Beruflich Dokumente
Kultur Dokumente
Aviso legal
Copyright 2007 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System y Norton son marcas comerciales o marcas registradas de Symantec Corporation o de sus subsidiarias en los EE. UU. y en otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.mx
Registro y licencias
Si el producto que est implementando requiere ser registrado y/o una clave de licencia, la manera ms rpida y fcil de registrar su servicio es acceder a nuestro sitio de registro y programas de licenciamiento en www.symantec.com/certificate. Tambin puede ir a http://www.symantec.com/techsupp/ent/enterprise.html, seleccionar el producto que desea registrar y desde la pgina principal del producto, seleccionar el vnculo Registro y licencias. Si ha adquirido una suscripcin de soporte, tiene derecho a recibir asistencia tcnica de Symantec por telfono y por Internet. Cuando se ponga en contacto con el servicio de soporte por primera vez, tenga a mano el nmero de licencia que aparece en su Certificado de licencia o el Id de contacto que se genera al registrar el soporte, para que el personal pueda comprobar su autorizacin de soporte. Si no ha adquirido una suscripcin de soporte, pngase en contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener informacin sobre cmo adquirir soporte tcnico de Symantec.
Actualizaciones de seguridad
Para obtener la informacin ms reciente sobre las ltimas amenazas de seguridad y de virus, vaya al sitio Web de Symantec Security Response (antes conocido como SARC) en: http://www.symantec.com/region/mx/avcenter/. Este sitio contiene extensa informacin sobre amenazas de seguridad y de virus, as como las ltimas definiciones de virus. Las definiciones tambin pueden descargarse utilizando la funcin LiveUpdate de su producto.
contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener informacin sobre la renovacin del acuerdo.
Alemn: http://www.symantec.de Espaol: http://www.symantec.com/region/es Francs: http://www.symantec.fr Ingls: http://www.symantec.com Italiano: http://www.symantec.it Neerlands: http:// www.symantec.nl Portugus: http://www.symantec.com/br
http://securityresponse.symantec.com
http://www.symantec.com/region/mx/techsupp/enterprise/index.html
EE.UU., Pacfico Asitico / ingls: http://www.symantec.com/techsupp/bulletin/index.html Europa, Oriente Medio y frica / ingls: http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Alemn: http://www.symantec.com/region/de/techsupp/bulletin/index.html Francs: http://www.symantec.com/region/fr/techsupp/bulletin/index.html Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html
Soporte Tcnico
Nuestro grupo de soporte tcnico global, por ser parte integrante de Symantec Security Response, mantiene centros de soporte en todas partes del mundo. Nuestro papel principal es responder a preguntas especficas sobre caractersticas/funciones de los productos, instalaciones y configuracin, adems de elaborar el contenido de nuestra Base de conocimientos accesible por Internet. Trabajamos en colaboracin con las otras reas funcionales de Symantec para responder a sus preguntas oportunamente. Por ejemplo, trabajamos con Ingeniera de productos, as como con nuestros Centros de Investigacin de Seguridad para suministrar Servicios de alerta y actualizaciones de definiciones de virus cuando hay ataques de virus y alertas de seguridad. Nuestros servicios ms importantes incluyen:
Una gama de opciones de soporte que le dan la flexibilidad de poder seleccionar la amplitud de servicio necesaria para una organizacin de cualquier tamao. Componentes de soporte telefnico y de Web que le proporcionan respuestas rpidas y la informacin ms reciente. Actualizaciones de producto que proporcionan proteccin automtica y actualizada de software. Actualizaciones de contenido para definiciones de virus y firmas de seguridad que le garantizan el ms alto nivel de proteccin. Soporte global de los expertos de Symantec Security Response, disponible las 24 horas del da, 7 das por semana, en todo el mundo, en varios idiomas. Funciones avanzadas tales como el Servicio de alertas de Symantec y el rol de Administrador de cuentas tcnico que suministran respuestas mejoradas y soporte de seguridad proactivo.
Consulte nuestro sitio Web para obtener informacin actualizada sobre los programas de soporte. Para contactarnos Los clientes que tienen un acuerdo de soporte vlido pueden ponerse en contacto con el equipo de Soporte Tcnico por telfono, a travs de la Web en la direccin URL a continuacin o utilizando los sitios de soporte regionales que se indican ms adelante en este documento. http://www.symantec.com/region/mx/techsupp/enterprise/index.html Cuando se ponga en contacto con el personal de Soporte Tcnico, asegrese de tener a mano la siguiente informacin:
Nmero de versin del producto Informacin del hardware Memoria disponible, espacio en disco, informacin sobre el NIC (tarjeta interfaz de red) Sistema operativo Versin y nivel de parche Topologa de la red Router, gateway y direccin IP Descripcin del problema Mensajes de error/archivos de registro Soluciones intentadas antes de ponerse en contacto con Symantec Cambios recientes en la configuracin del software y/o cambios en la red
Informacin general sobre productos (caractersticas, idiomas disponibles, distribuidores en su rea, etc.). Solucin de problemas bsicos, tales como comprobar el nmero de versin del producto. Informacin ms reciente sobre actualizaciones y nuevas versiones de productos. Cmo actualizar su producto. Cmo registrar su producto y/o licencias. Informacin sobre los programas de licenciamiento de Symantec. Informacin sobre seguros de actualizacin y contratos de mantenimiento. Reemplazo de CD y manuales. Actualizacin de su registro de producto para reflejar un cambio de nombre o direccin. Consejos sobre las opciones de soporte tcnico de Symantec.
El sitio Web de Servicio y Soporte de Symantec ofrece extensa informacin de servicio al cliente. Esta informacin tambin se puede obtener llamando al Centro de Servicio al cliente de Symantec. Consulte la seccin "Para contactar el Servicio
y Soporte mundial", que aparece al final de este captulo, para obtener el nmero y las direcciones Web del Servicio al cliente de su rea.
Alemn: www.symantec.de/desupport/ Espaol: www.symantec.com/region/mx/techsupp/ Francs: www.symantec.fr/frsupport/ Ingls: www.symantec.com/eusupport/ Italiano: www.symantec.it/itsupport/ Neerlands: www.symantec.nl/nlsupport/ Portugus: www.symantec.com/region/br/techsupp/ Direccin FTP de Symantec:ftp.symantec.com (para descargar notas tcnicas y los ltimos parches)
Visite el Servicio y Soporte de Symantec en la Web para obtener informacin tcnica y no tcnica sobre su producto. Symantec Security Response :
http://www.symantec.com/region/mx/avcenter/
EE.UU. / ingls: http://www.symantec.com/techsupp/bulletin/index.html Europa, Oriente Medio, frica y Amrica Latina / ingls: http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Alemn: http://www.symantec.com/region/de/techsupp/bulletin/index.html Francs:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Servicio de Atencin al Cliente de Symantec Proporciona informacin y consejos no tcnicos por telfono en los siguientes idiomas: ingls, alemn, francs, italiano y espaol.
Alemania + (49) 69 6641 0315 Austria + (43) 1 50 137 5030 Blgica + (32) 2 2750173 Dinamarca + (45) 35 44 57 04 Espaa + (34) 91 7456467 Finlandia + (358) 9 22 906003 Francia + (33) 1 70 20 00 00 Holanda + (31) 20 5040698 Irlanda + (353) 1 811 8093 Italia + (39) 02 48270040 Luxemburgo + (352) 29 84 79 50 30 Noruega + (47) 23 05 33 05 Sudfrica + (27) 11 797 6639
Suecia + (46) 8 579 29007 Suiza + (41) 2 23110001 RU + (44) 20 7744 0367 Otros pases + (353) 1 811 8093 (slo en ingls)
Symantec Ltd Customer Service Centre Europa, Oriente Medio y frica (EMEA) PO Box 5689 Dubln 15 Irlanda
En Amrica Latina
Symantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo el mundo. Los servicios varan segn los pases e incluyen socios internacionales, representantes de Symantec en las zonas en que Symantec no tiene una oficina. Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte Symantec de su regin. Argentina
Pte. Roque Saenz Pea 832 - Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentina Central telefnica: +54 (11) 5811-3225 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-333-0306
Venezuela
Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanizacin el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela
Central telefnica: +58 (212) 905-6327 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-1-00-2543 Colombia
Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Central telefnica: +57 (1) 638-6192 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 980-915-5241
Brasil
Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, 920 12 andar So Paulo - SP CEP: 04583-904 Brasil, SA Central telefnica: +55 (11) 5189-6300 Fax: +55 (11) 5189-6210 Sitio Web: http://www.service.symantec.com/br Soporte Gold: 000814-550-4172
Chile
Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Central telefnica: +56 (2) 378-7480 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-333-0306
Mxico
Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mxico Central telefnica: +52 (55) 5481-2600
9155 South Dadeland Blvd. Suite 1100, Miami, FL 33156 U.S.A Sitio Web: http://www.service.symantec.com/mx Soporte Gold: Costa Rica: 800-242-9445 Panama: 800-234-4856 Puerto Rico: 800-232-4615
En el Pacfico Asitico
Symantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo el mundo. Los servicios varan segn los pases e incluyen socios internacionales, representantes de Symantec en las zonas en que Symantec no tiene una oficina. Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte Symantec de su regin. Oficinas de Servicio y Soporte AUSTRALIA
Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australia Central telefnica: +61 2 8879 1000 Fax: +61 2 8879 1001 Sitio Web: http://service.symantec.com Soporte Gold: 1800 805 834 gold.au@symantec.com Admin. contratos de soporte: 1800 808 089 contractsadmin@symantec.com
CHINA
Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing 100738 China P.R.C.
Central telefnica: +86 10 8518 3338 Soporte Tcnico: +86 10 8518 6923 Fax: +86 10 8518 6928 Sitio Web: http://www.symantec.com.cn HONG KONG
Symantec Hong Kong Central Plaza Suite #3006 30th Floor, 18 Harbour Road Wanchai Hong Kong Central telefnica: +852 2528 6206 Soporte Tcnico: +852 2528 6206 Fax: +852 2526 2646 Sitio Web: http://www.symantec.com.hk
INDIA
Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai 400051, India Central telefnica: +91 22 652 0658 Soporte Tcnico: +91 22 652 0671 Fax: +91 22 657 0669 Sitio Web: http://www.symantec.com/india
COREA
Symantec Korea 15,16th Floor Dukmyung B/D 170-9 Samsung-Dong KangNam-Gu Seoul 135-741 Corea del Sur Central telefnica: +822 3420 8600 Soporte Tcnico: +822 3452 1610 Fax: +822 3420 8650
Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A. 47400 Petaling Jaya Selangor Darul Ehsan Malasia Central telefnica: +603 7805 4910 Soporte Tcnico: +603 7804 9280 Correo electrnico empresarial: gold.apac@symantec.com N empresarial gratuito: +1800 805 104 Sitio Web: http://www.symantec.com.my
NUEVA ZELANDA
Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nueva Zelanda Central telefnica: +64 9 375 4100 Fax: +64 9 375 4101 Sitio Web de support: http://service.symantec.co.nz Soporte Gold: 0800 174 045 gold.nz@symantec.com Admin. contratos de soporte: 0800 445 450 contractsadmin@symantec.com
SINGAPUR
Symantec Singapore 6 Battery Road #22-01/02/03 Singapur 049909 Central telefnica: 1800 470 0730 Fax: +65 6239 2001 Soporte Tcnico: 1800 720 7898 Sitio Web: http://www.symantec.com.sg
TAIWN
Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwn Central telefnica: +886 2 8761 5800 Soporte corporativo: +886 2 8761 5800 Fax: +886 2 2742 2838 Soporte Gold: 0800 174 045 gold.nz@symantec.com Sitio Web: http://www.symantec.com.tw
Se ha hecho todo lo posible para que la informacin contenida en este documento est libre de errores. Sin embargo, dicha informacin puede estar sujeta a modificaciones. Symantec Corporation se reserva el derecho de realizar dichas modificaciones sin previo aviso.
Contenido
Seccin 1
Captulo 1
Captulo 2
16
Contenido
Captulo 3
Captulo 4
88
Contenido
17
Administrar usuarios y equipos ...................................................... Agregar equipos ..................................................................... Agregar usuarios .................................................................... Eliminar usuarios y equipos ..................................................... Mover usuarios y equipos ........................................................ Acerca de visualizar propiedades del usuario y del equipo .............. Recopilar informacin de usuario .............................................. Filtrar usuarios y equipos ........................................................ Alternar el modo de usuario y de equipo .....................................
89 89 91 91 92 93 93 94 95
Captulo 5
Administrar administradores
Acerca de los administradores ........................................................ 97 Acerca de la administracin de administradores y dominios ................. 98 Tareas del administrador del sistema ............................................... 99 Cambiar el nombre de un administrador ..................................... 99 Modificar la contrasea de un administrador ............................. 100 Editar las propiedades de un administrador ............................... 100 Quitar un administrador ........................................................ 103 Agregar un administrador ...................................................... 103 Tareas del administrador ............................................................. 106 Cambiar el nombre de un administrador ................................... 106 Modificar la contrasea de un administrador ............................. 107 Editar las propiedades de un administrador ............................... 107 Quitar un administrador ........................................................ 110 Agregar un administrador ...................................................... 110 Acerca de los administradores limitados ......................................... 112 Configurar opciones generales de seguridad .............................. 112
Captulo 6
18
Contenido
Captulo 7
138
139 140
142
Captulo 8
Contenido
19
Captulo 9
Captulo 10
Captulo 11
20
Contenido
Aspectos importantes de la elaboracin de informes ......................... Crear informes rpidos ................................................................ Guardar y eliminar los filtros de informes guardados ........................ Acerca de los nombres de filtro duplicados ................................ Imprimir y guardar una copia de un informe ................................... Crear y eliminar informes programados ..........................................
Captulo 12
Captulo 13
Contenido
21
Acerca de la informacin de los informes y el registro de estado del equipo ..................................................................... Acerca de la informacin en los registros e informes de la proteccin contra amenazas de red .................................... Acerca de la informacin en los registros e informes de la proteccin proactiva contra amenazas ............................... Acerca de la informacin en los registros e informes de riesgos ......................................................................... Acerca de la informacin en los registros e informes de anlisis ......................................................................... Acerca de la informacin en los registros e informes del sistema ......................................................................... Acerca de eliminar virus y riesgos de seguridad ................................ Identificar los equipos infectados y en riesgo ............................. Modificar una accin y volver a analizar los equipos identificados .................................................................. Reiniciar los equipos que necesitan un reinicio para finalizar la reparacin .................................................................... Actualizar definiciones y volver a analizar ................................ Acerca de investigar y limpiar los riesgos restantes .................... Eliminar los eventos sospechosos ............................................ Encontrar los clientes desconectados .............................................
256 259 261 262 264 265 267 268 268 269 270 270 271 271
Seccin 2
Captulo 14
Captulo 15
Administrar servidores
Acerca de la administracin de servidores ....................................... 283 Acerca de las contraseas de servidores y de otros fabricantes ............ 284
22
Contenido
Iniciar y detener el servicio de Symantec Endpoint Protection Manager ............................................................................. Conceder o negar acceso a una consola de Symantec Endpoint Protection Manager remota .................................................... Eliminar servidores seleccionados ................................................. Exportar e importar opciones del servidor .......................................
Captulo 16
Captulo 17
Captulo 18
Captulo 19
Contenido
23
Captulo 20
Captulo 21
320
321 325 326 327 329 329 330 332 333 334 335 335 336 336 337
24
Contenido
Acerca de configurar las opciones de administracin de registros de los clientes para las polticas antivirus y contra software espa ............................................................................ Hacer copias de respaldo de los registros para un sitio ................. Acerca de cargar grandes cantidades de datos de registro de clientes ......................................................................... Acerca de administrar eventos de registro en la base de datos ............................................................................ Configurar opciones de mantenimiento de base de datos para los registros ....................................................................... Acerca de uso de la utilidad SQL interactiva con la base de datos integrada ...................................................................... Cambiar los parmetros de tiempo de espera ............................. Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits .......................................................
Captulo 22
Replicar datos
Acerca de la replicacin de datos ................................................... Comprender el impacto de la replicacin ......................................... Qu opciones se replican ........................................................ Cmo se combinan los cambios durante la replicacin ................. Configurar la replicacin de datos ................................................. Agregar asociados de replicacin y programacin ....................... Programar la replicacin automtica y manual ................................ Replicar la base de datos ahora ............................................... Modificar frecuencias de replicacin ........................................ Replicar paquetes de clientes ........................................................ Replicar registros ....................................................................... 345 348 348 349 350 350 352 352 353 354 355
Captulo 23
Seccin 3
Captulo 24
Contenido
25
Grupos, herencia, ubicaciones y polticas ........................................ 373 Ejemplos de polticas ................................................................... 373
Captulo 25
Captulo 26
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales
Acerca de Modo de obtencin y Modo de transferencia ...................... Especificar el Modo de transferencia o el Modo de obtencin .............. Especificar la frecuencia de transfencia de una poltica entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales. ............................................................. Descripcin del latido ............................................................ Utilizar detalles del latido ...................................................... 379 380
Captulo 27
26
Contenido
Captulo 28
Contenido
27
Pegar una poltica compartida en la pgina Poltica .................... 419 Pegar una poltica compartida o no compartida en la pgina Clientes ........................................................................ 420 Convertir una poltica compartida en una poltica no compartida ......................................................................................... 420
Captulo 29
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales
Acerca de los servidores de administracin, la conmutacin por error y el balanceo de carga ............................................................ Lista predeterminada de servidores de administracin ..................... Especificar la lista de servidores de administracin de un grupo .......... Visualizar los grupos y las ubicaciones con listas de servidores de administracin asignadas ...................................................... Agregar una lista de servidores de administracin ............................ Asignar una lista de servidores de administracin a un grupo y a una ubicacin ............................................................................ Editar el nombre de servidor y la descripcin de una lista de servidores de administracin ................................................................. Editar la direccin IP o el nombre de host de un servidor de administracin en una lista de servidores de administracin ..................................................................... Editar protocolos y nmeros de puerto de un servidor de administracin en una lista de servidores de administracin ..................................................................... Reasignar direcciones IP, nombres de host y prioridades en una lista de servidores de administracin .............................................. Reemplazo de una lista de servidores de administracin .................... Copiar y pegar una lista de servidores de administracin ................... Exportar una lista de servidores de administracin ........................... Importar una lista de servidores de administracin ........................... Eliminar una lista de servidores de administracin ........................... Eliminar direcciones IP, nombres de host y prioridades de una lista de servidores de administracin .............................................. 424 424 425 426 426 429 430
430
Captulo 30
28
Contenido
Buscar aplicaciones ..................................................................... 442 Guardar los resultados de una bsqueda de aplicaciones .............. 444
Seccin 4
Captulo 31
Contenido
29
Configuracin del tiempo de desactualizacin de las definiciones ................................................................................... Exhibir una advertencia de definiciones desactualizadas o ausentes ............................................................................. Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa .................................................. Especificar una URL para una pgina principal del navegador ............ Configurar las opciones que se aplican a los anlisis antivirus y de software espa ...................................................................... Configurar anlisis de las extensiones de archivo seleccionadas ................................................................. Configurar anlisis de carpetas seleccionadas ............................ Acerca de excepciones para riesgos de seguridad ........................ Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos .................................................... Acerca de los mensajes de notificacin en los equipos infectados ..................................................................... Personalizar y mostrar advertencias en equipos infectados .......... Enviar informacin sobre anlisis a Symantec ................................. Acerca de la aceleracin de envos ........................................... Configurar opciones de envo .................................................. Administrar los archivos en cuarentena .......................................... Acerca de la configuracin de cuarentena ................................. Especificar un directorio de cuarentena local ............................. Configurar opciones de limpieza automtica .............................. Enviar elementos en cuarentena a un servidor de Cuarentena central ......................................................................... Enviar elementos en cuarentena a Symantec ............................. Configurar acciones ante el arribo de nuevas definiciones ...........
476 476 477 478 478 479 480 481 481 482 483 485 486 487 488 488 488 489 491 491 492
Captulo 32
Configurar Auto-Protect
Acerca de configurar Auto-Protect ................................................. Acerca de los tipos de Auto-Protect ................................................ Habilitar Auto-Protect para el sistema de archivos ........................... Configuracin de Auto-Protect para el sistema de archivos ................. Acerca de anlisis y bloqueo de riesgos de seguridad con Auto-Protect .................................................................. Configurar opciones avanzadas de anlisis y supervisin ............. Acerca del Buscador de riesgos ................................................ Configurar Auto-Protect para correo electrnico de Internet .............. Configurar Auto-Protect para Microsoft Outlook .............................. Configurar Auto-Protect para Lotus Notes ...................................... 493 494 494 495 496 497 498 499 501 502
30
Contenido
Configurar opciones de notificacin para Auto-Protect ...................... Visualizar los resultados de Auto-Protect en los equipos infectados ..................................................................... Adicin de avisos a los mensajes de correo electrnico infectados ..................................................................... Notificar a los remitentes de mensajes de correo electrnico infectados ..................................................................... Notificar a otros usuarios sobre la recepcin de mensajes de correo electrnico infectados ............................................ Configurar notificaciones de progreso para anlisis de Auto-Protect de correo electrnico de Internet .....................
Captulo 33
Seccin 5
Captulo 34
Contenido
31
Agregar normas con el asistente para la configuracin de normas ............................................................................... Agregar normas heredadas de un grupo principal ............................. Importar y exportar normas ......................................................... Editar y eliminar normas ............................................................. Copiar y pegar normas ................................................................ Alteracin del orden de las normas ................................................ Habilitar e deshabilitar normas ..................................................... Habilitar el filtro de trfico inteligente ........................................... Habilitar configuracin de trfico y de ocultacin .............................
Captulo 35
Captulo 36
32
Contenido
Agregar aplicaciones a una norma ................................................. Agregar programaciones a una norma ............................................ Configurar notificaciones de proteccin contra amenazas de red ......... Configurar mensajes de correo electrnico para eventos de trfico .......................................................................... Configurar la supervisin de aplicaciones de red ..............................
Seccin 6
Captulo 37
Captulo 38
Contenido
33
Acerca de los conjuntos de normas de control de aplicaciones .................................................................. Acerca del control de dispositivos .................................................. Acerca de trabajar con polticas de control de aplicaciones y dispositivos ......................................................................... Poltica de control de aplicaciones y dispositivos predeterminada ................................................................... Polticas personalizadas de control de aplicaciones y dispositivos ......................................................................... Antes de crear polticas de control de aplicaciones y dispositivos ........ Para crear una Poltica de control de aplicaciones y dispositivos .......... Crear una poltica de control de aplicaciones y dispositivos .......... Crear un conjunto de normas de control de aplicaciones .............. Crear Control de dispositivos .................................................. Asignar una poltica de control de aplicaciones y dispositivos ................................................................... Comparacin de polticas compartidas y no compartidas ............. Modo de prueba ................................................................... Tareas adicionales de las polticas de control de aplicaciones y dispositivos ......................................................................... Configurar prioridades del Conjunto de normas de control de aplicaciones .................................................................. Modificar un modo del conjunto de normas de control de aplicaciones .................................................................. Deshabilitar una norma en una Poltica de control de aplicaciones y dispositivos ................................................................. Administrar la lista de dispositivos de hardware .............................. Administrar Polticas de control de aplicaciones y dispositivos ........... Editar una Poltica de control de aplicaciones y dispositivos ......... Reemplazar una poltica de control de aplicaciones y dispositivos ................................................................... Copiar una Poltica de control de aplicaciones y dispositivos ................................................................... Exportar una poltica de control de aplicaciones y dispositivos ................................................................... Importar una poltica de control de aplicaciones y dispositivos ................................................................... Retirar una poltica de control de aplicaciones y dispositivos ................................................................... Eliminar una poltica de control de aplicaciones y dispositivos ................................................................... Ver el historial de cambios de la poltica de control de aplicaciones y dispositivos .................................................................
602 603 603 604 604 604 605 607 608 610 611 612 612 613 613 613 614 615 616 617 618 619 621 622 622 623 624
34
Contenido
Captulo 39
Captulo 40
Seccin 7
Captulo 41
Contenido
35
Configurar una excepcin centralizada para los anlisis de amenazas proactivos ....................................................... Configurar una excepcin centralizada para la proteccin contra intervenciones ............................................................... Configurar restricciones de clientes para las excepciones centralizadas ....................................................................... Crear excepciones centralizadas de eventos de registro ..................... Agregar una excepcin centralizada para eventos de riesgo .......... Agregar una excepcin centralizada para eventos de proteccin proactiva contra amenazas ............................................... Agregar una excepcin centralizada para eventos de Proteccin contra intervenciones .....................................................
Seccin 8
Captulo 42
36
Contenido
Configurar requisitos de integridad del host .................................... Agregar, editar o eliminar requisitos de integridad del host .......... Habilitar o deshabilitar requisitos de integridad del host ............. Modificar la secuencia de requisitos de integridad del host ........... Copiar y pegar requisitos de integridad del host ......................... Exportar e importar requisitos de integridad del host .................. Importar requisitos de integridad del host desde plantillas ........... Requisitos predefinidos de integridad del host ................................. Requisitos personalizados de integridad del host .............................. Crear un requisito personalizado de integridad del host ............... Uso del editor de requisitos personalizados ............................... Opciones de antivirus en un requisito personalizado de integridad del host ........................................................................ Opciones de proteccin contra software espa en un requisito personalizado de integridad del host .................................. Opciones de firewall en un requisito personalizado de integridad del host ........................................................................ Opciones de archivo en un requisito personalizado de integridad del host ........................................................................ Opciones del sistema operativo en un requisito personalizado de integridad del host .......................................................... Identificadores de idioma del sistema operativo ......................... Opciones de registro en un requisito personalizado de integridad del host ........................................................................ Comprobar si un proceso o un servicio est ejecutndose en un requisito personalizado de integridad del host ..................... Ejecutar una opcin de programa en un requisito personalizado de integridad del host ...................................................... Ejecutar una opcin de script en un requisito personalizado de integridad del host .......................................................... Registrar una opcin de mensaje en un requisito personalizado de integridad del host ...................................................... Comprobar una marca de hora en un requisito personalizado de integridad del host .......................................................... Opciones del cuadro de mensaje en un requisito personalizado de integridad del host ...................................................... Especificar la opcin de espera en un requisito personalizado de integridad del host .......................................................... Opciones para reparacin de integridad del host .............................. Configurar la cancelacin de la reparacin de integridad del host ............................................................................. Configurar el tiempo que se esperar la reparacin de integridad del host ........................................................................
675 676 677 678 678 679 679 680 681 681 683 685 686 687 688 690 691 693 695 695 696 697 697 698 699 700 700 700
Contenido
37
Acerca de la restauracin de aplicaciones y archivos para integridad del host .......................................................... Permitir que los usuarios pospongan una reparacin de integridad del host ........................................................................ Reparacin de integridad del host y configuracin de Enforcer ....................................................................... Administrar polticas de integridad del host .................................... Aplicar polticas de integridad del host ..................................... Ver informacin acerca de polticas de integridad del host ........... Editar polticas de integridad del host ...................................... Reemplazar polticas de integridad del host ............................... Alternar polticas de integridad del host ................................... Copiar polticas de integridad del host ...................................... Exportar polticas de integridad del host ................................... Importar polticas de integridad del host .................................. Retirar polticas de integridad del host ..................................... Eliminar polticas de integridad del host ................................... Ver el historial de cambios de la poltica de integridad del host .............................................................................
700 701 703 704 704 705 705 706 707 707 708 709 710 710 711
Captulo 43
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas
Acerca de los mdulos de Enforcer de Symantec ............................... Diferentes tipos de mdulos de Enforcer ......................................... Enforcer y las comprobaciones de la integridad del host .................... Informacin que verifica el mdulo Enforcer ................................... Comunicacin entre un mdulo de Enforcer y un servidor de administracin ..................................................................... Comunicacin entre un mdulo de Enforcer y los clientes .................. Descripcin de Gateway Enforcer .................................................. Cmo funciona Gateway Enforcer .................................................. Descripcin general de DHCP Enforcer ........................................... Cmo funciona DHCP Enforcer ..................................................... Descripcin de LAN Enforcer ........................................................ Acerca de la autenticacin 802.1x .................................................. Cmo funciona LAN Enforcer ....................................................... Cmo funciona la configuracin bsica de LAN Enforcer .................... Cmo funciona el modo transparente de LAN Enforcer ...................... Usar la autenticacin 802.1x ......................................................... Acerca de la reautenticacin en el equipo cliente ........................ Compatibilidad con productos de aplicacin de otros proveedores ........................................................................ 714 714 715 716 716 717 717 718 719 720 721 722 724 726 726 727 730 731
38
Contenido
Captulo 44
Captulo 45
Apndice A
Contenido
39
ndice
40
Contenido
Seccin
Descripcin general de Symantec Endpoint Protection Manager Introduccin a la proteccin bsica Revisar su estructura de organizacin para la seguridad Configurar su estructura de organizacin Administrar administradores Trabajar con paquetes de instalacin de clientes Actualizar definiciones y contenido Configurar mecanismos de notificacin de comunicaciones Limitar el acceso de usuarios a las funciones de clientes Fundamentos de la elaboracin de informes Ver y configurar informes Ver y configurar registros y notificaciones Usar Supervisin e Informes para asegurar la red
42
Captulo
Acerca de este documento Comprender la Consola de Symantec Endpoint Protection Manager Cmo se organiza la Consola de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
44
Las organizaciones que deciden hacer un ajuste adicional para requisitos particulares deben consultar los captulos de Tareas administrativas avanzadas en la Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control. Deben adems consultar las opciones descritas ms tarde en este documento. La Tabla 1-1 describe la organizacin de las secciones del documento, quin debe leer cada seccin y una descripcin del contenido. Tabla 1-1 Seccin
Seccin 1: Tareas administrativas bsicas
Seccin 2:
Tareas administrativas avanzadas Incluye administracin de varios sitios, administracin de servidores de varios tipos, replicacin de datos de un sitio a otro y administracin de Proteccin contra intervenciones. Seccin 3: Para todos.
Tareas generales de administracin Incluye una descripcin de las polticas de todos los de polticas tipos, los conceptos de herencia y de ubicaciones, y el uso de aplicaciones incorporadas. Seccin 4: Para todos.
Configurar la proteccin antivirus Incluye configuracin de polticas antivirus y contra y contra software espa software espa, configuracin de Auto-Protect y configuracin de anlisis definidos por el administrador. Seccin 5: Configurar la proteccin contra amenazas de red Para los que necesitan configurar firewalls. Las opciones predeterminadas generalmente son suficientes, pero quienes tienen una comprensin detallada de redes pueden ajustar su configuracin aqu.
Descripcin general de Symantec Endpoint Protection Manager Comprender la Consola de Symantec Endpoint Protection Manager
45
Seccin
Seccin 6:
Audiencia
Para los que necesitan ir ms all de las tecnologas de proteccin antivirus, contra software espa, de Configurar la proteccin proactiva prevencin de intrusiones y de firewall. contra amenazas Utiliza la heurstica para detectar amenazas desconocidas. Seccin 7: Configurar excepciones centralizadas Para organizaciones ms grandes. Incluye informacin sobre cmo configurar excepciones para los anlisis antivirus y de software espa, los anlisis de amenazas proactivos y los anlisis de Proteccin contra intervenciones. Componente opcional.
Seccin 8:
Tareas de Network Access Control Network Access Control incluye el dispositivo e integridad del host Enforcer. Esta seccin describe cmo configurar el appliance para mantener los puntos finales que no cumplen fuera de la red. Tambin incluye la configuracin de polticas de integridad del host para asegurar el cumplimiento de los puntos finales con la poltica de seguridad. Apndice A: Usar la interfaz de lnea de comandos Para todos. Enumera los parmetros de servicio de clientes que es posible utilizar con el comando smc.
46
Descripcin general de Symantec Endpoint Protection Manager Comprender la Consola de Symantec Endpoint Protection Manager
del sistema para una Consola remota. Es posible adems iniciar sesin en la Consola de Symantec Endpoint Protection Manager localmente, usando el equipo en el cual Symantec Endpoint Protection Manager est instalado. Muchos administradores inician sesin remotamente y pueden hacer las mismas tareas que los administradores que inician sesin localmente. Usted inici sesin localmente cuando instal Symantec Endpoint Protection. Para iniciar sesin remotamente, es necesario saber la direccin IP o el nombre de host de Symantec Endpoint Protection Manager. Debe adems asegurarse de que las opciones de Internet del navegador Web permitan que se vea el contenido del servidor en el que se va a registrar. Qu es posible ver y hacer desde la Consola de Symantec Endpoint Protection Manager depende del tipo de administrador que usted sea. Es posible iniciar sesin como administrador del sistema, administrador o administrador limitado. Un administrador del sistema tiene privilegios completos a travs de todos los dominios. Un administrador tiene privilegios que se limitan a un dominio especfico. Un administrador limitado tiene un subconjunto de los privilegios de administrador y adems est limitado a un dominio especfico. Si usted es la persona que instal Symantec Endpoint Protection Manager, usted es administrador del sistema. Si otro usuario instal el administrador, su estado puede ser diferente. Si es as, debe leer el material en el vnculo que sigue. La mayora de las organizaciones, sin embargo, no necesitan ocuparse de los dominios o el estado de administrador limitado. La mayora de los administradores en organizaciones ms pequeas inician sesin como administrador del sistema. Ver "Acerca de los administradores" en la pgina 97.
Descripcin general de Symantec Endpoint Protection Manager Comprender la Consola de Symantec Endpoint Protection Manager
47
Abra un navegador Web y escriba la direccin siguiente en el cuadro de direccin: http://nombre de host:9090 donde nombre de host es el nombre de host o la direccin IP de Symantec Endpoint Protection Manager. De forma predeterminada, la Consola de Symantec Endpoint Protection Manager utiliza el nmero de puerto 9090, pero es posible modificarlo manualmente en el servidor de administracin.
Cuando se vea la pgina Web de la Consola de Symantec Endpoint Protection Manager, haga clic en el vnculo para visualizar la pantalla de inicio de sesin. El equipo desde el cual usted inici sesin debe tener el entorno Java 2 Runtime Environment (JRE, Java Runtime Environment) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE. El equipo debe adems tener Active X y generacin de script habilitados.
Cuando usted inicia sesin, es posible ver otro mensaje que advierte de una discordancia del nombre de host. Si aparece este mensaje, en respuesta a la indicacin, haga clic en S. Este mensaje significa que la URL de la Consola de Symantec Endpoint Protection Manager remota que usted especific no coincide con el nombre del certificado de Symantec Endpoint Protection. Este problema ocurre si se inicia sesin y se especifica una direccin IP en lugar del nombre del equipo de la Consola de Symantec Endpoint Protection Manager.
En la ventana de la descarga de Symantec Endpoint Protection Manager que aparece, haga clic en el vnculo para descargar Symantec Endpoint Protection Manager. Haga clic en S o No segn lo deseado cuando se le consulte si desea crear accesos directos de escritorio y del men de inicio. Ambas son opciones aceptables.
En la ventana de inicio de sesin de la Consola de Symantec Endpoint Protection Manager que se visualiza, escriba su nombre de usuario y contrasea. Si este inicio de sesin es su primer inicio de sesin de Symantec Endpoint Protection despus de la instalacin, escriba el nombre de cuenta: admin. A continuacin, escriba la contrasea que usted configur cuando instal el producto.
48
Descripcin general de Symantec Endpoint Protection Manager Comprender la Consola de Symantec Endpoint Protection Manager
Si su red tiene solamente un dominio, omita este paso. Si su red tiene varios dominios, en el cuadro de texto Dominio, escriba el nombre del dominio en el cual desee iniciar sesin. Si el cuadro de texto Dominio no se ve, haga clic en Opciones>>. Que el cuadro de texto Dominio sea visible depende de su estado la vez ltima que usted inici sesin.
Haga clic en Iniciar sesin. Es posible recibir uno o ms mensajes de advertencia de seguridad al iniciar la Consola de Symantec Endpoint Protection Manager remota. De ser as, haga clic en S, Ejecutar, Inicio, o su equivalente y contine hasta que se visualice la Consola de Symantec Endpoint Protection Manager.
Para modificar el nmero de puerto que se utiliza para los inicios de sesin de la Consola de Symantec Endpoint Protection Manager remota
En el servidor de administracin, abra el archivo unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\server.xml con WordPad o un editor similar. No utilice el Bloc de notas. En el archivo que usted abri, busque el elemento <Service name="SCM">. Localice el subelemento <Connector acceptCount> que tiene el atributo de puerto igual a 9090. El elemento <Service name="SCM"> contiene ms de un subelemento <Connector acceptCount>.
2 3
4 5
Cambie el 9090 en el atributo port=9090 por el nmero de puerto que desee utilizar para los inicios de sesin remotos. Guarde y cierre el archivo server.xml.
1 2
Desde el men Inicio de Windows, seleccione Programas>SymantecEndpoint Protection Manager > Consola de Symantec Endpoint Protection Manager. En la pantalla de inicio de sesin de la Consola de Symantec Endpoint Protection Manager, escriba su nombre de usuario y contrasea. Si este inicio de sesin es el primer inicio de sesin en Symantec Endpoint Protection despus de la instalacin, escriba el nombre de cuenta (admin) y la contrasea que usted configur durante la instalacin.
Descripcin general de Symantec Endpoint Protection Manager Cmo se organiza la Consola de Symantec Endpoint Protection Manager
49
Si su sistema tiene solamente un dominio, vaya al paso 4. En el cuadro de texto Dominio, escriba el nombre del dominio en el cual desee iniciar sesin. Si el cuadro de texto Dominio no se ve, haga clic en Ms opciones>>. Que el cuadro de texto Dominio sea visible depende de su estado la vez ltima que usted inici sesin.
50
Descripcin general de Symantec Endpoint Protection Manager Cmo se organiza la Consola de Symantec Endpoint Protection Manager
Figura 1-1
Barra de navegacin
Nota: Los administradores del sistema y los administradores limitados pueden ver pocas opciones, dependiendo de los permisos que se asignan a sus cuentas.
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
51
La pgina principal, la pgina Supervisin y la pgina Informes proporcionan las funciones de elaboracin de informes que se utilizan para supervisar la seguridad de su red. La pgina Polticas, la pgina Clientes y la pgina Administrador se utilizan para configurar y administrar su poltica de seguridad de red. La Tabla 1-2 enumera cada icono de la barra de navegacin y describe las funciones a las cuales conecta. Tabla 1-2 Etiqueta
Pgina principal
Supervisin Muestra los registros de supervisin. Es posible adems utilizar estas pginas para ver y configurar notificaciones, y para supervisar el estado de los comandos. Informes Muestra los informes. Tiene una variedad de informes rpidos predefinidos y personalizables, e informes programados configurables. Muestra las polticas para cada tipo de polticas. Utilice esta pgina para administrar sus polticas. Muestra la informacin de polticas para los clientes y los grupos. Utilice esta pgina para administrar las polticas que se transfieren a los clientes a travs de paquetes de instalacin.
Polticas
Clientes
La pgina Principal
La pgina Principal muestra informacin general del estado de seguridad e informacin de resumen de definiciones de virus. Si tiene Symantec Endpoint Protection instalado, su pgina principal muestra informacin sobre la seguridad de su red. Si ha instalado Symantec Network Access Control solamente, su pgina
52
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
principal muestra informes generados automticamente sobre el estado de cumplimiento de su red. La pgina principal de Symantec Endpoint Protection contiene las secciones siguientes:
Estado de seguridad Resumen de acciones por cantidad de detecciones Ataques, Detecciones o Infecciones por hora: ltimas 24 horas Resumen del estado, incluidas las notificaciones no reconocidas de las ltimas 24 horas Distribucin de definiciones de virus o Firmas de prevencin de intrusiones Informacin y vnculos de Security Response Resumen de aplicaciones en observacin Informes favoritos
Ver "Usar la pgina principal de Symantec Endpoint Protection" en la pgina 171. La pgina principal de Symantec Network Access Control contiene las secciones siguientes:
Error en el estado de cumplimiento de la red Distribucin del estado de cumplimiento Resumen de clientes por error de cumplimiento Detalles del error de cumplimiento
Ver "Usar la pgina principal de Symantec Network Access Control" en la pgina 181.
Estado de seguridad
El estado de seguridad es Bueno o Se necesita atencin. Si el estado es Se necesita atencin, es posible hacer clic en el icono de X rojo o en el vnculo Ms detalles para obtener ms informacin. Es posible hacer clic en el vnculo Preferencias a la derecha para configurar los umbrales que definen un estado de seguridad Se necesita atencin. Ver "Configurar umbrales de estado de seguridad" en la pgina 185.
Informes favoritos
De forma predeterminada, la seccin Informes favoritos de la pgina principal contiene los informes siguientes:
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
53
Principales fuentes de ataque Correlacin principal de detecciones de riesgos Distribucin de amenazas proactiva
Es posible hacer clic en el icono del signo ms a la derecha de Informes favoritos para modificar qu informes aparecen en esta seccin de la pgina principal. Ver "Configurar Informes favoritos en la pgina principal" en la pgina 178.
La pgina Supervisin
Utilice la pgina Supervisin para visualizar informacin de registros, para ver y configurar notificaciones, y para ver el estado de los comandos. Esta pgina contiene los registros y las notificaciones que los administradores pueden utilizar para supervisar sus redes. La pgina Supervisin contiene las fichas siguientes:
Resumen Si tiene Symantec Endpoint Protection instalado, hay varias vistas de resumen para elegir. Es posible optar por ver Antivirus y proteccin proactiva contra amenazas, Proteccin contra amenazas de red, Cumplimiento o Estado del sitio. Si ha instalado Symantec Network Access Control solamente, despus la ficha Resumen muestra la informacin de Estado del sitio. Si ha instalado Symantec Network Access Control solamente, la informacin de Cumplimiento aparece en la pgina principal. Ver "Usar la ficha Resumen de Supervisin" en la pgina 226. Registros Los registros presentan informacin detallada que se recoge de sus productos de seguridad. Registros contiene datos de eventos de los servidores de administracin y de los clientes. Es posible adems realizar acciones desde algunos de los registros. Algunos administradores prefieren supervisar su red principalmente usando registros. Ver "Acerca de tipos, contenido y comandos de registros" en la pgina 220. Estado del comando La ficha Estado del comando muestra el estado de los comandos que se han ejecutado desde la Consola de Symantec Endpoint Protection Manager y sus detalles. Ver "Ejecutar comandos y acciones de registros" en la pgina 235. Notificaciones Una notificacin es un mensaje que advierte sobre potenciales problemas de seguridad en su red. Es posible configurar muchas clases diferentes de eventos
54
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
para activar una notificacin. Las notificaciones en la ficha Notificaciones se dirigen a los administradores, no a los usuarios. Ver "Usar notificaciones" en la pgina 244.
La pgina Informes
Utilice la pgina Informes para obtener descripciones amplias del estado de seguridad en su red. Los informes son instantneas grficas de los eventos que suceden en su red y estadsticas sobre los eventos. Es posible utilizar los filtros en la pgina Informes para elaborar informes predefinidos o personalizados. Los informes predefinidos se encuentran en la ficha Informes rpidos. En la ficha Informes programados, es posible programar informes que se ejecuten en intervalos regulares y enviarlos por correo electrnico a usted mismo o a otros usuarios. Ver "Acerca de los informes" en la pgina 192.
La pgina Polticas
Utilice la pgina Polticas para administrar la aplicacin de polticas de seguridad, la comprobacin de integridad del host y la reparacin automatizada para todos los clientes. Los clientes se conectan al servidor para conseguir las ltimas polticas y opciones de seguridad, y las actualizaciones de software se implementan desde all. Las polticas que se visualizan dependen de los componentes del producto que usted instal. La pgina Polticas contiene los paneles siguientes:
Ver polticas El panel Ver polticas enumera los tipos de polticas que se pueden ver en el panel superior derecho: Antivirus y proteccin contra software espa, Firewall, Prevencin de intrusiones, Control de aplicaciones y dispositivos, LiveUpdate y Excepciones centralizadas. Haga clic en la flecha al lado de Componentes de polticas para expandir la lista de componentes, si an no se visualiza. Componentes de polticas El panel Componentes de polticas enumera los distintos tipos de componentes de polticas que estn disponibles. Estos componentes incluyen listas de servidores de administracin, listas de huellas digitales de archivos, entre otros. Tareas El panel Tareas enumera las tareas apropiadas para la poltica que se selecciona bajo Ver polticas. El panel derecho
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
55
El panel derecho se modifica en respuesta a la poltica que se selecciona bajo Ver polticas. Para algunas opciones, el panel est dividido horizontalmente. En estos casos, la mitad inferior del panel muestra los cambios recientes para la poltica seleccionada. Para obtener informacin sobre los diversos tipos de polticas y sus opciones, consulte los captulos que describen las polticas.
La pgina Clientes
Utilice la pgina Clientes para administrar los equipos y los usuarios de su red. La pgina Clientes de Symantec Endpoint Protection Manager contiene los paneles siguientes:
Ver clientes Los grupos de la estructura de administracin de clientes, dispuestos jerrquicamente en una estructura de rbol. Inicialmente, esta estructura contiene el grupo Global y debajo de ste, el grupo Temporal. Tareas El panel Tareas enumera las tareas relacionadas con el cliente que es posible realizar. El panel derecho El panel derecho contiene cuatro fichas: Clientes, Polticas, Detalles y Paquetes de instalacin. Cada ficha muestra el contenido que pertenece al grupo que usted seleccion en el rbol Ver.
Agregar grupos, cuentas de equipo y cuentas de usuario. Importar una unidad organizativa o un contenedor. Importar usuarios directamente desde Active Directory o un servidor LDAP. Ejecutar comandos en los grupos. Buscar clientes. Configurar el filtro de visualizacin para un grupo. Buscar equipos no administrados.
Desde la ficha Polticas, es posible configurar algunas opciones independientes de la ubicacin para el contenido de LiveUpdate, los registros de clientes, las comunicaciones y algunas opciones generales. Es posible adems configurar algunas opciones especficas de la ubicacin, tales como el modo de control y la transferencia u obtencin de comunicacin entre el servidor y el cliente. Es posible realizar las siguientes tareas desde la ficha Polticas:
56
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
Agregar grupos. Importar una unidad organizativa o un contenedor. Eliminar grupos. Cambiar nombres de grupos. Mover grupos. Editar propiedades de grupos.
Desde la ficha Instalacin de cliente, es posible configurar y agregar un nuevo paquete de instalacin de clientes. Utilice Symantec Endpoint Protection Manager para crear y despus exportar uno o ms paquetes de instalacin de clientes a un servidor de administracin en el sitio. Despus de exportar el paquete de instalacin de clientes al servidor de administracin, se instalan los archivos del paquete en los equipos cliente.
Este icono indica el estado siguiente: El cliente no se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
57
Icono
Descripcin
Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente no se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.
Este icono indica el estado siguiente: El cliente no se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.
El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.
58
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
La pgina Administrador
Utilice la pgina Administrador para administrar las cuentas de administrador, las propiedades de dominio, de servidor y de sitio, y los paquetes de instalacin de clientes para su red. Cuando se selecciona la ficha Administradores, el panel Ver muestra todos los administradores que administran el dominio en el cual el administrador inici sesin. Incluye todos los administradores del sistema, administradores y administradores limitados. La pgina Administrador de Symantec Endpoint Protection Manager contiene los paneles siguientes:
Ver administradores, Dominios, Servidores o Paquetes de instalacin. La vista que aparece depende de la seleccin que se hace en la parte inferior del panel de navegacin. Tareas El panel Tareas enumera las tareas que es posible realizar desde la pgina Administrador. Estas tareas se modifican de acuerdo con la seleccin que se hace en la parte inferior del panel de navegacin. El panel derecho El panel derecho muestra el contenido relacionado con la seleccin que se hace en la parte inferior del panel de navegacin.
Cuando se selecciona Administradores, es posible agregar, eliminar y editar cuentas de administrador. Cuando se selecciona Dominios, es posible agregar dominios, cambiar su nombre y editar sus propiedades. Dominios proporciona una manera lgica de agrupar los equipos en redes grandes. Si tiene una red pequea, probablemente utilice solamente el dominio predeterminado, cuyo nombre es Predeterminado. Cuando se selecciona Servidores, las tareas que estn disponibles cambian basadas en lo que se ha seleccionado en el rbol de navegacin Ver servidores. Es posible seleccionar Sitio local, un servidor especfico o el host local. Cuando se selecciona Sitio local, es posible realizar las siguientes tareas:
Editar las propiedades del sitio, tales como el perodo de tiempo de espera de la consola, opciones de LiveUpdate y opciones de la base de datos. Configurar el registro externo para enviar datos de registro a un servidor de archivos o a un servidor Syslog. Agregar un asociado para la replicacin del sitio. Descargar contenido de LiveUpdate. Ver el estado de LiveUpdate.
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
59
Editar las propiedades de servidor, tales como las opciones del servidor de correo, el servidor de directorios y el servidor proxy. Eliminar servidores. Administrar certificados de autenticacin de servidor. Configurar la autenticacin RSA SecurID. Importar y exportar las propiedades de este servidor como un archivo XML.
Cuando se selecciona Paquetes de instalacin, es posible agregar, eliminar, editar y exportar los paquetes de instalacin de clientes. Es posible adems enviar un paquete a los grupos y configurar opciones para recoger informacin del usuario.
60
Descripcin general de Symantec Endpoint Protection Manager Acerca de las pginas de la Consola de Symantec Endpoint Protection Manager
Captulo
Categoras de proteccin
Categoras de proteccin
Symantec Endpoint Protection proporciona varias categoras de proteccin para los equipos de su red de seguridad. Estas categoras incluyen:
Proteccin antivirus y contra software espa Proteccin contra amenazas de red Proteccin proactiva contra amenazas Integridad del host y Control de acceso a la red (parte de Symantec Network Access Control)
Nota: Integridad del host y Control de acceso a la red estn disponibles solamente con el producto Symantec Network Access Control. Symantec Network Access Control puede ser instalado solo, o puede ser instalado con Symantec Endpoint Protection. El resto de las categoras de proteccin vienen estndar con Symantec Endpoint Protection y no vienen con Symantec Network Access Control. La Figura 2-1 muestra las categoras de amenazas bloqueadas por cada tipo de proteccin.
62
Figura 2-1
Internet
Red empresarial
Vulnerabilidades de aplicaciones Puertas traseras Vulnerabilidades del SO Caballos de Troya Gusanos Modificaciones de archivos/ procesos/registro Amenazas internas Registradores de pulsaciones Retrovirus Software espa Ataques dirigidos Caballos de Troya Gusanos Amenazas de da cero Publicidad no deseada Puertas traseras Software espa Caballos de Troya Gusanos Virus
Puertas traseras Ataques de denegacin de servicio Anlisis de puertos Ataques de pila Caballos de Troya Gusanos
Poltica de firewall
Memoria/perifricos
Punto final
63
que es posible ejecutar cuando lo necesite. Los anlisis antivirus y contra software espa detectan virus y riesgos de seguridad, como aplicaciones de publicidad no deseada, software espa y otros archivos riesgosos para un equipo o una red. Los anlisis adems detectan rootkits de nivel de ncleo. Los rootkits son programas que intentan ocultarse del sistema operativo de un equipo y podran utilizarse para propsitos maliciosos. Es posible aplicar la poltica antivirus y contra software espa predeterminada a los equipos cliente en su red. Es posible crear polticas antivirus y contra software espa adicionales y aplicarlas segn sea necesario. Es posible editar la poltica cuando los requisitos de su red de seguridad cambien. La poltica antivirus y contra software espa predeterminada est diseada para compaas de todos los tamaos. Proporciona una proteccin fuerte al mismo tiempo que reduce al mnimo el impacto a los recursos de punto final. Ver "Acerca de trabajar con polticas antivirus y contra software espa" en la pgina 454.
64
Las opciones predeterminadas para la proteccin proactiva contra amenazas estn diseadas para compaas de todos los tamaos. Es posible editar esa configuracin y crear nuevas a medida que sus necesidades se modifican. El anlisis de amenazas proactivo utiliza la heurstica para sealar procesos y aplicaciones potencialmente dainos. La heurstica inspecciona el comportamiento de los procesos en un equipo cliente. Por ejemplo, la apertura de un puerto. Ver "Acerca de los anlisis de amenazas proactivos" en la pgina 583. Las polticas de control de aplicaciones y dispositivos proporcionan una manera de bloquear o limitar procesos o dispositivos de hardware en los equipos cliente. Ver "Acerca de las Polticas de control de aplicaciones y dispositivos" en la pgina 600.
65
Nota: Integridad del host es una parte de Symantec Network Access Control. Es ms eficaz cuando se utiliza con el appliance de hardware opcional, Symantec Enforcer. Ver "Acerca de las polticas de integridad del host" en la pgina 659. Enforcer es un appliance de hardware que funciona con Integridad del host para permitir o bloquear los equipos del acceso de red. Hay varias versiones del dispositivo Enforcer. Cada una est diseada para diferentes necesidades de red. Ver "Acerca de los mdulos de Enforcer de Symantec" en la pgina 714.
66
Captulo
Acerca de la configuracin de su estructura de organizacin Su estructura de organizacin y su seguridad equivalen a su topologa de seguridad Ver su topologa de seguridad Acerca de los grupos y dominios Acerca de los clientes Acerca de los usuarios y los equipos Revisar qu proteccin se aplica Revisar los administradores Revisar opciones de comunicacin de los clientes y el servidor
68
Revisar su estructura de organizacin para la seguridad Su estructura de organizacin y su seguridad equivalen a su topologa de seguridad
en Windows. El propsito de los grupos es simplificar la aplicacin de polticas de seguridad. En vez de asignarlas a cada equipo cliente individual, es posible asignarlas a un grupo o a varios grupos. Los grupos son colecciones de equipos cliente. El servidor de Symantec Endpoint Protection Manager administra estos equipos cliente. Estas colecciones se pueden basar en diversos parmetros. Por ejemplo, el grupo puede basarse en la geografa (todos los clientes de una sucursal). Puede tambin basarse en la organizacin (todos los clientes del departamento de ventas). Defina sus grupos de una manera que corresponda a su estructura de organizacin. Un usuario es un cliente definido por el nombre de inicio de sesin. Un equipo es un cliente definido por el componente fsico de hardware. Es posible crear y ordenar los grupos en una estructura de rbol jerrquica para representar la estructura de su empresa. Se pueden asignar polticas de seguridad a los grupos y las ubicaciones dentro de esos grupos. Por lo tanto, la creacin de grupos puede ser una de las primeras cosas que hacen los administradores cuando configuran Symantec Endpoint Protection Manager. Es posible despus definir las polticas de seguridad que se basan en las necesidades de seguridad de cada grupo y aplicarlas usando el administrador. Es posible adems importar la unidad organizativa (UO) desde un servidor de directorios (LDAP o Active Directory). Configure su estructura de organizacin de esta manera. Esta estructura sincroniza automticamente los grupos de Symantec Endpoint Protection Manager con los grupos del servidor de directorios. Ver "Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager" en la pgina 291. Ver "Importar informacin sobre usuarios desde un servidor de directorios LDAP" en la pgina 292. Ver "Acerca de las unidades organizativas y el servidor LDAP" en la pgina 296.
69
Disee este mapa de forma que sea posible aislar y limpiar sistemticamente los equipos de cada seccin antes de volver a conectarlos a su red local.
Qu programas de seguridad protegen actualmente los servidores y los equipos cliente? Cul es el plan para comprobar, evaluar e instalar actualizaciones del sistema operativo y de la red? Cul es la programacin para actualizar el contenido, incluidas las definiciones de virus? De qu mtodos alternativos se dispone para obtener las actualizaciones si los canales normales son atacados? Qu archivos de registro estn disponibles para los administradores?
70
una divisin dentro de una compaa, un departamento, una compaa separada o cualquier otro segmento aislado de usuarios. Los administradores del sistema tienen acceso a todos los dominios, mientras que los administradores de dominio pueden acceder solamente al dominio al cual estn asignados para trabajar. Todos los datos de cada dominio estn totalmente separados, lo cual impide que los administradores de un dominio vean los datos de otros dominios. Adems, los administradores no tienen acceso al icono Servidores en la pgina Administrador, y es posible restringir an ms su acceso dentro de la consola. Ver "Acerca de los administradores" en la pgina 97.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en la opcin Dominios. Es necesario ser administrador del sistema para acceder a la opcin Dominios.
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. El rbol Ver muestra cada grupo asociado al dominio que se administra.
71
1 2 3 4 5
En la pgina Administrador, en el panel Tareas, haga clic en Dominios. En el panel Ver, haga clic en el dominio que desea administrar. En el panel Tareas, haga clic en Administrar dominio. Haga clic en S para confirmar que desea administrar este dominio. En el cuadro de dilogo que identifica el dominio administrado, haga clic en Aceptar.
72
Revisar su estructura de organizacin para la seguridad Acerca de los usuarios y los equipos
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. El rbol Ver muestra todos los grupos asociados al dominio que se administra. Si hay solamente un dominio, el rbol Ver muestra todos los grupos.
En el panel Grupo, haga clic en Clientes. Se visualiza cada usuario y equipo que existe dentro del grupo seleccionado en la pgina.
73
Ver "La pgina Polticas" en la pgina 54. La ficha Polticas de la pgina Clientes demuestra qu polticas se aplican para todos los equipos y usuarios en su equipo. Ver "La pgina Clientes" en la pgina 55.
Editar propiedades Edite las propiedades de seguridad general, derechos de acceso y autenticacin para el administrador seleccionado. Eliminar Elimina el administrador seleccionado. Se le pedir que confirme la cancelacin. Importante: no es posible eliminar el administrador del sistema: admin. Agregar administrador Cree un nuevo administrador, elija su tipo de autenticacin y seleccione cualquier restriccin de acceso o elaboracin de informes.
74
Revisar su estructura de organizacin para la seguridad Revisar opciones de comunicacin de los clientes y el servidor
sylink.xml
SerState.dat
Captulo
Acerca de la configuracin de su estructura de organizacin Comprender los grupos Comprender los usuarios y los equipos Comprender los clientes Acerca de la ficha Clientes Administrar grupos Administrar usuarios y equipos
76
cada grupo. Utilice la ficha Polticas para asignar estas polticas de seguridad a los grupos y a las ubicaciones dentro de esos grupos. Symantec Endpoint Protection le proporciona la opcin de importar las estructuras de grupo de un servidor de directorios (LDAP o Active Directory). Hace esta tarea permitindole importar las unidades organizativas (OU). Configure su estructura de organizacin de esta manera para permitir que Symantec Endpoint Protection sincronice automticamente los grupos en la ficha Clientes con los del servidor de directorios.
77
Figura 4-1
78
en equipo o basado en usuario. Si el modo es basado en equipo, el software del equipo cliente obtiene la poltica de seguridad del grupo al que pertenece el equipo. Si el modo es basado en usuario, el software del equipo cliente obtiene la poltica del grupo al que pertenece el usuario. La manera en que se administran los usuarios y los equipos es similar a la manera en que se administran los grupos. Es posible agregar, eliminar y mover usuarios y equipos.
El panel Ver clientes se encuentra en la parte superior izquierda de esta pgina. Muestra la jerarqua de grupos. Utilice este panel para crear y para administrar grupos, cuentas de usuario y cuentas de equipo. Utilicelo tambin para crear y administrar paquetes de instalacin de clientes. El panel Tareas se encuentra en la parte inferior izquierda de esta pgina. Muestra una lista de todas las acciones que se pueden realizar en la pgina actual. Esta lista es diferente para cada pgina: Clientes, Polticas, Detalles y Paquetes de instalacin. La pgina Clientes se encuentra en la parte central de esta pgina. Esta pgina enumera los clientes que estn en el grupo seleccionado.
79
Administrar grupos
La estructura de grupo que se define coincide muy probablemente con la estructura de organizacin de su empresa. Es posible agrupar usuarios y equipos con necesidades informticas y requisitos de acceso a la red similares. Es posible administrar estos grupos usando la ficha Clientes de Symantec Endpoint Protection Manager. Cuando se selecciona un grupo en el rbol Ver clientes, cuatro fichas de pgina se visualizan en la pgina a la derecha. Cada una de estas fichas se asocia a la administracin del grupo seleccionado. Las cuatro fichas son Clientes, Polticas, Detalles y Paquetes de instalacin. Cada una de estas fichas proporciona diversas opciones para administrar el grupo seleccionado. El grupo global es la raz de la estructura de rbol. Debajo de ella, es posible agregar grupos y subgrupos para que se adapten a la estructura de su organizacin. Adems incluye al grupo temporal de manera predeterminada. Los usuarios y los equipos no siempre se asignan a un grupo apenas se registran en Symantec Endpoint Protection. Se asignan al grupo temporal cuando no pertenecen a un grupo predefinido. Nota: No es posible crear subgrupos en el grupo temporal. Ver Figura 4-2 en la pgina 80. para ver un ejemplo de la jerarqua de rbol de grupos de una organizacin. Base la estructura de grupo de su organizacin en la ubicacin, el departamento o cualquier otra clasificacin que cumpla los requisitos de su empresa.
80
Figura 4-2
Tiene la opcin para importar unidades organizativas desde un servidor LDAP. No es posible utilizar la ficha Clientes para administrar estos grupos despus de que se importan. No es posible agregar, eliminar o mover los grupos dentro de una unidad organizativa importada. Es posible asignar polticas de seguridad a la unidad organizativa importada. Es posible adems copiar usuarios de una unidad organizativa importada a otros grupos que se enumeren en el panel Ver clientes. La poltica que fue asignada a un grupo antes de ser importada tiene prioridad. Una cuenta de usuario puede existir en la unidad organizativa y en un grupo externo. La poltica que fue aplicada al grupo externo tiene prioridad en esta situacin. Si crea un paquete de instalacin para la implementacin, puede incluir polticas de seguridad para un grupo especfico. En este caso, ese grupo se transforma en el grupo de equipos cliente preferido. Despus de que se instale el software de cliente de Symantec Endpoint Protection, ste se conecta a la red. Se agrega
81
automticamente al grupo de equipos cliente preferido, a menos que alguna otra configuracin del administrador de polticas lo anule. Por ejemplo, usted pudo haber agregado manualmente un usuario o un equipo en otro grupo en la ficha Clientes. Despus de que el cliente se conecta a Symantec Endpoint Protection Manager, el grupo que se especifica en la pgina Clientes anula el especificado en el paquete de instalacin. Es posible agregar el cliente como equipo o como usuario en distintos grupos. El cliente se conecta al grupo al que se agreg en modo de equipo. El grupo que fue especificado en el paquete de cliente pudo haber sido eliminado previamente. El nombre predeterminado del grupo de equipos cliente es temporal. El cliente se coloca en este grupo predeterminado cuando no se ha especificado ningn otro grupo para el usuario o el equipo en la pgina Clientes.
Agregar un grupo
Es posible agregar grupos despus de definir la estructura de grupo para su organizacin. La estructura de grupo coincide muy probablemente con la estructura de organizacin de su empresa. Los nombres de los grupos pueden tener hasta 256 caracteres de largo. Las descripciones de los grupos pueden tener hasta 1024 caracteres de largo. Los nombres y las descripciones de los grupos pueden constar de cualquier carcter, excepto los siguientes: [" / \ * ? < > | :]. Nota: No es posible agregar grupos al grupo temporal.
82
1 2 3 4 5
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. Desde el panel Ver clientes, seleccione el grupo al que desea agregar un nuevo grupo. En el panel Tareas, haga clic en Agregar grupo. En Agregar grupo, para la ventana emergente del nombre de grupo, escriba el nombre del grupo y su descripcin. Haga clic en Aceptar.
Eliminar un grupo
Es posible eliminar los grupos que ya no se utilizan o que ya no reflejan su estructura de organizacin. Es posible eliminar un grupo solamente cuando est vaco. No puede contener ningn subgrupo, usuario o equipo. Si un grupo no est vaco, se deben mover o eliminar primero los subgrupos, los usuarios o los equipos. A continuacin, es posible eliminar el grupo. Adems, no es posible eliminar el grupo global o el grupo temporal. En ciertas condiciones, Symantec Endpoint Protection Manager reconstruye un grupo eliminado para un cliente. Esta condicin puede incluir la situacin siguiente. Se crea un paquete de instalacin (un paquete de actualizacin o un paquete de nueva instalacin) que especifica ese grupo antes de eliminarlo. Adems, la configuracin de instalacin Conservar funciones existentes del cliente al actualizar est habilitada para ese paquete de instalacin. En este caso, cuando el equipo cliente se conecta a Symantec Endpoint Protection, Symantec Endpoint Protection Manager reconstruye el grupo que fue especificado en el paquete de instalacin de cliente. Para eliminar un grupo
1 2 3 4
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el panel Ver clientes, haga clic con el botn secundario en el grupo que desee eliminar. En la lista desplegable, haga clic en Eliminar. En la ventana emergente Eliminar, haga clic en S cuando se le pida confirmar la eliminacin del grupo.
83
1 2 3 4 5
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el panel Ver clientes, haga clic con el botn secundario en el grupo que desee eliminar. Haga clic en Cambiar nombre. En la ventana emergente Cambiar nombre del grupo, escriba el nuevo nombre del grupo. Haga clic en Aceptar.
Mover un grupo
Cualquier grupo junto con sus subgrupos, equipos y usuarios puede moverse de un nodo del rbol de grupos a otro. Sin embargo, no pueden moverse ni el grupo global ni el grupo temporal. Adems, no es posible mover los grupos del grupo temporal o mover un grupo bajo uno de sus subgrupos. Si un grupo utiliza una poltica heredada, adquiere la nueva poltica heredada del grupo al cual se mueve. Si tiene una poltica especfica aplicada, mantiene esa poltica despus del movimiento. Si no hay una poltica de grupo aplicada explcitamente al grupo que se mueve, utiliza la poltica de grupo del grupo de destino. Los clientes del grupo que se mueve utilizan el nuevo perfil. Para mover un grupo
1 2 3
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el panel Ver clientes, haga clic con el botn secundario en el grupo que desee mover. Haga clic en Mover.
84
4 5
En la ventana emergente Mover grupo, navegue a los nodos del rbol del grupo para encontrar el grupo de destino al cual desee mover el grupo. Con el grupo de destino seleccionado, haga clic en Aceptar.
1 2 3 4 5
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el panel Ver clientes, elija el grupo cuyas propiedades desea ver. Haga clic con el botn secundario en el nombre del grupo y, a continuacin, haga clic en Propiedades. Revise los detalles del grupo que se visualizan en la ventana emergente Propiedades del grupo. Haga clic en Aceptar para cerrar la ventana emergente.
1 2 3
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el panel Ver clientes, elija el grupo cuyas propiedades desea ver. Haga clic para seleccionar la ficha Detalles.
85
Nota: La opcin de bloqueo evita que se agreguen usuarios a un grupo automticamente. Es posible bloquear un nuevo cliente para que no se agregue al grupo al que fue asignado en el paquete de instalacin de clientes. En este caso, el cliente se agrega al grupo temporal. Es posible mover manualmente un usuario o un equipo a un grupo bloqueado. Para bloquear nuevos agentes para que no se agreguen a un grupo
1 2 3 4 5 6
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el rbol Ver clientes, elija el grupo en el cual desea bloquear nuevos clientes. En el panel del grupo, haga clic en la ficha Detalles. Desde el panel Tareas, haga clic en Editar propiedades de grupo. Haga clic para seleccionar la casilla de verificacin Bloquear nuevos clientes. Haga clic en Aceptar.
1 2 3 4 5
Desde la consola de Symantec Endpoint Protection Manager, elija la ficha Clientes. Desde el panel Ver clientes, elija el grupo que desea buscar. Desde el panel Tareas, elija Buscar clientes. Desde la pgina Buscar clientes, defina su consulta. Utilice Criterios de bsqueda para definir los criterios por los cuales desea buscar usuarios y equipos. Criterios de bsqueda de clientes Equipos
Nombre del equipo
86
Usuarios
Descripcin Direccin de correo electrnico Nmero de empleado Estado de empleo Nombre completo Nmero de telfono particular Puesto
Equipos
Departamento Descripcin Direccin de correo electrnico Nmero de empleado Estado de empleo Nombre completo Nmero de telfono particular
Nombre del equipo de inicio de sesin Puesto Nmero de telfono celular Nmero de telfono del trabajo Sistema operativo Nombre de usuario Nombre del usuario de inicio de sesin Nmero de telfono celular Nmero de telfono del trabajo Sistema operativo
Es posible utilizar operadores booleanos estndar en sus criterios de bsqueda. Utilice estos criterios de bsqueda cuando defina su consulta en 4. La Tabla 4-2 enumera los operadores booleanos y sus descripciones correspondientes. Tabla 4-2 Criterios de bsqueda de clientes: Operadores booleanos
87
1 2 3 4 5 6 7 8 9
Desde la consola de Symantec Endpoint Protection Manager, elija la ficha Clientes. En el panel Ver clientes, elija el grupo que desea buscar. En el panel Tareas, elija Buscar clientes. En la pgina Buscar clientes, seleccione la lista desplegable Buscar y elija Usuarios o Equipos. El grupo que usted seleccion se muestra en el campo En el grupo. Elija Examinar para buscar otro grupo. Defina sus criterios de bsqueda. Elija Campo de bsqueda para seleccionar el campo que desea buscar. Elija Operador de comparacin para seleccionar una opcin de la lista de operadores de comparacin. Elija Valor para escribir la cadena de bsqueda. Elija Buscar. bsqueda de cliente.
10 Repita del Paso 4 en la pgina 87. al Paso 9 en la pgina 87. para cada 11 Elija Cerrar cuando haya terminado de buscar clientes.
88
1 2 3 4
Realice su bsqueda segn lo descrito en Para realizar una bsqueda. Cuando aparecen los resultados de la bsqueda, haga clic en el icono de Exportar. En el cuadro de dilogo Exportar, escriba un nombre para el archivo y una extensin. Las extensiones no se agregan automticamente. Haga clic en Exportar.
Acerca de establecer la comunicacin entre un servidor de directorios y Symantec Endpoint Protection Manager
Si desea importar informacin sobre cuentas de usuario y de equipo, debe primero establecer una conexin entre un servidor de directorios y Symantec Endpoint Protection Manager. Si no establece una conexin, no es posible importar informacin sobre usuarios desde Active Directory o servidores de directorios LDAP, ni sincronizarla con ellos. Ver "Agregar servidores de directorios" en la pgina 290.
Acerca de la sincronizacin de la informacin del usuario entre servidores de directorios y Symantec Endpoint Protection Manager
Sera aconsejable sincronizar la informacin sobre los usuarios entre los servidores de directorios y Symantec Endpoint Protection Manager.
89
Ver "Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager" en la pgina 291. Ver "Sincronizacin de unidades organizativas" en la pgina 297.
Agregar equipos
Se pueden agregar equipos a cualquier grupo dentro de Symantec Endpoint Protection Manager. La razn principal para agregar un equipo a un grupo es proteger ese equipo. Las polticas de seguridad de ese grupo protegen el equipo. Por ejemplo, un equipo puede estar en una ubicacin vulnerable, como un pasillo
90
pblico. En esta situacin, el equipo se agrega a un grupo de otros equipos pblicos. Las polticas de seguridad que se aplican a este grupo se aplican tambin a cada equipo dentro del grupo. Acerca de agregar equipos a los grupos:
Es posible agregar un equipo a ms de un grupo. Es necesario saber el nombre real del equipo y el dominio antes de que se pueda agregar un equipo. La longitud mxima del nombre del equipo es de 64 caracteres. La longitud mxima del campo de descripcin es de 256 caracteres.
Tiene la opcin de agregar manualmente un equipo a un grupo especfico y luego instalar el cliente con un grupo preferido asignado a l. Haga esta tarea asociando polticas de grupo durante la creacin del paquete. En este caso, el cliente se agrega al grupo especificado en el servidor. El cliente no se agrega al grupo especificado en el paquete de instalacin. Para agregar un equipo
1 2 3 4 5 6 7 8
Asegrese de que los clientes no estn bloqueados para poder agregarlos a los grupos. Ver "Bloquear usuarios de los grupos" en la pgina 84.. Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el rbol Ver clientes, seleccione el grupo al que desea agregar el equipo. Haga clic en Agregar cuenta de equipo. En Nombre del equipo de la ventana emergente Agregar equipo, escriba el nombre del equipo que desea agregar. En Dominio, escriba el nombre del dominio en el cual desea que resida el equipo. En Descripcin, escriba una breve descripcin del equipo (opcional). Haga clic en Aceptar.
91
Agregar usuarios
Es posible agregar manualmente usuarios a un dominio. Sin embargo, en la mayora de los casos, este procedimiento no es prctico, a menos que se desee agregar un nmero limitado de usuarios por motivos de mantenimiento. La mayora de los administradores importa listas de usuarios de un servidor LDAP o de dominios. Es posible primero agregar manualmente un usuario a un grupo especfico e instalar ms tarde el cliente con un grupo preferido asignado a l. Esta tarea se hace asociando polticas de grupo durante la creacin del paquete. El cliente se agrega al grupo especificado en el servidor en lugar de hacerlo al especificado en el paquete. Para agregar usuarios manualmente
1 2 3 4 5 6 7 8 9
Asegrese de que los clientes no estn bloqueados para poder agregarlos a los grupos. Desde la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En el rbol Ver clientes, elija el grupo al que desea agregar un usuario. Haga clic en Agregar cuenta de usuario. En Nombre de usuario de Agregar usuario, escriba el nombre del nuevo usuario. En Nombre de dominio, elija si se desea iniciar sesin en un dominio especificado o iniciar sesin en el equipo local. En Descripcin, escriba una descripcin del usuario. Haga clic en Aceptar. Repita los pasos 3 a 8 para agregar usuarios adicionales.
92
Un cliente puede estar ejecutndose cuando usted lo elimina manualmente de un grupo. La prxima vez que el cliente se conecta a Symantec Endpoint Protection Manager, se volver a registrar, y se aplicarn las normas para el registro de clientes. Si su estructura de grupo incluye grupos y unidades organizativas importadas, las normas se aplican si se elimina un cliente. Si un cliente est en modo de equipo, se aplican las normas siguientes:
El cliente alterna a una unidad organizativa si existe el nombre del equipo all. El cliente se vuelve a registrar en el servidor.
El cliente alterna a una unidad organizativa si existe el nombre del usuario all. El cliente se vuelve a registrar en el servidor.
1 2 3 4 5
Desde Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el panel Ver clientes, elija el grupo en el que reside el usuario o el equipo. En la ficha Clientes, elija el usuario o el equipo. En el panel Tareas, elija Eliminar clientes. En la ventana emergente Eliminar, haga clic en S.
1 2 3 4
Desde Symantec Endpoint Protection Manager, haga clic en Clientes. En el panel Ver clientes, elija el grupo en el que reside actualmente el usuario o el equipo. En la pgina Cliente, elija el grupo que desea mover. Haga clic con el botn secundario en el grupo, luego en Mover y despus en Tareas > Mover clientes.
93
5 6
En la ventana emergente Mover grupo, elija el grupo al que desea mover el cliente seleccionado. Haga clic en Aceptar.
La ficha General incluye informacin sobre el grupo, el dominio, el nombre de inicio de sesin y la configuracin del hardware del equipo. La ficha Red incluye informacin sobre el servidor DNS, el servidor DHCP, el servidor WINS y la direccin IP del equipo. La ficha Clientes muestra la informacin que se recopila del equipo cliente. Esta informacin incluye el tipo de cliente que se ejecuta en el equipo. Adems, enumera informacin especfica del software y de las polticas. Esta informacin incluye la versin del software del cliente, el nmero de serie del perfil actual, el nmero de serie de la firma actual y la ltima vez que estuvo en lnea. La ficha Informacin del usuario incluye informacin sobre la persona que tiene iniciada la sesin en el equipo actualmente. Se completa esta informacin cuando el administrador elige habilitar la recopilacin de informacin del usuario.
94
Departamento Nmero de empleado Estado de empleo Nmero de telfono del trabajo Nmero de telfono celular Nmero de telfono particular Tipo de cliente
1 2 3 4 5 6
Desde la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. Desde el panel Ver clientes, expanda Usuarios y equipos. Haga clic en Configurar la recopilacin de informacin de usuarios de la lista de tareas. En el panel Recopilar informacin del usuario, asegrese de que Habilitar Recopilar informacin del usuario est activada. Si desea que el usuario tenga la posibilidad de posponer la recopilacin del usuario, marque Habilitar Recordrmelo ms tarde y establezca una hora. Mueva la informacin que desea recoger del lado izquierdo del rea del campo a la derecha, usando la opcin Agregar. Es posible hacerla opcional, marcando la casilla Opcional. Haga clic en Aceptar para finalizar.
Mostrar todos los usuarios y equipos. Mostrar todos los usuarios. Mostrar todos los equipos. Mostrar estado de conexin (indicado por una luz verde al lado del nombre de usuario)
Es posible adems elegir cuntos clientes se visualizan por pgina. Este nmero puede estar entre 1 y 5000. El valor predeterminado es 30.
95
1 2 3 4 5
Desde la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En el panel Ver clientes, elija el grupo que desea filtrar. En el panel Tareas, haga clic en Configurar filtro de pantalla. En la ventana emergente Configurar filtro de pantalla, elija sus opciones. Elija Aceptar.
1 2 3
Desde Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el panel Ver clientes, elija al grupo que contiene el usuario o el equipo. En la pgina Clientes, haga clic con el botn secundario en el equipo o el nombre de usuario en la tabla. A continuacin seleccione Cambiar al modo de equipo o Cambiar al modo de usuario. Este modo es una configuracin que alterna entre una u otra opcin, as que siempre se visualiza una o la otra. La informacin de la tabla se modifica para reflejar la nueva configuracin.
Es posible que el nombre del equipo an no est contenido en ningn grupo. La conmutacin al modo de equipo elimina el nombre de usuario del cliente del grupo y agrega el nombre del equipo del cliente en el grupo.
96
El nombre del equipo del cliente y el nombre de usuario estn ambos en el mismo grupo. La conmutacin del modo de usuario al modo de equipo elimina el nombre de usuario del grupo, y el cliente adquiere el nombre del equipo. El nombre de equipo del cliente est en un grupo distinto del que contiene el nombre de usuario. La conmutacin al modo de equipo cambia el grupo del cliente al grupo del equipo. Un mensaje emergente le informa el cambio de nombre del grupo.
Cuando el cliente est en modo de equipo, el cliente utiliza la poltica del grupo al que el equipo pertenece. La poltica aplicada es independiente de quin inicia sesin en el equipo. Si alterna de modo de equipo a modo de usuario, tenga en cuenta los siguientes problemas:
El nombre de usuario de inicio de sesin no est an incluido en ningn grupo. La conmutacin al modo de usuario elimina el nombre del equipo del cliente del grupo. A continuacin agrega el nombre de usuario del cliente al grupo. El nombre de usuario de inicio de sesin del cliente y el nombre del equipo estn ambos en el mismo grupo. La conmutacin del modo de equipo al modo de usuario elimina el nombre del equipo del grupo. El cliente adquiere el nombre de usuario. El nombre de equipo del cliente est en un grupo distinto del que contiene el nombre de usuario. La conmutacin al modo de usuario cambia el grupo del cliente al grupo del usuario. Un mensaje emergente le informa el cambio de nombre del grupo.
Captulo
Administrar administradores
En este captulo se incluyen los temas siguientes:
Acerca de los administradores Acerca de la administracin de administradores y dominios Tareas del administrador del sistema Tareas del administrador Acerca de los administradores limitados
98
Tabla 5-1
Rol de administrador
Administrador
Eliminar y modificar los administradores creados en su dominio. Modificar atributos para los administradores creados en su dominio. Estos atributos incluyen opciones de notificacin, seguridad y permisos. Administrador limitado Realizar el trabajo que le asigna el administrador del sistema o el administrador. Configurar sus propios atributos, incluidas opciones de seguridad y de notificacin.
Un administrador del sistema ve el resto de los administradores del sistema, todos los administradores y todos los administradores limitados asociados al dominio que el administrador del sistema administra actualmente.
99
Un administrador ve los administradores de dominio y los administradores limitados asociados al dominio que el administrador administra actualmente. Los administradores limitados se ven solamente a s mismos.
Cuando se instala el administrador de Symantec Endpoint Security, se crea un administrador del sistema predeterminado llamado admin.
Cambiar el nombre de un administrador Modificar la contrasea de un administrador Editar las propiedades de un administrador Quitar un administrador Agregar un administrador
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en la opcin Administradores. En el rbol Ver, seleccione el administrador cuyo nombre desee cambiar. En el panel Tareas, haga clic en Cambiar el nombre del administrador. En el cuadro de dilogo Cambiar el nombre del administrador por nombre, modifique el nombre y haga clic en Aceptar.
100
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en la opcin Administradores. En el rbol Ver, seleccione el administrador para el cual desea modificar la contrasea. En el panel Tareas, haga clic en Cambiar la contrasea del administrador. Escriba y confirme la nueva contrasea. La contrasea debe tener seis o ms caracteres de largo y se permiten todos los caracteres.
Un administrador puede ser bloqueado y decidir esperar hasta que transcurra la duracin del bloqueo. En este caso, el administrador tiene solamente un intento ms para escribir la contrasea correcta. Si el administrador escribe la contrasea incorrecta de nuevo, se bloquea la cuenta. El administrador debe entonces esperar otros cinco minutos antes de intentar iniciar sesin de nuevo. Este proceso se repite hasta que el administrador escribe la contrasea correcta en el primer intento despus de transcurrida la duracin del bloqueo.
101
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en la opcin Administradores. En el rbol Ver, seleccione al administrador cuyas propiedades de cuenta desea modificar. En el panel Tareas, haga clic en Editar propiedades del administrador. Aparece el cuadro de dilogo Propiedades de administrador para [nombre]. Para un administrador del sistema, la barra de ttulo muestra Propiedades del administrador de sistema para [nombre] y aparecen dos fichas, General y Autenticacin.
Escriba o modifique opcionalmente el nombre completo del administrador en el segundo cuadro de texto. Este campo tiene propsitos informativos solamente.
Opcionalmente, escriba o modifique la direccin de correo electrnico del administrador en el tercer cuadro de texto. Se utiliza esta direccin cuando se selecciona la casilla de verificacin Enviar alerta por correo electrnico cuando se bloquee la cuenta.
