe para ver qu grupos o subredes
tienen el porcentaje ms grande de clientes en lnea.
Sera aconsejable investigar por qu algunos grupos o
subredes experimentan actualmente ms problemas
que otros.
Clientes con la ltima poltica Utilice este informe para ver qu grupos o subredes
tienen el porcentaje ms grande de equipos que no
tienen la ltima poltica.
258 Usar Supervisin e Informes para asegurar la red
Acerca del uso de Supervisin e Informes para asegurar la red
Cantidad de clientes por grupo Utilice este informe para ver el nmero total de clientes
y de usuarios, por grupo.
Resumen del estado de seguridad Utilice este informe para ver rpidamente el nmero
total de equipos que tengan los siguientes problemas:
Versiones de contenido de Utilice este informe para comprobar las versiones del
proteccin contenido de proteccin proactiva en uso en su red,
para localizar cualquier equipo que necesite una
actualizacin.
Clientes con la ltima poltica a lo Utilice este informe para localizar los clientes que no
largo del tiempo (instantneas) reciben actualizaciones de polticas con suficiente
frecuencia. Este informe est disponible slo como un
informe programado.
Distribucin de software cliente Utilice este informe para localizar los clientes que no
(instantneas) tienen la ltima versin de software implementada.
Este informe est disponible slo como un informe
programado.
Usar Supervisin e Informes para asegurar la red 259
Acerca del uso de Supervisin e Informes para asegurar la red
Clientes con errores de Utilice este informe para localizar los clientes que
cumplimiento a lo largo del tiempo frecuentemente fallan las comprobaciones de
(instantneas) integridad del host. Este informe est disponible slo
como un informe programado.
Registro de estado del equipo Compruebe el registro de estado del equipo si necesita
ms detalles sobre alguna de las reas que los informes
cubren.
Principales fuentes de ataque Utilice este informe para identificar qu hosts atacan
su red ms frecuentemente.
Principales tipos de ataque Utilice este informe para identificar los tipos de ataque
que se dirigen a su red ms frecuentemente. Los tipos
de ataque que es posible supervisar incluyen anlisis
de puertos, ataques de negacin de servicio y
falsificacin de MAC.
Ataques a lo largo del tiempo Utilice este informe para identificar los grupos, las
direcciones IP, los sistemas operativos y los usuarios
que se atacan ms frecuentemente en su red. Utilcelo
adems para identificar el tipo ms frecuente de ataque
que ocurre.
La Tabla 13-6 resume los diversos registros e informes rpidos de riesgos. Describe
algunos usos tpicos para la clase de informacin que es posible extraer de ellos.
Equipos infectados y en riesgo Utilice este informe para identificar rpidamente los
equipos que necesitan su atencin porque estn
infectados con un virus o un riesgo de seguridad.
Resumen de acciones de deteccin Utilice este informe para identificar las medidas que
fueron tomadas cuando los riesgos fueron detectados.
Esta informacin adems aparece en la pgina de inicio
de Symantec Endpoint Protection.
Conteo de detecciones de riesgos Utilice este informe para identificar dominios, grupos
o equipos determinados que tienen el nmero ms
grande de detecciones de riesgos. Es posible entonces
investigar por qu algunas entidades parecen estar en
mayor riesgo que otras en su red.
Nuevos riesgos detectados en la Utilice este informe para identificar y seguir el impacto
red de los nuevos riesgos en su red.
Resumen de acciones para los Utilice este informe para revisar las acciones tomadas
riesgos principales sobre los riesgos que Symantec Endpoint Protection
ha detectado en su red.
Ataques semanales Utilice este informe para seguir los ataques de riesgos
semana por semana.
264 Usar Supervisin e Informes para asegurar la red
Acerca del uso de Supervisin e Informes para asegurar la red
Informe completo de riesgos Utilice este informe para ver todos los informes de
distribucin y la informacin sobre nuevos riesgos al
mismo tiempo.
Equipos por ltimo anlisis Utilice este informe para identificar los equipos que
no han ejecutado un anlisis recientemente. Es posible
configurarlo para buscar el ltimo da o la ltima
semana, o un plazo personalizado, que desee
comprobar.
Usar Supervisin e Informes para asegurar la red 265
Acerca del uso de Supervisin e Informes para asegurar la red
Equipos no analizados Utilice este informe para obtener una lista de los
equipos que no se han analizado en un perodo
especfico. Este informe adems incluye las direcciones
IP de los equipos por dominios o grupos especficos.
Estos equipos pueden estar en peligro.
Principales clientes que generan Utilice este informe para ver qu clientes generan el
errores nmero ms grande de errores y advertencias. Sera
aconsejable mirar la ubicacin y el tipo de usuarios en
estos clientes para ver por qu experimentan ms
problemas que otros. Es posible luego ir al registro del
sistema para obtener informacin.
Principales servidores que Utilice este informe para ver qu servidores generan
generan errores el nmero ms grande de errores y advertencias. Es
posible mirar estos servidores para ver por qu
experimentan ms problemas que lo tpico para su red.
Principales instancias de Enforcer Utilice este informe para ver qu mdulos de Enforcer
que generan errores generan el nmero ms grande de errores y
advertencias. Es posible mirar estos mdulos para ver
por qu experimentan ms problemas que lo tpico
para su red.
266 Usar Supervisin e Informes para asegurar la red
Acerca del uso de Supervisin e Informes para asegurar la red
Errores de replicacin de base de Utilice este informe para ver qu servidores o sitios
datos a lo largo del tiempo experimentan ms problemas con la replicacin de
base de datos. Adems le dice por qu las replicaciones
fallan, de modo que se puedan reparar los problemas.
Estado del sitio Utilice este informe para ver cmo su servidor maneja
su carga de cliente. De acuerdo con la informacin de
este informe, sera aconsejable ajustar la carga.
Registro de actividades del cliente Utilice este registro para ver toda la actividad del
y el servidor cliente que ocurre para un servidor especfico.
Por ejemplo, es posible utilizar este registro para ver
los puntos siguientes:
Registro de actividades del Entre otras cosas, utilice este registro por los siguientes
servidor motivos:
Registro de actividades del cliente Entre otras cosas, es posible utilizar este registro para
supervisar las actividades relacionadas con el cliente
siguientes:
Registro de actividades de Utilice este registro para supervisar problemas con los
Enforcer mdulos de Enforcer. En este registro, es posible ver
eventos de administracin, eventos de Enforcer,
eventos de habilitacin y eventos de polticas. Es
posible filtrarlos por su nivel de gravedad.
Por ejemplo, es posible utilizar este registro para
solucionar los siguientes tipos de problemas:
Conectividad de Enforcer
La importacin y la aplicacin de polticas y
configuraciones
Inicios, interrupciones y pausas de Enforcer
Para identificar las acciones que necesitan ser modificadas y volver a analizar los
equipos identificados
1 En la consola, haga clic en Supervisin.
2 En la ficha Registros, seleccione el registro de riesgo y despus haga clic en
Ver registro.
Desde la columna de eventos del registro de riesgos, es posible ver qu sucedi
y qu medida se tom. Desde la columna de nombre de riesgo, es posible ver
los nombres de los riesgos que siguen activos. Desde la columna de usuario
de grupo de dominio, es posible ver a qu grupo pertenece el equipo.
Si un cliente est en peligro porque un anlisis tom la medida Ignorado, es
posible que deba modificar la poltica antivirus y contra software espa para
el grupo. Desde la columna Equipo, es posible ver los nombres de los equipos
que an tienen riesgos activos.
Ver "Configurar las acciones para las detecciones de virus y riesgos de
seguridad conocidos" en la pgina 481.
Si su poltica se configura para utilizar modo de transferencia, se transfiere
a los clientes del grupo en el latido siguiente.
Ver "Especificar el Modo de transferencia o el Modo de obtencin"
en la pgina 380.
3 Haga clic en Atrs.
4 En la ficha Registros, seleccione el registro de estado del equipo y despus
haga clic en Ver registro.
5 Si modific una accin y elimin una nueva poltica, seleccione los equipos
que necesitan volver a analizarse con la nueva configuracin.
6 Desde el cuadro Lista de comandos, seleccione Analizar y despus haga clic
en Iniciar para volver a analizar los equipos.
Es posible supervisar el estado del comando Analizar desde la ficha Estado
del comando.
Un script fall.
La ubicacin del equipo se ha modificado.
Para encontrar los clientes desconectados
1 En la consola, haga clic en Supervisin.
2 En la ficha Registros, del cuadro de lista Tipo de registro, haga clic en Estado
del equipo.
3 Haga clic en Opciones avanzadas.
4 En el cuadro de lista Estado de conexin, haga clic en Desconectado.
5 Haga clic en Ver registro.
De forma predeterminada, aparece una lista de los equipos que han estado
desconectados durante las ltimas 24 horas. La lista incluye el nombre de
cada equipo, la direccin IP y la ltima vez que se registr con su servidor.
Es posible ajustar el intervalo de tiempo para visualizar los equipos
desconectados para cualquier intervalo que desee ver.
Seccin 2
Tareas administrativas
avanzadas
Administrar servidores
Replicar datos
3 En la pgina Administrador, bajo Ver, expanda Sitio local (nombre del sitio)
o expanda Sitios remotos.
4 Seleccione el sitio cuyas propiedades desea editar.
5 En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del
sitio.
6 En el cuadro de dilogo Propiedades del sitio de la ficha General, edite la
descripcin del sitio en el cuadro Descripcin.
Puede utilizar hasta 1024 caracteres.
7 En el cuadro de dilogo Propiedades del sitio de la ficha General, seleccione
un valor, de 5 minutos a Nunca, de la lista Tiempo de espera de la consola.
La configuracin predeterminada es una (1) hora. Cuando se alcanza el perodo
de Tiempo de espera de la consola, se cerrar la sesin del administrador.
8 En el cuadro de dilogo Propiedades del sitio de la ficha General, marque
Eliminar agentes que no se han conectado X da(s).
Puede eliminar a los usuarios que no se han conectado durante un determinado
nmero de das (de 1 a 99999). La configuracin predeterminada se habilita
por un perodo de treinta (30) das.
9 En el cuadro de dilogo Propiedades del sitio de la ficha General, marque
Realizar un seguimiento de cada aplicacin que ejecutan los clientes.
Las aplicaciones aprendidas ayudan a que los administradores realicen un
seguimiento del acceso a la red y el uso de las aplicaciones de un cliente
registrando todas las aplicaciones que se inicien en cada cliente. Es posible
habilitar o deshabilitar el aprendizaje de las aplicaciones para un sitio
especfico. Si esta opcin no se habilita, el seguimiento de aplicaciones no se
realiza para ese sitio. El seguimiento de aplicaciones tampoco se realiza si
est habilitado para los clientes que se conectan al sitio sealado. Esta opcin
funciona como un conmutador principal.
10 En el cuadro de dilogo Propiedades del sitio de la ficha General, seleccione
un servidor de elaboracin de informes de la lista Seleccionar un servidor de
elaboracin de informes.
Esta opcin slo es importante si utiliza una base de datos de Microsoft SQL
que se conecte a varias bases de datos.
11 Haga clic en Aceptar.
280 Administrar un sitio y varios sitios de la compaa
Hacer una copia de respaldo de un sitio
5 Si desea especificar las direcciones IP de los equipos que estn exentos de los
permisos de acceso de la consola, haga clic en Agregar.
Los equipos que se agregan se convierten en excepciones a las cuales se
concede acceso. Se niega el acceso a estos equipos. Si selecciona Acceso
denegado, los equipos que se especifican se convierten en los nicos a los que
se permite el acceso. Cree una excepcin para un solo equipo o un grupo de
equipos.
