A. Procedimiento de Parchado de Equipos con Actualizaciones Windows.

I. Todas las estaciones de cualquier plataforma de sistema operativo con soporte vigente,
pueden realizar la actualización desde la Nube a través de la opción de Windows Update
nativa de cada sistema operativo todos los días de la semana, previo registro de la
dirección Ip correspondiente con la Oficina de Seguridad Informática. El procedimiento
directo o manual se debe de realizar en todas las estaciones de cualquier Sistema
Operativo Windows con soporte del fabricante Microsoft cada 15 días como mínimo.

II. El despliegue centralizado y automático de parches de seguridad, sin intervención de

personal de TI de cada sede, solo es posible gestionarse a computadoras registradas en
el Directorio Activo de EsSalud, que se enrolan al dominio y reciben la política
correspondiente.

III. Antes de realizar el procedimiento, debe de cerrar todas las aplicaciones de la suite de
Microsoft Office, Adobe y Navegadores de Internet.

IV. Las sedes que aún utilicen sistema operativo Windows Xp pueden desplegar los parches
de Microsoft desde cualquier equipo que tenga el repositorio distribuido Linux Centos que
fue entregado por GCTIC utilizando el protocolo SMB instalado para dicho fin:

Ruta:
Lima: \\172.20.0.166\buzon\Parches XP
Provincias y Sedes de Redes Desconcentradas: \\IP Repositorio Local\ Parches XP

Ejemplo Tumbes:
\\172.27.15.95\buzon\Parches XP

V. Las sedes que utilicen cualquier otro sistema operativo distinto a Windows Xp pueden
desplegar los parches de Microsoft desde cualquier equipo que tenga el repositorio
distribuido Linux Centos que fue entregado por GCTIC utilizando el protocolo SMB instalado
para dicho fin:

Lima: \\172.20.0.166\buzon\Parches
Provincias y Sedes de Redes Desconcentradas: \\IP Repositorio Local\

Ejemplo Tumbes:
\\172.27.15.95\buzon\Parches

VI. En provincias se debe de reemplazar Dirección Ip por la Ip local asignada para el

repositorio distribuido Linux Centos que fue entregado por GCTIC utilizando el protocolo
SMB instalado para dicho fin.

VII. Procedimiento de Parchado a través de WSUS Off Line con los equipos Linux Centos que
fueron entregados por GCTIC:

Sede Central y Complejo Arenales:

\\172.20.0.166\buzon\Parches

a) Seleccionar:

b) Seleccionar todos los casilleros que la aplicación permita marcar en la pestaña

Updating. En la pestaña Control no seleccionar nada.
 Luego Start

c) Para la Sede Central y Complejo Arenales, si el sistema operativo es Windows Xp

Ingresar a: \\172.20.0.166\buzon\Parches XP y realizar exactamente el mismo
procedimiento del punto anterior. Aparecerá una pantalla negra con todas las
actualizaciones de seguridad faltantes en el equipo que comenzarán a instalarse
automáticamente, la pantalla se detiene solo cuando finalizan de instalar todas las
actualizaciones.

Para cualquier otra sede distinta a Sede Central y Complejo Arenales debe seguir
el procedimiento descrito en los literales IV, V y VI del presente manual.

d) Al final reiniciar el equipo.

VIII. Por cada sede hospitalaria en donde exista un rango de direcciones Ip diferente deben de
tener obligatoriamente su repositorio local nuevo de firmas antivirus y parches de
Microsoft, al margen de los repositorios de firmas ya desplegados.

IX. Para implementar un repositorio nuevo distribuido de firmas y parches, debe de descargar
CentOS-6.9-x86_64-minimal.iso desde el siguiente enlace:

http://172.20.0.166/buzon/ISO/Centos/

X. No Utilizar otra distribución. Los volúmenes deben de tener la siguiente estructura:

 / :10GB.
 /boot : 200MB.
 /tmp : 10GB.
 SWAP : 4 GB.
 /respaldo : Resto de espacio en disco.
 B. Procedimiento de Eliminación de Malware

I. Procedimiento con CCleaner

Descargar e instalar CCleaner según se muestra en la imagen siguiente:

http://172.20.0.166/buzon/Ccleaner/

Seleccionar todos los casilleros, menos el último como se aprecia en la

imagen posterior y ejecutar Analizar, Limpiar y Registro:
II. Procedimiento con Sophos Clean
Debe de tener obligatoriamente instalado Sophos Endpoint Security.
La estación debe de tener acceso a Internet.
Esta utilidad utiliza tres motores antivirus en línea: Bit defender, Sophos
ML y Kaspersky.

a) Copiar C:\ProgramData\Sophos\AutoUpdate\Cache\clean64 a
C:\Sophos Clean.
b) Ejecutar SophosClean.exe desde C:\Sophos Clean.
c) Seleccionar Siguiente.

d) Seleccionar Siguiente cuando llegue al 100%.

e) Cerrar.