Mueva el control deslizante de Umbral de intentos de inicio de sesin para especificar el nmero de intentos de inicios de sesin incorrectos permitidos. Es posible adems hacer clic en el nmero o el nivel deseado. (El valor predeterminado es Bajo). Para bloquear la cuenta cuando se excede el umbral para los intentos de inicio de sesin especificado en el paso 7, haga clic en la casilla de verificacin. (El valor predeterminado es 15 minutos). Para enviar un correo electrnico cuando se bloquea una cuenta, haga clic para seleccionar la casilla de verificacin. Para que el correo electrnico sea recibido, se debe especificar una direccin vlida en el paso 6.
102
Si es administrador o administrador limitado, haga clic en la ficha Derechos de acceso. A continuacin, proceda con el paso 12. Si es administrador del sistema, vaya al paso 21. Si es administrador limitado, vaya al paso 14.
Autenticacin del Servidor de administracin de Symantec Ver "Agregar servidores de directorios" en la pgina 290. Autenticacin de RSA SecurID Ver "Configurar un cliente de RSA ACE" en la pgina 306. Autenticacin de directorios
103
A continuacin, escriba el servidor de directorios y el nombre de cuenta en los cuadros de texto apropiados.
Token RSA SecurID (no tokens de software RSA) Tarjeta RSA SecurID Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
Quitar un administrador
Es posible quitar un administrador cuando ya no se necesita ese administrador en su sistema. Para quitar un administrador
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en el icono Administradores. En el rbol Ver, haga clic para seleccionar el administrador que desea quitar. En el panel Tareas, haga clic en Eliminar administrador. En el cuadro de dilogo Eliminar administrador: [nombre], haga clic en S para verificar que desea quitar este administrador.
Agregar un administrador
A medida que su red se expande o cambia, es posible que el nmero de administradores resulte escaso para cumplir sus necesidades. En tal punto, es posible agregar uno o ms administradores. Cuando se agrega un administrador, se especifican las funcionalidades y las restricciones del administrador. Como administrador del sistema, es posible agregar otro administrador del sistema. Es
104
posible adems agregar un administrador. Un administrador tiene menos funcionalidades que un administrador del sistema. Un administrador puede iniciar sesin y administrar solamente dentro del dominio que el administrador del sistema administra y en el cual se cre el administrador. Es posible limitar an ms las funcionalidades de un administrador creando un administrador limitado. Ver Tabla 5-1 en la pgina 98. La lista siguiente contiene informacin adicional sobre la creacin de administradores del sistema:
Los administradores del sistema tienen derechos de acceso total. Es posible adems agregar administradores y administradores limitados, que tienen derechos de acceso ms limitados. Si no especifica ningn derecho de acceso para un administrador, el administrador se crea en un estado deshabilitado y no puede iniciar sesin.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en la opcin Administradores. En el panel Tareas, haga clic en Agregar administrador. En el cuadro de dilogo Agregar administrador, escriba el nombre del administrador en el primer cuadro de texto. Este nombre es el nombre con el cual el administrador inicia sesin y por el cual es reconocido dentro de la aplicacin. Escriba opcionalmente el nombre completo del administrador en el segundo cuadro de texto. Este campo tiene propsitos informativos solamente.
Escriba y confirme la contrasea. La contrasea debe ser de seis o ms caracteres; se permiten todos los caracteres.
Especifique el tipo de autenticacin. El valor predeterminado es Autenticacin del Servidor de administracin de Symantec. Si desea utilizar el valor predeterminado, vaya al paso 10.
8 9
Si desea modificarlo por otro tipo de autenticacin, haga clic en Cambiar. En el cuadro de dilogo Autenticacin del administrador, elija una de las siguientes opciones:
105
Autenticacin de RSA SecurID Ver "Configurar un cliente de RSA ACE" en la pgina 306. Autenticacin de directorios A continuacin, escriba el servidor de directorios y el nombre de cuenta en los cuadros de texto apropiados.
Administrador del sistema, y luego vaya al paso 13. Un administrador del sistema tiene acceso completo y permisos para todas las reas de Symantec Endpoint Protection Manager. Administrador, y luego vaya al paso 11. Un administrador tiene acceso y permisos completos dentro de un solo dominio. El administrador no puede configurar servidores de administracin o de Enforcer. Administrador limitado, y luego vaya al paso 12. Un administrador limitado tiene derechos de acceso y permisos asignados para grupos especficos.
106
Cambiar el nombre de un administrador Modificar la contrasea de un administrador Editar las propiedades de un administrador Quitar un administrador Agregar un administrador
107
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en el icono Administradores. En el rbol Ver, haga clic para seleccionar el administrador cuyo nombre desee cambiar. En el panel Tareas, haga clic en Cambiar nombre. Aparece el cuadro de dilogo Cambiar el nombre del administrador por [nombre], con el nombre actual mostrado en el cuadro de texto de Nuevo nombre del administrador.
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en el icono Administradores. En el rbol Ver, seleccione el administrador para el cual desea modificar la contrasea. En el panel Tareas, haga clic en Cambiar la contrasea del administrador. En el cuadro de dilogo Cambiar contrasea, escriba y confirme la nueva contrasea. La contrasea debe ser de seis o ms caracteres; se permiten todos los caracteres.
108
inicio de sesin fallidos exceden cierto umbral. Es posible adems modificar los derechos de acceso y las restricciones de elaboracin de informes y modificar muchas otras propiedades. Para editar las propiedades de un administrador
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en el icono Administradores. En el rbol Ver, seleccione al administrador cuyas propiedades de cuenta desea modificar. En el panel Tareas, haga clic en Editar propiedades del administrador. Aparece el cuadro de dilogo Propiedades de administrador para nombre. Tiene la opcin de escribir o modificar el nombre completo del administrador en el segundo cuadro de texto. Este campo tiene propsitos informativos solamente.
Tiene la opcin de escribir o modificar la direccin de correo electrnico del administrador en el tercer cuadro de texto. Se utiliza esta direccin cuando se marca la casilla de verificacin Enviar alerta por correo electrnico cuando se bloquee la cuenta. Mueva el control deslizante de Umbral de intentos de inicio de sesin para especificar el nmero de intentos de inicios de sesin permitidos. Es posible adems hacer clic en el nmero o el nivel deseado. (La configuracin predeterminada es Bajo). Para bloquear la cuenta cuando se excede el umbral especificado en el paso 7, haga clic en la casilla de verificacin. (En la configuracin predeterminada, no se habilita). Para enviar un correo electrnico cuando se bloquea una cuenta, haga clic en la casilla de verificacin. Para que el correo electrnico sea recibido, se debe especificar una direccin en el paso 6.
109
15 Seleccione la casilla de verificacin Ver informes para habilitar las funciones. 16 Seleccione la casilla de verificacin Administrar clientes para habilitar las
funciones.
Autenticacin del Servidor de administracin de Symantec Para conocer las acciones obligatorias adicionales, consulte Agregar servidores de directorios. Autenticacin de RSA SecurID Para conocer las acciones obligatorias adicionales, consulte Configurar un cliente de RSA ACE. Autenticacin de directorios
110
A continuacin, escriba el servidor de directorios y el nombre de cuenta en los cuadros de texto apropiados.
Quitar un administrador
Es posible quitar un administrador cuando ya no se necesita ese administrador en su sistema. Para quitar un administrador
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en la opcin Administradores. En el rbol Ver, haga clic para seleccionar el administrador que desea quitar. En el panel Tareas, haga clic en Eliminar. Se muestra el cuadro de dilogo Eliminar administrador:[nombre].
Si est seguro de que desea quitar el administrador seleccionado, haga clic en S; si no, haga clic en No.
Agregar un administrador
A medida que su red se expande o cambia, es posible que el nmero de administradores resulte escaso para cumplir sus necesidades. En tal punto, es posible agregar uno o ms administradores. Cuando se agrega un administrador, se especifican las funcionalidades y las restricciones del administrador. Un administrador puede agregar otro administrador. Es posible limitar las funcionalidades de un administrador creando un administrador limitado. Ver Tabla 5-1 en la pgina 98. Para agregar un administrador
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en el icono Administradores. En el panel Tareas, haga clic en Agregar administrador. Se muestra el cuadro de dilogo Agregar administrador.
111
Escriba el nombre del administrador en el primer cuadro de texto. Este nombre es el nombre con el cual el administrador inicia sesin y por el cual es reconocido dentro de la aplicacin. Escriba opcionalmente el nombre completo del administrador en el segundo cuadro de texto. Este campo tiene propsitos informativos solamente. Escriba y confirme la contrasea. La contrasea debe ser de seis o ms caracteres; se permiten todos los caracteres. Especifique el tipo de autenticacin. La configuracin predeterminada es Autenticacin del Servidor de administracin de Symantec. Si desea utilizar la configuracin predeterminada, vaya al paso 9.
5 6 7
8 9
Si desea modificarla por otro tipo de autenticacin, haga clic en Cambiar. En el cuadro de dilogo Autenticacin del administrador, elija una de las siguientes opciones:
Autenticacin del Servidor de administracin de Symantec Para conocer las acciones obligatorias adicionales, consulte Agregar servidores de directorios. Autenticacin de RSA SecurID Para conocer las acciones obligatorias adicionales, consulte Configurar un cliente de RSA ACE. Autenticacin de directorios A continuacin, escriba el servidor de directorios y el nombre de cuenta en los cuadros de texto apropiados.
Administrador, y luego vaya al paso 11. Un administrador tiene acceso y permisos completos dentro de un solo dominio. El administrador no puede configurar servidores de administracin o de Enforcer. Administrador limitado, y luego vaya al paso 12. Un administrador limitado tiene derechos de acceso y permisos asignados para grupos especficos.
112
113
1 2 3 4 5
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Administrador. Seleccione Administradores. En el panel Ver administradores, haga clic en el nombre del administrador. En el panel Tareas, haga clic en Cambiar la contrasea del administrador. En el cuadro de dilogo Cambiar la contrasea, escriba la nueva contrasea en los campos Contrasea nueva y Confirmar contrasea, y haga clic en Aceptar.
1 2 3 4 5
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Administrador. Seleccione Administradores. En el panel Ver administradores, haga clic en el nombre del administrador. Haga clic en Editar propiedades del administrador. En el cuadro de dilogo Propiedades de administrador, seleccione General y actualice los campos Nombre de usuario, Nombre completo y Correo electrnico. Haga clic en el control deslizante de Umbral de intentos de inicio de sesin y muvalo hasta el valor que desee. Marque o deje sin marcar Bloquear esta cuenta. Si elige bloquear la cuenta, decida si desea que se le enve un correo electrnico de notificacin. Escriba o seleccione el nmero de minutos durante los cuales se bloquear la cuenta.
6 7 8 9
1 2 3 4
Desde la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Administrador. Haga clic en Editar propiedades del administrador. Desde la ficha Autenticacin, localice y seleccione el tipo de autenticacin que desea utilizar para autenticar su cuenta. Haga clic en Aceptar.
114
Captulo
Acerca de los paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes Exportar paquetes de instalacin Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes Eliminar paquetes de actualizacin
116
Trabajar con paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes
Durante el proceso de exportacin, se seleccionan los paquetes de instalacin de 32 bits o de 64 bits proporcionados de forma predeterminada. A continuacin, se seleccionan opcionalmente las tecnologas especficas de proteccin de clientes que se instalarn, si no desea instalar todos los componentes. Es posible adems especificar cmo la instalacin interacta con los usuarios finales. Finalmente, es posible instalar los archivos exportados (un paquete) a los equipos uno a la vez, o implementar los archivos exportados a varios equipos simultneamente. Para conocer las opciones de implementacin de instalacin de clientes, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control en el CD. Symantec proporciona de vez en cuando paquetes actualizados de archivos de instalacin. Cuando el software de cliente se instala en los equipos cliente, es posible actualizar automticamente el software de cliente en todos los clientes de un grupo con la funcin de actualizacin automtica. No es necesario volver a implementar el software con las herramientas de distribucin de instalacin.
1 2
En la ficha Administrador, en el panel inferior izquierdo, haga clic en Paquetes de instalacin. En el panel superior izquierdo, bajo Ver, haga clic en Funciones de instalacin de clientes.
Trabajar con paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes
117
3 4 5 6
En el panel inferior izquierdo, bajo Tareas, haga clic en Agregar funciones de instalacin de clientes. En el cuadro de dilogo Funciones de instalacin de clientes, en el cuadro Nombre, escriba un nombre. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
1 2 3 4 5 6
En la ficha Administrador, en el panel inferior izquierdo, haga clic en Paquetes de instalacin. En el panel superior izquierdo, bajo Ver, haga clic en Configuracin de instalacin de clientes. En el panel inferior izquierdo, bajo Tareas, haga clic en Agregar valores de configuracin de instalacin de clientes. En el cuadro de dilogo Configuracin de instalacin de clientes, en el cuadro Nombre, escriba un nombre. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
118
1 2 3 4 5 6
En la ficha Administrador, en el panel inferior izquierdo, haga clic en Paquetes de instalacin. En el panel derecho, haga clic en el paquete para el cual desee recopilar informacin de usuarios. En el panel inferior izquierdo, bajo Tareas, haga clic en Configurar la recopilacin de informacin de usuarios. En el cuadro de dilogo Recopilacin de informacin de usuarios, marque Habilitar Recopilar informacin del usuario. En el cuadro Mensaje emergente, escriba el mensaje que desea que los usuarios lean cuando se les pida informacin. Bajo Seleccione los campos que se mostrarn para que el usuario proporcione informacin, haga clic en el tipo de informacin que se recopilar y despus haga clic en Agregar. Bajo Opcional, marque cualquier nombre de campo opcional para que los usuarios completen. Haga clic en Aceptar.
7 8
119
Tiene una decisin importante para tomar cuando se exportan los paquetes. Es necesario decidir si crear un paquete de instalacin para los clientes administrados o para los no administrados. Si crea un paquete para los clientes administrados, es posible administrarlos con la Consola de Symantec Endpoint Protection Manager. Si crea un paquete para los clientes no administrados, no es posible administrarlos con la Consola de Symantec Endpoint Protection Manager. Nota: Si exporta los paquetes de instalacin de clientes desde una Consola de Symantec Endpoint Protection Manager remota, los paquetes se crean en el equipo desde el cual se ejecuta la consola de administracin remota. Adems, si se utilizan varios dominios, es necesario exportar los paquetes para cada dominio. Si no, no aparecen como disponibles para los grupos del dominio. Despus de exportar uno o ms paquetes de instalacin de archivos, implemente los archivos de instalacin en los equipos cliente. Para obtener informacin sobre la instalacin de software de cliente, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control en el CD. Para exportar paquetes de instalacin
1 2 3 4 5 6
En la ficha Administrador, en el panel inferior izquierdo, haga clic en Paquetes de instalacin. En el panel superior izquierdo, bajo Ver, haga clic en Paquetes de instalacin de clientes. En el panel derecho, bajo Nombre del paquete, haga clic en el paquete que desea exportar. En el panel inferior izquierdo, bajo Tareas, haga clic en Exportar el paquete. En el cuadro de dilogo Exportar paquete, haga clic en Examinar. En el cuadro de dilogo Guardar, busque y seleccione el directorio que contendr el paquete exportado y despus haga clic en Guardar. Los directorios con caracteres de doble byte o hi-ASCII no se admiten y se bloquean.
7 8 9
En el cuadro de dilogo Exportar paquete, configure las otras opciones segn sus metas de instalacin. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
120
Trabajar con paquetes de instalacin de clientes Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes
1 2 3 4 5 6 7 8 9
Copie el paquete a un directorio en Symantec Endpoint Protection Manager. En la consola, haga clic en Administrador. En el panel inferior izquierdo Tareas, haga clic en Paquetes de instalacin. Bajo Tareas, haga clic en Agregar paquete de instalacin de clientes. En el cuadro Agregar un nombre para este paquete, escriba un nombre para el paquete. En el cuadro Descripcin, escriba una descripcin para el paquete. Haga clic en Examinar. En el cuadro de dilogo Abrir, localice y seleccione el archivo nombre_producto.info para el nuevo paquete y despus haga clic en Aceptar. Cuando se indica que se complet correctamente, realice una de las siguientes acciones:
Trabajar con paquetes de instalacin de clientes Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes
121
Si no desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Finalizar. Se ha terminado con este procedimiento. Si desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Exportar paquete y despus finalice este procedimiento.
10 En el cuadro de dilogo Exportar paquete, haga clic en Examinar. 11 En el cuadro de dilogo Guardar, busque y seleccione el directorio que
contendr el paquete exportado y despus haga clic en Guardar.
Si an no lo ha hecho, visualice el panel Paquetes de instalacin de clientes realizando los pasos siguientes:
En la consola, haga clic en Administrador. En el panel inferior izquierdo Tareas, haga clic en Paquetes de instalacin y despus haga clic en Actualizar los grupos con el paquete.
2 3
En el panel Asistente para actualizar grupos, haga clic en Siguiente. En el panel Seleccionar paquete de instalacin de clientes, bajo Seleccione el nuevo paquete de instalacin de clientes, seleccione el paquete que usted agreg. Bajo Seleccione las funciones que desea utilizar, seleccione los componentes que desee actualizar y despus haga clic en Siguiente. En el panel Especificar grupos, marque los grupos que desee actualizar y despus haga clic en Siguiente.
4 5
122
6 7
En el panel Configuracin de actualizacin de paquetes, marque Descargar del servidor de administracin y haga clic en Siguiente. En el panel Finaliz el Asistente para actualizar grupos, haga clic en Finalizar.
1 2 3 4
En la consola, haga clic en Clientes. En el panel Ver, haga clic en un grupo al cual asign el paquete para resaltarlo. En la ficha Paquetes de instalacin, en el panel inferior izquierdo Tareas, haga clic en Agregar paquete de instalacin de clientes. En las fichas General y Notificacin, seleccione las opciones que controlan cmo desea distribuir la actualizacin. Para obtener informacin acerca de la configuracin de otras opciones, haga clic en Ayuda.
Cuando termine de configurar las opciones de distribucin de la actualizacin, haga clic en Aceptar.
1 2 3 4 5
En la consola, haga clic en Administrador. En el panel inferior izquierdo Tareas, haga clic en Paquetes de instalacin. En el panel Paquetes de instalacin de clientes, resalte el paquete que desea eliminar. En el panel inferior izquierdo Tareas, haga clic en Eliminar paquetes. En el mensaje de advertencia, haga clic en S.
Captulo
Acerca de LiveUpdate y las actualizaciones de definiciones y contenido Configurar un sitio para descargar actualizaciones Configurar polticas de clientes de LiveUpdate Opciones avanzadas de distribucin de actualizaciones
124
Para Symantec Network Access Control, solamente se admite el primer tipo de polticas.
Symantec LiveUpdate
Grupo de clientes
Servidor de administracin
Servidor de administracin
Grupos de clientes
125
El proveedor de actualizaciones grupales es una opcin que puede utilizar en cualquier grupo. Cuando crea la poltica de LiveUpdate para el grupo, puede especificar un cliente para descargar actualizaciones. Es posible enviar las actualizaciones a los otros clientes del grupo. El proveedor de actualizaciones grupales no tiene que estar en el grupo y puede actualizar varios grupos. En redes grandes de ms de 10 000 clientes, est disponible un servidor interno de LiveUpdate para conservar el ancho de banda. Esta arquitectura conserva la capacidad de procesamiento en el servidor de administracin. En este caso, es posible configurar el servidor interno de LiveUpdate para descargar actualizaciones de un servidor de Symantec LiveUpdate y enviar actualizaciones a los equipos cliente. Con esta arquitectura, el servidor de administracin descarga las funciones de la actualizacin, pero sigue procesando registros y actualizaciones de polticas. El servidor interno de LiveUpdate tambin es til para las redes que ejecutan varios productos de Symantec que tambin ejecutan LiveUpdate para actualizar clientes. Figura 7-1 ilustra estas opciones ms complejas de la arquitectura.
126
Figura 7-2
Symantec LiveUpdate
Servidor de LiveUpdate
Servidor de LiveUpdate
Servidor de administracin
Grupos de clientes
Grupos de clientes
Nota: Estn disponibles dos opciones adicionales de la arquitectura. Una opcin proporciona la administracin de otro fabricante con herramientas como Microsoft SMS e IBM Tivoli. La otra opcin proporciona un servidor proxy que se ubica entre el servidor interno de LiveUpdate y los servidores de administracin, y los clientes que actualiza. Para obtener informacin acerca del servidor proxy, consulte la Gua del administrador de LiveUpdate en el CD de instalacin. La Tabla 7-1 describe las opciones ms comunes de la arquitectura.
127
Symantec Endpoint De forma predeterminada, Symantec Protection Manager para Endpoint Protection Manager actualiza los los clientes clientes que administra, y los servidores de administracin extraen estas (Valor predeterminado) actualizaciones de la base de datos del sitio. La base de datos del sitio recibi actualizaciones de un servidor de Symantec LiveUpdate. Proveedor de El proveedor de actualizaciones grupales es actualizaciones grupales un cliente que acta como proxy entre para los clientes Symantec Endpoint Protection Manager y los clientes del grupo. El proveedor de actualizaciones grupales recibe actualizaciones de un servidor de administracin o de LiveUpdate, y luego transmite las actualizaciones a los otros clientes del grupo. Un proveedor de actualizaciones grupales puede actualizar varios grupos. Servidor de LiveUpdate para los clientes Los clientes pueden extraer actualizaciones directamente de un servidor de LiveUpdate. El servidor de LiveUpdate puede ser un servidor externo de Symantec LiveUpdate, o un servidor interno de LiveUpdate que recibe actualizaciones de un servidor externo de Symantec LiveUpdate.
Utilice este mtodo para los grupos ubicados junto a ubicaciones remotas con ancho de banda mnimo. Adems, este mtodo reduce la carga en los servidores de administracin.
Utilice el servidor externo de Symantec LiveUpdate para los equipos cliente no administrados que no se conectan siempre a la red corporativa. Utilice el servidor interno de LiveUpdate en redes grandes para reducir la carga del servidor de Symantec Endpoint Protection Manager.
128
Arquitectura
Distribucin de herramientas de otro fabricante (No ilustrado)
Descripcin
Las herramientas de otro fabricante como Microsoft SMS le permitieron distribuir los archivos especficos de la actualizacin a los clientes. Puede recuperar los archivos autoextrables de Intelligent Updater del sitio Web de Symantec que contienen los archivos de las definiciones de virus y el riesgo de seguridad con extensiones jdb y vdb. Ya no se admiten extensiones Idb. Para recibir otros archivos de actualizacin, es necesario configurar un servidor de Symantec Endpoint Protection Manager para descargar y preparar los archivos de la actualizacin.
Tipo de actualizacin
Definiciones de antivirus y del software espa
129
Tipo de actualizacin
Lista de aplicaciones comerciales del Anlisis de amenazas proactivo Firmas de prevencin de intrusiones
Descripcin
Estas listas de aplicaciones son las aplicaciones comerciales legtimas que han generado falsos positivos en el pasado.
Estas firmas protegen el equipo de amenazas de red y admiten los motores de prevencin de intrusiones y de deteccin. Estas firmas controlan el flujo de envos a Symantec Security Response.
La frecuencia para buscar actualizaciones. Los tipos de actualizaciones para descargar. Las polticas de LiveUpdate tambin especifican los tipos de actualizaciones que deben descargar a los clientes. Asegrese de que el sitio descargue todas las actualizaciones especificadas en las polticas de LiveUpdate de los clientes. Los idiomas para los tipos de actualizaciones que se descarguen. El servidor de LiveUpdate que proporciona las actualizaciones al sitio. Es posible especificar un servidor externo de Symantec LiveUpdate (recomendado), o un servidor interno de LiveUpdate que se ha instalado y se ha configurado previamente.
Puede configurar un servidor interno de LiveUpdate en un equipo aun si el software de Symantec Endpoint Protection Manager est instalado o no. En ambos casos, debe emplear la utilidad Administrador de LiveUpdate para actualizar el servidor de LiveUpdate. La utilidad Administrador de LiveUpdate extrae las actualizaciones de las definiciones de un servidor de Symantec LiveUpdate. La utilidad entonces ubica los paquetes en un servidor Web, un sitio FTP o una ubicacin designada con una ruta UNC. Se debe configurar Symantec Endpoint Protection Manager para que extraiga las actualizaciones de las definiciones de esta ubicacin.
130
Para obtener ms informacin, consulte la Gua del administrador de LiveUpdate, disponible en el CD de instalacin o en el sitio Web de soporte de Symantec. Si se utiliza la replicacin, slo se debe configurar un sitio para descargar los archivos de la actualizacin. La replicacin actualiza automticamente la otra base de datos. Sin embargo, como mejor prctica, no debe replicar actualizaciones de productos entre los sitios. Estas actualizaciones pueden ser bastante grandes y existe una para cada idioma que seleccione. Si selecciona descargar actualizaciones de productos con LiveUpdate al administrador de Symantec Endpoint Security, las actualizaciones aparecen automticamente en el panel Paquetes de instalacin. Es posible entonces actualizar clientes con la actualizacin automtica. Si utiliza este enfoque para el control de versin, no debe seleccionar actualizaciones automticas de productos en la poltica de configuracin de LiveUpdate. Nota: Los sitios descargan archivos MSP para las actualizaciones de productos, y despus crean nuevos archivos MSI. Los sitios replican los archivos MSI si selecciona replicar actualizaciones de productos. Los archivos MSP son una fraccin del tamao de los archivos MSI. La mejor prctica es la programacin predeterminada de que el administrador de Symantec Endpoint Protection Manager ejecute LiveUpdate cada 4 horas. Para configurar un sitio para descargar actualizaciones
1 2 3 4
En la consola, haga clic en Administrador. En el panel Tareas, haga clic en Servidores. En el panel Ver, haga clic con el botn secundario en Sitio local, y luego en Propiedades. En el cuadro de dilogo Propiedades del sitio, en la ficha LiveUpdate, bajo Programacin de descarga, configure las opciones de programacin de la frecuencia con la que el servidor debe buscar actualizaciones. Bajo Tipos de actualizaciones para descargar, examine la lista de tipos de actualizacin que se descargan. Para agregar o eliminar un tipo de actualizacin, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. Bajo Idiomas, examine la lista de idiomas de los tipos de actualizaciones que se descargan. Para agregar o eliminar un idioma, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar.
5 6 7 8
131
Bajo Servidores de origen de LiveUpdate, examine el servidor actual de LiveUpdate que se utiliza para actualizar el servidor de administracin, que es el servidor de Symantec LiveUpdate de forma predeterminada, y realice una de las siguientes tareas:
Para utilizar el servidor de origen existente de LiveUpdate, haga clic en Aceptar. No contine con este procedimiento, ya ha terminado. Para utilizar LiveUpdate interno, haga clic en Editar servidores de origen y contine con este paso.
132
1 2 3
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, en la ficha Polticas de LiveUpdate, si una poltica existe y est resaltada, haga clic con el mouse en alguna parte del panel, excepto donde estn mencionadas las polticas (en el espacio blanco). Desea quitar la seleccin de la poltica seleccionada y quitarle el resaltado amarillo.
4 5 6 7 8
En la seccin inferior izquierda del panel Qu desea hacer?, haga clic en Agregar una poltica de configuracin de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Bajo Poltica de LiveUpdate, haga clic en Programar. En el panel Programar, acepte o modifique las opciones de programacin. Bajo Poltica de LiveUpdate, haga clic en Configuracin del servidor.
133
En el panel Configuracin del servidor, bajo Servidor interno o externo de LiveUpdate, marque y habilite al menos una fuente de la cual extraer actualizaciones. La mayora de las organizaciones deben utilizar el servidor de administracin predeterminado.
10 Bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada. 11 Decida si se guardarn o se modificarn las opciones predeterminadas.
Generalmente, no se permite que los usuarios modifiquen las opciones de actualizacin. Sin embargo, es posible permitir que inicien manualmente una sesin de LiveUpdate si usted no admite centenares o millares de clientes.
12 Cuando haya configurado su poltica, haga clic en Aceptar. 13 En el cuadro de dilogo Aplicar poltica, realice una de las siguientes acciones:
Haga clic en S para guardar y para asignar la poltica a un grupo o a la ubicacin en un grupo. Haga clic en No para guardar la poltica solamente.
134
configuracin se modifique de una revisin especfica a la ltima disponible. Los servidores de LiveUpdate no comprenden funciones de las versiones con nombre. Las versiones con nombre le permiten efectuar un control ms estricto sobre las actualizaciones que obtienen los clientes. Generalmente, los entornos que prueban las ltimas actualizaciones antes de distribuirlas a los clientes utilizan la funcin de la versin con nombre. Nota: El uso de revisiones especficas proporciona funciones de la restauracin. Para configurar una poltica de contenido de LiveUpdate
1 2 3
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en Contenido de LiveUpdate. En el panel Polticas de LiveUpdate, en la ficha Polticas de LiveUpdate, si una poltica existe y est resaltada, haga clic con el mouse en alguna parte del panel, excepto donde estn mencionadas las polticas (en el espacio blanco). Desea quitar la seleccin de la poltica seleccionada y quitarle el resaltado amarillo.
4 5 6 7
En la seccin inferior izquierda del panel Qu desea hacer?, haga clic en Agregar una poltica de contenido de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. En el panel Contenido de LiveUpdate, haga clic en Definiciones de seguridad. En el panel Definiciones de seguridad, marque las actualizaciones que se descargarn e instalarn, y deje sin marcar las actualizaciones que no se utilizarn. Para cada actualizacin, realice una de las siguientes acciones:
Si no activ Seleccionar una revisin para un tipo de actualizacin, haga clic en Aceptar y, luego, contine con el paso 12. Si activ Seleccionar una revisin para un tipo de actualizacin, haga clic en Editar y, luego, contine con el paso siguiente.
135
11 En la ventana Poltica de contenido de LiveUpdate, haga clic en Aceptar. 12 En el cuadro de dilogo Aplicar poltica, haga clic en S.
Es posible cancelar este procedimiento y aplicar la poltica despus.
1 2 3 4
En la consola, haga clic en Polticas y cree por lo menos dos polticas de contenido de LiveUpdate. Aplique una de las polticas a un grupo. En la ficha Polticas, bajo Otra configuracin de grupo en el panel derecho, haga clic en Poltica de contenido de LiveUpdate. En el cuadro de dilogo Poltica de contenido de LiveUpdate, observe el nombre de la poltica que se utiliza actualmente bajo la poltica de contenido de LiveUpdate aplicada. Para modificar la poltica que se aplica al grupo, bajo Elegir una de la siguiente lista para sobrescribir la poltica de contenido, haga clic en la poltica de contenido que desea utilizar y, luego, haga clic en Aceptar.
136
de actualizaciones grupales. El proveedor de actualizaciones grupales no tiene que ser un miembro del grupo a quien proporciona actualizaciones. El proveedor de actualizaciones grupales tambin le permite descargar la capacidad de procesamiento de Symantec Endpoint Protection Manager, si necesita esa opcin. Nota: Puede configurar el proveedor de actualizaciones grupales cuando crea una poltica o cuando modifica una poltica existente. Primero debe crear una poltica sin el proveedor de actualizaciones grupales y verificar que los equipos cliente reciban las actualizaciones. Una vez que realiz la verificacin, puede agregar el proveedor de actualizaciones grupales. Este enfoque ayuda a solucionar problemas de comunicacin. Sin embargo, si el equipo del proveedor de actualizaciones grupales se desconecta, los clientes del grupo obtienen actualizaciones directamente desde el servidor de administracin. Cuando configura un proveedor de actualizaciones grupales, se especifica un nombre de host o una direccin IP y un nmero de puerto TCP. El nmero de puerto TCP predeterminado es 2967, un puerto que fue utilizado en las comunicaciones de red de Symantec AntiVirus 10.x y de Symantec Client Security 3.x. Si su equipo proveedor de actualizaciones grupales recibe direcciones IP con DHCP, se debe o asignar una direccin IP esttica al equipo, o escribir el nombre de host. Si su equipo proveedor de actualizaciones grupales est en una ubicacin remota y esa ubicacin remota utiliza la traduccin de direcciones de red (NAT), escriba el nombre de host. Nota: Si el proveedor de actualizaciones grupales ejecuta los firewalls de Windows o Symantec Client Firewall, es necesario modificar las polticas de firewall para permitir que el puerto 2967 TCP reciba comunicaciones de Symantec Endpoint Protection Manager. Para configurar un proveedor de actualizaciones grupales en la poltica de configuracin de LiveUpdate
1 2 3 4 5
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, en la ficha Polticas de LiveUpdate, bajo Nombre, seleccione la poltica que desea editar. En la seccin inferior izquierda del panel Qu desea hacer?, haga clic en Editar la poltica. En la ventana Poltica de LiveUpdate, haga clic en Configuracin del servidor.
137
En la ficha Servidor de LiveUpdate, bajo Opciones del servidor de la red local, marque Usar el proveedor de actualizaciones para grupos como servidor predeterminado de LiveUpdate. Haga clic en Proveedor de actualizaciones grupales. En el cuadro de dilogo Proveedor de actualizaciones grupales, en el cuadro Host, escriba una direccin IP o un nombre de host. En el cuadro Puerto, acepte o modifique la configuracin predeterminada y, a continuacin, haga clic en Aceptar. LiveUpdate an est seleccionado, y, luego, haga clic en Aceptar.
7 8 9
138
Nota: Actualmente, Intelligent Updater actualiza slo las definiciones de virus y riesgos de seguridad. Asegrese de utilizar los archivos de Intelligent Updater para empresas en lugar de la versin del producto para consumidores. Para descargar Intelligent Updater
2 3 4 5 6 7
Bajo Virus Definitions, haga clic en Download Virus Definitions Manually. Haga clic en Download Virus Definitions (Intelligent Updater Only). Seleccione el idioma y el producto adecuados. Haga clic en Download Updates. Haga clic en el archivo con la extensin .exe. Cuando se le solicite que especifique una ubicacin para guardar los archivos, seleccione una carpeta del disco duro.
1 2
Localice el archivo de Intelligent Updater que haya descargado de Symantec. Haga doble clic en el archivo y siga las instrucciones que aparecern en pantalla.
Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones a los clientes administrados
Las redes grandes pueden confiar en las herramientas de distribucin de otro fabricante como IBM Tivoli, Microsoft SMS, entre otros, para distribuir actualizaciones en los equipos cliente. El software de cliente de Symantec admite la distribucin de actualizaciones con estas herramientas. Para utilizar las herramientas de distribucin de otro fabricante, debe conseguir los archivos de actualizacin y distribuirlos con una herramienta de distribucin. Para los equipos cliente administrados, puede conseguir archivos de actualizacin despus de instalar y configurar el servidor de Symantec Endpoint Protection Manager como el primer y nico servidor de un sitio. Luego, programe y seleccione las actualizaciones de LiveUpdate que desea descargar. Ver "Configurar un sitio para descargar actualizaciones" en la pgina 129. Los archivos de actualizacin se descargan en los subdirectorios del siguiente directorio (predeterminado):
\Program Files\Symantec Endpoint Protection Manager\data\outbox\
139
A continuacin, distribuya los archivos en los directorios de la bandeja de entrada de los equipos cliente: El siguiente directorio aparece en los equipos cliente que no ejecutan Windows Vista:
\\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\
El siguiente directorio aparece en los equipos cliente que ejecutan Windows Vista:
\\Program Data\Symantec\Symantec Endpoint Protection\inbox\
De forma predeterminada, este directorio no existe y el software de cliente no marca ni procesa contenido en este directorio. Para los equipos cliente administrados, debe configurar la poltica de LiveUpdate para el grupo, habilitar la distribucin de otro fabricante en los clientes del grupo, y aplicar la poltica. Para los clientes no administrados, debe habilitar una clave del registro manualmente. Nota: Una mejor prctica es habilitar esta ayuda con la poltica de LiveUpdate.
Habilitar la distribucin del contenido de otro fabricante en equipos cliente administrados con una poltica de LiveUpdate
Cuando crea una poltica de LiveUpdate que admite la distribucin de contenido de otros fabricantes en los equipos cliente administrados, tiene un par de objetivos adicionales. Un objetivo es reducir la frecuencia con la que los clientes buscan actualizaciones. El otro objetivo es, generalmente, deshabilitar la capacidad de los usuarios de clientes de ejecutar manualmente LiveUpdate. El trmino equipos cliente administrados significa que los clientes estn administrados con las polticas de Symantec Endpoint Protection Manager. Cuando haya terminado con este paso, el siguiente directorio aparece en los equipos cliente del grupo que no ejecuta Windows Vista:
\\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\
El siguiente directorio aparece en los equipos cliente del grupo que ejecuta Windows Vista:
\\Program Data\Symantec\Symantec Endpoint Protection\inbox\
140
Para habilitar la distribucin del contenido de otro fabricante en equipos cliente administrados con una poltica de LiveUpdate
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, habilite la ficha Polticas de LiveUpdate. En la seccin inferior izquierda del panel, bajo Qu desea hacer?, haga clic en Agregar una poltica de configuracin de LiveUpdate. En la ventana Poltica de LiveUpdate, en los cuadros Nombre de poltica y Descripcin, escriba un nombre y una descripcin. Haga clic en Planificar. En el panel Programar, bajo Frecuencia, marque Semanalmente. Desactive el resto de las opciones y, luego, haga clic en Configuracin del servidor. En la ficha Servidor de LiveUpdate, marque Habilitar administracin de contenido de terceros. en Configuracin avanzada.
10 Desactive el resto de las opciones de origen de LiveUpdate y, luego, haga clic 11 Bajo Configuracin de seguridad del cliente, marque No permitir que el cliente
modifique la configuracin de la actualizacin y No permitir que el cliente inicie LiveUpdate manualmente.
141
Nota: Si prepara los archivos de actualizacin en los equipos cliente antes de colocarlos en el directorio /inbox, es necesario copiar los archivos. Trasladar los archivos no funciona. Es posible adems copiar archivos .vdb y .jdb a la bandeja de entrada para el procesamiento. Para distribuir contenido a equipos cliente administrados con herramientas de distribucin de terceros
1 2 3 4
En el equipo con Symantec Endpoint Protection Manager, cree un directorio de trabajo tal como \Dir_Trabajo. En la consola, en la ficha Clientes, haga clic con el botn secundario en el grupo que desea actualizar y despus haga clic en Propiedades. Documente los primeros cuatro valores hexadecimales del Nmero de serie de la poltica, tal como 7B86. Desplcese hasta el siguiente directorio: \\Program Data\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent
Localice el directorio que contiene los primeros cuatro valores hexadecimales que coinciden con el Nmero de serie de la poltica de su grupo de equipos cliente. Abra el directorio y copie index2.dax en su directorio de trabajo, por ejemplo\Dir_Trabajo\index2.dax. Desplcese hasta el siguiente directorio: \\Program Data\Symantec\Symantec Endpoint Protection Manager\Inetput\content
6 7
Abra y lea ContentInfo.txt para detectar el contenido que cada directorio de <<apodo de destino>> incluye. El contenido de cada directorio es <<apodo de destino>>\<nm. secuencia>\full.dax|full.zip|full. El archivo que necesita es <<apodo de destino>>\<ltimo nm. de secuencia>\index.dax.
Copie el contenido de cada directorio \<<apodo de destino>> al directorio de trabajo, como \Dir_Trabajo.
142
Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones a los clientes no administrados
Si instal clientes no administrados desde el CD de instalacin, los equipos cliente no confan y no procesan las actualizaciones de polticas o de contenido para los propsitos de seguridad. Para permitir que los equipos cliente procesen actualizaciones, debe crear la siguiente clave del registro:
HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState
Configure el valor al hexadecimal 80 de modo que la clave se vea como 0x00000080 (128) Despus de configurar esta clave, debe reiniciar el equipo o ejecutar los siguientes comandos desde el directorio \Symantec\Symantec Endpoint Protection\:
smc.exe -stop smc.exe -start
El siguiente directorio aparece en los equipos cliente que no ejecutan Windows Vista:
\\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\
143
El siguiente directorio aparece en los equipos cliente que ejecutan Windows Vista:
\\Program Data\Symantec\Symantec Endpoint Protection\inbox\
Ahora puede utilizar las herramientas de distribucin de otro fabricante para copiar las actualizaciones de contenido o de polticas a este directorio. El software de cliente de Symantec despus confa y procesa el contenido. Obtiene el contenido para distribuir de Symantec Endpoint Protection Manager de la misma manera que lo hace para los equipos cliente administrados. Sin embargo, en vez de copiar index2.dax del directorio de grupos de clientes administrados en el paso 2, copie index2.xml del grupo global. Copie el archivo full.dax segn la descricpin para el equipo cliente administrado. Luego, podr distribuir estos archivos. Es posible adems cortar los archivos .vdb y .jdb de la bandeja de entrada del cliente para procesarlos. Nota: Si prepara la actualizacin de los archivos en los equipos, debe copiarlos a la bandeja de entrada. Los archivos de la actualizacin no se procesan si los mueve a la bandeja de entrada. Ver "Para distribuir contenido a equipos cliente administrados con herramientas de distribucin de terceros" en la pgina 141. Nota: Despus de una instalacin de cliente administrado, la clave del registro de TPMState tiene un valor de 0, que es posible modificar. (Esta clave no existe despus de una instalacin de cliente no administrado). Adems, no es necesario que reinicie el equipo o que ejecute el comando smc.exe para la instalacin del equipo cliente administrado. El directorio aparece tan pronto como se modifique la clave del registro.
144
Captulo
Acerca de los mecanismos de notificacin de comunicaciones Acerca de la comunicacin entre Symantec Endpoint Protection Manager y el servidor de correo electrnico Notificar al administrador del sistema sobre eventos
146
Configurar mecanismos de notificacin de comunicaciones Acerca de la comunicacin entre Symantec Endpoint Protection Manager y el servidor de correo electrnico
Acerca de la comunicacin entre Symantec Endpoint Protection Manager y el servidor de correo electrnico
Si desea que los administradores reciban notificaciones automticas de correo electrnico de eventos de seguridad seleccionados, es necesario establecer una conexin entre Symantec Endpoint Protection Manager y un servidor de correo. Ver "Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo" en la pgina 300.
1 2 3 4 5 6 7 8
En Symantec Endpoint Protection Manager, haga clic en Administrador. En el panel Ver administadores, en el rbol, seleccione el nombre del administrador del sistema que desea que reciba notificaciones. Haga clic en Editar propiedades del administrador. En Propiedades del administrador de sistema para la pgina [nombre], en la ficha General, escriba el nombre de usuario del administrador. Escriba el nombre completo del administrador. Escriba la direccin de correo electrnico del administrador. Haga clic y arrastre el control deslizante de Umbral de intentos de inicio de sesin para modificar el valor del umbral. Haga clic en Bloquear esta cuenta cuando los intentos de inicio de sesin exceden el umbral si desea bloquear la cuenta si los intentos de inicio de sesin exceden el umbral. Haga clic en Enviar alerta por correo electrnico cuando se bloquee la cuenta para recibir un correo electrnico siempre que se bloquee la cuenta.
Configurar mecanismos de notificacin de comunicaciones Notificar al administrador del sistema sobre eventos
147
Tipos de notificaciones
Es posible enviar los tipos de notificaciones siguientes:
Error de autenticacin Error de autenticacin en un servidor Modificacin en la lista de clientes Alerta de seguridad de cliente Alerta de seguridad del cliente por cantidad de equipos Alerta de seguridad de clientes en equipos individuales Enforcer inactivo Buscar nuevos riesgos Aplicacin aprendida Nuevo paquete de software Ataque por nm. de equipos Ataque por equipos individuales Ataque de riesgo Estado del servidor Evento de riesgo simple Evento del sistema Equipo sin clientes Definiciones de virus desactualizadas Se detect aplicacin en lista blanca
Estas notificaciones se le envan a la direccin de correo electrnico que usted especific en "Para configurar las opciones de notificacin de correo electrnico para un administrador del sistema" en la pgina 146. Es posible adems notificar a otras cuentas de correo electrnico y configurar un intervalo de reduccin en los correos de alertas.
148
Configurar mecanismos de notificacin de comunicaciones Notificar al administrador del sistema sobre eventos
Intervalo de tiempo Filtrar reconocidos Filtro creado por Dominio Grupo de clientes Servidor principal Equipo Nombre del riesgo Gravedad del riesgo Origen Accin Lmite de tamao del registro
1 2 3
Desde Symantec Endpoint Protection Manager, haga clic en la ficha Supervisin. Desde la pgina Supervisin, haga clic en la ficha Notificaciones. Expanda la lista desplegable Tipo de notificacin y haga clic en Error de autenticacin para recibir un mensaje cuando se produce un error en la autenticacin. Expanda la lista desplegable Intervalo de tiempo y seleccione el filtro de intervalo de tiempo que desee utilizar.
Configurar mecanismos de notificacin de comunicaciones Notificar al administrador del sistema sobre eventos
149
5 6
Expanda la lista desplegable Filtrar reconocidos y elija si desea filtrar por reconocido, no reconocido o ambos. Expanda los mens desplegables Dominio, Grupo de clientes, Servidor principal, Equipo, Nombre del riesgo, Gravedad del riesgo, Origen y Accin para definir sus selecciones de filtro. Expanda la lista desplegable del lmite y seleccione el lmite de tamao (en nmero total de entradas) para el registro de notificaciones. Haga clic en Guardar filtro. En el campo de entrada Nombre del filtro, escriba el nombre del nuevo filtro y despus haga clic en Guardar filtro.
7 8 9
1 2 3 4 5 6
Desde Symantec Endpoint Protection Manager, haga clic para seleccionar la ficha Supervisin. Haga clic en la ficha Notificaciones. Haga clic en la lista desplegable Tipo de notificacin y despus haga clic en Evento del sistema para recibir un mensaje por cada evento del sistema. Haga clic para expandir la lista desplegable Intervalo de tiempo y haga clic para seleccionar el filtro de intervalo de tiempo que desee utilizar. Haga clic para expandir la lista desplegable Filtrar reconocidos y haga clic para seleccionar si desea filtrar por reconocido, no reconocido o ambos. Haga clic en los mens desplegables Dominio, Grupo de clientes, Servidor principal, Equipo, Nombre del riesgo, Gravedad del riesgo, Origen y Accin para definir sus selecciones de filtro. Haga clic para expandir la lista desplegable del lmite y seleccione el lmite de tamao (en nmero total de entradas) para el registro de notificaciones. Haga clic en Guardar filtro. En el campo de entrada Nombre del filtro, escriba el nombre del nuevo filtro y despus haga clic en Guardar filtro.
7 8 9
150
Configurar mecanismos de notificacin de comunicaciones Notificar al administrador del sistema sobre eventos
Nota: Es posible configurar la configuracin de personalizacin para que todas las notificaciones de clientes sean iguales. Elija Usar la misma configuracin personalizada para todos los tipos, situada en la parte inferior de esta seccin del cuadro de dilogo. Para supervisar alertas de seguridad de clientes
Seleccione Notificacin de alerta de seguridad del cliente para recibir un mensaje cuando se atacan los clientes o cuando se activa una norma de firewall con notificacin de correo electrnico. Para seleccionar los grupos especficos que desea supervisar, haga clic en Personalizar. Aparecer el cuadro de dilogo Seleccionar grupos de notificacin.
Es posible elegir Supervisar todos los grupos o elegir especficamente los dominios individuales que desee supervisar. Cuando haya terminado, haga clic en Aceptar para volver al cuadro de dilogo Notificacin por correo electrnico.
Haga clic en Notificacin de aplicacin aprendida para recibir un mensaje cuando se aprenden nuevas aplicaciones. Para seleccionar los grupos que desea supervisar, haga clic en Personalizar. Aparecer el cuadro de dilogo Seleccionar grupos de notificacin. Es posible elegir Supervisar todos los grupos o elegir especficamente los dominios individuales que desea supervisar. Cuando haya terminado de elegir los grupos, haga clic en Aceptar para volver al cuadro de dilogo Notificacin por correo electrnico.
Haga clic en Notificacin de modificaciones en la lista de clientes para recibir un mensaje cuando la lista de clientes de grupo se modifica. Para supervisar grupos especficos, haga clic en Personalizar. Aparecer el cuadro de dilogo Seleccionar grupos de notificacin.
Es posible elegir Supervisar todos los grupos o elegir especficamente los grupos individuales que desea supervisar. Cuando haya terminado de elegir los grupos, haga clic en Aceptar para volver al cuadro de dilogo Notificacin por correo electrnico.
Configurar mecanismos de notificacin de comunicaciones Notificar al administrador del sistema sobre eventos
151
1 2
Seleccione Notificar a otras cuentas de correo electrnico en la parte inferior del cuadro de dilogo. Seleccione Configuracin de correo electrnico para especificar los destinatarios y las direcciones a las cuales desee enviar correo electrnico. Es posible escribir varias direcciones en cualquiera de las lneas. Utilice comas para separar cada direccin. Haga clic en Aceptar para volver al cuadro de dilogo Notificacin por correo electrnico.
Seleccione Reduccin automtica para implementar la sincronizacin automtica de alertas de correos electrnicos. sta es la opcin predeterminada. Seleccione Reduccin para implementar alertas de correos electrnicos sincronizadas. El intervalo predeterminado es una hora; pero es posible elegir un intervalo de 10 minutos a 10 horas. Cuando haya finalizado con esta ficha, haga clic en la ficha General si necesita modificar las opciones o haga clic en Aceptar. La ficha General incluye otra configuracin de notificacin de correo electrnico para cuando su cuenta de administrador est bloqueada debido a demasiados intentos de inicio de sesin.
152
Configurar mecanismos de notificacin de comunicaciones Notificar al administrador del sistema sobre eventos
Captulo
Acerca del acceso a la interfaz del cliente Bloquear y desbloquear las opciones administradas Modificar el nivel de control del usuario Proteger el cliente con contrasea
Para las opciones de antivirus y de proteccin contra software espa, es posible bloquear o desbloquear las opciones.
154
Limitar el acceso de usuarios a las funciones de clientes Bloquear y desbloquear las opciones administradas
Para las opciones de firewall, las opciones de prevencin de intrusiones y algunas opciones de la interfaz de usuario del cliente, es posible configurar el nivel de control del usuario y configurar las opciones asociadas. Es posible proteger el cliente con contrasea. Ver "Proteger el cliente con contrasea" en la pgina 161.
Las opciones se bloquean o se desbloquean en las pginas o los cuadros de dilogo donde aparecen. Para bloquear y desbloquear las opciones administradas
Abra una poltica antivirus y contra software espa. Ver "Editar una poltica" en la pgina 404.
En la pgina Antivirus y proteccin contra software espa, haga clic en una de las siguientes pginas:
Limitar el acceso de usuarios a las funciones de clientes Modificar el nivel de control del usuario
155
Auto-Protect para Microsoft Outlook Auto-Protect para Lotus Notes Anlisis de amenazas proactivo Envos Otros
3 4
Haga clic en el icono del candado para bloquear o desbloquear la opcin. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. Adems, puede bloquear y desbloquear las opciones de proteccin contra intervenciones. Ver "Configurar Proteccin contra intervenciones" en la pgina 359.
156
Limitar el acceso de usuarios a las funciones de clientes Modificar el nivel de control del usuario
Tabla 9-2
La configuracin que se establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Cuando se crea una nueva ubicacin, se establece automticamente el control de servidores para ella. Control de clientes Proporciona a los usuarios el control ms alto sobre el cliente. El control de clientes desbloquea la configuracin administrada de modo que los usuarios puedan configurarla. El control de clientes tiene las caractersticas siguientes: Los usuarios pueden modificar o habilitar normas de firewall, notificaciones de firewall, opciones de firewall, opciones especficas de la aplicacin, opciones de la prevencin de intrusiones y opciones de la interfaz de usuario del cliente. El cliente omite las normas de firewall que usted configura para el cliente.
Es posible otorgar control de clientes a los equipos cliente que los empleados utilizan en una ubicacin remota o desde su casa.
Limitar el acceso de usuarios a las funciones de clientes Modificar el nivel de control del usuario
157
Descripcin
Proporciona al usuario un control mixto sobre el cliente. El control mixto tiene las caractersticas siguientes: Los usuarios pueden modificar las normas de firewall y las opciones especficas de la aplicacin. Es posible configurar las normas de firewall, que pueden o no reemplazar las normas que los usuarios configuran. La posicin de las normas del servidor en la lista de normas de la poltica de firewall determina si las normas del servidor reemplazan las normas del cliente. Es posible especificar ciertas opciones para que estn disponibles o no en el cliente para que los usuarios puedan habilitarlas y configurarlas. Estas opciones incluyen los registros de la proteccin contra amenazas de red, los registros de administracin de clientes, las opciones del firewall, las opciones de la prevencin de intrusiones y algunas opciones de la interfaz de usuario. Es posible configurar las opciones de la proteccin antivirus y contra software espa para que reemplacen la configuracin del cliente, incluso si la configuracin est desbloqueada. Por ejemplo, si usted desbloquea la funcin Auto-Protect y el usuario la deshabilita, es posible habilitar Auto-Protect.
La configuracin que se establece para el control de clientes est disponible para el usuario. La configuracin que se establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 158.
Algunas opciones administradas tienen elementos dependientes. Por ejemplo, los usuarios pueden tener permiso para configurar normas de firewall, pero no pueden acceder a la interfaz de usuario del cliente. Dado que los usuarios no tienen acceso al cuadro de dilogo Configurar normas de firewall, no pueden crear normas. Es posible configurar un nivel de control de usuario distinto para cada ubicacin. Nota: Los clientes que se ejecutan en control de clientes o control mixto pasan al control de servidores cuando el servidor aplica una poltica de cuarentena.
158
Limitar el acceso de usuarios a las funciones de clientes Modificar el nivel de control del usuario
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo cuya ubicacin desea modificar. Haga clic en la ficha Polticas. En Configuracin y polticas especficas de la ubicacin, en la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente, realice una de las siguientes opciones:
Haga clic en Control de servidores y despus haga clic en Personalizar. Haga clic en Control de clientes. Haga clic en Control mixto y a continuacin haga clic en Personalizar. Ver "Acerca del control mixto" en la pgina 158.
Opciones de interfaz de usuario Opciones de proteccin general contra amenazas de red Opciones de poltica de firewall
Limitar el acceso de usuarios a las funciones de clientes Modificar el nivel de control del usuario
159
Configure el nivel de control del usuario de cliente en control del servidor. Configure el nivel de control del usuario del cliente en control mixto y configure la funcin principal en la ficha Configuracin de control de clientes y servidores en Servidor. Por ejemplo, es posible configurar la opcin Mostrar u ocultar icono del rea de notificacin en Cliente. El icono del rea de notificacin aparece en el cliente, y el usuario puede elegir mostrar u ocultar el icono. Si configura la opcin Mostrar u ocultar icono del rea de notificacin en Servidor, puede elegir si desea visualizar el icono del rea de notificacin en el cliente.
Modifique el nivel de control del usuario en control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 155.
En el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente, en la ficha Configuracin de control de clientes y servidores, realice una de las siguientes acciones:
Bloquee una opcin de modo que se pueda configurar solamente desde el servidor. Para la opcin que desee bloquear, haga clic en Servidor. La configuracin de la proteccin antivirus y contra software espa que usted establece en Servidor anula la configuracin del cliente. Desbloquee una opcin de modo que el usuario pueda configurarla en el cliente. Para la opcin que desee, haga clic en Cliente. La opcin Cliente est seleccionada de manera predeterminada.
160
Limitar el acceso de usuarios a las funciones de clientes Modificar el nivel de control del usuario
Para las siguientes opciones que usted configura en Servidor, haga clic en Configuracin de la interfaz de usuario del cliente para configurarlas:
Mostrar/Ocultar el icono Mostrar el icono del rea de notificacin. en el rea de notificacin Habilitar/inhabilitar proteccin contra amenazas de red Permitir a los usuarios habilitar e inhabilitar proteccin contra amenazas de red.
Comando de men Prueba Permitir a los usuarios realizar prueba de seguridad. de seguridad de red Mostrar/ocultar Mostrar notificaciones de prevencin de intrusiones notificaciones de prevencin de intrusiones.
Para obtener informacin sobre en qu parte de la consola se configuran las opciones restantes que usted establece en Servidor, haga clic en Ayuda. Para habilitar la configuracin del firewall y la configuracin de prevencin de intrusiones, configrelas en las polticas de firewall y de prevencin de intrusiones. Ver "Habilitar el filtro de trfico inteligente" en la pgina 545. Ver "Habilitar configuracin de trfico y de ocultacin" en la pgina 546. Ver "Configurar la prevencin de intrusiones" en la pgina 549.
En la ficha Configuracin de la interfaz de usuario del cliente, marque la casilla de verificacin de la opcin de modo que la opcin est disponible en el cliente. Haga clic en Aceptar. Haga clic en Aceptar.
5 6
Modifique el nivel de control del usuario en control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 155.
En el cuadro de dilogo Configuracin de la interfaz de usuario del cliente, marque la casilla de verificacin de una opcin de modo que la opcin aparezca en el cliente para que el usuario la utilice. Haga clic en Aceptar. Haga clic en Aceptar.
3 4
Limitar el acceso de usuarios a las funciones de clientes Proteger el cliente con contrasea
161
Abrir la interfaz de usuario del cliente. Detener el cliente. Importar y exportar la poltica de seguridad. Desinstalar el cliente.
Es posible modificar la configuracin de la proteccin mediante contrasea solamente para los subgrupos que no heredan de un grupo principal. Para proteger el cliente con contrasea
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En Ver clientes, seleccione el grupo para el que desea configurar la proteccin mediante contrasea. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. Haga clic en Configuracin de seguridad. En la ficha Configuracin de seguridad, elija una de las siguientes casillas de verificacin:
Solicitar una contrasea para abrir la interfaz de usuario del cliente Solicitar una contrasea para detener el servicio de cliente Solicitar una contrasea para importar o exportar una poltica Solicitar una contrasea para desinstalar el cliente
7 8
En el cuadro de texto Confirmar contrasea, vuelva a escribir la contrasea. Haga clic en Aceptar.
162
Limitar el acceso de usuarios a las funciones de clientes Proteger el cliente con contrasea
Captulo
10
Acerca de los informes Acerca de los informes que puede ejecutar Acerca de la visualizacin de registros e informes Cmo la elaboracin de informes utiliza la base de datos Acerca de eventos registrados de su red Acerca de los registros Acceder a las funciones de elaboracin de informes Acerca del uso de SSL con las funciones de elaboracin de informes Usar la pgina principal de Symantec Endpoint Protection Usar la pgina principal de Symantec Network Access Control Configurar preferencias de la elaboracin de informes Acerca de los horarios de anlisis de clientes utilizados en informes y registros Acerca del uso del filtro ltimas 24 horas para informes y registros Acerca del uso de filtros que buscan grupos en informes y registros
164
Pgina de inicio personalizable con sus informes ms importantes, estado de la seguridad general y vnculos a Symantec Security Response. Vistas de resumen de informes acerca del estado del antivirus, estado de la Proteccin contra amenazas de red, estado de cumplimiento y estado del sitio. Informes rpidos predefinidos e informes grficos personalizables con varias opciones de filtro que es posible configurar. La capacidad de programar los informes que se enviarn por correo electrnico a los destinatarios en los intervalos regulares. Ayuda para Microsoft SQL o una base de datos integrada para almacenar registros de eventos. La capacidad de ejecutar anlisis de equipos cliente, de activar la Proteccin contra amenazas de red del cliente y Auto-Protect, y de reiniciar los equipos directamente desde los registros. La capacidad de agregar exclusiones de la aplicacin directamente desde los registros. Notificaciones configurables que se basan en los eventos de seguridad.
Si est instalado Symantec Network Access Control, la elaboracin de informes incluye las siguientes funciones:
Pgina de inicio con una vista de resumen general del estado del cumplimiento. Informes grficos predefinidos y personalizables con varias opciones de filtro. Ayuda para Microsoft SQL o una base de datos integrada para almacenar registros de eventos.
165
La capacidad de programar los informes que se enviarn por correo electrnico a los destinatarios en los intervalos regulares. Notificaciones configurables que se basan en los eventos de seguridad.
La elaboracin de informes se ejecuta como aplicacin Web dentro de la consola de administracin. La aplicacin utiliza un servidor Web para entregar esta informacin. Es posible adems acceder a las funciones de elaboracin de informes desde un navegador Web independiente que se conecte al servidor de administracin. Las tareas bsicas de la elaboracin de informes incluyen:
Registro en informes mediante un navegador Web. Uso de la pgina de inicio y la vista de resumen para conseguir la informacin rpida sobre eventos en su red de seguridad. Configuracin de las preferencias de la elaboracin de informes. Uso de vnculos a Symantec Security Response.
Auditora
166
Tipo de informe
Cumplimiento
Descripcin
Muestra informacin sobre el estado del cumplimiento de su red. Estos informes incluyen informacin sobre los servidores de Enforcer, los clientes de Enforcer, el trfico de Enforcer y el cumplimiento de hosts. Muestra informacin sobre el estado operacional de los equipos de su red, como qu equipos tienen rasgos de seguridad desactivados. Estos informes incluyen informacin sobre versiones, sobre los clientes que se han registrado en el servidor, el inventario de clientes y el estado en lnea.
Proteccin contra amenazas Muestra informacin sobre prevencin de intrusiones, de red ataques en el firewall y sobre trfico y paquetes del firewall. Riesgo Muestra informacin sobre eventos de riesgo en los servidores de administracin y sus clientes. Incluye informacin sobre la Proteccin proactiva contra amenazas. Muestra informacin sobre la actividad del anlisis antivirus y contra software espa. Muestra informacin sobre tiempos del evento, tipos de evento, sitios, dominios, servidores y niveles de gravedad.
Anlisis
Sistema
Ver "Acerca de los informes" en la pgina 192. Nota: Algunos informes predefinidos contienen la informacin que se obtiene de Symantec Network Access Control. Si no ha comprado ese producto, sino que ejecuta uno de los informes de ese producto, el informe estar vaco. Puede modificar los informes predefinidos y guardar su configuracin. Puede crear nuevas configuraciones de filtro a partir de la configuracin predefinida o de una configuracin que usted haya creado. Tambin puede eliminar las configuraciones personalizadas si ya no las necesita. La configuracin activa del filtro se enumera en el informe si ha configurado el registro e informa la configuracin de las preferencias para incluir los filtros en informes. Ver "Configurar preferencias para registros e informes" en la pgina 185. Cuando se crea un informe, ste aparece en otra ventana. Puede guardar una copia del informe en formato de archivo Web o imprimir una copia del informe. El archivo guardado o el informe impreso proporcionan una instantnea de los datos actuales de la base de datos de elaboracin de informes, de modo que se pueda conservar un registro del historial.
167
Tambin puede crear los informes programados que se generan automticamente basados en una programacin configurada. Usted establece los filtros de los informes y el momento de ejecucin. Cuando el informe ha terminado, se enva por correo electrnico a uno o ms destinatarios. De forma predeterminada, siempre se ejecuta un informe programado. Puede modificar la configuracin de cualquier informe programado que an no haya ejecutado. Tambin puede eliminar uno o todos los informes programados. Ver "Crear y eliminar informes programados" en la pgina 214.
168
en la base de datos. Al crear informes, el software de informes muestra informacin sobre eventos en la hora local del equipo en el que se ven los informes. Algunos tipos de eventos, como ataques de virus, pueden dar lugar a la creacin de un nmero excesivo de eventos de seguridad. Estos tipos de eventos se agregan antes de que se remitan al servidor de administracin. Para obtener informacin sobre los eventos que aparecen en la pgina de inicio, consulte la pgina de las firmas de ataques del sitio Web de Symantec Security Response. En Internet, vaya a la siguiente URL: http://securityresponse.symantec.com/avcenter/attack_sigs/
La direccin IP o el nombre de host del servidor de administracin. El nombre y la contrasea de cuenta para el administrador.
169
Cuando se utiliza un navegador Web para acceder a funciones de elaboracin de informes, no hay pginas ni iconos de la pgina en la visualizacin. Todas las fichas que se encuentran en las pginas principal, Supervisin e Informes de la consola se encuentran en la parte superior de la ventana del navegador. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Nota: Para acceder a las funciones de elaboracin de informes por cualquier mtodo, es necesario tener Internet Explorer 6.0 o posterior instalado. Otros navegadores Web no se admiten. La informacin que se da aqu asume que se utiliza la consola de administracin para acceder a funciones de elaboracin de informes en lugar de un navegador Web. Los procedimientos para utilizar los informes son similares, independientemente del mtodo de acceso a ellos. Sin embargo, los procedimientos que usan especficamente los informes en un navegador independiente no se documentan, a excepcin de cmo iniciar sesin usando un navegador Web independiente. Nota: Es posible adems utilizar la consola o un navegador Web para ver informes cuando est conectado a travs de una sesin de terminal remota. Ver "Comprender la Consola de Symantec Endpoint Protection Manager" en la pgina 45. La ayuda contextual est disponible al hacer clic en el vnculo Ms informacin, que se encuentra en las pginas de la consola que se utilizan para las funciones de elaboracin de informes. Nota: Si no utiliza el puerto predeterminado cuando se instalan las pginas de ayuda para informes, no es posible acceder a la ayuda contextual en lnea. Para acceder a la ayuda contextual cuando se utiliza un puerto no predeterminado, es necesario agregar una variable al archivo Reporter.php.
170
Fundamentos de la elaboracin de informes Acerca del uso de SSL con las funciones de elaboracin de informes
1 2
Abra un navegador Web. Escriba la URL de informes en el cuadro de texto de direccin en el formato que sigue: http://nombre de servidor /reporting/index.php?
Cuando se visualiza el cuadro de dilogo de inicio de sesin, escriba su nombre de usuario y contrasea, y despus haga clic en Iniciar sesin. Si tiene ms de un dominio, en el cuadro de texto Dominio, es necesario escribir su nombre de dominio.
Para modificar el puerto utilizado para acceder a la ayuda contextual para la elaboracin de informes
1 2 3
Cambie el directorio a unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. Abra el archivo de configuracin Reporter.php con un editor. Agregue la lnea siguiente al archivo y sustituya el nmero de puerto por el nmero de puerto que usted utiliz cuando instal la ayuda de informes. $scm_http_port=nmero de puerto
171
La Figura 10-2 muestra cmo se ve la misma pgina principal cuando se ha iniciado sesin usando un navegador Web.
172
Figura 10-2
La pgina principal incluye informes generados automticamente y varios elementos de estado. Algunos de los informes de la pgina principal contienen hipervnculos a informes ms detallados. Es posible hacer clic en los grficos y los nmeros de los informes para ver ms detalles. Nota: Los informes se filtran automticamente basados en los permisos del usuario que ha iniciado sesin. Si es administrador del sistema, se ve la informacin de todos los dominios. Si es administrador limitado con derechos de acceso a solamente un dominio, se ve la informacin solamente de ese dominio. La Tabla 10-2 describe cada elemento de la pgina principal de Symantec Endpoint Protection detalladamente.
173
Tabla 10-2
La cantidad de medidas que se tomaron sobre virus y riesgos de seguridad. La incidencia de nuevas detecciones de virus y riesgos de seguridad. El nmero de equipos que permanecen infectados por virus y riesgos de seguridad.
El Resumen de acciones por cantidad de equipos resume la siguiente informacin: El nmero de equipos distintos en los cuales se tomaron varias medidas sobre virus y riesgos de seguridad. La cantidad total de nuevas detecciones de virus y riesgos de seguridad.
El nmero total de equipos que permanecen infectados por virus y riesgos de seguridad.
174
175
Es posible modificar la visualizacin haciendo clic en una nueva vista en el cuadro de lista.
176
El motor antivirus se encuentra desactivado. Auto-Protect se encuentra desactivado. Proteccin contra intervenciones se encuentra desactivado.
Los equipos necesitan reiniciarse para completar ciertas clases de reparacin de riesgos o para finalizar la instalacin de una descarga de software de LiveUpdate. Los equipos no superaron una comprobacin de integridad del host. Este nmero es siempre cero si usted no tiene Symantec Network Access Control instalado. Es posible hacer clic en cada nmero del Resumen del estado para obtener informacin. El nmero de notificaciones no reconocidas en las 24 horas pasadas tambin se visualiza. Distribucin de definiciones Las secciones Distribucin de definiciones de virus y Firmas de prevencin de intrusiones de la pgina principal muestran cmo se distribuyen las de virus | Firmas de definiciones de virus y las firmas IPS actuales. prevencin de intrusiones Es posible alternar entre ellas haciendo clic en una nueva vista en el cuadro de lista. Es posible hacer clic en el grfico circular para ver un informe ms detallado sobre la distribucin de las definiciones o las firmas en una nueva ventana.
177
La lista de aplicaciones comerciales de Symantec La lista de detecciones de amenazas proactivas forzadas, que es la lista personalizada de aplicaciones en observacin
Es posible hacer clic en un nmero para visualizar un informe ms detallado. Informes favoritos La seccin Informes favoritos contiene tres informes predeterminados. Es posible personalizar esta seccin reemplazando uno o ms de estos informes con otro informe predeterminado o personalizado que desee. Los informes favoritos se ejecutan cada vez que usted los ve, de modo que sus datos sean actuales. Aparecen en una nueva ventana. Para seleccionar los informes a los que usted desea acceder desde la pgina principal, puede hacer clic en el icono ms (+) ubicado al lado de Informes favoritos.
Es posible utilizar el vnculo Preferencias para modificar el plazo para los informes y los resmenes que se visualizan en esas pginas. La configuracin predeterminada es de las ltimas 24 horas; la otra opcin es la ltima semana. Es posible adems modificar los informes predeterminados que se visualizan en la seccin Informes favoritos de la pgina principal.
178
Principales fuentes de ataque Correlacin principal de detecciones de riesgos Distribucin de amenazas proactiva
Nota: Cuando se personaliza la visualizacin, se personaliza la visualizacin para la cuenta de usuario conectada solamente. Los valores configurados en esta pgina se guardarn para todas las sesiones. La prxima vez que se registre en la consola de administracin con las mismas credenciales de usuario, esta configuracin se utilizar para la visualizacin de la pgina principal. La Tabla 10-3 describe las opciones de visualizacin de la pgina principal. Tabla 10-3 Opciones de visualizacin de informes favoritos en la pgina principal Definicin
Especifica los tipos de informes que estn disponibles. Symantec Endpoint Protection proporciona los siguientes tipos de informes:
Opcin
Tipo de informe
Control de aplicaciones y dispositivos Auditora Cumplimiento Estado del equipo Proteccin contra amenazas de red Riesgo Anlisis Sistema
Enumera los nombres de los informes disponibles para el tipo de informe que usted seleccion.
179
Opcin
Filtro
Definicin
Si ha guardado filtros asociados al informe que usted seleccion, aparecen en este cuadro de lista. El filtro predeterminado siempre es mencionado.
1 2 3 4 5 6 7
Haga clic en Pgina principal. Haga clic en el icono ms (+) al lado de Informes favoritos. Desde el cuadro de lista del informe que desee modificar, haga clic en un tipo de informe. Por ejemplo, haga clic en Riesgo. Desde el cuadro de lista siguiente, haga clic en el nombre del informe que desee. Por ejemplo, haga clic en Distribucin de riesgos a lo largo del tiempo. Si ha guardado filtros asociados al informe que usted seleccion, seleccione el que desea utilizar o seleccione el filtro predeterminado. Repita este paso para los vnculos del segundo y el tercer informe, si lo desea. Haga clic en Aceptar. Los vnculos a los informes que usted seleccion aparecen en su pgina principal.
1 - Bajo Actividad de incidentes de red no perceptible y ninguna actividad de cdigo malicioso con una clasificacin de riesgo moderado o grave. Deben utilizarse sistemas y mecanismos de notificacin automatizados. 2 - Medio El conocimiento o la expectativa de actividad del ataque estn presentes, sin incidencia de eventos especficos. Se utiliza esta clasificacin cuando el cdigo malicioso alcanza un nivel de riesgo moderado. Bajo esta condicin, se debe realizar un examen cuidadoso de los sistemas vulnerables y expuestos. Las aplicaciones de seguridad se deben actualizar con nuevas firmas y normas tan
180
3 - Alto Este nivel se aplica cuando una amenaza aislada para la infraestructura informtica est en curso o cuando el cdigo malicioso alcanza un nivel de riesgo grave. Bajo esta condicin, es necesaria mayor supervisin. Las aplicaciones de seguridad se deben actualizar con nuevas firmas y normas tan pronto como estn disponibles. Se recomienda volver a implementar y configurar los sistemas de seguridad. 4 - Extremo Este nivel se aplica cuando hay actividad extrema de incidentes de la red global en curso. La puesta en prctica de medidas en estas condiciones de amenazas durante ms que un perodo corto puede generar dificultades y afectar las operaciones normales de la infraestructura en red.
Para obtener ms informacin sobre los niveles de amenaza, haga clic en el vnculo de Symantec para ver el sitio Web de Symantec. Nota: Los riesgos de seguridad especficos son clasificados de 1 a 5. Cada vnculo muestra una pgina en una ventana nueva. La Tabla 10-4 describe los vnculos de Security Response. Tabla 10-4 Vnculo
Alertas de seguridad
Symantec
Muestra el sitio Web de Symantec. Puede obtener informacin sobre riesgos y riesgos de seguridad, descargas de definiciones de virus y noticias sobre los productos de seguridad de Symantec. Muestra la pgina de descarga de definiciones de virus del sitio Web de Symantec. Muestra el sitio Web de Symantec Security Response, donde se muestran las amenazas y los avisos de seguridad ms recientes.
Definiciones
ltimas amenazas
Fundamentos de la elaboracin de informes Usar la pgina principal de Symantec Network Access Control
181
Vnculo
Security Focus
Qu muestra
Muestra el sitio Web de Security Focus, donde se incluye informacin acerca de los virus ms recientes.
182
Fundamentos de la elaboracin de informes Usar la pgina principal de Symantec Network Access Control
Figura 10-3
La Tabla 10-5 describe los informes de la pgina principal para Symantec Network Access Control. Tabla 10-5 Resmenes de la pgina principal de Symantec Network Access Control Descripcin
La seccin Error en el estado de cumplimiento de la red brinda una imagen del cumplimiento general de la red en el perodo configurado. Muestra los clientes que intentaron conectarse a la red pero no pudieron hacerlo porque no cumplan los requisitos. Muestra los clientes que no superaron la comprobacin de integridad del host que se ejecuta en su equipo. Este resumen muestra el porcentaje de errores de los requisitos generales de cumplimiento. Muestra un grfico de barras que presenta un conteo de las estaciones de trabajo nicas por el tipo de evento de error de control. Algunos ejemplos de los tipos de evento de error de control son un antivirus, un firewall o un problema de VPN.
Resumen
Error en el estado de cumplimiento de la red
183
Resumen
Detalles del error de cumplimiento
Descripcin
Proporciona un grfico de barras ms detallado que el Resumen de clientes por error de cumplimiento. Por ejemplo, suponga que el Resumen de clientes por error de cumplimiento muestra diez clientes con un error de cumplimiento del antivirus. En cambio, este informe muestra los detalles siguientes: Cuatro clientes no tienen ningn software antivirus actualmente en funcionamiento. Dos clientes no tienen ningn software antivirus instalado. Cuatro clientes tienen archivos de definiciones de antivirus desactualizados.
Si tiene solamente Symantec Network Access Control instalado, los informes de la pgina principal no son personalizables, a excepcin del plazo cubierto por los informes y los resmenes. Es posible modificar el plazo usando el vnculo Preferencias. Las opciones son: ltima semana y ltimas 24 horas. Nota: Si es administrador del sistema, se ve la informacin de todos los dominios. Si es administrador limitado con derechos de acceso a solamente un dominio, se ve la informacin solamente de ese dominio.
Las opciones de visualizacin de las pginas Inicio y supervisin Los umbrales de Estado de seguridad Las opciones de visualizacin que se utilizan para los registros y los informes, as como la carga de la versin anterior del archivo de registro
Para obtener informacin sobre las opciones de preferencia que puede configurar, haga clic en Ayuda en cada ficha, en el cuadro de dilogo Preferencias. Para configurar preferencias de elaboracin de informes
1 2
Desde la consola, en la pgina principal, haga clic en Preferencias. Haga clic en una de las siguientes fichas, segn el tipo de preferencias que desee configurar:
184
3 4
Configure los valores para las opciones que desee modificar. Haga clic en Aceptar.
La unidad de tiempo que se utiliza para los informes en la pgina principal y en la ficha Vista de resumen de la pgina Supervisin La velocidad a la cual la pgina principal y la ficha Vista de resumen de la pgina Supervisin se actualizan automticamente El grado de las notificaciones que se incluyen en la cantidad de notificaciones no reconocidas en la pgina principal El contenido de Resumen de acciones de la pgina principal
De manera predeterminada, se ve la informacin de las ltimas 24 horas, pero se puede modificar a la ltima semana si as se desea. Es posible adems configurar la velocidad a la cual la pgina principal y la ficha Vista de resumen de la pgina Supervisin se actualizan automticamente. Los valores vlidos van desde nunca hasta cada 5 minutos. Nota: Para configurar la velocidad a la cual los registros individuales se actualizan, es posible mostrar el registro que se desea ver. A continuacin, es posible seleccionar la velocidad deseada del cuadro de lista Actualizacin automtica en la vista de ese registro. Si es administrador del sistema, puede configurar el contador de la pgina principal para incluir solamente las notificaciones que usted cre pero no ha reconocido. De manera predeterminada, los administradores del sistema ven el nmero total de notificaciones no reconocidas, sin importar quin cre las notificaciones. Si es administrador limitado, el contador de notificaciones no reconocidas consiste siempre solamente en las notificaciones que usted mismo cre pero no ha reconocido. Es posible configurar Resumen de acciones en la pgina principal para visualizar por cantidad de detecciones en los equipos o por el nmero de equipos.
185
Ver "Usar la pgina principal de Symantec Endpoint Protection" en la pgina 171. Para conocer las descripciones de estas opciones de visualizacin, consulte la ayuda contextual de la ficha Inicio y supervisin. Es posible acceder a la ayuda contextual desde el vnculo Preferencias en la pgina principal.
1 2
Desde la consola, en la pgina principal, haga clic en Preferencias. En la ficha Estado de seguridad, marque los elementos que desee incluir en los criterios que determinan el estado general de la seguridad de la pgina principal. Para cada elemento, escriba el nmero que desea que active un estado de seguridad Malo. Haga clic en Aceptar.
3 4
186
Fundamentos de la elaboracin de informes Acerca de los horarios de anlisis de clientes utilizados en informes y registros
El formato de fecha y el separador de fecha que se utilizan para la visualizacin de la fecha El nmero de filas, la zona horaria y el formato de la direccin IP que se utilizan para la visualizacin de la tabla La visualizacin del filtro en informes y notificaciones La disponibilidad de datos de registro de los equipos de la red que ejecutan software Symantec Antivirus 10.x
Para conocer las descripciones de estas opciones de visualizacin, consulte la ayuda contextual de la ficha Registros e Informes. Es posible acceder a la ayuda contextual desde el vnculo Preferencias en la pgina principal. Nota: El formato de visualizacin de la fecha que usted establece aqu no se aplica a las fechas y las versiones de definiciones de virus que se visualizan en columnas de la tabla. Estos elementos utilizan siempre el formato A-M-D.
La exactitud de los datos y del horario en el cliente La exactitud de los datos y del horario en el servidor de administracin
Nota: Si modifica la zona horaria en el servidor, cierre sesin en la consola y vuelva a encenderla para ver los horarios exactos en registros e informes.
Fundamentos de la elaboracin de informes Acerca del uso del filtro ltimas 24 horas para informes y registros
187
Acerca del uso del filtro ltimas 24 horas para informes y registros
Si selecciona ltimas 24 horas para el intervalo de tiempo de un informe o una vista de registro, el intervalo comienza cuando se selecciona el filtro. Si se actualiza la pgina, no se restablece el inicio del intervalo de 24 horas. Si selecciona el filtro y espera para crear un informe, el intervalo de tiempo se inicia cuando seleccion el filtro. Esta condicin adems se aplica cuando se ve un registro de eventos o un registro de alertas. El intervalo de tiempo no se inicia cuando se crea el informe o se ve el registro. Para asegurarse de que el intervalo de las ltimas 24 horas comience en este momento, seleccione un intervalo de tiempo diferente y vuelva a seleccionar ltimas 24 horas. Nota: El inicio del filtro de intervalo de tiempo de las ltimas 24 horas de la pgina de inicio se establece en el momento en que se accede a la pgina principal.
188
Fundamentos de la elaboracin de informes Acerca del uso de filtros que buscan grupos en informes y registros
Captulo
11
Ver informes Acerca de los informes Aspectos importantes de la elaboracin de informes Crear informes rpidos Guardar y eliminar los filtros de informes guardados Imprimir y guardar una copia de un informe Crear y eliminar informes programados
Ver informes
Utilice la pgina Informes para ejecutar, ver, imprimir y programar informes para que se ejecuten de manera regular. La Figura 11-1 muestra un ejemplo de un informe de riesgo.
190
Figura 11-1
Informe de ejemplo
191
Tabla 11-1
Unidades del eje x para el intervalo de tiempo correspondiente seleccionado Unidad del eje X
hora da
Intervalo de tiempo
ltimas 24 horas ltima semana ltimo mes Mes actual ltimos 3 meses ltimo ao Intervalo de tiempo
mes un da (24 horas) es por hora mayor que 1 da, pero inferior o igual a 7 das son por hora mayor que 7 das, pero inferior o igual a 31 das son por da mayor que 31 das, pero inferior o igual a 2 aos son por mes mayor que 2 aos es por ao
192
1 2 3
Cambie el directorio a unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Common. Abra el archivo de configuracin i18nCommon.bundle con un editor. Escriba el nombre del archivo de fuente que desee utilizar despus del signo de igualdad (=) que sigue la variable SPECIAL_FONT. Por ejemplo, si se quisiera utilizar Arial, se escribira lo siguiente:
SPECIAL_FONT=arial.ttf
4 5
Guarde el archivo en formato UTF-8 y despus cierre el archivo. Asegrese de que el archivo de fuente que se escribe se encuentre en el directorio %WINDIR%\fonts.