6 En el cuadro de dilogo Denegar acceso, haga clic en una de las siguientes
opciones:
Equipo individual para un equipo y escriba la direccin IP.
Grupo de equipos para varios equipos y escriba la direccin IP y la mscara
de subred para el grupo.
CN NombreComn
DC ComponenteDominio
L NombreLocalidad
ST NombreEstadoOProvincia
O NombreOrganizacin
OU NombreUnidadOrganizativa
C NombrePas
STREET DireccinCalle
No todos los servidores LDAP admiten todas las opciones. Por ejemplo,
Microsoft Active Directory no admite O.
El orden en el cual se especifican los pares de atributos y valores es importante,
ya que indica la ubicacin de la entrada en la jerarqua de directorios LDAP.
Si durante la instalacin de un servidor de directorios usted especific un
nombre de dominio de tipo DNS, tal como itsupport.sygate.com, es posible
consultar un servidor de directorios. Un nombre de dominio NetBIOS NT
tpico es itsupport.
Para realizar una consulta en ese servidor de Active Directory, especifique
la base de la bsqueda LDAP en este orden:
Esta consulta devuelve todos los nombres de usuario que se inician con la
letra a.
Otro ejemplo representa las organizaciones en las cuales es posible realizar
una bsqueda de directorio estructural, tal como:
Administrar servidores de directorio 295
Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
o=miempresa.com u o=ingeniera.miempresa.com
Es posible especificar una comparacin lgica usando > o < en una cadena de
bsqueda LDAP.
Una consulta LDAP que proporciona ms de 1000 resultados puede fallar.
Asegrese de configurar la base de bsqueda de forma que se informen menos
de 1000 usuarios.
8 Escriba el nombre de la cuenta de usuario LDAP en el cuadro Cuentas
autorizadas.
9 Escriba la contrasea de la cuenta de usuario LDAP en el cuadro Contrasea.
10 Haga clic en Enumerar usuarios para visualizar una lista de usuarios en el
servidor LDAP.
Si se marca Mostrar slo usuarios que no se hayan agregado a ningn grupo,
slo aparecen los usuarios que no se han agregado.
Este proceso puede tardar bastante tiempo, dependiendo del nmero de usuarios.
Una unidad organizativa no se puede poner en ms de un rbol de grupos.
Para importar una unidad organizativa desde un servidor LDAP
1 En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes.
2 En la pgina Clientes, bajo Ver, seleccione el grupo al cual desee agregar la
unidad organizativa o el contenedor.
3 En la pgina Clientes, bajo Tareas, haga clic en Importar unidad organizativa
o contenedor.
4 Elija el dominio.
5 Seleccione la unidad organizativa.
6 Haga clic en Aceptar.
Para iniciar sesin en Symantec Endpoint Protection Manager con RSA SecurID,
el administrador necesita un nombre de inicio de sesin, el token (hardware) y un
nmero de pin. El administrador de seguridad RSA tpicamente asigna el nombre
de inicio de sesin, el token (hardware) y un nmero de pin. El token y el nmero
de pin se deben sincronizar con el nombre de inicio de sesin y deben haberse
activado.
Archivo de almacn de claves JKS (.jks) Ver "Actualizar un certificado JKS con un
asistente" en la pgina 311.
8 En el panel Hacer copia de respaldo del certificado del servidor, haga clic en
Siguiente.
9 En el panel Administrar certificado del servidor, haga clic en Finalizar.
Captulo 21
Administrar bases de datos
En este captulo se incluyen los temas siguientes:
Realizar copia de respaldo de una base de datos cuando sea necesario desde
Symantec Endpoint Protection Manager
Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde
Symantec Endpoint Protection Manager" en la pgina 325.
Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL con el
Asistente para la planificacin del mantenimiento de bases de datos"
en la pgina 321.
Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec
Network Access Control. Proporciona informacin acerca de cmo hacer una copia
de respaldo de una base de datos de Microsoft SQL con la utilidad Symantec
Database Backup and Restore.
respaldo de una base de datos integrada con la utilidad Symantec Database Backup
and Restore.
Para hacer una copia de respaldo de una base de datos integrada desde una consola
de Symantec Endpoint Protection Manager
1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Administrador.
2 En la pgina Administrador, haga clic en Servidores.
3 En la pgina Administrador, debajo de Ver, haga clic en el icono que representa
la base de datos integrada.
4 En la pgina Administrador, debajo de Tareas, haga clic en Hacer copia de
respaldo del sitio ahora.
Se hace la copia de respaldo de todos los datos del sitio, incluida la base de
datos, mediante este mtodo. Es posible comprobar el registro del sistema y
la carpeta de copia de respaldo para conocer el estado durante la copia de
respaldo y despus de ella.
5 Haga clic en Cerrar.
haber realizado una copia de respaldo de la base de datos, sta garantiza que se
conserven todos sus datos de registro. Este procedimiento es muy til si es
necesario conservar sus registros por un perodo relativamente largo, tal como
un ao.
Ubicacin Descripcin
El valor predeterminado es 0.
Replicar registros
Sitio 1 Sitio 2
Replicacin
Replicacin
Sitio 3
Symantec Endpoint
Protection Manager
Base de datos
de MS SQ
Si utiliza una base de datos integrada, es posible conectar solamente una instancia
de Symantec Endpoint Protection Manager a ella debido a los requisitos de
configuracin. Si utiliza una base de datos de MS SQL, es posible conectar varias
instancias de Symantec Endpoint Protection Manager o compartir una base de
datos. Solamente la primera instancia de Symantec Endpoint Protection Manager
necesita configurarse como asociado de replicacin.
Se considera que todos los sitios que se configuran como asociados de replicacin
estn en la misma granja de sitios. Inicialmente, se instala el primer sitio y despus
se instala un segundo sitio como asociado de replicacin. Un tercer sitio se puede
instalar y configurarse para conectarse a cualquiera de los primeros dos sitios.
Es posible agregar tantos sitios como sea necesario a la granja de sitios.
Es posible eliminar asociados de replicacin para detener la replicacin. Es posible
agregar ms tarde ese asociado de replicacin nuevamente para que las bases de
datos sean coherentes. Sin embargo, algunos cambios pueden ser incompatibles.
Ver "Qu opciones se replican" en la pgina 348.
Qu opciones se replican
Cuando se configura la replicacin, las opciones de comunicacin de los clientes
tambin se replican. Por lo tanto, asegrese de que las opciones de comunicacin
sean correctas para todos los sitios en la granja de sitios de la manera siguiente:
Cree opciones de comunicacin genricas de forma que la conexin de un
cliente se base en el tipo de conexin. Por ejemplo, es posible utilizar un nombre
DNS genrico, tal como symantec.com para todos los sitios en una granja de
sitios. Siempre que los clientes se conecten, el servidor DNS resuelve el nombre
y conecta el cliente a la instancia local de Symantec Endpoint Protection
Manager.
Replicar datos 349
Comprender el impacto de la replicacin
Si realiza las siguientes tareas con la replicacin programada para ocurrir cada
hora durante la hora:
Se edita AvAsPolicy1 en el sitio 1 a las 2:00 p. m.
Se edita la misma poltica en el sitio 2 a las 2:30 p. m.
A continuacin, solamente los cambios que se han realizado en el sitio 2 aparecen
despus de que la replicacin se completa, cuando la replicacin ocurre a las 3:00
p. m.
Si uno de los asociados de replicacin est desconectado, el sitio remoto puede
an indicar el estado como conectado.
4 Haga clic en S cuando se le pida que verifique que desea iniciar una
replicacin ahora. El siguiente mensaje aparece:
Replicar registros
Es posible especificar que desea replicar o duplicar los registros adems de la base
de datos de un asociado de replicacin. Es posible especificar la replicacin de
registros agregando asociados de replicacin o editando las propiedades de un
asociado de replicacin. Si planea replicar registros, asegrese de que tiene
suficiente espacio libre en el disco para registros adicionales en todos los equipos
de asociados de replicacin.
Ver "Ver registros de otros sitios" en la pgina 231.
Para replicar registros entre los asociados de replicacin
1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Administrador.
2 En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin.
3 Expanda Asociados de replicacin y seleccione el asociado de replicacin
para el cual desee iniciar la generacin de registros de replicacin.
4 En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del
asociado de replicacin.
5 En el cuadro de dilogo Propiedades del asociado de replicacin, debajo de
Asociado, haga clic en: Replicar registros desde el sitio local al sitio asociado
o Replicar registros desde el sitio asociado al sitio local.
6 Haga clic en Aceptar.
356 Replicar datos
Replicar registros
Captulo 23
Administrar Proteccin
contra intervenciones
En este captulo se incluyen los temas siguientes:
Campo Descripcin
Campo Descripcin
4 Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen
esta configuracin.
5 Haga clic en Aceptar.
Para habilitar y personalizar los mensajes de notificacin de Proteccin contra
intervenciones
1 En la consola, haga clic en Clientes.
2 En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general.
3 En la ficha Proteccin contra intervenciones, haga clic en Mostrar un mensaje
de notificacin al detectar una intervencin.
4 En el cuadro del campo del texto, si desea modificar el mensaje
predeterminado, es posible escribir texto adicional y eliminar texto.
Si utiliza una variable, debe escribirla exactamente como aparece.
5 Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen
esta configuracin.
6 Haga clic en Aceptar.
362 Administrar Proteccin contra intervenciones
Configurar Proteccin contra intervenciones
Seccin 3
Tareas generales de
administracin de polticas
Ejemplos de polticas
Agregar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Editar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
370 Acerca de las polticas
Acerca de las tareas relacionadas con las polticas
Eliminar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Exportar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Asignar S No Antivirus y
proteccin contra
software espa
Firewall
Proteccin de
acceso
LiveUpdate
Excepciones
centralizadas
Proteccin contra
intrusiones
Acerca de las polticas 371
Acerca de las tareas relacionadas con las polticas
Retirar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Reemplazar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
372 Acerca de las polticas
Acerca de las tareas relacionadas con las polticas
Copiar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Agregar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Acerca de las polticas 373
Grupos, herencia, ubicaciones y polticas
Importar S S Antivirus y
proteccin contra
software espa
Firewall
Prevencin de
intrusiones
Integridad del
host
Control de
aplicaciones y
dispositivos
LiveUpdate
Excepciones
centralizadas
Ejemplos de polticas
Por ejemplo, los usuarios remotos utilizan tpicamente DSL e ISDN, para los cuales
puede ser necesaria una conexin VPN. Otros usuarios remotos pueden querer
utilizar el acceso telefnico cuando se conectan a la red de la empresa. Los
empleados que trabajan en la oficina tpicamente utilizan una conexin de
Ethernet. Sin embargo, los grupos de ventas y marketing pueden adems utilizar
conexiones inalmbricas. Cada uno de estos grupos puede necesitar sus propias
polticas de firewall para las ubicaciones desde las cuales se conectan a la red de
la empresa.
Sera aconsejable aplicar una poltica restrictiva con respecto a la instalacin de
aplicaciones no certificadas en la mayora de las estaciones de trabajo de los
empleados para proteger la red de la empresa contra ataques. El grupo de TI puede
necesitar tener acceso a aplicaciones adicionales. Por lo tanto, este grupo puede
necesitar una poltica de seguridad menos restrictiva que los empleados tpicos.
En este caso, es posible crear polticas de firewall diferentes para el grupo de TI.
374 Acerca de las polticas
Ejemplos de polticas
Captulo 25
Administrar la herencia de
un grupo para las
ubicaciones y las polticas
En este captulo se incluyen los temas siguientes:
actualizacin, el cliente pasa a otra ubicacin que sea vlida o utiliza la ubicacin
predeterminada.