III. Procedimiento con DrWeb.

Otra alternativa de eliminación de Malware es usar DrWeb, que puede
descargar desde la ruta: http://172.20.0.166/buzon/DrWeb/ y realizar el
mismo procedimiento de envío de muestras descrito en el apartado
correspondiente del presente manual.

a) Configurar de acuerdo a las imágenes siguientes:

b) Identificar la muestra encontrada y escalarla a www.virustotal.com,
tal como se indica en el apartado C. Procedimiento de validación
de muestras.
 c) Una vez concluido la actividad b) anterior, seleccionar Neutralizar.

IV. Procedimiento con ESETOnlineScanner_ESN.exe.

La estación debe de tener acceso a Internet. Descargar desde:
http://172.20.0.166/buzon/ESET%20Online%20Scaner/.

Pasos:

a) Ejecutar.
b) Aceptar la licencia.
c) Sí.
d) Activar la detección de aplicaciones potencialmente indeseables.
e) Ingresar a Configuración Avanzada y configurar de esta manera:
f) Analizar
g) La aplicación procederá a descargar su base de datos de firmas y a
detectar códigos de malware en el equipo.

h) Identificar la muestra encontrada y escalarla a www.virustotal.com,

tal como se indica en el apartado C. Procedimiento de validación
de muestras.
 i) No debe de eliminar la muestra hasta después de cumplir con lo
indicado en el numeral h) anterior.
j) Seleccionar todo
k) Desinfectar todas.

V. Procedimiento con Superantisyware.

a) Instalar Superantisyware:
http://172.20.0.166/buzon/Superantispyware/
b) Configurar de la siguiente manera y seleccionar Complete Scan:

c) Una vez finalizado seleccionar Continue en la siguiente pantalla:

d) Identificar la muestra encontrada y escalarla a www.virustotal.com,
tal como se indica en el apartado C. Procedimiento de validación
de muestras.
VI. Procedimiento con Kaspersky

a) Ejecutar KVRT de http://172.20.0.166/buzon/Kaspersky/

b) Seleccionar Changue parameters y configurar de acuerdo a la

imagen siguiente:
 c) Identificar la muestra encontrada y escalarla a www.virustotal.com,
tal como se indica en el apartado C. Procedimiento de validación
de muestras.
d) Solo una vez concluido el literal c), anterior seleccionar Delete y
Continue.

VII. Procedimiento para restaurar archivos ocultos

Si el usuario reporta que los archivos de la USB están ocultos, se debe
realizar las siguientes acciones indicadas en esta URL:

http://intranet.essalud/portal/modules/mydownloads/singlefile.php?lid=124

VIII. Procedimiento para eliminar malware de la cuarentena

Si el usuario reporta que no se puede eliminar un malware de la
cuarentena, debe de añadir la cuenta del usuario al grupo de
Administradores de Sophos en el equipo anfitrión.

a) Ingresar a la pestaña Administrar de Equipo

b) Ir a Usuarios y Grupos y seleccionar Sophos Administrator
 c) Agregar el usuario local a dicho grupo. Aplicar y Aceptar.

IX. Desinstalar Superantisyware al finalizar todos los procedimientos

anteriores señalados en este manual.

C. Procedimiento de validación de muestras.

a) Si tiene Sophos Endpoint Security correctamente instalado y

actualizado en su estación de trabajo y alguna herramienta que
Usted ha ejecutado encuentra algún malware adicional debe
de validarlo con el portal www.virustotal.com
b) Ingresar a www.virustotal.com
c) Seleccionar Choose File
d) Seleccionar la ruta del archivo sospechoso
Ejemplo:
 e) En tiempo real, el portal conformado por 67 fabricantes de
seguridad revisará el archivo y responderá si es algún tipo de
malware.

f) Cada fabricante que detecta el malware asigna un nombre en

función a su propio análisis. Si la muestra enviada es detectada por
más de un fabricante y al lado de Sophos aparece las imágenes
siguientes debemos continuar con el paso D) siguiente.

D. Procedimiento de escalamiento de muestras de malware.

a) Ingresar a https://secure2.sophos.com/en-us/support/submit-a-sample.aspx

b) Llenar el formulario de la siguiente manera:

c) Los datos del nombre pueden cambiarlos, el resto No.

d) Seleccionar el archivo y enviarlo

e) Finalmente aparece el mensaje de confirmación.

f) Sophos Labs analizará el archivo y en el más breve plazo creará

una nueva identidad que estará disponible en el Endpoint para
eliminar la nueva variante de malware.
E. Todas las herramientas de limpieza indicadas en los literales anteriores
están también disponibles en el volumen /Antimalware de su repositorio
de firmas principal.

F. A fin de brindarles apoyo adicional o absolver cualquier consulta, por favor

sírvase ponerse en contacto con nuestro administrador de la plataforma
de seguridad a nivel de dispositivos finales, Ing. Larry Riega Riega a través
de su cuenta de correo lriega@essalud.gob.pe o el anexo 2364.

Muchas Gracias.