Descripcin
Los informes de Control de aplicaciones y dispositivos contienen informacin sobre los eventos en los que se bloque el acceso a un equipo o se evit que un dispositivo llegara a la red. El informe de auditora contiene informacin sobre actividades de modificacin de polticas, tales como los tiempos y los tipos de eventos, las modificaciones de polticas, los dominios, los sitios, los administradores y las descripciones. Los informes de cumplimiento contienen informacin sobre el servidor de Enforcer, los clientes de Enforcer, el trfico de Enforcer y el cumplimiento de hosts. Los informes de Estado del equipo contienen informacin sobre el estado operacional de los equipos de la red en tiempo real.
Auditora
Cumplimiento
Proteccin contra amenazas Los informes de la proteccin contra amenazas de red permiten realizar un de red seguimiento de la actividad del equipo y de su interaccin con otros equipos y redes. Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de ellos mediante sus conexiones de red. Riesgo Los informes de riesgos incluyen informacin sobre eventos del riesgo en los servidores de administracin y sus clientes.
193
Tipo de informe
Anlisis
Descripcin
Los informes de anlisis proporcionan informacin sobre la actividad del anlisis antivirus y de software espa. Los informes del sistema contienen informacin que es til para solucionar los problemas del cliente.
Sistema
Esta seccin describe los informes por nombre y contenido general. Puede seleccionar Configuracin bsica y Configuracin avanzada para que todos los informes clarifiquen los datos que desea ver. Tambin puede guardar el filtro personalizado con un nombre para ejecutar el mismo informe personalizado ms tarde. Si tiene varios dominios en su red, muchos informes permiten que se vean los datos de todos los dominios, de un sitio o de algunos sitios. La configuracin predeterminada para todos los informes rpidos es mostrar todos los dominios, grupos, servidores y as sucesivamente, segn sea necesario para el informe que selecciona para crear. Nota: Si solamente Symantec Network Access Control est instalado, un nmero significativo de informes estar vaco. Los informes de control de aplicaciones y dispositivos, de la proteccin contra amenazas de red, de riesgos y de anlisis no contienen datos. Los informes de cumplimiento y de auditora contienen datos, al igual que algunos de los informes de estado del equipo y del sistema. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para ese tipo de informe en la consola. Ms informacin muestra la ayuda contextual. Ver "Crear informes rpidos" en la pgina 207. La Tabla 11-3 describe los informes de control de aplicaciones y dispositivos que estn disponibles. Tabla 11-3 Nombre del informe
Grupos principales con registros de control de aplicaciones con mayor cantidad de alertas
Descripcin
Este informe consiste en un grfico circular con barras relativas. Muestra los grupos con los registros del control de aplicaciones que han generado el nmero ms grande de alertas de seguridad.
194
Descripcin
Este informe consiste en un grfico circular con barras relativas para cada uno de los siguientes destinos, si es necesario:
Archivos principales Claves de registro principales Procesos principales Mdulos principales (dlls)
Este informe consiste en un grfico circular con una barra relativa que muestra los dispositivos para los que se bloquea el acceso a su red con ms frecuencia.
La Tabla 11-4 describe el informe de auditora que est disponible. Tabla 11-4 Nombre del informe
Polticas utilizadas
Informe de auditora
Descripcin
Este informe muestra las polticas que los clientes y las ubicaciones utilizan actualmente. La informacin incluye el nombre de dominio, el nombre de grupo y el nmero de serie de la poltica que se aplica a cada grupo.
La Tabla 11-5 describe los informes de cumplimiento que estn disponibles. Tabla 11-5 Nombre del informe
Estado de cumplimiento de la red
Informes de cumplimiento
Descripcin
Este informe consiste en un grfico lineal y una tabla. Muestra la fecha y hora del evento, el nmero de ataques y el porcentaje de ataques implicados en cada uno. Es posible ver el nmero total de clientes a los que se aplican las siguientes acciones de cumplimiento en el intervalo de tiempo seleccionado:
195
Descripcin
Es posible seleccionar una accin para ver un grfico lineal que muestre uno de los siguientes: El nmero total de clientes que han pasado un anlisis de integridad del host en su red en el intervalo de tiempo seleccionado El nmero total de clientes que no han pasado un anlisis de integridad del host en su red en el intervalo de tiempo seleccionado
Este informe tambin incluye una tabla que muestra la fecha y hora del evento, el nmero de clientes y el porcentaje de clientes implicados en cada uno. Resumen de clientes por error de cumplimiento Este informe consiste en un grfico de barras que muestra la siguiente informacin: La cantidad de estaciones de trabajo nicas por tipo de evento de errores de control, tal como antivirus, firewall o VPN. El nmero total de clientes en el grupo.
Este informe consiste en una tabla que muestra el nmero de equipos nicos por error de control. Muestra los criterios y la norma que est implicada en cada error. Incluye el porcentaje de los clientes que se implementan y el porcentaje de los que fallaron.
Clientes con errores de Este informe consiste en una tabla que muestra los eventos de error de cumplimiento. cumplimiento por ubicacin Estos eventos se muestran en grupos que se basan en su ubicacin. La informacin incluye los equipos nicos que fallaron y el porcentaje total de errores y de errores de ubicacin.
La Tabla 11-6 describe los informes de estado del equipo que estn disponibles. Tabla 11-6 Nombre del informe Descripcin Informes de estado del equipo
Distribucin de definiciones Este informe muestra las versiones nicas de los archivo de definiciones de virus que de virus se utilizan en su red, y del nmero de equipos y del porcentaje que utiliza cada versin. Consiste en un grfico circular, una tabla y barras relativas. Equipos no registrados en el Este informe muestra una lista de todos los equipos que no se han registrado en el servidor servidor. Adems muestra la direccin IP del equipo, la hora de la ltima verificacin y el nombre del usuario que inici sesin en aquel momento. Versiones de producto de Symantec Endpoint Protection Este informe muestra la lista de nmeros de versin para todas las versiones del producto de Symantec Endpoint Protection de su red. Adems, incluye el dominio y el servidor para cada uno, as como el nmero de equipos y el porcentaje de cada uno. Consiste en un grfico circular y barras relativas.
196
Descripcin
Este informe visualiza las versiones del archivo de firmas IPS que se utilizan en su red. Adems, incluye el dominio y el servidor para cada uno, as como el nmero de equipos y el porcentaje de cada uno. Consiste en un grfico circular y barras relativas. Este informe consiste en los siguientes grficos con barras relativas que muestran el nmero total de equipos y el porcentaje de cada uno:
Inventario de clientes
Sistema operativo Memoria total Memoria libre Espacio total en disco Espacio libre en disco Tipo de procesador
Este informe consiste en un grfico circular con barras relativas que muestran aprobaciones y errores de cumplimiento por grupo o subred. Muestra el nmero de equipos y el porcentaje. Este informe consiste en grficos circulares con barras relativas por grupo o subred. Muestra el porcentaje de equipos que estn conectados. Conectados tiene los siguientes significados: Para los clientes que estn en modo de transferencia, "conectados" significa que los clientes estn conectados actualmente al servidor. Para los clientes que estn en modo de obtencin, "conectados" significa que los clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes. Para los clientes en sitios remotos, "conectados" significa que los clientes estaban conectados a la hora de la ltima replicacin.
Clientes con la ltima poltica Este informe consiste en grficos circulares con barras relativas por grupo o subred. Muestra el nmero de equipos y el porcentaje de la ltima poltica que se aplic. Cantidad de clientes por grupo Este informe consiste en una tabla que incluye estadsticas de informacin de hosts por grupo. Incluye la cantidad de clientes y de usuarios. Si utiliza varios dominios, esta informacin aparece por dominio.
197
Descripcin
Este informe refleja el estado de la seguridad general de la red. Este informe muestra el nmero y el porcentaje de los equipos que tienen el siguiente estado:
El motor del antivirus est desactivado. Auto-Protect est desactivado. La proteccin contra intervenciones est desactivada. Es necesario reiniciar el equipo. Se produjo un error en una comprobacin de integridad del host. La proteccin contra amenazas de red est desactivada.
Este informe muestra todas las versiones proactivas del contenido de proteccin que se utilizan en su red en un solo informe. Se muestra un grfico circular para cada tipo de proteccin. Estn disponibles los siguientes tipos de contenido:
Versiones del descompresor Versiones del motor del borrador Versiones del contenido del Anlisis de amenazas proactivo Versiones del motor del Anlisis de amenazas proactivo Versiones de la lista de aplicaciones comerciales Versiones del motor del controlador de contenido proactivo Versiones de la lista de aplicaciones permitidas Los nuevos tipos de contenido que Symantec Security Response ha agregado
Migracin de clientes
Este informe consiste en las tablas que describen el estado de migracin de clientes por dominio, grupo y servidor. Muestra la direccin IP del cliente y si la migracin tuvo xito, si fall o si an no se ha iniciado.
Este informe consiste en las tablas que siguen el progreso de las implementaciones de paquetes de clientes. La informacin de la instantnea le permite observar los rpidos progresos de la distribucin, y la cantidad de clientes que an no se Este informe est disponible implementaron completamente. slo como un informe programado. Clientes Este informe consiste en grficos lineales y tablas que muestran el nmero de clientes conectados/desconectados a conectados o desconectados. Se muestra un grfico para cada uno de los destinos lo largo del tiempo principales. El destino es un grupo o un sistema operativo. (instantneas) Este informe est disponible slo como un informe programado.
198
Descripcin
Clientes con la ltima poltica Este informe consiste en un grfico lineal que muestra los clientes que tienen la a lo largo del tiempo ltima poltica aplicada. Se muestra un grfico para cada uno de los clientes (instantneas) principales. Este informe est disponible slo como un informe programado. Clientes con errores de cumplimiento a lo largo del tiempo (instantneas) Este informe est disponible slo como un informe programado. Distribucin de definiciones Este informe incluye las versiones de paquetes de definiciones de virus que se han de virus (instantneas) distribuido a los clientes. Esta informacin es til para realizar un seguimiento del progreso de la implementacin de nuevas definiciones de virus de la consola. Este informe est disponible slo como un informe programado. Este informe consiste en un grfico lineal que muestra el porcentaje de clientes que no han superado un anlisis de la integridad del host a lo largo del tiempo. Se muestra un grfico para cada uno de los clientes principales.
La Tabla 11-7 describe los informes de la proteccin contra amenazas de red que estn disponibles. Tabla 11-7 Nombre del informe Descripcin Informes de proteccin contra amenazas de red
Principales destinos atacados Este informe consiste en un grfico circular con barra relativa. Puede ver la informacin usando como destino los grupos, las subredes, los clientes o los puertos. Incluye informacin tal como el nmero y el porcentaje de ataques, el tipo y la gravedad del ataque, y la distribucin de ataques. Principales fuentes de ataque Este informe consiste en un grfico circular con barras relativas que muestra los hosts principales que iniciaron ataques contra su red. Incluye informacin tal como el nmero y el porcentaje de ataques, el tipo y la gravedad del ataque, y la distribucin de ataques. Principales tipos de ataque Este informe consiste en un grfico circular asociado con barras relativas. Incluye informacin como el nmero y el porcentaje de eventos. Adems, incluye el grupo y la gravedad, y el tipo y nmero de evento por grupo.
199
Descripcin
Este informe consiste en un grfico circular con barras relativas que muestran las principales aplicaciones que no pudieron acceder a su red. Incluye informacin tal como el nmero y el porcentaje de ataques, el grupo y la gravedad del ataque, y la distribucin de ataques por grupo.
Ataques a lo largo del tiempo Este informe consiste en uno o ms grficos lineales que muestran los ataques durante el intervalo de tiempo seleccionado. Por ejemplo, si el intervalo de tiempo es el mes anterior, el informe muestra el nmero total de ataques por da del ltimo mes. Incluye el nmero y el porcentaje de ataques. Es posible ver los ataques para todos los equipos, o por los sistemas operativos, los usuarios, las direcciones IP, los grupos o los tipos principales de ataque. Eventos de seguridad por gravedad Este informe consiste en un grfico circular que muestra el nmero total y el porcentaje de eventos de seguridad de su red, ordenados segn su gravedad.
Aplicaciones bloqueadas a lo Este informe consiste en un grfico lineal y una tabla. Muestra el nmero total de largo del tiempo aplicaciones que no pudieron acceder a su red durante un intervalo de tiempo seleccionado. Incluye la hora del evento, el nmero de ataques y el porcentaje. Puede ver la informacin para todos los equipos, o por grupo, direccin IP, sistema operativo o usuario. Notificaciones de trfico a lo Este informe consiste en un grfico lineal. Muestra el nmero de notificaciones que largo del tiempo fueron basadas en violaciones de la norma de firewall a lo largo del tiempo. Las normas que se cuentan son sas donde usted activ la opcin Enviar alerta de correo electrnico en la columna Registro de la lista Normas de polticas de firewall. Puede ver la informacin de este informe para todos los equipos, o por grupo, direccin IP, sistema operativo o usuario. Principales notificaciones de Este informe consiste en un grfico circular con barras relativas que enumera al trfico grupo o subred, y el nmero y el porcentaje de notificaciones. Muestra el nmero de notificaciones que fueron basadas en las violaciones de la norma de firewall configurada como importante. Las normas que se cuentan son sas donde usted activ la opcin Enviar alerta de correo electrnico en la columna Registro de la lista Normas de polticas de firewall. Es posible ver la informacin para todos los equipos, para el registro de trfico, o para el registro del paquete, agrupado por grupos principales o subredes.
200
Descripcin
Este informe brinda la siguiente informacin de la proteccin contra amenazas de red en un solo informe:
Principales tipos de ataque Principales destinos atacados por grupo Principales destinos atacados por subred Principales destinos atacados por cliente Principales fuentes de ataque Principales notificaciones de trfico por grupo (trfico) Principales notificaciones de trfico por grupo (paquetes) Principales notificaciones de trfico por subred (trfico) Principales notificaciones de trfico por subred (paquetes)
La Tabla 11-8 describe los informes de riesgos que estn disponibles. Tabla 11-8 Nombre del informe
Equipos infectados y en riesgo
Informes de riesgos
Descripcin
Este informe consiste en dos tablas. Una tabla enumera los equipos que tienen una infeccin por virus. La otra tabla enumera los equipos que tienen un riesgo de seguridad que an no se ha reparado. Este informe consiste en una tabla que muestra una cantidad de todas las medidas posibles que se tomaron cuando se detectaron los riesgos. Las acciones posibles son Limpiado, Sospechoso, Bloqueado, En cuarentena, Eliminado, Recientemente infectado y An infectado. Esta informacin adems aparece en la pgina de inicio de Symantec Endpoint Protection. Este informe consiste en un grfico circular, una tabla de riesgos y una barra relativa asociada. Muestra el nmero total de detecciones de riesgos por dominio, servidor o equipo. Si tiene clientes de versiones anteriores de Symantec AntiVirus, el informe utiliza el grupo de servidores en lugar del dominio.
201
Descripcin
Nuevos riesgos detectados en Este informe incluye una tabla y un grfico circular de la distribucin. la red Para cada nuevo riesgo, la tabla proporciona la siguiente informacin:
Nombre del riesgo Categora o tipo de riesgo Primera fecha de deteccin Primer caso en la organizacin Tipo de anlisis que lo detect primero
Dominio donde fue detectado (grupo de servidores en los equipos de versin anterior) Servidor donde fue detectado (servidor principal en los equipos de versin anterior)
Grupo donde fue detectado (servidor principal en los equipos de versin anterior) Equipo donde fue detectado y nombre del usuario que inici sesin en ese entonces
El grfico circular muestra la nueva distribucin de riesgos por tipo de seleccin de destino: dominio (grupo de servidores en los equipos de versin anterior), grupo, servidor (servidor principal en los equipos de versin anterior), equipo o nombre de usuario. Correlacin principal de detecciones de riesgos Este informe consiste en un grfico de barra tridimensional que establece una correlacin entre las detecciones de virus y riesgos de seguridad usando dos variables. Puede seleccionar del equipo, del nombre de usuario, del dominio, del grupo, del servidor, o del nombre del riesgo para las variables del eje de x y de y. Este informe muestra los cinco casos principales para cada variable del eje. Si seleccion "equipos" como una de las variables y hay menos de cinco equipos infectados, los equipos no infectados pueden aparecer en el grfico.
Nota: Para los equipos que ejecutan versiones anteriores de Symantec AntiVirus,
se utilizan el grupo de servidores y el servidor principal en lugar del dominio y el servidor. Resumen de distribucin de riesgos Este informe incluye un grfico circular y un grfico de barra asociado que muestra un porcentaje relativo para cada elemento nico del tipo de destino elegido. Por ejemplo, si el destino elegido es nombre de riesgo, el grfico circular muestra partes de cada riesgo nico. Se muestra una barra para cada nombre de riesgo, y los detalles incluyen el nmero de detecciones y el porcentaje de las detecciones totales. Los destinos incluyen el nombre de riesgo, el dominio, el grupo, el servidor, el equipo, el nombre de usuario, la fuente, el tipo de riesgo o la gravedad del riesgo. Para los equipos que ejecutan versiones anteriores de Symantec AntiVirus, se utilizan el grupo de servidores y el servidor principal en lugar del dominio y el servidor. Este informe consiste en una tabla que muestra el nmero de detecciones de virus y riesgos de seguridad por unidad de tiempo y barra relativa.
202
Descripcin
Resultados de la deteccin de Este informe consiste en un grfico circular y grficos de barra que muestran la amenazas proactiva siguiente informacin: Una lista de las aplicaciones clasificadas como riesgos que se han agregado a las excepciones como aceptables en su red. Una lista de las aplicaciones que se detectaron como riesgos confirmados.
Una lista de las aplicaciones que se han detectado, pero que an no se han confirmado como riesgos.
Para cada lista, este informe muestra el nombre de la empresa, el hash de la aplicacin, y la versin y el equipo implicados. Para las aplicaciones permitidas, tambin se muestra la fuente del permiso. Distribucin de amenazas proactiva Este informe consiste en un grfico circular que muestra los nombres de las principales aplicaciones detectadas con barras relativas y una tabla de resumen. Las detecciones incluyen aplicaciones de la lista de aplicaciones comerciales y las detecciones forzadas. La primera tabla de resumen contiene el nombre de la aplicacin, y el nmero y el porcentaje de detecciones. La tabla de resumen muestra lo siguiente, por deteccin:
Tipo de aplicacin, cualquier registrador de pulsaciones, caballo de Troya o gusano, control remoto o registrador de pulsaciones comercial Nombre de la empresa
Versin de la aplicacin Nmero de equipos nicos que han informado la deteccin Tres nombres principales de ruta en las detecciones Fecha de la ltima deteccin
Este informe consiste en un grfico lineal que muestra el nmero de detecciones de amenazas proactivas para el intervalo de tiempo seleccionado. Tambin contiene una tabla con barras relativas que incluye los nmeros totales de las amenazas que se detectaron a lo largo del tiempo.
Resumen de acciones para los Este informe incluye una lista de los informes de riesgos principales que se riesgos principales encontraron en su red. Para cada uno, se muestran barras de resumen de acciones que muestran el porcentaje de cada accin que se tom cuando se detect un riesgo. Las acciones incluyen en cuarentena, limpiado, eliminado, etc. Este informe muestra, adems, el porcentaje de tiempo para el que cada accin determinada era la primera accin configurada, la segunda accin configurada, ninguna o desconocida.
203
Descripcin
Este informe consiste en un grfico circular asociado con una barra relativa. Los grficos muestran el nmero de notificaciones que se activaron por las violaciones de la norma de firewall configurada como importante. Incluye el tipo de notificaciones y el nmero de cada una. Ver "Configurar mensajes de correo electrnico para eventos de trfico" en la pgina 578.
Este informe consiste en un grfico lineal que muestra el nmero de notificaciones en la red para el intervalo de tiempo seleccionado. Tambin contiene una tabla que incluye el nmero y el porcentaje de notificaciones a lo largo del tiempo. Puede filtrar los datos para ver la lista por tipo de notificacin, estado del acuse de recibo, creador y nombre de la notificacin. Este informe muestra el nmero de virus y de detecciones de riesgos de seguridad, y una barra relativa por semana para cada uno de los intervalos de tiempo especificados. Un intervalo de un da muestra la semana anterior.
Ataques semanales
Informe completo de riesgos De forma predeterminada, este informe incluye todos los informes de distribucin y los informes de nuevos riesgos. Sin embargo, puede configurarlo para incluir slo algunos informes. Este informe incluye informacin de todos los dominios.
204
Informes de anlisis
Descripcin
Este informe se presenta como histograma. Puede seleccionar si desea que la informacin del informe de anlisis se distribuya. Es posible seleccionar uno de los siguientes mtodos:
Por tiempo del anlisis (en segundos) Por nmero de riesgos detectados Por nmero de archivos con detecciones Por nmero de archivos que se analizan Por nmero de archivos que no se analizan
Tambin puede configurar el ancho y la cantidad de clases para utilizar en el histograma. El ancho de clases es el intervalo de datos que desea utilizar para el grupo por seleccin. La cantidad de clases especifica la frecuencia con la que se repite el intervalo en el histograma. La informacin que se muestra incluye el nmero de entradas y los valores mnimos y mximos, as como la desviacin media y estndar. Es posible que desee modificar los valores del informe para maximizar la informacin que se genera en el histograma del informe. Por ejemplo, es posible que desee considerar el tamao de la red y la cantidad de informacin que ve. Equipos por ltimo anlisis Este informe muestra una lista de los equipos de la red de seguridad que fueron analizados la ltima vez. Tambin incluye la direccin IP y el nombre del usuario que inici sesin a la hora del anlisis. Este informe muestra una lista de equipos de la red de seguridad que no fueron analizados. Proporciona la siguiente informacin adicional:
Equipos no analizados
La direccin IP La hora del ltimo anlisis El nombre del usuario actual o del usuario que inici sesin a la hora del ltimo anlisis
La Tabla 11-10 describe los informes del sistema que estn disponibles. Tabla 11-10 Nombre del informe
Principales clientes que generan errores
Descripcin
Este informe consiste en un grfico circular para cada condicin de advertencia y condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el porcentaje de advertencias por cliente.
205
Descripcin
Este informe consiste en un grfico circular para cada condicin de advertencia y condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el porcentaje de advertencias por servidor.
Principales instancias de Este informe consiste en un grfico circular para cada condicin de advertencia y Enforcer que generan errores condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el porcentaje de advertencias por instancia de Enforcer. Errores de replicacin de base de datos a lo largo del tiempo Estado del sitio Este informe consiste en un grfico lineal con una tabla asociada que enumera los errores de replicacin para el intervalo de tiempo seleccionado.
Este informe muestra el estado actual y la velocidad de transferencia de todos los servidores de su sitio local. Tambin muestra la informacin sobre la instalacin del cliente, el estado en lnea del cliente y el volumen de registro del cliente para su sitio local. Los datos que se extraen de este informe se actualizan cada diez segundos, pero debe volver a realizar el informe para ver datos actualizados.
Nota: Si tiene varios sitios, este informe muestra el total de clientes instalados y en
lnea de su sitio local, no de todos los sitios. Si tiene restricciones del sitio o del dominio como administrador, slo ver la informacin que se le permite ver. El estado de salud de un servidor se clasifica de la siguiente manera:
Malo: el servidor tiene poca memoria o poco espacio libre en el disco, o tiene una gran cantidad de errores de la solicitud del cliente. Crtico: el servidor no funciona Para cada servidor, este informe contiene el estado, el estado de salud y el motivo, el
206
Descripcin
uso del CPU y de la memoria y el espacio libre en el disco. Adems, contiene informacin de la velocidad de transferencia del servidor, como polticas descargadas y velocidad de transferencia del sitio basadas en el ltimo latido. Incluye la siguiente informacin de la velocidad de transferencia del sitio:
Total de clientes instalados y en lnea Polticas descargadas por segundo Firmas de prevencin de intrusiones descargadas por segundo Aplicaciones aprendidas por segundo Registros de clientes recibidos por segundo Polticas descargadas por segundo Firmas de prevencin de intrusiones del sistema descargadas por segundo Aplicaciones aprendidas por segundo
Registros de sistema de Enforcer, registros del trfico y registros de paquetes por segundo Actualizaciones de la informacin de clientes por segundo Registros de seguridad de clientes, registros de sistema, registros del trfico y registros de paquetes recibidos por segundo Registros de aplicacin y control de dispositivos por segundo
Conectados tiene los siguientes significados en este informe: Para los clientes que estn en modo de transferencia, "conectados" significa que los clientes estn conectados actualmente al servidor. Para los clientes que estn en modo de obtencin, "conectados" significa que los clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes. Para los clientes en sitios remotos, "conectados" significa que los clientes estaban conectados a la hora de la ltima replicacin.
Las marcas de hora de los informes se especifican en la hora local del usuario. La base de datos de informes contiene eventos especificados segn la hora del meridiano de Greenwich (GMT). Al crear un informe, estos valores de horario se convierten en la hora local del equipo en el que se ven los informes. En algunos casos, los datos del informe no tienen una correspondencia directa con lo que aparece en los productos de seguridad. Esta falta de correspondencia se produce porque el software de elaboracin de informes agrega eventos de seguridad.
207
La informacin sobre categoras de riesgos que se incluye en los informes se obtiene del sitio Web de Symantec Security Response. Hasta que la consola pueda extraer esta informacin, cualquier informe que genere mostrar Desconocido en el campo de categoras de riesgos. Los informes que se generan brindan un cuadro exacto de los equipos en peligro de su red. Los informes se basan en los datos de registro, no en los datos de registro de Windows. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Si se producen errores de la base de datos durante la ejecucin de registros que incluyen una gran cantidad de datos, se recomienda cambiar los parmetros de tiempo de espera. Ver "Cambiar los parmetros de tiempo de espera" en la pgina 343. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Consulte el artculo "Reporting server does not report or shows a timeout error message when querying large amounts of data" (El servidor de informes no genera informes o presenta un mensaje de error de tiempo de espera al consultar una gran cantidad de datos) en la base de conocimientos de Symantec (en ingls).
Es importante tener en cuenta la siguiente informacin si algunos equipos de su red estn ejecutando versiones anteriores de Symantec AntiVirus:
Cuando se utilizan los filtros de informes y registros, los grupos de servidores se categorizan como dominios. Los grupos de equipos cliente se categorizan como grupos, y los servidores principales se categorizan como servidores. Si se genera un informe que incluye equipos con versiones anteriores, el valor de los campos de direccin IP y MAC es Ninguno.
208
Para una descripcin de cada opcin avanzada que se pueda configurar, es posible hacer clic en Ms informacin para ese tipo de informe en la consola. Hacer clic en Ms informacin muestra la ayuda contextual para ese tipo de informe. Es posible guardar la configuracin del informe de modo que se pueda ejecutar el mismo informe en una fecha posterior, y es posible imprimir y guardar informes. Nota: Los cuadros de texto de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn. Ver "Imprimir y guardar una copia de un informe" en la pgina 213. La Tabla 11-11 describe todas las opciones de Configuracin bsica disponibles para todos los tipos de informe rpido. Tabla 11-11 Opcin
Intervalo de tiempo
Descripcin
Especifica el intervalo de tiempo de los eventos que usted desea ver en el informe. Seleccione a partir de las opciones siguientes:
ltimas 24 horas Semana pasada ltimo mes Mes actual ltimos tres meses Ao pasado Definir fechas especficas
Si elige Definir fechas especficas, algunos informes necesitan que se configure una fecha inicial y una fecha final. Otros informes necesitan que usted establezca la hora de la ltima verificacin, que es la ltima vez que el equipo se registr con su servidor. La configuracin predeterminada es ltimas 24 horas. Fecha inicial Especifica la fecha de inicio del intervalo de fechas. Esta opcin slo est disponible cuando se selecciona Definir fechas especficas para el intervalo de tiempo.
209
Opcin
Fecha final
Descripcin
Especifica la fecha de finalizacin del intervalo de fechas. Esta opcin slo est disponible cuando se selecciona Definir fechas especficas para el intervalo de tiempo.
Nota: No es posible configurar una fecha final que sea igual que la fecha inicial o anteriores
a sta. ltimo registro despus de Especifica que usted desea ver todas las entradas que impliquen a un equipo que no se ha registrado en su servidor desde el momento especificado. Solamente disponible para los informes de estado del equipo cuando se selecciona Definir fechas especficas para el intervalo de tiempo. Estado Disponible para el informe de cumplimiento del estado de cumplimiento de la red. Seleccione entre las siguientes opciones:
Disponible para el informe de cumplimiento del estado de cumplimiento. Seleccione una de las acciones siguientes:
Aprobado Error
Agrupar por
Muchos de los informes se pueden agrupar de maneras apropiadas. Por ejemplo, la opcin ms comn es ver la informacin para solamente un grupo o una subred, pero algunos informes proporcionan otras opciones apropiadas.
210
Opcin
Seleccionar destino
Descripcin
Disponible para el informe de proteccin contra amenazas de red de los principales destinos atacados. Seleccione entre las siguientes opciones:
Disponible para el informe de proteccin contra amenazas de red de los ataques a lo largo del tiempo. Seleccione entre las siguientes opciones:
Disponible para los informes de proteccin contra amenazas de red de aplicaciones bloqueadas a lo largo del tiempo y notificaciones de trfico a lo largo del tiempo. Seleccione entre las siguientes opciones:
Disponible para el informe de proteccin contra amenazas de red de las principales notificaciones de trfico. Seleccione entre las siguientes opciones:
Eje X Eje Y
Disponible para el informe de riesgos de la correlacin principal de detecciones de riesgos. Seleccione entre las siguientes opciones:
Amplitud de clases
Especifica la amplitud para formar un histograma. Disponible para el informe de anlisis del histograma de estadsticas de anlisis.
211
Opcin
Nmero de contenedores
Descripcin
Especifica el nmero de contenedores que usted desea utilizar para formar las barras de un histograma. Disponible para el informe de anlisis del histograma de estadsticas de anlisis.
Configuracin avanzada proporciona control adicional sobre los datos que desee ver. Son especficos para el tipo y el contenido del informe. Para una descripcin de cada opcin avanzada que se pueda configurar, es posible hacer clic en Ms informacin para ese tipo de informe en la consola. Hacer clic en Ms informacin muestra la ayuda contextual para ese tipo de informe. Para crear un informe rpido
1 2 3
En la consola, haga clic en Informes. En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione el tipo de informe que desee crear. Por ejemplo, seleccione Riesgo. Bajo Qu tipo de informe de anlisis desea ver, en el cuadro de lista Seleccionar un informe, seleccione el nombre del informe que desee ver. Por ejemplo, seleccione Conteo de detecciones de riesgos. En el cuadro de lista Utilizar filtro guardado, seleccione una configuracin de filtro guardada que desee utilizar o deje el filtro predeterminado. Bajo Qu configuracin de filtros desea utilizar, en el cuadro de lista Intervalo de tiempo, seleccione el intervalo de tiempo para el informe. Si seleccion Definir fechas especficas, utilice los cuadros de lista Fecha inicial y Fecha final. Estas opciones configuran el intervalo de tiempo sobre el cual se desea ver informacin. Si desea configurar las opciones adicionales para el informe, haga clic en Configuracin avanzada y configure las opciones que desee. Es posible hacer clic en Ms informacin en la ficha Informes rpidos para ver las descripciones de las opciones del filtro en la ayuda contextual. Cuando el botn de 3 puntos est disponible, lo lleva a una lista de opciones conocidas para esa opcin. Por ejemplo, esta opcin puede llevarlo a una lista de servidores conocidos o a una lista de dominios conocidos. Es posible guardar las opciones de configuracin del informe si piensa que querr ejecutar este informe de nuevo en el futuro. Ver "Guardar y eliminar los filtros de informes guardados" en la pgina 212.
4 5 6
212
1 2 3 4 5
En la consola, haga clic en Informes. Seleccione un tipo informe del cuadro de lista. Modifique cualquier Configuracin bsica o Configuracin avanzada para el informe. Haga clic en Guardar filtro. En el cuadro de texto Nombre del filtro, escriba un nombre descriptivo para este filtro de informes. Slo se muestran los primeros 32 caracteres del nombre cuando el filtro se agrega a la lista Usar un filtro guardado. Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar. Despus de que se guarda un filtro, aparece en el cuadro de lista Usar un filtro guardado para los informes y los registros relacionados.
6 7
1 2 3
En la ficha Informes, seleccione un tipo de informe. En el cuadro de lista Utilizar filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Haga clic en el icono Eliminar ubicado junto al cuadro de lista Usar un filtro guardado.
213
Los dos usuarios estn registrados en la cuenta del administrador predeterminada en diversos sitios y cada uno crea un filtro con el mismo nombre. Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se elimina el filtro utilizable, usted adems elimina el filtro inutilizable.
1 2
En la ventana de informes, haga clic en Imprimir. En el cuadro de dilogo Imprimir, seleccione la impresora que desee, si es necesario, y luego haga clic en Imprimir.
Cuando se guarda un informe, se guarda una captura de pantalla del entorno de seguridad que corresponde a los datos actuales de la base de datos de informes. Si ejecuta el mismo informe ms adelante, a partir de la misma configuracin de filtro, el nuevo informe mostrar datos diferentes.
214
1 2 3 4 5
En la ventana de informes, haga clic en Guardar. En el cuadro de dilogo Descarga del archivo, haga clic en Guardar. En el cuadro de dilogo Guardar como, en el cuadro de la seleccin Guardar en, vaya a la ubicacin donde desee guardar el archivo. En el cuadro de lista Nombre de archivo, modifique el nombre de archivo predeterminado, si lo desea. Haga clic en Guardar. El informe se guarda en el formato del archivo Web de Microsoft, un solo archivo (*.mht) en la ubicacin que usted seleccion.
215
Los informes rpidos siguientes estn disponibles solamente como informes programados:
Distribucin de software cliente (instantneas) Clientes conectados/desconectados a lo largo del tiempo (instantneas) Clientes con la ltima poltica a lo largo del tiempo (instantneas) Clientes con errores de cumplimiento a lo largo del tiempo (instantneas) Distribucin de definiciones de virus (instantneas)
Es posible modificar la configuracin para cualquier informe que se haya programado. La prxima vez que el informe se ejecuta utiliza la nueva configuracin del filtro. Es posible adems crear informes programados adicionales, que es posible asociar a un filtro de informes previamente guardado. Puede eliminar uno o todos los informes programados. Nota: Cuando se asocia un filtro guardado a un informe programado, asegrese de que el filtro no contenga fechas personalizadas. Si el filtro especifica una fecha personalizada, usted obtendr el mismo informe cada vez que se ejecute el informe. Es posible imprimir y guardar informes programados, como se hace con los informes que se ejecutan manualmente. Nota: Cuando se crea un informe programado, es necesario utilizar el filtro predeterminado o un filtro que usted ya haya guardado. Despus de que usted haya programado el informe, es posible volver y editar el filtro. Para obtener informacin sobre las opciones que es posible configurar en estos procedimientos, en la ficha Informes programados, es posible hacer clic en Ms informacin. Para crear un informe programado
1 2 3
En la consola, haga clic en Informes. En la ficha Informes programados, haga clic en Agregar. En el cuadro de texto Nombre del informe, escriba un nombre descriptivo y, opcionalmente, escriba una descripcin ms larga. Aunque se puedan pegar ms de 255 caracteres en el cuadro de texto de la descripcin, slo 255 caracteres se guardan en la descripcin.
Deje sin marcar la casilla de verificacin Activar este informe programado si usted no quiere que este informe se ejecute.
216
5 6 7 8
Seleccione el tipo de informe que desee programar del cuadro de lista. Seleccione el nombre del informe especfico que desee programar del cuadro de lista. Seleccione el nombre del filtro guardado que desee utilizar del cuadro de lista. En el cuadro de texto Ejecutar cada, seleccione el intervalo de tiempo en el cual desea que el informe sea enviado por correo electrnico (horas, das, semanas o meses). A continuacin, escriba el valor para el intervalo de tiempo que usted seleccion. Por ejemplo, si desea que el informe le sea enviado da por medio, seleccione das y despus escriba 2. Bajo Programa de informes, en el cuadro de texto Ejecutar cada, escriba la frecuencia con la cual este informe se debe enviar por correo electrnico a los destinatarios. informe se inicie o haga clic en el icono del calendario y seleccione la fecha. A continuacin, seleccione la hora y los minutos de los cuadros de lista.
10 En el cuadro de texto Iniciar despus de, escriba la fecha en que desea que el
1 2 3 4 5 6
En la consola, haga clic en Informes. Haga clic en Informes programados. En la lista de informes, haga clic en el informe programado que desee editar. Haga clic en Editar filtro. Realice los cambios del filtro que desee. Haga clic en Guardar filtro. Si desea conservar el filtro de informes original, d a este filtro editado un nuevo nombre.
7 8
Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.
217
1 2 3
En la consola, haga clic en Informes. En la ficha Informes programados, en la lista de informes, haga clic en el nombre del informe que desee eliminar. Haga clic en Eliminar.
218
Captulo
12
Acerca de los registros Usar la ficha Resumen de Supervisin Ver registros Guardar y eliminar filtros Configuracin bsica de filtro para los registros Configuracin avanzada de filtro para los registros Ejecutar comandos y acciones de registros Acerca de la reduccin del volumen de eventos enviados a los registros Exportar datos de registro Usar notificaciones
220
Es recomedable ver esta informacin para solucionar problemas de seguridad o de conectividad en su red. Esta informacin puede ser til adems para la investigacin de amenazas o para verificar el historial de eventos. Nota: Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Es posible exportar algunos datos de eventos del registro a un archivo delimitado por comas para importarlos en una aplicacin de hojas de clculo. Otros datos de registro se pueden exportar a un archivo de volcado o a un servidor Syslog. Ver "Exportar datos de registro" en la pgina 239.
Control de aplicaciones y dispositivos Auditora Cumplimiento Estado del equipo Proteccin contra amenazas de red Proteccin proactiva contra amenazas Riesgos Anlisis Sistema
Nota: Se accede a todos estos registros desde la pgina Supervisin, usando la ficha Registros. Es posible ver la informacin sobre las notificaciones creadas en la ficha Notificaciones y la informacin sobre el estado de los comandos en la ficha Estado del comando. Algunos tipos de registros se subdividen en distintos tipos de contenido para que sea ms fcil visualizarlos. Por ejemplo, los registros de control de aplicaciones y de control de dispositivos incluyen el registro de control de aplicaciones y el registro de control de dispositivos. Es posible adems ejecutar comandos desde algunos registros.
221
Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 244. Nota: Si tiene solamente Symantec Network Access Control instalado, slo algunos de los registros contienen datos; algunos registros estn vacos. El registro de auditora, el registro de estado del equipo y el registro de sistema contienen datos, al igual que el registro de cumplimiento. Si tiene solamente Symantec Endpoint Protection instalado, los registros de cumplimiento y los registros de Enforcer estn vacos, pero el resto de los registros contienen datos. La Tabla 12-1 describe los distintos tipos de contenido que es posible ver y las acciones que pueden efectuarse desde cada registro.
222
Registro y listas
Contenido y acciones
El registro de control de aplicaciones y el registro de control de dispositivos contienen informacin sobre los eventos en los que se bloque determinado tipo de comportamiento. Los registros siguientes de control de aplicaciones y de control de dispositivos estn disponibles: Control de aplicaciones, que incluye informacin sobre proteccin contra intervenciones Control de dispositivos
La informacin que est disponible en el registro de control de aplicaciones incluye los siguientes elementos:
La hora en que se produjo el evento Las acciones efectuadas El dominio y el equipo que estaban implicados La gravedad La norma que estaba implicada El proceso de llamada El destino
La informacin que est disponible en el registro de control de dispositivos incluye los siguientes elementos:
La hora en que se produjo el evento El tipo de evento El dominio y el grupo que estaban implicados El usuario que estaba implicado El equipo que estaba implicado El nombre del sistema operativo La ubicacin Una descripcin
Es posible agregar un proceso a una poltica de excepciones centralizada desde el registro de control de aplicaciones. Auditora Los registros de auditora contienen informacin sobre la actividad de modificacin de polticas. La informacin disponible incluye la hora y el tipo de evento; la poltica modificada; el dominio, el sitio y el administrador implicado; y una descripcin. No hay ninguna accin asociada a este registro.
223
Tipo de registro
Cumplimiento
Contenido y acciones
Los registros de cumplimiento contienen informacin sobre el servidor de Enforcer, los clientes de Enforcer y el trfico de Enforcer, y sobre cumplimiento de los hosts. Los siguientes registros de cumplimiento estn disponibles si tiene instalado Symantec Network Access Control: Servidor de Enforcer Este registro realiza un seguimiento de la comunicacin entre los mdulos de Enforcer y su servidor de administracin. La informacin que se registra incluye el nombre del mdulo de Enforcer, cundo se conecta al servidor de administracin, el tipo de evento, el sitio y el nombre del servidor. Cliente de Enforcer Proporciona la informacin sobre todas las conexiones del cliente de Enforcer. Los datos disponibles incluyen el nombre, tipo, sitio, host remoto y direccin MAC remota de cada Enforcer, y si el cliente fue aprobado, rechazado o autenticado. Trfico de Enforcer (Gateway Enforcer solamente) Proporciona cierta informacin sobre el trfico que se mueve a travs de un dispositivo Enforcer. Esta informacin incluye la direccin y la hora del trfico, el protocolo que fue utilizado, el nombre y el sitio del mdulo Enforcer. La informacin adems incluye el puerto local que fue utilizado, la direccin y una cantidad. Es posible filtrar segn los intentos de conexin que fueron permitidos o bloqueados. Cumplimiento del host Este registro realiza un seguimiento de los detalles de los anlisis de integridad de los hosts de los clientes. La informacin disponible incluye la hora, la ubicacin, el sistema operativo, el motivo de los errores y una descripcin.
224
Tipo de registro
Estado del equipo
Contenido y acciones
Los registros de estado del equipo contienen informacin sobre el estado operacional de los equipos cliente de la red en tiempo real. La informacin disponible incluye el nombre del equipo y la direccin IP, la hora de la ltima verificacin, la fecha de las definiciones, el estado de infeccin, el estado de Auto-Protect, el servidor, el grupo, el dominio y el nombre de usuario. Es posible realizar las siguientes acciones desde el registro de estado del equipo:
Anlisis Este comando inicia un anlisis rpido, completo o personalizado. Las opciones de anlisis personalizado son las que usted ha configurado para los anlisis de comandos en la pgina Anlisis definidos por el administrador. El comando utiliza la configuracin de la poltica antivirus y contra software espa que se aplica a los clientes que usted seleccion para analizar. Actualizar contenido Este comando activa una actualizacin de polticas, definiciones y software desde la consola para los clientes del grupo seleccionado. Actualizar contenido y anlisis Este comando activa una actualizacin de polticas, definiciones y software en los clientes del grupo seleccionado. Este comando inicia un anlisis rpido, completo o personalizado. Las opciones de anlisis personalizado son las que usted ha configurado para los anlisis de comandos en la pgina Anlisis definidos por el administrador. El comando utiliza la configuracin de la poltica antivirus y contra software espa que se aplica a los clientes que usted seleccion para analizar. Cancelar todos los anlisis Este comando cancela todos los anlisis en curso y cualquier anlisis en cola para los destinatarios seleccionados. Reiniciar equipos Este comando reinicia los equipos que usted seleccion. Si los usuarios han iniciado sesin, se les advierte sobre el reinicio basado en las opciones de reinicio que el administrador configur para ese equipo. Es posible configurar las opciones de reinicio de clientes en la ficha Configuracin general del cuadro de dilogo Configuracin de la pgina Clientes. Habilitar Auto-Protect Este comando activa Auto-Protect para todos los equipos cliente que usted seleccion. Habilitar proteccin contra amenazas de red Este comando activa la proteccin contra amenazas de red para todos los equipos cliente que usted seleccion. Inhabilitar proteccin contra amenazas de red Este comando desactiva la proteccin contra amenazas de red para todos los equipos cliente que usted seleccion.
Es posible adems eliminar el estado infectado de los equipos desde este registro.
225
Tipo de registro
Contenido y acciones
Proteccin contra amenazas Los registros de proteccin contra amenazas de red contienen informacin sobre de red ataques en el firewall y en la prevencin de intrusiones. Existe informacin disponible sobre ataques de negacin de servicio, anlisis de puertos y los cambios que fueron realizados a los archivos ejecutables. Adems contienen la informacin sobre las conexiones que se hacen a travs del firewall (trfico) y los paquetes de datos que pasan a travs de l. Estos registros adems contienen algunos de los cambios operacionales que se realizan en los equipos, como detectar aplicaciones de red y configurar software. La informacin disponible incluye elementos como la hora, el tipo de evento y las acciones efectuadas. La informacin adicional disponible incluye la gravedad, la direccin, el nombre de host, las acciones efectuadas, la direccin IP y el protocolo implicado. Los registros siguientes de proteccin contra amenazas de red estn disponibles:
No hay ninguna accin asociada a estos registros. Proteccin proactiva contra El registro de proteccin proactiva contra amenazas contiene informacin sobre las amenazas amenazas que se han detectado durante el anlisis de amenazas proactivo. Los anlisis de amenazas proactivos utilizan la heurstica para analizar en busca de comportamientos similares al de los virus y los riesgos de seguridad. Este mtodo puede detectar virus desconocidos y riesgos de seguridad. La informacin disponible incluye elementos como la hora de la incidencia, el nombre del evento, el equipo y el usuario implicados, el nombre y el tipo de aplicacin y el nombre del archivo. Es posible agregar un proceso detectado a una poltica de excepciones centralizada preexistente desde este registro. Riesgos El registro de riesgos contiene informacin sobre eventos de riesgo. Parte de la informacin disponible incluye el nombre y la hora del evento, el nombre de usuario, el equipo, el nombre del riesgo, la cantidad, el origen y el nombre de la ruta. Es posible efectuar las siguientes acciones desde este registro:
Agregar riesgo a la poltica de excepciones centralizada Agregar archivo a la poltica de excepciones centralizada Agregar carpeta a la poltica de excepciones centralizada Agregar extensin a la poltica de excepciones centralizada Eliminar de Cuarentena
226
Tipo de registro
Anlisis
Contenido y acciones
El registro de anlisis contiene informacin sobre la actividad del anlisis antivirus y de software espa. La informacin disponible incluye elementos tales como el nombre del equipo, la direccin IP, el estado, la hora del anlisis, la duracin y los resultados del anlisis. No hay ninguna accin asociada a estos registros.
Sistema
Los registros de sistema contienen informacin sobre eventos tales como cundo se inician y se detienen los servicios. La informacin disponible incluye elementos tales como el tiempo y el tipo de evento; el sitio, el dominio y el servidor implicados; y la gravedad. Estn disponibles los siguientes registros de sistema:
Administrativo Actividad del cliente y el servidor Actividad del servidor Actividad del cliente Actividad de Enforcer
No hay ninguna accin asociada a estos registros. Lista Estado del comando La lista Estado del comando contiene informacin sobre el estado de los comandos que se han ejecutado desde la consola. Incluye informacin tal como la fecha en que se ejecut el comando, quin lo emiti y una descripcin del comando. Adems incluye el estado de avance del comando y los clientes a los que afect dicho comando. La lista Notificaciones contiene informacin sobre eventos de notificaciones. Tales eventos incluyen informacin tal como la fecha y la hora de la notificacin. Adems incluye informacin sobre si la notificacin fue reconocida, quin la cre, su asunto y el mensaje. No hay ninguna accin asociada a estos registros.
Lista Notificaciones
227
La Tabla 12-2 enumera el contenido de las vistas de resumen. Tabla 12-2 Vistas de resumen y su contenido Contenido
La vista Antivirus contiene la siguiente informacin:
Vista de resumen
Antivirus
Amenazas proactivas Distribucin de riesgos Nuevos riesgos Distribucin de riesgos por origen Distribucin de riesgos por atacante Distribucin de riesgos por grupo
228
Vista de resumen
Contenido
Proteccin contra amenazas La vista Proteccin contra amenazas de red contiene la de red siguiente informacin:
Principales destinos atacados por grupo Tipos de eventos de seguridad Principales fuentes de ataque Eventos de seguridad por gravedad
Cumplimiento
Estado de cumplimiento de la red Error en el estado de cumplimiento de la red Resumen de errores de control Detalles de errores de control
Estado del sitio Generadores principales de errores por servidor Generadores principales de errores por cliente Errores de replicacin a lo largo del tiempo Generadores principales de errores por Enforcer
Si tiene solamente Symantec Network Access Control instalado, debe tener en cuenta la siguiente informacin:
La vista Cumplimiento que se describe en la Tabla 12-2 incluye su pgina principal. La vista Estado del sitio es la nica disponible en la ficha Resumen.
Es posible hacer clic en cualquiera de los grficos circulares de la vista de la ficha Resumen para ver ms detalles. Para ver el resumen de Principales destinos atacados, en Proteccin contra amenazas de red, utilice el cuadro de lista para ver el resumen por grupos, subredes, clientes o puertos.
229
Nota: Si tiene solamente Symantec Endpoint Protection instalado, los grficos en la vista de resumen de cumplimiento estn vacos. Si tiene solamente Symantec Network Access Control instalado, la ficha Resumen contiene solamente la vista Estado del sitio. Es posible ver la informacin del resumen de cumplimiento en la pgina principal. Para modificar el tipo de resumen
1 2
En la ventana principal, haga clic en Supervisin. En la parte superior de la ficha Resumen, en el cuadro de lista Tipo de resumen, seleccione el tipo de vista que desea ver.
Ver registros
Puede generar una lista de eventos para ver desde los registros que se basan en un conjunto de opciones de filtro seleccionadas. Cada tipo de registro y de contenido tiene una configuracin de filtro predeterminada que puede utilizarse como est o modificarse. Es posible adems crear y guardar nuevas configuraciones de filtro. Estos nuevos filtros se pueden basar en el filtro predeterminado o en un filtro existente que usted cre previamente. Si guarda la configuracin del filtro, puede generar la misma vista de registro en una fecha posterior sin tener que volver a configurar las opciones. Es posible eliminar las configuraciones de filtro personalizadas si ya no las necesita. Ver "Guardar y eliminar filtros" en la pgina 232. Nota: Si se producen errores de base de datos cuando se visualizan los registros que incluyen una gran cantidad de datos, puede ser recomendable modificar los parmetros de tiempo de espera de la base de datos. Ver "Cambiar los parmetros de tiempo de espera" en la pgina 343. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Para obtener informacin sobre parmetros de tiempo de espera adicionales, consulte el artculo "Reporting server does not report or shows a timeout error message when querying large amounts of data" (El servidor de informes no genera informes o presenta un mensaje de error de tiempo de espera al consultar una gran cantidad de datos) de la base de datos de conocimientos de Symantec (en ingls). Debido a que los registros contienen cierta informacin que se recopila a intervalos, es posible actualizar las vistas de los registros. Para configurar la frecuencia de
230
actualizacin del registro, visualice el registro y seleccinelo del cuadro de lista Actualizacin automtica en la parte superior derecha de la vista de ese registro. Nota: Si ve los datos de registro usando fechas especficas, la actualizacin automtica no tiene ningn efecto. Los datos permanecen siempre iguales. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para ese tipo de informe en la consola. Ms informacin muestra la ayuda contextual. Nota: Los campos de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn. Para ver un registro
1 2 3 4 5
En la ventana principal, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo de registro que desea ver. En algunos tipos de registros, se muestra un cuadro de lista Contenido del registro. Si se muestra, seleccione el contenido del registro que desea ver. En el cuadro de lista Usar un filtro guardado, seleccione un filtro guardado o deje el filtro predeterminado. Seleccione un tiempo del cuadro de lista Intervalo de tiempo o deje la configuracin predeterminada. Si selecciona Definir fechas especficas, defina la fecha o las fechas y la hora para las cuales desea visualizar entradas. Haga clic en Configuracin avanzada para limitar la cantidad de entradas que se visualizan. Es posible adems configurar cualquier otra Configuracin avanzada disponible para el tipo de registro que seleccion. Despus de tener la configuracin de vista que desea, haga clic en Ver registro. La vista de registro aparece en la misma ventana.
231
1 2 3 4 5
En la ventana principal, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo de registro que desea ver. En algunos tipos de registros, se muestra un cuadro de lista Contenido del registro. Si se muestra, seleccione el contenido del registro que desea ver. Haga clic en Ver registro. Seleccione el evento del cual desea ver detalles y haga clic en Detalles.
1 2
Abra un navegador Web. Escriba el nombre del servidor o la direccin IP y el nmero de puerto, 9090, en el cuadro de texto de la direccin, de la siguiente manera: http://192.168.1.100:9090 La consola empieza a descargar. El equipo desde el cual usted inici sesin debe tener el entorno Java 2 Runtime Environment (JRE, Java Runtime Environment) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE. Ver "Iniciar sesin en Symantec Endpoint Protection Manager " en la pgina 45.
232
3 4
En el cuadro de dilogo de inicio de sesin de la consola, escriba su nombre de usuario y su contrasea. En el cuadro de texto Servidor, si no se completa automticamente, escriba el nombre del servidor o la direccin IP y el nmero de puerto 8443, de la siguiente manera: http://192.168.1.100:8443
1 2 3
En la ventana principal, haga clic en Supervisin. En la ficha Registros, seleccione el tipo de vista de registro para la que desea configurar un filtro, desde el cuadro de lista Tipo de registro. En algunos tipos de registros, se muestra un cuadro de lista Contenido del registro. Si se muestra, seleccione el contenido del registro para el que desea configurar un filtro. En el cuadro de lista Usar un filtro guardado, seleccione el filtro desde el cual desea establecer el inicio. Por ejemplo, seleccione el filtro predeterminado. En la seccin Qu configuracin de filtros desea utilizar, haga clic en Configuracin avanzada. Modifique cualquiera de las opciones.
4 5 6
Ver y configurar registros y notificaciones Configuracin bsica de filtro para los registros
233
7 8
Haga clic en Guardar filtro. En el cuadro de dilogo que se visualiza, en el cuadro Nombre del filtro, escriba el nombre que desee utilizar para esta configuracin de filtro de registro. Slo se muestran los primeros 32 caracteres del nombre cuando el filtro guardado se agrega a la lista de filtros. Haga clic en Aceptar. El nombre del nuevo filtro se agrega al cuadro de lista Usar un filtro guardado.
1 2 3
En el cuadro de lista Usar un filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Al lado del cuadro de lista Usar un filtro guardado, haga clic en el icono Eliminar. Cuando se le solicite confirmar si desea eliminar el filtro, haga clic en S.
Los dos usuarios estn registrados en la cuenta del administrador predeterminada en diversos sitios y cada uno crea un filtro con el mismo nombre. Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se elimina el filtro utilizable, usted adems elimina el filtro inutilizable.
234
Ver y configurar registros y notificaciones Configuracin bsica de filtro para los registros
La Tabla 12-3 describe la configuracin bsica que es comn a la mayora de los registros. Tabla 12-3 Opcin
Tipo de registro
Control de aplicaciones y Control de dispositivos Auditora Cumplimiento Estado del equipo Proteccin contra amenazas de red Proteccin proactiva contra amenazas Riesgos Anlisis Sistema
Si hay ms de un registro de ese tipo, es posible seleccionar el tipo de contenido del registro que se desea ver. Especifica qu filtro se desea utilizar para crear la vista del registro. Es posible utilizar el filtro predeterminado o un filtro personalizado al que usted ha dado un nombre y que ha guardado para ver informacin de registro.
Intervalo de tiempo
Especifica el intervalo de tiempo de los eventos que usted desea ver en el registro. Seleccione alguna de las opciones siguientes:
ltimas 24 horas Semana pasada ltimo mes Mes actual ltimos tres meses Ao pasado Definir fechas especficas
Configuracin avanzada
Cada registro tiene algunas opciones de configuracin avanzada que le son especficas. Haga clic en Configuracin avanzada y Configuracin bsica para alternar entre ambas configuraciones.
Ver y configurar registros y notificaciones Configuracin avanzada de filtro para los registros
235
Los grupos de servidores de una versin anterior se categorizan como dominios Los grupos de clientes de una versin anterior se categorizan como grupos Los servidores principales de una versin anterior se categorizan como servidores
Nota: No es posible filtrar los datos de una versin anterior de Symantec Client Firewall para conocer las firmas de prevencin de intrusiones. Para ver las versiones de firmas que se ejecutan en un equipo, es posible ir al registro Estado del equipo. Seleccione un equipo que tenga Symantec Client Firewall instalado y a continuacin haga clic en Detalles. Esta informacin est en el campo Versin de IDS. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para ese tipo de registro en la consola. Ms informacin muestra la ayuda contextual.
236
Es posible cancelar todos los anlisis en curso y en cola para los clientes seleccionados desde el registro Estado del equipo. Si confirma el comando, la tabla se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado del comando. Nota: Si ejecuta el comando de anlisis y selecciona un anlisis personalizado, el anlisis utiliza la configuracin del anlisis de comando que usted configur en la pgina Anlisis definido por el administrador. El comando utiliza la configuracin que est en la poltica antivirus y contra software espa que se aplica a los clientes seleccionados. Si ejecuta un comando Reiniciar equipo desde un registro, el comando se enva inmediatamente. Si hay usuarios conectados al cliente, se les advierte sobre el reinicio, de acuerdo con las opciones de reinicio que el administrador configur para ese cliente. Es posible configurar las opciones de reinicio de clientes en la ficha Configuracin general del cuadro de dilogo Configuracin, de la pgina Clientes. Los registros siguientes permiten que se agreguen excepciones a una poltica de excepciones centralizada:
Registro de control de aplicaciones Registro de Proteccin proactiva contra amenazas Registro de riesgos
Ver "Crear excepciones centralizadas de eventos de registro" en la pgina 654. Para agregar cualquier tipo de excepcin desde un registro, debe haber creado una poltica de excepciones centralizada. Ver "Configurar una poltica de excepciones centralizada" en la pgina 646. Desde el registro de riesgos, es posible adems eliminar los archivos de Cuarentena. Si Symantec Endpoint Protection detecta riesgos en un archivo comprimido, el archivo comprimido se pone en cuarentena completamente. Sin embargo, el registro Riesgo contiene una entrada separada para cada archivo del archivo comprimido. No es posible utilizar el comando Eliminar de Cuarentena desde registro Riesgo para eliminar de Cuarentena solamente los archivos infectados. Para eliminar correctamente el riesgo o los riesgos, es necesario seleccionar todos los archivos del archivo comprimido antes de utilizar el comando Eliminar de Cuarentena.
237
Nota: Para seleccionar los archivos del archivo comprimido, debe visualizarlos todos en la vista de registro. Es posible utilizar la opcin Lmite en la configuracin avanzada del filtro del registro Riesgo para aumentar el nmero de entradas en la vista. Para eliminar archivos de Cuarentena desde el registro Riesgo
1 2 3 4 5 6 7
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro Riesgo, a continuacin haga clic en Ver registro. Seleccione una entrada del registro que tenga un archivo que se haya puesto en cuarentena. Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena. Haga clic en Iniciar. En el cuadro de dilogo que aparece, haga clic en Eliminar. En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
1 2 3
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro Riesgo y a continuacin haga clic en Ver registro. Seleccione todas las entradas de los archivos del archivo comprimido. Todas las entradas del archivo comprimido deben estar en la vista del registro. Es posible utilizar la opcin Lmite de Configuracin avanzada para aumentar el nmero de entradas en la vista.
4 5 6 7
Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena. Haga clic en Iniciar. En el cuadro de dilogo que aparece, haga clic en Eliminar. En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
1 2 3 4
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione un comando del cuadro de lista Accin.
238
Haga clic en Iniciar. Si hay opciones de configuracin para el comando que usted seleccion, aparecer una nueva pgina donde es posible configurar las opciones apropiadas.
6 7
Cuando haya finalizado la configuracin, haga clic en S. En el cuadro de mensaje de confirmacin del comando que aparece, haga clic en Aceptar. Si el comando no se pone en cola correctamente, es posible que se deba repetir este procedimiento. Se puede verificar si el servidor no funciona. Si la consola ha perdido conectividad con el servidor, es posible finalizar la sesin en la consola y a continuacin volver a iniciarla para ver si ayuda.
1 2
Haga clic en Supervisin. En la ficha Estado del comando, seleccione un comando de la lista y a continuacin haga clic en Detalles.
1 2 3
Haga clic en Supervisin. En la ficha Estado del comando, haga clic en el icono Cancelar anlisis de la columna Comando del comando de anlisis que desee cancelar. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
1 2 3 4 5 6
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione uno o ms equipos de la lista y a continuacin seleccione Cancelar todos los anlisis de la lista de comandos. Haga clic en Iniciar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S para cancelar todos los anlisis en curso y puestos en cola de los equipos seleccionados. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
Ver y configurar registros y notificaciones Acerca de la reduccin del volumen de eventos enviados a los registros
239
240
La Tabla 12-4 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados. Tabla 12-4 Nombres de archivo de texto de registro para Symantec Endpoint Protection Nombre de archivo de texto
scm_admin.log agt_behavior.log scm_agent_act.log scm_policy.log scm_system.log agt_packet.log agt_proactive.log agt_risk.log agt_scan.log agt_security.log agt_system.log agt_traffic.log
Datos de registro
Administracin de servidor Control de aplicaciones de servidor Cliente de servidor Poltica de servidor Sistema de servidor Paquete de clientes Amenaza proactiva del cliente Riesgos del cliente Anlisis de equipos cliente Seguridad del cliente Sistema del cliente Trfico del cliente
Nota: Los nombres del registro en la Tabla 12-4 no se corresponden directamente con los nombres de registro que se utilizan en la ficha Registros de la pgina Supervisin. La Tabla 12-5 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados para los registros de Enforcer. Tabla 12-5 Nombres de archivo de texto de registro adicionales para Symantec Network Access Control Nombre de archivo de texto
scm_enforcer_act.log enf_client_act.log
Datos de registro
Actividades de Enforcer del servidor Actividades de Enforcer del cliente
241
Datos de registro
Sistema de Enforcer Trfico de Enforcer
Nota: Cuando se exporta a un archivo de texto, el nmero de registros exportados puede ser distinto del nmero que se establece en el cuadro de dilogo Registro externo. Esta situacin se presenta cuando se reinicia el servidor de administracin. Despus de reiniciar el servidor de administracin, la cantidad de entradas de registro se restablece a cero, pero ya puede haber entradas en los archivos de registro temporales. En esta situacin, el primer archivo de *.log de cada tipo que se genera despus del reinicio contiene ms entradas que el valor especificado. Cualquier archivo de registro que se exporte posteriormente contiene el nmero correcto de entradas. Para obtener ms informacin sobre las opciones que pueden configurarse con este procedimiento, haga clic en Ayuda, en la consola para ver la ficha General. Para exportar datos de registro a un archivo de volcado
1 2 3 4 5 6
En la consola, haga clic en Administrador. Haga clic en Servidores. Haga clic en el sitio local o en el sitio remoto para el que desee configurar el registro externo. Haga clic en Configurar el registro externo. En la ficha General, seleccione la frecuencia con la que se enviarn los datos de registro al archivo. Seleccione el Servidor de registro maestro que manejar el registro externo. Si utiliza Microsoft SQL con ms de un servidor de administracin conectado a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 8
Marque Exportar registros a un archivo de volcado. Si es necesario, marque Limitar registros de archivos de volcado y escriba el nmero de entradas que se quieran enviar al mismo tiempo al archivo de texto.
242
En la ficha Filtro de registros, seleccione todos los registros que se quieran enviar a los archivos de texto. Si el tipo de registro seleccionado permite definir el nivel de gravedad, es necesario marcar los niveles de gravedad que se desean guardar. Se guardan todos los niveles que se seleccionan.
1 2 3 4 5 6
En la consola, haga clic en Administrador. Haga clic en Servidores. Haga clic en el sitio local o el sitio remoto desde el cual desee exportar datos de registro. Haga clic en Configurar el registro externo. En la ficha General, seleccione la frecuencia con la que se enviarn los datos de registro al archivo. Seleccione el servidor que manejar el registro externo. Si utiliza Microsoft SQL y tiene varios servidores de administracin conectados a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 8
Marque Habilitar la transmisin de registros a un servidor Syslog. Configure los campos siguientes segn corresponda:
Servidor Syslog: Especifique la direccin IP o el nombre de dominio del servidor Syslog que recibir los datos de registro. Puerto UDP de destino: Especifique el puerto de destino que el servidor Syslog utiliza para escuchar mensajes de Syslog o utilice la configuracin predeterminada.
243
Recurso de registro: Especifique el nmero del recurso de registro que desee utilizar en el archivo de configuracin Syslog o utilice la configuracin predeterminada. Los valores vlidos van de 3 a 23.
En la ficha Filtro de registros, seleccione todos los registros que se quieran enviar a los archivos de texto. Si un tipo de registro seleccionado permite seleccionar el nivel de gravedad, marque los niveles de gravedad que desee guardar.
1 2 3 4 5 6 7 8
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro que desea exportar. Modifique cualquier Configuracin bsica o Configuracin avanzada. Haga clic en Ver registro. Haga clic en Exportar. En la nueva ventana que se muestra, haga clic en el men Archivo y a continuacin haga clic en Guardar como. Si se le pregunta si desea continuar, haga clic en S. En la ventana Guardar pginas Web que aparece, utilice el cuadro de lista Guardar en para desplazarse hasta el directorio donde desea guardar el archivo. En el cuadro de texto Nombre de archivo, escriba el nombre de archivo que se utilizar modifique el tipo a Archivo de texto (*.txt).
10 Para guardar los datos sin procesar, en el cuadro de lista Guardar como tipo, 11 Haga clic en Guardar para exportar los datos al archivo.
244
Usar notificaciones
Las notificaciones son mensajes sobre los eventos de seguridad que han ocurrido en su red. Es posible configurar muchos tipos distintos de notificaciones. Algunas notificaciones se dirigen a los usuarios y algunas se dirigen a los administradores. Es posible configurar las siguientes acciones de notificacin para alertar a administradores o a otros individuos designados cuando se cumplen determinadas condiciones relacionadas con la seguridad:
Enviar un correo electrnico. Ejecutar un archivo por lotes u otro archivo ejecutable. Registrar una entrada en el registro de notificaciones de la base de datos.
1 2
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Ver notificaciones. Aparece la lista de todos los tipos de notificaciones.
1 2
En la consola, haga clic en Supervisin. En la ficha Notificaciones, en Qu configuracin de filtros desea utilizar, haga clic en Configuracin avanzada.
245
Configure cualquier opcin por la cual desea filtrar. Es posible filtrar por cualquier combinacin de intervalo de tiempo, estado de reconocimiento, tipo de notificacin, creador o nombre especfico de notificacin.
Haga clic en Ver notificaciones. Aparece una lista del tipo de notificaciones que seleccion.
Registrar la notificacin en la base de datos. Enviar un correo electrnico a determinados individuos. Nota: Para enviar notificaciones por correo electrnico, es necesario configurar tambin un servidor de correo. Es posible configurar un servidor de correo usando la ficha Servidor de correo en la pgina de servidores de administracin. Ejecutar un archivo por lotes u otra clase de archivo ejecutable.
246
El perodo de reduccin predeterminado para las notificaciones es 60 minutos. Si se activa una notificacin y la condicin de la activacin contina existiendo, la accin de notificacin que haya configurado no se vuelve a realizar durante 60 minutos. Por ejemplo, suponga que define una notificacin para que se le enve un correo electrnico cuando un virus infecta cinco equipos en el plazo de una hora. Si un virus contina infectando sus equipos a esta velocidad o ms rpido, Symantec Endpoint Protection le enva una notificacin por correo electrnico cada hora. Los correos electrnicos seguirn envindose hasta que la velocidad de infeccin disminuya a menos de cinco equipos por hora. Es posible configurar el software para que se enve una notificacin cuando ocurren los siguientes tipos de eventos:
Error de autenticacin Los errores de inicio de sesin activan este tipo de notificacin. Se define el nmero de errores de inicio de sesin y el plazo que se desea para activar una notificacin. Symantec Endpoint Protection le notifica si el nmero de errores de inicio de sesin que ocurran durante el plazo excede su configuracin. Informa el nmero de errores de inicio de sesin que ocurrieron. Modificacin en la lista de clientes Las modificaciones en los clientes activan este tipo de notificacin. Los tipos de modificaciones que pueden activar esta notificacin son: la adicin, el movimiento, el cambio de nombre o la eliminacin de un cliente. Otras posibilidades son que el estado de detector no administrado, el modo del cliente o el hardware de un cliente se hayan modificado. Alerta de seguridad de clientes Es posible elegir entre eventos de seguridad de cumplimiento, proteccin contra amenazas de red, trfico, paquete, control de dispositivos y control de aplicaciones. Es posible adems elegir el tipo y el alcance del ataque que activar esta notificacin y el perodo. Los tipos incluyen las instancias en cualquier equipo, las instancias en un solo equipo o las instancias en equipos distintos. Algunos de estos tipos necesitan que usted adems habilite el inicio de sesin en la poltica asociada. Enforcer inactivo Un dispositivo Enforcer desconectado activa este tipo de notificacin. La notificacin le indica el nombre de cada Enforcer, su grupo y la hora de su ltimo estado. Se detect una aplicacin comercial o forzada La deteccin de una aplicacin en la lista de aplicaciones comerciales o en la lista del administrador de aplicaciones que se deben observar activa esta notificacin. Nueva aplicacin incorporada
247
Nuevo riesgo detectado Los nuevos riesgos detectados activan este tipo de notificacin. Nuevo paquete de software Las descargas de nuevos paquetes de software activan este tipo de notificacin. Ataque de riesgo Se define el nmero y el tipo de instancias de nuevos riesgos y el perodo que debe activar este tipo de notificacin. Los tipos incluyen las instancias en cualquier equipo, las instancias en un solo equipo o las instancias en equipos distintos. Estado del servidor Los estados de servidor desconectado, malo o muy grave activan esta notificacin. La notificacin enumera el nombre del servidor, el estado de salud, el motivo y el ltimo estado. Evento de riesgo simple La deteccin de un evento de riesgo simple activa esta notificacin. La notificacin enumera varios detalles sobre el riesgo, que incluyen el usuario y el equipo implicados, y las acciones que Symantec Endpoint Protection efectu. Evento del sistema Los eventos del sistema, tales como actividades de Enforcer y de servidor, error de replicacin, problemas de copia de respaldo y de restauracin, y errores de sistema, activan esta notificacin. La notificacin enumera la cantidad de eventos detectados. Equipo no administrado Los equipos no administrados activan esta notificacin. La notificacin enumera detalles, tales como la direccin IP, la direccin MAC y el sistema operativo, para cada equipo. Definiciones de virus desactualizadas Se define la desactualizacin al configurar la notificacin. Se definen el nmero de equipos y el nmero de das de antigedad de las definiciones del equipo necesarios para activar esta notificacin.
Con la configuracin de Condiciones de notificacin, es posible configurar una alerta de seguridad del cliente por instancias en cualquier equipo, en un solo equipo o en equipos distintos. Es posible adems configurar estas opciones para un ataque de riesgo. Ver "Configurar notificaciones de proteccin contra amenazas de red" en la pgina 576.
248
Para obtener una descripcin de cada opcin configurable, es posible hacer clic en Ms informacin, en la consola. Ms informacin muestra la ayuda contextual. Nota: Es posible filtrar la vista de las condiciones de notificacin que se han creado usando el cuadro de lista Mostrar tipos de notificacin. Para estar seguro de que se visualizan las nuevas notificaciones creadas, asegrese de que la opcin Todos est seleccionada en este cuadro de lista. Para crear una notificacin
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Condiciones de notificacin. Haga clic en Agregar y a continuacin seleccione el tipo de notificacin que desee agregar de la lista que aparece. En la nueva ventana que aparece, en el cuadro de texto Nombre de la notificacin, escriba un nombre descriptivo. Especifique las opciones de filtro que desee. Por ejemplo, para algunos tipos de notificaciones, es posible limitar la notificacin a dominios, grupos, servidores, equipos, riesgos o aplicaciones especficos. Especifique la configuracin de la notificacin y las acciones que desea que ocurran cuando se activa esta notificacin. Puede hacer clic en Ayuda para ver descripciones de las opciones posibles para todos los tipos de notificaciones. Si selecciona Enviar correo electrnico a como la accin que se efectuar, la notificacin por correo electrnico depende de la opcin del nombre de usuario del servidor de correo. El nombre de usuario que se configura para el servidor de correo en el cuadro de dilogo Propiedades del servidor debe tener el siguiente formato usuario@dominio. Si este campo se deja en blanco, las notificaciones se envan desde SYSTEM@nombre del equipo. Si el servidor de elaboracin de informes tiene un nombre que utiliza un conjunto de caracteres de doble byte (DBCS, Double Byte Character Set), es necesario especificar el campo de nombre de usuario con un nombre de cuenta de correo electrnico que tenga el formato usuario@dominio. Si selecciona Ejecutar el archivo por lotes o ejecutable como la accin que debe efectuarse, escriba el nombre del archivo. Los nombres de ruta no estn permitidos. El archivo por lotes o el archivo ejecutable que se ejecutar debe estar ubicado en el siguiente directorio:
unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\bin
249
Es recomendable crear una notificacin de proteccin contra amenazas de red que se activa cuando un evento de trfico coincide con los criterios configurados para una norma de firewall. Para crear este tipo de notificacin, es necesario realizar las siguientes tareas:
En la lista Normas de polticas de firewall, marque la opcin Enviar alerta de correo electrnico en la columna Registro de las normas de las cuales desea ser notificado. En la ficha Notificaciones, configure una alerta de seguridad del cliente para eventos de proteccin contra amenazas de red, paquete o trfico.
1 2 3 4 5 6
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Condiciones de notificacin. Haga clic en Agregar y seleccione Alerta de seguridad de cliente. Escriba un nombre para esta notificacin. Si desea limitar esta notificacin a dominios, grupos, servidores o equipos especficos, especifique las opciones de filtro que desee. Seleccione uno de los siguientes tipos de ataque:
Para especificar el tipo de actividad de proteccin contra amenazas de red, active una de las siguientes casillas de verificacin:
Para los ataques y los eventos que el firewall detecta o que las firmas de prevencin de intrusiones detectan, marque Eventos de proteccin contra amenazas de red. Para las normas de firewall que se activan y se registran en el registro de paquetes, marque Eventos de paquetes. Para las normas de firewall que se activan y se registran en el registro de trfico, marque Eventos de trfico.
Si lo desea, modifique las condiciones predeterminadas de notificacin para configurar el nmero de instancias dentro del nmero de minutos en que desea que se active esta notificacin.
250
Marque Enviar correo electrnico a y a continuacin escriba las direcciones de correo electrnico de las personas a las que desea notificar cuando se cumplen estos criterios.
Captulo
13
Acerca del uso de Supervisin e Informes para asegurar la red Acerca de eliminar virus y riesgos de seguridad Encontrar los clientes desconectados
252
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
estn infectados en su red. La pgina principal muestra un conteo de los equipos recientemente infectados y an infectados. Este conteo le dice inmediatamente cuando inicia sesin en la consola si se encontraron problemas de seguridad en su red. Es posible encontrar ms detalles sobre estos equipos de muchas maneras diferentes. Por ejemplo, es posible hacer lo siguiente:
Programar el informe rpido de Equipos infectados y en riesgo para ejecutarse cada maana y configurarlo para que se enve por correo electrnico a usted mismo o a otra persona. Construir y guardar un filtro de informe de riesgos que incluya los detalles especficos que usted desee sobre los equipos infectados. Ejecute un informe rpido usando ese filtro siempre que vea desde la pgina principal que ha ocurrido un problema de seguridad. O es posible crear un informe programado para ejecutarse que utilice ese filtro guardado y enviarlo por correo electrnico a usted mismo o a otra persona. Ir directamente al registro de riesgos y ver los eventos de infeccin. Es posible utilizar el filtro predeterminado o un filtro guardado solamente con los detalles que desee. Personalizar la pgina principal para modificar los informes predeterminados en la seccin Informes favoritos, si lo desea. Es posible utilizar cualquier informe rpido predefinido o un informe que utilice un filtro personalizado. Estos informes se ejecutan siempre que usted los ve, de modo que la informacin que contienen es actual.
No importa cul sea su enfoque preferido, es posible crear algunos filtros de registro e informes personalizados. Es posible utilizar los filtros personalizados regularmente para supervisar o eliminar problemas de seguridad en su red. Para personalizar los filtros, se debe primero identificar la informacin que desea ver en el informe o registrar. Por ejemplo, es posible ejecutar un informe para visualizar los riesgos de seguridad principales que infectaron su red durante un plazo especfico. Suponga que encuentra que el riesgo principal en su red la ltima semana era RPC.Attack. El informe identifica cuntos equipos fueron infectados. Es posible entonces utilizar el registro de riesgos para visualizar los nombres de los equipos que fueron infectados por RPC.Attack. El registro de riesgos adems muestra los nombres de los usuarios que haban iniciado sesin en esos equipos a la hora de la infeccin.
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
253
El acceso a una entidad del equipo fue bloqueado. Un dispositivo fue prohibido en la red.
Los archivos, las claves de registro y los procesos son ejemplos de entidades del equipo. La informacin que est disponible incluye elementos tales como la hora y el tipo de evento; las medidas tomadas; el host y la norma implicados. Adems contienen el proceso de llamada implicado. Estos registros e informes incluyen informacin sobre Polticas de control de aplicaciones y dispositivos y Proteccin contra intervenciones. La Tabla 13-1 resume los distintos informes y registros de Control de aplicaciones y Control de dispositivos. Describe algunos usos tpicos para la clase de informacin que es posible extraer de ellos. Tabla 13-1 Resumen de registros e informes rpidos de Control de aplicaciones y Control de dispositivos Usos tpicos
Utilice este informe para comprobar qu grupos son los ms riesgosos de su red.
Informe o registro
Grupos principales con registros de control de aplicaciones con mayor cantidad de alertas Principales destinos bloqueados
Utilice este informe para comprobar qu archivos, procesos y otras entidades se utilizan ms frecuentemente en ataques contra su red. Utilice este informe para descubrir qu dispositivos son los ms problemticos desde el punto de vista de poner en peligro la seguridad de su red.
Registro de control de aplicaciones Utilice este registro para ver informacin sobre las entidades siguientes:
Los procesos que estuvieron implicados en los eventos. Los nombres de las normas aplicadas desde la poltica cuando el acceso de una aplicacin se bloquea.
254
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
Informe o registro
Usos tpicos
Registro de control de dispositivos Utilice este registro cuando es necesario ver los detalles de Control de dispositivos, tales como la hora exacta en que Control de dispositivos habilit o deshabilit los dispositivos. Este registro adems visualiza informacin tal como el nombre del equipo, su ubicacin, el usuario que haba iniciado sesin y el sistema operativo implicado.
Informe o registro
Estado del cumplimiento de red
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
255
Informe o registro
Estado de cumplimiento
Usos tpicos
Utilice este informe para ver el nmero total de clientes que hayan aprobado o fallado una comprobacin de integridad del host en su red.
Resumen de clientes por error de Utilice este informe para ver los motivos generales cumplimiento para los eventos de errores de control, tales como antivirus, firewall o VPN. Detalles del error de cumplimiento Utilice este informe para ver un mayor nivel de detalle sobre los errores de cumplimiento. Muestra los criterios y la norma que estuvo implicada en cada error. Incluye el porcentaje de los clientes que fueron implementados y el porcentaje de los que fallaron. Por ejemplo, el Resumen de errores de cumplimiento puede mostrar diez errores de clientes debido al software antivirus. En cambio, Detalles del error de cumplimiento muestra la siguiente informacin: Cuatro clientes no tienen ningn software antivirus actualmente en funcionamiento. Dos clientes no tienen ningn software antivirus instalado. Cuatro clientes tienen archivos de definiciones de antivirus desactualizados.
Utilice este informe para ver si algunas ubicaciones tienen ms problemas de cumplimiento que otras.
Registro del servidor de Enforcer Utilice este registro para ver informacin sobre eventos de cumplimiento de Enforcer, el nombre del mdulo de Enforcer implicado, su sitio y su servidor. Entre otras cosas, este registro contiene la siguiente informacin: Qu mdulos de Enforcer no pudieron registrarse con sus servidores Qu mdulos de Enforcer recibieron correctamente descargas de polticas y el archivo de comunicacin sylink.xml Si el servidor de los mdulos de Enforcer ha recibido correctamente sus registros
Utilice este registro para ver qu clientes tienen comprobaciones de integridad del host aprobadas o falladas, si fueron autenticados o rechazados, o si fueron desconectados de la red.
256
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
Informe o registro
Registro de trfico de Enforcer
Usos tpicos
Utilice este registro para ver informacin sobre el trfico que pasa por un mdulo de Enforcer. La informacin disponible incluye:
La direccin del trfico La hora en que el trfico comenz y finaliz El protocolo utilizado
El tamao del paquete (en bytes) Los intentos de conexin que fueron permitidos o bloqueados
Este registro se aplica solamente a los mdulos Gateway Enforcer. Registro de cumplimiento del host Utilice este registro para ver informacin especfica sobre eventos de cumplimiento determinados. Tales eventos incluyen el motivo, el usuario implicado y el nombre del sistema operativo implicado.
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
257
Tabla 13-3
Informe o registro
Distribucin de definiciones de virus
Inventario de clientes
258
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
Informe o registro
Cantidad de clientes por grupo
Usos tpicos
Utilice este informe para ver el nmero total de clientes y de usuarios, por grupo.
Resumen del estado de seguridad Utilice este informe para ver rpidamente el nmero total de equipos que tengan los siguientes problemas:
Proteccin contra intervenciones se encuentra desactivado El equipo necesita ser reiniciado El equipo fall una comprobacin de integridad del host La proteccin contra amenazas de red est desactivada
Estos equipos pueden continuar en peligro a menos que se intervenga. Versiones de contenido de proteccin Utilice este informe para comprobar las versiones del contenido de proteccin proactiva en uso en su red, para localizar cualquier equipo que necesite una actualizacin. Utilice este informe para ver el estado de la migracin de clientes por dominio, grupo y servidor. Es posible identificar rpidamente los clientes donde la migracin ha fallado o an no se ha iniciado. Utilice este informe para localizar los clientes que no se conectan a la red con suficiente frecuencia. Este informe est disponible slo como un informe programado.
Migracin de clientes
Clientes con la ltima poltica a lo Utilice este informe para localizar los clientes que no largo del tiempo (instantneas) reciben actualizaciones de polticas con suficiente frecuencia. Este informe est disponible slo como un informe programado. Distribucin de software cliente (instantneas) Utilice este informe para localizar los clientes que no tienen la ltima versin de software implementada. Este informe est disponible slo como un informe programado.