Programacin de ubicaciones
Antes de comenzar a agregar ubicaciones, es necesario considerar los tipos de
polticas de seguridad que se necesitan en su entorno. Adems necesita decidir
los criterios que deben definir cada ubicacin.
Las siguientes son algunas de las preguntas que es necesario considerar:
Desde qu ubicaciones se estn conectando los usuarios?
Considere qu ubicaciones necesitan ser creadas y cmo etiquetar cada una.
Por ejemplo, los usuarios pueden conectarse en la oficina, desde su domicilio,
desde un sitio de cliente o desde otro sitio remoto tal como un hotel durante
un viaje. Puede ser necesario agregar ubicaciones adicionales posteriormente
en un sitio grande.
Se debe configurar el Reconocimiento de ubicacin para cada ubicacin?
Cmo quiere identificar la ubicacin si usa el Reconocimiento de ubicacin?
Los criterios de reconocimiento de ubicacin se pueden basar en direcciones
IP, direcciones de servidores WINS, DHCP o DNS, conexiones de red, mdulos
de plataforma de confianza y otros.
Si identifica la ubicacin por la conexin de red, qu tipo de conexin es?
Por ejemplo, la conexin de red puede ser una conexin a Symantec Endpoint
Protection Manager, a una red de acceso telefnico o a una marca determinada
de servidor VPN.
Es posible utilizar uno de los siguientes adaptadores de VPN:
Check Point VPN
Cisco VPN Client versin 3
Cisco VPN Client versin 4
Si utiliza alguno de los adaptadores de VPN mencionados, no es posible aplicar
ninguna condicin que se base en:
Direcciones IP
Intervalos de IP
Direcciones de subred
Mscaras de subred
Quieren que los clientes que se conectan a esta ubicacin utilicen un tipo
especfico de control, tal como control de servidor, control mixto o control del
cliente?
388 Administrar las ubicaciones de un grupo
Habilitar la asignacin automtica de polticas de un cliente
No hay ninguna condicin Seleccione esta opcin de modo que el cliente pueda
especfica elegir esta ubicacin si hay varias ubicaciones
disponibles.
El cliente puede resolver el Seleccione esta opcin de modo que el cliente pueda
nombre del host elegir esta ubicacin si se conecta al nombre de
dominio especificado y direccin de resolucin DNS.
392 Administrar las ubicaciones de un grupo
Agregar la ubicacin de un grupo sin un asistente
El cliente puede conectarse con Seleccione esta opcin de modo que el cliente pueda
el servidor de administracin elegir esta ubicacin si se conecta a la instancia de
Symantec Endpoint Protection Manager
especificada.
Tipo de conexin de red Seleccione esta opcin de modo que el cliente pueda
elegir esta ubicacin si se conecta al tipo
especificado de conexin de red. El cliente pasa a
esta ubicacin al usar una de las siguientes
conexiones:
Cualquier red
Acceso telefnico a redes
Ethernet
Inalmbrico
VPN-1 de Check Point
VPN de Cisco
VPN PPTP de Microsoft
VPN de Juniper NetScreen
VPN de Nortel Contivity
VPN de SafeNet SoftRemote
VPN SSL de Aventail
VPN SSL de Juniper
Cualquier red
Acceso telefnico a redes
Ethernet
Inalmbrico
VPN-1 de Check Point
VPN de Cisco
VPN PPTP de Microsoft
VPN de Juniper NetScreen
VPN de Nortel Contivity
VPN de SafeNet SoftRemote
VPN SSL de Aventail
VPN SSL de Juniper
Cadena
Dword
Binario
Es posible adems especificar sus criterios
como una de las siguientes opciones:
Igual a
No es igual a
Prevencin de intrusiones
Control de aplicaciones y dispositivos
Integridad del host
LiveUpdate
Excepciones centralizadas
Estas polticas pueden ser polticas compartidas o polticas no compartidas.
Todas las tareas generales que es posible realizar en cualquier poltica se
documentan en esta seccin. Cada tarea, en caso de ser pertinente, tiene referencias
apropiadas a las tareas que describen los componentes especficos de cada tipo
de poltica.
Si agrega o edita polticas compartidas en la pgina Polticas, debe adems
asignarlas. Si no, las polticas no se aplicarn.
Haga clic en Crear una nueva poltica. Crea una poltica no compartida.
Haga clic en Usar una poltica Crea una poltica no compartida a partir de
compartida existente. una poltica compartida del mismo tipo
Haga clic en Importar una poltica de Crea una poltica no compartida a partir de
un archivo de polticas. un archivo de formato .dat que fue exportado
previamente.
Para crear una nueva poltica no compartida de una poltica existente en la pgina
Clientes
1 En el asistente para agregar polticas predeterminadas, haga clic en Siguiente.
2 En el cuadro de dilogo Navegador de polticas, seleccione la nueva poltica
de la lista Nueva poltica.
3 Haga clic en Aceptar.
La nueva poltica se ha agregado a la ubicacin y al grupo seleccionados
previamente.
Excepciones centralizadas
para cada sitio. Todas las instancias de Symantec Endpoint Protection Manager
disponibles en ese sitio se agregan a la lista predeterminada de servidores de
administracin con la misma prioridad.
Si agrega varias instancias de Symantec Endpoint Protection Manager con la
misma prioridad, los clientes y los mdulos de Enforcer opcionales pueden
conectarse a cualquier instancia de Symantec Endpoint Protection Manager. Los
clientes balancean automticamente la carga entre las instancias de Symantec
Endpoint Protection Manager disponibles en esa prioridad.
Es posible utilizar el protocolo HTTPS en lugar de la configuracin predeterminada
de HTTP para la comunicacin. Si desea proteger an ms la comunicacin, es
posible personalizar los nmeros de puerto HTTP y HTTPS creando una lista de
servidores de administracin personalizada. Sin embargo, es necesario personalizar
los puertos antes de instalar los clientes. Si no, se pierde la comunicacin entre
el cliente y el servidor de administracin. Si actualiza la versin de Symantec
Endpoint Protection Manager, es necesario volver a personalizar los puertos de
modo que los clientes puedan reanudar la comunicacin.
Despus de que agregue una nueva lista de servidores de administracin, debe
asignarla a un grupo o una ubicacin especfica, o a ambas.
Ver "Asignar una lista de servidores de administracin a un grupo y a una
ubicacin" en la pgina 429.
Para agregar una lista de servidores de administracin
1 En la consola de Symantec Endpoint Protection Manager, haga clic en
Polticas.
2 En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de
polticas > Listas de servidores de administracin.
3 En la pgina Polticas, bajo Tareas, haga clic en Agregar una lista de
servidores de administracin.
4 En el cuadro de dilogo Listas de servidores de administracin, escriba el
nombre de la lista de servidores de administracin que desee agregar en el
cuadro Nombre.
5 En el cuadro de dilogo Listas de servidores de administracin, escriba la
descripcin opcional de la lista de servidores de administracin que desee
agregar en el cuadro Descripcin.
6 En el cuadro de dilogo Listas de servidores de administracin, haga clic en
Agregar.
7 En el cuadro de dilogo Agregar servidor, escriba la direccin IP o el nombre
de host del servidor de administracin en el cuadro Direccin del servidor.
428 Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales
Agregar una lista de servidores de administracin
Buscar aplicaciones
Nota: En algunos pases, es posible que no est permitido por ley local utilizar la
herramienta de aplicaciones aprendidas en ciertas circunstancias, por ejemplo,
para obtener informacin de uso de la aplicacin desde un equipo porttil cuando
un empleado inicia sesin en la red de la oficina desde su domicilio con el equipo
porttil de la empresa. Antes de Su uso de esta herramienta, confirme que el uso
est permitido para sus propsitos en su jurisdiccin. Si no se permite, siga las
instrucciones para deshabilitar la herramienta.
Nota: El cliente no registra informacin sobre las aplicaciones que ejecutan los
clientes de Symantec Network Access Control. La funcin de las aplicaciones
aprendidas no est disponible en la consola si instala slo Symantec Network
Access Control. Si integra Symantec Network Access Control con Symantec
Endpoint Protection, puede utilizar la herramienta de las aplicaciones aprendidas
con las Polticas de integridad del host. Adems, es necesario instalar el mdulo
de proteccin contra amenazas de red y el mdulo de control de aplicaciones y
dispositivos en el cliente para que esta caracterstica funcione.
Nota: Es posible modificar esta opcin solamente para los subgrupos que no
heredan sus polticas y opciones de un grupo principal.
Buscar aplicaciones
Despus de que el servidor de administracin reciba la lista de aplicaciones de los
clientes, es posible realizar consultas sobre los detalles de las aplicaciones. Por
ejemplo, es posible encontrar todos los equipos cliente que utilizan una aplicacin
no autorizada. Es posible entonces crear una norma de firewall para bloquear la
aplicacin en el equipo cliente. O es posible actualizar todos los equipos cliente
para que utilicen la versin ms actual de Microsoft Word.
Es posible buscar una aplicacin de las siguientes maneras:
Por aplicacin.
Es posible limitar la bsqueda a aplicaciones o detalles de aplicaciones
especficos, como el nombre, la huella digital del archivo, la ruta, el tamao,
la versin o la hora de la ltima modificacin.
Por cliente o equipo cliente.
Es posible buscar las aplicaciones que un usuario o un equipo especfico ejecuta.
Por ejemplo, es posible buscar la direccin IP del equipo.
Es posible adems buscar aplicaciones para utilizarlas en una norma de firewall,
directamente dentro de las polticas de firewall.
Ver "Agregar aplicaciones a una norma" en la pgina 574.
Para buscar aplicaciones
1 En la consola, haga clic en Polticas.
2 En la pgina Polticas, bajo Tareas, haga clic en Buscar aplicaciones.
3 En el cuadro de dilogo Buscar aplicaciones, a la derecha del campo Buscar
aplicaciones en, haga clic en Examinar.
Configurar aplicaciones aprendidas 443
Buscar aplicaciones
Configurar Auto-Protect
Acerca de analizar
Acerca de acciones para los virus y los riesgos de seguridad que los anlisis
detectan
Tarea Descripcin
Comprobar que los archivos de Verifica que los equipos infectados tengan los ltimos
definiciones estn al da. archivos de definiciones. Es posible ejecutar informes
para comprobar que los equipos cliente tengan las
ltimas definiciones.
Para actualizar definiciones, realice una de las siguientes
acciones:
Tarea Descripcin
Contar con un plan de copias de En caso de infeccin catastrfica, es posible que necesite
respaldo restaurar equipos cliente. Asegrese de que tiene un
plan de copia de respaldo pensado para restaurar
equipos crticos.
Aislar los equipos infectados Las amenazas combinadas, como los gusanos, pueden
transmitirse a travs de los recursos compartidos sin
necesidad de que intervenga el usuario. Cuando se deba
responder a una infeccin provocada por gusanos
informticos, es fundamental aislar los equipos
afectados desconectndolos de la red.
http://www.symantec.com/es/mx/security_response/
http://www.symantec.com/es/mx/enterprise/security_response/
Configurar el rea de cuarentena local para que enve los archivos infectados
a un servidor de Cuarentena central. Es posible configurar Cuarentena central
para que intente realizar una reparacin. Cuando Cuarentena central intenta
realizar una reparacin, utiliza su grupo de definiciones de virus. Las
definiciones de Cuarentena central pueden estar ms actualizadas que las
definiciones del equipo local. Es posible adems remitir automticamente las
muestras de archivos infectados a Symantec Security Response para realizar
un anlisis.
Consulte la Gua del administrador de la Cuarentena central si desea obtener
ms informacin.
Riesgo Descripcin
Riesgo Descripcin
Riesgo Descripcin
Riesgo Descripcin
Acerca de analizar
Es posible incluir los tipos siguientes de anlisis en una poltica antivirus y contra
software espa:
Anlisis antivirus y de software espa
Anlisis de Auto-Protect
Anlisis definidos por el administrador
Nota: Para ver las exclusiones que el cliente crea, es posible examinar el contenido
de la clave del Registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec
Endpoint Protection\AV\Exclusions. No es necesario editar el Registro
directamente. Es posible configurar cualquier exclusin adicional usando
excepciones centralizadas.
El cliente no excluye las carpetas temporales del sistema de los anlisis, ya que
se originara una importante vulnerabilidad del sistema en el equipo.
Tipo Descripcin
Anlisis rpido Analiza con gran rapidez la memoria del sistema y todas
las ubicaciones tpicas de los virus y riesgos de seguridad.
una extensin propia, es posible especificar una extensin con cuatro caracteres,
como mximo.
En el cuadro de dilogo Editar carpetas, se seleccionan carpetas de Windows, en
lugar de las rutas completas de las carpetas. Los equipos cliente en su red de
seguridad pueden utilizar diversas rutas para estas carpetas. Puede seleccionar
cualquiera de las siguientes carpetas:
COMMON_APPDATA
COMMON_DESKTOPDIRECTORY
COMMON_DOCUMENTS
COMMON_PROGRAMS
COMMON_STARTUP
PROGRAM_FILES
PROGRAM_FILES_COMMON
SYSTEM
WINDOWS
Cuando se analizan carpetas o extensiones de archivo seleccionados, es posible
mejorar el rendimiento del anlisis. Por ejemplo, si usted copia una carpeta grande
que no est en la lista seleccionada de carpetas, el proceso que copia es ms rpido
porque el contenido de la carpeta es excluido.
Es posible excluir archivos de anlisis por tipo de extensin o directorio. Se
excluyen archivos configurando una poltica de excepciones centralizadas que
contenga las exclusiones. Cuando se especifican exclusiones en una poltica, las
exclusiones se aplican en cualquier momento con cualquier anlisis antivirus y
de software espa ejecutado en clientes con esa poltica.
Ver "Configurar una poltica de excepciones centralizada" en la pgina 646.
Cuando se analizan extensiones seleccionadas, el software de cliente no lee el
encabezado del archivo para determinar el tipo de archivo; cuando se analizan
extensiones seleccionadas, el cliente analiza solamente los archivos con las
extensiones que usted especifica.
Advertencia: Como el software de cliente excluye los archivos y las carpetas de los
anlisis, no protege las carpetas y los archivos seleccionados contra virus y riesgos
de seguridad.
386 Controlador
AX Archivo AX
COM Ejecutable
DRV Controlador
EXE Ejecutable
JS Script de Java
JTD Ichitaro
VBS VBScript
Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos
de Troya, gusanos y registradores de pulsaciones" en la pgina 595.
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones
que se utilizan en el procedimiento.
Para modificar la contrasea necesaria para analizar unidades asignadas
1 En la pgina Poltica antivirus y contra software espa, haga clic en Otros.
2 En la ficha Otros, bajo Analizar unidad de red, marque Solicitar una
contrasea antes de analizar una unidad de red asignada.
3 Haga clic en Cambiar la contrasea.
4 En el cuadro de dilogo Configuracin de contrasea, introduzca la nueva
contrasea y vuelva a escribirla para confirmarla.
5 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Nota: La URL tambin aparece en el registro de eventos del sistema para el equipo
cliente en el cual se produce el error.
Para especificar una URL que se debe mostrar en las notificaciones de error de
antivirus y software espa
1 En la pgina Poltica antivirus y contra software espa, haga clic en Otros.
2 En la ficha Notificaciones, seleccione Mostrar mensajes de error con la URL
de una solucin.
3 Seleccione una de las siguientes opciones:
Mostrar el vnculo predeterminado al sitio Web de soporte tcnico de
Symantec
Mostrar el vnculo a una URL personalizada
5 Escriba el texto personalizado que usted desea incluir y haga clic en Aceptar.
6 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones
que se utilizan en el procedimiento.
Para incluir solamente los archivos con extensiones determinadas para anlisis de
Auto-Protect o definidos por el administrador
1 En la ficha Detalles del anlisis, bajo Tipos de archivos, haga clic en Analizar
slo las extensiones seleccionadas.
2 Haga clic en Extensiones seleccionadas.
3 En el cuadro de dilogo Extensiones de archivos, es posible realizar las
siguientes acciones:
Agregar extensiones propias escribindolas y haciendo clic en Agregar.
Quitar cualquier extensin seleccionndolas y despus haciendo clic en
Eliminar.
480 Configuracin bsica de polticas antivirus y contra software espa
Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Para configurar las acciones para las detecciones de virus y riesgos de seguridad
conocidos
1 En la ficha Acciones, bajo Deteccin, seleccione un tipo de virus o riesgo de
seguridad.
De forma predeterminada, cada subcategora de riesgos de seguridad se
configura automticamente para utilizar las acciones establecidas para la
categora entera de riesgos de seguridad.
2 A fin de configurar una situacin especfica de una categora de riesgo de
seguridad para que se efecten acciones diferentes, marque Anular acciones
configuradas para Riesgos de seguridad y, a continuacin, fije las acciones
exclusivas para esa categora.
3 Bajo Acciones para, seleccione la primera y la segunda accin que el software
de cliente toma cuando detecta esa categora de virus o riesgo de seguridad.
Puede bloquear acciones de modo que los usuarios no puedan modificar la
accin en los equipos cliente que utilizan esta poltica.
Para riesgos de seguridad, use la accin de eliminar con precaucin. En algunos
casos, la eliminacin de riesgos de seguridad provoca la prdida de
funcionalidad de algunas aplicaciones.
4 Repita el paso 3 para cada categora a la que desee asignar acciones (virus y
riesgos de seguridad).
5 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Por ejemplo, el hecho de que un usuario descargue una aplicacin o visite pginas
Web puede dar como resultado una infeccin de software espa.
Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente
no pueda interpretar algunos caracteres en los nombres de virus. Si el sistema
operativo no puede interpretar los caracteres, stos aparecen como signos de
interrogacin en las notificaciones. Por ejemplo, algunos nombres de virus en
unicode pueden contener caracteres de doble byte. En los equipos con el cliente
en un sistema operativo en ingls, estos caracteres aparecen como signos de
interrogacin.
NombreDelRiesgoDeSeguridad: Stoned-C
484 Configuracin bsica de polticas antivirus y contra software espa
Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Archivo: C:\Autoexec.bat
Ubicacin C:
Equipo: ACCTG-2
Usuario: JSmith
La Tabla 31-5 describen los campos variables disponibles para los mensajes.
Campo Descripcin
RutaYNombre- Nombre y ruta completa del archivo infectado por el virus o el riesgo
DeArchivo de seguridad.
Campo Descripcin
Cuando se habilita el envo para los procesos, se actualizan los elementos que son
puestos en cuarentena por los anlisis de amenazas proactivos. Cuando se
actualizan los elementos, la ventana Cuarentena indica que las muestras se han
enviado a Symantec Security Response. El software de cliente no notifica a los
usuarios, y la consola de administracin muestra una indicacin cuando se envan
detecciones con otros tipos de acciones. Otros tipos de acciones incluyen el registro
o la finalizacin.
Es posible enviar muestras de cuarentena a Symantec.
Ver "Enviar elementos en cuarentena a Symantec" en la pgina 491.
Nota: Solamente los elementos en cuarentena que son detectados por anlisis
antivirus y de software espa se pueden enviar a un servidor de Cuarentena central.
Los elementos en cuarentena que son detectados por anlisis de amenazas
proactivos no pueden ser enviados.
En el panel izquierdo, bajo Ver clientes, haga clic con el botn secundario
en el grupo para el cual desea habilitar Auto-Protect.
En el panel derecho, en la ficha Clientes, seleccione los equipos y los
usuarios para los cuales desea habilitar Auto-Protect y, despus, haga clic
con el botn secundario en la seleccin.
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones
que se utilizan en los procedimientos.
Para configurar Auto-Protect para el sistema de archivos
1 En la pgina Poltica antivirus y contra software espa, haga clic en
Auto-Protect para el sistema de archivos.
2 En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect
para el sistema de archivos.
3 Bajo anlisis, en Tipos de archivos, seleccione una de las siguientes opciones
Analizar todos los archivos.
Analizar slo las extensiones seleccionadas.
496 Configurar Auto-Protect
Configuracin de Auto-Protect para el sistema de archivos
Los campos variables que usted personaliza para los mensajes y el correo
electrnico de las notificaciones son levemente diferentes. Es posible personalizar
la informacin del cuerpo del mensaje y la informacin del campo de infeccin.
La Tabla 32-1 describe los campos del cuerpo del mensaje de correo electrnico.
Campo Descripcin
Campo Descripcin
Campo Descripcin
Nota: Tenga precaucin cuando configure opciones para notificar a otros usuarios
sobre mensajes de correo electrnico infectados. La direccin del mensaje de
correo electrnico infectado puede ser falsificada. Si enva notificaciones, es
posible que genere correo electrnico no deseado y aumente el trfico de la red.
Configurar opciones de progreso del anlisis para los anlisis definidos por el
administrador
Algunas opciones para los anlisis definidos por el administrador son similares
a las opciones para los anlisis de Auto-Protect. Las opciones similares incluyen
las acciones de deteccin y las notificaciones que usted especifica.
Ver "Configurar las opciones que se aplican a los anlisis antivirus y de software
espa" en la pgina 478.
8 Bajo Tipos de archivos, seleccione Analizar todos los archivos o Analizar slo
las extensiones seleccionadas.
Ver "Configurar anlisis de las extensiones de archivo seleccionadas"
en la pgina 479.
9 En Comprobar lo siguiente para mejorar el anlisis, seleccione Memoria,
Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y
riesgos de seguridad.
10 Haga clic en Opciones de anlisis avanzadas.
11 Configure las opciones para los archivos comprimidos, la migracin del
almacenamiento o la optimizacin del rendimiento.
12 Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis.
13 En la ficha Programacin, bajo Programacin de anlisis, configure la
frecuencia y la hora en las cuales el anlisis se debe ejecutar.
14 En la ficha Acciones, configure las opciones de las acciones.
Ver "Configurar las acciones para las detecciones de virus y riesgos de
seguridad conocidos" en la pgina 481.
15 En la ficha Notificaciones, configure las opciones de notificacin.
Ver "Acerca de los mensajes de notificacin en los equipos infectados"
en la pgina 482.
16 Si desea guardar este anlisis como plantilla, seleccione Guardar una copia
como plantilla de anlisis programado.
17 Haga clic en Aceptar.
Agregar un anlisis programado desde una plantilla
1 En la pgina Polticas antivirus y contra software espa, haga clic en Anlisis
definidos por el administrador.
2 En la ficha Anlisis, bajo Anlisis programados, haga clic en Agregar.
3 En el cuadro de dilogo Agregar anlisis programado, seleccione Crear un
anlisis programado a partir de una plantilla de anlisis programado.
4 Seleccione la plantilla de anlisis que usted desea utilizar para esta poltica.
5 Haga clic en Aceptar.
9 Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis.
10 En la ficha Acciones, configure las opciones de las acciones.
Ver "Configurar las acciones para las detecciones de virus y riesgos de
seguridad conocidos" en la pgina 481.
11 En la ficha Notificaciones, configure las opciones de notificacin.
Ver "Acerca de los mensajes de notificacin en los equipos infectados"
en la pgina 482.