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
259
Informe o registro
Usos tpicos
Clientes con errores de Utilice este informe para localizar los clientes que cumplimiento a lo largo del tiempo frecuentemente fallan las comprobaciones de (instantneas) integridad del host. Este informe est disponible slo como un informe programado. Distribucin de definiciones de virus (instantneas) Utilice este informe para ver las versiones de definiciones que los clientes tienen. Este informe est disponible slo como un informe programado. Compruebe el registro de estado del equipo si necesita ms detalles sobre alguna de las reas que los informes cubren.
Los registros de proteccin contra amenazas de red recogen informacin sobre la prevencin de intrusiones. Adems contienen informacin sobre las conexiones que fueron hechas a travs del firewall (trfico), las claves del registro, los archivos y las DLL a las que se accede. Contienen informacin sobre los paquetes de datos que pasan a travs de los equipos. Los cambios operacionales que fueron realizados a los equipos tambin se incluyen en estos registros. Esta informacin puede incluir el momento en que se inician y se detienen los servicios o alguien configura software. Entre los otros tipos de informacin que puede estar disponible hay elementos tales como la hora y el tipo de evento, y las medidas tomadas. Puede adems incluir la direccin, el nombre de host, la direccin IP y el protocolo que fue utilizado para el trfico implicado. Si se aplica al evento, la informacin puede adems incluir el nivel de gravedad.
260
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
La Tabla 13-4 resume los diversos informes y registros de la proteccin contra amenazas de red. Describe algunos usos tpicos para la clase de informacin que es posible extraer de ellos. Tabla 13-4 Resumen de informes rpidos y registros de la proteccin contra amenazas de red Usos tpicos
Utilice este informe para identificar qu grupos, subredes, equipos o puertos se atacan ms frecuentemente. Sera aconsejable tomar medidas basadas en este informe. Por ejemplo, es posible que encuentre que los clientes que se comunican con VPN son atacados mucho ms frecuentemente. Puede ser recomendable agrupar esos equipos de modo que se pueda aplicar una poltica de seguridad ms rigurosa. Utilice este informe para identificar qu hosts atacan su red ms frecuentemente. Utilice este informe para identificar los tipos de ataque que se dirigen a su red ms frecuentemente. Los tipos de ataque que es posible supervisar incluyen anlisis de puertos, ataques de negacin de servicio y falsificacin de MAC.
Informe o registro
Principales destinos atacados
Utilice estos informes juntos para identificar las aplicaciones que se utilizan ms frecuentemente para atacar su red. Es posible adems ver si las aplicaciones Aplicaciones bloqueadas a lo largo utilizadas para los ataques se han modificado a lo largo del tiempo del tiempo. Ataques a lo largo del tiempo Utilice este informe para identificar los grupos, las direcciones IP, los sistemas operativos y los usuarios que se atacan ms frecuentemente en su red. Utilcelo adems para identificar el tipo ms frecuente de ataque que ocurre. Utilice este informe para ver un resumen de la gravedad de los eventos de seguridad en su red.
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
261
Informe o registro
Principales notificaciones de trfico
Usos tpicos
Estos informes muestran el nmero de ataques que infringieron las normas de firewall que usted configur para notificarle sobre violaciones. Se configura la Notificaciones de trfico a lo largo informacin de estos datos seleccionando la opcin del tiempo Enviar alerta de correo electrnico en la columna Registro de la lista de normas de polticas de firewall. Utilice Notificaciones de trfico a lo largo del tiempo para ver cmo los ataques aumentan o disminuyen, o afectan a diversos grupos a lo largo del tiempo. Utilcelos para ver qu grupos estn en mayor peligro de ataque a travs del firewall. Informe completo Utilice este informe para ver la informacin que aparece en todos los informes rpidos de la proteccin contra amenazas de red en un lugar. Utilice este registro si necesita ms informacin sobre un evento de trfico o un tipo de trfico especfico que pase a travs de su firewall. Utilice este registro si necesita ms informacin sobre un paquete especfico. Sera aconsejable mirar los paquetes para investigar ms a conciencia un evento de seguridad enumerado en un informe. Utilice este registro si necesita informacin ms detallada sobre un ataque especfico que ocurri.
Registro de trfico
Registro de paquetes
Registro de ataques
262
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
Tabla 13-5
Resumen de informes rpidos y registros de la proteccin proactiva contra amenazas Usos tpicos
Informe o registro
Resultados de la deteccin de Utilice este informe para ver la siguiente informacin: amenazas proactiva (situado bajo Una lista de las aplicaciones clasificadas como Informes de riesgos) riesgos que se han agregado a las excepciones como Deteccin de amenazas proactiva aceptables en su red. a lo largo del tiempo (ubicado bajo Una lista de las aplicaciones que se detectaron como Informes de riesgos) riesgos confirmados. Una lista de las aplicaciones que se han detectado, pero que an no se han confirmado como riesgos. Utilice Deteccin de amenazas proactiva a lo largo del tiempo para ver si las amenazas detectadas por los anlisis de amenazas proactivos se han modificado a lo largo del tiempo. Distribucin de amenazas Utilice este informe por los siguientes motivos: proactiva (en Informes de riesgos) Para ver qu aplicaciones de la lista de aplicaciones comerciales y de la lista de detecciones forzada se detectan ms frecuentemente. Para ver qu medida se tom en respuesta a la deteccin. Para determinar si equipos determinados en su red son atacados ms frecuentemente por este vector. Para ver detalles sobre la aplicacin que atac. Registro de Proteccin proactiva contra amenazas Utilice este registro si necesita ms informacin sobre eventos especficos de la deteccin de amenazas proactiva. Esta informacin puede ser el nombre del usuario que haba iniciado sesin cuando ocurri la deteccin. Es posible adems utilizar comandos desde este registro para agregar entidades legtimas, tales como archivos, carpetas, extensiones y procesos a la poltica de excepciones centralizada. Despus de que se agrega a la lista, si una actividad legtima se detecta como riesgo, no se acta sobre la entidad.
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
263
La Tabla 13-6 resume los diversos registros e informes rpidos de riesgos. Describe algunos usos tpicos para la clase de informacin que es posible extraer de ellos. Tabla 13-6 Resumen de informes rpidos y registros de riesgos Usos tpicos
Utilice este informe para identificar rpidamente los equipos que necesitan su atencin porque estn infectados con un virus o un riesgo de seguridad.
Resumen de acciones de deteccin Utilice este informe para identificar las medidas que fueron tomadas cuando los riesgos fueron detectados. Esta informacin adems aparece en la pgina de inicio de Symantec Endpoint Protection. Conteo de detecciones de riesgos Utilice este informe para identificar dominios, grupos o equipos determinados que tienen el nmero ms grande de detecciones de riesgos. Es posible entonces investigar por qu algunas entidades parecen estar en mayor riesgo que otras en su red. Utilice este informe para identificar y seguir el impacto de los nuevos riesgos en su red. Utilice este informe para buscar correlaciones entre los riesgos y los equipos, los usuarios, los dominios y los servidores.
Utilice estos informes para seguir la distribucin de riesgos. Es posible adems utilizarlos para localizar riesgos, dominios, grupos, servidores, equipos y a Distribucin de riesgos a lo largo usuarios determinados que parecen tener ms del tiempo problemas que otros. Es posible utilizar Distribucin de riesgos a lo largo del tiempo para ver cmo estos riesgos se modifican a lo largo del tiempo. Resumen de acciones para los riesgos principales Utilice este informe para revisar las acciones tomadas sobre los riesgos que Symantec Endpoint Protection ha detectado en su red. Utilice estos informes para refinar cmo se crean y se configuran notificaciones en su red.
Utilice este informe para seguir los ataques de riesgos semana por semana.
264
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
Usos tpicos
Utilice este informe para ver todos los informes de distribucin y la informacin sobre nuevos riesgos al mismo tiempo. Utilice este registro si necesita informacin ms especfica sobre algunas reas de los informes de riesgos. Por ejemplo, es posible utilizar el registro de riesgos para ver detalles sobre los riesgos que fueron detectados en los equipos donde los riesgos se encuentran a menudo. Es posible adems utilizar el registro de riesgos para ver detalles sobre los riesgos de seguridad de una gravedad determinada que han afectado a su red.
Registro de riesgos
Informe o registro
Histograma de estadsticas de anlisis
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
265
Informe o registro
Equipos no analizados
Usos tpicos
Utilice este informe para obtener una lista de los equipos que no se han analizado en un perodo especfico. Este informe adems incluye las direcciones IP de los equipos por dominios o grupos especficos. Estos equipos pueden estar en peligro. Es posible clasificar este registro por la duracin del anlisis para identificar los equipos que tardan ms tiempo en analizarse en su red. De acuerdo con esta informacin, es posible personalizar los anlisis programados para estos equipos si es necesario.
Registro de anlisis
Informe o registro
Principales clientes que generan errores
Principales instancias de Enforcer Utilice este informe para ver qu mdulos de Enforcer que generan errores generan el nmero ms grande de errores y advertencias. Es posible mirar estos mdulos para ver por qu experimentan ms problemas que lo tpico para su red.
266
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
Informe o registro
Usos tpicos
Errores de replicacin de base de Utilice este informe para ver qu servidores o sitios datos a lo largo del tiempo experimentan ms problemas con la replicacin de base de datos. Adems le dice por qu las replicaciones fallan, de modo que se puedan reparar los problemas. Estado del sitio Utilice este informe para ver cmo su servidor maneja su carga de cliente. De acuerdo con la informacin de este informe, sera aconsejable ajustar la carga. Utilice este registro para ver elementos relacionados con actividades administrativas, como las siguientes:
Registro administrativo
Inicios de sesin y cierres de sesin Cambios de polticas Cambios de contrasea Cuando los certificados coinciden Eventos de replicaciones Eventos relacionados con los registros
Este registro puede ser til para resolver problemas de los clientes, tales como certificados, polticas o importaciones faltantes. Es posible considerar por separado los eventos que se relacionan con los dominios, los grupos, los usuarios, los equipos, las importaciones, los paquetes, las replicaciones y otros eventos. Registro de actividades del cliente Utilice este registro para ver toda la actividad del y el servidor cliente que ocurre para un servidor especfico. Por ejemplo, es posible utilizar este registro para ver los puntos siguientes:
Descargas de polticas correctas y con errores Conexiones de los clientes al servidor Registros del servidor
Entre otras cosas, utilice este registro por los siguientes motivos:
Localizar y solucionar problemas de copia de respaldo Localizar y solucionar problemas del servidor Radius Ver todos los eventos del servidor de un nivel determinado de gravedad
Usar Supervisin e Informes para asegurar la red Acerca de eliminar virus y riesgos de seguridad
267
Informe o registro
Usos tpicos
Registro de actividades del cliente Entre otras cosas, es posible utilizar este registro para supervisar las actividades relacionadas con el cliente siguientes: Qu clientes fueron bloqueados para que no accedieran a la red Qu clientes necesitan ser reiniciados
Qu clientes tuvieron instalaciones correctas o con errores Qu clientes tuvieron problemas de inicio y finalizacin de servicios Qu clientes tuvieron problemas de importacin de normas Qu clientes tuvieron problemas al descargar polticas Qu clientes tuvieron errores de conexin al servidor
Utilice este registro para supervisar problemas con los mdulos de Enforcer. En este registro, es posible ver eventos de administracin, eventos de Enforcer, eventos de habilitacin y eventos de polticas. Es posible filtrarlos por su nivel de gravedad. Por ejemplo, es posible utilizar este registro para solucionar los siguientes tipos de problemas:
Conectividad de Enforcer
Nota: Si Symantec Network Access Control no est instalado, el registro de actividades de Enforcer y las entradas en otros registros que se apliquen a los mdulos de Enforcer estn vacos.
268
Usar Supervisin e Informes para asegurar la red Acerca de eliminar virus y riesgos de seguridad
En la consola, haga clic en Inicio y mire el Resumen de acciones. Si es administrador del sistema, ver la cantidad de equipos recientemente infectados y an infectados que hay en su sitio. Si es administrador del dominio, ver la cantidad de equipos recientemente infectados y an infectados que hay en su dominio. La categora An infectado es un subconjunto de Recientemente infectado, y la cantidad de equipos an infectados disminuye a medida que elimina los riesgos de la red. Los equipos estn an infectados si un anlisis posterior informa que estn infectados. Por ejemplo, Symantec Endpoint Protection pudo haber limpiado un riesgo de un equipo slo parcialmente, y Auto-Protect an detecta el riesgo.
2 3 4 5
En la consola, haga clic en Informes. En el cuadro de lista Tipo de informe, haga clic en Riesgo. En el cuadro de lista Seleccionar un informe, haga clic en Equipos infectados y en riesgo. Haga clic en Crear informe y observe las listas de los equipos infectados y en peligro que aparecen.
Usar Supervisin e Informes para asegurar la red Acerca de eliminar virus y riesgos de seguridad
269
Para identificar las acciones que necesitan ser modificadas y volver a analizar los equipos identificados
1 2
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro de riesgo y despus haga clic en Ver registro. Desde la columna de eventos del registro de riesgos, es posible ver qu sucedi y qu medida se tom. Desde la columna de nombre de riesgo, es posible ver los nombres de los riesgos que siguen activos. Desde la columna de usuario de grupo de dominio, es posible ver a qu grupo pertenece el equipo. Si un cliente est en peligro porque un anlisis tom la medida Ignorado, es posible que deba modificar la poltica antivirus y contra software espa para el grupo. Desde la columna Equipo, es posible ver los nombres de los equipos que an tienen riesgos activos. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 481. Si su poltica se configura para utilizar modo de transferencia, se transfiere a los clientes del grupo en el latido siguiente. Ver "Especificar el Modo de transferencia o el Modo de obtencin" en la pgina 380.
3 4 5 6
Haga clic en Atrs. En la ficha Registros, seleccione el registro de estado del equipo y despus haga clic en Ver registro. Si modific una accin y elimin una nueva poltica, seleccione los equipos que necesitan volver a analizarse con la nueva configuracin. Desde el cuadro Lista de comandos, seleccione Analizar y despus haga clic en Iniciar para volver a analizar los equipos. Es posible supervisar el estado del comando Analizar desde la ficha Estado del comando.
270
Usar Supervisin e Informes para asegurar la red Acerca de eliminar virus y riesgos de seguridad
En el registro de riesgos, marque la columna Debe reiniciar. Puede ser que un riesgo se haya eliminado parcialmente de algunos equipos, pero los equipos an necesitan un reinicio para finalizar la reparacin.
2 3
Seleccione de la lista los equipos que necesitan un reinicio. En el cuadro Lista de comandos, seleccione Reiniciar equipos y luego haga clic en Iniciar. Es posible supervisar el estado del comando Reiniciar equipos desde la ficha Estado del comando.
Para los equipos que quedan en la vista, marque la columna Fecha de las definiciones. Si algunos equipos tienen definiciones de virus que estn desactualizadas, seleccione esos equipos. En el cuadro Lista de comandos, seleccione Actualizar contenido y anlisis, y despus haga clic en Iniciar. Es posible supervisar el estado del comando Actualizar contenido y anlisis desde la ficha Estado del comando.
Haga clic en Inicio y mire los nmeros de las filas An infectado y Recientemente infectado del Resumen de acciones. Si las cantidades son ceros, se han eliminado los riesgos. Si las cantidades no son ceros, es necesario investigar los riesgos que permanecen.
Usar Supervisin e Informes para asegurar la red Encontrar los clientes desconectados
271
Ejecute el informe rpido de estado del equipo Equipos no registrados en el servidor para ver el estado de conexin. Configure y ejecute una versin personalizada de este informe para ver los equipos en un grupo o sitio determinado. Vea el registro de estado del equipo, que contiene la direccin IP del equipo y la hora del ltimo registro.
Un cliente puede estar desconectado por varios motivos. Es posible identificar los equipos que estn desconectados y reparar estos problemas de varias maneras. Si Symantec Network Access Control est instalado, es posible utilizar las opciones de filtro de cumplimiento para personalizar el informe rpido Equipos no registrados en el servidor. Es posible entonces utilizar este informe para ver los motivos especficos por los que los equipos no estn conectados. Es posible entonces eliminar los problemas que se ven. Entre los motivos de cumplimiento que es posible filtrar estn los siguientes:
La versin del antivirus del equipo est desactualizada. El software antivirus del equipo no est ejecutndose.
272
Usar Supervisin e Informes para asegurar la red Encontrar los clientes desconectados
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, haga clic en Estado del equipo. Haga clic en Opciones avanzadas. En el cuadro de lista Estado de conexin, haga clic en Desconectado. Haga clic en Ver registro. De forma predeterminada, aparece una lista de los equipos que han estado desconectados durante las ltimas 24 horas. La lista incluye el nombre de cada equipo, la direccin IP y la ltima vez que se registr con su servidor. Es posible ajustar el intervalo de tiempo para visualizar los equipos desconectados para cualquier intervalo que desee ver.
Seccin
Administrar un sitio y varios sitios de la compaa Administrar servidores Administrar servidores de directorio Administrar servidores de correo electrnico Administrar servidores proxy Administrar servidores RSA Administrar certificados de servidor Administrar bases de datos Replicar datos Administrar Proteccin contra intervenciones
274
Captulo
14
Acerca de la administracin de sitios Lo que puede hacer en un sitio Lo que no puede hacer en un sitio Acerca de la replicacin del sitio mediante diferentes sitios de la empresa Acerca de los mdulos de Enforcer opcionales en un sitio Acerca de los sitios remotos Editar propiedades del sitio Hacer una copia de respaldo de un sitio Eliminar sitios remotos
276
El sitio local es la consola de Symantec Endpoint Protection Manager en la que ha iniciado sesin. Este sitio se puede ubicar en otra ciudad. Sin embargo, esto no significa necesariamente que el sitio es fsicamente local. Los sitios remotos son los sitios conectados al sitio local como asociados de replicacin. La administracin de seguridad centralizada es posible desde cualquier consola de Symantec Endpoint Protection Manager donde puede administrar sitios locales y sitios remotos.
Modificar una descripcin del sitio. Ver "Editar propiedades del sitio" en la pgina 278. Configurar la consola de Symantec Endpoint Protection Manager para finalizar una sesin despus de un cierto perodo. Ver "Editar propiedades del sitio" en la pgina 278. Borrar los clientes que no se han conectado durante algn tiempo. Ver "Editar propiedades del sitio" en la pgina 278. Instalar umbrales de registro. Programar informes diarios y semanales. Configurar el registro externo para filtrar y enviar registros a un archivo o a un servidor Syslog. Modificar un nombre de base de datos y una descripcin Ver "Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager" en la pgina 329.
Desde un sitio determinado, puede realizar las siguientes tareas slo para un sitio local:
Hacer una copia de respaldo del sitio local inmediatamente. Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL" en la pgina 320. Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager" en la pgina 325. Modificar la programacin de las copias de respaldo. Ver "Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager" en la pgina 326.
277
Eliminar un servidor seleccionado (solamente si tiene varios Symantec Endpoint Protection Manager conectados a una sola base de datos de Microsoft SQL). Agregar una conexin a un asociado de replicacin en el mismo sitio Ver "Agregar asociados de replicacin y programacin" en la pgina 350. Actualizar el certificado del servidor Ver "Acerca de los tipos de certificado de servidor" en la pgina 309. Hacer consultas a la base de datos para obtener informacin
Estas listas no son completas. Se proporcionan para darle una idea de los tipos de tareas que se puedan realizar de forma local o remota.
278
Si desea agregar mdulos de Enforcer en un sitio existente, consulte la Gua de implementacin del dispositivo Symantec Network Access Control Enforcer.
Eliminar un sitio remoto y sus asociados de replicacin. Modificar la descripcin del servidor remoto. Modificar el acceso a la consola de Symantec Endpoint Protection Manager del sitio remoto. Configurar un servidor de correo electrnico para un sitio remoto. Programar la sincronizacin del servidor del directorio para un sitio remoto. Configurar una conexin del servidor del sitio remoto a un servidor proxy. Configurar el registro externo para enviar registros a un archivo o a un servidor Syslog.
Nombre y descripcin del sitio Independientemente de si una consola de supera Symantec Endpoint Protection Manager el tiempo de espera Independientemente de eliminar los clientes que no se han conectado despus de un cierto perodo de tiempo Independientemente de activar o no el aprendizaje de aplicaciones para el sitio Tamaos mximos de registro que se mantienen en el sitio Programacin de informes
Puede editar propiedades del sitio local o remoto desde la consola. Para editar las propiedades del sitio
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores.
279
3 4 5 6
En la pgina Administrador, bajo Ver, expanda Sitio local (nombre del sitio) o expanda Sitios remotos. Seleccione el sitio cuyas propiedades desea editar. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del sitio de la ficha General, edite la descripcin del sitio en el cuadro Descripcin. Puede utilizar hasta 1024 caracteres.
En el cuadro de dilogo Propiedades del sitio de la ficha General, seleccione un valor, de 5 minutos a Nunca, de la lista Tiempo de espera de la consola. La configuracin predeterminada es una (1) hora. Cuando se alcanza el perodo de Tiempo de espera de la consola, se cerrar la sesin del administrador.
En el cuadro de dilogo Propiedades del sitio de la ficha General, marque Eliminar agentes que no se han conectado X da(s). Puede eliminar a los usuarios que no se han conectado durante un determinado nmero de das (de 1 a 99999). La configuracin predeterminada se habilita por un perodo de treinta (30) das.
En el cuadro de dilogo Propiedades del sitio de la ficha General, marque Realizar un seguimiento de cada aplicacin que ejecutan los clientes. Las aplicaciones aprendidas ayudan a que los administradores realicen un seguimiento del acceso a la red y el uso de las aplicaciones de un cliente registrando todas las aplicaciones que se inicien en cada cliente. Es posible habilitar o deshabilitar el aprendizaje de las aplicaciones para un sitio especfico. Si esta opcin no se habilita, el seguimiento de aplicaciones no se realiza para ese sitio. El seguimiento de aplicaciones tampoco se realiza si est habilitado para los clientes que se conectan al sitio sealado. Esta opcin funciona como un conmutador principal.
280
Administrar un sitio y varios sitios de la compaa Hacer una copia de respaldo de un sitio
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, haga clic en Host local. En la pgina Administrador, bajo Tareas, haga clic en Editar configuracin de la copia de respaldo. En el cuadro de dilogo Hacer copia de respaldo del sitio local: Nombre del sitio, seleccione el nombre del servidor de respaldo de la lista Servidor de copia de respaldo. La ruta predeterminada es:
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\ data\backup
Sin embargo, puede modificar el nombre de la ruta de la copia de respaldo con una de las utilidades de respaldo disponibles.
Seleccione el nmero de copias de respaldo que se desea conservar de la lista Mantener solamente el ltimo nmero de copias de respaldo. Es posible seleccionar hasta 10 copias de respaldo para conservar antes de que una copia de respaldo se elimine automticamente.
281
desaparezca del panel Servidores en otras consolas de Symantec Endpoint Protection Manager. Para eliminar sitios remotos
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, haga clic en Sitios remotos. En la pgina Administrador, bajo Ver, expanda Sitios remotos y seleccione el sitio que desea eliminar. Haga clic en Eliminar sitio remoto. En el cuadro de dilogo Eliminar sitio remoto, el sistema le solicitar que confirme la cancelacin del sitio remoto:
Al eliminar el sitio remoto, se quitan todos los asociados de replicacin en los que este sitio participa. Est seguro de que desea eliminar este sitio?
Haga clic en S para eliminar el sitio remoto. Puede volver a agregar un sitio remoto que fue eliminado al agregar un asociado de replicacin.
282
Captulo
15
Administrar servidores
En este captulo se incluyen los temas siguientes:
Acerca de la administracin de servidores Acerca de las contraseas de servidores y de otros fabricantes Iniciar y detener el servicio de Symantec Endpoint Protection Manager Conceder o negar acceso a una consola de Symantec Endpoint Protection Manager remota Eliminar servidores seleccionados Exportar e importar opciones del servidor
Sitio local La consola de Symantec Endpoint Protection Manager del sitio local, bases de datos, asociados de replicacin, tales como otras instancias de la consola de Symantec Endpoint Protection Manager cuyas bases de datos se replican, y mdulos de Enforcer opcionales Sitios remotos La consola de Symantec Endpoint Protection Manager de cualquier sitio remoto, bases de datos, asociados de replicacin, tales como otras instancias de Symantec Endpoint Protection Manager cuyas bases de datos se replican, y mdulos de Enforcer opcionales
284
y
net stop semsrv
Es posible adems reiniciar la consola de Symantec Endpoint Protection Manager para iniciar el servicio automticamente.
Administrar servidores Conceder o negar acceso a una consola de Symantec Endpoint Protection Manager remota
285
Nota: Si detiene el servicio de Symantec Endpoint Protection Manager, los clientes no pueden conectarse ms a l. Si los clientes deben comunicarse con Symantec Endpoint Protection Manager para conectarse a la red, se les niega el acceso hasta que se reinicie el servicio de Symantec Endpoint Protection Manager. Por ejemplo, un cliente debe comunicarse con Symantec Endpoint Protection Manager para aprobar una comprobacin de integridad del host.
Conceder o negar acceso a una consola de Symantec Endpoint Protection Manager remota
Es posible asegurar la consola de Symantec Endpoint Protection Manager principal concediendo o negando el acceso a los equipos en los cuales se instala una consola de Symantec Endpoint Protection Manager remota. De forma predeterminada, a todas las consolas se les permite el acceso. Los administradores pueden iniciar sesin en la consola de Symantec Endpoint Protection Manager principal localmente o remotamente desde cualquier equipo en la red. Adems de conceder o de negar el acceso globalmente, es posible especificar excepciones por la direccin IP. La lista de excepciones niega automticamente el acceso si ha elegido conceder acceso a todas las consolas remotas. Inversamente, si se niega el acceso a todas las consolas remotas, se concede automticamente el acceso a todas las excepciones. Cuando se crea una excepcin, el equipo que usted especific debe tener una direccin IP esttica. Es posible adems crear una excepcin para un grupo de equipos especificando una mscara de subred. Por ejemplo, es posible permitir el acceso en todas las reas que se administran. Sin embargo, es posible negar el acceso a una consola de Symantec Endpoint Protection Manager que se encuentre en un rea pblica. Para conceder o negar acceso a una consola de Symantec Endpoint Protection Manager remota
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, seleccione el servidor cuyos permisos de acceso de la consola desea modificar. En la ficha General, haga clic en Acceso concedido o Acceso denegado.
286
Si desea especificar las direcciones IP de los equipos que estn exentos de los permisos de acceso de la consola, haga clic en Agregar. Los equipos que se agregan se convierten en excepciones a las cuales se concede acceso. Se niega el acceso a estos equipos. Si selecciona Acceso denegado, los equipos que se especifican se convierten en los nicos a los que se permite el acceso. Cree una excepcin para un solo equipo o un grupo de equipos.
En el cuadro de dilogo Denegar acceso, haga clic en una de las siguientes opciones:
Equipo individual para un equipo y escriba la direccin IP. Grupo de equipos para varios equipos y escriba la direccin IP y la mscara de subred para el grupo.
Haga clic en Aceptar. Los equipos ahora aparecen en la lista de excepciones. Para cada direccin IP/mscara, aparece el estado de los permisos. Si modifica Acceso concedido por Acceso denegado, o viceversa, todas las excepciones se modifican tambin. Si ha creado excepciones para negar el acceso, ahora tienen acceso.
Haga clic en Editar todo para modificar las direcciones IP o los nombres de host de los equipos que aparecen en la lista de excepciones. El editor de direcciones IP aparece. El editor de direcciones IP es un programa de edicin de texto que permite editar direcciones IP y mscaras de subred.
287
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, expanda Sitio local (Sitio <nombredesitio>) para seleccionar la instancia de Symantec Endpoint Protection Manager que quiera eliminar. Recuerde que es necesario detener el servicio de Symantec Endpoint Protection Manager antes de que pueda eliminarlo. Ver "Iniciar y detener el servicio de Symantec Endpoint Protection Manager" en la pgina 284.
4 5
Haga clic en Eliminar el servidor seleccionado. Haga clic en S para eliminar el servidor seleccionado.
1 2 3 4 5
Haga clic en la ficha Servidores. En el rbol, expanda Sitio local (Sitio <nombredesitio>), y despus seleccione el administrador de polticas que desee exportar. Haga clic en Exportar propiedades del servidor. Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre de archivo. Haga clic en Guardar.
1 2 3 4 5
Haga clic en la ficha Servidores. En el rbol, expanda Sitio local (Sitio <nombredesitio>), y despus seleccione el administrador de polticas para el cual desee importar opciones. Haga clic en Importar propiedades del servidor. Seleccione el archivo que desee importar, y despus haga clic en Abrir. Haga clic en S para confirmar la importacin.
288
Captulo
16
Acerca de la administracin de servidores de directorios Agregar servidores de directorios Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager Importar informacin sobre usuarios desde un servidor de directorios LDAP Buscar usuarios en un servidor de directorios LDAP Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP Acerca de las unidades organizativas y el servidor LDAP
290
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, seleccione la instancia de Symantec Endpoint Protection Manager a la cual desee agregar un servidor de directorios. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor para nombre del sitio, haga clic en Servidores de directorios. En el cuadro de dilogo Propiedades del servidor para nombre del sitio, haga clic en Agregar. En el cuadro de dilogo Agregar servidor de directorios, escriba el nombre para el servidor de directorios que desee agregar en el campo Nombre. En el cuadro de dilogo Agregar servidor de directorios, marque Active Directory o LDAP como Tipo de servidor. En el cuadro de dilogo Agregar servidor de directorios, escriba la direccin IP, el nombre de host o el nombre de dominio en el cuadro Direccin IP del servidor o nombre. Es necesario escribir la direccin IP, el nombre de host o el nombre de dominio del servidor de directorios que desee agregar.
4 5 6 7 8 9
Administrar servidores de directorio Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager
291
11 Si agrega un servidor LDAP, escriba LDAP BaseDN en el cuadro BaseDN LDAP. 12 Escriba el nombre de usuario de la cuenta autorizada del servidor de
directorios en el cuadro Usuario.
Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager
Es posible configurar servidores de directorios para importar y sincronizar usuarios con Symantec Endpoint Protection Manager. Es necesario haber agregado los servidores de directorios antes de sincronizar la informacin sobre los usuarios. Para sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, seleccione la instancia de Symantec Endpoint Protection Manager a la cual desee agregar un servidor de directorios. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Editar propiedades del servidor, haga clic en la ficha Servidores de directorios. Marque Habilitar la sincronizacin con Servidores de directorios si no est marcada. sta es la opcin predeterminada.
4 5 6
Configure la programacin para la cantidad de veces que veces desea sincronizar el servidor de administracin con el servidor de directorios:
292
Administrar servidores de directorio Importar informacin sobre usuarios desde un servidor de directorios LDAP
La configuracin predeterminada se programa para sincronizar cada 86 400 segundos. Es posible tambin personalizar el intervalo editando el archivo tomcat\etc\conf.properties.
Si no, seleccione Sincronizar cada y especifique cada cunto tiempo desea sincronizar (en horas).
Buscar usuarios en el servidor LDAP. Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 292. Importar la informacin sobre las cuentas de usuario. Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP" en la pgina 295.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, seleccione el grupo al cual desee importar usuarios. En la pgina Clientes, bajo Tareas, haga clic en Importar usuarios de Active Directory o LDAP.
293
En el cuadro de dilogo Importar usuarios de Active Directory o LDAP para, escriba la direccin IP o el nombre de host en el cuadro Servidor. Es posible adems escribir el nombre de host de un servidor LDAP o de un servidor de Active Directory.
En el cuadro de dilogo Importar usuarios de Active Directory o LDAP para, escriba el nmero de puerto del servidor LDAP o el servidor de Active Directory en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 389.
Si desea conectarse con el servidor de directorios usando Secure Sockets Layer (SSL), haga clic en Usar conexin segura. Si no est marcada, se utiliza una conexin sin cifrar.
294
Enumere los usuarios haciendo clic en Enumerar usuarios. Es posible adems escribir una consulta LDAP para localizar los nombres de los usuarios que desee importar en el cuadro Base de bsqueda LDAP. Es posible especificar opciones de bsqueda, tales como pares de atributo y valor. Los atributos deben estar separados por comas.
CN DC L ST O OU C STREET NombreComn ComponenteDominio NombreLocalidad NombreEstadoOProvincia NombreOrganizacin NombreUnidadOrganizativa NombrePas DireccinCalle
No todos los servidores LDAP admiten todas las opciones. Por ejemplo, Microsoft Active Directory no admite O. El orden en el cual se especifican los pares de atributos y valores es importante, ya que indica la ubicacin de la entrada en la jerarqua de directorios LDAP. Si durante la instalacin de un servidor de directorios usted especific un nombre de dominio de tipo DNS, tal como itsupport.sygate.com, es posible consultar un servidor de directorios. Un nombre de dominio NetBIOS NT tpico es itsupport. Para realizar una consulta en ese servidor de Active Directory, especifique la base de la bsqueda LDAP en este orden:
CN=Usuarios, DC=itsupport, DC=sygate, DC=com
Es posible utilizar caracteres comodn o expresiones regulares en la base de bsqueda. Por ejemplo:
CN=a*, CN=Usuarios, DC=itsupport, DC=sygate, DC=com
Esta consulta devuelve todos los nombres de usuario que se inician con la letra a. Otro ejemplo representa las organizaciones en las cuales es posible realizar una bsqueda de directorio estructural, tal como:
Administrar servidores de directorio Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
295
Es posible especificar cualquier opcin aplicable donde se desee iniciar la bsqueda en el directorio LDAP.
o=miempresa.com u o=ingeniera.miempresa.com
Es posible especificar una comparacin lgica usando > o < en una cadena de bsqueda LDAP. Una consulta LDAP que proporciona ms de 1000 resultados puede fallar. Asegrese de configurar la base de bsqueda de forma que se informen menos de 1000 usuarios.
8 9
Escriba el nombre de la cuenta de usuario LDAP en el cuadro Cuentas autorizadas. Escriba la contrasea de la cuenta de usuario LDAP en el cuadro Contrasea. servidor LDAP. Si se marca Mostrar slo usuarios que no se hayan agregado a ningn grupo, slo aparecen los usuarios que no se han agregado.
Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
Es posible tambin importar usuarios desde una lista de resultados de bsqueda de un servidor LDAP. Para importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En el rbol de Lista de grupos, seleccione el grupo al que desee agregar usuarios desde el servidor LDAP. Haga clic en Agregar todo si desea agregar todos los usuarios o seleccione usuarios especficos de la lista, y despus haga clic en Agregar.
Haga clic en el nombre del campo segn el cual se clasificar. Es posible clasificar los resultados de la bsqueda por campo en orden ascendente o descendente.
296
Seleccione uno o ms usuarios desde el rea de Lista de usuarios de LDAP. Es posible utilizar las teclas de seleccin estndar de Windows como CTRL para seleccionar usuarios no continuos.
5 6 7
Haga clic en Agregar de modo que los nombres de nuevos usuarios aparezcan en el rbol del grupo. Repita este proceso para agregar usuarios a otros grupos, como sea necesario, hasta que haya agregado todos los nuevos usuarios a los grupos apropiados. Haga clic en Cerrar.
297
Este proceso puede tardar bastante tiempo, dependiendo del nmero de usuarios. Una unidad organizativa no se puede poner en ms de un rbol de grupos. Para importar una unidad organizativa desde un servidor LDAP
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, seleccione el grupo al cual desee agregar la unidad organizativa o el contenedor. En la pgina Clientes, bajo Tareas, haga clic en Importar unidad organizativa o contenedor. Elija el dominio. Seleccione la unidad organizativa. Haga clic en Aceptar.
Copiar un usuario de una unidad organizativa a un grupo. Eliminar ese usuario del servidor LDAP posteriormente.
298
Captulo
17
Acerca de administrar servidores de correo electrnico Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo
Configure notificaciones automticas de correo electrnico para eventos de seguridad que sern enviadas a los administradores. Configure notificaciones automticas de correo electrnico para eventos de seguridad que sern enviadas a los clientes.
Las notificaciones automticas de correo electrnico pueden ocurrir solamente si se establece una conexin entre Symantec Endpoint Protection Manager y por lo menos uno de los servidores de correo electrnico en la red. Ver "Configurar mensajes de correo electrnico para eventos de trfico" en la pgina 578.
300
Administrar servidores de correo electrnico Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidor. En la pgina Administrador, bajo Ver servidores, seleccione la instancia de Symantec Endpoint Protection Manager para la cual desee establecer una conexin al servidor de correo. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor de correo. En el cuadro de dilogo Propiedades del servidor, escriba la direccin IP, el nombre de host o el nombre de dominio del servidor de correo en el cuadro de texto Direccin del servidor. En el cuadro de dilogo Propiedades del servidor, escriba el nombre de usuario de la cuenta en el servidor de correo, en el cuadro de texto Nombre de usuario. Es necesario agregar un nombre de usuario solamente si el servidor de correo requiere autenticacin.
4 5 6
En el cuadro de dilogo Propiedades del servidor, escriba la contrasea de una cuenta en el servidor de correo en el cuadro de texto Contrasea. Es necesario agregar una contrasea solamente si el servidor de correo requiere autenticacin
Captulo
18
Acerca de los servidores proxy Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager
Si admite un servidor proxy HTTP en la red corporativa, debe conectar el servidor proxy HTTP a Symantec Endpoint Protection Manager. Puede utilizar el servidor proxy HTTP para descargar automticamente el contenido de LiveUpdate.
302
Administrar servidores proxy Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, seleccione la instancia de Symantec Endpoint Protection Manager a la cual desea conectar un servidor proxy HTTP. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor proxy. En la ficha Servidor proxy del cuadro de dilogo Propiedades del servidor, bajo Configuracin del proxy HTTP, seleccione el uso de la lista Utilizacin del proxy.
Usar mi configuracin HTTP de opciones Especifica que las opciones de Internet de Internet estn utilizadas como configuracin HTTP. Contine con el paso 7. Utilizar la configuracin proxy personalizada Puede utilizar su propia configuracin proxy personalizada. Contine con el paso 9. No utilizar proxy No se implementa la configuracin proxy. Contine con el paso 12.
4 5 6
En la ficha Servidor proxy del cuadro de dilogo Propiedades del servidor, escriba la direccin IP del servidor proxy HTTP en el campo Direccin del servidor. Una direccin IP o un nombre de servidor vlido de hasta 256 caracteres.
En la ficha Servidor proxy del cuadro de dilogo Propiedades del servidor, bajo Configuracin del proxy HTTP, escriba el nmero de puerto del servidor proxy en el campo Puerto. Un nmero de puerto vlido va de 0 a 65535.
En la ficha Servidor proxy del cuadro de dilogo Propiedades del servidor, bajo Configuracin del proxy HTTP, marque Necesito autorizacin para conectarme mediante el servidor proxy.
Administrar servidores proxy Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
303
Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
Si admite un servidor proxy FTP en la red corporativa, debe conectar el servidor proxy FTP a Symantec Endpoint Protection Manager. Puede utilizar el servidor proxy HTTP para descargar automticamente el contenido de LiveUpdate. Para configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, seleccione la instancia de Symantec Endpoint Protection Manager a la cual desea conectar un servidor proxy FTP. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor proxy.
4 5
304
Administrar servidores proxy Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
En la ficha Servidor proxy del cuadro de dilogo Propiedades del servidor, bajo Configuracin del proxy FTP, seleccione el uso de la lista Utilizacin del proxy.
Usar mi configuracin de FTP de opciones de Internet Especifica que las opciones de Internet estn utilizadas como configuracin de FTP. Contine con el paso 9. Utilizar la configuracin proxy personalizada Puede utilizar su propia configuracin proxy personalizada. Contine con el paso 7. No utilizar proxy No se implementa la configuracin proxy. Contine con el paso 9.
En la ficha Servidor proxy del cuadro de dilogo Propiedades del servidor, escriba la direccin IP del servidor proxy FTP en el campo Direccin del servidor. Una direccin IP o un nombre de servidor vlido de hasta 256 caracteres.
En la ficha Servidor proxy del cuadro de dilogo Propiedades del servidor, bajo Configuracin del proxy FTP, escriba el nmero de puerto del servidor proxy en el campo Puerto. Un nmero de puerto vlido va de 0 a 65535.
Captulo
19
Acerca de los requisitos previos Configurar un cliente de RSA ACE Configurar el servidor de administracin para admitir la comunicacin HTTPS
Tiene un servidor RSA ACE instalado. El host de Symantec Endpoint Protection Manager est registrado como host vlido en el servidor RSA ACE. El archivo sdconf.rec en el servidor RSA ACE es accesible en la red. Se ha asignado un dispositivo de seguridad o una tarjeta SecurID a una cuenta de Policy Manager. El nombre de inicio de sesin debe estar activado en el servidor RSA ACE. El administrador tiene el PIN RSA o la contrasea disponible.
Token RSA SecurID (no tokens de software RSA) Tarjeta RSA SecurID Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
306
Para iniciar sesin en Symantec Endpoint Protection Manager con RSA SecurID, el administrador necesita un nombre de inicio de sesin, el token (hardware) y un nmero de pin. El administrador de seguridad RSA tpicamente asigna el nombre de inicio de sesin, el token (hardware) y un nmero de pin. El token y el nmero de pin se deben sincronizar con el nombre de inicio de sesin y deben haberse activado.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, seleccione la instancia de Symantec Endpoint Protection Manager a la cual desee conectar un servidor RSA. En la pgina Administrador, bajo Tareas, haga clic en Configurar autenticacin SecurID. En el panel Asistente para configurar la autenticacin SecurID, haga clic en Siguiente. En el panel Aptitudes del panel del Asistente para configurar la autenticacin SecurID, lea los requisitos previos de modo que se puedan cumplir todos los requisitos. Haga clic en Siguiente. En el panel Cargar archivo RSA del panel del Asistente para configurar la autenticacin SecurID, busque la carpeta en la cual el archivo sdconf.rec reside. Es posible adems escribir el nombre de ruta.
4 5 6
7 8
10 Haga clic en Prueba para probar su configuracin. 11 En el cuadro de dilogo Configuracin de prueba, escriba el nombre de usuario
y la contrasea para su SecurID y despus haga clic en Prueba.
Administrar servidores RSA Configurar el servidor de administracin para admitir la comunicacin HTTPS
307
1 2
Genere o compre un certificado SSL. Agregue el certificado al servidor IIS instalado en el mismo equipo que Symantec Endpoint Protection Manager.
Haga clic en Inicio > Programas > Herramientas administrativas > Administrador de Internet Information Services (IIS). Bajo el equipo local, seleccione Symantec Web Server bajo sitios Web. Haga clic con el botn secundario en Symantec Web Server y elija Propiedades. En la ficha Seguridad de directorios, haga clic en Certificado de servidor para iniciar el Asistente para certificados de servidor Web. Cree o importe un certificado de servidor siguiendo los pasos en el asistente. Consulte la ayuda en la pantalla de IIS si necesita ms informacin. En la ficha Sitio Web, especifique el nmero de puerto para el puerto SSL (443 de forma predeterminada).
308
Administrar servidores RSA Configurar el servidor de administracin para admitir la comunicacin HTTPS
Captulo
20
Acerca de los tipos de certificado de servidor Actualizar un certificado de servidor con un asistente Hacer copia de respaldo de un certificado de servidor
Archivo de almacn de claves JKS (.jks) Una herramienta Java que se llama keytool.exe genera el archivo del almacn de claves. Symantec admite solamente el formato del estndar de claves de Java (JKS). El formato de extensin de criptografa de Java (JCEKS) necesita una versin especfica de Java Runtime Environment (JRE). Symantec Endpoint
310
Protection Manager admite solamente un archivo de almacn de claves JCEKS generado con la misma versin que el kit del desarrollo de Java (JDK) en Symantec Endpoint Protection Manager.
Archivo de almacn de claves PKCS12 (.pfx y .p12) El almacn de claves debe contener un certificado y una clave privada. La contrasea del almacn de claves debe ser igual que la contrasea principal. Se exporta generalmente de Internet Information Services (IIS). Archivo de claves privadas y certificado (formato DER y PEM) Symantec admite certificados y claves privadas no cifrados en los formatos DER o PEM. Los archivos de clave privada PKCS8 cifrados no se admiten.
Sera aconsejable hacer una copia de respaldo de la informacin sobre el certificado como medida de seguridad. Si se daa el servidor de administracin o se olvida la contrasea del almacn de claves, es posible extraer fcilmente la contrasea.
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver servidor, haga clic en el servidor de administracin para el cual desee actualizar el certificado de servidor. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida del Asistente para administrar certificados del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Actualizar el certificado del servidor.
311
7 8
En el panel Administrar certificado del servidor, haga clic en Siguiente. Seleccione cualquiera de las siguientes opciones para instalar o actualizar un certificado de servidor:
Archivo de almacn de claves JKS (.jks) Ver "Actualizar un certificado JKS con un asistente" en la pgina 311. Ver "Actualizar un certificado PKCS12 con un asistente" en la pgina 312. Ver "Actualizar certificados y claves privadas sin cifrar (DER o PEM) con un asistente" en la pgina 312.
Archivo de almacn de claves PKCS12 (.pfx y .p12) Archivo de claves privadas y certificado (formato DER y PEM)
1 2 3 4
Realice los pasos 1 a 8, a menos que ya lo haya hecho. En el panel Actualizar certificado del servidor, haga clic en Archivo de almacn de claves JKS (.jks). Haga clic en Siguiente. En el panel Almacn de claves JKS, haga clic en Examinar para localizar el archivo de almacn de claves JKS (.jks) en el servidor de administracin, o escriba la ruta para este archivo en el campo de texto. En el cuadro de dilogo Seleccionar archivo de almacn de claves Java, haga clic en Abrir despus de que haya localizado el archivo. En el panel Almacn de claves JKS, escriba la contrasea del almacn de claves en el cuadro de texto Contrasea del almacn de claves. En el panel Almacn de claves JKS, escriba la contrasea del almacn de claves en el campo de texto Contrasea de clave por segunda vez. En el panel Almacn de claves JKS, haga clic en Siguiente. En el panel Ha finalizado el Asistente para administrar certificados del servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario terminar una sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
5 6 7 8 9
312
1 2 3 4
Realice los pasos 1 a 8, a menos que ya lo haya hecho. En el panel Actualizar certificado del servidor, haga clic en Archivo de almacn de claves PKCS12 (.pfx y .p12). Haga clic en Siguiente. En el panel Almacn de claves PKCS12, haga clic en Examinar para localizar el archivo de almacn de claves PKCS12 (.pfx y .p12) en el servidor de administracin, o escriba la ruta para este archivo en el campo de texto. En el cuadro de dilogo Seleccionar archivo PKCS12 , haga clic en Abrir despus de que haya localizado el archivo. En el panel Almacn de claves PKCS12, escriba la contrasea del almacn de claves en el cuadro de texto Contrasea del almacn de claves. En el panel Almacn de claves PKCS12, haga clic en Siguiente. En el panel Ha finalizado el Asistente para administrar certificados del servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario terminar una sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
5 6 7 8
Actualizar certificados y claves privadas sin cifrar (DER o PEM) con un asistente
1 2 3 4
Realice los pasos 1 a 8, a menos que ya lo haya hecho. En el panel Actualizar certificado del servidor, haga clic en Archivo de claves privadas y certificados (formato DER y PEM). Haga clic en Siguiente. El panel Archivo de certificado, localice el certificado (formato DER y PEM) en el servidor de administracin haciendo clic en Examinar. Alternativamente, escriba la ruta para este archivo en el cuadro de texto Ruta del certificado.
El panel Archivo de certificado, haga clic en Examinar para localizar el archivo de clave privada (formato DER y PEM) en el servidor de administracin. Alternativamente, escriba la ruta para este archivo en el cuadro de texto Archivo de clave privada.
313
6 7
En el panel Archivo de certificado, haga clic en Siguiente despus de que haya localizado los archivos. En el panel Ha finalizado el Asistente para administrar certificados del servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario terminar una sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver servidor, haga clic en el servidor de administracin cuyo certificado de servidor desea incluir en la copia de respaldo. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida del Asistente para administrar certificados del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Hacer copia de respaldo del certificado del servidor. En el panel Hacer copia de respaldo del certificado del servidor, escriba la ruta o vaya a la carpeta en la cual desee hacer la copia de respaldo de la clave privada. Observe que se hace una copia de respaldo del certificado del servidor de administracin en la misma carpeta. El archivo del almacn de claves JKS se incluye en una copia de respaldo durante la instalacin inicial. Un archivo que se llama servermarca de hora.xml tambin se incluye en una copia de respaldo. El archivo del almacn de claves JKS incluye el par de claves privada y pblica del servidor y el certificado autofirmado.
3 4 5 6 7
314
8 9
En el panel Hacer copia de respaldo del certificado del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Finalizar.
Captulo
21
Acerca de la administracin de bases de datos Hacer una copia de respaldo de una base de datos de Microsoft SQL Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager Restaurar una base de datos Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager Volver a configurar una base de datos Acerca de administrar datos de registro
316
Una base de datos contiene informacin sobre polticas de seguridad y de aplicacin. Adems, todas las opciones de configuracin, los datos sobre ataques, los registros y los informes tambin se incluyen en la base de datos. Por lo tanto, puede supervisar brechas de seguridad en la red. La informacin de la base de datos se almacena en las tablas, tambin llamadas esquemas de base de datos. El esquema se proporciona para los administradores que pueden necesitarlo para la elaboracin de informes especializados.
Asistente para la configuracin del servidor de administracin y herramientas de base de datos de Symantec
Puede hacer una copia de respaldo de ciertas opciones de base de datos, como el nombre de la base de datos, programarlas y editarlas desde la consola de Symantec Endpoint Protection Manager. Sin embargo, slo puede restaurar y volver a
317
configurar bases de datos con el Asistente para la configuracin del servidor de administracin y la utilidad Symantec Database Backup and Restore. Es posible utilizar el Asistente para la configuracin del servidor de administracin para volver a configurar todo MS SQL y la configuracin de la base de datos integrada. Ver "Acerca de la reconfiguracin de una base de datos" en la pgina 318. Puede utilizar la utilidad Herramientas de base de datos de Symantec para hacer una copia de respaldo de todas las opciones de MS SQL y de la base de datos integrada, restaurarlas y volver a configurarlas. Ver "Acerca de la copia de respaldo y la restauracin de una base de datos" en la pgina 317.
Slo la base de datos de Microsoft SQL, usando Microsoft SQL Server Enterprise Manager para configurar un plan de mantenimiento que incluye copias de respaldo automticas. Base de datos integrada o una base de datos de MS SQL, desde la consola de Symantec Endpoint Protection Manager. Puede realizar una copia de respaldo cuando lo necesite y programar copias de respaldo automticas.
318
Las copias de respaldo se deben almacenar preferiblemente en una unidad de disco diferente. Es necesario hacer una copia de respaldo de la unidad de disco peridicamente. Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL" en la pgina 320. Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager" en la pgina 325.
Se desea convertir una base de datos integrada en una base de datos de Microsoft SQL o viceversa. Si los datos ya existen en la base de datos anterior, debe:
Hacer una copia de respaldo del sitio. Volver a configurar la base de datos. Crear una nueva base de datos vaca. Restaurar la base de datos.
Si tiene una copia de respaldo de una base de datos, puede restaurar esa base de datos en el equipo en el que se instal Symantec Endpoint Protection Manager. Tambin puede restaurar la base de datos en cualquier otro equipo. Utilice la utilidad Symantec Database Backup and Restore para restaurar una base de datos. Esta herramienta se instala automticamente cuando instala Symantec Endpoint Protection Manager. Ver "Restaurar una base de datos" en la pgina 327.
Se modific la direccin IP o el nombre de host del servidor de la base de datos. Se modific el puerto del servidor de la base de datos que se conecta a Symantec Endpoint Protection Manager. Se modific el nombre de la base de datos.
319
Tambin puede modificar el nombre de la base de datos en Symantec Endpoint Protection Manager. Ver "Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager" en la pgina 329.
Slo MS SQL: se modific el nombre del usuario responsable de la base de datos. Si modifica el nombre de usuario del servidor de la base de datos en un servidor de bases de datos, la consola de Symantec Endpoint Protection Manager no se puede conectar al servidor de bases de datos. Se modific la contrasea del usuario responsable de la base de datos. Puede modificar la contrasea del usuario responsable del servidor de la base de datos. Si modifica la contrasea, el servidor de administracin no podr conectarse al servidor de bases de datos. Slo MS SQL: se modific la ruta del cliente SQL. Se modific la carpeta de la papelera del cliente SQL que, de forma predeterminada, est ubicada en C:\Program Files\Microsoft SQL Server\80\Tools\Binn. Si modific la ruta del cliente SQL en el servidor de bases de datos de Microsoft SQL, la consola de Symantec Endpoint Protection Manager no podr conectarse al servidor de bases de datos. Se actualiza una base de datos integrada a una base de datos de Microsoft SQL
Ver "Volver a configurar una base de datos" en la pgina 329. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Proporciona informacin acerca de cmo actualizar una base de datos integrada a una base de datos de Microsoft SQL.
320
Administrar bases de datos Hacer una copia de respaldo de una base de datos de Microsoft SQL
Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager" en la pgina 325. Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos" en la pgina 321. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Proporciona informacin acerca de cmo hacer una copia de respaldo de una base de datos de Microsoft SQL con la utilidad Symantec Database Backup and Restore.
Hacer una copia de respaldo manual de una base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager
La consola de Symantec Endpoint Protection Manager incluye una copia de respaldo del sitio que se puede utilizar para hacer una copia de respaldo y restaurar
Administrar bases de datos Hacer una copia de respaldo de una base de datos de Microsoft SQL
321
la base de datos. Adems, puede configurar un plan de mantenimiento en el agente de Microsoft SQL Server. El paso siguiente incluye la configuracin recomendada. Es posible que deba utilizar diferentes opciones de configuracin de acuerdo con:
El tamao de su organizacin. La cantidad de espacio libre en el disco que se ha reservado para las copias de respaldo. Las pautas obligatorias de su compaa.
Para hacer una copia de respaldo manual de la base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En la pgina Administrador, debajo de Ver, haga clic en el icono que representa la base de datos de Microsoft SQL. En la pgina Administrador, debajo de Tareas, haga clic en Hacer copia de respaldo del sitio ahora. Se hace la copia de respaldo de todos los datos del sitio, incluida la base de datos, mediante este mtodo. Es posible comprobar el registro del sistema y la carpeta de copia de respaldo para conocer el estado durante la copia de respaldo y despus de ella.
Hacer una copia de respaldo de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos
Microsoft SQL Server Enterprise Manager proporciona un asistente para ayudarlo a configurar un plan de mantenimiento de base de datos. Puede utilizar el Asistente para la planificacin del mantenimiento de bases de datos para administrar la base de datos y para programar las copias de respaldo automticas de la base de datos de Microsoft SQL. Nota: Asegrese de iniciar el agente SQL Server. Los derechos de acceso de Sysadmin son obligatorios para ejecutar el Asistente para la planificacin del mantenimiento de bases de datos.
322
Administrar bases de datos Hacer una copia de respaldo de una base de datos de Microsoft SQL
Consulte la documentacin de Microsoft SQL Server para obtener informacin acerca de cmo mantener una base de datos de Microsoft SQL Server. Para hacer copia de respaldo de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos en Microsoft SQL Enterprise Manager 2000
1 2 3
En SQL Server Enterprise Manager, haga clic en Programas > Microsoft SQL Server > Enterprise Manager. Expanda el nombre de servidor donde nombre del servidor es el nombre del servidor en el que est instalada la base de datos. Haga doble clic en la carpeta Administracin. Cuando se inicia el agente SQL Server, se muestra una flecha verde en el icono. Si no est iniciado, inicie el administrador de servicios de SQL Server seleccionando el agente de SQL Server y haciendo clic con el botn secundario y seleccionando Inicio.
4 5 6 7
Expanda Bases de datos. Haga clic con el botn secundario en sem5 y seleccione el plan Todas las tareas > Mantenimiento. En la pantalla de bienvenida del Asistente para la planificacin del mantenimiento de bases de datos, haga clic en Siguiente. En la pantalla Bases de datos, seleccione Estas bases de datos: y, al lado, marque sem5 para hacer copia de respaldo de la base de datos. A continuacin, haga clic en Siguiente. En la pantalla Informacin de optimizacin de actualizacin de datos, seleccione Quitar espacio no utilizado de los archivos de base de datos. En el cuadro de texto Cuando aumenta ms de: escriba 1024 o un tamao mximo apropiado segn el tamao de su organizacin. Cuando la base de datos excede el tamao especificado, el espacio sin usar se quita automticamente.
8 9
Administrar bases de datos Hacer una copia de respaldo de una base de datos de Microsoft SQL
323
12 Cuando finalice con la optimizacin de la configuracin, haga clic en Siguiente. 13 En la pantalla Anlisis de la integridad de la base de datos, haga clic en
Siguiente sin configurar esta opcin, porque el administrador de polticas mantiene la integridad de la base de datos.
15 Seleccione los medios en los que desea guardar la copia de respaldo. 16 Haga clic en Cambiar para modificar la programacin de la copia de respaldo. 17 En el cuadro de dilogo Editar planificacin de tareas recurrentes, despus
de Ocurre, haga clic en Diariamente. Seleccione la frecuencia con la que desea que se realice una copia de respaldo de la base de datos. Se recomienda cada 1 da.
18 Marque Activar programacin. 19 Configure la hora en la que desea que se realicen las copias de respaldo y las
fechas de inicio y finalizacin, o seleccione Sin fecha de finalizacin, si corresponde, y haga clic en Aceptar.
20 Haga clic en Siguiente. 21 En la pantalla Especificar directorio del disco de copia de respaldo, especifique
un directorio de copia de respaldo haciendo clic en Utilizar el directorio predeterminado de copias de respaldo (la ruta predeterminada es \MSSQL\BACKUP) o Utilizar este directorio.
23 Marque Crear un subdirectorio para cada base de datos. 24 Haga clic en Quitar los archivos anteriores a y, a continuacin, especifique
un plazo despus del cual se quitarn o se eliminarn automticamente las copias de respaldo anteriores. Asegrese de que tiene suficiente espacio libre en el disco para almacenar las copias de respaldo para el plazo especificado y haga clic en Siguiente.
324
Administrar bases de datos Hacer una copia de respaldo de una base de datos de Microsoft SQL
27 Seleccione los medios en los que desea guardar la copia de respaldo. 28 Haga clic en Cambiar para modificar la programacin de la realizacin de
copias de respaldo del registro de transacciones. Aparecer el cuadro de dilogo Editar planificacin de tareas recurrentes. De forma predeterminada, el tamao mximo del registro de transacciones es 8 GB. Si el registro de transacciones alcanza el tamao mximo, deja de funcionar y se puede daar la base de datos. (Puede modificar el tamao mximo del registro de transacciones en SQL Server Enterprise Manager).
30 Seleccione la frecuencia con la que desea que se realicen las copias de respaldo.
Se recomienda la opcin predeterminada, Cada 4 horas.
32 Haga clic en Siguiente. 33 En la pantalla Especificar directorio del disco de copia de respaldo, seleccione
un directorio de copia de respaldo haciendo clic en Utilizar el directorio predeterminado de copias de respaldo o en Utilizar este directorio. La ruta predeterminada es \MSSQL\BACKUP.
Administrar bases de datos Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager
325
35 Marque Crear un subdirectorio para cada base de datos. 36 Haga clic en Quitar los archivos anteriores a: 37 Especifique un plazo despus del cual se quitarn o se eliminarn
automticamente las copias de respaldo anteriores. Asegrese de que tiene suficiente espacio libre en el disco para almacenar las copias de respaldo para el plazo especificado y, a continuacin, haga clic en Siguiente.
Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager
Es posible realizar una copia de respaldo cuando sea necesario de una base de datos integrada desde la consola de Symantec Endpoint Protection Manager. Ver "Copias de respaldo de base de datos" en la pgina 317. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Proporciona informacin sobre cmo hacer una copia de
326
Administrar bases de datos Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager
respaldo de una base de datos integrada con la utilidad Symantec Database Backup and Restore. Para hacer una copia de respaldo de una base de datos integrada desde una consola de Symantec Endpoint Protection Manager
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En la pgina Administrador, debajo de Ver, haga clic en el icono que representa la base de datos integrada. En la pgina Administrador, debajo de Tareas, haga clic en Hacer copia de respaldo del sitio ahora. Se hace la copia de respaldo de todos los datos del sitio, incluida la base de datos, mediante este mtodo. Es posible comprobar el registro del sistema y la carpeta de copia de respaldo para conocer el estado durante la copia de respaldo y despus de ella.
Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager
Puede establecer programaciones para la copia de respaldo automtica de MS SQL y de las bases de datos integradas en Symantec Endpoint Protection Manager. Ver "Acerca de la programacin de una copia de respaldo de base de datos" en la pgina 319. Para hacer una copia de respaldo de una base de datos integrada desde una consola de Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En la pgina Administrador, bajo Ver, haga clic en el icono que representa a la base de datos de MS SQL o la base de datos integrada y cuya configuracin de copia de respaldo desea modificar. En la pgina Administrador, bajo Tareas, haga clic en Editar configuracin de la copia de respaldo. En el cuadro de dilogo Sitio de copia de respaldo para el sitio local, haga clic en Programar.
4 5
327
Especifique la frecuencia de las copias de respaldo seleccionando Por hora, Diariamente o Semanalmente.
Si selecciona Por hora, especifique Min para indicar durante cuntos minutos despus de la hora deben realizarse las copias de respaldo. Si selecciona Diariamente, especifique Hora de inicio en Hora y Min para indicar a qu hora se deben llevar a cabo las copias de respaldo diarias. Si elige Semanalmente, especifique la Hora de inicio en Hora y Min para indicar la hora en la que se deben llevar a cabo las copias de respaldo. Si elige Semanalmente, especifique el Da de semana para indicar el da en el que se deben llevar a cabo las copias de respaldo.
Haga clic en Aceptar. En el tiempo programado, las copias de respaldo se realizan automticamente y se colocan en un archivo .zip con el nombre de la fecha de la copia de respaldo. El archivo de respaldo se almacena en una carpeta de respaldo que se crea en la ruta, tal como lo especifica la raz de los datos del servidor. Por ejemplo, un archivo de respaldo que se crea el 1 de agosto de 2007 a las 9:46 a. m. se llama 2007-Aug-01_09-46-13-AM.zip.
Ubique el ltimo archivo de respaldo que tiene. Este archivo est en formato .zip y tiene el nombre de la fecha en la que fue creado. El archivo se almacena en una carpeta de respaldo que fue creada en la ruta especificada para la raz de los datos del servidor. Configure el equipo en el que desea restaurar la base de datos de las siguientes maneras:
Mediante otro equipo: si se produjo un error en el hardware del equipo anterior, debe instalar el sistema operativo y Symantec Endpoint Protection Manager en el nuevo equipo. Aunque reemplaza la base de datos por nuevos datos, an tiene que configurar una base de datos cuando finaliza la instalacin. Mediante el mismo equipo: si el hardware y Symantec Endpoint Protection Manager funcionan correctamente, puede restaurar la base de datos en el mismo equipo. Si surgen problemas, puede desinstalar Symantec
328
Endpoint Protection Manager, volver a instalarlo, configurar la base de datos y restaurar los datos.
3 4 5 6 7 8 9
Cierre la sesin en la consola. Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Todos los Programas > Herramientas administrativas > Servicios. Ubique el servicio de Symantec Endpoint Protection Manager y, a continuacin, haga clic con el botn secundario y seleccione Detener. Seleccione Inicio > Todos los Programas > Symantec Endpoint Protection Manager > Symantec Database Backup and Restore. Haga clic en Restaurar la base de datos. En el cuadro de dilogo Restaurar sitio, seleccione la copia de respaldo que desea utilizar de la lista Haga clic en Aceptar. La restauracin de la base de datos tarda varios minutos. La cantidad de tiempo que lleva terminar la tarea depende del tamao de la base de datos, del nmero de usuarios, de asociados de replicacin y de otros criterios.
11 Haga clic en Salir. 12 Haga clic en Inicio > Programas >Symantec Endpoint Protection Manager
si restaur la base de datos en un equipo diferente, porque debe eliminar el servidor de bases de datos anterior. De lo contrario, ha finalizado la restauracin de la base de datos.
13 Inicie sesin en la consola de Symantec Endpoint Protection Manager. 14 Haga clic en Administrador. 15 Haga clic en Servidores. 16 En la pgina Administrador, debajo de Tareas, haga clic con el botn
secundario en el servidor de la base de datos anterior y seleccione Eliminar.
Administrar bases de datos Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager
329
Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager
Puede editar el nombre y la descripcin de una base de datos local o remota. Tambin puede editar el nombre de la base de datos con el Asistente para la configuracin del servidor de administracin. Ver "Volver a configurar una base de datos de Microsoft SQL " en la pgina 330. Para editar el nombre y la descripcin de una base de datos
1 2 3 4 5 6 7 8
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En la pgina Administrador, bajo Ver, expanda Sitio local (Sitio <nombre del sitio>). Seleccione la base de datos local o expanda Sitios remotos para seleccionar la base de datos de un sitio remoto cuyas propiedades desea editar. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades de la base de datos. En el cuadro de dilogo Propiedades de la base de datos, edite el nombre de la base de datos en el campo Nombre. En el cuadro de dilogo Propiedades de la base de datos, edite la descripcin de la base de datos en el campo Descripcin. Haga clic en Aceptar. Los cambios aparecen en el panel Administracin de la base de datos.
Cambio de la direccin IP del servidor de bases de datos Cambio del nombre del host del servidor de bases de datos
330
1 2 3 4
Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Todos los Programas > Herramientas administrativas > Servicios. Ubique el servicio de Symantec Endpoint Protection Manager y, a continuacin, haga clic con el botn secundario y seleccione Detener. Haga clic en Inicio > Todos los Programas > Symantec Endpoint Protection Manager > Asistente para la configuracin del servidor de administracin. En la pantalla de bienvenida del Asistente para la configuracin del servidor de administracin, haga clic en Volver a configurar el servidor de administracin. En la pantalla de bienvenida del Asistente para la configuracin del servidor de administracin, haga clic en Siguiente para comenzar la reconfiguracin. En el cuadro Nombre del servidor, edite el nombre del equipo en el que est instalado Symantec Endpoint Protection Manager. Edite el nmero de puerto HTTPS que Symantec Endpoint Protection Manager incluye en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 8443.
5 6 7
Edite el cuadro Carpeta de datos del servidor. Tambin puede ir a la carpeta raz donde estn los archivos de datos. La carpeta raz incluye copias de respaldo, replicacin y otros archivos de Symantec Endpoint Protection Manager. El nombre de ruta predeterminado es C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data)
331
17 Escriba el nombre de la ruta del cliente SQL en Ruta del cliente SQL.
De forma predeterminada, la carpeta de la papelera del cliente SQL contiene el archivo bcp.exe. Por ejemplo, C:\Program Files\Microsoft SQL Server\80\Tools\Binn. El archivo bcp.exe debe residir en el mismo equipo que en el que est instalado Symantec Endpoint Protection Manager. Este archivo es parte del paquete del cliente SQL Server. Debe especificar correctamente la cadena de caracteres del cliente MS SQL en el Asistente para la configuracin del servidor de administracin. Si la cadena de caracteres no se especifica correctamente o el paquete del cliente MS SQL no se instal, no es posible volver a configurar la base de datos.
332
1 2 3 4
Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Todos los Programas > Herramientas administrativas > Servicios. Ubique el servicio de Symantec Endpoint Protection Manager y, a continuacin, haga clic con el botn secundario y seleccione Detener. Haga clic en Inicio > Todos los Programas > Symantec Endpoint Protection Manager > Asistente para la configuracin del servidor de administracin. En la pantalla de bienvenida del Asistente para la configuracin del servidor de administracin, haga clic en Volver a configurar el servidor de administracin. En la pantalla de bienvenida del Asistente para la configuracin del servidor de administracin, haga clic en Siguiente para comenzar la reconfiguracin. En el cuadro Nombre del servidor, edite el nombre del equipo en el que est instalado Symantec Endpoint Protection Manager. Edite el nmero de puerto HTTPS que Symantec Endpoint Protection Manager incluye en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 8443.
5 6 7
Edite el cuadro Carpeta de datos del servidor. Vaya a la carpeta raz donde se encuentran los archivos de datos. La carpeta raz incluye copias de respaldo, replicacin y otros archivos de Symantec Endpoint Protection Manager. El nombre de ruta predeterminado es C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data)
333
10 Haga clic en Base de datos integrada. 11 Haga clic en Siguiente. 12 Edite el nombre del servidor de bases de datos en el cuadro Servidor de bases
de datos, si corresponde. La direccin IP o el nombre de host del servidor de bases de datos donde el servidor guarda los datos de la aplicacin.
13 Escriba el nmero de puerto del servidor SQL en el cuadro Puerto del servidor
de bases de datos. El nmero de puerto predeterminado es 2638.
334
Registros de control de aplicaciones y dispositivos Registros de auditora Registros de Enforcer Registros de proteccin contra amenazas de red Registros del sistema
Los datos de otros registros se almacenan en una sola tabla. La Configurar opciones de registro para los servidores en un sitiodescribe cmo configurar las opciones de registro para administrar los registros de base de datos que se almacenan en dos tablas. La nica tabla que contiene los otros datos de registros es administrada mediante las opciones de mantenimiento de base de datos en las propiedades del sitio. La Configurar opciones de mantenimiento de base de datos para los registros describe cmo configurar las opciones de mantenimiento de base de datos que afectan a los datos que se almacenan en una sola tabla. Para los registros que se almacenan en dos tablas, una tabla (tabla A) es la tabla de registro real. Las nuevas entradas de registro se escriben en esta tabla. Cuando se alcanza el umbral o la expiracin del registro, las nuevas entradas de registro se almacenan en la segunda tabla (tabla B). Los datos permanecen en la tabla A hasta que la tabla B alcance su umbral o el nmero de das que se especifica para la caducidad. En ese momento, la tabla A se borra totalmente y las nuevas entradas se almacenan all. La informacin de la tabla B permanece hasta que ocurra la conmutacin. La conmutacin de una tabla a la otra, tambin llamada barrido de registros desde la base de datos, se realiza automticamente. La sincronizacin del conmutador depende de la configuracin del registro especificada en las propiedades del sitio. El proceso es igual, sin importar si el barrido es automtico o manual. Es posible realizar un barrido manual del registro despus de hacer una copia de respaldo de la base de datos, si se prefiere utilizar este mtodo como parte del mantenimiento de base de datos de rutina. Si permite que ocurra un barrido automtico, es posible perder algunos datos de registro si las copias de respaldo de la base de datos no se realizan con la suficiente frecuencia. Si realiza regularmente un barrido manual del registro despus de
335
haber realizado una copia de respaldo de la base de datos, sta garantiza que se conserven todos sus datos de registro. Este procedimiento es muy til si es necesario conservar sus registros por un perodo relativamente largo, tal como un ao. Nota: El proceso manual que se describe en Barrer datos de registro de la base de datos manualmente no afecta los datos en los registros que se almacenan en una sola tabla en la base de datos.
Para prevenir un barrido automtico de la base de datos hasta despus de crear una copia de respaldo, aumente la Configuracin del registro de las propiedades del sitio al mximo. Ver "Configurar opciones de registro para los servidores en un sitio" en la pgina 336.
2 3
Realice la copia de respaldo, segn corresponda. En el equipo donde est instalado el administrador, abra un navegador Web y escriba la siguiente URL: https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action=SweepLogs Cuando haya realizado esta tarea, las entradas de registro para todos los tipos de registros se guardan en la tabla de base de datos alterna. La tabla original se guarda hasta que se inicie el siguiente barrido.
Para vaciar todo excepto las entradas ms actuales, realice un segundo barrido. Se borra la tabla original y las entradas comienzan a almacenarse all de nuevo. Recuerde volver Configuracin del registro de las propiedades del sitio a sus valores preferidos.
336
limpiar peridicamente esta carpeta temporal. Si lo hace as, asegrese de no eliminar el archivo LegacyOptions.inc, si existe. Si elimina este archivo, se pierden los datos entrantes de registros de versiones anteriores del cliente de Symantec AntiVirus.
1 2 3 4 5
En la consola, haga clic en Administrador. En el sector inferior izquierdo, haga clic en Servidores. Seleccione el sitio que desea configurar. Bajo Tareas, haga clic en Editar propiedades del sitio. En la ficha Configuracin del registro, configure el nmero de entradas y el nmero de das para guardar las entradas de registro para cada tipo de registro. Es posible configurar los tamaos para los registros del servidor de administracin, los registros de clientes y los registros de Enforcer.
337
En la pgina Polticas, poltica antivirus y contra software espa, Otros, ficha Tratamiento de registros
Ver "Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa" en la pgina 472. Ver "Configurar opciones de registros de clientes " en la pgina 337.
338
Si tiene instalado Symantec Network Access Control, puede habilitar y deshabilitar el registro, y enviar los registros de Enforcer al servidor de administracin. Tambin puede configurar el nmero de entradas del registro y el nmero de das que las entradas se conservan en el cliente. Ver "Configurar opciones de registro de Enforcer" en la pgina 748. Para los registros de Seguridad, Riesgo y Trfico, tambin puede configurar el perodo atenuador y el perodo atenuador inactivo que se utilizarn para la agrupacin de eventos. Es posible configurar si desea cargar o no cada tipo de registro de clientes al servidor y el tamao mximo de las cargas. Si elige no cargar los registros de clientes, las consecuencias sern las siguientes:
No es posible ver los datos de registro de clientes desde la consola mediante la ficha Registros del panel de supervisin. No es posible hacer copias de respaldo de los registros de clientes cuando se realiza una copia de respaldo de la base de datos. No es posible exportar los datos de registro de clientes a un archivo o a un servidor de registros centralizado.
1 2
En la consola, haga clic en Clientes. En Configuracin y polticas independientes de la ubicacin de la ficha Polticas, en Configuracin, haga clic en Configuracin de registros de clientes. En el cuadro de dilogo Configuracin de registros de clientes para nombre del grupo, configure el tamao mximo del archivo y el nmero de das que se deben conservar las entradas de registro. Seleccione Cargar en servidor de administracin para los registros que desee que los clientes reenven al servidor. Para los registros Seguridad y Trfico, configure el perodo atenuador y el perodo atenuador inactivo. Esta configuracin determina la frecuencia con la que se agregan los eventos de Proteccin contra amenazas de red.
4 5
6 7
Especifique el nmero mximo de entradas que desea que un cliente cargue al administrador al mismo tiempo. Haga clic en Aceptar.
339
Acerca de configurar las opciones de administracin de registros de los clientes para las polticas antivirus y contra software espa
Puede configurar las siguientes opciones de administracin de registros para las polticas antivirus y contra software espa:
Qu eventos de antivirus y software espa se envan desde los clientes a los registros de proteccin antivirus y contra software espa en el servidor Cunto tiempo se conservan los eventos en los registros de proteccin antivirus y contra software espa en el servidor Con qu frecuencia los eventos agregados se cargan desde los clientes al servidor
Ver "Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa" en la pgina 472.
1 2 3 4 5
En la consola, haga clic en Administrador. Seleccione un servidor de bases de datos. Bajo Tareas, haga clic en Editar configuracin de la copia de respaldo. En el cuadro Grupo de configuracin de la copia de respaldo, active Crear copia de respaldo de registros. Haga clic en Aceptar.
340
Cargue solamente algunos de los registros de clientes al servidor. Ver "Configurar opciones de registros de clientes " en la pgina 337. Filtre los eventos del sistema y los eventos de riesgo menos importantes para remitir menos datos al servidor. Ver "Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa" en la pgina 472.
Si an planea cargar grandes cantidades de datos de registro de los clientes a un servidor, es necesario considerar los factores siguientes:
El nmero de clientes en su red La frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor La cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos
Una configuracin que carga una gran cantidad de datos de registro de clientes al servidor puede causar frecuentemente problemas de espacio. Si es necesario cargar un gran volumen de datos de registro de clientes, es posible tener que ajustar algunos valores predeterminados para evitar estos problemas de espacio. A medida que se implementan clientes, es necesario supervisar el espacio en el servidor en el directorio de insercin de registros y ajustar estos valores segn sea necesario. El directorio predeterminado donde los registros se convierten a archivos .dat y despus se escriben en la base de datos es unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log. La ubicacin del directorio de datos del servidor se configura durante la instalacin, cuando se le solicita que seleccione la carpeta de datos del servidor. Es posible ejecutar el Asistente para la configuracin del servidor de administracin desde el men Inicio para modificar este directorio, si lo desea. \inbox\log se agrega automticamente al directorio especificado. La frecuencia con la cual se cargan los registros de clientes se configura en la pgina Polticas de la pgina Clientes, bajo Configuracin de comunicaciones. La frecuencia predeterminada indica que se carguen los registros cada cinco minutos. Para ajustar los valores que controlan el espacio disponible en el servidor, es necesario modificar estos valores en el registro. Las claves de registro que se necesitan modificar se encuentran en el servidor en HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM. La Tabla 21-2 enumera las claves de registro y sus valores predeterminados y describe sus funciones.
341
Claves de registro que contienen opciones de carga de registro Valor predeterminado y descripcin
MaxInboxSpace especifica el espacio asignado para el directorio donde los archivos de registro se convierten a archivos .dat antes de que se almacenen en la base de datos. El valor predeterminado es de 200 MB.
MinDataFreeSpace
MinDataFreeSpace especifica la cantidad de espacio mnima que se debe mantener libre en este directorio. Esta clave es til para asegurarse de que otras aplicaciones que utilizan el mismo directorio tengan suficiente espacio para ejecutarse sin afectar el rendimiento. El valor predeterminado es 0.
IntervalOfInboxSpaceChecking
IntervalOfInboxSpaceChecking especifica cunto tiempo Symantec Endpoint Protection espera entre las comprobaciones de espacio en la bandeja de entrada que est disponible para los datos de registro. El valor predeterminado es 30 segundos.
342
datos mediante la especificacin de opciones de compresin y de cunto tiempo se guardan los datos. Para obtener informacin sobre las opciones de mantenimiento de base de datos especficas, consulte la ayuda contextual en el cuadro de dilogo Propiedades del sitio para nombre del sitio en la ficha Base de datos. Para configurar opciones de mantenimiento de base de datos para los registros
1 2 3 4
En la consola, haga clic en Administrador. Seleccione un sitio. Bajo Tareas, haga clic en Editar propiedades del sitio. En la ficha Base de datos, configure el nmero de das para guardar los eventos de riesgo. Para conservar el subconjunto de eventos de riesgo de infeccin despus del umbral especificado para los eventos de riesgo, marque la casilla de verificacin No eliminar eventos de infecciones.
5 6
Configure cun frecuentemente se desea comprimir los eventos en que se hallaron riesgos idnticos en un solo evento. Configure el nmero de das durante los que se guardarn los eventos que han sido comprimidos. Este valor incluye el tiempo previo a la compresin de los eventos. Por ejemplo, suponga que especifica que se eliminen los eventos comprimidos despus de diez das y se compriman los eventos despus de siete das. En este caso, se eliminan los eventos tres das despus de que son comprimidos.
7 8 9
Configure el nmero de das para guardar las notificaciones reconocidas y no reconocidas. Configure el nmero de das para guardar los eventos de anlisis. Configure el nmero de das para guardar los comandos que se han ejecutado desde la consola y su informacin de estado del comando asociada. Despus de esta vez, Symantec Endpoint Protection no puede distribuir ms los comandos a sus destinatarios previstos.
343
Modificar el tiempo de espera de conexin del servidor de Microsoft SQL Modificar el tiempo de espera de comandos del servidor de Microsoft SQL
El tiempo de espera de conexin es 300 segundos (5 minutos) El tiempo de espera de comandos es 300 segundos (5 minutos)
Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Consulte el artculo "Reporting server does not report or shows a timeout error message when querying large amounts of data" (El servidor de informes no genera informes o presenta un mensaje de error de tiempo de espera al consultar una gran cantidad de datos) en la base de conocimientos de Symantec (en ingls).
344
Abra el archivo Reporter.php, que se encuentra en el directorio \Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. Utilice un editor de texto para agregar los siguientes valores al archivo:
$CommandTimeout = xxxx $ConnectionTimeout = xxxx Los valores del tiempo de espera se especifican en segundos. Si se especifica un valor igual a cero o se dejan los campos en blanco, se usar la configuracin predeterminada.
Captulo
22
Replicar datos
En este captulo se incluyen los temas siguientes:
Acerca de la replicacin de datos Comprender el impacto de la replicacin Configurar la replicacin de datos Programar la replicacin automtica y manual Replicar paquetes de clientes Replicar registros
346
Por ejemplo, es posible configurar un sitio en su oficina principal (sitio 1) y un segundo sitio (sitio 2). El sitio 2 es un asociado de replicacin del primer sitio. Las bases de datos en el sitio 1 y el sitio 2 son reconciliadas usando una programacin de sincronizacin que se debe configurar. Si se realiza un cambio en el sitio 1, aparece automticamente en el sitio 2 despus de que ocurra la replicacin. Si se realiza un cambio en el sitio 2, aparece automticamente en el sitio 1 despus de que ocurra la replicacin. Es posible adems instalar un tercer sitio (el sitio 3) que puede replicar datos del sitio 1 o del sitio 2. El tercer sitio es un asociado de replicacin de los otros dos sitios. La Figura 22-1 ilustra cmo ocurre la replicacin de datos de un sitio local a otros dos sitios.
347
Figura 22-1
Sitio 1
Base de datos de MS SQ
Base de datos de MS SQ
Los asociados de replicacin se mencionan en la pgina Administrador. Es posible visualizar la informacin sobre asociados de replicacin seleccionando el asociado en el rbol. Todos los sitios tienen tpicamente el mismo tipo de base de datos. Es posible, sin embargo, configurar la replicacin entre sitios que usan diversos tipos de bases de datos. Adems, es posible configurar la replicacin entre una base de datos integrada y una base de datos de MS SQL.