12 Haga clic en Aceptar.
3 Bajo Anlisis al iniciar y anlisis activados, marque o deje sin marcar las
siguientes opciones:
Ejecutar anlisis de inicio cuando los usuarios inicien sesin
Permitir a los usuarios modificar los anlisis de inicio
Ejecutar un anlisis rpido cuando lleguen nuevas definiciones
Equipo cliente
Toda la informacin que entra en la red privada o sale de ella debe pasar a travs
del firewall, que examina los paquetes de informacin. El firewall bloquea los
paquetes que no cumplen con los criterios de seguridad especificados. La manera
en que el firewall examina los paquetes de informacin es con el uso de polticas
de firewall. Las polticas de firewall tienen una o ms normas que trabajan juntas
para permitir o bloquear el acceso de usuarios a la red. Solamente el trfico
autorizado puede pasar. Las polticas de firewall definen el trfico autorizado.
El firewall se ejecuta en segundo plano. Usted determina el nivel de interaccin
que desea que los usuarios tengan con el cliente permitiendo o bloqueando su
capacidad de configurar normas de firewall y opciones del firewall. Los usuarios
pueden interactuar con el cliente solamente cuando les notifica sobre nuevas
conexiones de red y problemas posibles, o puede ser que tengan total acceso a la
interfaz de usuario.
Ver "Acerca de las normas de firewall" en la pgina 527.
526 Configuracin bsica de la proteccin contra amenazas de red
Acerca de trabajar con polticas de firewall
Filtros de trfico inteligentes Permite los tipos de trfico especficos que son obligatorios
en la mayora de las redes, como el trfico DHCP, DNS y
WINS.
Las polticas de firewall se crean y editan de forma similar a otros tipos de polticas.
Puede asignar, quitar, reemplazar, copiar, exportar, importar o eliminar polticas
de firewall.
Se asigna tpicamente una poltica a los grupos varios en su red de seguridad. Es
posible crear una poltica especfica de una ubicacin no compartida si tiene
requisitos especficos para una ubicacin determinada.
Los pasos de este captulo asumen que usted est familiarizado con los
fundamentos de la configuracin de polticas.
Ver "Acerca de la utilizacin de polticas" en la pgina 397.
Una norma que combina todos los criterios puede permitir trfico a la direccin
IP 192.58.74.0 en el puerto remoto 80 todos los das entre las 9 y las 5 P.M.
Host local y remoto El host local es siempre el equipo cliente local, y el host remoto
es siempre un equipo remoto que se coloca en otra parte en la
red. Esta expresin del vnculo del host es independiente de la
direccin del trfico.
Origen Destino
` HTTP
Cliente de Symantec.com
SEP
Destino Origen
` RDP
`
Cliente de
SEP Otro cliente
530 Configuracin bsica de la proteccin contra amenazas de red
Acerca de las normas de firewall
La Figura 34-2 ilustra la relacin del host local y el host remoto con respecto a la
direccin del trfico.
Local Remoto
` HTTP
Cliente Symantec.com
de SEP
Local Remoto
` RDP
`
Cliente
de SEP Otro cliente
Es posible definir varios hosts de origen y varios hosts de destino. Los hosts que
usted define de cualquier lado de la conexin se evalan mediante la instruccin
O. La relacin entre los hosts seleccionados se evala mediante una instruccin
Y.
Por ejemplo, considere una norma que defina un solo host local y varios host
remotos. Como el firewall examina los paquetes, el host local debe coincidir con
la direccin IP relevante. Sin embargo, las caras de oposicin de la direccin pueden
coincidir con cualquier host remoto. Por ejemplo, es posible definir una norma
para permitir la comunicacin HTTP entre el host local y symantec.com,
yahoo.com, o google.com. La norma es igual que tres normas.
Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 568.
Cuando usted define elementos que activan servicios basados en TCP o UDP,
identifica los puertos en ambos lados de la conexin de red descrita.
Tradicionalmente, los puertos se consideran el origen o el destino de una conexin
de red.
Es posible definir la relacin del servicio de red de cualquiera de las siguientes
maneras:
Host local y remoto El equipo host local maneja siempre el puerto local y el equipo
remoto maneja siempre el puerto remoto. Esta expresin del
vnculo del puerto es independiente de la direccin del trfico.
Prioridad Opcin
La lista Normas contiene una lnea divisoria azul. La lnea divisoria configura la
prioridad de las normas en las siguientes situaciones:
Cuando un subgrupo hereda normas de un grupo principal.
Cuando el cliente se configura en control mixto. El firewall procesa normas
del servidor y normas de clientes.
Configuracin bsica de la proteccin contra amenazas de red 533
Acerca de las normas de firewall
Norma 1 Norma 3
Norma 3
Norma 2
Control de servidores El cliente recibe normas del servidor, pero el usuario no puede
verlas. El usuario no puede crear normas de clientes.
Control mixto El cliente recibe normas del servidor. El usuario puede crear las
normas de clientes, que se combinan con normas del servidor
y con la configuracin de seguridad del cliente.
Control de clientes El cliente no recibe normas del servidor. El usuario puede crear
normas de clientes. No es posible ver las normas de clientes.
Para los clientes de control mixto, el firewall procesa las normas del servidor y
las normas de clientes en un orden determinado.
La Tabla 34-3 enumera el orden en que el firewall procesa las normas del servidor,
las normas de clientes y la configuracin de los clientes.
Primer lugar Normas del servidor con los niveles prioritarios (normas
ubicadas sobre la lnea azul en la lista de normas)
Tercer lugar Normas del servidor con los niveles prioritarios ms bajos
(normas ubicadas bajo la lnea azul en la lista de normas)
Advertencia: Si el cliente est en control mixto, los usuarios pueden crear una
norma de cliente que permita todo el trfico. Esta norma anula todas las normas
del servidor ubicadas bajo la lnea azul.
Web hacia el cliente que inici la comunicacin. Una norma debe permitir el trfico
saliente inicial antes de que el firewall registre la conexin.
La inspeccin de estado permite simplificar las bases de normas, dado que evita
la necesidad de crear normas que permitan el trfico en las dos direcciones para
el trfico que normalmente slo se inicia en una direccin. El trfico del cliente
que se inicia normalmente en una direccin incluye Telnet (puerto 23), HTTP
(puerto 80) y HTTPS (puerto 443). Los clientes inician este trfico saliente, de
forma que slo es necesario crear una norma que permita el trfico saliente para
estos protocolos. El firewall permite el trfico de retorno.
Al configurar solamente las normas de salida, se aumenta la seguridad del cliente
de las siguientes maneras:
Se reduce la complejidad de las bases de normas.
Se elimina la posibilidad de que un gusano o cualquier otro programa malicioso
pueda iniciar conexiones con clientes en puertos configurados slo para el
trfico de salida. Tambin puede configurar slo las normas de entrada para
el trfico con los clientes que no haya sido iniciado por ellos.
La inspeccin de estado es compatible con todas las normas que dirigen el trfico
TCP. No es compatible con las normas que filtran el trfico ICMP. Para el trfico
ICMP, se deben crear normas que permitan el trfico en ambas direcciones cuando
sea necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban
respuestas, deber crear una norma que permita el trfico ICMP en ambas
direcciones.
Ya que el firewall tiene estados incluidos, slo se deben crear las normas que
inician una conexin, no las caractersticas de un paquete determinado. Todos
los paquetes que pertenecen a una conexin permitida se permiten implcitamente,
como una parte integral de esa misma conexin.
6 Haga clic con el botn secundario en el campo Aplicacin, haga clic en Editar
y, en el cuadro de dilogo Lista de aplicaciones, defina una aplicacin.
Ver "Agregar aplicaciones a una norma" en la pgina 574.
538 Configuracin bsica de la proteccin contra amenazas de red
Agregar normas vacas
Bloquear
Preguntar
Normas de hosts Norma que se basa en los puntos finales de las conexiones de red.
Normas de servicios Norma que se basa en los protocolos que son utilizados por las
conexiones de red.
Es posible que deba incluir dos o ms criterios para describir el trfico de red
especfico, tal como un protocolo determinado que se origina en un host especfico.
Es necesario configurar la norma despus de agregarla, porque el asistente para
la configuracin de normas no configura nuevas normas con varios criterios.
Cuando se familiarice con cmo se definen y se procesan las normas, puede agregar
normas vacas y configurar los campos segn sea necesario. Una norma vaca
permite todo el trfico.
Ver "Agregar normas vacas" en la pgina 537.
Para agregar normas con el asistente para la configuracin de normas
1 En la consola, abra una poltica de firewall.
Ver "Editar una poltica" en la pgina 404.
2 En la pgina Poltica de firewall, haga clic en Normas.
3 En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma.
4 En el Asistente para la creacin de normas de firewall, haga clic en Siguiente.
5 En la pantalla Seleccionar tipo de norma, seleccione uno de los tipos de
normas.
6 Haga clic en Siguiente.
7 Escriba los datos en cada panel para crear el tipo de norma que seleccion.
8 Para las aplicaciones y los hosts, haga clic en Agregar ms para agregar
aplicaciones y servicios adicionales.
9 Cuando haya terminado, haga clic en Finalizar.
10 En la lista de normas, haga clic con el botn secundario en cualquier campo
para editar la norma.
11 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configuracin bsica de la proteccin contra amenazas de red 541
Agregar normas heredadas de un grupo principal
Nota: Si el grupo hereda todas las polticas de un grupo principal, esta opcin no
est disponible.
Firmas IPS de Symantec Las firmas IPS de Symantec utilizan un motor basado en
secuencias que analiza varios paquetes. Las firmas IPS de
Symantec interceptan datos de red en el nivel de las sesiones
y captura segmentos de los mensajes que pasan de un lado
a otro entre una aplicacin y la pila de red.
Firmas IPS personalizadas Las firmas IPS personalizadas utilizan un motor basado en
paquetes que analiza cada paquete individualmente.
El motor basado en paquetes no detecta las firmas que abarcan varios paquetes.
El motor IPS basado en paquetes es ms limitado porque no almacena coincidencias
parciales y analiza solamente cargas de un solo paquete.
Las firmas basadas en paquetes examinan un solo paquete que coincida con una
norma. La norma especifica un protocolo, un puerto, una direccin IP de origen
o destino, o una aplicacin. Ciertos ataques se inician comnmente contra
aplicaciones especficas. Las firmas personalizadas utilizan normas basadas en
aplicaciones, que se modifican dinmicamente para cada paquete. La norma se
basa en varios criterios, tales como aplicacin, nmero de indicador de tcp, puerto
y protocolo. Por ejemplo, una firma personalizada puede supervisar los paquetes
de informacin que se reciben en busca de la cadena "phf" en GET / cgi-bin/phf?
como indicador de un ataque de un programa CGI. Cada paquete se evala en
busca de ese patrn especfico. Si el paquete de trfico coincide con la norma, el
cliente permite o bloquea el paquete y registra opcionalmente el evento en el
registro de paquetes.
Las firmas pueden ocasionar falsos positivos porque se basan a menudo en
coincidencias con expresiones regulares y cadenas. Las firmas personalizadas
utilizan ambos criterios para buscar cadenas al buscar coincidencias con un
paquete.
De forma predeterminada, el cliente no incluye las firmas personalizadas. Es
posible importar firmas IPS personalizadas preconfiguradas del sitio Web de
Symantec o crear firmas IPS personalizadas. Las firmas personalizadas que usted
crea utilizan la misma sintaxis que las firmas personalizadas preconfiguradas.
Ver "Importar firmas IPS personalizadas preconfiguradas" en la pgina 555.
Ver "Crear firmas personalizadas de IPS" en la pgina 556.
Ver "Configurar las opciones de proteccin contra amenazas de red para el control
mixto" en la pgina 565.
Configurar la prevencin de intrusiones 551
Configurar la prevencin de intrusiones
Nota: Para modificar el comportamiento de una firma IPS personalizada que usted
cree o importe, se edita la firma directamente.
configurar algunos equipos en su red interna que usted desee para propsitos de
prueba.
Es posible configurar una lista de equipos cuyas firmas de ataque no coincidan
con el cliente, o que no busque anlisis de puertos o ataques de negacin de servicio.
El cliente permite todo el trfico saliente y entrante de estos hosts, sin importar
la configuracin y las normas de firewall o las firmas de IPS.
Nota: Es posible tambin configurar una lista de equipos que permita todo el trfico
saliente y entrante a menos que una firma de IPS detecte un ataque. En este caso,
se crea una norma de firewall que permita todos los hosts.
10 Para editar o eliminar los hosts excluidos, seleccione una fila y haga clic en
Editar o Eliminar.
11 Haga clic en Aceptar.
12 Cuando termine de configurar esta poltica, haga clic en Aceptar.
Advertencia: Es necesario est familiarizado con los protocolos TCP, UDP o ICMP
antes de desarrollar firmas de prevencin de intrusiones. Una firma
incorrectamente creada puede daar la biblioteca IPS personalizada y la integridad
de los clientes.
Para crear firmas IPS personalizadas, es necesario realizar los pasos siguientes:
Cree una biblioteca IPS personalizada.
Agregue una firma.
Asigne la biblioteca IPS personalizada a un grupo.
Para crear una biblioteca IPS personalizada
1 En la consola, haga clic en Polticas y en Prevencin de intrusiones.
2 Bajo Tareas, haga clic en Agregar firmas de prevencin de intrusiones
personalizada.
3 En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada,
escriba un nombre y una descripcin opcional para la biblioteca.
El Grupo NetBIOS es un grupo de firmas de muestra con una firma de ejemplo.
Es posible editar el grupo existente o agregar un nuevo grupo.
4 Para agregar un nuevo grupo, en la ficha Firmas de la lista Grupos de firmas,
haga clic en Agregar.
5 En el cuadro de dilogo Grupo de firmas de prevencin de intrusiones, escriba
un nombre de grupo y una descripcin opcional, y haga clic en Aceptar.
El grupo est habilitado de forma predeterminada. Si el grupo de firmas est
habilitado, todas las firmas del grupo se habilitan automticamente. Para
conservar el grupo como referencia pero deshabilitado, desactive la opcin
Habilitar este grupo.
6 Agregue una firma personalizada.
Configurar la prevencin de intrusiones 557
Crear firmas personalizadas de IPS
4 Haga clic con el botn secundario en la lista de firmas y, despus, haga clic
en Pegar.
5 Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
Para hacer que una opcin del cliente est disponible para que los usuarios
la configuren, haga clic en Cliente.
Para configurar una opcin del cliente, haga clic en Servidor.
Dominio DNS
Host DNS
Direccin IP
Intervalo de IP
Direccin MAC
Subred
5 En las tablas Origen y Destino o Local y remota, realice una de las siguientes
tareas:
Para habilitar un grupo de hosts que se haya agregado a travs de la lista
Componentes de polticas, vaya al paso 10.
Ver "Agregar hosts y grupos de hosts" en la pgina 566.
Para agregar un host para la norma seleccionada solamente, haga clic en
Agregar.
Nota: IPv4 e IPv6 son los dos protocolos de nivel de red que se utilizan en Internet.
El firewall bloquea los ataques que viajan con IPv4, pero no con IPv6. Si instala
el cliente en los equipos que ejecutan Microsoft Vista, la lista Normas incluye una
norma predeterminada que bloquea el tipo de protocolo Ethernet IPv6. Si quita
la norma predeterminada, deber crear una norma que bloquee IPv6.
TCP
UDP
ICMP
IP
Ethernet
Las opciones se modifican de acuerdo con el protocolo que usted selecciona.
Para obtener ms informacin, haga clic en Ayuda.
6 Complete los campos apropiados y haga clic en Aceptar.
7 Agregue uno o ms protocolos adicionales, segn sea necesario.
8 Haga clic en Aceptar.
Es posible agregar el servicio a cualquier norma de firewall.
Nota: El cliente no filtra ni detecta trfico de red de los dispositivos PDA (ayudante
personal digital).
Texto adicional que se Firewall Las aplicaciones del cliente intentan acceder
mostrar si la accin para a la red. Esta notificacin est siempre
una norma de firewall es habilitada y no puede deshabilitarse.
Preguntar
Los anlisis antivirus y de software espa dependen sobre todo de firmas para
detectar amenazas conocidas. Los anlisis de amenazas proactivos utilizan la
heurstica para detectar amenazas desconocidas. Los anlisis de procesos
heursticos analizan el comportamiento de una aplicacin o un proceso. El anlisis
determina si el proceso exhibe caractersticas de amenazas, tales como caballos
de Troya, gusanos o registradores de pulsaciones. Este tipo de proteccin se
denomina a veces proteccin contra ataques de da cero.
Es posible configurar el tipo de accin que el cliente efecta cuando detecta tipos
determinados de aplicaciones comerciales. Las detecciones incluyen las
aplicaciones comerciales que supervisan o registran las pulsaciones del teclado
de un usuario o que controlan el equipo de un usuario remotamente. Si un anlisis
detecta un registrador de pulsaciones comercial o un programa de control remoto
comercial, el cliente utiliza la accin configurada en la poltica. Es posible tambin
permitir que el usuario controle las acciones.
Los anlisis de amenazas proactivos tambin detectan los procesos que se
comportan como aplicaciones de publicidad no deseada y software espa. No es
posible configurar cmo los anlisis de amenazas proactivos manejan estos tipos
de detecciones. Si los anlisis de amenazas proactivos detectan publicidad no
deseada o software espa que usted desea permitir en sus equipos cliente, debe
crear una excepcin centralizada.
Ver "Configurar una poltica de excepciones centralizada" en la pgina 646.
La Tabla 37-1 describe los procesos que los anlisis de amenazas proactivos
detectan.
Tarea Descripcin
Asegrese de que Las polticas antivirus y contra software espa incluyen opciones
Symantec administre administradas por Symantec. Estas opciones estn habilitadas de
las detecciones de forma predeterminada. Cuando se habilita esta configuracin,
caballos de Troya, Symantec determina las medidas que se toman para las detecciones
gusanos y de estos tipos de procesos. Symantec tambin determina el nivel
registradores de de sensibilidad que se utiliza para el anlisis.
pulsaciones.
Cuando Symantec administra las detecciones, los anlisis de
amenazas proactivos realizan una accin basada en la forma en
que el anlisis interpreta la deteccin.
El anlisis aplica una de las siguientes acciones a la deteccin:
Tarea Descripcin
Asegrese de que el Verifique que los equipos que producen falsos positivos tengan
contenido de Symantec el ltimo contenido de Symantec. El contenido ms actualizado
est actualizado. incluye informacin sobre procesos que Symantec ha determinado
como falsos positivos conocidos. Estos falsos positivos conocidos
son excluidos de la deteccin del anlisis de amenazas proactivo.
Asegrese de que los Las opciones de envos estn incluidas en la poltica antivirus y
envos estn contra software espa.
habilitados.
Asegrese de que los equipos cliente estn configurados para
enviar informacin automticamente a Symantec Security
Response sobre los procesos detectados por los anlisis de
amenazas proactivos. Estas opciones estn habilitadas de forma
predeterminada.
Cree excepciones para Es posible crear una poltica que incluya excepciones para los
los falsos positivos que falsos positivos que usted detecta. Por ejemplo, es posible que
usted detecta. tenga que ejecutar un determinado proceso o aplicacin en su red
de seguridad. Sabe que es seguro ejecutar el proceso en su entorno.
Si los anlisis de amenazas proactivos detectan el proceso, se
puede crear una excepcin de modo que los anlisis futuros no
detecten el proceso.
las ltimas listas. Si las ltimas listas permiten algunos de los elementos en
cuarentena, el cliente restaura automticamente los elementos.
Adems, los administradores o los usuarios pueden crear excepciones para las
detecciones de amenazas proactivas. Cuando las ltimas excepciones permiten
los elementos en cuarentena, el cliente restaura los elementos.
Los usuarios pueden ver los elementos en cuarentena en la pgina Ver Cuarentena
en el cliente.
El cliente no enva a un servidor de cuarentena central los elementos que los
anlisis de amenazas proactivos ponen en cuarentena. Los usuarios pueden enviar
automticamente o manualmente elementos de la cuarentena local a Symantec
Security Response.
Ver "Enviar elementos en cuarentena a Symantec" en la pgina 491.
Nota: Los usuarios de los equipos cliente pueden modificar las opciones del anlisis
de amenazas proactivo si estn desbloqueadas en la poltica antivirus y contra
software espa. En el equipo cliente, las opciones de anlisis de amenazas proactivo
aparecen bajo Proteccin proactiva contra amenazas.
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones
que se utilizan para los anlisis de amenazas proactivos.
Para especificar la accin y la sensibilidad para los caballos de Troya, los gusanos
o los registradores de pulsaciones
1 En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis
de amenazas proactivo.
2 En la ficha Detalles del anlisis, bajo Analizando, asegrese de seleccionar
Analizar en busca de caballos de Troya y gusanos y Analizar en busca de
registradores de pulsaciones
3 Para cualquier tipo de riesgo, desactive Usar los valores definidos por
Symantec.
596 Configurar anlisis de amenazas proactivos
Configurar la frecuencia del anlisis de amenazas proactivo
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones
que se utilizan en este procedimiento.
Para configurar la frecuencia del anlisis de amenazas proactivo
1 En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis
de amenazas proactivo.
2 En la ficha Frecuencia del anlisis, bajo Frecuencia del anlisis, seleccione
una de las siguientes opciones:
Con la frecuencia de anlisis predeterminada
El software del motor de anlisis determina la frecuencia del anlisis. Esta
opcin es la predeterminada.
Con una frecuencia personalizada de anlisis
Si habilita esta opcin, es posible especificar que el cliente analice los
nuevos procesos cliente cuando los detecta. Es posible tambin configurar
la frecuencia del anlisis.
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones
que se utilizan en este procedimiento.
Para configurar notificaciones para anlisis de amenazas proactivos
1 En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis
de amenazas proactivo.
2 En la ficha Notificaciones, marque Mostrar los resultados en el equipo cliente
cuando hay una deteccin.
3 Es posible habilitar o deshabilitar las siguientes opciones:
Mostrar un mensaje cuando se produzca una deteccin.
Avisar antes de terminar un proceso.
Avisar antes de detener un servicio.
La lista siguiente muestra la jerarqua de componentes para cada uno de los dos
tipos de proteccin:
Condicin Descripcin
Intentos de acceso al registro Permite o bloquea el acceso a los valores del registro de un
equipo cliente.
Se deben realizar varias tareas para crear una Poltica de control de aplicaciones
y dispositivos. Cada una de estas tareas permite ejecutar algunas de las funciones
que se incluyen con Symantec Endpoint Protection.
La secuencia de tareas es la siguiente. Haga clic en un vnculo para ir directamente
a esa tarea.
Crear una poltica de control de aplicaciones y dispositivos
Crear un conjunto de normas de control de aplicaciones
Crear Control de dispositivos
606 Administrar Polticas de control de aplicaciones y dispositivos
Para crear una Poltica de control de aplicaciones y dispositivos
Configuracin Resultado
Despus de crear una nueva poltica, puede crear un conjunto de normas de control
de aplicaciones, o un conjunto de normas de control de dispositivos, o ambos.