Replicacin
348
Si utiliza una base de datos integrada, es posible conectar solamente una instancia de Symantec Endpoint Protection Manager a ella debido a los requisitos de configuracin. Si utiliza una base de datos de MS SQL, es posible conectar varias instancias de Symantec Endpoint Protection Manager o compartir una base de datos. Solamente la primera instancia de Symantec Endpoint Protection Manager necesita configurarse como asociado de replicacin. Se considera que todos los sitios que se configuran como asociados de replicacin estn en la misma granja de sitios. Inicialmente, se instala el primer sitio y despus se instala un segundo sitio como asociado de replicacin. Un tercer sitio se puede instalar y configurarse para conectarse a cualquiera de los primeros dos sitios. Es posible agregar tantos sitios como sea necesario a la granja de sitios. Es posible eliminar asociados de replicacin para detener la replicacin. Es posible agregar ms tarde ese asociado de replicacin nuevamente para que las bases de datos sean coherentes. Sin embargo, algunos cambios pueden ser incompatibles. Ver "Qu opciones se replican" en la pgina 348.
Qu opciones se replican
Cuando se configura la replicacin, las opciones de comunicacin de los clientes tambin se replican. Por lo tanto, asegrese de que las opciones de comunicacin sean correctas para todos los sitios en la granja de sitios de la manera siguiente:
Cree opciones de comunicacin genricas de forma que la conexin de un cliente se base en el tipo de conexin. Por ejemplo, es posible utilizar un nombre DNS genrico, tal como symantec.com para todos los sitios en una granja de sitios. Siempre que los clientes se conecten, el servidor DNS resuelve el nombre y conecta el cliente a la instancia local de Symantec Endpoint Protection Manager.
349
Cree opciones de comunicacin especficas asignando grupos a los sitios de modo que todos los clientes en un grupo se conecten a la instancia de Symantec Endpoint Protection Manager indicada. Por ejemplo, es posible crear dos grupos para los clientes en el sitio 1, dos grupos diferentes para el sitio 2 y dos otros grupos para el sitio 3. Es posible aplicar las opciones de comunicacin en el nivel de grupo de forma que los clientes se conecten a la instancia de Symantec Endpoint Protection Manager indicada.
Sera aconsejable configurar pautas para administrar las opciones de ubicacin para los grupos. Las pautas pueden ayudar a evitar que ocurran conflictos en las mismas ubicaciones. Es posible adems ayudar a evitar que ocurran conflictos para cualquier grupo que se encuentre en diversos sitios.
350
Si realiza las siguientes tareas con la replicacin programada para ocurrir cada hora durante la hora:
Se edita AvAsPolicy1 en el sitio 1 a las 2:00 p. m. Se edita la misma poltica en el sitio 2 a las 2:30 p. m.
A continuacin, solamente los cambios que se han realizado en el sitio 2 aparecen despus de que la replicacin se completa, cuando la replicacin ocurre a las 3:00 p. m. Si uno de los asociados de replicacin est desconectado, el sitio remoto puede an indicar el estado como conectado.
Una direccin IP o un nombre de host de la instancia de Symantec Endpoint Protection Manager para la cual desee incluir un asociado de replicacin. La instancia de Symantec Endpoint Protection Manager a la cual desee conectarse debe previamente haber sido un asociado de replicacin. Symantec Endpoint Protection Manager puede adems haber sido un asociado de otro sitio en la misma granja de sitios.
351
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. En la pgina Administrador, bajo Tareas, haga clic en Agregar asociado de replicacin. En el asistente Agregar asociado de replicacin, haga clic en Siguiente. En el cuadro de dilogo Informacin del sitio remoto, escriba la direccin IP o el nombre de host de la instancia de Symantec Endpoint Protection Manager que desea incluir como asociado de replicacin. En el cuadro de dilogo Informacin del sitio remoto, escriba el nmero de puerto del servidor remoto en el cual usted instal Symantec Endpoint Protection Manager. La configuracin predeterminada para el puerto del servidor remoto es 8443.
7 8 9
En el cuadro de dilogo Informacin del sitio remoto, escriba el nombre de usuario y la contrasea del administrador. Haga clic en Siguiente. En el cuadro de dilogo Programar replicacin, especifique la programacin para la replicacin entre los dos asociados haciendo una de las siguientes tareas:
Marque Replicar automticamente. Hace que la replicacin frecuente y automtica ocurra entre dos sitios. sta es la opcin predeterminada. Por lo tanto, no es posible configurar una programacin personalizada para la replicacin. Deje sin marcar Replicar automticamente Es posible ahora configurar una programacin personalizada para la replicacin:
Seleccione una Frecuencia de replicacin cada hora, diaria o semanal. Seleccione el da especfico durante el cual debe ocurrir la replicacin en la lista Da de semana para configurar una programacin semanal.
10 Haga clic en Siguiente. 11 Haga clic en S o No dependiendo de si desea replicar los registros.
La configuracin predeterminada es No.
352
12 Haga clic en Siguiente. 13 Haga clic en Finalizar. El sitio del asociado de replicacin se agrega bajo
Asociados de replicacin en la pgina Administrador.
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. Expanda Asociados de replicacin y seleccione el asociado que desee desconectar. En la pgina Administrador, debajo del panel Tareas, haga clic en Eliminar asociado de replicacin. Escriba S cuando se le pida que verifique que desea eliminar el asociado de replicacin.
1 2 3
Haga clic en la ficha Servidores. Expanda Asociados de replicacin y seleccione el asociado cuya base de datos se desea replicar inmediatamente. Haga clic en Replicar ahora.
353
Haga clic en S cuando se le pida que verifique que desea iniciar una replicacin ahora. El siguiente mensaje aparece:
Notas
Si usa una base de datos de Microsoft SQL con ms de un servidor, solamente es posible iniciar la replicacin desde el primer servidor que fue configurado en el sitio. Si intenta ahora replicar desde el segundo servidor, usted recibir un mensaje que diga: Slo el primer servidor del sitio puede llevar a cabo la replicacin. Inicie sesin en el servidor <nombre del primer servidor> para iniciar la replicacin.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. En la pgina Administrador, bajo Tareas, haga clic en Editar asociado de replicacin. En el cuadro de dilogo Editar asociado de replicacin, especifique la programacin para la replicacin entre los dos asociados haciendo una de las siguientes tareas:
354
Hace que la replicacin frecuente y automtica ocurra entre dos sitios. sta es la opcin predeterminada. Por lo tanto, no es posible configurar una programacin personalizada para la replicacin.
Deje sin marcar Replicar automticamente Es posible ahora configurar una programacin personalizada para la replicacin.
Seleccione una Frecuencia de replicacin cada hora, diaria o semanal. Seleccione el da especfico durante el cual debe ocurrir la replicacin en la lista Da de semana para configurar una programacin semanal.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. Expanda Asociados de replicacin y seleccione el asociado de replicacin con el cual desee replicar los paquetes de clientes. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del asociado de replicacin.
355
En el cuadro de dilogo Propiedades del asociado de replicacin, debajo de Asociado, haga clic en: Replicar paquetes de clientes entre el sitio local y el sitio asociado. Haga clic en Aceptar.
Replicar registros
Es posible especificar que desea replicar o duplicar los registros adems de la base de datos de un asociado de replicacin. Es posible especificar la replicacin de registros agregando asociados de replicacin o editando las propiedades de un asociado de replicacin. Si planea replicar registros, asegrese de que tiene suficiente espacio libre en el disco para registros adicionales en todos los equipos de asociados de replicacin. Ver "Ver registros de otros sitios" en la pgina 231. Para replicar registros entre los asociados de replicacin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. Expanda Asociados de replicacin y seleccione el asociado de replicacin para el cual desee iniciar la generacin de registros de replicacin. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del asociado de replicacin. En el cuadro de dilogo Propiedades del asociado de replicacin, debajo de Asociado, haga clic en: Replicar registros desde el sitio local al sitio asociado o Replicar registros desde el sitio asociado al sitio local. Haga clic en Aceptar.
356
Captulo
23
358
de exclusin mutua y eventos con nombre. La exclusin mutua permite garantizar que slo un programa o subproceso pueda usar un recurso, como el acceso a un archivo, en un determinado momento. Mutexes son objetos de sincronizacin que pueden poseer solamente un proceso al mismo tiempo. Cuando el subproceso termina de usar el recurso, libera el objeto de exclusin mutua, que puede ser usado por otro subproceso. Los procesos crean eventos con nombre, que notifican a otro programa o subproceso en espera cuando se finaliza el procesamiento. Por ejemplo, los procesos principales pueden utilizar objetos del evento para evitar que otros procesos lean en un bfer de memoria compartida mientras que escriben en ese bfer. Cuando el proceso principal ha finalizado, puede enviar un evento con nombre para sealar los procesos en espera que pueden reanudar operaciones ledas. En el nivel de la interfaz de programacin de aplicaciones, Proteccin contra intervenciones intercepta solicitudes de creacin, apertura o modificacin de estos objetos, como CreateEvent, SetEvent, CreateMutex, ReleaseMutex, etc. Luego compara el nombre del objeto con la lista de nombres protegidos, denominada manifiesto. Si el nombre coincide, verifica si el archivo ejecutable del proceso que envi la solicitud cuenta con una firma digital de Symantec vlida. Si el proceso posee una firma vlida, se permite la solicitud, en caso contrario, se deniega con el cdigo de error ERROR_ACCESS_DENIED. Esta proteccin acta sobre sistemas de usuario nico y servidores de terminal. Cuando un cliente se instala como cliente no administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:
Se habilita Proteccin contra intervenciones. La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es bloquear el intento y registrar el evento. La Proteccin contra intervenciones enva al usuario un mensaje predeterminado cuando detecta un intento de intervencin.
Cuando un cliente se instala como cliente administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:
Se habilita Proteccin contra intervenciones. La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es slo registrar el evento. La Proteccin contra intervenciones no enva un mensaje al usuario cuando detecta un intento de intervencin.
359
Nota: Si habilita notificaciones cuando Symantec Endpoint Protection detecta intentos de intervenciones, las notificaciones sobre los procesos de Windows se envan a los equipos afectados, as como se envan las notificaciones sobre los procesos de Symantec.
Campo
[AccinEfectuada]
[IdProcesoEjecutor]
360
Campo
[NombreArchivo] [Ubicacin]
Descripcin
Nombre del archivo que atac procesos protegidos. rea del hardware o software del equipo que se protegi contra intervenciones. Para los mensajes de Proteccin contra intervenciones, este campo es una aplicacin de Symantec. La ruta completa y el nombre del archivo que atac procesos protegidos. El tipo de intento de intervencin que ocurri. Ubicacin del objetivo atacado por el proceso. Identificacin del proceso que recibi el ataque. Identificacin de la sesin de la terminal en que ocurri el evento. Nombre del usuario que inici la sesin cuando se produjo el ataque.
[RutaYNombreDeArchivo]
[Usuario]
1 2 3
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, marque o deje sin marcar Proteger el software de seguridad de Symantec contra intervenciones o intentos de cierre. Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen esta configuracin. Haga clic en Aceptar.
4 5
1 2 3
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, en el cuadro de lista, seleccione una de las siguientes acciones:
Para bloquear y registrar actividad no autorizada, haga clic en Bloquear y registrar el evento. Para registrar actividades no autorizadas y permitir que se lleven a cabo, haga clic en Registrar el evento solamente.
361
4 5
Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen esta configuracin. Haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, haga clic en Mostrar un mensaje de notificacin al detectar una intervencin. En el cuadro del campo del texto, si desea modificar el mensaje predeterminado, es posible escribir texto adicional y eliminar texto. Si utiliza una variable, debe escribirla exactamente como aparece.
5 6
Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen esta configuracin. Haga clic en Aceptar.
362
Seccin
Acerca de las polticas Administrar la herencia de un grupo para las ubicaciones y las polticas Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales Administrar las ubicaciones de un grupo Trabajar con polticas Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Configurar aplicaciones aprendidas
364
Captulo
24
Descripcin general de las polticas Acerca de las polticas compartidas y no compartidas Acerca de las tareas relacionadas con las polticas Grupos, herencia, ubicaciones y polticas Ejemplos de polticas
366
comportamiento de usuarios, aplicaciones y redes de los clientes. Symantec Endpoint Protection Manager proporciona a las empresas una vista actualizada de su estado de seguridad. Es posible utilizar varios tipos de polticas para administrar el entorno corporativo. Algunas de estas polticas se crean automticamente durante la instalacin. Es posible utilizar una poltica predeterminada como est o personalizarla para adaptarla a un entorno corporativo especfico. La Tabla 24-1 enumera cada poltica, independientemente de si se crea una poltica predeterminada durante la instalacin inicial, y una descripcin para cada poltica. Tabla 24-1 Polticas de Symantec Endpoint Protection Manager Poltica predeterminada Descripcin
Define la configuracin del anlisis de amenazas antivirus y contra software espa, incluido cmo se manejan los procesos detectados. Contiene definiciones de normas y notificaciones, opciones de proteccin contra intrusiones y respuesta activa, filtro de trfico inteligente y opciones de trfico y ocultacin. Define las excepciones a la poltica de deteccin de intrusiones y las aplica a los grupos. Ayuda a definir, restaurar e imponer la seguridad de los clientes para mantener las redes empresariales y los datos seguros. Configura las polticas de proteccin de software y dispositivos para los clientes.
Nombre de poltica
Firewall
Prevencin de intrusiones
367
Nombre de poltica
LiveUpdate
Poltica predeterminada
S
Descripcin
Especifica los equipos que los clientes deben contactar para buscar actualizaciones, junto con la programacin que define cuntas veces los clientes deben buscar actualizaciones. Especifica las excepciones a funciones de polticas determinadas que desee aplicar.
Excepciones centralizadas
No
Las empresas utilizan la informacin que Symantec Endpoint Protection Manager recoge para crear polticas de seguridad. Estas polticas de seguridad enlazan usuarios, tecnologa de conectividad, aplicaciones y comunicacin por red a las polticas de seguridad. Las polticas de seguridad de Symantec se administran y se heredan mediante estructuras de grupos de usuarios, equipos y servidores. Es posible importar informacin sobre usuarios y equipos. Es posible adems sincronizar los datos con los servidores de directorios, tales como Active Directory y LDAP. Symantec Endpoint Protection Manager puede ser centralizado o distribuido en una empresa global para proporcionar escalabilidad, tolerancia de fallos, balanceo de carga y replicacin de polticas. Es posible realizar las siguientes tareas:
Configurar su estructura administrativa y organizativa, que incluye los equipos, los usuarios y los grupos. Configurar las polticas de seguridad. Cada grupo que se define como parte de su estructura organizativa puede tener una poltica separada. Es posible adems configurar polticas individuales para ubicaciones, tales como el hogar y la oficina, dentro de un grupo. Configurar e implementar paquetes de clientes. Personalizar la configuracin del cliente. Administrar los sitios y la replicacin de Symantec Endpoint Protection Manager. Configurar los mdulos de Symantec Enforcer si usted los utiliza como parte de su solucin de aplicacin. Supervisar registros y ver informes.
368
Poltica no compartida
Es necesario crear polticas compartidas, ya que es posible editar y sustituir fcilmente una poltica en todos los grupos y ubicaciones que la utilicen. Sin embargo, es posible que sea necesaria una poltica especializada para una ubicacin determinada que ya exista. En ese caso, es posible crear una poltica que sea exclusiva para una ubicacin. Cuando se crea una nueva poltica, tpicamente se edita una poltica predeterminada. Una poltica predeterminada siempre incluye normas y opciones de seguridad predeterminadas. Se aplica una poltica separada a cada grupo de usuarios o equipos. Sin embargo, es posible adems aplicar polticas de seguridad separadas a la ubicacin de cada grupo. Por ejemplo, se han asignado varias ubicaciones a un grupo. Cada usuario puede querer conectarse a una red de empresa desde una ubicacin diferente cuando est en la oficina o cuando est en su casa. Es posible que sea necesario aplicar una poltica diferente con su propio grupo de normas y opciones a cada ubicacin.
Acerca de las polticas Acerca de las tareas relacionadas con las polticas
369
Tabla 24-2
Excepciones centralizadas
Editar
Excepciones centralizadas
370
Acerca de las polticas Acerca de las tareas relacionadas con las polticas
Tipo de poltica
Antivirus y proteccin contra software espa Firewall
Excepciones centralizadas
Exportar
Excepciones centralizadas
Asignar
No
Acerca de las polticas Acerca de las tareas relacionadas con las polticas
371
Tipo de poltica
Antivirus y proteccin contra software espa Firewall
Excepciones centralizadas
Reemplazar
Excepciones centralizadas
372
Acerca de las polticas Acerca de las tareas relacionadas con las polticas
Tipo de poltica
Antivirus y proteccin contra software espa Firewall
Excepciones centralizadas
Agregar
Excepciones centralizadas
373
Tipo de poltica
Antivirus y proteccin contra software espa Firewall
Excepciones centralizadas
Ejemplos de polticas
Por ejemplo, los usuarios remotos utilizan tpicamente DSL e ISDN, para los cuales puede ser necesaria una conexin VPN. Otros usuarios remotos pueden querer utilizar el acceso telefnico cuando se conectan a la red de la empresa. Los empleados que trabajan en la oficina tpicamente utilizan una conexin de Ethernet. Sin embargo, los grupos de ventas y marketing pueden adems utilizar conexiones inalmbricas. Cada uno de estos grupos puede necesitar sus propias polticas de firewall para las ubicaciones desde las cuales se conectan a la red de la empresa. Sera aconsejable aplicar una poltica restrictiva con respecto a la instalacin de aplicaciones no certificadas en la mayora de las estaciones de trabajo de los empleados para proteger la red de la empresa contra ataques. El grupo de TI puede necesitar tener acceso a aplicaciones adicionales. Por lo tanto, este grupo puede necesitar una poltica de seguridad menos restrictiva que los empleados tpicos. En este caso, es posible crear polticas de firewall diferentes para el grupo de TI.
374
Captulo
25
Acerca de los grupos que heredan ubicaciones y polticas de otros grupos Cmo anular la herencia de ubicaciones y de polticas de un grupo Habilitar la herencia de un grupo para las ubicaciones y las polticas Deshabilitar la herencia de un grupo para las ubicaciones y las polticas
376
Administrar la herencia de un grupo para las ubicaciones y las polticas Cmo anular la herencia de ubicaciones y de polticas de un grupo
Es posible que posteriormente quiera modificar, agregar o eliminar polticas y opciones de seguridad en el grupo Garanta de calidad. Desea que las polticas y las opciones sean diferentes de las del grupo Ingeniera. Por lo tanto, usted primero necesita deshabilitar la herencia para el grupo Garanta de calidad. Si no deshabilita la herencia, aparece un mensaje de error automticamente. Este mensaje de error indica que no es posible agregar ubicaciones o polticas porque son heredadas del grupo Ingeniera.
Administrar la herencia de un grupo para las ubicaciones y las polticas Deshabilitar la herencia de un grupo para las ubicaciones y las polticas
377
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, seleccione el grupo para el cual desee habilitar la herencia de ubicaciones y polticas. Es posible seleccionar cualquier grupo con excepcin del grupo asociado a Mi grupo.
3 4
En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en la ficha Polticas. Marque Heredar polticas y configuracin del grupo principal (nombre del grupo del cual se heredan las polticas y la configuracin). El subgrupo ahora hereda ubicaciones o polticas del grupo que se encuentra ms arriba en la estructura jerrquica.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, seleccione el grupo para el cual desee deshabilitar la herencia de ubicaciones y polticas. Es posible seleccionar cualquier grupo con excepcin del grupo asociado al grupo Global.
3 4
En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en la ficha Polticas. Para deshabilitar la herencia, deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo del cual se heredan las polticas y la configuracin). El subgrupo ya no hereda ubicaciones o polticas de un grupo que se encuentre ms arriba en la estructura jerrquica.
378
Administrar la herencia de un grupo para las ubicaciones y las polticas Deshabilitar la herencia de un grupo para las ubicaciones y las polticas
Captulo
26
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales
En este captulo se incluyen los temas siguientes:
Acerca de Modo de obtencin y Modo de transferencia Especificar el Modo de transferencia o el Modo de obtencin Especificar la frecuencia de transfencia de una poltica entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales.
380
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales Especificar el Modo de transferencia o el Modo de obtencin
Modo de transferencia
El cliente establece una conexin HTTP constante con el administrador. Siempre que un cambio ocurra en el estado del administrador, notifica al cliente inmediatamente.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, expanda Global y seleccione el grupo para el cual desee especificar si se deben transferir u obtener polticas. Verifique que las opciones de comunicacin para el grupo no sean heredadas de un grupo principal. En la pgina Clientes, haga clic en la ficha Polticas. En el panel Configuracin y polticas independientes de la ubicacin, bajo Configuracin, seleccione Configuracin de comunicaciones. El cuadro de dilogo Configuracin de grupo aparece con la ficha Comunicacin seleccionada.
3 4
Desde el cuadro de dilogo Configuracin de comunicaciones, bajo Descarga, elija si desea descargar polticas del servidor de administracin (la descarga de polticas es la configuracin predeterminada). Haga clic para seleccionar Modo de transferencia o Modo de obtencin. Si selecciona Modo de obtencin, configure el intervalo de latidos. Ver "Descripcin del latido" en la pgina 381.
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales Especificar la frecuencia de transfencia de una poltica entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales.
381
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, expanda Global y seleccione el grupo para el cual desee especificar si se deben transferir u obtener polticas. Verifique que las opciones de comunicacin para el grupo no sean heredadas de un grupo principal. En la pgina Clientes, haga clic en la ficha Polticas. Bajo Configuracin y polticas especficas de la ubicacin, localice Configuracin especfica de la ubicacin. A la derecha de Configuracin de comunicaciones, haga clic en Tareas | Editar configuracin. Desde el cuadro de dilogo Configuracin de comunicaciones, bajo Descarga, elija si desea descargar polticas del servidor de administracin (la descarga de polticas es la configuracin predeterminada). Haga clic para seleccionar Modo de transferencia o Modo de obtencin. Si selecciona Modo de obtencin, configure el intervalo de latidos.
3 4 5 6
Especificar la frecuencia de transfencia de una poltica entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales.
Un latido es el intervalo en el cual los equipos cliente cargan datos y descargan polticas.
382
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales Especificar la frecuencia de transfencia de una poltica entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales.
despus de que se reinicia Symantec Endpoint Protection Manager. La primera vez que ocurre un latido se basa en la frecuencia de latidos que usted configura. Se calcula esta incidencia del primer latido de la siguiente manera:
frecuencia de latidos x .05 (el 5%)
Cuando usted configura una frecuencia de latidos en 30 minutos, el primer latido ocurre en 90 segundos. Este intervalo se calcula como cinco por ciento de la configuracin del latido. Si configura una frecuencia de latidos en 30 minutos o menos, se limita el nmero total de clientes que Symantec Endpoint Protection Manager puede admitir. Es posible que necesite una alta frecuencia de latidos en una implementacin grande (1000 puestos o ms) en cada Symantec Endpoint Protection Manager. En este caso, consulte a Symantec Professional Services y a Symantec Enterprise Support para evaluar la configuracin, el hardware y la arquitectura de red adecuados y necesarios para su entorno de red.
Para supervisar el rendimiento de cada Symantec Endpoint Protection Manager, haga clic en Supervisin | Resumen. Esta supervisin se asegura de que cada Symantec Endpoint Protection Manager pueda admitir el nmero de clientes que se comunican con l. Es posible adems utilizar una combinacin de herramientas de supervisin de hardware y Symantec Endpoint Protection Manager.
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales Especificar la frecuencia de transfencia de una poltica entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales.
383
Para actualizar el registro del cliente enviado de un cliente a Symantec Endpoint Protection Manager
Para configurar los registros que el cliente enva, haga clic en Clientes | Polticas | Configuracin. Se enva una solicitud de actualizar las polticas de seguridad para los grupos de equipos y de usuarios de un cliente a Symantec Endpoint Protection Manager. El cliente entonces busca una poltica de seguridad actualizada en Symantec Endpoint Protection Manager. Si una est disponible en Symantec Endpoint Protection Manager, el cliente solicita la poltica de seguridad actualizada de Symantec Endpoint Protection Manager. Si ninguna est disponible, el cliente no enva una solicitud de una poltica de seguridad actualizada. Los registros actualizados de los clientes se envan de un cliente a Symantec Endpoint Protection Manager. Un cliente comprueba con Symantec Endpoint Protection Manager para verificar que tiene la estructura de cliente correcta. Si no lo hace, el cliente inicia la funcin AutoUpdate. Una solicitud de actualizar las bibliotecas de las firmas de deteccin de intrusiones (IDS) se enva de Symantec Endpoint Protection Manager a un cliente. El cliente entonces busca firmas de IDS actualizadas. Si las firmas de IDS actualizadas estn disponibles, el cliente solicita las firmas de IDS actualizadas de Symantec Endpoint Protection Manager, que se descargan posteriormente. Si no hay ninguna firma de IDS disponible, el cliente no enva la solicitud de firmas actualizadas de IDS.
384
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales Especificar la frecuencia de transfencia de una poltica entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales.
Captulo
27
Acerca de las ubicaciones de un grupo Habilitar la asignacin automtica de polticas de un cliente Asignar una ubicacin predeterminada Agregar la ubicacin y las condiciones de conmutacin de un grupo con un asistente Agregar la ubicacin de un grupo sin un asistente Agregar condiciones de conmutacin de un grupo sin un asistente Editar el nombre y la descripcin de la ubicacin de un grupo Eliminar la ubicacin de un grupo
Oficina (trabajo en una oficina corporativa, la ubicacin predeterminada) Oficina remota (trabajo en un recurso corporativo remoto) VPN (VPN desde una ubicacin exterior)
386
Hogar (trabajo desde una ubicacin particular a travs de un proveedor de servicios de Internet)
Es posible personalizar la poltica y la configuracin de cada ubicacin segn las condiciones especficas que son apropiadas para esa ubicacin. Por ejemplo, las polticas para la ubicacin Oficina pueden no ser tan estrictas como las polticas para VPN u Hogar. Se utiliza la poltica asociada a la ubicacin de la oficina cuando el usuario est ya detrs de un firewall corporativo. Se agregan ubicaciones despus de que se han configurado todos los grupos que es necesario administrar. Cada grupo puede tener diversas ubicaciones, si su estrategia de seguridad lo necesita. Si agrega una ubicacin, sta se aplica al grupo para el cual usted la cre y a cualquier subgrupo que herede del grupo principal. Por lo tanto, las ubicaciones que se proponga aplicar a todos los usuarios finales se deben crear probablemente en el nivel del grupo Global. Las ubicaciones especficas de un grupo determinado se pueden crear en el nivel del subgrupo. Por ejemplo, en la mayora de las compaas, todos los usuarios finales necesitan generalmente una ubicacin de oficina que se agregue de forma predeterminada al grupo Global. Sin embargo, no todos los usuarios finales necesitan una conexin VPN. Los usuarios finales que necesitan una conexin VPN pueden ser ordenados en un grupo que se llame Teletrabajadores. La ubicacin VPN se agrega al grupo Teletrabajadores, as como a la ubicacin heredada de Oficina. Los miembros de ese grupo pueden entonces utilizar las polticas asociadas a las ubicaciones Oficina o VPN.
387
actualizacin, el cliente pasa a otra ubicacin que sea vlida o utiliza la ubicacin predeterminada.
Programacin de ubicaciones
Antes de comenzar a agregar ubicaciones, es necesario considerar los tipos de polticas de seguridad que se necesitan en su entorno. Adems necesita decidir los criterios que deben definir cada ubicacin. Las siguientes son algunas de las preguntas que es necesario considerar:
Desde qu ubicaciones se estn conectando los usuarios? Considere qu ubicaciones necesitan ser creadas y cmo etiquetar cada una. Por ejemplo, los usuarios pueden conectarse en la oficina, desde su domicilio, desde un sitio de cliente o desde otro sitio remoto tal como un hotel durante un viaje. Puede ser necesario agregar ubicaciones adicionales posteriormente en un sitio grande. Se debe configurar el Reconocimiento de ubicacin para cada ubicacin? Cmo quiere identificar la ubicacin si usa el Reconocimiento de ubicacin? Los criterios de reconocimiento de ubicacin se pueden basar en direcciones IP, direcciones de servidores WINS, DHCP o DNS, conexiones de red, mdulos de plataforma de confianza y otros. Si identifica la ubicacin por la conexin de red, qu tipo de conexin es? Por ejemplo, la conexin de red puede ser una conexin a Symantec Endpoint Protection Manager, a una red de acceso telefnico o a una marca determinada de servidor VPN. Es posible utilizar uno de los siguientes adaptadores de VPN:
Check Point VPN Cisco VPN Client versin 3 Cisco VPN Client versin 4
Si utiliza alguno de los adaptadores de VPN mencionados, no es posible aplicar ninguna condicin que se base en:
Quieren que los clientes que se conectan a esta ubicacin utilicen un tipo especfico de control, tal como control de servidor, control mixto o control del cliente?
388
Desea aplicar el control de integridad del host en cada ubicacin? O desea omitirla en algn momento, por ejemplo, cuando no est conectado a Symantec Endpoint Protection Manager? Qu aplicaciones y servicios se deben permitir en cada ubicacin? Es necesario que la ubicacin utilice las mismas opciones de comunicacin que las otras ubicaciones del grupo o utilice una configuracin diferente? Es posible configurar opciones de comunicacin nicas para una ubicacin.
Despus de considerar las respuestas a estas preguntas, es posible proceder a agregar ubicaciones.
Una de las diversas ubicaciones cumple los criterios de la ubicacin y la ltima ubicacin no cumple los criterios de la ubicacin. Se est usando Reconocimiento de ubicacin y ninguna ubicacin cumple los criterios. Se cambia el nombre de la ubicacin o se la modifica en la poltica, el cliente vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
Cuando Symantec Endpoint Protection Manager se instala inicialmente, slo se configura la ubicacin predeterminada, llamada Oficina. En ese momento, la ubicacin predeterminada de cada grupo es Oficina. Es posible modificar la ubicacin predeterminada ms tarde despus de agregar otras ubicaciones. Sin embargo, cada grupo debe tener una ubicacin predeterminada. Puede preferir designar una ubicacin como Hogar o Calle como ubicacin predeterminada.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, expanda Global.
389
Seleccione el grupo para el cual desee ejecutar la conmutacin automtica de ubicaciones. Es posible modificar solamente las opciones independientes de la ubicacin para los grupos que no hayan heredado esas polticas y opciones de un grupo principal.
4 5 6 7
En la pgina Clientes, haga clic en la ficha Polticas. En la ficha Polticas, bajo Otra configuracin de grupo en el rea Configuracin de grupo y Polticas, haga clic en Configuracin general. En el cuadro de dilogo Configuracin de grupo, haga clic en la ficha Configuracin general. En el cuadro de dilogo Configuracin de grupo, bajo Configuracin de ubicacin avanzada, marque Habilitar reconocimiento de ubicacin. De forma predeterminada, se habilita Reconocimiento de ubicacin. El cliente se asigna automticamente a la poltica asociada a la ubicacin desde la cual el usuario intenta conectarse a la red.
En el cuadro de dilogo Configuracin de grupo, bajo Configuracin de ubicacin avanzada, marque Recordar la ltima ubicacin seleccionada. De forma predeterminada, esta opcin est habilitada. El cliente se asigna inicialmente a la poltica asociada a la ubicacin desde la cual el usuario se conect por ltima vez a la red.
Si la opcin Recordar la ltima ubicacin seleccionada est marcada cuando un cliente se conecta a la red, se asigna inicialmente una poltica al cliente. Esta poltica est asociada a la ubicacin ltima usada. Si se habilita Reconocimiento de ubicacin, el cliente cambia automticamente a la poltica apropiada despus de algunos segundos. La poltica asociada a una ubicacin especfica determina la conexin de red de un cliente. Si se inhabilita Reconocimiento de ubicacin, el usuario puede alternar manualmente entre las ubicaciones, incluso si estn en modo de control del servidor. Si se habilita una ubicacin de cuarentena, el cliente puede alternar a la poltica de cuarentena despus de algunos segundos. Si la opcin Recordar la ltima ubicacin seleccionada no est seleccionada cuando un usuario se conecta a la red, al cliente se le asigna inicialmente la poltica asociada con la ubicacin predeterminada. El usuario no puede conectarse a la ltima ubicacin usada. Si se habilita Reconocimiento de ubicacin, el cliente cambia automticamente a la poltica apropiada despus de algunos segundos. La poltica asociada a una ubicacin especfica determina la conexin de red de un cliente. Si se inhabilita Reconocimiento de ubicacin, el usuario puede alternar manualmente entre las ubicaciones, incluso si estn en modo de control del servidor. Si
390
se habilita una ubicacin de cuarentena, el cliente puede alternar a la poltica de cuarentena despus de algunos segundos.
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, haga clic en el grupo al cual desee asignar una ubicacin predeterminada diferente. En la pgina Clientes, haga clic en la ficha Polticas. En la pgina Clientes, bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Reconocimiento de ubicacin, bajo Ubicaciones, seleccione la ubicacin que desea establecer como ubicacin predeterminada. En el cuadro de dilogo Reconocimiento de ubicacin, al lado de Ubicaciones, marque Establecer esta ubicacin como ubicacin predeterminada en caso de conflicto. La ubicacin Oficina es siempre la ubicacin predeterminada hasta que se asigne otra a un grupo.
Administrar las ubicaciones de un grupo Agregar la ubicacin y las condiciones de conmutacin de un grupo con un asistente
391
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, haga clic en el grupo para el cual desee agregar una o ms ubicaciones, tales como Oficina, Hogar u Hotel. En la pgina Clientes, haga clic en la ficha Polticas. Es posible agregar solamente ubicaciones a los grupos que no heredan polticas del grupo principal.
4 5 6 7 8 9
Si es necesario, deje sin marcar Heredar polticas y configuracin del grupo principal Mi empresa. En la pgina Clientes, bajo Tareas, haga clic en Agregar ubicacin. En el panel Bienvenido al Asistente para agregar ubicaciones, haga clic en Siguiente. En el panel Especificar el nombre de la ubicacin, escriba el nombre para la nueva ubicacin en el cuadro Nombre. En el panel Especificar el nombre de la ubicacin, escriba una descripcin en el cuadro Descripcin para la ubicacin que desee agregar. En el panel Especificar el nombre de la ubicacin, haga clic en Siguiente. condiciones bajo las cuales un cliente conmutar de una ubicacin a otra:
No hay ninguna condicin especfica Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si hay varias ubicaciones disponibles. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si su direccin IP est incluida en el intervalo especificado. Es necesario especificar la direccin IP inicial y final. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se especifican su mscara de subred y su direccin de subred. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al servidor DNS especificado. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al nombre de dominio especificado y direccin de resolucin DNS.
Intervalo de IP
Direccin de subred
Servidor DNS
392
El cliente puede conectarse con Seleccione esta opcin de modo que el cliente pueda el servidor de administracin elegir esta ubicacin si se conecta a la instancia de Symantec Endpoint Protection Manager especificada. Tipo de conexin de red Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al tipo especificado de conexin de red. El cliente pasa a esta ubicacin al usar una de las siguientes conexiones:
Cualquier red Acceso telefnico a redes Ethernet Inalmbrico VPN-1 de Check Point VPN de Cisco VPN PPTP de Microsoft VPN de Juniper NetScreen VPN de Nortel Contivity VPN de SafeNet SoftRemote VPN SSL de Aventail VPN SSL de Juniper
11 Haga clic en Siguiente. 12 En el panel Finaliz el Asistente para agregar ubicaciones, haga clic en
Finalizar.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, haga clic en el grupo para el cual desee agregar una o ms ubicaciones, tales como Oficina, Hogar u Hotel.
Administrar las ubicaciones de un grupo Agregar condiciones de conmutacin de un grupo sin un asistente
393
En la pgina Clientes, haga clic en la ficha Polticas. Es posible agregar solamente ubicaciones a los grupos que no heredan polticas de un grupo ms alto.
4 5 6 7 8 9
Si es necesario, deje sin marcar Heredar polticas y configuracin del grupo principal Mi empresa. En la pgina Cliente, bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Poltica basada en reconocimiento de ubicacin, bajo Ubicaciones, haga clic en Agregar. En el cuadro de dilogo Nuevas ubicaciones, escriba el nombre de la nueva ubicacin en el cuadro de texto Nombre. En el cuadro de dilogo Nuevas ubicaciones, escriba cualquier informacin que lo ayude a identificar esta ubicacin en el cuadro de texto Descripcin. Haga clic en Aceptar.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, haga clic en los grupos a los cuales desee agregar una norma de conmutacin. En la pgina Clientes, haga clic en la ficha Polticas. Es posible agregar solamente condiciones de conmutacin a la poltica de un grupo si este grupo no hereda polticas de un grupo ms alto.
Si es necesario, deje sin marcar Heredar polticas y configuracin del grupo principal a menos que ya est desactivada. No es posible alternar una norma a menos que la poltica para el subgrupo ya no sea heredada de un grupo ms alto.
5 6 7
En la pgina Clientes, bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrar ubicaciones, al lado de Pasar a esta ubicacin cuando, haga clic en Agregar. En el cuadro de dilogo Especificar criterios de ubicacin, seleccione las condiciones de conmutacin de la lista Tipo para el grupo que ha seleccionado. Si agrega una segunda condicin, es necesario terminar el paso siguiente.
394
Administrar las ubicaciones de un grupo Agregar condiciones de conmutacin de un grupo sin un asistente
8 9
En el cuadro de dilogo Definir criterios de ubicacin, seleccione Criterios con relacin Y o Criterios con relacin O. Seleccione el Tipo de conmutacin y haga clic en Agregar para definir ms los criterios. Los siguientes son los tipos actuales de conmutacin:
Direccin IP del equipo Es posible escribir una direccin IP, un intervalo de direcciones o una direccin de subred. Es posible escribir una direccin IP, un intervalo de direcciones, una direccin MAC o una direccin de subred. Es posible escribir una direccin IP, un intervalo de direcciones o una direccin de subred. Es posible escribir una direccin IP, un intervalo de direcciones o una direccin de subred. Es posible escribir una direccin IP, un intervalo de direcciones o una direccin de subred. Seleccione un tipo especfico de conexin de red. El cliente pasar a esta ubicacin al usar este tipo de conexin. Los tipos incluyen los siguientes:
Conexin de red:
Cualquier red Acceso telefnico a redes Ethernet Inalmbrico VPN-1 de Check Point VPN de Cisco VPN PPTP de Microsoft VPN de Juniper NetScreen VPN de Nortel Contivity VPN de SafeNet SoftRemote VPN SSL de Aventail VPN SSL de Juniper
Conexin del servidor de administracin Seleccionar si se alternar a esta ubicacin si est conectado o no conectado a Symantec Endpoint Protection Manager.
395
Es posible seleccionar un token TPM, un token IBM o un token HP. Es posible escribir el nombre de host y la direccin resuelta DNS. Es posible escribir una clave de registro o un nombre de clave de registro y especificar sus criterios como Existe o No existe. Es posible adems escribir un valor del registro con el siguiente tipo de cadena:
Bsqueda DNS
Clave de registro
Es posible adems especificar sus criterios como una de las siguientes opciones:
Igual a No es igual a
SSID inalmbrico
Es posible escribir el SSID (identificador de grupo de servicios). El token identifica una red 802.11 (Wi-Fi). El administrador configura el SSID, una clave secreta. Es posible adems proporcionar una descripcin de la tarjeta de interfaz de red (NIC) que usted planea utilizar. Es posible adems escribir el nombre del dominio.
Descripcin de NIC
Nombre de dominio
396
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, haga clic en el grupo cuyo nombre y descripcin se desea editar. En la pgina Clientes, haga clic en la ficha Polticas. En la pgina Clientes, bajo Ver, haga clic en Administrar ubicaciones. Edite el nombre de la ubicacin en el campo Nombre de ubicacin. Edite la descripcin de la ubicacin en el campo Descripcin. Haga clic en Aceptar.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, haga clic en cualquiera de los grupos para los cuales desee eliminar una ubicacin y sus condiciones asociadas. En la pgina Clientes, haga clic en la ficha Polticas. Es posible eliminar solamente ubicaciones de los grupos que no heredan polticas de sus grupos principales. Adems, tampoco es posible eliminar la ubicacin predeterminada Oficina de los grupos. Por lo tanto, la opcin de utilizar la misma poltica que el grupo principal debe estar sin marcar.
4 5 6 7
En la pgina Cliente, bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Poltica basada en reconocimiento de ubicacin, bajo Ubicaciones, seleccione la ubicacin que desee eliminar. En el cuadro de dilogo Poltica basada en reconocimiento de ubicacin, bajo Ubicaciones, haga clic en Eliminar. Haga clic en S cuando se le solicite que verifique que desea eliminar la ubicacin del grupo asociada a un conjunto de condiciones especfico.
Captulo
28
Acerca de la utilizacin de polticas Agregar una poltica Editar una poltica Asignar una poltica compartida en la pgina Polticas Eliminar una poltica Exportar una poltica Importar una poltica Retirar una poltica Reemplazar una poltica Copiar una poltica Pegar una poltica Convertir una poltica compartida en una poltica no compartida
398
Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate Excepciones centralizadas
Estas polticas pueden ser polticas compartidas o polticas no compartidas. Todas las tareas generales que es posible realizar en cualquier poltica se documentan en esta seccin. Cada tarea, en caso de ser pertinente, tiene referencias apropiadas a las tareas que describen los componentes especficos de cada tipo de poltica. Si agrega o edita polticas compartidas en la pgina Polticas, debe adems asignarlas. Si no, las polticas no se aplicarn.
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate Excepciones centralizadas
Estas polticas pueden agregarse como polticas compartidas o no compartidas. Tpicamente se agrega cualquier poltica que los grupos y las ubicaciones compartan en la pgina Polticas en la ficha Polticas. Sin embargo, se agrega cualquier poltica que no sea compartida entre grupos y se aplique solamente a una ubicacin especfica en la pgina Clientes. Si decide agregar una poltica en la pgina Clientes, es posible agregar una nueva poltica mediante los siguientes mtodos:
Basar una nueva poltica en una poltica existente. Crear una nueva poltica. Importar una poltica desde una poltica previamente exportada.
399
Ver "Agregar una poltica compartida en la pgina Polticas" en la pgina 399. Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente" en la pgina 400.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en la poltica que desea. Es posible seleccionar cualquiera de los siguientes tipos de polticas:
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate Excepciones centralizadas
3 4 5 6
En la pgina Polticas, bajo Tareas, haga clic en Agregar poltica. En el panel Descripcin general, escriba el nombre de la poltica en el cuadro Nombre de poltica. En el panel Descripcin general, escriba la descripcin de la poltica en el cuadro Descripcin. Si no lo ha hecho antes, marque Habilitar esta poltica.
400
Vista de lista
Firewall
Prevencin de intrusiones
LiveUpdate
Excepciones centralizadas
401
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, seleccione el grupo para el cual desee agregar una poltica. Es posible seleccionar cualquier grupo con excepcin del grupo asociado al grupo Global.
3 4
En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas. Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo del cual se heredan las polticas y la configuracin). Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible agregar una poltica.
En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin para la cual desea agregar una poltica. Es posible agregar solamente polticas especficas de la ubicacin si no existe ninguna. Agregar una poltica aparece solamente si no existe ninguna poltica para un tipo especfico de poltica.
Haga clic en Agregar una poltica, si est disponible. Si existe una poltica compartida o especfica de la ubicacin, no aparece ms en el asistente para agregar polticas predeterminadas.
En el asistente para agregar polticas predeterminadas, seleccione el tipo de poltica que desee agregar.
402
8 9
1 2
En el asistente para agregar polticas predeterminadas, haga clic en Siguiente. En el panel Descripcin general, escriba el nombre de la poltica en el cuadro Nombre de poltica.
403
3 4
En el panel Descripcin general, escriba la descripcin de la poltica en el cuadro Descripcin. Si desea crear una nueva poltica no compartida, realice las tareas seleccionando una de las siguientes polticas:
Antivirus y proteccin contra software espa Ver "Acerca de trabajar con polticas antivirus y contra software espa" en la pgina 454. Ver "Acerca de trabajar con polticas de firewall" en la pgina 526. Ver "Acerca del uso de Polticas de prevencin de intrusiones" en la pgina 550. Ver "Acerca de trabajar con polticas de control de aplicaciones y dispositivos" en la pgina 603. Ver "Acerca de las polticas de integridad del host" en la pgina 659. Ver "Acerca de LiveUpdate y las actualizaciones de definiciones y contenido" en la pgina 123. Ver "Acerca de la utilizacin de polticas de excepciones centralizadas" en la pgina 644.
Firewall
Prevencin de intrusiones
LiveUpdate
Excepciones centralizadas
Crear una nueva poltica no compartida de una poltica existente en la pgina Clientes
Es necesario haber completado ya los pasos en Agregar poltica para el asistente predeterminado y seleccionar Usar una poltica compartida existente. Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente" en la pgina 400.
404
Para crear una nueva poltica no compartida de una poltica existente en la pgina Clientes
1 2 3
En el asistente para agregar polticas predeterminadas, haga clic en Siguiente. En el cuadro de dilogo Navegador de polticas, seleccione la nueva poltica de la lista Nueva poltica. Haga clic en Aceptar. La nueva poltica se ha agregado a la ubicacin y al grupo seleccionados previamente.
Crear una nueva poltica no compartida de un archivo de polticas previamente exportado en la pgina Clientes
Debe haber completado los pasos en Agregar poltica para el asistente predeterminado e Importar una poltica de un archivo de polticas debe estar seleccionado. Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente" en la pgina 400. Para crear una nueva poltica no compartida de un archivo de polticas previamente exportado en la pgina Clientes
1 2
En el asistente para agregar polticas predeterminadas, haga clic en Siguiente. En el cuadro de dilogo Importar poltica, busque el archivo .dat que fue exportado previamente. Tambin puede escribir el nombre del archivo en el cuadro Nombre de archivo.
Haga clic en Importar. La nueva poltica se ha agregado a la ubicacin y al grupo seleccionados previamente.
405
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en la poltica que desea. Es posible seleccionar cualquiera de los siguientes tipos de polticas:
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate Excepciones centralizadas
3 4
En la pgina Polticas, bajo Tareas, haga clic en Editar la poltica. En el panel Descripcin general, escriba el nombre de la poltica en el cuadro Nombre de poltica.
406
5 6
En el panel Descripcin general, edite la descripcin de la poltica en el cuadro Descripcin. Si desea editar una poltica compartida en la pgina Polticas, realice las tareas seleccionando una de las siguientes polticas:
Antivirus y proteccin contra software espa Ver "Acerca de trabajar con polticas antivirus y contra software espa" en la pgina 454. Ver "Acerca de trabajar con polticas de firewall" en la pgina 526. Ver "Acerca del uso de Polticas de prevencin de intrusiones" en la pgina 550. Ver "Acerca de trabajar con polticas de control de aplicaciones y dispositivos" en la pgina 603. Ver "Acerca de las polticas de integridad del host" en la pgina 659. Ver "Acerca de LiveUpdate y las actualizaciones de definiciones y contenido" en la pgina 123. Ver "Acerca de la utilizacin de polticas de excepciones centralizadas" en la pgina 644.
Firewall
Prevencin de intrusiones
LiveUpdate
Excepciones centralizadas
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee editar una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas.
407
Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo del cual se heredan las polticas y la configuracin). Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible editar una poltica.
5 6 7
En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desea editar. Localice la poltica especfica para la ubicacin que desee editar. Haga clic en Tareas y seleccione Editar poltica si planea editar una tarea compartida en la pgina Clientes.
Para las polticas no compartidas en la Ver Paso 9 en la pgina 408. pgina Clientes Para las polticas compartidas en la pgina Clientes Ver Paso 8 en la pgina 408.
408
8 9
Haga clic en Crear local o Editar compartidas. En la tabla siguiente haga clic en el vnculo para el tipo de poltica que desee editar:
Antivirus y proteccin contra software espa Ver "Acerca de trabajar con polticas antivirus y contra software espa" en la pgina 454. Ver "Acerca de trabajar con polticas de firewall" en la pgina 526. Ver "Acerca del uso de Polticas de prevencin de intrusiones" en la pgina 550. Ver "Acerca de trabajar con polticas de control de aplicaciones y dispositivos" en la pgina 603. Ver "Acerca de las polticas de integridad del host" en la pgina 659. Ver "Acerca de LiveUpdate y las actualizaciones de definiciones y contenido" en la pgina 123. Ver "Acerca de la utilizacin de polticas de excepciones centralizadas" en la pgina 644.
Firewall
Prevencin de intrusiones
LiveUpdate
Excepciones centralizadas
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en la poltica que desea aplicar a uno o ms grupos y a una o ms ubicaciones. Es posible seleccionar cualquiera de los siguientes tipos de polticas:
409
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate Excepciones centralizadas
3 4 5 6 7 8
En el panel Polticas, haga clic en la poltica que desea aplicar si aparece ms de una poltica. En la pgina Polticas, bajo Tareas, haga clic en Asignar la poltica. En el cuadro de dilogo Asignar el tipo de poltica, marque los grupos y las ubicaciones en los que desea aplicar la poltica. Haga clic en Asignar. Haga clic en S para confirmar que desea aplicar los cambios de polticas. En el cuadro de dilogo Cambios de polticas asignadas, haga clic en Aceptar.
410
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea eliminar. La poltica se pudo haber aplicado a uno o ms grupos y a una o ms ubicaciones. Puede seleccionar una poltica de antivirus y una proteccin contra software espa, Firewall, Prevencin de intrusiones, Control de aplicaciones y dispositivos, Integridad del host, LiveUpdate o de excepciones centralizada.
3 4
En el panel Polticas, haga clic en la poltica especfica que desea eliminar. En la pgina Polticas, bajo Tareas, haga clic en Eliminar la poltica. El sistema le solicitar que confirme si desea eliminar la poltica seleccionada.
Est seguro de que desea eliminar la poltica con el nombre nombre de la poltica?
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el que desea eliminar una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en la ficha Polticas. Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo del cual se heredan las polticas y la configuracin). Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible eliminar una poltica.
411
En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desea eliminar. Localice la poltica especfica para la ubicacin que desea eliminar. Haga clic en Tareas para seleccionar Quitar poltica. El sistema le solicitar que confirme la eliminacin de la poltica.
6 7
Haga clic en S.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea exportar. Es posible seleccionar cualquiera de los siguientes tipos de polticas:
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate Excepciones centralizadas
412
En la pgina Polticas, bajo Tareas, haga clic en Exportar la poltica. En el cuadro de dilogo Exportar poltica, localice la poltica especfica que desea exportar buscando en sus carpetas a menos que ya haya seleccionado la poltica. El formato del archivo de exportacin es .dat.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el que desea exportar una poltica. En el panel asociado al grupo que seleccion en el paso anterior, haga clic en la ficha Polticas. Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo del cual se heredan las polticas y la configuracin). Es necesario desmarcar la herencia para este grupo. Si no deshabilita la herencia, no es posible exportar una poltica.
En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desea exportar. Localice la poltica especfica para la ubicacin que desea exportar. Haga clic en Tareas para seleccionar Exportar poltica. En el cuadro de dilogo Exportar poltica, busque la carpeta a la que desea exportar la poltica. En el cuadro de dilogo Exportar poltica, haga clic en Exportar. El archivo se guarda como un archivo .dat en la carpeta indicada.
6 7 8 9
413
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desee importar. Es posible seleccionar cualquiera de los siguientes tipos de polticas:
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate Excepciones centralizadas
En la pgina Polticas, bajo Tareas, haga clic en Importar un nombre de poltica. En el cuadro de dilogo Importar poltica, busque la poltica que desee importar. El formato del archivo de importacin es .dat.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee importar una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas.
414
Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo del cual se heredan las polticas y la configuracin). Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible exportar una poltica.
En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin para la cual desee importar una poltica. En la ficha Poltica, haga clic en Agregar una poltica. En el asistente Agregar poltica nombre, seleccione el tipo de poltica que desee importar. Es posible importar solamente una poltica si no se ha creado ya para el grupo que usted seleccion previamente. Si ya se ha creado una poltica, no es posible importar una poltica para el grupo que usted seleccion.
6 7
8 9
En el asistente Agregar poltica nombre, haga clic en Siguiente. En el asistente Agregar poltica nombre, haga clic en Importar una poltica de un archivo de polticas.
10 En el asistente Importar poltica nombre, haga clic en Siguiente. 11 En el cuadro de dilogo Importar poltica, busque la poltica que desee
importar.
415
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea retirar. Puede seleccionar una poltica de Firewall, Prevencin de intrusiones, Control de aplicaciones y dispositivos, Integridad del host o de excepciones centralizada.
3 4 5 6 7
En el panel Polticas, haga clic en la poltica especfica que desea retirar. En la pgina Polticas, bajo Tareas, haga clic en Retirar la poltica. En el cuadro de dilogo Retirar poltica, deje sin marcar los grupos y las ubicaciones de los cuales desee retirar la poltica. Haga clic en Retirar. Cuando el sistema le solicite que confirme que desea retirar la poltica para los grupos y las ubicaciones, haga clic en S. Aparece el nmero de grupos y de ubicaciones de los que retir la poltica.
Si retira una poltica, sta se retira automticamente de los grupos y las ubicaciones que usted seal. Sin embargo, la poltica permanece en la base de datos. Para retirar una poltica compartida o no compartida en la pgina Clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee retirar una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas.
416
Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo principal del cual se heredan las polticas y la configuracin). Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible retirar una poltica.
En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin de la cual desea retirar una poltica. Localice la poltica especfica para la ubicacin que desee retirar. Haga clic en Tareas para seleccionar Retirar la poltica. En el cuadro de dilogo Retirar poltica, deje sin marcar los grupos y las ubicaciones de los cuales desee retirar la poltica. En el cuadro de dilogo Retirar poltica, haga clic en Retirar.
6 7 8 9
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea reemplazar. Puede seleccionar cualquiera de las siguientes polticas:
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate
417
Excepciones centralizadas
3 4
En el panel Polticas, haga clic en la poltica que desea que se convierta en la nueva poltica. En la pgina Polticas, bajo Tareas, haga clic en Reemplazar la poltica. En el cuadro de dilogo Reemplazar poltica, seleccione la poltica que desea reemplazar de la lista Poltica anterior.
5 6 7 8
En el cuadro de dilogo Reemplazar poltica, marque los grupos y las ubicaciones para los que desea reemplazar la poltica existente. Haga clic en Reemplazar. Cuando el sistema le solicite que confirme el reemplazo de la poltica para los grupos y las ubicaciones, haga clic en S. Haga clic en Aceptar.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee reemplazar una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas. Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo principal del cual se heredan las polticas y la configuracin). Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible reemplazar una poltica.
En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin desde la cual desea reemplazar una poltica. Localice la poltica especfica para la ubicacin que desee reemplazar. Haga clic en Tareas para seleccionar Reemplazar poltica.
6 7
418
8 9
En el cuadro de dilogo Reemplazar poltica, seleccione la poltica de reemplazo desde la lista Nueva poltica. En el cuadro de dilogo Reemplazar poltica, haga clic en Aceptar.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desee copiar. Puede seleccionar cualquiera de las siguientes polticas:
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Control de aplicaciones y dispositivos Integridad del host LiveUpdate Excepciones centralizadas
3 4 5
En el panel Polticas, haga clic en la poltica especfica que desee copiar. En la pgina Polticas, bajo Tareas, haga clic en Copiar la poltica. En el cuadro Copiar poltica, haga clic en No volver a mostrar este mensaje. Marque esta opcin solamente si no desea seguir siendo notificado sobre este proceso. El mensaje indica que la poltica se ha copiado al portapapeles y que est lista para ser pegada.
419
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo desde el cual desee copiar una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas. Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo principal del cual se heredan las polticas y la configuracin). Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible copiar una poltica.
En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin desde la cual desea copiar una poltica. Localice la poltica especfica para la ubicacin que desee copiar. Haga clic en Tareas para seleccionar Copiar. En el cuadro de dilogo Copiar poltica, marque No volver a mostrar este mensaje si desea que no aparezca ms este mensaje. En el cuadro de dilogo Copiar poltica, haga clic en Aceptar.
6 7 8 9
420
Trabajar con polticas Convertir una poltica compartida en una poltica no compartida
1 2
En la pgina Polticas, haga clic en Polticas. En la pgina Polticas, bajo Tareas, haga clic en Pegar una poltica.
1 2 3
En la consola de Symantec Endpoint Protection Manager, en la ficha Polticas, haga clic en Tareas para seleccionar Pegar. Cuando se le pregunte si desea sobrescribir la poltica existente, haga clic en S. Haga clic en Aceptar.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, seleccione el grupo para el cual desee convertir una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas. Deje sin marcar Heredar polticas y configuracin del grupo principal (nombre del grupo del cual se heredan las polticas y la configuracin) para deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible exportar ninguna poltica. En el panel derecho, bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee convertir.
Trabajar con polticas Convertir una poltica compartida en una poltica no compartida
421
6 7 8 9
Localice la poltica especfica para la ubicacin que desee convertir. Haga clic en Tareas para seleccionar Convertir en poltica no compartida. En el cuadro de dilogo Descripcin general, edite el nombre de la poltica en el cuadro Nombre de poltica. En el cuadro de dilogo Descripcin general, edite la descripcin de la poltica en el cuadro Descripcin.
422
Trabajar con polticas Convertir una poltica compartida en una poltica no compartida
Captulo
29
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales
En este captulo se incluyen los temas siguientes:
Acerca de los servidores de administracin, la conmutacin por error y el balanceo de carga Lista predeterminada de servidores de administracin Especificar la lista de servidores de administracin de un grupo Visualizar los grupos y las ubicaciones con listas de servidores de administracin asignadas Agregar una lista de servidores de administracin Asignar una lista de servidores de administracin a un grupo y a una ubicacin Editar el nombre de servidor y la descripcin de una lista de servidores de administracin Editar la direccin IP o el nombre de host de un servidor de administracin en una lista de servidores de administracin
424
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Acerca de los servidores de administracin, la conmutacin por error y el balanceo de carga
Editar protocolos y nmeros de puerto de un servidor de administracin en una lista de servidores de administracin Reasignar direcciones IP, nombres de host y prioridades en una lista de servidores de administracin Reemplazo de una lista de servidores de administracin Copiar y pegar una lista de servidores de administracin Exportar una lista de servidores de administracin Importar una lista de servidores de administracin Eliminar una lista de servidores de administracin Eliminar direcciones IP, nombres de host y prioridades de una lista de servidores de administracin
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Especificar la lista de servidores de administracin de un grupo
425
direcciones IP de todas las tarjetas de interfaz de red conectadas (NIC) en todas las instancias de Symantec Endpoint Protection Manager en el sitio. Sera aconsejable incluir solamente las NIC externas en la lista. Aunque usted no pueda editar la lista predeterminada de servidores de administracin, es posible crear una lista personalizada de servidores de administracin. Una lista personalizada de servidores de administracin incluye las instancias exactas de Symantec Endpoint Protection Manager Policy Manager y las NIC correctas a las cuales es necesario que los clientes se conecten. En una lista personalizada, es posible adems utilizar el protocolo HTTPS, verificar el certificado de servidor y personalizar los nmeros de puerto HTTP o HTTPS.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee especificar una lista de servidores de administracin. Si an est marcada, deje sin marcar Heredar polticas y configuracin del grupo principal. No es posible configurar ninguna opcin de comunicacin para un grupo a menos que el grupo ya no herede polticas y configuracin de un grupo principal.
En el panel derecho de la ficha Polticas, bajo Configuracin y polticas independientes de la ubicacin, en el rea Configuracin, haga clic en Configuracin de comunicaciones.
426
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Visualizar los grupos y las ubicaciones con listas de servidores de administracin asignadas
En Configuracin de comunicaciones para nombre del grupo, bajo Lista de servidores de administracin, seleccione la lista de servidores de administracin. El grupo seleccionado previamente utiliza esta lista de servidores de administracin al comunicarse con el servidor de administracin.
Visualizar los grupos y las ubicaciones con listas de servidores de administracin asignadas
Se pueden visualizar los grupos y las ubicaciones a los cuales se ha asignado una lista de servidores de administracin. Para visualizar los grupos y las ubicaciones con listas de servidores de administracin asignadas
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Mostrar los grupos y las ubicaciones asignadas. En el panel derecho, seleccione la lista de servidores de administracin cuyos grupos y ubicaciones desea visualizar. Haga clic en Aceptar.
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Agregar una lista de servidores de administracin
427
para cada sitio. Todas las instancias de Symantec Endpoint Protection Manager disponibles en ese sitio se agregan a la lista predeterminada de servidores de administracin con la misma prioridad. Si agrega varias instancias de Symantec Endpoint Protection Manager con la misma prioridad, los clientes y los mdulos de Enforcer opcionales pueden conectarse a cualquier instancia de Symantec Endpoint Protection Manager. Los clientes balancean automticamente la carga entre las instancias de Symantec Endpoint Protection Manager disponibles en esa prioridad. Es posible utilizar el protocolo HTTPS en lugar de la configuracin predeterminada de HTTP para la comunicacin. Si desea proteger an ms la comunicacin, es posible personalizar los nmeros de puerto HTTP y HTTPS creando una lista de servidores de administracin personalizada. Sin embargo, es necesario personalizar los puertos antes de instalar los clientes. Si no, se pierde la comunicacin entre el cliente y el servidor de administracin. Si actualiza la versin de Symantec Endpoint Protection Manager, es necesario volver a personalizar los puertos de modo que los clientes puedan reanudar la comunicacin. Despus de que agregue una nueva lista de servidores de administracin, debe asignarla a un grupo o una ubicacin especfica, o a ambas. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 429. Para agregar una lista de servidores de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Agregar una lista de servidores de administracin. En el cuadro de dilogo Listas de servidores de administracin, escriba el nombre de la lista de servidores de administracin que desee agregar en el cuadro Nombre. En el cuadro de dilogo Listas de servidores de administracin, escriba la descripcin opcional de la lista de servidores de administracin que desee agregar en el cuadro Descripcin. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Agregar. En el cuadro de dilogo Agregar servidor, escriba la direccin IP o el nombre de host del servidor de administracin en el cuadro Direccin del servidor.
6 7
428
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Agregar una lista de servidores de administracin
En el cuadro de dilogo Agregar servidor, seleccione el tipo de protocolo que desee utilizar para la comunicacin entre los clientes, los mdulos de Enforcer opcionales y Symantec Endpoint Protection Manager:
Utilizar protocolo HTTP La configuracin predeterminada es Utilizar protocolo HTTP. Utilizar protocolo HTTPS Utilice esta opcin si desea que Symantec Endpoint Protection Manager se comunique usando HTTPS y si el servidor est ejecutando Secure Sockets Layer (SSL).
Si necesita la verificacin de un certificado con autoridades de certificacin de otros fabricantes de confianza, marque Verificar certificado al utilizar protocolo HTTPS. Agregar y seleccione Nueva prioridad. Se crea una nueva prioridad.
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Asignar una lista de servidores de administracin a un grupo y a una ubicacin
429
18 Repita los pasos 13 a 17 tantas veces como sea necesario para cada prioridad
que seleccione.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Asignar la lista. En Aplicar lista de servidores de administracin, marque los grupos y las ubicaciones a los cuales desee aplicar la lista de servidores de administracin.
430
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Editar el nombre de servidor y la descripcin de una lista de servidores de administracin
5 6
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Editar una lista de servidores de administracin. En el cuadro de dilogo Listas de servidores de administracin, edite el nombre de la lista de servidores de administracin en el cuadro Nombre. En el cuadro de dilogo Listas de servidores de administracin, edite la descripcin opcional de la lista de servidores de administracin en el cuadro Descripcin. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Aceptar.
Editar la direccin IP o el nombre de host de un servidor de administracin en una lista de servidores de administracin
Si la direccin IP o el nombre de host de un servidor de administracin se modifica, es necesario reflejar este cambio. Despus de editar la direccin IP o el nombre de host, es necesario asignar la lista a un grupo o una ubicacin, o a ambos. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 429.
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Editar protocolos y nmeros de puerto de un servidor de administracin en una lista de servidores de administracin
431
Para editar la direccin IP o el nombre de host de un servidor de administracin en una lista de servidores de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Editar la lista. En el cuadro de dilogo Listas de servidores de administracin, bajo Servidores de administracin, seleccione la direccin IP o el nombre de host del servidor de administracin que desee modificar. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Editar la lista. En el cuadro de dilogo Agregar servidor de administracin, escriba la nueva direccin IP o el nombre de host del servidor de administracin en el cuadro Direccin del servidor. En el cuadro de dilogo Agregar servidor de administracin, haga clic en Aceptar. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Aceptar.
5 6
7 8
Editar protocolos y nmeros de puerto de un servidor de administracin en una lista de servidores de administracin
Si ha modificado el protocolo de comunicacin entre los servidores de administracin y los clientes o los mdulos de Enforcer, es necesario reflejar este cambio. Despus de que se editen los protocolos y los nmeros de puerto, es necesario asignar la lista de servidores de administracin a un grupo o una ubicacin, o a ambos. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 429.
432
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Reasignar direcciones IP, nombres de host y prioridades en una lista de servidores de administracin
Para editar el protocolo y los nmeros de puerto de un servidor de administracin en una lista de servidores de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Editar la lista. En el cuadro de dilogo Listas de servidores de administracin, bajo Servidores de administracin, seleccione la direccin IP o el nombre de host del servidor de administracin que desee modificar. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Editar. Si desea modificar el protocolo, haga clic en Personalizar puerto HTTP o Personalizar puerto HTTPS. Si personaliza el nmero de puerto HTTP o HTTPS despus de la implementacin de clientes, los clientes pierden la comunicacin con Symantec Endpoint Protection Manager.
5 6
Edite el nmero de puerto HTTP que desee utilizar en el cuadro Nmero de puerto HTTP. El nmero de puerto predeterminado para el protocolo HTTP es 80.
Edite el nmero de puerto HTTPS que desee utilizar. El nmero de puerto predeterminado para el protocolo HTTPS es 443.
Reasignar direcciones IP, nombres de host y prioridades en una lista de servidores de administracin
Si las circunstancias de una red se modifican, puede ser necesario reasignar direcciones IP o nombres de host, as como las prioridades en una lista de servidores de administracin. Por ejemplo, uno de los servidores en los cuales usted instal Symantec Endpoint Protection Manager ha tenido un incidente del disco. Este servidor de administracin haba funcionado como servidor de balanceo
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Reemplazo de una lista de servidores de administracin
433
de carga y haba recibido la Prioridad 1. Sin embargo, hay otro servidor de administracin con la Prioridad 2 asignada. Si desea resolver este problema, es posible reasignar la prioridad de este servidor de administracin. Es posible cambiar la prioridad de un servidor de administracin a partir de 2 a 1 para sustituir el servidor de administracin defectuoso. Para reasignar direcciones IP, nombres de host y prioridades en una lista de servidores de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Editar la lista. En el cuadro de dilogo Listas de servidores de administracin, bajo Servidores de administracin, seleccione la direccin IP, el nombre de host o la prioridad del servidor de administracin que desee modificar. Haga clic en Subir o Bajar. Es posible reasignar una direccin IP o un nombre de host a una prioridad diferente. Si decide modificar una prioridad, se modifican automticamente todas las direcciones IP y los nombres de host asociados de la prioridad.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Reemplazar la lista. En el panel derecho, seleccione la lista de servidores de administracin que desea reemplazar.
434
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Copiar y pegar una lista de servidores de administracin
En el cuadro de dilogo Reemplazar lista de servidores de administracin, seleccione la lista de servidores de administracin de reemplazo desde la lista Nuevo servidor de administracin. Marque los grupos o las ubicaciones a los cuales desee aplicar la lista de servidores de administracin de reemplazo. Haga clic en Reemplazar. Cuando se le solicite, haga clic en S.
6 7 8
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel derecho, seleccione la lista de servidores de administracin que desea copiar y pegar. En la pgina Polticas, bajo Tareas, haga clic en Copiar la lista. En la pgina Polticas, bajo Tareas, haga clic en Pegar lista.
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Exportar lista.
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Importar una lista de servidores de administracin
435
En el cuadro de dilogo Exportar poltica, busque la carpeta en la cual desea exportar el archivo de lista de servidores de administracin que desea exportar. En el cuadro de dilogo Exportar poltica, haga clic en Exportar. Si se le solicita que modifique el nombre de archivo en el cuadro de dilogo Exportar poltica, modifique el nombre de archivo. En el cuadro de dilogo Exportar poltica, haga clic en Aceptar.
5 6 7
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Importar una lista de servidores de administracin. En el cuadro de dilogo Importar poltica, busque el archivo de lista de servidores de administracin que desea importar. En el cuadro de dilogo Importar poltica, haga clic en Importar. Si se le solicita que modifique el nombre de archivo en el cuadro de dilogo de entrada, modifique el nombre de archivo. En el cuadro de dilogo de entrada, haga clic en Aceptar.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin.
436
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Eliminar direcciones IP, nombres de host y prioridades de una lista de servidores de administracin
3 4 5
En el panel derecho, seleccione la lista de servidores de administracin que desea eliminar. En la pgina Polticas, bajo Tareas, haga clic en Eliminar la lista. Si se le solicita que elimine la lista de servidores de administracin en Eliminar Lista de servidores de administracin, haga clic en S.
Eliminar direcciones IP, nombres de host y prioridades de una lista de servidores de administracin
Cuando cambian las circunstancias, puede ser necesario eliminar direcciones IP o nombres de hosts y su estado de prioridad asociado de una lista de servidores de administracin. Por ejemplo, un servidor de administracin ya no forma parte de una red corporativa. Por lo tanto, se debe actualizar la lista de servidores de administracin que es parte de una poltica. Tan pronto como las direcciones IP fuera de servicio o los nombres de host se eliminan de la lista de servidores de administracin, los clientes y los mdulos de Enforcer ya no pueden conectarse. La lista actualizada de servidores de administracin es parte de una poltica que se debe transferir a los clientes y a los mdulos de Enforcer antes de su aplicacin. Para eliminar direcciones IP, nombres de host y prioridades de una lista de servidores de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En la pgina Polticas, bajo Tareas, haga clic en Editar la lista. En el cuadro de dilogo Listas de servidores de administracin, bajo Servidores de administracin, seleccione la direccin IP o el nombre de host del servidor de administracin, o la prioridad, que desee modificar. Si selecciona una prioridad con direcciones IP o nombres de host de servidores de administracin asociados, se eliminan automticamente las direcciones IP y los nombres de host. Si selecciona solamente una direccin IP o un nombre de host de un servidor de administracin, la prioridad u otros servidores no se eliminan automticamente.
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Eliminar direcciones IP, nombres de host y prioridades de una lista de servidores de administracin
437
5 6
En el cuadro de dilogo Agregar servidor de administracin, haga clic en Aceptar. Cuando se le solicite confirmacin en el cuadro de dilogo Listas de servidores de administracin, haga clic en S.
438
Configurar conexiones entre los servidores de administracin y clientes o autoridades de aplicacin opcionales Eliminar direcciones IP, nombres de host y prioridades de una lista de servidores de administracin
Captulo
30
440
Nota: En algunos pases, es posible que no est permitido por ley local utilizar la herramienta de aplicaciones aprendidas en ciertas circunstancias, por ejemplo, para obtener informacin de uso de la aplicacin desde un equipo porttil cuando un empleado inicia sesin en la red de la oficina desde su domicilio con el equipo porttil de la empresa. Antes de Su uso de esta herramienta, confirme que el uso est permitido para sus propsitos en su jurisdiccin. Si no se permite, siga las instrucciones para deshabilitar la herramienta.
Nota: El cliente no registra informacin sobre las aplicaciones que ejecutan los clientes de Symantec Network Access Control. La funcin de las aplicaciones aprendidas no est disponible en la consola si instala slo Symantec Network Access Control. Si integra Symantec Network Access Control con Symantec Endpoint Protection, puede utilizar la herramienta de las aplicaciones aprendidas con las Polticas de integridad del host. Adems, es necesario instalar el mdulo de proteccin contra amenazas de red y el mdulo de control de aplicaciones y dispositivos en el cliente para que esta caracterstica funcione.
Habilitar aplicaciones aprendidas para el sitio. Es necesario habilitar las aplicaciones aprendidas para un sitio a fin de habilitarlo para un grupo o una ubicacin especfica. Habilitar los clientes para que enven aplicaciones aprendidas al servidor de administracin por grupo o por ubicacin.
Es posible adems configurar una notificacin que se enviar a su direccin de correo electrnico cuando cada cliente de un grupo o una ubicacin ejecute una aplicacin. Ver "Crear notificaciones de administrador" en la pgina 245.
441
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, realice una de las siguientes acciones:
Haga clic en Sitio local (Sitio <nombre del sitio>). Expanda Sitios remotos y, a continuacin, haga clic en Sitio <nombre del sitio>.
3 4
Bajo Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del sitio para nombre el sitio, en la ficha General, marque Realizar un seguimiento de cada aplicacin que ejecutan los clientes. Haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo y haga clic en la ficha Polticas. En la ficha Polticas, haga clic en Configuracin de comunicaciones. En el cuadro de dilogo Configuracin de comunicaciones para nombre del grupo, asegrese de que Cargar una lista de aplicaciones que los clientes ejecutaron est marcada. Haga clic en Aceptar.
1 2 3
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo. Bajo Configuracin y polticas especficas de la ubicacin, seleccione la ubicacin y despus expanda Configuracin especfica de la ubicacin.
442
A la derecha de Configuracin de comunicaciones, haga clic en Tareas y despus deje sin marcar Usar configuracin de comunicaciones de grupo. Esta opcin permite crear una opcin de ubicacin en lugar de una opcin de grupo.
5 6
Haga clic en Tareas y despus haga clic en Editar configuracin. En el cuadro de dilogo Configuracin de comunicaciones para <nombre de la ubicacin>, marque Cargar una lista de aplicaciones que los clientes ejecutaron. Haga clic en Aceptar.
Buscar aplicaciones
Despus de que el servidor de administracin reciba la lista de aplicaciones de los clientes, es posible realizar consultas sobre los detalles de las aplicaciones. Por ejemplo, es posible encontrar todos los equipos cliente que utilizan una aplicacin no autorizada. Es posible entonces crear una norma de firewall para bloquear la aplicacin en el equipo cliente. O es posible actualizar todos los equipos cliente para que utilicen la versin ms actual de Microsoft Word. Es posible buscar una aplicacin de las siguientes maneras:
Por aplicacin. Es posible limitar la bsqueda a aplicaciones o detalles de aplicaciones especficos, como el nombre, la huella digital del archivo, la ruta, el tamao, la versin o la hora de la ltima modificacin. Por cliente o equipo cliente. Es posible buscar las aplicaciones que un usuario o un equipo especfico ejecuta. Por ejemplo, es posible buscar la direccin IP del equipo.
Es posible adems buscar aplicaciones para utilizarlas en una norma de firewall, directamente dentro de las polticas de firewall. Ver "Agregar aplicaciones a una norma" en la pgina 574. Para buscar aplicaciones
1 2 3
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Tareas, haga clic en Buscar aplicaciones. En el cuadro de dilogo Buscar aplicaciones, a la derecha del campo Buscar aplicaciones en, haga clic en Examinar.
443
En el cuadro de dilogo Seleccionar grupo o ubicacin, seleccione un grupo de clientes cuyas aplicaciones desee ver y haga clic en Aceptar. Es posible especificar solamente un grupo por vez.
5 6
Asegrese de que Buscar subgrupos est marcada. Realice una de las acciones siguientes:
Para buscar informacin por usuario o equipo, haga clic en A partir de informacin del equipo/cliente. Para buscar por aplicacin, haga clic en A partir de aplicaciones.
Haga clic en Campo de bsqueda y despus seleccione los criterios de bsqueda de la lista. La celda Campo de bsqueda muestra criterios que se basan en la opcin que usted seleccion. Para obtener informacin sobre las opciones, haga clic en Ayuda.
8 9
Haga clic en Operador de comparacin y seleccione uno de los operadores. Haga clic en Valor y entonces seleccione o escriba un valor. La celda Valor puede proporcionar un formato o un valor de la lista desplegable, de acuerdo con los criterios que usted haya seleccionado en la celda Campo de bsqueda.
11 Haga clic en Buscar. 12 En la tabla Resultados de la consulta, realice una de las siguientes tareas:
Haga clic en las flechas de desplazamiento para ver filas y columnas adicionales. Haga clic en Atrs y Siguiente para ver pantallas de informacin adicionales. Seleccione una fila y despus haga clic en Ver detalles para ver informacin adicional sobre la aplicacin.
13 Para quitar los resultados de la consulta, haga clic en Borrar todo. 14 Haga clic en Cerrar.
444
1 2 3 4 5 6
Busque los detalles sobre una aplicacin o un equipo cliente. En el cuadro de dilogo Buscar aplicaciones, bajo Resultados de la consulta, haga clic en Exportar. En el cuadro de dilogo Exportar resultados, escriba qu pantalla o pgina de detalles de la aplicacin y del equipo cliente desea exportar. Seleccione o escriba el nombre de ruta y el nombre de archivo al cual desee exportar el archivo y haga clic en Exportar. Para confirmar, haga clic en Aceptar. Cuando haya terminado de buscar aplicaciones, haga clic en Cerrar.
Seccin
Configuracin bsica de polticas antivirus y contra software espa Configurar Auto-Protect Usar anlisis definidos por el administrador
446
Captulo
31
Fundamentos de la proteccin antivirus y contra software espa Acerca de trabajar con polticas antivirus y contra software espa Acerca de los virus y los riesgos de seguridad Acerca de analizar Acerca de acciones para los virus y los riesgos de seguridad que los anlisis detectan Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa Acerca de la interaccin del cliente con opciones de antivirus y software espa Modificar la contrasea necesaria para analizar unidades de red asignadas Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection Exhibir una advertencia de definiciones desactualizadas o ausentes Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa Especificar una URL para una pgina principal del navegador
448
Configuracin bsica de polticas antivirus y contra software espa Fundamentos de la proteccin antivirus y contra software espa
Configurar las opciones que se aplican a los anlisis antivirus y de software espa Enviar informacin sobre anlisis a Symantec Administrar los archivos en cuarentena
Crear un plan para responder ante virus y riesgos de seguridad. Ver el estado de su red en la pgina principal de la consola. Ejecutar comandos de la consola para activar Auto-Protect, iniciar un anlisis manual o actualizar definiciones. Utilice las polticas antivirus y contra software espa para modificar la configuracin de Auto-Protect y de anlisis en los equipos cliente.
Configuracin bsica de polticas antivirus y contra software espa Fundamentos de la proteccin antivirus y contra software espa
449
Realizar un mapa de la topologa Prepara un mapa de la topologa de la red que permite de la red aislar y limpiar sistemticamente los equipos por segmentos antes de volver a conectarlos a la red local. El mapa debe incluir la siguiente informacin:
Es necesario entender la topologa de su red y la implementacin del cliente en la red. Es necesario tambin entender la puesta en prctica de cualquier otro producto de seguridad que se utilice en su red. Considere las preguntas siguientes: Cules son los programas de seguridad que protegen los servidores y las estaciones de trabajo de la red? Cul es la planificacin para actualizar las definiciones? De qu mtodos alternativos se dispone para obtener las actualizaciones si los canales normales son atacados? Qu archivos de registro estn disponibles para realizar un seguimiento de los virus en la red?
450
Configuracin bsica de polticas antivirus y contra software espa Fundamentos de la proteccin antivirus y contra software espa
Tarea
Contar con un plan de copias de respaldo
Descripcin
En caso de infeccin catastrfica, es posible que necesite restaurar equipos cliente. Asegrese de que tiene un plan de copia de respaldo pensado para restaurar equipos crticos. Las amenazas combinadas, como los gusanos, pueden transmitirse a travs de los recursos compartidos sin necesidad de que intervenga el usuario. Cuando se deba responder a una infeccin provocada por gusanos informticos, es fundamental aislar los equipos afectados desconectndolos de la red. Los informes y los registros de la consola de administracin son una buena fuente de informacin sobre riesgos en su red. Es posible utilizar la enciclopedia de virus de Symantec Security Response para aprender ms sobre un riesgo determinado que usted identifique en informes o registros. En algunos casos, es posible que encuentre instrucciones adicionales para manejar el riesgo.
Identificar el riesgo
Responder a riesgos desconocidos Es necesario consultar el sitio Web de Symantec Security Response para obtener informacin actualizada cuando las situaciones siguientes son verdaderas: No es posible identificar un archivo sospechoso examinando los registros y los informes. Los ltimos archivos de definiciones de virus no limpian el archivo sospechoso.
En el sitio Web, es posible que encuentre informacin reciente sobre el archivo sospechoso. Consulte las ltimas amenazas y recomendaciones de seguridad de virus. http://www.symantec.com/es/mx/security_response/
Configuracin bsica de polticas antivirus y contra software espa Fundamentos de la proteccin antivirus y contra software espa
451
http://www.symantec.com/es/mx/enterprise/security_response/
Acerca de ver el estado del antivirus y la proteccin contra software espa de su red
Es posible ver rpidamente el estado de su red de seguridad en la pgina principal de la consola. Un resumen de estado le muestra cuntos equipos de su red de seguridad han deshabilitado el antivirus y la proteccin contra software espa. Un resumen muestra las acciones que el cliente realiz sobre los virus y los riesgos de seguridad detectados. La pgina principal tambin incluye la distribucin de las definiciones de virus a travs de la red. Ver "Usar la pgina principal de Symantec Endpoint Protection" en la pgina 171. Tambin puede ejecutar informes y ver registros. Ver "Acerca del uso de Supervisin e Informes para asegurar la red" en la pgina 251.
452
Configuracin bsica de polticas antivirus y contra software espa Fundamentos de la proteccin antivirus y contra software espa
Es posible ejecutar un anlisis personalizado, rpido o completo. Si elige ejecutar un anlisis personalizado, el cliente utiliza la configuracin para los anlisis manuales que usted configure en la poltica antivirus y contra software espa. Ver "Ejecutar anlisis manuales" en la pgina 517.
Parmetros de Otros Anlisis de Auto-Protect Anlisis de amenazas proactivos Anlisis definidos por el administrador (anlisis programados y manuales) Opciones de cuarentena Opciones de Envos
Cuando se instala Symantec Endpoint Protection, aparece una poltica antivirus y contra software espa predeterminada en la lista de polticas en la consola. Es posible modificar la poltica predeterminada o crear nuevas polticas. Nota: Las polticas antivirus y contra software espa incluyen la configuracin para los anlisis de amenazas proactivos. Ver "Acerca de analizar" en la pgina 459.