Consulte las siguientes secciones:
Ver "Crear un conjunto de normas de control de aplicaciones" en la pgina 608.
Ver "Crear Control de dispositivos" en la pgina 610.
Nota: Recuerde que slo se puede aplicar una poltica de control de aplicaciones
y dispositivos a cada ubicacin. Por lo tanto, su poltica de control de aplicaciones
y dispositivos debe contener el control de la aplicacin y el control de dispositivo
si desea ejecutar ambos tipos de la proteccin.
Modo de prueba
Cuando se crea un conjunto de normas de control de aplicaciones, el modo de
prueba es el predeterminado. En modo de prueba, es posible aplicar la poltica a
dispositivos y generar un registro de control de clientes. El modo de prueba no
modifica el comportamiento de un dispositivo. Examine los registros de control
de clientes para ver si hay errores y haga las correcciones necesarias. Cuando la
poltica funciona correctamente, es posible cambiar al modo de produccin para
implementar el conjunto de normas de control de aplicaciones.
Ver " Modificar un modo del conjunto de normas de control de aplicaciones"
en la pgina 613. para conocer las instrucciones para alternar entre estos dos
modos.
Administrar Polticas de control de aplicaciones y dispositivos 613
Tareas adicionales de las polticas de control de aplicaciones y dispositivos
donde outputfile es el nombre del archivo de texto que contiene las sumas
de comprobacin para todos los archivos ejecutables que se encuentran en
la unidad especificada. El archivo de salida es un archivo de texto
(outputfile.txt).
Lo que sigue es un ejemplo de la sintaxis que utiliza:
checksum.exe cdrive.txt c:\
Este comando crea un archivo que se llama cdrive.txt. Contiene las sumas de
comprobacin y las rutas de los archivos de todos los archivos ejecutables y
DLL que se encontraron en la unidad de C del equipo cliente en el que se
ejecut.
cfca3291df528430fb6b2c526e9a04d0 c:\agent\Export\SPA\Export\SPA\SPA.exe
6abae642541e9cb4d3c2b1370ea29b9a c:\agent\Export\SPA\SPA.exe
213e91bf26f7f100869749b7fa5b0b7f c:\AgentPackage5.0\Global_PUB-CROCKER\
SPA\SPA.exe
0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe
632 Personalizar polticas de control de aplicaciones y de dispositivos
Crear e importar una lista de huellas digitales de archivos
35162d98c2b445199fef95e838feae4b c:\dell\pnp\m\co\HSFCI008.dll
77e4ff0b73bc0aeaaf39bf0c8104231f c:\dell\pnp\m\co\HSFHWBS2.sys
f59ed5a43b988a18ef582bb07b2327a7 c:\dell\pnp\m\co\HSF_CNXT.sys
60e1604729a15ef4a3b05f298427b3b1 c:\dell\pnp\m\co\HSF_DP.sys
4f3ef8d2183f927300ac864d63dd1532 c:\dell\pnp\m\co\HXFSetup.exe
dcd15d648779f59808b50f1a9cc3698d c:\dell\pnp\m\co\MdmXSdk.dll
eeaea6514ba7c9d273b5e87c4e1aab30 c:\dell\pnp\m\co\MDMXSDK.sys
0a7782b5f8bf65d12e50f506cad6d840 c:\dell\pnp\mgmt\drac2wdm.sys
9a6d7bb226861f6e9b151d22b977750d c:\dell\pnp\mgmt\racser.sys
d97e4c330e3c940ee42f6a95aec41147 c:\dell\pnp\n\bc\b57xp32.sys
Obtenga una imagen aprobada del cree una imagen de software que incluya todas las
software aplicaciones que usted desea que los usuarios
utilicen en sus equipos. Utilice esta imagen para
crear una lista de huellas digitales de archivos.
Agregue aplicaciones permitidas Agregue los archivos ejecutables que desea permitir
incluso si no estn en la lista de huellas digitales de
archivos.
Habilite el bloqueo del sistema refuerce el bloqueo del sistema y bloquee las
aplicaciones no aprobadas.
638 Personalizar polticas de control de aplicaciones y de dispositivos
Acerca de la autorizacin de aplicaciones
Crear la huella digital de archivos Es necesario haber creado una huella digital de
archivos que incluya las aplicaciones que se
permiten. Esta lista se puede crear desde una
imagen corporativa que se instale regularmente en
los equipos de los usuarios. Esta lista se crea en un
equipo que ejecute el cliente.
640 Personalizar polticas de control de aplicaciones y de dispositivos
Acerca de la autorizacin de aplicaciones
Agregar una o ms huellas digitales Despus de que usted cree las huellas digitales, debe
de archivos agregarlas al administrador.
Habilitar el bloqueo del sistema Luego, puede habilitar el bloqueo del sistema para
bloquear las aplicaciones que no se incluyen en las
listas de huellas digitales de archivos.
Seccin 7
Configurar excepciones
centralizadas
Nota: Los anlisis antivirus y de software espa incluyen todos los anlisis de
Auto-Protect, anlisis programados, anlisis manuales o anlisis definidos por el
usuario.
Tpicamente, las excepciones son riesgos o procesos que usted desea que el software
cliente excluya del anlisis. Si utiliza excepciones en equipos cliente, es posible
que se reduzca el tiempo del anlisis. Si reduce el tiempo del anlisis, aumenta el
rendimiento del sistema en los equipos cliente.
644 Configurar polticas de excepciones centralizadas
Acerca de las polticas de excepciones centralizadas
Para los anlisis de amenazas proactivos, es posible que desee adems que el
software de cliente detecte un proceso especfico que no se detecta de forma
predeterminada. Es posible crear una excepcin para forzar la deteccin. Cuando
la deteccin aparece en la lista de procesos detectados, puede crear otra excepcin
para especificar una accin para la deteccin.
Nota: Es posible agregar solamente una extensin por vez. Si escribe varios
nombres de extensin en el cuadro de texto Agregar, la poltica trata la entrada
como un solo nombre de extensin.
Para configurar una excepcin centralizada para los anlisis de amenazas proactivos
1 En la pgina Poltica de excepciones centralizada, haga clic en Excepciones
centralizadas.
2 Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo y, a
continuacin, realice una de las siguientes acciones:
Haga clic en Procesos detectados.
Ver "Configurar una excepcin centralizada para un proceso detectado"
en la pgina 651.
Haga clic en Procesar.
Ver "Configurar una excepcin para forzar anlisis de amenazas proactivos
para detectar un proceso" en la pgina 652.
Nota: Los usuarios de los equipos cliente nunca pueden crear las excepciones para
la proteccin contra intervenciones, sin importar la configuracin de la restriccin.
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que
no cumplen las polticas
A continuacin, el cliente verifica que los archivos de firmas del antivirus sean
actuales. Si los archivos del antivirus no son actuales, el cliente extrae e instala
silenciosamente los archivos actualizados.
El cliente ejecuta la comprobacin de integridad del host de nuevo y la aprueba.
Enforcer recibe los resultados y concede el acceso del cliente a la red de la empresa.
En este ejemplo, deben cumplirse los siguientes requisitos:
El servidor de archivos que se utiliza para las actualizaciones de integridad
del host tiene los ltimos archivos instalados. El cliente obtiene aplicaciones
actualizadas del servidor de archivos. Es posible configurar uno o ms
servidores de reparacin que se conecten a la red de la empresa. Desde los
servidores de reparacin, los usuarios pueden copiar o descargar
automticamente las revisiones y las correcciones necesarias para cualquier
aplicacin obligatoria.
Si un servidor de reparacin falla, la reparacin de integridad del host tambin
fallar. Si el cliente intenta conectarse mediante Enforcer, ste bloquea el
cliente si la integridad del host falla. Tiene la opcin de configurar la poltica
de integridad del host de modo que el cliente notifique a Enforcer que la
comprobacin de integridad del host se aprob aunque haya fallado. En este
caso, Enforcer no bloquea el cliente. La informacin sobre la comprobacin de
integridad del host con fallas se asienta en el registro de seguridad del cliente.
El servidor de administracin debe configurarse para enviar las actualizaciones
de la poltica de seguridad automticamente a cualquier equipo que ejecute el
cliente.
Si los parmetros que se definen para polticas de integridad del host no son
correctos, Enforcer no permite que el cliente se conecte a la red de la empresa. El
siguiente mensaje aparece en el cliente:
Si el usuario pasa a una ubicacin con una poltica de integridad del host diferente
y hay una comprobacin de integridad del host en curso cuando se pasa a esa
ubicacin, el cliente detiene la comprobacin que est en curso. Se detienen
tambin los intentos de reparacin, si los requiere la poltica. El usuario puede
recibir un mensaje de tiempo de espera agotado si no hay una conexin de servidor
de reparacin disponible en la nueva ubicacin. Cuando el anlisis se completa,
el cliente rechaza los resultados. A continuacin, el cliente ejecuta inmediatamente
una nueva comprobacin de integridad del host basada en la nueva poltica para
la ubicacin.
Si la poltica es igual en la nueva ubicacin, el cliente mantiene cualquier
configuracin del temporizador de integridad del host. El cliente ejecuta una nueva
comprobacin de integridad del host solamente cuando lo requieren las opciones
de la poltica.
que el cliente ejecute el script de requisito y registre los resultados, pero ignore
los resultados. Es posible permitir que se apruebe la comprobacin de integridad
del host independientemente de si el requisito falla. Un requisito puede aprobarse
incluso si no se cumple la condicin del requisito.
La opcin Permitir que se apruebe el control de la integridad del host aunque este
requisito no se cumpla se habilita en el cuadro de dilogo para un requisito
especfico. Si desea aplicar esta opcin a todos los requisitos, debe habilitar la
opcin en cada requisito por separado. Esta opcin est deshabilitada de forma
predeterminada.
Si habilita la opcin para permitir que la comprobacin de integridad del host se
apruebe incluso si el requisito falla, aparecer el siguiente mensaje en la ventana
del cliente cuando ocurra el evento:
Requisito de antivirus
Requisito de proteccin contra software espa
Requisito de firewall
Requisito de parche
Requisito de Service Pack
Requisito personalizado
Nota: Para obtener informacin sobre estos requisitos de integridad del host, abra
el cuadro de dilogo y despus visualice la ayuda en pantalla.
McAfee AntiVirus
Microsoft ForeFront Client Security
Microsoft Live OneCare AntiVirus
Norton AntiVirus
Panda AntiVirus
Sophos AntiVirus
Symantec AntiVirus Corporate Edition
Trend Micro OfficeScan Corporate Edition
Trend Micro PC-cillin
Si selecciona la opcin Cualquier aplicacin antivirus admitida, cualquiera de las
aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir un
subconjunto de aplicaciones seleccionando cada una y usando la condicin O.
Cuando se especifica informacin del archivo de firmas, es posible elegir una o
ambas opciones para comprobar que el archivo de firmas est actualizado. Si
selecciona ambas, las siguientes condiciones se deben satisfacer para cumplir el
requisito:
Seleccione Comprobar si el archivo de firmas es menor que, y escriba un nmero
de das. Un archivo con fecha anterior al nmero de das especificado est
desactualizado.
Seleccione Comprobar si la fecha del archivo de firmas es, y seleccione: antes
de, despus de, igual a, o no es igual a, y especifique una fecha (mm/dd/aaaa).
Opcionalmente, especifique una hora y minutos; la configuracin
predeterminada es 00:00. La fecha de la ltima modificacin del archivo
determina la antigedad del archivo de firmas.