Auto-Protect se encuentra activado. Anlisis de amenazas proactivo se encuentra activado. Los archivos en cuarentena se ponen en el directorio de la cuarentena local y se reparan y restauran automticamente cuando se obtienen nuevas definiciones. El icono de Symantec Antivirus Advanced Protection se muestra en los equipos cliente. Todos los eventos se envan del cliente al servidor de administracin.
Configuracin bsica de polticas antivirus y contra software espa Fundamentos de la proteccin antivirus y contra software espa
453
Acerca de polticas antivirus y contra software espa para los clientes de versiones anteriores
Si su entorno contiene clientes con versiones anteriores distintas, es posible que su poltica antivirus y contra software espa tenga configuraciones que no puedan ser aplicadas. Es posible que necesite configurar y administrar polticas antivirus y contra software espa separadas para los clientes de una versin anterior.
El cliente intenta reparar el archivo. Si el archivo no se puede reparar con el grupo actual de definiciones, el cliente mueve el archivo infectado a la cuarentena local. Adems, el cliente hace una entrada de registro del evento de riesgo. El cliente transmite los datos al servidor de administracin. Es posible ver los datos de registro de la consola.
Se pueden llevar a cabo las acciones adicionales que se indican a continuacin con el fin de completar la estrategia para el tratamiento de virus:
Configurar la funcin de informes para notificarle cuando se encuentren los virus. Ver "Usar notificaciones" en la pgina 244. Definir las diferentes acciones de reparacin que se basan en el tipo de virus. Por ejemplo, es posible configurar el cliente para reparar virus de macro automticamente. Luego, puede configurar una accin diferente para que el cliente realice cuando detecte un archivo de programa. Asignar una accin de copia de respaldo para los archivos que el cliente no puede reparar. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 481.
454
Configuracin bsica de polticas antivirus y contra software espa Acerca de trabajar con polticas antivirus y contra software espa
Configurar el rea de cuarentena local para que enve los archivos infectados a un servidor de Cuarentena central. Es posible configurar Cuarentena central para que intente realizar una reparacin. Cuando Cuarentena central intenta realizar una reparacin, utiliza su grupo de definiciones de virus. Las definiciones de Cuarentena central pueden estar ms actualizadas que las definiciones del equipo local. Es posible adems remitir automticamente las muestras de archivos infectados a Symantec Security Response para realizar un anlisis. Consulte la Gua del administrador de la Cuarentena central si desea obtener ms informacin.
Una ruta del directorio de la cuarentena local Si los clientes envan manualmente elementos en cuarentena a Symantec Security Response Si los clientes envan automticamente elementos en cuarentena a un servidor de Cuarentena central Cmo maneja la cuarentena local la correccin cuando se obtienen nuevas definiciones de virus
Ver "Administrar los archivos en cuarentena" en la pgina 488. Es posible tambin eliminar elementos en cuarentena en sus equipos cliente desde el registro de riesgos en la consola. Ver "Acerca del uso de Supervisin e Informes para asegurar la red" en la pgina 251.
Configuracin bsica de polticas antivirus y contra software espa Acerca de los virus y los riesgos de seguridad
455
sustituir, copiar, exportar, importar o eliminar una poltica antivirus y contra software espa. Se asigna tpicamente una poltica a los grupos varios en su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Los pasos de este captulo asumen que usted est familiarizado con los fundamentos de la configuracin de polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 397.
Detecta, elimina y repara los efectos secundarios de virus, gusanos, caballos de Troya y amenazas combinadas. Detecta, elimina y repara los efectos secundarios de riesgos de seguridad, como publicidad no deseada, marcadores, herramientas de piratera, programas broma, programas de acceso remoto, software espa, programas de seguimiento, etc.
La Tabla 31-2 describe los tipos de riesgos que busca el software de cliente.
456
Configuracin bsica de polticas antivirus y contra software espa Acerca de los virus y los riesgos de seguridad
Programas que ejecutan tareas automatizadas en Internet con propsitos maliciosos. Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger informacin de sitios Web.
Gusanos
Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copindose a s mismos de disco a disco, mientras que otros slo se reproducen en la memoria para ralentizar el equipo. Programas maliciosos que se ocultan en algo benigno, por ejemplo, un juego o una utilidad. Amenazas que combinan las caractersticas de virus, gusanos, caballos de Troya y cdigo con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas emplean diversos mtodos y tcnicas para propagarse con rapidez, y causan un dao generalizado en toda la red.
Caballos de Troya
Amenazas combinadas
Configuracin bsica de polticas antivirus y contra software espa Acerca de los virus y los riesgos de seguridad
457
Riesgo
Publicidad no deseada
Descripcin
Programas independientes o anexos a otros que recogen, de forma secreta, informacin personal a travs de Internet y la transmiten a otro equipo. La publicidad no deseada puede realizar un seguimiento de los hbitos de navegacin del usuario con intereses comerciales. Este tipo de aplicaciones tambin puede enviar contenido publicitario. Tambin es posible descargarlas de sitios Web sin advertirlo, por lo general, dentro de aplicaciones gratuitas o de uso compartido, y recibirlas a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, publicidad no deseada cuando acepta un contrato de licencia de usuario final de un programa de software.
Marcadores
Programas que utilizan un equipo, sin el permiso ni conocimiento del usuario, para realizar llamadas a travs de Internet a un nmero 900 (de pago especial) o a un sitio FTP. Tpicamente, estos nmeros se marcan para acumular gastos. Programas utilizados por un hacker para tener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de piratera es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y enva esta informacin al hacker. Entonces, el hacker puede realizar anlisis de puerto y de puntos dbiles. Las herramientas de piratera se pueden emplear tambin para desarrollar virus.
Herramientas de piratera
458
Configuracin bsica de polticas antivirus y contra software espa Acerca de los virus y los riesgos de seguridad
Riesgo
Programas broma
Descripcin
Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, se puede descargar un programa mediante un sitio Web, correo electrnico o programa de mensajera instantnea. Dicho programa podra hacer que la Papelera de reciclaje se aleje del puntero cuando el usuario intente eliminar un archivo, o invertir las funciones de los botones del mouse. Otros riesgos de seguridad que no se ajusten exactamente a las definiciones de virus, caballos de Troya, gusanos u otras categoras de riesgos de seguridad. Programas que permiten acceder a travs de Internet desde otro equipo, de manera que pueden recopilar informacin del equipo de un usuario, atacarlo o alterar su contenido. Por ejemplo, un usuario puede instalar un programa u otro proceso puede instalar un programa sin el conocimiento del usuario. Este programa puede utilizarse con fines dainos, modificando o no el programa original de acceso remoto. Programas independientes que pueden supervisar, de forma secreta, la actividad del sistema, as como detectar contraseas y otro tipo de informacin confidencial para transmitirla a otro equipo. Tambin es posible descargarlos de sitios Web sin advertirlo, por lo general dentro de aplicaciones gratuitas o de uso compartido, y recibirlos a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, software espa cuando acepta un contrato de licencia de usuario final de un programa de software.
Otros
Software espa
459
Riesgo
Programas de seguimiento
Descripcin
Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envan la informacin al sistema de destino. Por ejemplo, la aplicacin puede descargarse mediante un sitio Web, un mensaje de correo electrnico o un programa de mensajera instantnea. Posteriormente, sta puede obtener informacin confidencial relativa al comportamiento del usuario.
De forma predeterminada, Auto-Protect analiza en busca de virus, caballos de Troya, gusanos y riesgos de seguridad cuando se ejecuta. Algunos riesgos, como Back Orifice, se detectaban como virus en versiones anteriores del software de cliente. Se siguen detectando como virus a fin de que el software de cliente pueda seguir proporcionando proteccin a equipos con versiones anteriores.
Acerca de analizar
Es posible incluir los tipos siguientes de anlisis en una poltica antivirus y contra software espa:
De forma predeterminada, todos los anlisis antivirus y de software espa detectan virus y riesgos de seguridad, tales como publicidad no deseada y software espa; los anlisis ponen en cuarentena los virus y los riesgos de seguridad, y quitan o reparan sus efectos secundarios. Los anlisis de Auto-Protect y definidos por el administrador detectan virus conocidos y riesgos de seguridad. Los anlisis de amenazas proactivos detectan virus y riesgos de seguridad desconocidos analizando en busca de conducta potencialmente maliciosa.
460
Nota: En ocasiones, se puede llegar a instalar inadvertidamente una aplicacin que incluya un riesgo de seguridad, como aplicaciones de publicidad no deseada o software espa. Si Symantec determina que bloquear el riesgo no causar ningn dao al equipo, el software de cliente lo bloquear. Si el bloqueo del riesgo deja el equipo en condicin inestable, el cliente espera a que finalice la instalacin de la aplicacin para poner el riesgo en cuarentena. Despus se reparan los efectos secundarios del riesgo.
Anlisis de Auto-Protect para el sistema de archivos Anlisis de Auto-Protect para archivos adjuntos de correo electrnico para Lotus Notes, Microsoft Exchange y Outlook (MAPI e Internet) Anlisis de Auto-Protect para mensajes de correo electrnico de Internet y para archivos adjuntos que utilizan los protocolos de comunicacin POP3 o SMTP; los anlisis de Auto-Protect para correo electrnico de Internet tambin incluyen anlisis heursticos del correo saliente
Nota: Por motivos de rendimiento, no se admite Auto-Protect para correo electrnico de Internet para POP3 en los sistemas operativos de servidor. En Microsoft Exchange Server, no es necesario instalar Auto-Protect para Microsoft Outlook. Auto-Protect analiza de forma continua archivos y mensajes de correo electrnico en busca de virus y riesgos de seguridad, como software espa y aplicaciones de publicidad no deseada, a medida que se los lee o se los escribe en un equipo. Es posible configurar Auto-Protect para que analice solamente las extensiones de archivo seleccionadas. Cuando analiza extensiones seleccionadas, Auto-Protect puede tambin determinar el tipo de un archivo, incluso si un virus modifica la extensin del archivo. Durante la configuracin, es posible bloquear ciertas opciones de Auto-Protect en los clientes para aplicar una directiva de seguridad de la empresa sobre virus o riesgos de seguridad. Los usuarios no podrn modificar las opciones que se bloqueen. Auto-Protect se encuentra habilitado de forma predeterminada. Es posible ver el estado Auto-Protect en la consola, bajo la ficha Clientes o generando los informes y los registros que muestran el estado del equipo. Es posible tambin ver el estado de Auto-Protect directamente en el cliente.
461
Mediante el anlisis de Auto-Protect, se pueden analizar archivos adjuntos de correo electrnico de las siguientes aplicaciones:
Lotus Notes 4.5x, 4.6, 5.0 y 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)
Si utiliza Microsoft Outlook sobre MAPI o el cliente de Microsoft Exchange, y Auto-Protect est habilitado para el correo electrnico, los archivos adjuntos se descargan inmediatamente al equipo que est ejecutando el cliente de correo electrnico. Se analizan los archivos adjuntos cuando el usuario abre el mensaje. Si descarga un archivo adjunto de gran tamao con una conexin lenta, el rendimiento del correo se ver afectado. En el caso de usuarios que reciban con regularidad datos adjuntos extensos, tal vez prefiera deshabilitar esta funcin. Nota: Si Lotus Notes o Microsoft Outlook est instalado en el equipo cuando se realiza una instalacin de software de cliente, el software de cliente detecta la aplicacin de correo electrnico. El cliente entonces instala el complemento de Auto-Protect adecuado. Se instalan ambos complementos si se seleccion una instalacin completa en la instalacin manual. Si su programa de correo electrnico no se encuentra entre los formatos de datos admitidos, podr proteger la red mediante la activacin de Auto-Protect en el sistema de archivos. Si un usuario recibe un mensaje con un archivo adjunto infectado en un sistema de correo electrnico Novell GroupWise, Auto-Protect puede detectar el virus cuando el usuario abre el archivo adjunto. Esto se debe a que la mayora de los programas de correo electrnico guardan los archivos adjuntos en un directorio temporal cuando se ejecutan desde el programa. Si habilita Auto-Protect en su sistema de archivos, Auto-Protect detecta el virus cuando se los escribe al directorio temporal. Auto-Protect tambin detecta el virus si el usuario intenta guardar el archivo adjunto infectado en una unidad local o de red.
Acerca de la deteccin Auto-Protect de los procesos que descargan continuamente el mismo riesgo de seguridad
Si Auto-Protect detecta un proceso que descarga continuamente un riesgo de seguridad al equipo cliente, Auto-Protect muestra una notificacin y registra la deteccin. (Auto-Protect se debe configurar para enviar notificaciones). Si el proceso contina descargando el mismo riesgo de seguridad, aparecen varias notificaciones en el equipo del usuario y Auto-Protect registra varios eventos. Para evitar el exceso de notificaciones y eventos registrados, Auto-Protect detiene automticamente el envo de notificaciones sobre el riesgo de seguridad despus
462
de tres detecciones. Auto-Protect tambin deja de registrar el evento despus de tres detecciones. En algunas situaciones, Auto-Protect no detiene el envo de notificaciones y el registro de eventos para el riesgo de seguridad. Auto-Protect contina enviando notificaciones y registrando eventos cuando cualquiera de las siguientes situaciones son verdades:
Usted o los usuarios de los equipos cliente deshabilitan los bloqueos de la instalacin de riesgos de seguridad (se habilita la configuracin predeterminada) La accin para el tipo de riesgo de seguridad que descarga el proceso tienen la accin No hacer nada.
Acerca de la exclusin automtica de archivos y carpetas para los productos Microsoft Exchange Server y Symantec
Si los servidores de Microsoft Exchange se instalan en el equipo donde usted instal el cliente de Symantec Endpoint Protection, el software de cliente detecta automticamente la presencia de Exchange. Cuando el software de cliente detecta un servidor de Microsoft Exchange, crea las exclusiones apropiadas de archivo y de carpeta para Auto-Protect para el sistema de archivos y el resto de los anlisis. Los servidores de Microsoft Exchange pueden incluir servidores agrupados. El software de cliente busca cambios en la ubicacin de los archivos y las carpetas apropiados de Exchange a intervalos regulares. Si instala Exchange en un equipo donde el software de cliente ya est instalado, se crean las exclusiones cuando el cliente busca cambios. El cliente excluye los archivos y las carpetas; si un solo archivo se mueve desde una carpeta excluida, el archivo permanece excluido. El software de cliente crea exclusiones de anlisis de carpetas y archivos para las versiones siguientes de Microsoft Exchange Server:
Para Exchange 2007, vea la documentacin para el usuario para ver la informacin sobre compatibilidad con software antivirus. Es posible que necesite crear exclusiones de anlisis para algunas carpetas de Exchange 2007 manualmente. Por ejemplo, si agrupa servidores o si utiliza ubicaciones no predeterminadas para las carpetas, es necesario crear exclusiones. Consulte Preventing Symantec Endpoint Protection 11.0 from scanning the Microsoft Exchange 2007 directory structure" (Evitar que Symantec Endpoint Protection 11.0 analice la estructura
463
de directorios de Microsoft Exchange 2007) (en ingls) en las bases de conocimientos de Symantec en la direccin URL siguiente: http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072619121148 El cliente tambin crea exclusiones de anlisis apropiadas de archivos y carpetas para los productos siguientes de Symantec cuando se detectan:
Symantec Mail Security 4.0, 4.5, 4.6 y 5.0 para Microsoft Exchange Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange Norton AntiVirus 2.x para Microsoft Exchange
Nota: Para ver las exclusiones que el cliente crea, es posible examinar el contenido de la clave del Registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Exclusions. No es necesario editar el Registro directamente. Es posible configurar cualquier exclusin adicional usando excepciones centralizadas. El cliente no excluye las carpetas temporales del sistema de los anlisis, ya que se originara una importante vulnerabilidad del sistema en el equipo.
Si las aplicaciones de correo electrnico cliente utilizan una sola bandeja de entrada
Las aplicaciones que almacenan todo el correo electrnico en un solo archivo incluyen Outlook Express, Eudora, Mozilla y Netscape. Si sus equipos cliente utilizan aplicaciones de correo electrnico que usan una sola bandeja de entrada, es necesario crear una excepcin centralizada para excluir el archivo de la bandeja de entrada. La excepcin se aplica a todos los anlisis antivirus y de software espa, as como de Auto-Protect. El cliente de Symantec Endpoint Protection pone en cuarentena la bandeja de entrada entera y los usuarios no pueden acceder a su correo electrnico si las declaraciones siguientes son verdaderas:
El cliente detecta un virus en el archivo de la bandeja de entrada durante un anlisis manual o programado. La accin que se configura para el virus es Poner en cuarentena.
Symantec no recomienda generalmente excluir los archivos de los anlisis. Cuando se excluye de los anlisis el archivo de la bandeja de entrada, sta no puede ser puesta en cuarentena; sin embargo, si el cliente detecta un virus cuando un usuario abre un mensaje de correo electrnico, puede poner en cuarentena o borrar con seguridad el mensaje.
464
Tpicamente, es posible que desee crear un anlisis programado completo para que se ejecute una vez por semana y un anlisis rpido que se ejecute una vez por da. De forma predeterminada, el cliente de Symantec Endpoint Protection genera un anlisis rpido que se ejecuta durante el inicio en los equipos cliente.
465
Completo
Personalizado
466
El software de cliente ejecuta anlisis de amenazas proactivos de forma predeterminada. Es posible habilitar o deshabilitar los anlisis de amenazas proactivos en una poltica antivirus y contra software espa. Los usuarios en los equipos cliente pueden habilitar o deshabilitar este tipo de anlisis si usted no bloquea la configuracin. Aunque incluya una configuracin para anlisis de amenazas proactivos en una poltica antivirus y contra software espa, usted establece la configuracin de anlisis de manera diferente que en los anlisis antivirus y de software espa. Ver "Acerca de los anlisis de amenazas proactivos" en la pgina 583.
467
una extensin propia, es posible especificar una extensin con cuatro caracteres, como mximo. En el cuadro de dilogo Editar carpetas, se seleccionan carpetas de Windows, en lugar de las rutas completas de las carpetas. Los equipos cliente en su red de seguridad pueden utilizar diversas rutas para estas carpetas. Puede seleccionar cualquiera de las siguientes carpetas:
Cuando se analizan carpetas o extensiones de archivo seleccionados, es posible mejorar el rendimiento del anlisis. Por ejemplo, si usted copia una carpeta grande que no est en la lista seleccionada de carpetas, el proceso que copia es ms rpido porque el contenido de la carpeta es excluido. Es posible excluir archivos de anlisis por tipo de extensin o directorio. Se excluyen archivos configurando una poltica de excepciones centralizadas que contenga las exclusiones. Cuando se especifican exclusiones en una poltica, las exclusiones se aplican en cualquier momento con cualquier anlisis antivirus y de software espa ejecutado en clientes con esa poltica. Ver "Configurar una poltica de excepciones centralizada" en la pgina 646. Cuando se analizan extensiones seleccionadas, el software de cliente no lee el encabezado del archivo para determinar el tipo de archivo; cuando se analizan extensiones seleccionadas, el cliente analiza solamente los archivos con las extensiones que usted especifica. Advertencia: Como el software de cliente excluye los archivos y las carpetas de los anlisis, no protege las carpetas y los archivos seleccionados contra virus y riesgos de seguridad. La Tabla 31-4 describe las extensiones que se recomienda analizar.
468
Tabla 31-4
Extensin de archivo
386 ACM ACV
CSC DLL DOC DOT DRV EXE HLP HTA HTM Archivo HTML HTT INF INI
469
Extensin de archivo
JPEG JPG JS JSE JTD MDB MP? MSO OBD OBT OCX
Descripcin
Archivo de grficos Archivo de grficos Script de Java JavaScript codificado Ichitaro Microsoft Access Microsoft Project Microsoft Office 2000 Cuaderno de Microsoft Office Cuaderno de Microsoft Office Objeto de Microsoft que integra un control personalizado y tiene un vnculo a l Archivo de superposicin Archivo de informacin de programa Cdigo fuente de programa PERL (UNIX) Grficos de mapas de bits de Presentation Manager Microsoft PowerPoint Microsoft PowerPoint Microsoft PowerPoint Documento de texto enriquecido Fax, protector de pantalla, instantnea o script para Farview o Microsoft Windows Archivo de intrprete de comandos (UNIX) Archivo de Corel Show Background Archivo temporal de intrprete de comandos Lotus AmiPro Controlador de dispositivo
470
Extensin de archivo
VBE VBS VSD VSS VST VXD WSF WSH XL?
Descripcin
BIOS VESA (funciones principales) VBScript Microsoft Office Visio Microsoft Office Visio Microsoft Office Visio Controlador virtual de dispositivo Archivo de secuencia de comandos de Windows Archivo de configuracin de Windows Script Host Microsoft Excel
Configuracin bsica de polticas antivirus y contra software espa Acerca de acciones para los virus y los riesgos de seguridad que los anlisis detectan
471
Acerca de acciones para los virus y los riesgos de seguridad que los anlisis detectan
Muchas de las opciones estn disponibles en distintos tipos de anlisis. Cuando se configuran anlisis manuales, programados o de Auto-Protect, es posible asignar las primeras y segundas acciones que se deben efectuar cuando el software de cliente encuentra virus y riesgos de seguridad. Es posible asignar primeras y segundas acciones individuales que se deben aplicar cuando el cliente detecta los siguientes tipos de riesgos:
Virus de macro Virus no de macro Todos los riesgos de seguridad (aplicaciones de publicidad no deseada, software espa, programas broma, marcadores, herramientas de piratera, programas de acceso remoto, programas de seguimiento y otros) Categoras individuales de riesgos de seguridad, como software espa Acciones personalizadas para determinados riesgos de seguridad
De forma predeterminada, el cliente de Symantec Endpoint Protection primero intenta limpiar un archivo que est infectado por un virus. Si el software de cliente no puede limpiar el archivo, realiza las acciones siguientes:
Mueve el archivo a la Cuarentena en el equipo infectado Niega el acceso al archivo Registra el evento
De forma predeterminada, el cliente mueve cualquier archivo infectado por riesgos de seguridad a la Cuarentena en el equipo infectado. El cliente tambin intenta quitar o reparar los efectos secundarios del riesgo. De forma predeterminada, la Cuarentena contiene un registro de todas las acciones que el cliente realiz. Si es necesario, el equipo puede volver al estado que tena antes de que el cliente intentara la eliminacin y la reparacin. De no ser posible colocar un riesgo de seguridad en cuarentena y repararlo, la segunda accin es registrarlo. Para las detecciones de anlisis de amenazas proactivo, las acciones se determinan dependiendo de si usted utiliza configuraciones predeterminadas administradas por Symantec o si elige configurar las acciones usted mismo. Las acciones para anlisis de amenazas proactivos se configuran en una parte separada de la poltica antivirus y contra software espa.
472
Configuracin bsica de polticas antivirus y contra software espa Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa
Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones" en la pgina 595.
Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa
Es posible incluir parmetros de gestin de registros en la poltica antivirus y contra software espa. De forma predeterminada, los clientes envan siempre ciertos tipos de eventos al servidor de administracin (tal como Anlisis detenido o Anlisis iniciado). Es posible elegir enviar o no enviar otros tipos de eventos (tales como Archivo no analizado). Los eventos que los clientes envan al servidor de administracin afectan la informacin de informes y registros. Es necesario decidir qu tipo de informacin usted desea reenviar al servidor de administracin. Es posible reducir el tamao de los registros y la cantidad de informacin que se incluye en los informes si usted selecciona solamente ciertos tipos de eventos. Es posible tambin configurar cunto tiempo el cliente conserva elementos de registro. La opcin no afecta los eventos que los clientes enven a la consola de administracin. Es posible utilizar la opcin para reducir el tamao real del registro en los equipos cliente. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Configurar los parmetros de gestin de registros para una poltica antivirus y contra software espa
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Tratamiento de registros, bajo Filtrado de eventos de registros de antivirus y software espa, seleccione los eventos que usted desea reenviar al servidor de administracin. Bajo Retencin de registros, seleccione la frecuencia con la que el cliente debe eliminar lneas del registro. En Registrar agrupacin de eventos, seleccione con qu frecuencia se deben enviar eventos agregados al servidor. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
3 4 5
Configuracin bsica de polticas antivirus y contra software espa Acerca de la interaccin del cliente con opciones de antivirus y software espa
473
Configurar opciones de progreso de anlisis para anlisis programados. Configurar opciones de anlisis para clientes. Modificar la contrasea necesaria para analizar unidades asignadas. Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Security. Mostrar advertencias de definiciones desactualizadas o ausentes. Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa. Especificar la URL que se debe utilizar para volver a dirigir un navegador de Internet si un riesgo de seguridad intenta modificar la URL.
Es posible ver y personalizar mensajes de advertencia en los equipos infectados. Por ejemplo, si los usuarios tienen un programa de software espa instalado en sus equipos, es posible notificarles que han infringido su poltica corporativa. Puede incluir un mensaje en la notificacin que indique que los usuarios deben desinstalar la aplicacin inmediatamente. Nota: Es posible tambin bloquear configuraciones de polticas de modo que los usuarios no puedan modificar la configuracin.
474
Configuracin bsica de polticas antivirus y contra software espa Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para modificar la contrasea necesaria para analizar unidades asignadas
1 2 3 4 5
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Otros, bajo Analizar unidad de red, marque Solicitar una contrasea antes de analizar una unidad de red asignada. Haga clic en Cambiar la contrasea. En el cuadro de dilogo Configuracin de contrasea, introduzca la nueva contrasea y vuelva a escribirla para confirmarla. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection
Si utiliza el Centro de Seguridad de Windows en Windows XP Service Pack 2 o Windows Vista, es posible utilizar la poltica antivirus y contra software espa para configurar las siguientes opciones en los equipos cliente:
El perodo despus del cual WSC considera que los archivos de definiciones no estn actualizados. Si WSC muestra alertas de antivirus para los productos de Symantec del equipo host.
Nota: El estado del producto de Symantec est siempre disponible en la consola de administracin, sin importar si el WSC est habilitado o deshabilitado.
Configurar el cliente de Symantec Endpoint Protection para deshabilitar el Centro de seguridad de Windows
Es posible configurar las circunstancias bajo las que el software de cliente deshabilita el Centro de seguridad de Windows (WSC). Para configurar Symantec Endpoint Protection a fin de que deshabilite el Centro de Seguridad de Windows
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. Haga clic en la ficha Otros.
Configuracin bsica de polticas antivirus y contra software espa Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection
475
Bajo Centro de seguridad de Windows, en la lista desplegable Deshabilitar Centro de seguridad de Windows, seleccione una de las siguientes opciones:
Nunca Una vez Nunca deshabilita el WSC. Deshabilita el Centro de Seguridad de Windows slo una vez. Si un usuario vuelve a habilitarlo, el software de cliente no lo deshabilita nuevamente. Siempre deshabilita el WSC. Si un usuario vuelve a habilitarlo, el software de cliente lo vuelve a deshabilitar inmediatamente. Volver a activar el Centro de Seguridad de Windows slo si Symantec Endpoint Protection lo desactiv.
Siempre
Restaurar
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. Haga clic en la ficha Otros. En el Centro de Seguridad de Windows, en el men desplegable Mostrar alertas de antivirus en el Centro de seguridad de Windows, seleccione una de las siguientes opciones:
Deshabilitar El WSC no muestra estas alertas en el rea de notificacin de Windows. WSC muestra estas alertas en el rea de notificacin de Windows. WSC utiliza la configuracin actual de estas alertas.
Habilitar
476
Configuracin bsica de polticas antivirus y contra software espa Exhibir una advertencia de definiciones desactualizadas o ausentes
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. Haga clic en la ficha Otros. En Centro de Seguridad de Windows, bajo Mostrar un mensaje del Centro de seguridad de Windows cuando las definiciones estn desactualizadas, escriba el nmero de das. Es posible tambin utilizar las flechas hacia arriba o hacia abajo para seleccionar el nmero de das que las definiciones de virus y riesgos de seguridad puedan estar desactualizadas. El valor debe estar entre 1 y 30.
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Notificaciones, bajo Acciones, seleccione una de las siguientes opciones, o ambas:
Configuracin bsica de polticas antivirus y contra software espa Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa
477
Mostrar un mensaje cuando Symantec Endpoint Protection se est ejecutando sin definiciones de virus
3 4
Fije el nmero de das que las definiciones de virus y riesgos de seguridad pueden permanecer desactualizadas antes de que aparezca la advertencia. Para las definiciones inexistentes de virus y riesgos de seguridad, configure el nmero de intentos de reparacin que Symantec Endpoint Protection debe hacer antes de que aparezca la advertencia. Haga clic en Advertenciapara cada opcin marcada, y personalice el mensaje predeterminado. En el cuadro de dilogo de alerta, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
5 6 7
Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa
En casos poco comunes, los usuarios podran ver aparecer errores en los equipos cliente. Por ejemplo, es posible que el equipo cliente encuentre desbordamientos de bfer o problemas de descompresin durante los anlisis. Es posible especificar una URL que lleve al sitio Web de soporte de Symantec o a una URL personalizada. Por ejemplo, en cambio, es posible que tenga un sitio Web interno que usted desee especificar. Nota: La URL tambin aparece en el registro de eventos del sistema para el equipo cliente en el cual se produce el error. Para especificar una URL que se debe mostrar en las notificaciones de error de antivirus y software espa
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Notificaciones, seleccione Mostrar mensajes de error con la URL de una solucin. Seleccione una de las siguientes opciones:
Mostrar el vnculo predeterminado al sitio Web de soporte tcnico de Symantec Mostrar el vnculo a una URL personalizada
478
Configuracin bsica de polticas antivirus y contra software espa Especificar una URL para una pgina principal del navegador
5 6
Escriba el texto personalizado que usted desea incluir y haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Otros, bajo Proteccin del navegador de Internet, escriba la URL. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Algunas opciones son comunes para todos los anlisis antivirus y de software espa. Los anlisis antivirus y de software espa incluyen anlisis de Auto-Protect y definidos por el administrador. La poltica incluye las siguientes opciones:
Configurar anlisis de las extensiones de archivo o de las carpetas seleccionadas Configurar las excepciones centralizadas para los riesgos de seguridad Configurar acciones para las detecciones de virus y riesgos de seguridad conocidos Administrar los mensajes de notificacin en equipos infectados Personalizar y mostrar notificaciones en los equipos infectados Agregar avisos a los mensajes de correo electrnico infectados Notificar a los remitentes de mensajes de correo electrnico infectados Notificar a usuarios sobre la recepcin de mensajes de correo electrnico infectados
La informacin sobre acciones y notificaciones para los anlisis de amenazas proactivos se incluye en una seccin separada.
Configuracin bsica de polticas antivirus y contra software espa Configurar las opciones que se aplican a los anlisis antivirus y de software espa
479
La cantidad de proteccin que su red necesita La cantidad de tiempo y recursos necesarios para proporcionar proteccin
Por ejemplo, es posible analizar slo los archivos con las extensiones ms expuestas a virus y a otros riesgos. Cuando se analizan slo algunas extensiones, se excluyen de forma automtica todos los archivos con extensiones diferentes. Cuando se excluyen archivos de los anlisis, se disminuye la cantidad de recursos del equipo necesarios para ejecutar el anlisis. Advertencia: Cuando se seleccionan extensiones para el anlisis, cualquier otra extensin no estar protegida contra virus y riesgos de seguridad. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para incluir solamente los archivos con extensiones determinadas para anlisis de Auto-Protect o definidos por el administrador
1 2 3
En la ficha Detalles del anlisis, bajo Tipos de archivos, haga clic en Analizar slo las extensiones seleccionadas. Haga clic en Extensiones seleccionadas. En el cuadro de dilogo Extensiones de archivos, es posible realizar las siguientes acciones:
Agregar extensiones propias escribindolas y haciendo clic en Agregar. Quitar cualquier extensin seleccionndolas y despus haciendo clic en Eliminar.
480
Configuracin bsica de polticas antivirus y contra software espa Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Devolver la lista a su configuracin predeterminada haciendo clic en Predeterminadas. Agregar todas las extensiones de programa haciendo clic en Agregar programas comunes. Agregar todas las extensiones de documento haciendo clic en Agregar documentos comunes.
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, realice una de las siguientes acciones:
Haga clic en Agregar Anlisis. Bajo Anlisis programados, seleccione un anlisis existente y haga clic en Editar. Bajo Anlisis manual del administrador, haga clic en Editar.
En la ficha Detalles del anlisis, en la lista desplegable de Tipo de anlisis, seleccione Personalizado. Los anlisis manuales se preestablecen en Personalizado.
4 5
Bajo Anlisis, haga clic en Editar carpetas. En el cuadro de dilogo Editar carpetas, seleccione Analizar las carpetas seleccionadas y, en la lista de carpetas, marque todas las carpetas que desea incluir en este anlisis. El campo Carpetas seleccionadas muestra todas las opciones.
Configuracin bsica de polticas antivirus y contra software espa Configurar las opciones que se aplican a los anlisis antivirus y de software espa
481
6 7
Haga clic en Aceptar hasta volver a la pgina Anlisis definido por el administrador. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos
Las acciones se utilizan para especificar cmo responden los clientes cuando un anlisis de antivirus y contra software espa detecta un virus o un riesgo de seguridad conocido. Estas acciones se aplican a Auto-Protect y a los anlisis definidos por el administrador. Las acciones para los anlisis de amenazas proactivos se configuran por separado. Ver "Acerca de los anlisis de amenazas proactivos" en la pgina 583. Las acciones permite que configure cmo responde el software de cliente cuando detecta un virus o un riesgo de seguridad conocidos. Puede asignar una primera accin y, en caso de que la primera accin no sea posible, una segunda accin. El cliente Symantec Endpoint Protection utiliza estas acciones cuando detecta un virus o un riesgo de seguridad, como publicidad no deseada o software espa. Los tipos de virus y riesgos de seguridad se presentan en la jerarqua. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos.
482
Configuracin bsica de polticas antivirus y contra software espa Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Nota: Para riesgos de seguridad, use la accin de eliminar con precaucin. En algunos casos, la eliminacin de riesgos de seguridad provoca la prdida de funcionalidad de algunas aplicaciones.
Advertencia: Si configura el software de cliente para eliminar los archivos afectados por los riesgos de seguridad, no puede restaurar los archivos. Para hacer copia de respaldo de los archivos afectados por los riesgos de seguridad, configure el software de cliente para ponerlos en Cuarentena. Para configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos
En la ficha Acciones, bajo Deteccin, seleccione un tipo de virus o riesgo de seguridad. De forma predeterminada, cada subcategora de riesgos de seguridad se configura automticamente para utilizar las acciones establecidas para la categora entera de riesgos de seguridad.
A fin de configurar una situacin especfica de una categora de riesgo de seguridad para que se efecten acciones diferentes, marque Anular acciones configuradas para Riesgos de seguridad y, a continuacin, fije las acciones exclusivas para esa categora. Bajo Acciones para, seleccione la primera y la segunda accin que el software de cliente toma cuando detecta esa categora de virus o riesgo de seguridad. Puede bloquear acciones de modo que los usuarios no puedan modificar la accin en los equipos cliente que utilizan esta poltica. Para riesgos de seguridad, use la accin de eliminar con precaucin. En algunos casos, la eliminacin de riesgos de seguridad provoca la prdida de funcionalidad de algunas aplicaciones.
4 5
Repita el paso 3 para cada categora a la que desee asignar acciones (virus y riesgos de seguridad). Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configuracin bsica de polticas antivirus y contra software espa Configurar las opciones que se aplican a los anlisis antivirus y de software espa
483
Por ejemplo, el hecho de que un usuario descargue una aplicacin o visite pginas Web puede dar como resultado una infeccin de software espa. Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente no pueda interpretar algunos caracteres en los nombres de virus. Si el sistema operativo no puede interpretar los caracteres, stos aparecen como signos de interrogacin en las notificaciones. Por ejemplo, algunos nombres de virus en unicode pueden contener caracteres de doble byte. En los equipos con el cliente en un sistema operativo en ingls, estos caracteres aparecen como signos de interrogacin. Para los anlisis de Auto-Protect de correo electrnico, es posible tambin configurar las siguientes opciones:
Adicin de avisos a los mensajes de correo electrnico infectados Notificaciones para los remitentes de mensajes de correo electrnico infectados Notificaciones para los usuarios sobre la recepcin de mensajes de correo electrnico infectados
Ver "Configurar opciones de notificacin para Auto-Protect" en la pgina 503. Las notificaciones para los resultados del anlisis de amenazas proactivo se configura por separado. Ver "Configurar notificaciones para anlisis de amenazas proactivos" en la pgina 597.
484
Configuracin bsica de polticas antivirus y contra software espa Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Archivo: C:\Autoexec.bat Ubicacin C: Equipo: ACCTG-2 Usuario: JSmith Accin efectuada: Limpiado
La Tabla 31-5 describen los campos variables disponibles para los mensajes. Tabla 31-5 Campo Variables del mensaje de notificacin Descripcin
NombreDelRiesgo- Nombre del virus o del riesgo de seguridad detectado. DeSeguridad AccinEfectuada La accin efectuada al detectar el virus o el riesgo de seguridad. Puede ser la primera o la segunda accin configurada. Estado del archivo: Infectado, No infectado o Eliminado. Esta variable de mensaje no se usa de forma predeterminada. Para mostrar esta informacin, debe agregar manualmente esta variable al mensaje. NombreArchivo RutaYNombreDeArchivo Ubicacin Equipo Usuario Nombre del archivo infectado por el virus o el riesgo de seguridad. Nombre y ruta completa del archivo infectado por el virus o el riesgo de seguridad. Unidad del equipo en la que se ubic el virus o el riesgo de seguridad. Nombre del equipo donde se detect el virus o el riesgo de seguridad. Nombre del usuario conectado al detectar el virus o el riesgo de seguridad. Tipo de evento, como Riesgo detectado. El tipo de anlisis que detect el virus o el riesgo de seguridad. Fecha en la que se detect el virus o el riesgo de seguridad. El rea afectada de la aplicacin, por ejemplo, Auto-Protect para el sistema de archivos o Auto-Protect para Lotus Notes.
Estado
Configuracin bsica de polticas antivirus y contra software espa Enviar informacin sobre anlisis a Symantec
485
Campo
DescripcinDeLaAccin
Descripcin
Descripcin completa de las acciones efectuadas en respuesta a la deteccin del virus o del riesgo de seguridad.
En la pgina Poltica antivirus y contra software espa, realice una de las siguientes acciones:
Haga clic en Anlisis definidos por el administrador. Haga clic en Auto-Protect para el sistema de archivos. Haga clic en Auto-Protect para correo electrnico de Internet. Haga clic en Auto-Protect para Microsoft Outlook. Haga clic en Auto-Protect para Lotus Notes.
2 3 4
Si seleccion Anlisis definido por el administrador, en la ficha Anlisis, haga clic en Agregar anlisis o Editar. En la ficha Notificaciones, marque Mostrar un mensaje de notificacin en el equipo infectado y modifique el cuerpo del mensaje de notificacin. Haga clic en Aceptar.
486
Configuracin bsica de polticas antivirus y contra software espa Enviar informacin sobre anlisis a Symantec
La informacin sobre el archivo y los puntos de carga del registro relacionados con la amenaza La versin del contenido que utiliz el anlisis de amenazas proactivo
No se enva ninguna informacin personal que permita identificar el equipo cliente. La informacin sobre tasas de deteccin puede ayudar a Symantec a refinar las actualizaciones de las definiciones de virus. Las tasas de deteccin muestran los virus y los riesgos de seguridad detectados con mayor frecuencia por los clientes. Symantec Security Response puede quitar las firmas que no se detectan y proporcionar una lista de definiciones de virus dividida en segmentos para los clientes que la solicitan. Las listas divididas en segmentos aumentan el rendimiento del anlisis antivirus y de software espa. Cuando un anlisis de amenazas proactivo hace una deteccin, el software de cliente verifica si la informacin sobre el proceso se ha enviado. Si se ha enviado la informacin, el cliente no enva la informacin de nuevo. Nota: Cuando los anlisis de amenazas proactivos detectan elementos de la lista de aplicaciones comerciales, la informacin sobre estas detecciones no se enva a Symantec Security Response. Cuando se habilita el envo para los procesos, se actualizan los elementos que son puestos en cuarentena por los anlisis de amenazas proactivos. Cuando se actualizan los elementos, la ventana Cuarentena indica que las muestras se han enviado a Symantec Security Response. El software de cliente no notifica a los usuarios, y la consola de administracin muestra una indicacin cuando se envan detecciones con otros tipos de acciones. Otros tipos de acciones incluyen el registro o la finalizacin. Es posible enviar muestras de cuarentena a Symantec. Ver "Enviar elementos en cuarentena a Symantec" en la pgina 491.
La fecha del archivo de control de datos del envo El porcentaje de los equipos que pueden realizar envos
Symantec publica su archivo de datos de control del envo (SCD) y lo incluye como parte de un paquete de LiveUpdate. Cada producto de Symantec tiene su propio SCD.
Configuracin bsica de polticas antivirus y contra software espa Enviar informacin sobre anlisis a Symantec
487
Cuntos envos un cliente puede realizar en un da Cunto tiempo se debe esperar para que el software de cliente vuelva a intentar envos Cuntas veces se debe volver a intentar un envo con errores Qu direccin IP del servidor de Symantec Security Response recibe el envo
Si el SCD queda obsoleto, los clientes detienen los envos. Symantec considera el SCD desactualizado cuando un equipo cliente no ha descargado contenido de LiveUpdate en 7 das. Si los clientes detienen la transmisin de envos, el software de cliente no recopila la informacin de envos y la enva ms tarde. Cuando los clientes se inician para realizar envos de nuevo, envan solamente la informacin sobre los eventos que ocurren despus del reinicio de la transmisin. Los administradores pueden tambin configurar el porcentaje de equipos que pueden realizar envos. Cada equipo cliente determina si debe enviar informacin o no. El equipo cliente selecciona aleatoriamente un nmero de 1 a 100. Si el nmero es inferior o igual al porcentaje configurado en la poltica de ese equipo, el equipo enva informacin. Si el nmero es mayor que el porcentaje configurado, el equipo no enva la informacin.
1 2 3 4 5
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Procesos, marque o deje sin marcar Permitir que los equipos cliente enven procesos detectados por los anlisis de amenazas proactivos. Cuando se selecciona este parmetro, es posible modificar el porcentaje de equipos cliente que deben enviar informacin sobre procesos. Si habilit los envos, utilice las flechas hacia arriba o hacia abajo para seleccionar el porcentaje o escriba el valor deseado en el cuadro de texto. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
488
Configuracin bsica de polticas antivirus y contra software espa Administrar los archivos en cuarentena
Para especificar si se enva informacin sobre Auto-Protect y tasas de deteccin de anlisis manual
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Tasas de deteccin, marque o deje sin marcar Permitir que los equipos cliente enven tasas de deteccin de amenazas. Cuando se selecciona este parmetro, es posible modificar el porcentaje de equipos cliente que deben enviar tasas de deteccin.
Especificacin de un directorio de cuarentena local Envo de elementos en cuarentena a Symantec Configuracin de acciones ante el arribo de nuevas definiciones
%PROGRAM_FILES%
Configuracin bsica de polticas antivirus y contra software espa Administrar los archivos en cuarentena
489
%PROGRAM_FILES_COMMON%
Esta ruta generalmente se refiere a C:\Program Files\Common Esta ruta generalmente se refiere a C:\Documents and Settings\All Users\Start Menu\Programs Esta ruta generalmente se refiere a C:\Documents and Settings\All Users\Start Menu\Programs\Startup Esta ruta generalmente se refiere a C:\Documents and Settings\All Users\Desktop Esta ruta generalmente se refiere a C:\Documents and Settings\All Users\Documents Esta ruta generalmente se refiere a C:\Windows\System32 Esta ruta generalmente se refiere a C:\Windows
%COMMON_PROGRAMS%
%COMMON_STARTUP%
%COMMON_DESKTOPDIRECTORY%
%COMMON_DOCUMENT%
%SYSTEM%
%WINDOWS%
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Cuarentena. En la ficha Otros, bajo Opciones locales de cuarentena, seleccione Especificar directorio de cuarentena. En el cuadro de texto, escriba el nombre de un directorio local en los equipos cliente. Es posible utilizar la extensin de ruta, para ello use el signo de porcentaje al escribir la ruta. Por ejemplo, es posible escribir %COMMON_APPDATA%, pero las rutas relativas no se permiten. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
490
Configuracin bsica de polticas antivirus y contra software espa Administrar los archivos en cuarentena
Es posible configurar estas opciones desde la poltica antivirus y contra software espa. Es posible configurar individualmente el nmero de das durante los que se conservarn los archivos reparados, de copia de respaldo y en cuarentena. Es posible tambin configurar el tamao mximo permitido para el directorio antes de que los archivos se quiten automticamente del equipo cliente. Se puede usar una de estas opciones, o ambas. Si se configuran los dos tipos de lmites, se depurarn primero todos los archivos de antigedad mayor a la especificada. Si el tamao del directorio an excede el lmite de tamao especificado, se eliminan los archivos anteriores uno por uno. Se eliminan archivos hasta que el tamao del directorio sea inferior al lmite. De forma predeterminada, estas opciones no estn habilitadas. Para configurar opciones de limpieza automtica
1 2 3 4
En la pgina Poltica antivirus y contra software espa, haga clic en Cuarentena. En la ficha Limpieza, bajo Archivos reparados, marque o deje sin marcar Habilitar la eliminacin automtica de archivos reparados. En el cuadro Suprimir despus de, escriba el intervalo o haga clic en las flechas para seleccionarlo. Maque la casilla de verificacin Eliminar los archivos ms antiguos para limitar el tamao del directorio en y escriba el tamao de directorio mximo permitido, en megabytes. El valor predeterminado es 50 megabytes. Bajo Archivos de copia de respaldo, marque o deje sin marcar Habilitar la eliminacin automtica de archivos de copia de respaldo. En el cuadro Suprimir despus de, escriba el intervalo o haga clic en las flechas para seleccionarlo. Maque la casilla de verificacin Eliminar los archivos ms antiguos para limitar el tamao del directorio en y escriba el tamao de directorio mximo permitido, en megabytes. El valor predeterminado es 50 megabytes. Bajo Archivos en cuarentena, marque o deje sin marcar Habilitar la eliminacin automtica de archivos en cuarentena que no se pudieron reparar. En el cuadro Suprimir despus de, escriba el intervalo o haga clic en las flechas para seleccionarlo. limitar el tamao del directorio en y escriba el tamao de directorio mximo permitido, en megabytes. El valor predeterminado es 50 megabytes.
5 6 7
Configuracin bsica de polticas antivirus y contra software espa Administrar los archivos en cuarentena
491
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Elementos en cuarentena, marque Permitir que los equipos cliente enven automticamente elementos de la cuarentena a un servidor de cuarentena. Escriba el nombre del Servidor de cuarentena. Escriba el nmero de puerto que desea utilizar y seleccione el nmero de segundos para reintentar la conexin. Cuando haya terminado de establecer la configuracin para esta poltica, haga clic en Aceptar.
3 4 5
492
Configuracin bsica de polticas antivirus y contra software espa Administrar los archivos en cuarentena
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Elementos en cuarentena, marque Permitir que los equipos cliente enven manualmente elementos de la cuarentena a Symantec Security Response. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Cuarentena. En la ficha General, bajo Cuando lleguen nuevas definiciones de virus, seleccione una de las siguientes acciones:
Reparar y restaurar automticamente de forma silenciosa Reparar de forma silenciosa sin restaurar Preguntar al usuario No hacer nada
Captulo
32
Configurar Auto-Protect
En este captulo se incluyen los temas siguientes:
Acerca de configurar Auto-Protect Acerca de los tipos de Auto-Protect Habilitar Auto-Protect para el sistema de archivos Configuracin de Auto-Protect para el sistema de archivos Configurar Auto-Protect para correo electrnico de Internet Configurar Auto-Protect para Microsoft Outlook Configurar Auto-Protect para Lotus Notes Configurar opciones de notificacin para Auto-Protect
494
Auto-Protect para el sistema de archivos Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect
De forma predeterminada, se habilitan todos los tipos de Auto-Protect. Si los equipos cliente ejecutan otros productos de seguridad de correo electrnico, como Symantec Mail Security, es posible que no necesite habilitar Auto-Protect para el correo electrnico. Ver "Acerca de los anlisis de Auto-Protect" en la pgina 460.
1 2 3
En la consola, haga clic en Clientes y, bajo Ver clientes, seleccione el grupo que incluye los equipos para los cuales se desea habilitar Auto-Protect. En el panel derecho, seleccione la ficha Clientes. Realice una de las acciones siguientes:
495
En el panel izquierdo, bajo Ver clientes, haga clic con el botn secundario en el grupo para el cual desea habilitar Auto-Protect. En el panel derecho, en la ficha Clientes, seleccione los equipos y los usuarios para los cuales desea habilitar Auto-Protect y, despus, haga clic con el botn secundario en la seleccin.
Haga clic en Ejecutar comando en el grupo > Habilitar Auto-Protect Haga clic en Ejecutar comando en los clientes > Habilitar Auto-Protect
En el mensaje que aparece, haga clic en Aceptar. Si desea habilitar o deshabilitar Auto-Protect para el correo electrnico, debe incluir la configuracin en la poltica antivirus y contra software espa.
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para el sistema de archivos. Bajo anlisis, en Tipos de archivos, seleccione una de las siguientes opciones
496
En Opciones adicionales, active o desactive Analizar en busca de riesgos de seguridad y Bloquear la instalacin de riesgos de seguridad. Ver "Acerca de anlisis y bloqueo de riesgos de seguridad con Auto-Protect" en la pgina 496.
5 6 7
En Configuracin de red, active o desactive Red para habilitar o deshabilitar el anlisis de Auto-Protect de archivos de red. Si activ Red, haga clic en Configuracin de red. En el cuadro de dilogo Configuracin de red, realice una de las siguientes acciones:
Habilite o deshabilite Auto-Protect para que confe en los archivos de los equipos remotos que ejecutan Auto-Protect. Configure las opciones de memoria cach de la red para los anlisis de Auto-Protect.
8 9
Haga clic en Aceptar. En la ficha Acciones, configure las opciones de las acciones. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 481.
497
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y software espa. Pone en cuarentena los archivos infectados. Quita o repara los efectos secundarios de los riesgos de seguridad.
En los casos en que bloquear la instalacin de un riesgo de seguridad no afecta la estabilidad del equipo, Auto-Protect tambin bloquea la instalacin, de forma predeterminada. Si Symantec determina que el bloqueo de un riesgo de seguridad podra poner en peligro la estabilidad de un equipo, Auto-Protect permite la instalacin del riesgo. Auto-Protect tambin toma inmediatamente la medida que se configura para el riesgo. Sin embargo, de vez en cuando quizs sea necesario deshabilitar temporalmente el anlisis de riesgos de seguridad en Auto-Protect y volver a habilitarlo. Puede tambin ser necesario deshabilitar el bloqueo de riesgos de seguridad para controlar el momento en que Auto-Protect reacciona ante ciertos riesgos de seguridad. Nota: No es posible deshabilitar el anlisis de riesgos de seguridad en otros tipos de anlisis. Sin embargo, es posible configurar Symantec Endpoint Protection para que no haga nada con los riesgos de seguridad y slo registre la deteccin. Puede tambin excluir riesgos especficos de forma global de todos los tipos de anlisis agregndolos a la lista de excepciones centralizadas. Ver "Acerca de las polticas de excepciones centralizadas" en la pgina 643.
498
1 2 3 4
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Detalles del anlisis, bajo Anlisis, haga clic en Anlisis y supervisin avanzados. Bajo Analizar archivos, especifique qu actividades activan anlisis. Bajo Opciones de deteccin Bloodhound(TM), active o desactive Habilitar deteccin de virus Bloodhound (TM). Es posible tambin modificar el nivel de proteccin. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
5 6
Buscar y registrar el nombre del equipo NetBIOS del equipo y su direccin IP. Buscar y registrar al usuario que inici sesin en el equipo en momento del envo. Mostrar la informacin en el cuadro de dilogo Propiedades de riesgos.
Rtvscan sondea cada segundo de forma predeterminada en busca de sesiones de red y guarda en la memoria cach esta informacin como una lista de origen secundaria de equipos remotos. Esta informacin maximiza la frecuencia con la que el Buscador de riesgos puede identificar correctamente el equipo remoto infectado. Por ejemplo, un riesgo puede cerrar el recurso de red compartido antes de que Rtvscan pueda registrar la sesin de red. Entonces, el Buscador de riesgos utilizar la lista de origen secundaria para intentar identificar el equipo remoto. Es posible configurar esta informacin en el cuadro de dilogo Opciones avanzadas de Auto-Protect. La informacin del Buscador de riesgos aparece en el cuadro de dilogo Propiedades del riesgo y slo est disponible para las entradas de riesgos causadas por archivos
499
infectados. Cuando el Buscador de riesgos determina que la actividad del host local caus una infeccin, enumera el origen como el host local. El Buscador de riesgos clasifica un origen como desconocido cuando las condiciones siguientes son verdades:
No logra identificar el equipo remoto. El usuario autenticado para compartir un archivo remite a varios equipos. Esto puede ocurrir cuando un ID de usuario se asocia a varias sesiones de red. Por ejemplo, varios equipos pueden iniciar sesin en un servidor de archivos compartidos con el mismo ID de usuario de servidor.
Es posible registrar la lista completa de los equipos remotos que infectan actualmente el equipo local. Configure el valor de la cadena HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\ProductControl\Debug como THREATTRACER X en el equipo cliente local. El valor THREATTRACER activa el resultado de la depuracin y la X garantizan que slo aparezcan los resultados de la depuracin relacionados con el Buscador de riesgos. Tambin puede agregar una L para asegurarse de que los resultados se incluyan en el archivo de registro <Carpeta_programa_SAV>\vpdebug.log. Para asegurarse de que no aparezca la ventana de depuracin, agregue XW. Si desea intentar esta opcin, utilice el archivo de prueba de virus Eicar.com, disponible en: www.eicar.org El Buscador de riesgos tambin incluye una opcin para bloquear las direcciones IP de los equipos de origen. Para que esta opcin tenga efecto, es necesario configurar la opcin correspondiente en las polticas de firewall para habilitar este tipo de bloqueo automtico.
500
conexiones seguras y no analiza los mensajes cifrados. Aunque Auto-Protect para correo electrnico de Internet no analiza mensajes cifrados, contina protegiendo los equipos contra virus y riesgos de seguridad en archivos adjuntos. Esta funcin analiza los archivos adjuntos de correo electrnico al guardarlos en el disco duro. Nota: Auto-Protect para correo electrnico de Internet no se admite para equipos de 64 bits. Auto-Protect para correo electrnico de Internet tampoco admite el anlisis del correo electrnico POP3 en los sistemas operativos del servidor. El cliente de Symantec Endpoint Protection tambin proporciona el anlisis heurstico del correo electrnico saliente. El anlisis heurstico utiliza la deteccin de virus Bloodhound para identificar los riesgos que se pueden contener en mensajes de salida. Cuando el cliente analiza los mensajes de correo electrnico salientes, el anlisis ayuda a prevenir la extensin de riesgos. Estos riesgos incluyen los gusanos que pueden utilizar clientes de correo electrnico para replicarse y distribuirse a travs de una red. El anlisis del correo electrnico no es compatible con los siguientes clientes de correo:
Clientes IMAP Clientes AOL Correo electrnico basado en HTTP como Hotmail y Yahoo! Correo
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar Auto-Protect para correo electrnico de Internet
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para correo electrnico de Internet. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para correo electrnico de Internet. En Anlisis, bajo Tipos de archivos, seleccione el tipo de archivo que desee analizar:
501
5 6
Haga clic en Aceptar. En la ficha Acciones, configure las opciones de las acciones. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 481.
7 8
Haga clic en Aceptar. En la ficha Notificaciones, bajo Notificaciones por correo electrnico, configure cualquiera de las siguientes opciones:
Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros.
10 En la ficha Avanzada, bajo Conexiones cifradas, habilite o deshabilite las 11 Bajo Anlisis heurstico de gusanos en correo masivo, active o desactive
Heurstica de gusanos salientes.
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para Microsoft Outlook. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para Microsoft Outlook. En Anlisis, bajo Tipos de archivos, seleccione el tipo de archivo que desee analizar:
502
4 5 6
Active o desactive Analizar archivos incluidos en archivos comprimidos. Haga clic en Aceptar. En la ficha Acciones, configure las opciones de las acciones. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 481.
7 8
Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros.
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para Lotus Notes. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para Lotus Notes. En Anlisis, bajo Tipos de archivos, seleccione el tipo de archivo que desee analizar:
503
5 6
Haga clic en Aceptar. En la ficha Acciones, configure las opciones de las acciones. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 481.
7 8
Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros.
Agregar un aviso a los mensajes de correo electrnico sobre los equipos infectados. Notificar a los remitentes de mensajes de correo electrnico infectados. Notificar a otros usuarios sobre la recepcin de mensajes de correo electrnico infectados.
Es posible personalizar los mensajes de correo electrnico que se envan para notificar a los usuarios.
504
Nota: Tenga precaucin cuando se configure opciones para notificar a los remitentes y a otros usuarios sobre mensajes de correo electrnico infectados. La direccin del mensaje de correo electrnico infectado puede ser falsificada. Si enva notificaciones, es posible que genere correo electrnico no deseado y aumente el trfico de la red. Los campos variables que usted personaliza para los mensajes y el correo electrnico de las notificaciones son levemente diferentes. Es posible personalizar la informacin del cuerpo del mensaje y la informacin del campo de infeccin. La Tabla 32-1 describe los campos del cuerpo del mensaje de correo electrnico. Tabla 32-1 Campo
Usuario
FechaDeteccin RemitenteDeCorreo
ListaDeDestinatarios
La Tabla 32-2 describe los campos de informacin de la infeccin. Tabla 32-2 Campo Campos de informacin de la infeccin Descripcin
NombreDelRiesgoDeSeguridad Nombre del virus o del riesgo de seguridad detectado. AccinEfectuada La accin efectuada al detectar el virus o el riesgo de seguridad. Puede ser la primera o la segunda accin configurada. Estado del archivo: Infectado, No infectado o Eliminado. Esta variable de mensaje no se usa de forma predeterminada. Para mostrar esta informacin, agregue manualmente esta variable al mensaje. NombreArchivo Nombre del archivo infectado por el virus o el riesgo de seguridad.
Estado
505
Campo
RutaYNombreDeArchivo
Descripcin
Nombre y ruta completa del archivo infectado por el virus o el riesgo de seguridad. Nombre del equipo donde se detect el virus o el riesgo de seguridad. Nombre del usuario conectado al detectar el virus o el riesgo de seguridad. Fecha en la que se detect el virus o el riesgo de seguridad. Nombre del archivo adjunto que contiene el virus o el riesgo de seguridad. El rea afectada de la aplicacin. Por ejemplo, el nombre del almacenamiento puede ser Auto-Protect para el sistema de archivos o Auto-Protect para Lotus Notes.
Equipo
Usuario
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Notificaciones, active o desactive Mostrar el cuadro de dilogo de resultados de Auto-Protect en el equipo infectado. Cuando haya terminado de establecer la configuracin de polticas, haga clic en Aceptar.
506
tambin cuando se le cambia el nombre o cuando no se hace nada con l. El aviso informa sobre el virus encontrado y detalla la accin que se ha llevado a cabo. Puede agregar el siguiente texto al principio del mensaje de correo electrnico que contiene el archivo infectado: Symantec Endpoint Protection encontr riesgos de seguridad en un archivo adjunto de [RemitenteDeCorreo]. Adems, se aade al mensaje la siguiente informacin relativa a cada archivo infectado:
El nombre del archivo adjunto El nombre del riesgo Las medidas tomadas El estado de infeccin del archivo
Se pueden personalizar el asunto y el cuerpo del mensaje. El mensaje incluye el campo [RemitenteDeCorreo]. Todos los campos que aparecen entre corchetes contienen informacin variable. Es posible personalizar el mensaje predeterminado. El aviso aparecer ante el destinatario de la siguiente forma: Symantec Endpoint Protection encontr un riesgo de seguridad en un archivo adjunto de Juan.Fernandez@ miempresa.com. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para agregar avisos de correo electrnico a los mensajes de correo electrnico infectados
En la pgina Poltica antivirus y contra software espa, realice una de las siguientes acciones:
Haga clic en Auto-Protect para correo electrnico de Internet. Haga clic en Auto-Protect para Microsoft Outlook. Haga clic en Auto-Protect para Lotus Notes.
2 3
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, marque Insertar un aviso en el mensaje de correo electrnico. Haga clic en Advertencia y realice una de las siguientes acciones:
507
El nombre del archivo adjunto El nombre del riesgo Las medidas tomadas El estado de infeccin del archivo
Tambin es posible personalizar este mensaje. Para notificar a los remitentes de mensajes de correo electrnico infectados
En la pgina Poltica antivirus y contra software espa, realice una de las siguientes acciones:
Haga clic en Auto-Protect para correo electrnico de Internet. Haga clic en Auto-Protect para Microsoft Outlook.
508
2 3 4
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active Enviar correo electrnico a remitente. Haga clic en Remitente. En el cuadro de dilogo Enviar correo electrnico a remitente, en la ficha Mensaje, bajo Texto del mensaje, realice una de las siguientes acciones:
Haga clic en Aceptar para aceptar el mensaje predeterminado. Escriba el asunto, el cuerpo del mensaje y la informacin de la infeccin para que aparezcan en cada mensaje. Luego, haga clic en Aceptar. Es posible hacer clic en Ayuda para obtener informacin sobre las variables que puede utilizar en el mensaje.
Para Auto-Protect para correo electrnico de Internet solamente, en la ficha Servidor de correo electrnico, escriba la siguiente informacin:
El nombre y el puerto del servidor de correo El nombre de usuario y la contrasea La ruta inversa del correo electrnico
509
Symantec Endpoint Protection encontr un riesgo de seguridad en un archivo adjunto proveniente de [RemitenteDeCorreo]. Adems, se aade al mensaje la siguiente informacin relativa a cada archivo infectado:
El nombre del archivo adjunto El nombre del riesgo Las medidas tomadas El estado de infeccin del archivo
Tambin es posible personalizar este mensaje. Para notificar a otros usuarios sobre mensajes de correo infectado
En la pgina Poltica antivirus y contra software espa, realice una de las siguientes acciones:
Haga clic en Auto-Protect para correo electrnico de Internet. Haga clic en Auto-Protect para Microsoft Outlook. Haga clic en Auto-Protect para Lotus Notes.
2 3 4
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active Enviar correo electrnico a otros. Haga clic en Otros. En el cuadro de dilogo Enviar correo electrnico a otros, en la ficha Otros, proporcione una o ms direcciones de correo electrnico a las cuales deben enviarse las notificaciones. Haga clic en la ficha Mensaje y escriba un asunto, el cuerpo del mensaje y la informacin de infeccin que aparecer en cada mensaje. Es posible hacer clic en Ayuda para obtener informacin sobre las variables que puede utilizar en el mensaje.
Para Auto-Protect para correo electrnico de Internet solamente, en la ficha Servidor de correo electrnico, escriba la siguiente informacin:
El nombre y el puerto del servidor de correo El nombre de usuario y la contrasea La ruta inversa del correo electrnico
7 8
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
510
Si se debe mostrar o no una ventana de progreso en el equipo cliente cuando se enva un mensaje de correo electrnico. Si se debe mostrar o no un icono en el rea de notificacin para indicar el estado de transmisin del correo electrnico.
Estas opciones estn habilitadas de forma predeterminada. Para configurar notificaciones de progreso
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para correo electrnico de Internet. En la ficha Notificaciones, bajo Notificaciones de progreso, realice las siguientes acciones:
Active o desactive Mostrar un indicador de progreso al enviar correo electrnico. Active o desactive Mostrar un icono en el rea de notificacin.
Captulo
33
Acerca del uso de los anlisis definidos por administrador Agregar anlisis programados a una poltica antivirus y contra software espa Configurar opciones de anlisis manual Ejecutar anlisis manuales Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador Configurar opciones avanzadas para anlisis definidos por el administrador
512
Usar anlisis definidos por el administrador Agregar anlisis programados a una poltica antivirus y contra software espa
Nota: Para los equipos cliente administrados, Symantec Endpoint Protection proporciona un anlisis programado predeterminado que analiza todos los archivos, carpetas y ubicaciones en los equipos cliente. Algunas opciones para los anlisis definidos por el administrador son similares a las opciones para los anlisis de Auto-Protect. Las opciones similares incluyen las acciones de deteccin y las notificaciones que usted especifica. Ver "Configurar las opciones que se aplican a los anlisis antivirus y de software espa" en la pgina 478.
1 2 3 4 5 6 7
En la pgina Polticas antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis programados, haga clic en Agregar. En el cuadro de dilogo Agregar anlisis programado, seleccione Crear un nuevo anlisis programado. Haga clic en Aceptar. En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del anlisis, escriba un nombre y una descripcin para este anlisis programado. Seleccione el tipo de anlisis (Rpido, Completo o Personalizado). Si seleccion Personalizado, bajo Anlisis, es posible especificar qu directorios se deben analizar.
Usar anlisis definidos por el administrador Agregar anlisis programados a una poltica antivirus y contra software espa
513
Bajo Tipos de archivos, seleccione Analizar todos los archivos o Analizar slo las extensiones seleccionadas. Ver "Configurar anlisis de las extensiones de archivo seleccionadas" en la pgina 479.
En Comprobar lo siguiente para mejorar el anlisis, seleccione Memoria, Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y riesgos de seguridad.
10 Haga clic en Opciones de anlisis avanzadas. 11 Configure las opciones para los archivos comprimidos, la migracin del
almacenamiento o la optimizacin del rendimiento.
12 Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis. 13 En la ficha Programacin, bajo Programacin de anlisis, configure la
frecuencia y la hora en las cuales el anlisis se debe ejecutar.
16 Si desea guardar este anlisis como plantilla, seleccione Guardar una copia
como plantilla de anlisis programado.
1 2 3 4 5
En la pgina Polticas antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis programados, haga clic en Agregar. En el cuadro de dilogo Agregar anlisis programado, seleccione Crear un anlisis programado a partir de una plantilla de anlisis programado. Seleccione la plantilla de anlisis que usted desea utilizar para esta poltica. Haga clic en Aceptar.
514
Usar anlisis definidos por el administrador Agregar anlisis programados a una poltica antivirus y contra software espa
especfico. Si el cliente no puede iniciar el anlisis en ese intervalo, no lo llevar a cabo. Si el usuario que defini un anlisis no est conectado, el software de cliente ejecuta el anlisis de todos modos. Es posible especificar que el cliente no ejecute el anlisis si el usuario no est conectado. La Tabla 33-1 describe los intervalos de tiempo predeterminados. Tabla 33-1 Intervalos de tiempo predeterminados Intervalo predeterminado
8 horas 3 das 11 das
Si no desea utilizar el intervalo predeterminado, puede especificar uno diferente para intentar realizar el anlisis programado. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Es posible configurar las opciones para los anlisis programados no realizados al crear un anlisis programado o al editar un anlisis programado existente. Para establecer opciones para anlisis programados no realizados
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis programados, realice una de las siguientes acciones:
Haga clic en Agregar y, en el cuadro de dilogo Agregar anlisis programado, asegrese de que Crear un nuevo anlisis programado est marcada. Haga clic en Aceptar. Seleccione un anlisis de la lista y haga clic en Editar.
En la ficha Programar, bajo Anlisis programados no realizados, marque Reintentar el anlisis programado ennmerohoras de la hora programada. Escriba el nmero o utilice las flechas para especificar el intervalo de tiempo para que el cliente reintente el anlisis programado.
515
1 2 3 4
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, seleccione el anlisis que desea editar y haga clic en Editar. En el cuadro de dilogo Editar anlisis programado, haga las modificaciones que desee. Haga clic en Aceptar.
1 2 3 4
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, seleccione el anlisis que desea eliminar. Haga clic en Eliminar. En el mensaje que aparece, haga clic en S.
1 2 3 4 5
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, seleccione el anlisis que desea deshabilitar en esta poltica. Haga clic en Editar. En el cuadro de dilogo Editar anlisis programado, en la ficha Programar, deje sin marcar Habilitar anlisis. Haga clic en Aceptar.
516
Es posible tambin ejecutar anlisis manuales desde la pgina Supervisin en la consola de administracin. No es posible configurar un nombre o una descripcin de anlisis para las opciones de anlisis. El cliente utiliza las opciones siempre que se ejecuta un anlisis manual personalizado desde la consola de administracin en el equipo cliente. Nota: Es posible ejecutar un anlisis rpido o un anlisis completo cuando lo necesite. Ver "Acerca de anlisis definidos por el administrador" en la pgina 464. Las opciones para los anlisis manuales son similares a las de los anlisis programados. Ver "Agregar anlisis programados a una poltica antivirus y contra software espa" en la pgina 512. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar opciones para los anlisis manuales
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis manual del administrador, haga clic en Editar. En el cuadro de dilogo Editar anlisis manual del administrador, en la ficha Detalles del anlisis, bajo Anlisis, haga clic en Editar carpetas. De forma predeterminada, el anlisis incluye todas las carpetas. En el cuadro de dilogo Editar carpetas, seleccione las carpetas deseadas y haga clic en Aceptar. En el cuadro de dilogo Editar anlisis manual del administrador, bajo Tipos de archivos, seleccione Analizar todos los archivos o Analizar slo las extensiones seleccionadas. Ver "Acerca de analizar extensiones o carpetas seleccionadas" en la pgina 466.
4 5
Bajo Comprobar lo siguiente para mejorar el anlisis, marque o deje sin marcar Memoria, Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y riesgos de seguridad. Haga clic en Opciones de anlisis avanzadas. Configure las opciones para los archivos comprimidos, la migracin del almacenamiento o la optimizacin del rendimiento.
7 8
517
Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis.
Todos los directorios Todos los tipos de archivo Memoria Ubicaciones comunes de infecciones Ubicaciones conocidas de virus y riesgos de seguridad
Ver "Configurar opciones de anlisis manual" en la pgina 515. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Nota: Si se emite un comando de reinicio en un equipo cliente que ejecuta un anlisis manual, el anlisis se detiene y el equipo cliente se reinicia. El anlisis no se reinicia.
518
Usar anlisis definidos por el administrador Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
1 2 3 4 5
En la consola, haga clic en Clientes y, bajo Ver clientes, haga clic con el botn secundario en el grupo que incluye los equipos que desea analizar. Haga clic en Ejecutar comando en el grupo > Anlisis. En el cuadro de dilogo Seleccionar tipo de anlisis, seleccione Anlisis rpido, Anlisis completo o Anlisis personalizado. Haga clic en Aceptar. En el mensaje que aparece, haga clic en Aceptar.
En la consola, haga clic en Clientes. A continuacin, en el panel derecho, bajo Clientes, seleccione los equipos y los usuarios para los cuales desea ejecutar un anlisis. Haga clic con el botn secundario en la seleccin y despus haga clic en Ejecutar comando en los clientes > Anlisis. En el cuadro de dilogo Seleccionar tipo de anlisis, seleccione Anlisis rpido, Anlisis completo o Anlisis personalizado. Haga clic en Aceptar. En el mensaje que aparece, haga clic en Aceptar.
2 3 4 5
Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
Es posible configurar si el cuadro de dilogo Resultados del anlisis aparece en los equipos cliente. Si permite que el cuadro de dilogo aparezca en los equipos cliente, siempre se permite a los usuarios interrumpir momentneamente o retrasar un anlisis definido por el administrador. Es posible permitir que los usuarios detengan un anlisis por completo. Es posible tambin configurar las opciones sobre cmo los usuarios podrn interrumpir o retrasar los anlisis. Las posibles acciones de usuario posibles son las siguientes:
Anlisis interrumpido Cuando un usuario interrumpe el anlisis, el cuadro de dilogo de resultados del anlisis permanece abierto, en espera de que el usuario reanude o cancele el anlisis. Si se apaga el equipo, el anlisis interrumpido no continuar.
Usar anlisis definidos por el administrador Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
519
Anlisis pospuesto
Cuando un usuario pospone un anlisis programado, el usuario tiene la opcin de posponer el anlisis por una o por tres horas. Es posible configurar la cantidad de veces que puede posponerlo. Cuando se pospone un anlisis, el cuadro de dilogo de resultados se cierra y reaparece cuando finaliza el perodo de aplazamiento y se reanuda el anlisis. Cuando un usuario detiene un anlisis, ste generalmente se detiene de inmediato. Si un usuario detiene un anlisis mientras el software de cliente analiza un archivo comprimido, el anlisis no se detiene inmediatamente. En ese caso, la detencin se produce al finalizar el anlisis del archivo comprimido. Los anlisis que se hayan detenido no se reanudarn.
Anlisis detenido
Los anlisis interrumpidos se reanudan automticamente una vez que transcurre el intervalo de tiempo especificado. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Avanzadas, bajo Opciones de progreso de anlisis, seleccione Mostrar el progreso del anlisis o Mostrar el progreso del anlisis si se detecta un riesgo. Para cerrar automticamente el indicador de progreso del anlisis despus de que el anlisis termine, marque Cerrar la ventana de progreso del anlisis al finalizar. Marque la opcin Permitir al usuario detener el anlisis. Haga clic en Opciones para interrumpir. En el cuadro de dilogo Opciones de pausa del anlisis, realice una de las siguientes acciones:
4 5 6
Para limitar el tiempo durante el que un usuario puede interrumpir un anlisis, marque Limitar el tiempo durante el que puede interrumpirse el anlisis y escriba una cantidad de minutos. El intervalo es de 3 a 180. Para limitar el nmero de veces que un usuario puede retrasar (o posponer) un anlisis, en el cuadro Cantidad mxima de oportunidades para posponer, escriba un nmero entre 1 y 8.
520
Usar anlisis definidos por el administrador Configurar opciones avanzadas para anlisis definidos por el administrador
De forma predeterminada, el usuario puede posponer un anlisis durante una hora. Para modificar este lmite a 3 horas, marque Permitir a los usuarios posponer el anlisis durante 3 horas.
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Avanzadas, bajo Anlisis programados, active o desactive las siguientes opciones:
Retrasar los anlisis programados cuando el equipo est funcionando con batera Permitir que se ejecuten anlisis programados definidos por el usuario cuando el autor no est conectado
Bajo Anlisis al iniciar y anlisis activados, marque o deje sin marcar las siguientes opciones:
Ejecutar anlisis de inicio cuando los usuarios inicien sesin Permitir a los usuarios modificar los anlisis de inicio Ejecutar un anlisis rpido cuando lleguen nuevas definiciones
Seccin
Configuracin bsica de la proteccin contra amenazas de red Configurar la prevencin de intrusiones Personalizar la proteccin contra amenazas de red
522
Captulo
34
Acerca de la proteccin contra amenazas de red Acerca del firewall Acerca de trabajar con polticas de firewall Acerca de las normas de firewall Agregar normas vacas Agregar normas con el asistente para la configuracin de normas Agregar normas heredadas de un grupo principal Importar y exportar normas Editar y eliminar normas Copiar y pegar normas Alteracin del orden de las normas Habilitar e deshabilitar normas Habilitar el filtro de trfico inteligente Habilitar configuracin de trfico y de ocultacin
524
Configuracin bsica de la proteccin contra amenazas de red Acerca de la proteccin contra amenazas de red
Cmo Symantec Endpoint Protection protege los equipos contra ataques de red
El cliente Symantec Endpoint Protection incluye las siguientes herramientas que protegen los equipos de su organizacin contra intentos de intrusin:
Firewall Supervisa todas las comunicaciones de Internet y crea un escudo que bloquea o limita los intentos de visualizar la informacin del equipo. Analiza toda la informacin entrante y la informacin saliente para los modelos de los datos que son tpicos de un ataque. Ver "Acerca del sistema de prevencin de intrusiones" en la pgina 547.
Prevencin de intrusiones
525
Equipo cliente
Internet
Toda la informacin que entra en la red privada o sale de ella debe pasar a travs del firewall, que examina los paquetes de informacin. El firewall bloquea los paquetes que no cumplen con los criterios de seguridad especificados. La manera en que el firewall examina los paquetes de informacin es con el uso de polticas de firewall. Las polticas de firewall tienen una o ms normas que trabajan juntas para permitir o bloquear el acceso de usuarios a la red. Solamente el trfico autorizado puede pasar. Las polticas de firewall definen el trfico autorizado. El firewall se ejecuta en segundo plano. Usted determina el nivel de interaccin que desea que los usuarios tengan con el cliente permitiendo o bloqueando su capacidad de configurar normas de firewall y opciones del firewall. Los usuarios pueden interactuar con el cliente solamente cuando les notifica sobre nuevas conexiones de red y problemas posibles, o puede ser que tengan total acceso a la interfaz de usuario. Ver "Acerca de las normas de firewall" en la pgina 527.
526
Configuracin bsica de la proteccin contra amenazas de red Acerca de trabajar con polticas de firewall
Es posible configurar una ubicacin en control del cliente o en control mixto de modo que el usuario pueda personalizar las polticas de firewall. Ver "Configurar las opciones de proteccin contra amenazas de red para el control mixto" en la pgina 565.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
527
Las polticas de firewall se crean y editan de forma similar a otros tipos de polticas. Puede asignar, quitar, reemplazar, copiar, exportar, importar o eliminar polticas de firewall. Se asigna tpicamente una poltica a los grupos varios en su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Los pasos de este captulo asumen que usted est familiarizado con los fundamentos de la configuracin de polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 397.
528
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
Acciones
Permitir o bloquear, y registrar o no registrar. Los parmetros de accin especifican qu medidas toma el firewall cuando una norma coincide. Si la norma coincide y se selecciona en respuesta a un paquete recibido, el firewall realiza todas las acciones. El firewall permite o bloquea el paquete, y registra o no el paquete. Si el firewall permite el trfico, permite que el trfico especificado por la norma acceda a la red. Si el firewall bloquea el trfico, bloquea el trfico especificado por la norma para que no acceda a la red.
Una norma que combina todos los criterios puede permitir trfico a la direccin IP 192.58.74.0 en el puerto remoto 80 todos los das entre las 9 y las 5 P.M.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
529
La Figura 34-1 ilustra la relacin de origen y destino con respecto a la direccin del trfico. Figura 34-1 Hosts de origen y destino
Origen
` Cliente de SEP HTTP
Destino
Symantec.com
Destino
` Cliente de SEP RDP
Origen
` Otro cliente
530
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
La Figura 34-2 ilustra la relacin del host local y el host remoto con respecto a la direccin del trfico. Figura 34-2 Host local y remoto
Local
` Cliente de SEP HTTP
Remoto
Symantec.com
Local
` Cliente de SEP RDP
Remoto
` Otro cliente
Es posible definir varios hosts de origen y varios hosts de destino. Los hosts que usted define de cualquier lado de la conexin se evalan mediante la instruccin O. La relacin entre los hosts seleccionados se evala mediante una instruccin Y. Por ejemplo, considere una norma que defina un solo host local y varios host remotos. Como el firewall examina los paquetes, el host local debe coincidir con la direccin IP relevante. Sin embargo, las caras de oposicin de la direccin pueden coincidir con cualquier host remoto. Por ejemplo, es posible definir una norma para permitir la comunicacin HTTP entre el host local y symantec.com, yahoo.com, o google.com. La norma es igual que tres normas. Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 568.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
531
IP
Nmero de protocolo (tipo de IP). Ejemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Ethernet
Tipo del marco de Ethernet. Ejemplos: Tipo 0x0800 = IPv4, Tipo = 0x8BDD = IPv6, Tipo 0x8137 = IPX
Cuando usted define elementos que activan servicios basados en TCP o UDP, identifica los puertos en ambos lados de la conexin de red descrita. Tradicionalmente, los puertos se consideran el origen o el destino de una conexin de red. Es posible definir la relacin del servicio de red de cualquiera de las siguientes maneras:
Origen y destino El puerto de origen y el puerto de destino dependen de la direccin del trfico. En algn caso, es posible que el equipo cliente local maneje el puerto de origen, mientras que, en otro caso, puede manejarlo el equipo remoto. El equipo host local maneja siempre el puerto local y el equipo remoto maneja siempre el puerto remoto. Esta expresin del vnculo del puerto es independiente de la direccin del trfico.
Se especifica la direccin del trfico cuando usted define el protocolo. Es posible definir diversos protocolos. Por ejemplo, una norma puede incluir los protocolos ICMP, IP y TCP. La norma describe diversos tipos de conexiones establecidos entre los equipos cliente identificados o utilizados por una aplicacin.
Ethernet Inalmbrico Acceso telefnico Cualquier VPN Adaptadores virtuales especficos de proveedores
Cuando se define un tipo determinado de adaptador, tenga en cuenta cmo se utiliza ese adaptador. Por ejemplo, si una norma permite trfico saliente HTTP
532
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
de los adaptadores de Ethernet, HTTP se permite a travs de todos los adaptadores instalados del mismo tipo. La nica excepcin es si tambin especifica direcciones del host local. El equipo cliente puede utilizar los servidores multi NIC y las estaciones de trabajo que conectan dos o ms segmentos de la red. Para controlar el trfico concerniente a un adaptador determinado, se debe utilizar el esquema de la direccin de cada segmento en lugar del adaptador mismo.
Prioridad
Primer lugar
Segundo lugar Configuracin de la prevencin de intrusiones, configuracin del trfico y modo de ocultacin Tercer lugar Cuarto lugar Quinto lugar Sexto lugar Filtros de trfico inteligentes Normas de firewall Comprobacin de anlisis de puertos Firmas IPS que se descargan con LiveUpdate
La lista Normas contiene una lnea divisoria azul. La lnea divisoria configura la prioridad de las normas en las siguientes situaciones:
Cuando un subgrupo hereda normas de un grupo principal. Cuando el cliente se configura en control mixto. El firewall procesa normas del servidor y normas de clientes.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
533
La Figura 34-3 visualiza una lista de normas y la lnea divisoria azul. Figura 34-3 Lista de normas
Sobre la lnea divisoria azul, las normas que la poltica hereda toman precedencia sobre las normas que usted crea. Bajo la lnea divisoria azul, las normas que usted crea toman precedencia sobre las normas que la poltica hereda.