Firewall en funcionamiento
Es posible seleccionar entre las siguientes opciones:
Cualquier aplicacin de firewall admitida (cualquier aplicacin en la lista)
ISS RealSource Desktop Protector
McAfee Personal Firewall
Microsoft Windows Firewall
Norton Personal Firewall
Protection Agent
Symantec Security Agent
ZoneAlarm
Si selecciona la opcin Cualquier aplicacin de firewall admitida, cualquiera de
las aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir
un subconjunto de aplicaciones seleccionando cada una y usando la condicin O.
Archivo: Comparar la fecha del archivo Especifique una fecha en el formato mm/dd/aaaa.
con Opcionalmente, especifique una hora y minutos.
La configuracin predeterminada es 00:00. Es
posible seleccionar: igual a, no es igual a, antes o
despus.
Archivo: Comparar la versin del Especifique una versin del archivo en el formato
archivo con x.x.x.x donde x representa un nmero decimal a
partir de 0 a 65535. Es posible seleccionar: igual
a, no es igual, menor que o mayor que.
Configurar polticas de integridad del host 689
Requisitos personalizados de integridad del host
Para utilizar la variable combinada Utilice el siguiente ejemplo para utilizar la variable
del registro y el entorno del sistema combinada del valor del registro y el entorno del
sistema:
%SYSTEMDIR%\#HKEY_LOCAL_MACHINE\Software\Symantec\
AppPath#.
Parche: Comparar Service Pack actual Escriba el nmero del Service Pack que desea
con la versin especificada comprobar, por ejemplo 1a. El nmero se limita
a dos caracteres. Es posible comprobar las
siguientes condiciones: igual a, no es igual a,
menor que o mayor que.
Cdigo Idioma
0x0401 rabe
0x0402 Blgaro
0x0403 Cataln
0x0405 Checo
0x0406 Dans
0x0407 Alemn
0x0408 Griego
Cdigo Idioma
0x040B Fins
0x040C Francs
0x040D Hebreo
0x040E Hngaro
0x040F Islands
0x0410 Italiano
0x0411 Japons
0x0412 Coreano
0x0413 Neerlands
0x0415 Polaco
0x0417 Rhaeto-Romance
0x0418 Rumano
0x0419 Ruso
0x041B Eslovaco
0x041C Albans
0x041D Sueco
0x041E Tailands
0x041F Turco
0x0420 Urdu
0x0421 Bahasa
Cdigo Idioma
Registro: La clave del registro existe Especifique un nombre de clave de registro para
comprobar si existe.
Registro: El valor del registro existe Especifique un nombre de clave de registro para
comprobar si tiene el nombre de valor
especificado.
694 Configurar polticas de integridad del host
Requisitos personalizados de integridad del host
Cadena ef4adf4a9d933b747361157b8ce7a22f
Recuerde que la barra diagonal (/), la barra invertida (\) y las comillas (") son
caracteres no vlidos para el nombre del servicio.
UNC \\nombredeservidor\nombrecompartido\nombredir\nombredearchivo
FTP FTP://ftp.nuestroftp.nuestraempresa.com/carpeta/nombredearchivo
HTTP HTTP://www.nuestrawww.nuestraempresa.com/carpeta/nombredearchivo
La forma en que se realiza esta tarea depende del tipo de Enforcer. La siguiente
lista ofrece algunos ejemplos:
Para Gateway Enforcer, es posible configurar el mdulo de Gateway Enforcer
para que reconozca el servidor de reparacin como una direccin IP interna
de confianza.
Para DHCP Enforcer, se establece la configuracin de red de cuarentena en el
servidor DHCP para que permita el acceso al servidor de reparacin.
Para LAN Enforcer, si se usa un conmutador con funcionalidad de VLAN
dinmica, es posible configurar una VLAN con acceso al servidor de reparacin.
Normas de integridad del Muestra los requisitos de integridad del host en la poltica y si
host estn habilitados o no.
DHCP Enforcer Se utiliza para la aplicacin de los clientes que acceden a la LAN.
Recibe una direccin IP dinmica mediante un servidor de
protocolo Dynamic Host Configuration Protocol (DHCP).
Los clientes
solicitan
direcciones IP
Equipo Equipo
externo externo
Este equipo
presenta un error
Enforcer verifica que el
Router porque no ejecuta el
equipo ejecute el cliente y
cliente o no aprueba
cumpla las polticas de
la comprobacin de
seguridad (comprobacin
integridad del host
de integridad del host)
DHCP
Enforcer
Conmutador
Servidor
DHCP de
cuarentena
Servidor
DHCP normal
Para obtener informacin sobre EAP, consulte la RFC 2284 de IETF en la siguiente
URL:
http://www.ietf.org/rfc/rfc2284.txt
Para obtener detalles adicionales sobre el estndar IEEE 802.1x, consulte el texto
sobre este estndar en la siguiente URL:
http://standards.ieee.org/getieee802/download/802.1x-2001.pdf
Nota: Para obtener una nueva direccin IP, el cliente inicia una liberacin y
renovacin de IP en Windows 2000. En el resto de las plataformas, el cliente inicia
una renovacin de IP.
726 Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas
Cmo funciona la configuracin bsica de LAN Enforcer
Opcin Descripcin
Opcin Descripcin
Los usuarios deben iniciar sesin en un equipo cliente que haya autenticado
un usuario anterior.
El equipo cliente no aprob la comprobacin de cumplimiento.
Los usuarios pueden reautenticar el equipo slo si se configur el equipo con un
suplicante integrado. El men contextual del rea del icono de notificacin del
equipo cliente muestra un comando de reautenticacin.
Configurar clientes para utilizar una contrasea para detener el servicio del
cliente
Campo Descripcin
Para que Enforcer haga que el cliente muestre un mensaje, los puertos UDP 137
y 138 deben estar abiertos para transmitir el mensaje.
La mensajera de Windows, tambin llamada Messenger, debe ejecutarse en
sistemas basados en Windows NT (Windows NT 4.0, 2000, XP y Windows Server
2003) para que el equipo muestre mensajes emergentes. Si el cliente se est
ejecutando, no se requiere Mensajera de Windows para mostrar un mensaje
emergente desde el cliente.
Nota: Puede modificar la configuracin solamente para los grupos que no heredan
la configuracin de un grupo principal.
Nombre de Enforcer El nombre del host del equipo de Enforcer que este evento
implica.
Tipo de Enforcer El tipo de Enforcer que este evento implica, ya sea Gateway
Enforcer, DHCP Enforcer o LAN Enforcer.
Host remoto El nombre de host del cliente que este evento implica (si
corresponde).
746 Informes y registros de Enforcer
Acerca de los registros de Enforcer
Autenticado
El identificador nico del cliente (UID) era correcto.
Rechazado
El UID del cliente era incorrecto o no se estaba ejecutando
ningn cliente.
Desconectado
El cliente se desconect de Enforcer o el servicio de Enforcer
se detuvo.
Aprobado
El cliente pas la comprobacin de integridad del host.
Error
El cliente no pas la comprobacin de integridad del host.
Nota: Los registros de trfico estn disponibles en los mdulos Gateway Enforcer
solamente. El contenido depende del filtro de registro de trfico que se configura
en el cuadro de dilogo Configuracin de Gateway Enforcer.
Tipo de Enforcer El nombre del tipo de Enforcer que este evento implica, Gateway
Enforcer, DHCP Enforcer o LAN Enforcer.
Informes y registros de Enforcer 747
Acerca de los registros de Enforcer
Puerto local El puerto TCP o el puerto UDP del destino del paquete.
Nombre de Enforcer El nombre del host del equipo de Enforcer que este evento
implica.
Tipo de Enforcer El tipo de Enforcer que este evento implica, ya sea Gateway
Enforcer, DHCP Enforcer o LAN Enforcer.
Nota: Es posible borrar las entradas de los registros de Enforcer de la consola local
de Enforcer.
Tabla A-1 Parmetros que todos los miembros de Windows pueden utilizar
Parmetro Descripcin
Devuelve 0, -3.
Devuelve 0, -4.
752 Usar la interfaz de lnea de comandos
El servicio del cliente
Parmetro Descripcin
Devuelve 0.
Donde:
tipo_registro es:
smc -runhi Si Symantec Network Access Control est instalado, ejecuta una
comprobacin de integridad del host.
Devuelve 0.
Devuelve 0.
Devuelve 0.
Tabla A-2 Parmetros que los miembros del grupo de administradores pueden
utilizar
Parmetro Descripcin
Parmetro Descripcin
smc -importadvrule Agrega las normas de firewall importadas a la lista del cliente
de normas de firewall existentes.
smc -importadvrule
C:\config\AllowExplorerRule.sar
smc -exportadvrule Exporta las normas de firewall del cliente a un archivo .sar.
smc -exportadvrule
C:\config\AllowExplorerRule.sar
Devuelve 0, -1.
Devuelve 0, -1.
Cdigos de error
El cliente registra los cdigos de error del comando smc en el registro del sistema.
La Tabla A-3 muestra los cdigos de error que el comando smc devuelve cuando
los parmetros obligatorios faltan o no son vlidos.
-2 Parmetro no vlido.
-stop El cliente pide una contrasea antes de que usted o el usuario detengan
el cliente.
-importconfig El cliente pide una contrasea antes de que pueda importar el archivo
de polticas.
-exportconfig El cliente pide una contrasea antes de que pueda exportar el archivo
de polticas.
smc contrasea-parmetro-p
Donde:
parmetro es -stop, -importconfig o -exportconfig.
A informes 264
activadores interrumpido 518
adaptador de red 531 opciones avanzadas para anlisis definidos por
aplicacin 528 el administrador 520
host 529 opciones de progreso del anlisis 518
normas de firewall 527 pospuesto 519
servicio de red 530 registros 264
activadores de hosts seleccin de archivos y carpetas para
normas de firewall 529 analizar 466
activadores de la aplicacin visualizacin de mensaje de aviso en el
normas de firewall 528 cliente 483
actualizacin de clientes 120 anlisis de amenazas proactivo 584
actualizacin de clientes en uno o ms grupos 121 acciones 595
adaptadores. Ver adaptadores de red administracin de detecciones 593
adaptadores de red deteccin forzada 592
activadores 531 excepciones centralizadas 591
adicin a la lista predeterminada 571 nivel de sensibilidad 595
adicin a una norma 572 anlisis de amenazas proactivos
edicin y eliminacin 573 aplicaciones comerciales 596
agrupacin 336 configuracin predeterminada 584
amenazas 261, 524 configuracin predeterminada de Symantec 584
Ver tambin Proteccin contra amenazas de red Cuarentena 590
Ver tambin Proteccin proactiva contra deteccin de procesos 585
amenazas envo de informacin a Symantec 485
combinadas 456 excepciones centralizadas 645, 650
amenazas combinadas 456 falsos positivos 587
Anlisis forzar una deteccin 652
informes 203 frecuencia 596
registros 226 notificaciones 597
anlisis 464 omitir procesos 590
Ver tambin anlisis programados procesos 594
acerca de 459 anlisis definidos por el administrador 511
antivirus y contra software espa Ver tambin anlisis manuales
excepciones centralizadas para 645 Ver tambin anlisis programados
antivirus y software espa 478 anlisis manuales
asignacin de acciones 471 configuracin 516
Auto-Protect 460 ejecucin 517
detenido 519 opciones avanzadas 520
ejecucin manual 517 opciones de progreso del anlisis 518
exclusin de archivos en los anlisis 470 anlisis programados 464
extensiones de archivo recomendadas 468 Ver tambin anlisis
acerca de 464
758 ndice
V
variables en firmas 560
virus 455456
acciones 453
configuracin de acciones 481
sobre las acciones para 471
volver a configurar
Base de datos de Microsoft SQL 330
W
Windows Vista 555