La Figura 34-4 visualiza cmo la lista de normas pide normas cuando un subgrupo hereda normas de un grupo principal. En este ejemplo, el grupo de ventas es el grupo principal. El grupo de ventas de Europa hereda del grupo de ventas.
534
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
Figura 34-4
Grupo Ventas
Norma 1
Norma 3 Norma 3
Lnea azul
Lnea azul
Lnea azul
Norma 2
Norma 4
Norma 4
Toma precedencia
Norma 2
Control mixto
Control de clientes
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
535
Para los clientes de control mixto, el firewall procesa las normas del servidor y las normas de clientes en un orden determinado. La Tabla 34-3 enumera el orden en que el firewall procesa las normas del servidor, las normas de clientes y la configuracin de los clientes. Tabla 34-3 Prioridad de procesamiento de normas del servidor y de normas de clientes Tipo o configuracin de la norma
Normas del servidor con los niveles prioritarios (normas ubicadas sobre la lnea azul en la lista de normas) Normas de clientes Normas del servidor con los niveles prioritarios ms bajos (normas ubicadas bajo la lnea azul en la lista de normas) En el cliente, las normas del servidor ubicadas bajo la lnea azul se procesan despus de normas de clientes. Cuarto lugar Quinto lugar Configuracin de seguridad de los clientes Configuracin especfica de la aplicacin del cliente
Prioridad
Primer lugar
En el cliente, los usuarios pueden modificar las normas de clientes o la configuracin de seguridad, pero no pueden modificar una norma del servidor. Advertencia: Si el cliente est en control mixto, los usuarios pueden crear una norma de cliente que permita todo el trfico. Esta norma anula todas las normas del servidor ubicadas bajo la lnea azul. Ver "Alteracin del orden de las normas" en la pgina 544.
536
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
Web hacia el cliente que inici la comunicacin. Una norma debe permitir el trfico saliente inicial antes de que el firewall registre la conexin. La inspeccin de estado permite simplificar las bases de normas, dado que evita la necesidad de crear normas que permitan el trfico en las dos direcciones para el trfico que normalmente slo se inicia en una direccin. El trfico del cliente que se inicia normalmente en una direccin incluye Telnet (puerto 23), HTTP (puerto 80) y HTTPS (puerto 443). Los clientes inician este trfico saliente, de forma que slo es necesario crear una norma que permita el trfico saliente para estos protocolos. El firewall permite el trfico de retorno. Al configurar solamente las normas de salida, se aumenta la seguridad del cliente de las siguientes maneras:
Se reduce la complejidad de las bases de normas. Se elimina la posibilidad de que un gusano o cualquier otro programa malicioso pueda iniciar conexiones con clientes en puertos configurados slo para el trfico de salida. Tambin puede configurar slo las normas de entrada para el trfico con los clientes que no haya sido iniciado por ellos.
La inspeccin de estado es compatible con todas las normas que dirigen el trfico TCP. No es compatible con las normas que filtran el trfico ICMP. Para el trfico ICMP, se deben crear normas que permitan el trfico en ambas direcciones cuando sea necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban respuestas, deber crear una norma que permita el trfico ICMP en ambas direcciones. Ya que el firewall tiene estados incluidos, slo se deben crear las normas que inician una conexin, no las caractersticas de un paquete determinado. Todos los paquetes que pertenecen a una conexin permitida se permiten implcitamente, como una parte integral de esa misma conexin.
537
El tiempo de espera de una sesin de UDP finaliza a los 40 segundos si la aplicacin cierra el puerto.
Agregue una norma vaca a la lista y configrela manualmente. Ejecute el asistente de configuracin de normas. Ver "Agregar normas con el asistente para la configuracin de normas" en la pgina 539.
Para simplificar la administracin de la base de normas, es necesario especificar el trfico entrante y saliente en la norma siempre que sea posible. No es necesario crear normas de entrada para el trfico tal como HTTP. El cliente de Symantec Endpoint Protection utiliza la inspeccin de estado para el trfico TCP y no necesita una norma para filtrar el trfico de retorno que los clientes inician. Ver "Acerca de la inspeccin de estado" en la pgina 535. Para agregar normas vacas
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4 5
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma vaca. Haga clic en el cuadro de texto Nombre y escriba un nombre para la norma. En el campo Gravedad, haga clic en la lista desplegable y seleccione una de las siguientes opciones:
Haga clic con el botn secundario en el campo Aplicacin, haga clic en Editar y, en el cuadro de dilogo Lista de aplicaciones, defina una aplicacin. Ver "Agregar aplicaciones a una norma" en la pgina 574.
538
7 8
Haga clic en Aceptar. Haga clic con el botn secundario en el campo Host, haga clic en Editar y, en la lista Host, defina un host. Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 568.
Haga clic en Aceptar. configure una programacin. Ver "Agregar programaciones a una norma" en la pgina 575.
10 Haga clic con el botn secundario en el campo Hora, haga clic en Editar y
11 Haga clic en Aceptar. 12 Haga clic con el botn secundario en el campo Servicio y haga clic en Editar
para agregar o para configurar un servicio de red personalizado. Ver "Agregar servicios de red a una norma" en la pgina 571.
13 Haga clic en Aceptar. 14 Haga clic con el botn secundario en el campo Adaptador y seleccione uno o
ms de los puntos siguientes:
Todos los adaptadores Cualquier VPN Acceso telefnico Ethernet Inalmbrico Ms adaptadores para agregar y seleccionar de una lista de adaptadores especficos de un proveedor.
Permitir
Configuracin bsica de la proteccin contra amenazas de red Agregar normas con el asistente para la configuracin de normas
539
Bloquear Preguntar
Escribir en el registro de trfico Escribir en el registro de paquetes Enviar alerta de correo electrnico Ver "Configurar mensajes de correo electrnico para eventos de trfico" en la pgina 578.
El campo Creada el no es editable. Si la poltica es compartida, el campo muestra el trmino Compartido. Si la poltica no es compartida, el campo muestra el nombre del grupo al que la poltica no compartida est asignada.
Agregue otra norma. Agregue la configuracin de filtrado inteligente del trfico o la configuracin de trfico y ocultacin. Ver "Habilitar el filtro de trfico inteligente" en la pgina 545. Ver "Habilitar configuracin de trfico y de ocultacin" en la pgina 546. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
540
Configuracin bsica de la proteccin contra amenazas de red Agregar normas con el asistente para la configuracin de normas
Norma que se basa en un determinado proceso en ejecucin que intenta utilizar recursos de red. Norma que se basa en los puntos finales de las conexiones de red.
Normas de servicios Norma que se basa en los protocolos que son utilizados por las conexiones de red.
Es posible que deba incluir dos o ms criterios para describir el trfico de red especfico, tal como un protocolo determinado que se origina en un host especfico. Es necesario configurar la norma despus de agregarla, porque el asistente para la configuracin de normas no configura nuevas normas con varios criterios. Cuando se familiarice con cmo se definen y se procesan las normas, puede agregar normas vacas y configurar los campos segn sea necesario. Una norma vaca permite todo el trfico. Ver "Agregar normas vacas" en la pgina 537. Para agregar normas con el asistente para la configuracin de normas
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4 5 6 7 8 9
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma. En el Asistente para la creacin de normas de firewall, haga clic en Siguiente. En la pantalla Seleccionar tipo de norma, seleccione uno de los tipos de normas. Haga clic en Siguiente. Escriba los datos en cada panel para crear el tipo de norma que seleccion. Para las aplicaciones y los hosts, haga clic en Agregar ms para agregar aplicaciones y servicios adicionales. Cuando haya terminado, haga clic en Finalizar. para editar la norma.
10 En la lista de normas, haga clic con el botn secundario en cualquier campo 11 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configuracin bsica de la proteccin contra amenazas de red Agregar normas heredadas de un grupo principal
541
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, sobre Lista de normas, marque Heredar normas de firewall del grupo principal. Para quitar las normas heredadas, desmarque Heredar normas de firewall del grupo principal.
Haga clic en Aceptar. Ver "Grupos, herencia, ubicaciones y polticas" en la pgina 373.
542
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4
En la pgina Poltica de firewall, haga clic en Normas. En la lista Normas, seleccione las normas que desea exportar, haga clic con el botn secundario y, despus, haga clic en Exportar. En el cuadro de dilogo Guardar, seleccione un directorio para guardar el archivo .dat, escriba un nombre de archivo y haga clic en Guardar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4 5 6
En la pgina Poltica de firewall, haga clic en Normas. Haga clic con el botn secundario en la lista de normas y, despus, haga clic en Importar. En el cuadro de dilogo Abrir, ubique el archivo .dat que contiene las normas de firewall que desea importar y haga clic en Abrir. En el cuadro de dilogo de entrada, escriba un nuevo nombre para la poltica y haga clic en Aceptar. Haga clic en Aceptar.
543
Es posible eliminar cualquier norma de firewall, incluso una norma predeterminada. No es posible eliminar una norma en una poltica que se herede de una poltica principal. Para editar las normas
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, bajo la lista de normas, haga doble clic en cualquier columna de una norma para editar la norma. Edite cualquier columna en la tabla de la norma. Ver "Agregar normas vacas" en la pgina 537.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4 5
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione la norma que desea eliminar y, debajo de lista de normas, haga clic en Eliminar. Haga clic en S para confirmar que desea eliminar la norma. Haga clic en Aceptar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4 5
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, haga clic con el botn secundario en la norma que usted desea copiar y, despus, haga clic en Copiar norma. Haga clic con el botn secundario en la fila donde usted desea pegar la norma y, despus, haga clic en Pegar norma. Haga clic en Aceptar.
544
Configuracin bsica de la proteccin contra amenazas de red Alteracin del orden de las normas
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina de Polticas de firewall, haga clic en Normas y seleccione la norma que usted desea mover. Realice una de las tareas siguientes:
Para procesar esta norma antes que la norma anterior, haga clic en Subir. Para procesar esta norma despus de la que est debajo de ella, haga clic en Subir.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione la norma que usted desea habilitar o deshabilitar y, despus, active o desactive la casilla de verificacin en la columna Habilitada. Haga clic en Aceptar.
Configuracin bsica de la proteccin contra amenazas de red Habilitar el filtro de trfico inteligente
545
Si el cliente enva una solicitud al servidor, el cliente espera cinco segundos para permitir una respuesta entrante. Si el cliente no enva una solicitud al servidor, los filtros no admiten el paquete.
Los filtros inteligentes admiten el paquete si efectu una solicitud. No bloquean los paquetes. Las normas de firewall admiten o bloquean los paquetes. Nota: Para configurar estas opciones en el control mixto, es necesario tambin habilitar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 158. Para habilitar los filtros de trfico inteligentes
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina Poltica de firewall, haga clic en Filtros de trfico inteligentes. Si no estn marcadas, marque una de las siguientes casillas de verificacin:
4 5
Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin. Ver "Asignar una poltica compartida en la pgina Polticas" en la pgina 408.
546
Configuracin bsica de la proteccin contra amenazas de red Habilitar configuracin de trfico y de ocultacin
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina Poltica de firewall, haga clic en Configuracin de trfico y modo de ocultacin. Si una casilla no est seleccionada an, active una de las siguientes:
Habilitar la proteccin en el controlador Habilitar la proteccin de NetBIOS Permitir el trfico de token ring Deshabilitar bsqueda inversa de DNS Habilitar normas contra la falsificacin de MAC Habilitar exploracin Web en modo de ocultacin Habilitar nueva secuencia TCP Habilitar enmascaramiento de huella digital de SO
4 5
Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin. Ver "Asignar una poltica compartida en la pgina Polticas" en la pgina 408.
Captulo
35
Acerca del sistema de prevencin de intrusiones Configurar la prevencin de intrusiones Importar firmas IPS personalizadas preconfiguradas Crear firmas personalizadas de IPS
548
Las firmas IPS de Symantec utilizan un motor basado en secuencias que analiza varios paquetes. Las firmas IPS de Symantec interceptan datos de red en el nivel de las sesiones y captura segmentos de los mensajes que pasan de un lado a otro entre una aplicacin y la pila de red. Las firmas IPS personalizadas utilizan un motor basado en paquetes que analiza cada paquete individualmente.
El sistema de prevencin de intrusiones registra los ataques detectados en los registros de seguridad. Es posible permitir a las firmas personalizadas IPS que registren los ataques detectados en el registro Paquete.
549
El motor basado en paquetes no detecta las firmas que abarcan varios paquetes. El motor IPS basado en paquetes es ms limitado porque no almacena coincidencias parciales y analiza solamente cargas de un solo paquete. Las firmas basadas en paquetes examinan un solo paquete que coincida con una norma. La norma especifica un protocolo, un puerto, una direccin IP de origen o destino, o una aplicacin. Ciertos ataques se inician comnmente contra aplicaciones especficas. Las firmas personalizadas utilizan normas basadas en aplicaciones, que se modifican dinmicamente para cada paquete. La norma se basa en varios criterios, tales como aplicacin, nmero de indicador de tcp, puerto y protocolo. Por ejemplo, una firma personalizada puede supervisar los paquetes de informacin que se reciben en busca de la cadena "phf" en GET / cgi-bin/phf? como indicador de un ataque de un programa CGI. Cada paquete se evala en busca de ese patrn especfico. Si el paquete de trfico coincide con la norma, el cliente permite o bloquea el paquete y registra opcionalmente el evento en el registro de paquetes. Las firmas pueden ocasionar falsos positivos porque se basan a menudo en coincidencias con expresiones regulares y cadenas. Las firmas personalizadas utilizan ambos criterios para buscar cadenas al buscar coincidencias con un paquete. De forma predeterminada, el cliente no incluye las firmas personalizadas. Es posible importar firmas IPS personalizadas preconfiguradas del sitio Web de Symantec o crear firmas IPS personalizadas. Las firmas personalizadas que usted crea utilizan la misma sintaxis que las firmas personalizadas preconfiguradas. Ver "Importar firmas IPS personalizadas preconfiguradas" en la pgina 555. Ver "Crear firmas personalizadas de IPS" en la pgina 556.
Habilitar la configuracin de prevencin de intrusiones. Modificar el comportamiento de firmas de ataques especficas. Excluir equipos especficos del anlisis. Bloquear un equipo atacante automticamente. Habilitar notificaciones de prevencin de intrusiones.
550
Importar firmas personalizadas de IPS. Ver "Importar firmas IPS personalizadas preconfiguradas" en la pgina 555. Crear firmas personalizadas de IPS. Ver "Crear firmas personalizadas de IPS" en la pgina 556.
551
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. En la pgina Configuracin, marque las casillas de verificacin siguientes que se apliquen:
Habilitar prevencin de intrusiones Habilitar la deteccin de negacin de servicio Habilitar la deteccin de anlisis de puertos
Cuando termine de configurar esta poltica, haga clic en Aceptar. Ver "Configurar una lista de equipos excluidos" en la pgina 553.
Para reducir la posibilidad de un falso positivo. Hay algunos casos en los que una actividad de red benigna puede asemejarse a una firma de ataque. Si recibe repetidas advertencias acerca de posibles ataques y sabe que esos ataques se deben a un comportamiento seguro, puede excluir la firma de ataque que coincida con la actividad benigna. Para reducir el consumo de recursos reduciendo el nmero de firmas de ataques que el cliente comprueba. Sin embargo, debe estar seguro de que una firma de ataque no supone ninguna amenaza antes de excluirla del bloqueo.
Es posible modificar las medidas que el cliente toma cuando el IPS reconoce una firma de ataque. Es posible tambin modificar si el cliente registra el evento en el registro de seguridad. Nota: Para modificar el comportamiento de una firma IPS personalizada que usted cree o importe, se edita la firma directamente. Para modificar el comportamiento de firmas IPS de Symantec
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 404.
552
3 4
En la pgina Excepciones, haga clic en Agregar. En el cuadro de dilogo Agregar excepciones de prevencin de intrusiones, realice una de las siguientes acciones para filtrar las firmas:
Para visualizar las firmas de una categora determinada, seleccione una opcin de la lista desplegable Mostrar categora. Para visualizar las firmas clasificadas con una gravedad determinada, seleccione una opcin de la lista desplegable Mostrar gravedad.
Seleccione una o ms firmas IPS. Para hacer que el comportamiento de todas las firmas sea igual, haga clic en Seleccionar todos.
6 7 8 9
Haga clic en Siguiente. En el cuadro de dilogo Accin de la firma, modifique la accin de Bloquear a Permitir o de Permitir a Bloquear. Opcionalmente, modifique la accin de registro del registro de Registrar el trfico a No registrar el trfico o de No registrar el trfico a Registrar el trfico. Haga clic en Aceptar. Si desea quitar la excepcin y recuperar el comportamiento de la firma original, seleccione la firma y haga clic en Eliminar.
10 Haga clic en Aceptar. 11 Si desea modificar el comportamiento de otras firmas, repita los pasos 3 a
10.
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 404.
2 3 4
En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones. En el panel Excepciones, seleccione la excepcin que desea quitar y haga clic en Eliminar. Cuando se le solicite que confirme la eliminacin, haga clic en S.
553
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 404.
2 3 4
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. En la pgina Configuracin, seleccione Bloquear automticamente la direccin IP de un atacante. En el campo de texto Nmero de segundos durante los que se bloquea la direccin IP: ... segundos, especifique el nmero de segundos que se deben bloquear atacantes potenciales. Escriba un nmero entre 1 y 999.999 segundos.
554
configurar algunos equipos en su red interna que usted desee para propsitos de prueba. Es posible configurar una lista de equipos cuyas firmas de ataque no coincidan con el cliente, o que no busque anlisis de puertos o ataques de negacin de servicio. El cliente permite todo el trfico saliente y entrante de estos hosts, sin importar la configuracin y las normas de firewall o las firmas de IPS. Nota: Es posible tambin configurar una lista de equipos que permita todo el trfico saliente y entrante a menos que una firma de IPS detecte un ataque. En este caso, se crea una norma de firewall que permita todos los hosts. Para configurar una lista de equipos excluidos
En la consola, abra una poltica de prevencin de intrusiones. Ver "Editar una poltica" en la pgina 404.
2 3 4 5
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. Si no est seleccionada, seleccione la opcin Habilitar hosts excluidos y, despus, haga clic en Hosts excluidos. En el cuadro de dilogo Hosts excluidos, haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable, seleccione uno de los siguientes tipos de hosts:
Escriba la informacin apropiada que se asocia al tipo de hosts que usted seleccion. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
7 8 9
Haga clic en Aceptar. Repita los pasos Paso 4 y Paso 7 para agregar los dispositivos y los equipos adicionales a la lista de equipos excluidos. Para excluir o incluir el host, active o desactive la casilla Habilitada.
555
10 Para editar o eliminar los hosts excluidos, seleccione una fila y haga clic en
Editar o Eliminar.
11 Haga clic en Aceptar. 12 Cuando termine de configurar esta poltica, haga clic en Aceptar.
1 2 3 4 5 6 7 8
Desde el sitio Web de Symantec, descargue uno de los archivos .daz a su equipo. En la consola, haga clic en Polticas y despus haga clic en Prevencin de intrusiones. Bajo Tareas, haga clic en Importar una poltica de prevencin de intrusiones. En el cuadro de dilogo Importar poltica, localice el archivo .daz que guard en su equipo anteriormente y haga clic en Importar. En el panel Polticas de prevencin de intrusiones, haga doble clic en la biblioteca importada para abrirla. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, en la lista Firmas para este grupo, es posible modificar la accin de una firma. Haga clic en Aceptar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
556
Cree una biblioteca IPS personalizada. Agregue una firma. Asigne la biblioteca IPS personalizada a un grupo.
1 2 3
En la consola, haga clic en Polticas y en Prevencin de intrusiones. Bajo Tareas, haga clic en Agregar firmas de prevencin de intrusiones personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, escriba un nombre y una descripcin opcional para la biblioteca. El Grupo NetBIOS es un grupo de firmas de muestra con una firma de ejemplo. Es posible editar el grupo existente o agregar un nuevo grupo.
4 5
Para agregar un nuevo grupo, en la ficha Firmas de la lista Grupos de firmas, haga clic en Agregar. En el cuadro de dilogo Grupo de firmas de prevencin de intrusiones, escriba un nombre de grupo y una descripcin opcional, y haga clic en Aceptar. El grupo est habilitado de forma predeterminada. Si el grupo de firmas est habilitado, todas las firmas del grupo se habilitan automticamente. Para conservar el grupo como referencia pero deshabilitado, desactive la opcin Habilitar este grupo.
557
1 2 3 4
Agregue una biblioteca IPS personalizada. En la ficha Firmas, bajo Firmas para este grupo, haga clic en Agregar. En el cuadro de dilogo Agregar firma, escriba un nombre y una descripcin opcional para la firma. En la lista desplegable Gravedad, seleccione un nivel de gravedad. Los eventos que coinciden con las condiciones de la firma se registran con esta gravedad.
5 6
En la lista desplegable Direccin, especifique la direccin del trfico que desea que la firma controle. En el campo Contenido, escriba la sintaxis de la firma. Para obtener ms informacin sobre la sintaxis, haga clic en Ayuda.
7 8
Si desea que una aplicacin active la firma, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba el nombre de archivo y una descripcin opcional para la aplicacin. Por ejemplo, para agregar la aplicacin Microsoft Internet Explorer, escriba el nombre de archivo de las siguientes formas: iexplore o iexplore.exe. Si no especifica un nombre de archivo, cualquier aplicacin puede activar la firma.
Haga clic en Aceptar. La aplicacin agregada queda habilitada de forma predeterminada. Si desea deshabilitar la aplicacin hasta otro momento, deje sin marcar la casilla de verificacin Habilitada.
10 En el grupo del cuadro Accin, seleccione la accin que desea que el cliente
tome cuando la firma detecta el evento:
Bloquear Identifica y bloquea el evento o el ataque y lo registra en el registro de seguridad. Identifica y permite el evento o el ataque y lo registra en el registro de seguridad.
Permitir
558
12 Para agregar firmas adicionales al grupo, repita los pasos del 2 al 11.
Para editar o eliminar una firma, seleccinela y haga clic en Editar o en Eliminar.
13 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 14 Si se le solicita asignar firmas IPS personalizadas a un grupo, haga clic en S. 15 En el cuadro de dilogo Asignar poltica de prevencin de intrusiones,
seleccione los grupos a los que desea asignar la poltica.
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo al cual desea asignar las firmas personalizadas y haga clic en la ficha Polticas. Bajo Configuracin y polticas independientes de la ubicacin, haga clic en Prevencin de intrusiones personalizada. En el cuadro de dilogo Prevencin de intrusiones personalizada para <nombre de grupo>, marque la casilla Habilitada para cada biblioteca IPS personalizada que desee asignar a ese grupo. Haga clic en Aceptar.
559
Si coinciden varias firmas, desplace las firmas de mayor prioridad a la parte superior. Por ejemplo, si usted agrega un grupo de firmas para bloquear el trfico TCP en ambas direcciones en el puerto de destino 80, es posible que tenga que agregar las firmas siguientes:
Si la firma Bloquear todo el trfico se enumera primero, la firma Permitir todo el trfico nunca se aplica. Si la firma Permitir todo el trfico se enumera primero, la firma Bloquear todo el trfico nunca se aplica y todo el trfico HTTP se permite siempre. Para modificar el orden de las firmas
1 2
Abra una biblioteca IPS personalizada. Agregue o edite una firma. Ver "Para agregar una firma personalizada" en la pgina 557.
En la ficha Firmas, en la tabla Firmas para este grupo, seleccione la firma que usted desea mover y realice una de las siguientes acciones:
Para procesar esta firma antes que la firma que est sobre ella, haga clic en Subir. Para procesar esta firma despus de la firma que est debajo de ella, haga clic en Bajar.
1 2
Abra una biblioteca IPS personalizada. Agregue o edite una firma. Ver "Para agregar una firma personalizada" en la pgina 557.
En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, en la ficha Firmas, en la tabla Firmas para este grupo, haga clic con el botn secundario en la firma que desea copiar. A continuacin, haga clic en Copiar.
560
4 5
Haga clic con el botn secundario en la lista de firmas y, despus, haga clic en Pegar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
1 2 3 4 5
Cree una biblioteca IPS personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, haga clic en la ficha Variables. Haga clic en Agregar. En el cuadro de dilogo Agregar variable, escriba un nombre y una descripcin opcional para la variable. Agregue una cadena de contenido para el valor variable, de hasta 255 caracteres. Cuando escriba la cadena variable de contenido, siga las mismas guas de sintaxis que se utilizan para escribir valores en el contenido de la firma.
Haga clic en Aceptar. Despus de agregar la variable a la tabla, es posible utilizar la variable en cualquier firma de la biblioteca personalizada.
561
En la ficha Firmas, agregue o edite una firma. Ver "Para agregar una firma personalizada" en la pgina 557.
En el cuadro de dilogo Agregar firma o Editar firma, en el campo Contenido, escriba el nombre de la variable con un signo de dlar ($) delante de ella. Por ejemplo, si usted crea una variable llamada HTTP para especificar puertos HTTP, escriba lo siguiente:
$HTTP
3 4
Haga clic en Aceptar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
562
Captulo
36
Habilitar e deshabilitar Proteccin contra amenazas de red Configurar las opciones de proteccin contra amenazas de red para el control mixto Agregar hosts y grupos de hosts Editar y eliminar grupos de hosts Agregar hosts y grupos de hosts a una norma Agregar servicios de red Editar y eliminar servicios de red personalizados Agregar servicios de red a una norma Agregar adaptadores de red Agregar adaptadores de red a una norma Editar y eliminar adaptadores de red personalizados Agregar aplicaciones a una norma Agregar programaciones a una norma Configurar notificaciones de proteccin contra amenazas de red Configurar la supervisin de aplicaciones de red
564
Personalizar la proteccin contra amenazas de red Habilitar e deshabilitar Proteccin contra amenazas de red
El usuario cierra y reinicia el equipo cliente. La ubicacin del cliente cambia de control del servidor a control del cliente. Se configur el cliente para habilitar la proteccin despus de cierto perodo. Se descarga en el cliente una nueva poltica de seguridad que habilita la proteccin.
Es posible tambin habilitar manualmente la proteccin contra amenazas de red desde los registros de estado del equipo. Ver "Ejecutar comandos y acciones de registros" en la pgina 235. Puede tambin otorgar al usuario del equipo cliente permisos para habilitar o deshabilitar la proteccin. Sin embargo, es posible anular la configuracin del cliente. O es posible deshabilitar la proteccin en el cliente, incluso si los usuarios la han habilitado. Se puede habilitar la proteccin incluso si los usuarios la han deshabilitado. Ver "Configurar opciones de la interfaz de usuario" en la pgina 159. Para habilitar e deshabilitar la proteccin contra amenazas de red para un grupo
1 2 3
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo para el cual desee habilitar o deshabilitar la proteccin. Realice una de las acciones siguientes:
Para todos los equipos y usuarios del grupo, haga clic con el botn secundario en el grupo, haga clic en Ejecutar comando en el grupo y despus en Habilitar proteccin contra amenazas de red o Inhabilitar proteccin contra amenazas de red. Para los usuarios o los equipos seleccionados dentro de un grupo, haga clic en la ficha Clientes y seleccione los usuarios o los equipos. A continuacin, haga clic con el botn secundario en la seleccin y haga clic
Personalizar la proteccin contra amenazas de red Configurar las opciones de proteccin contra amenazas de red para el control mixto
565
en Ejecutar comando en los clientes > Habilitar proteccin contra amenazas de red o Inhabilitar proteccin contra amenazas de red.
4 5
Configurar las opciones de proteccin contra amenazas de red para el control mixto
Es posible configurar el cliente de modo que los usuarios no tengan ningn control, tengan pleno control o tengan control limitado sobre las opciones de Proteccin contra amenazas de red que pueden configurar. Cuando configure el cliente, utilice las pautas siguientes:
Si configura el cliente para que sea controlado por el servidor, el usuario no podr crear ninguna norma de firewall ni habilitar opciones de firewall y de prevencin de intrusiones. Si configura el cliente para que sea controlado por el cliente, el usuario puede crear normas de firewall y habilitar todas las opciones de firewall y de prevencin de intrusiones. Si configura el cliente para que tenga un control mixto, el usuario puede crear normas de firewall y usted decide qu opciones de firewall y de prevencin de intrusiones puede habilitar el usuario.
Ver "Configurar opciones de la interfaz de usuario" en la pgina 159. Para configurar las opciones de proteccin contra amenazas de red para el control mixto
1 2 3 4 5 6
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo con el nivel de control de usuario que usted desea modificar y haga clic en Polticas. En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin, bajo una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin del modo de control, haga clic en Control mixto y despus haga clic en Personalizar. En la ficha Configuracin de control de clientes y servidores, bajo la categora de Poltica de firewall y Poltica de prevencin de intrusiones, realice una de las siguientes acciones:
566
Para hacer que una opcin del cliente est disponible para que los usuarios la configuren, haga clic en Cliente. Para configurar una opcin del cliente, haga clic en Servidor.
7 8
Haga clic en Aceptar. Para cada opcin de firewall y de prevencin de intrusiones que usted establezca en Servidor, habilite o deshabilite la opcin en la poltica de firewall o de prevencin de intrusiones. Ver "Habilitar el filtro de trfico inteligente" en la pgina 545. Ver "Habilitar configuracin de trfico y de ocultacin" en la pgina 546. Ver "Configurar la prevencin de intrusiones" en la pgina 549.
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Grupos de hosts. Bajo Tareas, haga clic en Agregar un grupo de hosts. En el cuadro de dilogo Grupo de hosts, escriba un nombre y haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable Tipo, seleccione uno de los siguientes tipos de hosts:
567
5 6 7 8
Escriba la informacin apropiada para cada tipo de host. Haga clic en Aceptar. Agregue hosts adicionales, si es necesario. Haga clic en Aceptar.
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Grupos de hosts. En el panel Grupos de hosts, seleccione el grupo de hosts que desea editar. Bajo Tareas, haga clic en Editar el grupo de hosts. En el cuadro de dilogo Grupo de hosts, edite el nombre del grupo (opcional), seleccione un host y, a continuacin, haga clic en Editar. Para quitar el host del grupo, haga clic en Eliminar y, luego, en S.
5 6 7
En el cuadro de dilogo Host, modifique el tipo de hosts o edite la configuracin de hosts. Haga clic en Aceptar. Haga clic en Aceptar.
568
Personalizar la proteccin contra amenazas de red Agregar hosts y grupos de hosts a una norma
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Grupos de hosts. En el panel Grupos de hosts, seleccione el grupo de hosts que desea eliminar. Bajo Tareas, haga clic en Eliminar el grupo de hosts. Cuando se le solicite confirmacin, haga clic en Eliminar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Host y despus haga clic en Editar. En el cuadro de dilogo Lista de hosts, realice una de las siguientes acciones:
En las tablas Origen y Destino o Local y remota, realice una de las siguientes tareas:
Para habilitar un grupo de hosts que se haya agregado a travs de la lista Componentes de polticas, vaya al paso 10. Ver "Agregar hosts y grupos de hosts" en la pgina 566. Para agregar un host para la norma seleccionada solamente, haga clic en Agregar.
En el cuadro de dilogo Host, seleccione un tipo de host de la lista desplegable Tipo y escriba la informacin apropiada para cada tipo de host. Para obtener informacin ms detallada sobre cada opcin en este cuadro de dilogo, haga clic en Ayuda.
569
8 9
Agregue hosts adicionales, si es necesario. En el cuadro de dilogo Lista de hosts, para cada host o grupo de hosts que desee que active la norma de firewall, asegrese de que la casilla Habilitada est marcada.
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Servicios de red. Bajo Tareas, haga clic en Agregar un servicio de red. Haga clic en Agregar un servicio. En el cuadro de dilogo Servicio de red, escriba un nombre para el servicio y haga clic en Agregar. De la lista desplegable Protocolo, seleccione uno de los siguientes protocolos:
570
Personalizar la proteccin contra amenazas de red Editar y eliminar servicios de red personalizados
Las opciones se modifican de acuerdo con el protocolo que usted selecciona. Para obtener ms informacin, haga clic en Ayuda.
6 7 8
Complete los campos apropiados y haga clic en Aceptar. Agregue uno o ms protocolos adicionales, segn sea necesario. Haga clic en Aceptar. Es posible agregar el servicio a cualquier norma de firewall.
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Servicios de red. En el panel Servicios de red, seleccione el servicio que desea editar. Bajo Tareas, haga clic en Editar el servicio de red. En el cuadro de dilogo Servicio de red, modifique el nombre del servicio o seleccione el protocolo y haga clic en Editar. Modifique la configuracin del protocolo. Para obtener informacin acerca de las opciones en este cuadro de dilogo, haga clic en Ayuda.
6 7
Personalizar la proteccin contra amenazas de red Agregar servicios de red a una norma
571
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Servicios de red. En el panel Servicios de red, seleccione el servicio que desea eliminar. Bajo Tareas, haga clic en Eliminar el servicio de red. Cuando se le solicite confirmacin, haga clic en S.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Servicio y despus haga clic en Editar. En el cuadro de dilogo Lista de servicios, marque la casilla de verificacin de Habilitar para cada servicio que desee que active la norma. Para agregar un servicio adicional solamente para la norma seleccionada, haga clic en Agregar. En el cuadro de dilogo Protocolo, seleccione un protocolo de la lista desplegable Protocolo. Complete los campos apropiados. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
4 5 6 7
8 9
572
Personalizar la proteccin contra amenazas de red Agregar adaptadores de red a una norma
Es posible seleccionar un adaptador de red de una lista predeterminada que est compartida por varias normas y polticas de firewall. Los adaptadores ms comunes se incluyen en la lista predeterminada de la lista Componentes de polticas. Los adaptadores comunes incluyen adaptadores de VPN, Ethernet, inalmbricos, Cisco, Nortel y Enterasys. Utilice la lista predeterminada de modo que no sea necesario volver a escribir cada adaptador de red para cada norma que cree. Nota: El cliente no filtra ni detecta trfico de red de los dispositivos PDA (ayudante personal digital). Para agregar un adaptador de red personalizado a la lista predeterminada
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. Bajo Tareas, haga clic en Agregar un adaptador de red. En el cuadro de dilogo Adaptador de red, haga clic en la lista desplegable Tipo de adaptador y seleccione un adaptador. En el campo Nombre del adaptador, escriba opcionalmente una descripcin. En el cuadro de texto Identificacin del adaptador, escriba la marca del adaptador, con diferenciacin entre maysculas y minsculas. Para encontrar la marca del adaptador, abra una lnea de comandos en el cliente y escriba el texto siguiente:
ipconfig/all.
Haga clic en Aceptar. Es posible entonces agregar el adaptador a cualquier norma de firewall.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
Personalizar la proteccin contra amenazas de red Editar y eliminar adaptadores de red personalizados
573
En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Adaptador y despus haga clic en Ms adaptadores. En el cuadro de dilogo Adaptador, realice una de las siguientes acciones:
Para activar la norma para cualquier adaptador, incluso si no est en la lista, haga clic en Aplicar la norma a todos los adaptadores y despus vaya al paso 8. Para activar la norma para los adaptadores seleccionados, haga clic en Aplicar la norma a los siguientes adaptadores y despus marque la casilla de verificacin Habilitado para cada adaptador que desee que active la norma.
5 6
Para agregar un adaptador personalizado para la norma seleccionada solamente, haga clic en Agregar. En el cuadro de dilogo Adaptador de red, seleccione el tipo de adaptador y escriba la marca del adaptador en el campo de texto Identificacin del adaptador. Haga clic en Aceptar. Haga clic en Aceptar.
7 8
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. En el panel Adaptadores de red, seleccione el adaptador personalizado que desea editar. Bajo Tareas, haga clic en Editar el adaptador de red. En el cuadro de dilogo Adaptadores de red, modifique el tipo, el nombre o el texto de identificacin del adaptador. Haga clic en Aceptar.
574
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. En el panel Adaptadores de red, seleccione el adaptador personalizado que desea eliminar. Bajo Tareas, haga clic en Eliminar el adaptador de red. Cuando se le solicite confirmacin, haga clic en S.
Es posible definir las caractersticas de una aplicacin escribiendo la informacin manualmente. Si no tiene suficiente informacin, puede buscarla en la lista de aplicaciones incorporadas. Es posible definir las caractersticas de una aplicacin buscando en la lista de aplicaciones incorporadas. Las aplicaciones de la lista de aplicaciones incorporadas son las aplicaciones que los equipos cliente de su red ejecutan.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4 5
En la pgina Polticas de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, haga clic con el botn secundario en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba uno o varios de los campos siguientes:
Ruta y nombre de archivo Descripcin Tamao, en bytes Fecha en que la aplicacin fue modificada por ltima vez Huella digital de archivos
575
6 7
1 2 3 4
En la pgina Polticas de firewall, haga clic en Normas. En la ficha Normas, seleccione una norma, haga clic con el botn secundario en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar desde. En el cuadro de dilogo Buscar aplicaciones, busque una aplicacin. Ver "Buscar aplicaciones" en la pgina 442.
Bajo la tabla de Resultados de la consulta, para agregar la aplicacin a la lista Aplicaciones, seleccione la aplicacin, haga clic en Agregar y, a continuacin, en Aceptar. Haga clic en Cerrar. Haga clic en Aceptar.
6 7
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4 5 6 7
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Hora y despus haga clic en Editar. En la Lista de programacin, haga clic en Agregar. En el cuadro de dilogo Agregar programacin, configure el momento de inicio y finalizacin durante el que la norma estar activa o inactiva. En la lista desplegable Mes, seleccione Todos o un mes especfico. Marque una de las siguientes casillas de verificacin:
576
Personalizar la proteccin contra amenazas de red Configurar notificaciones de proteccin contra amenazas de red
8 9
Haga clic en Aceptar. En la Lista de programacin, realice una de las siguientes acciones:
Para mantener la norma activada durante este tiempo, deje sin marcar la casilla Cualquier momento excepto. Para dejar la norma inactiva durante este tiempo, marque la casilla Cualquier momento excepto.
Tipo de notificacin
Texto adicional que se Firewall mostrar si la accin para una norma de firewall es Preguntar
Mostrar notificaciones de Prevencin de El cliente detecta un ataque de prevencin de prevencin de intrusiones intrusiones intrusiones. Es posible habilitar o deshabilitar esta notificacin en el control del servidor o mixto.
Personalizar la proteccin contra amenazas de red Configurar notificaciones de proteccin contra amenazas de red
577
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3 4
En la pgina de Poltica de firewall, haga clic en Normas y despus haga clic en Notificaciones. En la ficha Notificaciones, marque Mostrar notificacin en el equipo cuando el cliente bloquea una aplicacin. Para agregar texto personalizado al mensaje estndar que aparece cuando la accin de una norma es Preguntar, marque Texto adicional que se mostrar si la accin para una norma de firewall es Preguntar. Para cualquier notificacin, haga clic en Establecer texto adicional. En el cuadro de dilogo Introducir texto adicional, escriba el texto adicional que desea mostrar en la notificacin y despus haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
5 6 7
1 2 3 4 5
En la consola, haga clic en Clientes y bajo Ver clientes, seleccione un grupo. Haga clic en Polticas. En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin, bajo una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin de los controles de la interfaz del usuario del cliente para <nombre de grupo>, haga clic en Control mixto o Control de servidores. Al lado de Control mixto o de Control de servidores, haga clic en Personalizar.
Si hizo clic en Control mixto, en la ficha Configuracin del control de clientes y servidores, al lado de Mostrar/ocultar notificaciones de prevencin de intrusiones, haga clic en Servidor. A continuacin, haga clic en la ficha Configuracin de la interfaz de usuario del cliente.
7 8
En el cuadro de dilogo o la ficha Configuracin de la interfaz de usuario del cliente, haga clic en Mostrar notificaciones de prevencin de intrusiones. Para habilitar una seal sonora cuando aparece la notificacin, haga clic en Usar sonido al notificar a los usuarios.
578
Personalizar la proteccin contra amenazas de red Configurar notificaciones de proteccin contra amenazas de red
En el campo de texto Nmero de segundos que se deben mostrar las notificaciones, escriba el nmero de segundos durante los que usted quisiera que la notificacin apareciera. adicional.
10 Para agregar texto a la notificacin estndar que aparece, haga clic en Texto 11 En el cuadro de dilogo Texto adicional, escriba el texto adicional que desea
mostrar en la notificacin y despus haga clic en Aceptar.
En la consola, abra una poltica de firewall. Ver "Editar una poltica" en la pgina 404.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione una norma, haga clic con el botn secundario en el campo Registro y haga lo siguiente:
Para enviar un mensaje de correo electrnico cuando se activa una norma de firewall, marque Enviar alerta de correo electrnico. Para generar un evento de registro cuando se activa una norma de firewall, marque Escribir en el registro de trfico y Escribir en el registro de paquetes.
4 5
Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. Configure una alerta de seguridad. Ver "Crear notificaciones de administrador" en la pgina 245.
Configure un servidor de correo. Ver "Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo" en la pgina 300.
579
Un caballo de Troya atac la aplicacin. La aplicacin fue actualizada con una nueva versin o una actualizacin.
Si sospecha que un caballo de Troya ha atacado una aplicacin, es posible utilizar la supervisin de aplicaciones de red a fin de configurar el cliente para que bloquee la aplicacin. Es posible tambin configurar el cliente para que pregunte a los usuarios si desean permitir o bloquear la aplicacin. La supervisin de aplicaciones de red sigue el comportamiento de una aplicacin en el Registro de seguridad. Si el contenido de una aplicacin se modifica con demasiada frecuencia, es probable que un caballo de Troya haya atacado la aplicacin y que el equipo cliente no sea seguro. Si el contenido de una aplicacin se modifica con menor frecuencia, es probable que se haya instalado un parche y que el equipo cliente sea seguro. Es posible utilizar esta informacin para crear una norma de firewall que permita o bloquee una aplicacin. Es posible agregar aplicaciones a una lista, de modo que el cliente no las supervise. Puede excluir las aplicaciones que usted piense que estn a salvo de un ataque de caballo de Troya, pero que tengan actualizaciones frecuentes y automticas de parches. Es posible deshabilitar la supervisin de aplicaciones de red si usted confa en que los equipos cliente reciben proteccin adecuada contra virus y software espa. Puede tambin querer reducir al mnimo el nmero de notificaciones que solicitan a los usuarios que permitan o bloqueen una aplicacin de red. Para configurar la supervisin de aplicaciones de red
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo y haga clic en Polticas. En la ficha Polticas, bajo Configuracin y polticas independientes de la ubicacin, haga clic en Supervisin de aplicaciones de red. En el cuadro de dilogo Supervisin de aplicaciones de red para <nombre de grupo>, haga clic en Habilitar supervisin de aplicaciones de red.
580
En la lista desplegable Cuando se detecta un cambio en una aplicacin, seleccione la accin que el firewall realizar sobre la aplicacin que se ejecuta en el cliente:
Preguntar Pregunta al usuario si desea permitir o bloquear la aplicacin. Bloquear trfico Bloquea la ejecucin de la aplicacin. Permitir y registrar Permite que se ejecute la aplicacin y registra la informacin en el Registro de seguridad. El firewall toma esta medida solamente sobre las aplicaciones que se han modificado.
6 7 8
Si seleccion Preguntar, haga clic en Texto adicional. En el cuadro de dilogo Texto adicional, escriba el texto que desea mostrar bajo el mensaje estndar y despus haga clic en Aceptar. Para excluir una aplicacin de la supervisin, bajo Lista de aplicaciones sin supervisin, realice una de las siguientes acciones:
Para definir una aplicacin manualmente, haga clic en Agregar, complete uno o ms campos y despus haga clic en Aceptar. Para definir una aplicacin desde una lista de aplicaciones incorporadas, haga clic en Agregar desde. Ver "Buscar aplicaciones" en la pgina 442. La funcin de incorporacin de aplicaciones debe estar habilitada. Ver "Habilitar aplicaciones aprendidas" en la pgina 440.
La lista de aplicaciones incorporadas supervisa las aplicaciones de red y las que no estn conectadas. Es necesario seleccionar aplicaciones de red solamente de la lista de aplicaciones incorporadas. Despus de agregar aplicaciones a la Lista de aplicaciones sin supervisin, es posible habilitarlas, deshabilitarlas, editarlas o eliminarlas.
Seccin
Configurar anlisis de amenazas proactivos Administrar Polticas de control de aplicaciones y dispositivos Configurar dispositivos de hardware Personalizar polticas de control de aplicaciones y de dispositivos
582
Captulo
37
Acerca de los anlisis de amenazas proactivos Acerca del uso de la configuracin predeterminada de Symantec Acerca de los procesos que los anlisis de amenazas proactivos detectan Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos Acerca de los procesos que los anlisis de amenazas proactivos ignoran Cmo funcionan los anlisis de amenazas proactivos con la Cuarentena Cmo funcionan los anlisis de amenazas proactivos con excepciones centralizadas Informacin sobre las detecciones de amenazas proactivas Configurar la frecuencia del anlisis de amenazas proactivo Configurar notificaciones para anlisis de amenazas proactivos
584
Configurar anlisis de amenazas proactivos Acerca del uso de la configuracin predeterminada de Symantec
Los anlisis antivirus y de software espa dependen sobre todo de firmas para detectar amenazas conocidas. Los anlisis de amenazas proactivos utilizan la heurstica para detectar amenazas desconocidas. Los anlisis de procesos heursticos analizan el comportamiento de una aplicacin o un proceso. El anlisis determina si el proceso exhibe caractersticas de amenazas, tales como caballos de Troya, gusanos o registradores de pulsaciones. Este tipo de proteccin se denomina a veces proteccin contra ataques de da cero. Nota: Auto-Protect tambin utiliza un tipo de heurstica llamada Bloodhound para detectar comportamientos sospechosos en archivos. Los anlisis de amenazas proactivos detectan comportamientos sospechosos en procesos activos. Se incluye la configuracin sobre anlisis de amenazas proactivos como parte de una poltica antivirus y contra software espa. Muchas de las opciones de configuracin pueden ser bloqueadas de modo que los usuarios en los equipos cliente no puedan modificar la configuracin. Es posible configurar las siguientes opciones:
Qu tipos de amenazas debe buscar el anlisis Con qu frecuencia ejecutar anlisis de amenazas proactivos Independientemente de si las notificaciones deben aparecer en el equipo cliente cuando ocurre una deteccin de una amenaza proactiva
Se habilita Proteccin proactiva contra amenazas cuando se habilitan las opciones Analizar en busca de caballos de Troya y gusanos, o Analizar en busca de registradores de pulsaciones. Si se deshabilita cualquier opcin, la pgina de estado en el cliente de Symantec Endpoint Protection muestra la proteccin proactiva contra amenazas como deshabilitada. El anlisis de amenazas proactivo est habilitado de forma predeterminada. Nota: Puesto que los anlisis de amenazas proactivos analizan aplicaciones y procesos en busca de anomalas en el comportamiento, pueden afectar el rendimiento de su equipo.
Configurar anlisis de amenazas proactivos Acerca de los procesos que los anlisis de amenazas proactivos detectan
585
Si elige permitir que Symantec administre las detecciones, el software de cliente determina la accin y el nivel de sensibilidad. El motor de anlisis que se ejecuta en el equipo cliente determina la configuracin predeterminada. Si elige administrar las detecciones personalmente, puede configurar una sola accin de deteccin y un nivel de sensibilidad especfico. Para reducir al mnimo las detecciones positivas falsas, Symantec recomienda utilizar la configuracin predeterminada de Symantec inicialmente. Despus de cierto tiempo, es posible observar el nmero de falsos positivos que los clientes detectan. Si el nmero es bajo, se puede ajustar la configuracin del anlisis de amenazas proactivo gradualmente. Por ejemplo, para la deteccin de caballos de Troya y gusanos, es posible mover el control deslizante para aumentar levemente la sensibilidad predeterminada. Es posible observar los resultados de los anlisis de amenazas proactivos que se ejecutan despus de establecer la nueva configuracin. Ver "Informacin sobre las detecciones de amenazas proactivas" en la pgina 592. Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones" en la pgina 595.
586
Configurar anlisis de amenazas proactivos Acerca de los procesos que los anlisis de amenazas proactivos detectan
Es posible configurar el tipo de accin que el cliente efecta cuando detecta tipos determinados de aplicaciones comerciales. Las detecciones incluyen las aplicaciones comerciales que supervisan o registran las pulsaciones del teclado de un usuario o que controlan el equipo de un usuario remotamente. Si un anlisis detecta un registrador de pulsaciones comercial o un programa de control remoto comercial, el cliente utiliza la accin configurada en la poltica. Es posible tambin permitir que el usuario controle las acciones. Los anlisis de amenazas proactivos tambin detectan los procesos que se comportan como aplicaciones de publicidad no deseada y software espa. No es posible configurar cmo los anlisis de amenazas proactivos manejan estos tipos de detecciones. Si los anlisis de amenazas proactivos detectan publicidad no deseada o software espa que usted desea permitir en sus equipos cliente, debe crear una excepcin centralizada. Ver "Configurar una poltica de excepciones centralizada" en la pgina 646. La Tabla 37-1 describe los procesos que los anlisis de amenazas proactivos detectan. Tabla 37-1 Tipo de procesos
Caballos de Troya y gusanos
Registradores de pulsaciones
Procesos que exhiben caractersticas de registradores de pulsaciones. Los anlisis de amenazas proactivos detectan registradores de pulsaciones comerciales, pero tambin detectan procesos desconocidos que exhiban comportamiento de registrador de pulsaciones. Los registradores de pulsaciones son las aplicaciones que capturan las pulsaciones del teclado de los usuarios. Estas aplicaciones se pueden utilizar para recopilar informacin sobre contraseas y otra informacin vital. Pueden ser amenazas o no.
Configurar anlisis de amenazas proactivos Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos
587
Tipo de procesos
Descripcin
Aplicaciones comerciales Aplicaciones comerciales conocidas que se pueden utilizar con propsitos maliciosos. Los anlisis de amenazas proactivos detectan varios tipos de aplicaciones comerciales. Es posible configurar acciones para dos tipos: registradores de pulsaciones y programas de control remoto. Publicidad no deseada y Procesos que exhiben caractersticas de publicidad no deseada software espa y de software espa. Los anlisis de amenazas proactivos utilizan la heurstica para detectar procesos desconocidos que se comportan como publicidad no deseada y software espa. Estos procesos pueden ser riesgos o no.
Es posible configurar si el software de cliente enva informacin sobre detecciones de amenazas proactivas a Symantec. Se incluye esta opcin como parte de una poltica antivirus y contra software espa. Ver "Enviar informacin sobre anlisis a Symantec" en la pgina 485.
Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos
Los anlisis de amenazas proactivos a veces detectan falsos positivos. Estos anlisis buscan aplicaciones y procesos con comportamiento sospechoso en lugar de virus o riesgos de seguridad conocidos. Por su naturaleza, estos anlisis sealan tpicamente elementos que podra no ser necesario detectar. Para la deteccin de caballos de Troya, gusanos o registradores de pulsaciones, es posible elegir utilizar la accin y los niveles de sensibilidad predeterminados que Symantec especifica. O es posible elegir administrar las acciones y los niveles de sensibilidad de la deteccin usted mismo. Si administra las opciones usted mismo, se arriesga a la deteccin de muchos falsos positivos. Si desea administrar las acciones y los niveles de sensibilidad, debe tener en cuenta el impacto sobre su red de seguridad. Nota: Si modifica el nivel de sensibilidad, modifica el nmero total de detecciones. Si modifica el nivel de sensibilidad, es posible que se reduzca el nmero de falsos positivos que los anlisis de amenazas proactivos producen. Symantec recomienda que si usted modifica los niveles de sensibilidad, los modifique gradualmente y supervise los resultados.
588
Configurar anlisis de amenazas proactivos Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos
Si un anlisis de amenazas proactivo detecta un proceso que usted determina que no es un problema, es posible crear una excepcin. Una excepcin garantiza que los anlisis futuros no sealen el proceso. Los usuarios de los equipos cliente pueden tambin crear excepciones. Si hay un conflicto entre una excepcin definida por el usuario y una excepcin definida por el administrador, la excepcin definida por el administrador toma precedencia. Ver "Configurar una poltica de excepciones centralizada" en la pgina 646. La Tabla 37-2 indica las tareas para crear un plan para administrar falsos positivos. Tabla 37-2 Tarea
Asegrese de que Symantec administre las detecciones de caballos de Troya, gusanos y registradores de pulsaciones.
Configurar anlisis de amenazas proactivos Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos
589
Tarea
Descripcin
Asegrese de que el Verifique que los equipos que producen falsos positivos tengan contenido de Symantec el ltimo contenido de Symantec. El contenido ms actualizado est actualizado. incluye informacin sobre procesos que Symantec ha determinado como falsos positivos conocidos. Estos falsos positivos conocidos son excluidos de la deteccin del anlisis de amenazas proactivo. Es posible ejecutar un informe en la consola para comprobar qu equipos estn ejecutando la ltima versin del contenido. Ver "Acerca del uso de Supervisin e Informes para asegurar la red" en la pgina 251. Es posible actualizar el contenido haciendo cualquiera de las siguientes acciones: Aplique una poltica de LiveUpdate. Ver "Configurar polticas de clientes de LiveUpdate" en la pgina 131. Ejecute el comando Actualizar para los equipos seleccionados incluidos en la ficha Clientes. Ejecute el comando Actualizar en los equipos seleccionados que se enumeran en el registro de riesgos o estados del equipo.
Las opciones de envos estn incluidas en la poltica antivirus y contra software espa. Asegrese de que los equipos cliente estn configurados para enviar informacin automticamente a Symantec Security Response sobre los procesos detectados por los anlisis de amenazas proactivos. Estas opciones estn habilitadas de forma predeterminada. Ver "Enviar informacin sobre anlisis a Symantec" en la pgina 485.
Cree excepciones para Es posible crear una poltica que incluya excepciones para los los falsos positivos que falsos positivos que usted detecta. Por ejemplo, es posible que usted detecta. tenga que ejecutar un determinado proceso o aplicacin en su red de seguridad. Sabe que es seguro ejecutar el proceso en su entorno. Si los anlisis de amenazas proactivos detectan el proceso, se puede crear una excepcin de modo que los anlisis futuros no detecten el proceso. Ver "Configurar una poltica de excepciones centralizada" en la pgina 646.
590
Configurar anlisis de amenazas proactivos Acerca de los procesos que los anlisis de amenazas proactivos ignoran
Configurar anlisis de amenazas proactivos Cmo funcionan los anlisis de amenazas proactivos con excepciones centralizadas
591
las ltimas listas. Si las ltimas listas permiten algunos de los elementos en cuarentena, el cliente restaura automticamente los elementos. Adems, los administradores o los usuarios pueden crear excepciones para las detecciones de amenazas proactivas. Cuando las ltimas excepciones permiten los elementos en cuarentena, el cliente restaura los elementos. Los usuarios pueden ver los elementos en cuarentena en la pgina Ver Cuarentena en el cliente. El cliente no enva a un servidor de cuarentena central los elementos que los anlisis de amenazas proactivos ponen en cuarentena. Los usuarios pueden enviar automticamente o manualmente elementos de la cuarentena local a Symantec Security Response. Ver "Enviar elementos en cuarentena a Symantec" en la pgina 491.
Omitir cierto registrador de pulsaciones comercial Poner en cuarentena una aplicacin determinada que usted no desee ejecutar en los equipos cliente Permitir que se ejecute una aplicacin de control remoto especfica
Para evitar conflictos entre excepciones, los anlisis de amenazas proactivos utilizan el orden de precedencia siguiente:
Excepciones definidas por Symantec Excepciones definidas por el administrador Excepciones definidas por el usuario
592
Configurar anlisis de amenazas proactivos Informacin sobre las detecciones de amenazas proactivas
La lista definida por Symantec toma siempre precedencia sobre excepciones definidas por el administrador. Las excepciones definidas por el administrador siempre toman precedencia sobre las excepciones definidas por el usuario. Es posible utilizar una poltica de excepciones centralizada para especificar que los procesos detectados conocidos se permiten configurando la accin de deteccin Omitir. Es posible tambin crear una excepcin centralizada para especificar que ciertos procesos no se permiten configurando la accin Poner en cuarentena o Terminar. Los administradores pueden forzar detecciones de amenazas proactivas creando una excepcin centralizada que especifique un nombre de archivo que deben detectar los anlisis de amenazas proactivos. Cuando el anlisis de amenazas proactivo detecta el archivo, el cliente registra el caso. Dado que los nombres de archivo no son exclusivos, es posible que varios procesos utilicen el mismo nombre de archivo. Es posible utilizar detecciones forzadas para ayudarlo a crear excepciones para omitir, poner en cuarentena o terminar un proceso determinado. Cuando un anlisis de amenazas proactivo en el equipo cliente registra la deteccin, sta se convierte en parte de una lista de procesos conocidos. Es posible seleccionar un elemento de la lista cuando usted crea una excepcin para anlisis de amenazas proactivos. Puede configurar una accin determinada para la deteccin. Es posible tambin utilizar el registro de deteccin proactiva bajo la ficha Supervisin en la consola para crear la excepcin. Ver "Configurar una poltica de excepciones centralizada" en la pgina 646. Ver "Ver registros" en la pgina 229. Los usuarios pueden crear excepciones en el equipo cliente con uno de los siguientes mtodos:
La lista Ver Cuarentena Cuadro de dilogo de resultados del anlisis Excepciones centralizadas
Un administrador puede bloquear una lista de excepciones de modo que un usuario no pueda crear ninguna excepcin. Si un usuario cre excepciones antes de que el administrador bloqueara la lista, se deshabilitan las excepciones creadas por el usuario.
Configurar anlisis de amenazas proactivos Informacin sobre las detecciones de amenazas proactivas
593
Algunas detecciones no proporcionan suficiente informacin para ser categorizadas como amenaza o falso positivo; estos procesos se consideran desconocidos. Un anlisis de amenazas proactivo observa el comportamiento de los procesos activos en el momento en que se ejecuta el anlisis. El motor de anlisis busca comportamiento tal como la apertura de puertos o la captura de pulsaciones del teclado. Si un proceso implica una cantidad suficiente de este tipo de comportamiento, el anlisis seala el proceso como amenaza potencial. El anlisis no seala el proceso si ste no exhibe comportamiento sospechoso durante el anlisis. De forma predeterminada, los anlisis de amenazas proactivos detectan los procesos que se comportan como caballos de Troya y gusanos, o los procesos que se comportan como registradores de pulsaciones. Es posible habilitar o deshabilitar estos tipos de detecciones en una poltica antivirus y contra software espa. Nota: La configuracin del anlisis de amenazas proactivo no tiene ningn efecto sobre los anlisis antivirus y de software espa, que utilizan firmas para detectar riesgos conocidos. El cliente detecta riesgos conocidos primero. El cliente utiliza la configuracin predeterminada de Symantec para determinar qu accin tomar sobre los elementos detectados. Si el motor de anlisis determina que el elemento no necesita ser reparado, el cliente registra la deteccin. Si el motor de anlisis determina que el elemento debe ser reparado, el cliente pone en cuarentena el elemento. Nota: Las opciones Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones no se admiten actualmente en los sistemas operativos de servidor Windows. Es posible modificar las opciones en la poltica antivirus y contra software espa para los clientes que se ejecutan en sistemas operativos de servidor, pero los anlisis no se ejecutan. En la interfaz de usuario del cliente de los sistemas operativos de servidor, las opciones de anlisis no aparecen disponibles. Si habilita las opciones de anlisis en la poltica, estas opciones aparecen marcadas y no disponibles. La configuracin predeterminada de Symantec tambin se utiliza para determinar la sensibilidad del anlisis de amenazas proactivo. Cuando el nivel de sensibilidad es mayor, se sealan ms procesos. Cuando el nivel de sensibilidad es ms bajo, se sealan menos procesos. El nivel de sensibilidad no indica el nivel de certeza sobre la deteccin. Tampoco afecta el ndice de detecciones positivas falsas. Mientras mayor sea el nivel de sensibilidad, ms falsos positivos y positivos verdaderos detectar el anlisis.
594
Configurar anlisis de amenazas proactivos Informacin sobre las detecciones de amenazas proactivas
Es necesario utilizar la configuracin predeterminada de Symantec para ayudar a reducir al mnimo el nmero de falsos positivos que se detectan. Es posible deshabilitar la configuracin predeterminada definida por Symantec. Cuando se deshabilita la configuracin predeterminada de Symantec, es posible configurar las acciones y el nivel de sensibilidad para la deteccin de caballos de Troya, gusanos o registradores de pulsaciones. En la interfaz de usuario del cliente, las opciones predeterminadas que aparecen no reflejan la configuracin predeterminada de Symantec. Reflejan las opciones predeterminadas que se utilizan cuando se administran las detecciones manualmente. Para las aplicaciones comerciales, es posible especificar las medidas que el cliente toma cuando un anlisis de amenazas proactivo hace una deteccin. Es posible especificar acciones separadas para la deteccin de un registrador de pulsaciones comercial y la deteccin de una aplicacin de control remoto comercial. Nota: Los usuarios de los equipos cliente pueden modificar las opciones del anlisis de amenazas proactivo si estn desbloqueadas en la poltica antivirus y contra software espa. En el equipo cliente, las opciones de anlisis de amenazas proactivo aparecen bajo Proteccin proactiva contra amenazas.
Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos
De forma predeterminada, los anlisis de amenazas proactivos detectan caballos de Troya, gusanos y registradores de pulsaciones. Es posible deshabilitar la deteccin de caballos de Troya y los gusanos, o de registradores de pulsaciones. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para especificar los tipos de procesos que detectan los anlisis de amenazas proactivos
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivo. En la ficha Detalles del anlisis, bajo Anlisis, marque o deje sin marcar Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones. Haga clic en Aceptar.
Configurar anlisis de amenazas proactivos Informacin sobre las detecciones de amenazas proactivas
595
Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones
Los anlisis de amenazas proactivos se diferencian de los anlisis antivirus y de software espa. Los anlisis antivirus y de software espa buscan riesgos conocidos. Los anlisis de amenazas proactivos buscan riesgos desconocidos basados en el comportamiento de ciertos tipos de procesos o de aplicaciones. Los anlisis detectan cualquier comportamiento que sea similar al comportamiento de caballos de Troya, de gusanos o registradores de pulsaciones. Cuando se permite que Symantec administre las detecciones, la accin de deteccin es poner en cuarentena positivos verdaderos y slo registrar los falsos positivos. Cuando administra las detecciones usted mismo, es posible configurar la accin de deteccin. Esa accin se utiliza siempre que los anlisis de amenazas proactivos hacen una deteccin. Por ejemplo, es posible que tenga que especificar que el cliente de Symantec Endpoint Protection registre la deteccin de procesos que se comporten como caballos de Troya y gusanos. Cuando el cliente realiza una deteccin, no pone en cuarentena el proceso; slo registra el evento. Es posible configurar el nivel de sensibilidad. Los anlisis de amenazas proactivos hacen ms detecciones (verdaderos y falsos positivos) cuando configura el nivel de sensibilidad superior. Nota: Si habilita esta configuracin, se arriesga a detectar muchos falsos positivos. Es necesario tener en cuenta los tipos de procesos que se ejecuten en su red de seguridad. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan para los anlisis de amenazas proactivos. Para especificar la accin y la sensibilidad para los caballos de Troya, los gusanos o los registradores de pulsaciones
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivo. En la ficha Detalles del anlisis, bajo Analizando, asegrese de seleccionar Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones Para cualquier tipo de riesgo, desactive Usar los valores definidos por Symantec.
596
Configurar anlisis de amenazas proactivos Configurar la frecuencia del anlisis de amenazas proactivo
Para cualquier tipo de riesgo, configure la accin en Registrar, Poner en cuarentena o Terminar. Se envan notificaciones si una accin se configura en Poner en cuarentena o Terminar, y se han habilitado notificaciones. (Las notificaciones estn habilitadas de forma predeterminada). Utilice la accin Terminar con precaucin. En algunos casos, es posible que una aplicacin pierda funcionalidad.
Mueva el control deslizante a la izquierda o a la derecha para disminuir o aumentar la sensibilidad respectivamente. Seleccione Bajo o Alto.
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivo. En la ficha Detalles del anlisis, bajo Deteccin de aplicaciones comerciales, establezca la accin en Registrar, Finalizar, Cuarentena u Omitir. Haga clic en Aceptar.
Configurar anlisis de amenazas proactivos Configurar notificaciones para anlisis de amenazas proactivos
597
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar la frecuencia del anlisis de amenazas proactivo
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivo. En la ficha Frecuencia del anlisis, bajo Frecuencia del anlisis, seleccione una de las siguientes opciones:
Con la frecuencia de anlisis predeterminada El software del motor de anlisis determina la frecuencia del anlisis. Esta opcin es la predeterminada. Con una frecuencia personalizada de anlisis Si habilita esta opcin, es posible especificar que el cliente analice los nuevos procesos cliente cuando los detecta. Es posible tambin configurar la frecuencia del anlisis.
598
Configurar anlisis de amenazas proactivos Configurar notificaciones para anlisis de amenazas proactivos
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar notificaciones para anlisis de amenazas proactivos
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivo. En la ficha Notificaciones, marque Mostrar los resultados en el equipo cliente cuando hay una deteccin. Es posible habilitar o deshabilitar las siguientes opciones:
Mostrar un mensaje cuando se produzca una deteccin. Avisar antes de terminar un proceso. Avisar antes de detener un servicio.
Captulo
38
Acerca de las Polticas de control de aplicaciones y dispositivos Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos Acerca del control de aplicaciones Acerca del control de dispositivos Acerca de trabajar con polticas de control de aplicaciones y dispositivos Poltica de control de aplicaciones y dispositivos predeterminada Polticas personalizadas de control de aplicaciones y dispositivos Antes de crear polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos Tareas adicionales de las polticas de control de aplicaciones y dispositivos Administrar la lista de dispositivos de hardware Administrar Polticas de control de aplicaciones y dispositivos
600
Administrar Polticas de control de aplicaciones y dispositivos Acerca de las Polticas de control de aplicaciones y dispositivos
Control de aplicaciones para supervisar las llamadas de API de Windows a los equipos cliente y controlar el acceso a los archivos, las claves de registro y los procesos de los equipos cliente. Control de dispositivos para administrar los dispositivos perifricos que pueden asociarse a los equipos.
Es posible definir cada uno de estos tipos de proteccin cuando se crea una nueva poltica. Tambin tiene la opcin de primero agregar el control de aplicaciones o dispositivos y luego el otro tipo de proteccin. Es posible aplicar solamente una Poltica de control de aplicaciones y dispositivos a cada ubicacin dentro de un grupo. Por lo tanto, una poltica debe definir el control de aplicaciones y el control de dispositivos, si se desea implementar ambos tipos de proteccin. Nota: La informacin de este captulo se aplica solamente a los equipos cliente de 32 bits. Las Polticas de control de aplicaciones y dispositivos no funcionan en los equipos cliente de 64 bits.
Administrar Polticas de control de aplicaciones y dispositivos Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos
601
La lista siguiente muestra la jerarqua de componentes para cada uno de los dos tipos de proteccin:
Control de aplicaciones
Conjuntos de normas de control de aplicaciones Normas Condiciones Propiedades Acciones Dispositivos bloqueados Dispositivos excluidos del bloqueo
Control de dispositivos
La Figura 38-1 ilustra los componentes del control de aplicaciones y dispositivos y cmo se relacionan entre ellos. Figura 38-1 Descripcin general del control de aplicaciones y dispositivos
602
Importar archivos de poltica de control de aplicaciones y dispositivos. Crear polticas de control de aplicaciones y dispositivos. Aplicar polticas de control de aplicaciones y dispositivos a ubicaciones o a grupos. Editar polticas de control de aplicaciones y dispositivos existentes.
Los administradores utilizan las polticas de control de aplicaciones para proteger los equipos cliente de diversas maneras. Por ejemplo, es posible utilizar polticas de control de aplicaciones y dispositivos para lo siguiente:
Proteger claves de registro y valores especficos. Salvaguardar el directorio siguiente: \WINDOWS\system. Evitar que los usuarios alteren los archivos de configuracin. Proteger los archivos de programa importantes, tales como el directorio principal de Symantec donde se instala el cliente. Aplicar proteccin a procesos especficos o excluir procesos. Controlar el acceso a DLL.
Nota: Los eventos de control de aplicaciones y dispositivos se incluyen en el registro de control de clientes.
603
Intentos de acceso al registro Permite o bloquea el acceso a los valores del registro de un equipo cliente. Intentos de acceso a archivos Permite o bloquea el acceso a archivos o carpetas definidos y carpetas en un equipo cliente. Intentos de iniciar procesos Permite o bloquea la capacidad de iniciar un proceso en un equipo cliente. Permite o bloquea la capacidad de terminar un proceso en un equipo cliente. Por ejemplo, es posible bloquear la detencin de una aplicacin determinada. Permite o bloquea la capacidad de cargar la DLL en un equipo cliente.
604
Administrar Polticas de control de aplicaciones y dispositivos Poltica de control de aplicaciones y dispositivos predeterminada
Se asigna tpicamente una poltica a los grupos varios en su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Los pasos de este captulo asumen que usted est familiarizado con los fundamentos de la configuracin de polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 397.
Administrar Polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos
605
Symantec Corporation tambin recomienda que usted primero pruebe la poltica en un entorno de laboratorio de prueba. Nota: El equipo cliente puede fallar, o la comunicacin con el administrador de polticas puede bloquearse, cuando usted implementa una poltica de proteccin de acceso. Si ocurre este tipo de error, no es posible configurar el equipo cliente de forma remota. Su nica opcin puede ser restaurar el equipo cliente localmente. Si aplica una poltica de control de aplicaciones y dispositivos, y detecta que no funciona correctamente, es posible realizar una de las siguientes acciones:
Crear una poltica de control de aplicaciones y dispositivos Crear un conjunto de normas de control de aplicaciones Crear Control de dispositivos
606
Administrar Polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos
Ahora ya puede crear un conjunto de normas del control de aplicaciones, una o varias normas y controles de dispositivos. Un conjunto de normas de control de aplicaciones contiene una o varias normas y define qu aplicaciones supervisar Symantec Endpoint Protection Manager y las acciones que aplica sobre esas aplicaciones. Una norma contiene las condiciones de supervisin de archivos, carpetas y procesos especficos. Las condiciones incluyen lo siguiente:
Intentos de crear, leer y escribir archivos, carpetas o claves del registro Intentos de iniciar DLL Intentos de iniciar procesos Intentos de terminar procesos
Una norma tambin contiene las acciones que se aplicarn cuando se encuentran las condiciones especificadas. Estas acciones incluyen el registro y la notificacin al usuario del intento, el bloqueo del intento o la finalizacin de la aplicacin supervisada. El control de dispositivos consiste en dos listas: Dispositivos bloqueados y Dispositivos excluidos del bloqueo. El panel Dispositivos bloqueados enumera los dispositivos para los cuales se desea bloquear el acceso a los equipos cliente. El panel Dispositivos excluidos del bloqueo enumera los dispositivos que se desean excluir de la lista Dispositivos bloqueados. La Tabla 38-2 enumera combinaciones de configuracin de puertos y dispositivos de ejemplo. Tambin muestra el efecto que cada combinacin tiene sobre el dispositivo que intenta acceder al equipo cliente. Por ejemplo, puede decidir bloquear todos los puertos, pero permitir que un mouse USB pueda conectarse a un equipo cliente. En esta situacin, el mouse USB funciona en el equipo cliente aunque ese puerto est bloqueado. Tabla 38-2 Configuracin
Puerto bloqueado + Dispositivo habilitado Puerto habilitado + Dispositivo bloqueado
Administrar Polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos
607
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. Se muestra la pgina Polticas de control de aplicaciones y dispositivos.
En el panel Tareas, haga clic en Agregar una poltica de control de aplicaciones y dispositivos. Se muestra la pgina Poltica de control de aplicaciones y dispositivos.
En la pgina Descripcin general, en Nombre de la poltica, escriba el nombre de la nueva poltica de control de aplicaciones y dispositivos. El nombre predeterminado para la nueva poltica es Nueva poltica de control de aplicaciones y dispositivos. En Descripcin, escriba una descripcin de la poltica de control de aplicaciones y dispositivos. Esta informacin es opcional: se utiliza para propsitos de referencia solamente. La casilla Habilitar esta poltica est seleccionada de forma predeterminada. Haga clic para quitar la seleccin de esta casilla si no desea aplicar inmediatamente la poltica. Haga clic en Aceptar. Se muestra la ventana emergente Asignar poltica.
Haga clic en S para asignar la poltica. Se muestra la pgina Asignar poltica de control de aplicaciones y dispositivos.
Haga clic en una o varias casillas de verificacin correspondientes a los grupos y las ubicaciones a los cuales desea aplicar la poltica.
11 Haga clic en S para confirmar y asignar los cambios de las polticas. 12 Haga clic en Aceptar para continuar.
Regresar a la pgina Polticas de control de aplicaciones y dispositivos. La poltica que usted cre se muestra debajo de la poltica predeterminada.
608
Administrar Polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos
Despus de crear una nueva poltica, puede crear un conjunto de normas de control de aplicaciones, o un conjunto de normas de control de dispositivos, o ambos. Consulte las siguientes secciones: Ver "Crear un conjunto de normas de control de aplicaciones" en la pgina 608. Ver "Crear Control de dispositivos" en la pgina 610. Nota: Recuerde que slo se puede aplicar una poltica de control de aplicaciones y dispositivos a cada ubicacin. Por lo tanto, su poltica de control de aplicaciones y dispositivos debe contener el control de la aplicacin y el control de dispositivo si desea ejecutar ambos tipos de la proteccin.
En la pgina Polticas de control de aplicaciones y dispositivos, seleccione la poltica a la que desea agregar un conjunto de normas de control de aplicaciones. En el panel Tareas, seleccione Editar la poltica. Se muestra la pgina Poltica de control de aplicaciones y dispositivos.
Seleccione Control de aplicaciones. Se mostrar la pgina Control de aplicaciones. Revise los conjuntos de normas de control de aplicaciones predeterminados.
Verifique si los conjuntos de normas y las configuraciones de control necesarios para la poltica de control de aplicaciones y dispositivos ya existen y cumplen con los requisitos.
Administrar Polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos
609
Verifique si uno o ms de los conjuntos de normas y de la configuracin predeterminados del control cumplen con los requisitos. Seleccione la casilla ubicada junto a cada conjunto de normas que desea habilitar. No se habilitan de forma predeterminada. Si los conjuntos de normas y los controles predeterminados no cumplen con sus requisitos, puede crear conjuntos de normas de control de aplicaciones y dispositivos personalizados. Haga clic en Agregar. Se mostrar la pgina Agregar conjunto de normas de control de aplicaciones.
En la pgina Control de aplicaciones, haga clic en Agregar. Se mostrar la pgina Agregar conjunto de normas de control de aplicaciones.
En Nombre del conjunto de normas, escriba un nombre para el nuevo conjunto de normas. Este conjunto de normas contiene una o ms normas creadas por usted.
3 4 5 6
En Descripcin, escriba una descripcin para el nuevo conjunto de normas. En Nombre de la norma, escriba un nombre para la nueva norma. En Descripcin, escriba una descripcin de la nueva norma. La casilla Habilitar esta norma est seleccionada de forma predeterminada. Haga clic para deseleccionar la casilla si no desea habilitar inmediatamente la nueva norma. Seleccione las definiciones de procesos que se aplicarn a la norma. A continuacin, seleccione las definiciones de procesos que se excluirn de la norma.
610
Administrar Polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos
Haga clic en Agregar, ubicado a la derecha de Aplicar esta norma a los siguientes procesos. Se mostrar la pgina Agregar definicin de procesos.
2 3
Haga clic en los controles adecuados para hacer sus selecciones y escriba la informacin obligatoria en los campos de entrada de informacin. Haga clic en Aceptar. Los procesos que usted defini se visualizan en Aplicar esta norma al panel de los siguientes procesos.
Haga clic en Agregar, ubicado a la derecha del panel No aplicar esta norma a los siguientes procesos. Se mostrar la pgina Agregar definicin de procesos.
5 6
Haga clic en los controles adecuados para hacer sus selecciones y escriba la informacin obligatoria en los campos de entrada de informacin. Haga clic en Aceptar. Los procesos que usted defini se visualizan en No aplicar esta norma al panel de los siguientes procesos.
1 2
Repita del paso 1 al paso 7 para crear normas adicionales. Haga clic en Aceptar una vez que haya creado todas las normas. Regresar a la pgina de Control de aplicaciones.
Administrar Polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos
611
En el panel Poltica de control de aplicaciones y dispositivos, seleccione Control de dispositivos. Se mostrar la pgina Control de dispositivos.
En Dispositivos bloqueados, haga clic en Agregar. Se mostrar la ventana emergente Agregar dispositivo de hardware.
3 4
Revise la lista de dispositivos de hardware y seleccione el dispositivo que desea bloquear para el acceso al equipo cliente. Haga clic en Aceptar. Regresar a la pgina Control de dispositivos. Repita el paso 3 para cada dispositivo de hardware que desea bloquear.
En Dispositivos excluidos del bloqueo, haga clic en Agregar. Se mostrar la ventana emergente Agregar dispositivo de hardware.
6 7
Revise la lista de dispositivos de hardware y haga clic para seleccionar el dispositivo que desea excluir del bloqueo cuando acceden al equipo cliente. Haga clic en Aceptar. Regresar a la pgina Control de dispositivos. Repita el paso 6 para cada dispositivo de hardware que desea bloquear.
Haga clic en Aceptar. La ventana emergente Asignar poltica le solicita que decida si desea asignar la poltica.
Haga clic en S. Se muestra la pgina Asignar poltica de control de aplicaciones y dispositivos. Contine con el paso siguiente, iniciando en el paso 3
612
Administrar Polticas de control de aplicaciones y dispositivos Para crear una Poltica de control de aplicaciones y dispositivos
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Polticas. En el panel Ver polticas, haga clic para seleccionar Control de aplicaciones y dispositivos y despus haga clic para seleccionar la poltica que desea asignar. En el panel Tareas, haga clic en Asignar la poltica. Se muestra la pgina Asignar poltica de control de aplicaciones y dispositivos. Una marca verde indica que una poltica existente se ha aplicado a esa ubicacin.
Haga clic para seleccionar las ubicaciones o los grupos a los cuales usted desea asignar la Poltica de control de aplicaciones y dispositivos, y haga clic en Asignar. Se muestra la ventana emergente Asignar poltica de control de aplicaciones y dispositivos.
Haga clic en S para confirmar sus cambios. Regresar a la pgina Polticas de control de aplicaciones y dispositivos.
Modo de prueba
Cuando se crea un conjunto de normas de control de aplicaciones, el modo de prueba es el predeterminado. En modo de prueba, es posible aplicar la poltica a dispositivos y generar un registro de control de clientes. El modo de prueba no modifica el comportamiento de un dispositivo. Examine los registros de control de clientes para ver si hay errores y haga las correcciones necesarias. Cuando la poltica funciona correctamente, es posible cambiar al modo de produccin para implementar el conjunto de normas de control de aplicaciones. Ver " Modificar un modo del conjunto de normas de control de aplicaciones" en la pgina 613. para conocer las instrucciones para alternar entre estos dos modos.
Administrar Polticas de control de aplicaciones y dispositivos Tareas adicionales de las polticas de control de aplicaciones y dispositivos
613
1 2 3 4
Haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. Haga clic para seleccionar la poltica que desea editar. En el panel Tareas, haga clic en Editar la poltica. Se muestra la pgina Poltica de control de aplicaciones y dispositivos.
6 7 8 9
Seleccione el conjunto de normas de control de aplicaciones que desea mover. Haga clic en Subir o Bajar para modificar su prioridad dentro de la lista. Repita los pasos para cada conjunto de normas de aplicaciones cuya prioridad desee modificar. Una vez finalizados los cambios, haga clic en Aceptar. Regresar a la pgina Polticas de control de aplicaciones y dispositivos.
614
Administrar Polticas de control de aplicaciones y dispositivos Tareas adicionales de las polticas de control de aplicaciones y dispositivos
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. A continuacin haga clic para seleccionar la poltica cuyo modo del conjunto de normas de control de aplicaciones desea modificar. Haga clic en Editar la poltica. Se muestra la pgina Poltica de control de aplicaciones y dispositivos.
5 6 7 8
Localice el conjunto de normas cuyo modo desea modificar y haga clic para seleccionarlo. Haga clic en la flecha correspondiente de la lista desplegable para visualizar la lista de modos. Haga clic para seleccionar el nuevo modo. Haga clic en Aceptar. Regresar al panel Polticas de control de aplicaciones y dispositivos.
1 2 3 4
Haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. Haga clic para seleccionar la poltica que contiene la norma que desea deshabilitar. En el panel Tareas, haga clic en Editar la poltica. Se muestra la pgina Poltica de control de aplicaciones y dispositivos.
615
6 7 8
No seleccione la casilla de verificacin que se encuentra al lado del conjunto de normas de control de aplicaciones que desea deshabilitar. Repita este paso para cada conjunto de normas de control de aplicaciones que desee deshabilitar. Una vez finalizados los cambios, haga clic en Aceptar. Regresar a la pgina Polticas de control de aplicaciones y dispositivos. Ahora habr deshabilitado una sola norma o norma subordinada sin deshabilitar la poltica entera.
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas > Componentes de polticas > Dispositivos de hardware > Agregar un dispositivo de hardware. Se mostrar la ventana emergente Dispositivo de hardware.
2 3 4
En Nombre del dispositivo, escriba un nombre descriptivo para el dispositivo de hardware. En ID del dispositivo, escriba la cadena de caracteres del ID del dispositivo. Haga clic en Aceptar. Regresar al panel Dispositivos de hardware. El dispositivo de hardware que usted agreg se muestra en la columna Nombre del dispositivo.
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas > Componentes de polticas > Dispositivos de hardware. Se mostrar el panel Dispositivos de hardware.
2 3
Busque la columna Nombre del dispositivo y, a continuacin, seleccione el dispositivo de hardware que desea editar. En el panel Tareas, haga clic en Editar un dispositivo de hardware. Se mostrar la ventana emergente Dispositivo de hardware.
616
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
5 6
En ID del dispositivo, actualice la cadena de caracteres del ID del dispositivo. Haga clic en Aceptar. Regresar al panel Dispositivos de hardware. Se mostrar la informacin del dispositivo de hardware actualizada.
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas > Componentes de polticas > Dispositivos de hardware. Se mostrar el panel Dispositivos de hardware.
2 3
Busque la columna Nombre del dispositivo y, a continuacin, seleccione el dispositivo de hardware que desea eliminar. En el panel Tareas, haga clic en Eliminar el dispositivo de hardware. Se mostrar la ventana emergente Eliminar dispositivo de hardware.
Haga clic en Eliminar para confirmar que desea eliminar el dispositivo seleccionado. Regresar al panel Dispositivos de hardware. El dispositivo de hardware que elimin se ha quitado de la lista Nombre del dispositivo.
Editar una Poltica de control de aplicaciones y dispositivos Reemplazar una poltica de control de aplicaciones y dispositivos Copiar una Poltica de control de aplicaciones y dispositivos Exportar una poltica de control de aplicaciones y dispositivos Importar una poltica de control de aplicaciones y dispositivos Retirar una poltica de control de aplicaciones y dispositivos
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
617
Eliminar una poltica de control de aplicaciones y dispositivos Ver el historial de cambios de la poltica de control de aplicaciones y dispositivos
1 2 3 4
Haga clic en la ficha Polticas. En el rbol Polticas, expanda Polticas de control de aplicaciones y dispositivos y seleccione la poltica que desea editar. Haga clic en Editar esta poltica. Aparece el cuadro de dilogo de configuracin de la Poltica de control de aplicaciones y dispositivos. Edite la poltica modificando las protecciones existentes. Es posible agregar nuevas normas, modificar el orden de las normas, modificar las normas de modo de prueba a modo normal, o modificar las opciones de control de aplicaciones y dispositivos. Haga clic en Bloqueo de dispositivos para configurar el control de aplicaciones y dispositivos para los dispositivos. Cuando haya finalizado, haga clic en Aceptar para cerrar el cuadro de dilogo de configuracin de Polticas de control de aplicaciones y dispositivos. Otra manera de editar una Poltica de control de aplicaciones y dispositivos es seleccionarla en el panel Polticas. Haga clic con el botn secundario en la poltica y elija Editar.
Para editar una Poltica de control de aplicaciones y dispositivos aplicada a una ubicacin o a un grupo
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Clientes. En el rbol Ver clientes, expanda Global y haga clic para seleccionar el grupo cuya Poltica de control de aplicaciones y dispositivos desea editar. Las ubicaciones asociadas con el grupo seleccionado se enumeran a la derecha. Haga clic en la ficha Polticas.
618
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
Bajo Configuracin y polticas especficas de la ubicacin, haga clic para seleccionar la Poltica de control de aplicaciones y dispositivos que desea editar. Se muestra la ventana emergente Editar poltica. Utilice la ventana emergente para editar una poltica compartida o para convertir la poltica en una poltica no compartida.
Haga clic en Editar compartidas o Convertir en no compartida. Se muestra la pgina Poltica de control de aplicaciones y dispositivos.
Edite la poltica modificando las protecciones existentes. Es posible agregar nuevas normas, modificar el orden de las normas, modificar las normas de modo de prueba a modo normal, o modificar las opciones de control de aplicaciones y dispositivos. Haga clic en Bloqueo de dispositivos para configurar el control de aplicaciones y dispositivos para los dispositivos. Cuando haya finalizado, haga clic en Aceptar para cerrar el cuadro de dilogo de configuracin de Polticas de control de aplicaciones y dispositivos. Regresar a la pgina Clientes del grupo seleccionado.
1 2
Haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. Se muestra la pgina Polticas de control de aplicaciones y dispositivos.
3 4 5
Seleccione la poltica existente que desea reemplazar. Haga clic en Reemplazar la poltica. Se muestra la pgina Reemplazar poltica de control de aplicaciones y dispositivos. En Nueva poltica de control de aplicaciones y dispositivos, haga clic en la flecha para visualizar la lista desplegable. A continuacin, haga clic para seleccionar la poltica que desea utilizar para reemplazar la Poltica de control de aplicaciones y dispositivos anterior.
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
619
En el panel Reemplazar poltica, se muestran en un formato de rbol los grupos y las ubicaciones a los cuales pueden aplicarse las polticas. Haga clic en la casilla al lado de cada grupo o ubicacin para los cuales desee reemplazar la poltica seleccionada. La nueva poltica se aplica solamente a las ubicaciones donde se aplicaba la poltica anterior. La nueva poltica no se aplica a las ubicaciones o los grupos a los cuales se aplica otra poltica, o si no se ha aplicado ninguna poltica.
Haga clic en Reemplazar. Una ventana emergente le solicita que confirme sus cambios.
8 9
Haga clic en S. Haga clic en Aceptar. Regresar a la pgina Polticas de control de aplicaciones y dispositivos.
1 2
Haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Polticas de control de aplicaciones y dispositivos. Se muestra la pgina Polticas de control de aplicaciones y dispositivos.
3 4
Abra la lista de polticas y haga clic para seleccionar la poltica que desea copiar. En el panel Tareas, seleccione Copiar la poltica. Se muestra la ventana emergente Copiar poltica.
620
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
En el panel Tareas, seleccione Pegar una poltica. La poltica se copia en la lista de polticas en la pgina Polticas de control de aplicaciones y dispositivos. El nombre de la nueva copia de la poltica tiene el formato Copia de nombre de la poltica. Es posible pegar la poltica varias veces. Cada nombre tendr el formato Copia(n)de nombre de la poltica.
7 8
Haga clic para seleccionar una poltica copiada. En el panel Tareas, seleccione Editar la poltica. Se muestra la pgina Poltica de control de aplicaciones y dispositivos. Ahora puede editar la poltica.
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. Se muestra la pgina Polticas de control de aplicaciones y dispositivos.
3 4
Abra la lista de polticas y haga clic para seleccionar la poltica copiada que desea modificar. En el panel Tareas, seleccione Editar la poltica. Se muestra la pgina Poltica de control de aplicaciones y dispositivos.
5 6
En la pgina Descripcin general, en Nombre de poltica, escriba el nuevo nombre de la Poltica de control de aplicaciones y dispositivos copiada. En Descripcin, modifique la descripcin de la Poltica de control de aplicaciones y dispositivos copiada. Esta informacin es opcional: se utiliza para propsitos de referencia solamente. En el panel Grupos que usan esta poltica, verifique las ubicaciones a las cuales usted desea asignar la poltica. Para ver los grupos, haga clic en el men desplegable para seleccionar Vista de rbol o Vista de lista. Haga clic para seleccionar la casilla Habilitar esta poltica si desea aplicar inmediatamente la poltica. Haga clic en Aceptar. Se muestra la ventana emergente Asignar poltica.
8 9
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
621
13 Haga clic en S para confirmar y asignar los cambios de las polticas. 14 Haga clic en Aceptar para continuar.
Regresar a la pgina Polticas de control de aplicaciones y dispositivos. La poltica que usted cre se visualiza despus de la poltica predeterminada.
Utilizar la poltica en un sitio diferente. Realizar una copia de respaldo de una poltica existente antes de editarla.
Tambin puede exportar una poltica de control de aplicaciones y dispositivos desde la pgina Polticas de control de aplicaciones y dispositivos. Seleccione la poltica, haga clic sobre ella con el botn secundario y, luego, seleccione Exportar. Para exportar polticas de control de aplicaciones y dispositivos
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos y seleccione la Poltica de control de aplicaciones y dispositivos que desea exportar. En el panel Tareas, haga clic en Exportar la poltica. Se muestra en la pantalla Exportar conjunto de normas. Busque la ubicacin en la que desea guardar la poltica de control de aplicaciones y dispositivos exportada (archivo .dat). Corrija el nombre de archivo si es necesario, y haga clic en Exportar. La poltica de control de aplicaciones y dispositivos se exporta al archivo .dat en la ubicacin que usted especific. Se exporta la configuracin que se asocia con la poltica de control de aplicaciones y dispositivos, incluidas las normas de control de aplicaciones y dispositivos.
3 4
622
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
Utilizar una poltica de un sitio diferente. Restaurar una poltica existente despus de editarla.
Tambin puede importar una poltica de control de aplicaciones y dispositivos desde la pgina Polticas de control de aplicaciones y dispositivos. Seleccione la poltica, haga clic sobre ella con el botn secundario y, luego, seleccione Importar. Para importar las polticas de control de aplicaciones y dispositivos
1 2 3
Haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. En el panel Tareas, haga clic en Importar una poltica de control de aplicaciones y dispositivos. Se muestra en la pantalla Importar conjunto de normas. Busque la ubicacin del archivo de la poltica de control de aplicaciones y dispositivos (*.dat), seleccione el archivo y, luego, haga clic en Importar. Se importa la poltica de control de aplicaciones y dispositivos que seleccion, y se enumera en la lista de polticas de control de aplicaciones y dispositivos en el panel derecho. Se importan todas las normas y la configuracin que se asocian con la poltica de control de aplicaciones y dispositivos. Ahora puede asignar la poltica importada a las ubicaciones.
1 2 3
Haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. En la pgina Polticas de control de aplicaciones y dispositivos, seleccione la poltica de control de aplicaciones y dispositivos que desea retirar.
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
623
En el panel Tareas, haga clic en Retirar la poltica. Aparece el cuadro de dilogo para retirar la poltica de control de aplicaciones y dispositivos. Los grupos y las ubicaciones que utilizan la poltica muestran una marca verde a su lado.
5 6
Haga clic para activar los grupos o las ubicaciones de los que desea retirar la poltica. Haga clic en Retirar. Un cuadro de dilogo le solicita que confirme la opcin de retirar la poltica.
Haga clic en S. La poltica de control de aplicaciones y dispositivos se retira de los grupos o de las ubicaciones seleccionados que la utilizan actualmente.
1 2
Haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. Se muestra una lista de polticas de control de aplicaciones y dispositivos en la pgina Polticas de control de aplicaciones y dispositivos.
3 4
Seleccione la poltica que desea eliminar. En el panel Tareas, seleccione Eliminar la poltica. Se muestra la ventana emergente de confirmacin Eliminar poltica.
Haga clic en S para eliminar la poltica. La poltica se elimina y se quita del panel Polticas de control de aplicaciones y dispositivos.
624
Administrar Polticas de control de aplicaciones y dispositivos Administrar Polticas de control de aplicaciones y dispositivos
Una descripcin del cambio de poltica La fecha y hora de la marca del cambio de poltica El nombre del administrador que realiz el cambio
1 2
Haga clic en la ficha Polticas. En el panel Ver polticas, seleccione Control de aplicaciones y dispositivos. Se muestra la pgina Polticas de control de aplicaciones y dispositivos.
Ubique el panel en la parte inferior de la pgina que contiene el ttulo A continuacin se muestran los cambios recientes. Esta lista muestra el historial de cambios combinado para todas las polticas de control de aplicaciones y dispositivos que se incluyen en la pgina. Esta lista incluye la siguiente informacin para los ltimos 100 eventos de registro:
Descripcin del cambio y de la poltica afectada. La fecha y hora de la marca del cambio. El nombre de inicio de sesin del administrador que realiz el cambio.
Captulo
39
Acerca de los dispositivos de hardware Para agregar un dispositivo de hardware Editar un dispositivo de hardware Eliminar un dispositivo de hardware
626
de proteccin de acceso que implican el control de acceso en el nivel de los dispositivos. Para agregar dispositivos de hardware a la lista
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, en la seccin Componentes de polticas del panel Ver polticas, haga clic para seleccionar Dispositivos de hardware. En el panel Tareas, haga clic en Agregar un dispositivo de hardware. Se muestra el cuadro de dilogo Dispositivo de hardware. Escriba el nombre del dispositivo que desea agregar y su ID. Los ID de dispositivo se indican entre llaves por convencin. Por ejemplo, las unidades de disco genricas tienen el ID de dispositivo {4D36E967-E325-11CE-BFC1-08002BE10318}. Haga clic en Aceptar. El nuevo dispositivo se visualiza en la lista Nombre del dispositivo. Tambin puede agregar un dispositivo si hace clic con el botn secundario en la lista de dispositivos de hardware de la derecha y, luego, hace clic en Agregar.
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, en la seccin Componentes de polticas del panel Ver polticas, haga clic para seleccionar Dispositivos de hardware. En la lista Dispositivos de hardware, haga clic para seleccionar el dispositivo de hardware que usted desea editar. Haga clic para seleccionar Editar el dispositivo de hardware. Se muestra el cuadro de dilogo Dispositivo de hardware.
5 6
Edite el nombre de dispositivo o su ID. Haga clic en Aceptar. La informacin actualizada del dispositivo se visualiza en la lista Nombre del dispositivo.
627
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, en la seccin Componentes de polticas del panel Ver polticas, seleccione Dispositivos de hardware. En la lista Dispositivos de hardware, haga clic para seleccionar el dispositivo de hardware que usted desea eliminar. Haga clic en Eliminar el dispositivo de hardware. Se muestra el cuadro de dilogo Eliminar dispositivo de hardware. Haga clic en Aceptar para continuar. El dispositivo de hardware se quita de la lista Dispositivos de hardware.
628
Captulo
40
Acerca de la autorizacin del uso de aplicaciones, parches y utilidades Crear e importar una lista de huellas digitales de archivos Acerca de la autorizacin de aplicaciones
630
Personalizar polticas de control de aplicaciones y de dispositivos Crear e importar una lista de huellas digitales de archivos
Endpoint Protection Manager. Por ltimo, configure la accin que se realizar sobre el cliente cuando una aplicacin no aprobada intente acceder a ese equipo. Por ejemplo, cree una huella digital de archivo para cada tipo de cliente de su entorno. Asuma que el entorno contiene Windows Vista de 32 bits, Windows Vista de 64 bits y clientes de Windows XP SP2. Ejecute el archivo checksum.exe en una imagen de cada uno de estos tres tipos de clientes que existan en su entorno. Checksum.exe genera una huella digital de archivo para cada tipo de cliente. En este ejemplo, obtendr tres huellas digitales de archivos: una para cada imagen. A continuacin, utilice Symantec Endpoint Protection para crear una lista de huellas digitales de archivos a la cual se agreguen las tres huellas digitales de archivos que usted gener: una huella digital de archivos para cada tipo de cliente. ste es el momento en el cual usted define qu accin adopta Symantec Endpoint Protection cuando una aplicacin no aprobada intenta acceder a un equipo cliente. Es posible deshabilitar el bloqueo del sistema y permitir el acceso de la aplicacin. Es posible optar por solamente registrar las aplicaciones no aprobadas. Para obtener mayor proteccin, es posible habilitar el bloqueo del sistema en el equipo cliente al cual la aplicacin no autorizada est intentando acceder.
Personalizar polticas de control de aplicaciones y de dispositivos Crear e importar una lista de huellas digitales de archivos
631
Vaya al equipo que contiene la imagen para la que desea crear una huella digital de archivos. El equipo debe tener el software de cliente Symantec Endpoint Protection instalado. Abra una ventana de la lnea de comandos. Desplcese hasta el directorio que contiene el archivo checksum.exe. De forma predeterminada, este archivo se encuentra en la siguiente ubicacin: C:\Program Files\Symantec\Symantec Endpoint Protection
2 3
donde outputfile es el nombre del archivo de texto que contiene las sumas de comprobacin para todos los archivos ejecutables que se encuentran en la unidad especificada. El archivo de salida es un archivo de texto (outputfile.txt). Lo que sigue es un ejemplo de la sintaxis que utiliza:
checksum.exe cdrive.txt c:\
Este comando crea un archivo que se llama cdrive.txt. Contiene las sumas de comprobacin y las rutas de los archivos de todos los archivos ejecutables y DLL que se encontraron en la unidad de C del equipo cliente en el que se ejecut.
632
Personalizar polticas de control de aplicaciones y de dispositivos Crear e importar una lista de huellas digitales de archivos
35162d98c2b445199fef95e838feae4b 77e4ff0b73bc0aeaaf39bf0c8104231f f59ed5a43b988a18ef582bb07b2327a7 60e1604729a15ef4a3b05f298427b3b1 4f3ef8d2183f927300ac864d63dd1532 dcd15d648779f59808b50f1a9cc3698d eeaea6514ba7c9d273b5e87c4e1aab30 0a7782b5f8bf65d12e50f506cad6d840 9a6d7bb226861f6e9b151d22b977750d d97e4c330e3c940ee42f6a95aec41147
c:\dell\pnp\m\co\HSFCI008.dll c:\dell\pnp\m\co\HSFHWBS2.sys c:\dell\pnp\m\co\HSF_CNXT.sys c:\dell\pnp\m\co\HSF_DP.sys c:\dell\pnp\m\co\HXFSetup.exe c:\dell\pnp\m\co\MdmXSdk.dll c:\dell\pnp\m\co\MDMXSDK.sys c:\dell\pnp\mgmt\drac2wdm.sys c:\dell\pnp\mgmt\racser.sys c:\dell\pnp\n\bc\b57xp32.sys
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, expanda Componentes de polticas. En la pgina Polticas, bajo Componentes de polticas, haga clic en Lista de huellas digitales de archivos. En el panel Listas de huellas digitales de archivos, haga clic con el botn secundario en la lista de huellas digitales que desea editar en el rea de la informacin de la derecha. Haga clic en Editar. En el Asistente para editar huellas digitales de archivos, haga clic en Siguiente. Elija Agregar un archivo de huella digital a la huella digital de archivo para agregar un nuevo archivo al archivo existente y haga clic en Siguiente. Haga clic en Siguiente. Haga clic en Cerrar.
5 6 7 8 9
Personalizar polticas de control de aplicaciones y de dispositivos Crear e importar una lista de huellas digitales de archivos
633
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, expanda Componentes de polticas. En la pgina Polticas, bajo Componentes de polticas, haga clic en Lista de huellas digitales de archivos. En la pgina Polticas, bajo Tareas, haga clic en Agregar una lista de huellas digitales de archivos. En el panel Bienvenido al Asistente para agregar huellas digitales de archivos, haga clic en Siguiente. En el panel Informacin acerca de la nueva huella digital de archivo, escriba el nombre de la lista de huellas digitales que desea agregar en el cuadro de texto Nombre. En el panel Informacin acerca de la nueva huella digital de archivo, escriba una descripcin de la lista de huellas digitales que desea agregar en el cuadro de texto Descripcin. Este paso es opcional.
8 9
Haga clic en Siguiente. En el panel Crear una huella digital de archivo, haga clic en Crear la huella digital de archivo importando un archivo de huella digital de archivo.
10 Haga clic en Siguiente. 11 Haga clic en Examinar para localizar el archivo o escriba la ruta completa de
la lista de huellas digitales de archivos en el cuadro de texto.
634
Personalizar polticas de control de aplicaciones y de dispositivos Crear e importar una lista de huellas digitales de archivos
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, expanda Componentes de polticas. En la pgina Polticas, bajo Componentes de polticas, haga clic en Lista de huellas digitales de archivos. En el panel Bienvenido al Asistente para agregar huellas digitales de archivos, haga clic en Siguiente. En el panel Informacin acerca de la nueva huella digital de archivo, escriba el nombre de la lista de huellas digitales combinadas que desea agregar en el cuadro de texto Nombre. En el panel Informacin acerca de la nueva huella digital de archivo, escriba una descripcin de la lista de huellas digitales combinadas que desea agregar en el cuadro de texto Descripcin. Este paso es opcional.
7 8
Haga clic en Siguiente. En el panel Crear una huella digital de archivos, haga clic en Crear la huella digital de archivo combinando varias huellas digitales de archivos existentes. Esta opcin est disponible solamente si hay listas de huellas digitales de archivos en la poltica compartida.
10 Seleccione las huellas digitales que desea combinar. 11 Haga clic en Siguiente. 12 Haga clic en Cerrar. 13 Haga clic en Finalizar.
La lista de huellas digitales combinada aparece en el rea de informacin de la derecha.
635
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, expanda Componentes de polticas. En la pgina Polticas, bajo Componentes de polticas, haga clic en Lista de huellas digitales de archivos. En el panel Listas de huellas digitales de archivos, seleccione la lista de huellas digitales de archivos que desee eliminar. En la pgina Polticas, bajo Tareas, haga clic en Eliminar. La lista de huellas digitales de archivos se elimina de Symantec Endpoint Protection Manager, pero queda en su equipo en la ubicacin desde la que se la import.
Utilice el bloqueo del sistema para bloquear prcticamente cualquier caballo de Troya, software espa o software malicioso que intente ejecutarse o cargarse en una aplicacin existente. Por ejemplo, es posible evitar que estos archivos se carguen en Internet Explorer. El bloqueo del sistema garantiza el sistema se mantenga en un estado conocido y de confianza.
636
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, expanda el grupo Global para seleccionar el grupo especfico cuya lista de excepciones desea ver. La lista de excepciones incluye la informacin sobre los grupos que se hereda del grupo seleccionado.
3 4 5
En la pgina Clientes, haga clic en la ficha Polticas. En la ficha rea de configuracin y polticas de grupo, bajo Proteccin, haga clic en Bloqueo del sistema. En Bloqueo del sistema, en el el nombre del grupo, haga clic en Mostrar lista de excepciones. Esta opcin slo est disponible si se aplican cualquiera de las siguientes opciones:
637
Revise las aplicaciones que se enumeran en la lista de excepciones. Esta lista incluye la informacin sobre la hora en que la aplicacin fue ejecutada, el nombre de host del equipo, el nombre de usuario del cliente y el nombre del archivo ejecutable. Determine cmo desea administrar las aplicaciones no aprobadas. Agregue los nombres de las aplicaciones que desea permitir en la lista de archivos que se permiten siempre. Puede agregar el archivo ejecutable en la imagen del equipo la prxima vez que cree una huella digital de archivo. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de grupo.
638
Tiene la opcin de definir un mensaje personalizado para mostrar a los usuarios que tienen aplicaciones bloqueadas.
Autorizar el uso de esas aplicaciones adicionales. Esta accin agrega aplicaciones a la lista de aplicaciones siempre permitidas en la ficha Bloqueo del sistema o a la imagen donde se cre la huella digital de archivo. Notificar a los usuarios que las aplicaciones ya no se permitirn a partir de determinada fecha que usted especifique. Es posible entonces proceder a habilitar el bloqueo del sistema en esa fecha. Seguir registrando el uso de aplicaciones no aprobadas. No se necesita ninguna accin adicional.
1 2
Haga clic en la ficha Polticas. En el rbol Polticas, expanda Global y seleccione el grupo cuya lista de excepciones desea ver. La lista de excepciones incluye informacin sobre los grupos que se hereda del grupo seleccionado. Bajo Configuracin de proteccin, a la derecha, seleccione Bloqueo del sistema. Aparece el cuadro de dilogo Configuracin de grupo, donde se muestra la ficha Bloqueo del sistema. Haga clic en Mostrar lista de excepciones. Esta opcin est disponible solamente si se aplican las opciones Registrar aplicaciones no aprobadas o Habilitar bloqueo del sistema. Se muestra la lista de excepciones. Revise las aplicaciones que se enumeran en la lista de excepciones. La informacin que se visualiza incluye el momento en que que se ejecut la aplicacin, el nombre de host del equipo, el nombre de usuario del cliente y el nombre de archivo del ejecutable. Determine cmo desea administrar las aplicaciones no aprobadas. Agregue las que desee permitir a la lista de archivos que se permiten siempre. Puede agregar el archivo ejecutable en la imagen del equipo la prxima vez que cree una huella digital de archivo. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de grupo.
639
1 2
En los pgina clientes, haga clic en la ficha Polticas. En el rbol Ver, expanda Global y seleccione al grupo para el que desea configurar el bloqueo del sistema. Slo puede bloquear los equipos cliente en esos grupos que no se hereden de un grupo principal.
Bajo Configuracin de proteccin, a la derecha, seleccione Bloqueo del sistema. Aparece el cuadro de dilogo Configuracin de grupo, donde se muestra la ficha Bloqueo del sistema. Haga clic en Paso 2: permitir el bloqueo del sistema para activar esta proteccin. Este paso bloquea las aplicaciones no aprobadas que los clientes intentan ejecutar. Aunque no se recomienda, ahora puede agregar listas de huellas digitales de archivos y archivos ejecutables permitidos. Debe asegurarse de que todo funciona en la prueba antes de habilitar el bloqueo del sistema.
Elija si seleccionar Notificar al usuario si se bloquea la aplicacin (no hay notificacin predeterminada). Si desea notificar a los usuarios, agregue un mensaje que puedan ver al hacer clic en Agregar mensaje adicional. Escriba el mensaje y haga clic en Aceptar. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de grupo.
640
Agregar una o ms huellas digitales de archivos Combinar las huellas digitales de archivos
Despus de que usted cree las huellas digitales, debe agregarlas al administrador. Se pueden combinar varias huellas digitales de archivos. Por ejemplo, es posible utilizar diferentes imgenes para diferentes grupos en su compaa.
Seccin
642
Captulo
41
Acerca de las polticas de excepciones centralizadas Configurar una poltica de excepciones centralizada Configurar restricciones de clientes para las excepciones centralizadas Crear excepciones centralizadas de eventos de registro
Anlisis antivirus y de software espa Anlisis de amenazas proactivos Anlisis de Proteccin contra intervenciones
Nota: Los anlisis antivirus y de software espa incluyen todos los anlisis de Auto-Protect, anlisis programados, anlisis manuales o anlisis definidos por el usuario. Tpicamente, las excepciones son riesgos o procesos que usted desea que el software cliente excluya del anlisis. Si utiliza excepciones en equipos cliente, es posible que se reduzca el tiempo del anlisis. Si reduce el tiempo del anlisis, aumenta el rendimiento del sistema en los equipos cliente.
644
Para los anlisis de amenazas proactivos, es posible que desee adems que el software de cliente detecte un proceso especfico que no se detecta de forma predeterminada. Es posible crear una excepcin para forzar la deteccin. Cuando la deteccin aparece en la lista de procesos detectados, puede crear otra excepcin para especificar una accin para la deteccin. Nota: Para los anlisis antivirus y de software espa, o de Proteccin contra intervenciones, se utilizan excepciones centralizadas para especificar elementos determinados que se deben excluir de los anlisis. Para los anlisis de amenazas proactivos, sin embargo, se utilizan excepciones centralizadas para especificar acciones para los procesos detectados o para forzar una deteccin. Cuando se crea una poltica de excepciones centralizada, las excepciones se aplican a todos los anlisis de ese tipo en el equipo cliente que utiliza la poltica. Es posible incluir todas las excepciones en la misma poltica. A diferencia de otras polticas, la consola de Symantec Endpoint Protection no incluye una poltica de excepciones centralizada predeterminada. Es necesario crear una nueva poltica. Es posible crear polticas de excepciones centralizadas desde la pgina de polticas o puede crear polticas de excepciones centralizadas desde la pgina clientes en la consola de administracin. Puede agregar excepciones a una poltica de excepciones centralizada usando los registros de la consola de administracin. Es necesario crear una poltica de excepciones centralizada para poder utilizar este mtodo para crear excepciones. Ver "Crear excepciones centralizadas de eventos de registro" en la pgina 654.
645
Acerca de las excepciones centralizadas para los anlisis antivirus y contra software espa
Es posible que desee excluir un riesgo de seguridad determinado de los anlisis antivirus y contra software espa. Es recomendable excluir ciertos archivos, carpetas o extensiones de archivo de los anlisis. Cuando se excluye un riesgo de seguridad, los anlisis ignoran el riesgo. Es posible configurar la excepcin de modo que los anlisis registren la deteccin. En cualquier caso, el software de cliente no notifica a los usuarios cuando detecta los riesgos de seguridad especificados. Cuando se excluyen archivos, carpetas o extensiones, los anlisis ignoran los archivos, las carpetas o las extensiones. Nota: Las excepciones centralizadas se aplican a todas los anlisis antivirus y contra software espa. No puede crear diferentes excepciones para distintos tipos de anlisis. Por ejemplo, puede crear una excepcin centralizada para excluir una extensin de archivo determinada. El software de cliente excluye la extensin de los anlisis de Auto-Protect y de todos los anlisis definidos por el administrador y por el usario. Los anlisis definidos por el administrador y los anlisis definidos por el usario incluyen anlisis programados y anlisis manuales.
646
No pueden crear excepciones para forzar las detecciones para los anlisis de amenazas proactivos. No pueden hacer una seleccin de una lista de procesos detectados para crear una excepcin para los anlisis de amenazas proactivos. Sin embargo, pueden seleccionar un archivo del equipo cliente para crear una excepcin del anlisis de amenazas proactivo. Los usuarios no pueden crear ninguna excepcin para la proteccin contra intervenciones.
Puede restringir usuarios en los equipos cliente de modo que no puedan crear excepciones para los anlisis antivirus y contra software espa, o para los anlisis de amenazas proactivos. Ver "Configurar restricciones de clientes para las excepciones centralizadas" en la pgina 653.
647
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar y realice una de las siguientes acciones:
Haga clic en Excepciones de riesgos de seguridad y agregue una excepcin de riesgos de seguridad que usted desee incluir en la poltica. Ver "Configurar una excepcin centralizada para los anlisis antivirus y contra software espa" en la pgina 647. Haga clic en Excepciones de anlisis de amenazas proactivo y agregue una excepcin de anlisis de amenazas proactivo que desee incluir en la poltica. Ver "Configurar una excepcin centralizada para los anlisis de amenazas proactivos" en la pgina 650. Haga clic en Excepcin de proteccin contra intervenciones y agregue una excepcin de anlisis de amenazas proactivo que desee incluir en la poltica. Ver "Configurar una excepcin centralizada para la proteccin contra intervenciones" en la pgina 652.
3 4
Repita el paso 2 para agregar ms excepciones. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar una excepcin centralizada para los anlisis antivirus y contra software espa
Puede crear las excepciones para riesgos de seguridad conocidos, archivos, carpetas o extensiones de archivo. Las excepciones se aplican a todos los anlisis antivirus y contra software espa que se ejecuten en los equipos cliente que utilizan la poltica. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar una excepcin centralizada para los anlisis antivirus y contra software espa
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad y, a continuacin, realice una de las siguientes acciones:
648
Haga clic en Riesgos conocidos y, luego, configure la excepcin. Ver "Configurar excepciones centralizadas para los riesgos de seguridad conocidos" en la pgina 648. Haga clic en Archivo y, luego, configure la excepcin. Ver "Configurar una excepcin centralizada para un archivo" en la pgina 649. Haga clic en Carpeta y, luego, configure la excepcin. Ver "Configurar una excepcin centralizada para una carpeta" en la pgina 649. Haga clic en Extensiones y, luego, configure la excepcin. Ver "Configurar una excepcin centralizada para una extensin de archivo" en la pgina 650.
3 4
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad > Riesgos conocidos. En el cuadro de dilogo Excepciones de riesgos de seguridad conocidos, seleccione uno o ms riesgos de seguridad que desee excluir de los anlisis antivirus y contra software espa. Marque Registrar la deteccin del riesgo de seguridad si desea registrar la deteccin. Si no marca esta opcin, el cliente ignora el riesgo cuando detecta los riesgos seleccionados. Por lo tanto, el cliente no registra la deteccin.
649
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad > Archivo. Bajo Excepcin de archivos de riesgos de seguridad, en el cuadro desplegable Variable de prefijo, seleccione una ubicacin de archivo si desea restringir la excepcin. Seleccione NINGUNO si desea que la excepcin se aplique al archivo en cualquier ubicacin en el equipo cliente.
En el cuadro de texto Archivo, escriba el nombre del archivo. Incluya la informacin de la ruta del archivo.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad > Carpeta. Bajo Excepcin de carpeta de riesgos de seguridad, en el cuadro desplegable Variable de prefijo, seleccione una ubicacin de carpeta si desea restringir la excepcin. Utilice NINGUNO si desea que la excepcin se aplique al archivo en cualquier ubicacin en el equipo cliente.
650
En el cuadro de texto Carpeta, escriba el nombre del archivo. Incluya la informacin de la ruta de la carpeta.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3 4 5 6
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad > Extensin. En el cuadro de texto, escriba la extensin que desea excluir y despus haga clic en Agregar. Repita el paso 3 para agregar ms extensiones a la excepcin. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
651
Para configurar una excepcin centralizada para los anlisis de amenazas proactivos
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo y, a continuacin, realice una de las siguientes acciones:
Haga clic en Procesos detectados. Ver "Configurar una excepcin centralizada para un proceso detectado" en la pgina 651. Haga clic en Procesar. Ver "Configurar una excepcin para forzar anlisis de amenazas proactivos para detectar un proceso" en la pgina 652.
3 4
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo > Procesos detectados. Seleccione los procesos para los cuales desee crear una excepcin.
652
4 5 6
En el cuadro desplegable Accin, seleccione Omitir, Finalizar, Cuarentena o Registrar. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar una excepcin para forzar anlisis de amenazas proactivos para detectar un proceso
Es posible configurar una excepcin para forzar anlisis de amenazas proactivos para detectar un proceso. Es posible que tenga que configurar este tipo de excepcin cuando los anlisis de amenazas proactivos no detectan un proceso determinado. Una vez que los anlisis se ejecutan y detectan el proceso especificado, es posible crear otra excepcin para manejar el proceso. Ver "Configurar una excepcin centralizada para un proceso detectado" en la pgina 651. Para configurar una excepcin para forzar anlisis de amenazas proactivos para detectar un proceso
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo > Proceso. En el cuadro de dilogo Agregar excepcin de proceso de anlisis de amenazas proactivo, escriba el nombre del proceso. Por ejemplo, es posible que tenga que escribir el nombre de un archivo ejecutable de la siguiente forma: foo.exe
4 5
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar polticas de excepciones centralizadas Configurar restricciones de clientes para las excepciones centralizadas
653
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepcin de proteccin contra intervenciones. En el cuadro de dilogo Excepcin de proteccin contra intervenciones, en el cuadro desplegable Variable de prefijo, seleccione una ubicacin de archivo para restringir la excepcin. En el cuadro de texto Archivo, escriba el nombre del archivo. Incluya la informacin de la ruta del archivo.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Restricciones del cliente. Bajo Restricciones del cliente, marque o quite la marca de Excepciones centralizadas de riesgos de seguridad y Excepciones de anlisis de amenazas proactivo. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
654
1 2
En la ficha Supervisin, haga clic en la ficha Registros. En el cuadro de la lista desplegable Tipo de registro, realice una de las siguientes acciones:
Seleccione el riesgo. Seleccione la proteccin de amenazas proactiva. Seleccione Control de aplicaciones y dispositivos.
3 4 5
Si seleccion Control de aplicaciones y dispositivos, seleccione Control de aplicaciones en el cuadro de la lista Contenido del registro. Haga clic en Ver registro. Siga las instrucciones para agregar las excepciones centralizadas para el tipo de registro que seleccion. Ver "Agregar una excepcin centralizada para eventos de riesgo" en la pgina 654. Ver "Agregar una excepcin centralizada para eventos de proteccin proactiva contra amenazas" en la pgina 655. Ver "Agregar una excepcin centralizada para eventos de Proteccin contra intervenciones" en la pgina 656.
655
1 2
En la pgina Registros de riesgos, seleccione uno o ms eventos para los cuales desee agregar una excepcin centralizada. Junto a Accin, realice una de las siguientes acciones:
Seleccione Agregar riesgo a la poltica de excepciones centralizada. Seleccione Agregar archivo a la poltica de excepciones centralizada. Seleccione Agregar carpeta a la poltica de excepciones centralizada. Seleccione Agregar extensin a la poltica de excepciones centralizada.
3 4
Haga clic en Iniciar. En el cuadro de dilogo, puede quitar cualquier riesgo, archivo, carpeta o extensin asociados al evento. Si quita elementos, no se los incluye en la excepcin. Si ningn elemento aparece en los riesgos, los archivos, las carpetas o las listas de extensiones, no es posible crear una excepcin.
5 6 7
Para los riesgos de seguridad, es posible activar Registrar la deteccin del riesgo de seguridad si desea que el software de cliente registre la deteccin. Seleccione todas las polticas de excepciones centralizadas que deban utilizar esta excepcin. Haga clic en Aceptar.
Agregar una excepcin centralizada para eventos de proteccin proactiva contra amenazas
Es posible agregar una excepcin centralizada para eventos de proteccin proactiva contra amenazas. Para agregar una excepcin centralizada para eventos de proteccin proactiva contra amenazas
1 2 3
En la pgina Registros de proteccin activa de amenazas, seleccione uno o ms eventos para los cuales desee agregar una excepcin centralizada. Junto a Accin, seleccione Agregar proceso a la poltica de excepciones centralizada. Haga clic en Iniciar.
656
En el cuadro de dilogo, en la lista desplegable Respuesta, seleccione la accin de deteccin para el proceso. Opcionalmente, es posible quitar cualquier proceso que usted no desee incluir en la excepcin.
5 6
Seleccione las polticas de excepciones centralizadas que debe incluir esta excepcin. Haga clic en Aceptar.
En la pgina de registros de Control de aplicaciones y dispositivos, seleccione uno o ms eventos para los cuales usted desee agregar una excepcin centralizada. Al lado de Accin, seleccione Agregar archivo a la poltica de excepciones centralizada. Haga clic en Iniciar. Para quitar un archivo que usted no desee incluir en la excepcin, seleccione el archivo y haga clic en Quitar. Repita este paso para quitar ms archivos.
2 3 4
5 6
Seleccione las polticas de excepciones centralizadas que debe incluir esta excepcin. Haga clic en Aceptar.
Seccin
Configurar polticas de integridad del host Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Administrar mdulos de Enforcer desde la consola Informes y registros de Enforcer
658
Captulo
42
Acerca de las polticas de integridad del host Cmo funciona la aplicacin de integridad del host Consideraciones para la planificacin de requisitos de integridad del host Crear polticas de integridad del host Configuracin para la comprobacin de integridad del host Configurar requisitos de integridad del host Requisitos predefinidos de integridad del host Requisitos personalizados de integridad del host Opciones para reparacin de integridad del host Administrar polticas de integridad del host
660
Configurar polticas de integridad del host Cmo funciona la aplicacin de integridad del host
Configuracin general, por ejemplo, cundo y cuntas veces el cliente ejecuta una comprobacin de integridad del host. Adems, cuntas veces un usuario puede cancelar una accin de reparacin.
Cuando se especifican requisitos de integridad del host, es posible elegir entre los siguientes tipos: requisitos predefinidos, personalizados o de la plantilla. Los requisitos de la plantilla estn disponibles mediante el servicio de LiveUpdate de polticas de integridad del host. Es posible copiar y pegar, y exportar e importar requisitos entre polticas. Se crean polticas de integridad del host y se aplican a grupos o ubicaciones en la pgina Polticas del servidor de administracin. Es posible adems crear una poltica de integridad del host predeterminada para una ubicacin al tiempo que se crea la ubicacin. Ver "Acerca de las ubicaciones de un grupo" en la pgina 385. Si utiliza la replicacin, es necesario comprender qu sucede si las polticas de integridad del host se crean y se modifican en sitios varios en la granja del sitio. Ver "Acerca de la replicacin de datos" en la pgina 345.
Configurar polticas de integridad del host Cmo funciona la aplicacin de integridad del host
661
o de posponer una descarga. El equipo no puede conectarse a la red de la empresa hasta que se instale el software. El cliente puede adems detectar si una aplicacin antivirus est desactualizada o no. Si una aplicacin antivirus es ms antigua que lo que un administrador del sistema ha especificado, es posible evitar que el cliente se conecte a la red de la empresa. Antes de que pueda conectarse, el cliente necesita una versin actualizada de la aplicacin antivirus. La poltica de integridad del host incluye las configuraciones que determinan la frecuencia con que el cliente debe ejecutar una comprobacin de integridad del host en el equipo cliente. El equipo cliente puede conectarse a la red con Symantec Enforcer. En esta situacin, es posible configurar la Poltica de integridad de host de modo que el cliente ejecute la comprobacin de integridad del host solamente cuando se lo solicite Enforcer. Enforcer puede verificar lo siguiente: el cliente se est ejecutando, la poltica del cliente est actualizada y la comprobacin de integridad del host es aprobada antes de que se permita el acceso a la red. Cada vez que un cliente recibe una nueva poltica de seguridad, ejecuta inmediatamente una comprobacin de integridad del host. El cliente se puede configurar para descargar e instalar automticamente la ltima poltica de seguridad. Se genera una entrada en el registro de seguridad si la actualizacin de polticas falla. Si la notificacin de usuario se habilita en el cliente, aparece un mensaje en el equipo del usuario. El siguiente es un ejemplo de las clases de requisitos necesarios que deben tenerse en cuenta cuando se configura la aplicacin de integridad del host. En este ejemplo, la poltica de integridad del host se ha configurado para exigir lo siguiente:
El cliente ejecuta el software antivirus actualizado. Se realiza la comprobacin de integridad del host solamente cuando el cliente intenta conectarse a la red mediante Enforcer. La comprobacin activa las acciones que ocurren silenciosamente en el cliente.
Verifica que un cliente se haya instalado en el equipo de un usuario. Solicita a un cliente descargar polticas de seguridad actualizadas, si estn disponibles.
Enforcer solicita al cliente ejecutar la comprobacin de integridad del host. El cliente primero verifica que el software antivirus ms reciente est instalado y lo ejecuta. Si se ha instalado pero no se est ejecutando, el cliente inicia silenciosamente la aplicacin antivirus. Si no est instalado, el cliente descarga el software desde la URL que se especifica en el requisito de integridad del host. Despus, el cliente instala e inicia el software.
662
Configurar polticas de integridad del host Cmo funciona la aplicacin de integridad del host
A continuacin, el cliente verifica que los archivos de firmas del antivirus sean actuales. Si los archivos del antivirus no son actuales, el cliente extrae e instala silenciosamente los archivos actualizados. El cliente ejecuta la comprobacin de integridad del host de nuevo y la aprueba. Enforcer recibe los resultados y concede el acceso del cliente a la red de la empresa. En este ejemplo, deben cumplirse los siguientes requisitos:
El servidor de archivos que se utiliza para las actualizaciones de integridad del host tiene los ltimos archivos instalados. El cliente obtiene aplicaciones actualizadas del servidor de archivos. Es posible configurar uno o ms servidores de reparacin que se conecten a la red de la empresa. Desde los servidores de reparacin, los usuarios pueden copiar o descargar automticamente las revisiones y las correcciones necesarias para cualquier aplicacin obligatoria. Si un servidor de reparacin falla, la reparacin de integridad del host tambin fallar. Si el cliente intenta conectarse mediante Enforcer, ste bloquea el cliente si la integridad del host falla. Tiene la opcin de configurar la poltica de integridad del host de modo que el cliente notifique a Enforcer que la comprobacin de integridad del host se aprob aunque haya fallado. En este caso, Enforcer no bloquea el cliente. La informacin sobre la comprobacin de integridad del host con fallas se asienta en el registro de seguridad del cliente. El servidor de administracin debe configurarse para enviar las actualizaciones de la poltica de seguridad automticamente a cualquier equipo que ejecute el cliente.
Si los parmetros que se definen para polticas de integridad del host no son correctos, Enforcer no permite que el cliente se conecte a la red de la empresa. El siguiente mensaje aparece en el cliente:
Symantec Enforcer ha bloqueado todo el trfico del cliente. norma: {nombre del requisito} fall.
El cliente intenta recuperarse. Si la poltica de integridad del host del cliente se configura para actualizar los archivos antes de que permita que el cliente se conecte a la red de la empresa, se notifica al usuario que se debe proporcionar una actualizacin. Un indicador de progreso para la actualizacin sigue a la actualizacin. Si el usuario se desconecta de la red de la empresa, el proceso se inicia de nuevo.
Configurar polticas de integridad del host Consideraciones para la planificacin de requisitos de integridad del host
663
Qu software (aplicaciones, archivos, parches y as sucesivamente) desea exigir para la seguridad empresarial? Qu ocurre si un requisito no se cumple? Por ejemplo:
El cliente puede conectarse a un servidor y restaurar el software para que se cumpla el requisito. La comprobacin de la integridad del host puede aprobarse aunque no se cumpla el requisito. La comprobacin de la integridad del host puede no aprobarse y el acceso de red puede ser bloqueado. Un mensaje emergente puede indicar al usuario qu hacer despus.
Qu aplicaciones antivirus, contra software espa y de firewall, parches o actualizaciones son obligatorios en la estacin de trabajo, equipo porttil o servidor de cada usuario cuando se conecta a la red de la empresa? Se crea generalmente un requisito separado para cada tipo de software. Los requisitos predefinidos de integridad del host le permiten fcilmente configurar estos requisitos de uso comn. Es posible dar a usuarios el derecho de seleccionar qu aplicaciones de firewall, contra software espa o antivirus desean ejecutar en sus equipos. Los requisitos predefinidos le permiten especificar una aplicacin especfica o una lista entera de aplicaciones compatibles aceptables. Es posible crear un requisito personalizado que incluya las aplicaciones que son aceptables en su compaa. Cmo manejar la restauracin del equipo de un usuario para cumplir los requisitos? Normalmente, es necesario configurar un servidor de reparacin con el software obligatorio. Cuando se configura el requisito, es necesario especificar la URL desde la cual el cliente puede descargar e instalar el software obligatorio. Algunos parches necesitan que el usuario reinicie el equipo. Las actualizaciones se terminan en un orden especfico para aplicar todas las actualizaciones antes de que un usuario tenga que reiniciar. Como parte de la poltica de integridad del host, es posible configurar el orden en el cual se activan los requisitos y se intenta la reparacin.
664
Configurar polticas de integridad del host Crear polticas de integridad del host
Se debe, adems, considerar qu ocurre si un requisito falla y no puede ser restaurado. Para cada requisito, tiene la opcin de permitir que la comprobacin de integridad del host se apruebe aunque ese requisito no lo haga. Como parte de la poltica de integridad del host general, adems puede configurar mensajes emergentes. El cliente muestra estos mensajes emergentes al usuario si la comprobacin de integridad del host falla o si se aprueba despus de un fallo anterior. Quizs desee planificar instrucciones adicionales para el usuario en estos mensajes emergentes. Adems, es posible configurar una poltica de cuarentena que deba activarse si la integridad del host falla. Es posible simplificar la administracin de aplicaciones obligatorias si incluye aplicaciones similares en un requisito personalizado. Por ejemplo, es posible incluir navegadores de Internet, como Internet Explorer y Netscape Navigator, en un requisito. Como parte de un requisito personalizado, puede especificar si desea permitir que la comprobacin de integridad del host se apruebe si el requisito falla. Cuando usted planifique cuntas condiciones se deben comprobar en un script, recuerde que esta configuracin se aplica al script del requisito personalizado en conjunto. Este aspecto de la configuracin puede afectar si desea crear varios requisitos personalizados pequeos o uno ms largo que incluya varios pasos.
Es posible que encuentre til configurar una hoja de clculo que represente los requisitos de cumplimiento de integridad del host de su empresa.
Crear polticas de integridad del host compartidas. Crear polticas de integridad del host para una ubicacin especfica solamente. Cree una poltica de integridad de host predeterminada cuando agrega una ubicacin.
Ver "Configuracin para la comprobacin de integridad del host" en la pgina 669. Ver "Requisitos predefinidos de integridad del host" en la pgina 680. Ver "Requisitos personalizados de integridad del host" en la pgina 681. Ver "Opciones para reparacin de integridad del host" en la pgina 700.
Configurar polticas de integridad del host Crear polticas de integridad del host
665
Agregar la poltica y la informacin bsica. Agregar los requisitos. Especificar la configuracin avanzada. Guardar la poltica. Aplicar la poltica (opcional).
1 2 3 4 5 6
Haga clic en la pgina Polticas. En el panel Ver polticas, haga clic en Polticas de integridad del host. Haga clic en Agregar una poltica. El cuadro de dilogo Configuracin de la integridad del host aparece, con la ficha Requisitos en la parte superior. Despus de Nombre de poltica, escriba el nombre de la poltica (se muestra Nueva Poltica de integridad del host de forma predeterminada). Opcionalmente, escriba una descripcin de la nueva poltica. Elija la condicin bajo la cual usted desea realizar la comprobacin de integridad del host: nunca, siempre, solamente con Enforcer o solamente cuando est conectado al servidor de administracin. Una opcin adicional en la ficha Configuracin avanzada le permite especificar la frecuencia de la comprobacin. Cuando se agregan requisitos de integridad del host, es posible utilizar cualquiera de las siguientes opciones: requisitos predefinidos, requisitos personalizados o plantillas de requisitos. Ver "Configurar cundo ejecutar comprobaciones de integridad del host" en la pgina 669.
666
Configurar polticas de integridad del host Crear polticas de integridad del host
1 2
Haga clic en Agregar. En el cuadro de dilogo Nuevos requisitos, escriba el nombre del requisito en el cuadro de dilogo Nuevo requisito. El nombre del requisito puede aparecer en la interfaz del cliente. La GUI del cliente notifica al usuario si el requisito se aprob, fall, o solicita al usuario descargar el software. Seleccione un tipo de requisito de la lista Tipo y haga clic en Aceptar. Es posible elegir entre los siguientes requisitos:
Requisito de antivirus Requisito de proteccin contra software espa Requisito de firewall Requisito de parche Requisito de Service Pack Requisito personalizado
1 2
Haga clic en Plantilla. En el cuadro de dilogo Actualizacin en lnea de la integridad del host, es posible ver las plantillas disponibles. Haga clic en la opcin Agregar al lado de cada plantilla que usted desea agregar. Haga clic en Importar. Ver "Importar requisitos de integridad del host desde plantillas" en la pgina 679. Cada nuevo requisito se agrega a la parte inferior de la tabla Requisitos.
Active o desactive la casilla Habilitar para habilitar o deshabilitar el requisito. La configuracin predeterminada es habilitado. Quizs desee deshabilitar el requisito si lo agrega para utilizarlo en el futuro. Modifique la posicin de los requisitos en la tabla Requisitos para determinar el orden en que se ejecutan. Esta posicin puede ser importante cuando usted descarga cualquier software que necesite un reinicio despus de la instalacin. Si un reinicio es obligatorio para un requisito, coloque ese requisito ltimo en la lista. Para modificar el orden en que se ejecutan los requisitos, seleccione un requisito en la tabla. Utilice los iconos Subir o Bajar para moverlo hacia arriba o hacia abajo en la tabla.
Configurar polticas de integridad del host Crear polticas de integridad del host
667
En el cuadro de dilogo Configuracin de la integridad del host, haga clic en Aceptar. El cuadro de dilogo se cerrar. La nueva poltica de integridad del host se guarda y se agrega a la lista de polticas. La poltica de integridad del host ya est disponible para que la use cualquier grupo. Antes de que pueda ser utilizada, es necesario seleccionar los grupos y las ubicaciones a los que usted desea aplicar esta poltica. Opcionalmente, modifique las configuraciones predeterminadas en la ficha Configuracin avanzada. Opcionalmente, aplique la poltica. Ver "Configuracin para la comprobacin de integridad del host" en la pgina 669.
7 8
1 2
Con la poltica seleccionada en el panel Ver polticas, haga clic en Aplicar esta poltica. En el cuadro de dilogo Aplicar poltica, seleccione los grupos o las ubicaciones a los que desea aplicar la poltica. A continuacin, haga clic en Aplicar.
1 2
Haga clic en la pgina Polticas. En el panel Ver polticas, ample Global. Seleccione el grupo con la ubicacin donde usted desea agregar una poltica de integridad del host. Las ubicaciones que se asocian al grupo seleccionado se muestran a la derecha, en el rea de descripcin general de ubicaciones. Para cada ubicacin, es posible agregar o editar opciones de configuracin. En Ubicacin, junto a Polticas, haga clic en Agregar.
668
Configurar polticas de integridad del host Crear polticas de integridad del host
4 5
Seleccione Poltica de integridad del host y haga clic en Siguiente. Tiene las siguientes opciones cuando crea la poltica de integridad del host:
Crear una nueva poltica Abre el cuadro de dilogo Configuracin de la integridad del host, donde es posible agregar requisitos y hacer otras selecciones Ver "Crear polticas de integridad del host" en la pgina 664. Desde lista Poltica Le permite seleccionar una poltica existente y utilizarla en esta ubicacin. Si edita esta poltica, se modifica en todas las ubicaciones que la utilizan. Le permite utilizar en esta ubicacin una poltica de integridad del host previamente exportada. Ubique el archivo .dat que contiene la poltica que export. A continuacin, haga clic en Abrir. La poltica se muestra bajo Polticas en la ubicacin. Es posible editar la poltica y afecta solamente a la poltica en esta ubicacin.
Generalmente, es una buena idea conservar las polticas de integridad del host ms utilizadas. De este modo, es posible editar y sustituir la poltica en todos los grupos y las ubicaciones que la utilicen. Si ha creado una poltica para una ubicacin y desea agregarla a la biblioteca, es posible copiar y pegar la poltica. Ver "Copiar polticas de integridad del host" en la pgina 707.
Configurar polticas de integridad del host Configuracin para la comprobacin de integridad del host
669
firewall. Se utilizan las opciones predeterminadas para el requisito predefinido. Es posible modificarlas ms tarde editando la poltica de integridad del host. Ver "Requisitos predefinidos de integridad del host" en la pgina 680.
Configurar cundo ejecutar comprobaciones de integridad del host Configurar el tiempo de retencin para los resultados de integridad del host Continuar comprobando los requisitos de integridad del host despus de un error Habilitar o deshabilitar el registro detallado de integridad del host Configurar mensajes emergentes de integridad del host Permitir que se apruebe la comprobacin de integridad del host si un requisito falla
670
Configurar polticas de integridad del host Configuracin para la comprobacin de integridad del host
En el panel Ver polticas, haga clic en Integridad del host. Si est agregando una nueva poltica de integridad del host, haga clic en Agregar una poltica de integridad del host. O es posible seleccionar una poltica existente y hacer clic en Editar la poltica. Es posible adems crear o editar una poltica desde una ubicacin. En la pgina Requisitos, bajo Cundo se debe comprobar la integridad del host en el cliente?, seleccione entre las siguientes opciones:
Comprobar siempre la integridad del host Esta opcin es la predeterminada. Siempre se realiza una comprobacin de integridad del host en esta ubicacin en el intervalo de frecuencia que usted especifica. Comprobar la integridad del host slo a travs del DHCP o Gateway Enforcer Se realiza una comprobacin de integridad del host en esta ubicacin solamente cuando el cliente se autentica mediante Gateway o DHCP Enforcer. Se realiza una comprobacin de integridad del host en esta ubicacin solamente cuando el cliente est conectado a un servidor de administracin.
Comprobar la integridad del host slo cuando est conectado al servidor de administracin
No comprobar nunca la integridad del host Nunca se realiza una comprobacin de integridad del host en esta ubicacin.
3 4
Haga clic en la ficha Configuracin avanzada. En la casilla de verificacin Frecuencia de comprobacin de la integridad del host, escriba un nmero entero entre 1 y 24855 y seleccione minutos, horas o das. El valor predeterminado es 2 minutos. Cuando termine de modificar la configuracin, haga clic en Aceptar para guardar las opciones y cerrar el cuadro de dilogo Configuracin de la integridad del host.
Configurar polticas de integridad del host Configuracin para la comprobacin de integridad del host
671
Si el usuario pasa a una ubicacin con una poltica de integridad del host diferente y hay una comprobacin de integridad del host en curso cuando se pasa a esa ubicacin, el cliente detiene la comprobacin que est en curso. Se detienen tambin los intentos de reparacin, si los requiere la poltica. El usuario puede recibir un mensaje de tiempo de espera agotado si no hay una conexin de servidor de reparacin disponible en la nueva ubicacin. Cuando el anlisis se completa, el cliente rechaza los resultados. A continuacin, el cliente ejecuta inmediatamente una nueva comprobacin de integridad del host basada en la nueva poltica para la ubicacin. Si la poltica es igual en la nueva ubicacin, el cliente mantiene cualquier configuracin del temporizador de integridad del host. El cliente ejecuta una nueva comprobacin de integridad del host solamente cuando lo requieren las opciones de la poltica.
En A, panel Ver polticas para configurar el tiempo de retencin para los resultados de Integridad del host, haga clic en Polticas de integridad del host. Si est agregando una nueva poltica de integridad del host, haga clic en Agregar una poltica. O seleccione una poltica existente y haga clic en Editar esta poltica. El cuadro de dilogo Configuracin de la integridad del host aparece, con la ficha Requisitos en la parte superior. Es posible adems crear o editar una poltica desde una ubicacin. Haga clic en la ficha Configuracin avanzada. En el cuadro de texto Mantener resultado de integridad del host por, escriba el nmero de minutos, horas o das que se conservar el resultado de la comprobacin de integridad del host. El valor predeterminado es 30 das. Cuando termine de modificar la configuracin, haga clic en Aceptar para guardar las opciones y cerrar el cuadro de dilogo Configuracin de la integridad del host.
2 3
672
Configurar polticas de integridad del host Configuracin para la comprobacin de integridad del host
Si habilita esta opcin, la comprobacin de integridad del host falla, pero es posible intentar otras acciones de reparacin, si es necesario. Hay adems una opcin para permitir que se apruebe la comprobacin de integridad del host incluso si un requisito falla. Esta opcin se encuentra en el cuadro de dilogo Requisitos y no en el cuadro de configuracin de la integridad del host. Se aplica la opcin por separado para cada requisito.
Para habilitar o deshabilitar si se continuarn comprobando los requisitos de integridad del host despus de que uno falle
En el panel Ver polticas, haga clic en Polticas de integridad del host. Si est agregando una nueva poltica de integridad del host, haga clic en Agregar una poltica. O seleccione una poltica existente y haga clic en Editar esta poltica. El cuadro de dilogo Configuracin de la integridad del host aparece, con la ficha Requisitos en la parte superior. Es posible adems crear o editar una poltica desde una ubicacin. Haga clic en la ficha Configuracin avanzada. Marque la casilla de verificacin que est al lado de Continuar con la ejecucin de requisitos despus de que uno de ellos presente un error. Cuando termine de modificar la configuracin, haga clic en Aceptar para guardar las opciones y cerrar el cuadro de dilogo Configuracin de la integridad del host.
2 3 4
Configurar polticas de integridad del host Configuracin para la comprobacin de integridad del host
673
Si deshabilita la opcin Mostrar un registro detallado de la integridad del host en la poltica de integridad del host en un servidor de administracin, la informacin detallada de integridad del host deja de aparecer en el panel inferior derecho de la ventana del registro de seguridad de un cliente. Los ejemplos de informacin detallada incluyen las claves del registro y los nombres de archivo. Se enumera cualquier requisito de integridad del host aprobado o con errores. Los detalles an se incluyen en el registro y se pueden ver desde la ficha Supervisin del servidor de administracin. Para habilitar o deshabilitar el registro detallado de integridad del host
En el panel Ver polticas, haga clic en Polticas de integridad del host. Si est agregando una nueva poltica de integridad del host o selecciona una poltica existente, haga clic en Agregar una poltica. O haga clic en Editar esta poltica. El cuadro de dilogo Configuracin de la integridad del host aparece, con la ficha Requisitos en la parte superior. Es posible adems crear o editar una poltica desde una ubicacin. Marque o deje sin marcar la casilla de verificacin Mostrar un registro detallado de la integridad del host para habilitar o deshabilitar esta opcin. De forma predeterminada, est habilitada. Cuando termine de modificar la configuracin, haga clic en Aceptar para guardar las opciones y cerrar el cuadro de dilogo Configuracin de la integridad del host.
Una comprobacin de integridad del host falla. Se aprueba una comprobacin de integridad del host despus de haber fallado.
Adems, es posible agregar texto personalizado, de hasta 512 caracteres, a los mensajes emergentes. Por ejemplo, si la comprobacin de integridad del host falla y el cliente restaura el software necesario de forma que se apruebe la comprobacin de integridad del host, el siguiente mensaje puede aparecer cuando se aprueba el anlisis:
Comprobacin de integridad del host aprobada.
674
Configurar polticas de integridad del host Configuracin para la comprobacin de integridad del host
Cuando configure mensajes emergentes de integridad del host, considere las siguientes recomendaciones: Se pueden mostrar varios otros mensajes emergentes como resultado de errores en la comprobacin de integridad del host:
Si permite que el usuario cancele la reparacin para un requisito, una ventana emergente dar al usuario la opcin de realizar la descarga inmediatamente o posponer la reparacin. Opcionalmente, es posible agregar texto al mensaje predeterminado. Si se est ejecutando un mdulo de Enforcer y la comprobacin de integridad del host falla, es posible especificar si el cliente muestra un mensaje emergente que notifique al usuario que Enforcer ha bloqueado el acceso de red. Tambin es posible agregar texto al mensaje predeterminado. Para habilitar o deshabilitar esta ventana emergente para el cliente y agregar texto, haga clic en la pgina Polticas, seleccione el grupo de clientes (o Global) en el panel Ver polticas y haga clic en Configuracin general.
Ver "Permitir que los usuarios pospongan una reparacin de integridad del host" en la pgina 701. Para habilitar o deshabilitar mensajes emergentes para una comprobacin de integridad del host
En el panel Ver polticas, haga clic en Polticas de integridad del host. Si est agregando una nueva poltica de integridad del host, haga clic en Agregar una poltica. O seleccione una poltica existente y haga clic en Editar esta poltica. Aparece el cuadro de dilogo Poltica de integridad del host. Es posible adems crear o editar una poltica desde una ubicacin. Haga clic en Opciones avanzadas. Bajo Notificaciones, seleccione si se mostrarn mensajes emergentes cuando una comprobacin de integridad del host falla. Es posible adems optar por mostrar un mensaje cuando se aprueba una comprobacin de integridad del host despus de haber fallado. De forma predeterminada, estn deshabilitados. Opcionalmente, haga clic en Establecer texto adicional y escriba hasta 512 caracteres de texto adicional. Cuando termine de modificar la configuracin, haga clic en Aceptar para guardar las opciones y cerrar el cuadro de dilogo Poltica de integridad del host.
2 3
Configurar polticas de integridad del host Configurar requisitos de integridad del host
675
que el cliente ejecute el script de requisito y registre los resultados, pero ignore los resultados. Es posible permitir que se apruebe la comprobacin de integridad del host independientemente de si el requisito falla. Un requisito puede aprobarse incluso si no se cumple la condicin del requisito. La opcin Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla se habilita en el cuadro de dilogo para un requisito especfico. Si desea aplicar esta opcin a todos los requisitos, debe habilitar la opcin en cada requisito por separado. Esta opcin est deshabilitada de forma predeterminada. Si habilita la opcin para permitir que la comprobacin de integridad del host se apruebe incluso si el requisito falla, aparecer el siguiente mensaje en la ventana del cliente cuando ocurra el evento:
La integridad del host no se aprob, pero se registr como APROBADA
En el panel Ver polticas, haga clic en Polticas de integridad del host. Si agrega una nueva poltica de integridad del host, haga clic en Agregar una poltica. O seleccione una poltica existente y haga clic en Editar esta poltica. El cuadro de dilogo Configuracin de la integridad del host aparece, con la ficha Requisitos en la parte superior. Es posible adems crear o editar una poltica desde una ubicacin. En la tabla Requisitos, realice una de las siguientes acciones:
Para abrir un cuadro de dilogo para agregar requisitos predefinidos o requisitos personalizados, haga clic en Agregar. Escriba el nombre del requisito y seleccione el tipo de requisito de la lista. Para editar un requisito seleccionado, haga clic en Editar.
En el cuadro de dilogo para el requisito, marque o deje sin marcar la casilla de verificacin Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla. Cuando termine de especificar las opciones del requisito, haga clic en Aceptar para guardar la configuracin.
Requisitos predefinidos, que cubren los tipos ms comunes de comprobacin de requisitos y permiten elegir de listas predefinidas que incluyen:
676
Configurar polticas de integridad del host Configurar requisitos de integridad del host
Requisito de antivirus Requisito de proteccin contra software espa Requisito de firewall Requisito de parche Requisito de Service Pack Requisito personalizado
Requisitos personalizados, que se definen usando el editor de requisitos personalizados. (Opcional) Plantillas de requisitos de integridad del host, que se actualizan como parte del servicio de suscripcin en lnea empresarial de Symantec Enterprise Protection.
En el panel Ver polticas, expanda Polticas de integridad del host. Utilice el panel Ver polticas para las polticas que desee agregar o editar. Adems, es posible agregar o editar requisitos para las polticas que pertenecen a una ubicacin determinada.
Para agregar una nueva poltica de integridad del host, haga clic en Agregar una poltica. Para seleccionar una poltica existente, haga clic en Editar esta poltica.
En el cuadro de dilogo Configuracin de la integridad del host, en la tabla Requisitos, realice una de las siguientes acciones:
Para abrir un cuadro de dilogo a fin de agregar requisitos predefinidos o personalizados, utilice el icono Agregar. Escriba el nombre del requisito y seleccione el tipo de requisito de la lista. El nombre del requisito puede aparecer en la interfaz del cliente (GUI). La GUI del cliente notifica al
Configurar polticas de integridad del host Configurar requisitos de integridad del host
677
Para abrir un cuadro de dilogo a fin de importar requisitos desde plantillas de integridad del host, utilice la opcin Plantilla. Para editar un requisito seleccionado, utilice la opcin Editar. Para eliminar permanentemente la configuracin de un requisito seleccionado, utilice la opcin Eliminar. Para deshabilitar un requisito temporalmente en lugar de eliminarlo, haga clic para dejar sin marcar la casilla de verificacin Habilitar para ese requisito. Para especificar el orden en el cual se comprueban los requisitos, seleccione un requisito en la tabla. A continuacin, utilice las opciones Subir o Bajar para moverlo hacia arriba o hacia abajo en la tabla.
1 2
En el panel Ver polticas, haga clic en Polticas de integridad del host. Realice uno de los pasos siguientes:
Para agregar una nueva poltica de integridad del host, haga clic en Agregar una poltica. Para editar una poltica existente, haga clic en Editar esta poltica.
En el cuadro de dilogo Configuracin de la integridad del host, en la tabla Requisitos, realice una de las siguientes acciones:
Para deshabilitar un requisito, haga clic para dejar sin marcar la casilla de verificacin Habilitar para ese requisito. Para habilitar un requisito, haga clic para seleccionar la casilla de verificacin Habilitar para ese requisito.
678
Configurar polticas de integridad del host Configurar requisitos de integridad del host
1 2
En el panel Ver polticas, haga clic en Polticas de integridad del host. Realice uno de los pasos siguientes:
Para agregar una nueva poltica de integridad del host, haga clic en Agregar una poltica. Para editar una poltica existente, haga clic en Editar esta poltica.
En el cuadro de dilogo Configuracin de la integridad del host, en la tabla Requisitos, seleccione un requisito. Es posible adems crear o editar una poltica desde una ubicacin.
Utilice las opciones Subir y Bajar para desplazar el requisito hacia arriba o hacia abajo en la tabla.
En la pgina Polticas, seleccione la poltica de integridad del host de la cual desea copiar el requisito. Abra la poltica para editarla. Se visualiza con la ficha Requisitos en la parte superior. En el cuadro de dilogo Configuracin de la integridad del host, en la tabla Requisitos, haga clic con el botn secundario en el requisito que desea copiar. A continuacin, haga clic en Copiar.
Configurar polticas de integridad del host Configurar requisitos de integridad del host
679
3 4
Abra la poltica en la cual desea copiar el requisito. Haga clic con el botn secundario en la tabla Requisitos y seleccione Pegar.
1 2
En la pgina Polticas, seleccione la poltica de integridad del host de la cual desee exportar el requisito. Abra la poltica para editarla. En el cuadro de dilogo Configuracin de la integridad del host, en la tabla Requisitos, haga clic con el botn secundario y seleccione Exportar. Aparece el cuadro de dilogo Guardar. En el cuadro de dilogo Guardar, desplcese hasta la ubicacin donde desea guardar los requisitos exportados (archivo .dat) y corrija el nombre de archivo, si es necesario. Haga clic en Guardar. Los requisitos se exportan a un archivo .dat.
1 2
En el cuadro de dilogo Configuracin de la integridad del host, en la tabla Requisitos, haga clic con el botn secundario y seleccione Importar. En el cuadro de dilogo Abrir, desplcese hasta la poltica de integridad del host (archivo de importacin .dat) desde la cual desee importar los requisitos. Haga clic en Abrir.
1 2
En el panel Ver polticas, haga clic en Polticas de integridad del host. Realice uno de los pasos siguientes:
Para agregar una nueva poltica de integridad del host, haga clic en Agregar una poltica. Para editar una poltica existente, haga clic en Editar esta poltica.
680
Configurar polticas de integridad del host Requisitos predefinidos de integridad del host
En el cuadro de dilogo Configuracin de la integridad del host, haga clic en Plantilla. Se descargan las plantillas nuevas. O se notifica si el servidor de administracin tiene ya las ltimas plantillas. Si no tiene una licencia vigente, se le notificar que su licencia debe renovarse. Las ltimas plantillas no se descargan. Se muestra el cuadro de dilogo Actualizacin en lnea de la integridad del host con las plantillas disponibles.
En el rbol del cuadro de dilogo Actualizacin en lnea de la integridad del host, haga clic en una rama bajo Plantillas. Los requisitos disponibles se visualizan en el panel derecho. Para cada requisito que desee agregar a la poltica, haga clic en el icono Agregar bajo el requisito. Cuando haya terminado de seleccionar los requisitos que desea agregar, haga clic en Importar. Si importa un requisito por segunda vez y existe un requisito con el mismo nombre, el requisito importado no sobrescribe el requisito existente. En cambio, el requisito importado se muestra con el nmero 2 al lado de su nombre en la tabla Requisitos. Los requisitos que usted seleccione se agregan a la tabla Requisitos. Si desea editar el requisito, seleccinelo en la tabla y despus haga clic en Editar. Si su suscripcin ha caducado, los requisitos importados previamente an pueden ser utilizados. Sin embargo, las ltimas actualizaciones ya no estn disponibles para importar.
5 6
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
681
Cuando se agrega un nuevo requisito, es posible seleccionar uno de estos tipos de requisitos predefinidos. Se muestra un cuadro de dilogo con el grupo de opciones predefinidas que usted puede configurar. Si la configuracin predefinida no cumple sus necesidades, es posible crear un requisito personalizado. Nota: Para obtener informacin sobre estos requisitos de integridad del host, abra el cuadro de dilogo y despus visualice la ayuda en pantalla.
682
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
En el panel Ver polticas, expanda Polticas de integridad del host. Se utiliza el panel Ver polticas para las polticas que se desea agregar o editar. Tambin es posible agregar o editar requisitos para las polticas que pertenecen a una ubicacin determinada.
Si agrega una nueva poltica de integridad del host, haga clic en Agregar una poltica. Si edita una poltica existente, haga clic en Editar esta poltica.
3 4
En la ficha Requisitos del cuadro de dilogo Configuracin de la integridad del host, haga clic en Agregar. En el cuadro de dilogo Nuevo requisito, escriba un nombre para el requisito. El nombre del requisito puede aparecer en la GUI del cliente. El nombre notifica al usuario si el requisito fue aprobado, si hubo un error, o solicita al usuario que descargue software. En el campo Tipo, seleccione Requisito personalizado y haga clic en Aceptar.
5 6
En el cuadro de dilogo Requisito personalizado, haga clic en Agregar lo siguiente. Para agregar nodos IF...THEN..., seleccione IF...THEN.... Los nodos IF y THEN se agregan al rbol y se resalta la rama de condicin vaca bajo el nodo IF. Opcionalmente, es posible agregar una funcin. En el panel derecho, seleccione la condicin que desea agregar. Los campos adicionales aparecen debajo de la condicin seleccionada. En el panel derecho, especifique la informacin adicional necesaria. Para agregar ms condiciones bajo el nodo IF, haga clic con el botn secundario en la condicin en el rbol y haga clic en Agregar lo siguiente. Para visualizar un men para un elemento seleccionado en el rbol, es posible hacer clic con el botn secundario como alternativa a hacer clic en la opcin Agregar lo siguiente.
7 8 9
10 Seleccione Y u O. 11 Para agregar instrucciones bajo el nodo THEN, haga clic en //Insertar
instrucciones aqu y, a continuacin, en Agregar lo siguiente. Puede seleccionar una instruccin IF THEN anidada, una funcin, una respuesta (aprobacin o fallo) o un comentario.
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
683
Para agregar la primera instruccin IF THEN, seleccione la lnea superior del rbol. Para agregar una instruccin IF THEN en el mismo nivel que una existente, seleccione END IF. Para agregar una instruccin IF THEN anidada, seleccione la lnea bajo la cual desea agregarla.
2 3
Haga clic en Agregar lo siguiente o haga clic con el botn secundario y seleccione Agregar lo siguiente. Seleccione IF..THEN. Los nodos IF y THEN se agregan al rbol y se resalta la rama de condicin vaca bajo el nodo IF.
1 2
Seleccione la lnea bajo el nodo IF. En el panel derecho, seleccione la condicin que desea agregar bajo el nodo IF. Las selecciones adicionales se muestran en el panel derecho para personalizarlo. Si selecciona Antivirus: Antivirus instalado, se muestra la lista de aplicaciones antivirus predefinidas.
684
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
1 2
Haga clic con el botn secundario en la condicin existente y seleccione Agregar lo siguiente. Seleccione Y u O
1 2
Haga clic con el botn secundario en la lnea de la condicin. Elija Alternar NOT.
Bajo el nodo THEN, haga clic en //Insertar instrucciones aqu. Para agregar declaraciones adicionales, haga clic en una lnea existente de la instruccin THEN.
Haga clic en Agregar lo siguiente. Puede seleccionar una instruccin IF THEN anidada, una funcin, una respuesta (aprobacin o fallo) o un comentario.
1 2 3
En el rbol, haga clic en THEN. Haga clic en Agregar lo siguiente. Seleccione ELSE. El nodo ELSE se agrega debajo del nodo THEN.
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
685
1 2
1 2
Haga clic con el botn secundario en IF y seleccione Copiar. Para pegar, haga clic con el botn secundario en una lnea de la instruccin vaca y haga clic en Pegar
En el cuadro de dilogo Requisito personalizado, haga clic en Aceptar. Si el requisito es nuevo, se agrega a la parte inferior de la tabla de requisitos.
Al comprobar aplicaciones y archivos de firmas como parte de un requisito personalizado, usted especifica la misma informacin que cuando crea un requisito predefinido. Los nombres de las opciones pueden ser levemente distintos. Cuando se comprueba si la aplicacin est instalada y en funcionamiento, es posible seleccionar las siguientes opciones:
686
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
McAfee AntiVirus Microsoft ForeFront Client Security Microsoft Live OneCare AntiVirus Norton AntiVirus Panda AntiVirus Sophos AntiVirus Symantec AntiVirus Corporate Edition Trend Micro OfficeScan Corporate Edition Trend Micro PC-cillin
Si selecciona la opcin Cualquier aplicacin antivirus admitida, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir un subconjunto de aplicaciones seleccionando cada una y usando la condicin O. Cuando se especifica informacin del archivo de firmas, es posible elegir una o ambas opciones para comprobar que el archivo de firmas est actualizado. Si selecciona ambas, las siguientes condiciones se deben satisfacer para cumplir el requisito:
Seleccione Comprobar si el archivo de firmas es menor que, y escriba un nmero de das. Un archivo con fecha anterior al nmero de das especificado est desactualizado. Seleccione Comprobar si la fecha del archivo de firmas es, y seleccione: antes de, despus de, igual a, o no es igual a, y especifique una fecha (mm/dd/aaaa). Opcionalmente, especifique una hora y minutos; la configuracin predeterminada es 00:00. La fecha de la ltima modificacin del archivo determina la antigedad del archivo de firmas.
Opciones de proteccin contra software espa en un requisito personalizado de integridad del host
Para un requisito personalizado de integridad del host, es posible especificar aplicaciones de proteccin contra software espa e informacin del archivo de firmas que se comprobar como parte de su instruccin condicional IF-THEN. Es posible comprobar las siguientes condiciones:
Software de proteccin contra software espa instalado Software de proteccin contra software espa en funcionamiento La firma de proteccin contra software espa est actualizada
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
687
Al comprobar aplicaciones y archivos de firmas como parte de un requisito personalizado, usted puede especificar la misma informacin que cuando crea un requisito predefinido. Los nombres de las opciones pueden ser levemente distintos. Cuando se comprueba si la aplicacin est instalada y en funcionamiento, es posible seleccionar las siguientes opciones:
Cualquier aplicacin de proteccin contra software espa admitida (cualquier aplicacin en la lista) Lavasoft Ad-Aware McAfee Internet Security Microsoft Defender Microsoft ForeFront Client Security Symantec Endpoint Protection Webroot Spy Sweeper
Si selecciona la opcin Cualquier aplicacin de proteccin contra software espa admitida, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Cuando se especifica informacin del archivo de firmas, es posible elegir una o ambas opciones para comprobar que el archivo de firmas est actualizado. Si selecciona ambas, las dos condiciones se deben satisfacer para cumplir el requisito:
Seleccione Comprobar si el archivo de firmas es menor que, y escriba un nmero de das. Un archivo con fecha anterior al nmero de das especificado est desactualizado. Seleccione Comprobar si la fecha del archivo de firmas es, y seleccione: antes de, despus de, igual a, o no es igual a, y especifique una fecha (mm/dd/aaaa). Opcionalmente, especifique una hora y minutos; la configuracin predeterminada es 00:00. La fecha de la ltima modificacin del archivo determina la antigedad del archivo de firmas.
Firewall instalado
688
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
Firewall en funcionamiento
Cualquier aplicacin de firewall admitida (cualquier aplicacin en la lista) ISS RealSource Desktop Protector McAfee Personal Firewall Microsoft Windows Firewall Norton Personal Firewall Protection Agent Symantec Security Agent ZoneAlarm
Si selecciona la opcin Cualquier aplicacin de firewall admitida, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir un subconjunto de aplicaciones seleccionando cada una y usando la condicin O.
Archivo: Comparar la fecha del archivo Especifique una fecha en el formato mm/dd/aaaa. con Opcionalmente, especifique una hora y minutos. La configuracin predeterminada es 00:00. Es posible seleccionar: igual a, no es igual a, antes o despus. Archivo: Comparar el tamao del archivo con Especifique el nmero de bytes. Es posible seleccionar: igual a, no es igual, menor que o mayor que. Especifique una versin del archivo en el formato x.x.x.x donde x representa un nmero decimal a partir de 0 a 65535. Es posible seleccionar: igual a, no es igual, menor que o mayor que.
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
689
Archivo: La huella del archivo es igual Normalmente esta informacin se obtiene a seleccionando una aplicacin mediante Buscar aplicaciones. Especificar un nmero hexadecimal (hasta 32 dgitos) Cuando se selecciona una opcin, los campos adicionales aparecen en el cuadro de dilogo. Para cada opcin, usted especifica el nombre de archivo y la ruta, y escribe la informacin adicional necesaria. Es posible descargar un archivo desde una ubicacin que usted especifique a un directorio que especifique. Si se requiere autenticacin para acceder a una ubicacin de archivo mediante HTTP, es posible especificar el nombre de usuario y la contrasea.
Ver "Acerca de la restauracin de aplicaciones y archivos para integridad del host" en la pgina 700.
690
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
Para leer el valor HKEY_LOCAL_MACHINE\Software\Symantec\\AppPath como la ruta del archivo sem.exe, escriba lo siguiente: #HKEY_LOCAL_MACHINE\Software\Symantec\AppPath#\ sem.exe.
Para utilizar la variable combinada Utilice el siguiente ejemplo para utilizar la variable del registro y el entorno del sistema combinada del valor del registro y el entorno del sistema: %SYSTEMDIR%\#HKEY_LOCAL_MACHINE\Software\Symantec\ AppPath#.
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
691
Parche: Comparar Service Pack actual Escriba el nmero del Service Pack que desea con la versin especificada comprobar, por ejemplo 1a. El nmero se limita a dos caracteres. Es posible comprobar las siguientes condiciones: igual a, no es igual a, menor que o mayor que. Un nmero seguido por una letra se considera mayor que el nmero solo; por ejemplo, el Service Pack 6a se considera mayor que 6. Asegrese de aplicar los parches uno a la vez. Parche: Parche instalado Escriba el nombre del parche que desea comprobar. Por ejemplo: KB12345. Es posible escribir solamente nmeros y letras en este campo.
Asegrese de que el nmero de parche o Service Pack coincida con la versin correcta del sistema operativo. Si especifica un sistema operativo que no coincide con el parche o el Service Pack, el requisito falla.
692
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
Cdigo
0x040B 0x040C 0x040D 0x040E 0x040F 0x0410 0x0411 0x0412 0x0413 0x0414 0x0415 0x0416 0x0417 0x0418 0x0419 0x041A 0x041B 0x041C 0x041D 0x041E 0x041F 0x0420 0x0421 0x0804 0x0807 0x0809
Idioma
Fins Francs Hebreo Hngaro Islands Italiano Japons Coreano Neerlands Noruego (Bokmal) Polaco Portugus (Brasil) Rhaeto-Romance Rumano Ruso Serbocroata (latino) Eslovaco Albans Sueco Tailands Turco Urdu Bahasa Chino simplificado Alemn (Suiza) Ingls (Reino Unido)
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
693
Cdigo
0x080A 0x080C 0x0C0C 0x100C 0x0810 0x0813 0x0814 0x0816 0x081A
Idioma
Espaol (Mxico) Francs (Blgica) Francs (Canad) Francs (Suiza) Italiano (Suiza) Neerlands (Blgica) Noruego (Nynorsk) Portugus (Portugal) Serbocroata (cirlico)
Registro: El valor del Registro es igual Especifique un nombre de clave de registro y un a nombre de valor, y especifique con qu datos se comparar el valor. Registro: El valor del registro existe Especifique un nombre de clave de registro para comprobar si tiene el nombre de valor especificado.
694
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
Especifique un valor para asignarlo a la clave especificada; si la clave no existe, se crear. Esta seleccin sustituye un valor existente, independientemente de si es del mismo tipo; es decir, si el valor existente es un valor DWORD pero usted especifica un valor de cadena, se sustituye DWORD por el valor de la cadena.
Registro: Incrementar el valor DWORD Especifique un valor DWORD. Esta seleccin le del Registro permite realizar conteos, tales como permitir que un equipo sin parche cumpla el requisito no ms que n veces.
El nombre de la clave se limita a 255 caracteres. Si la clave del registro tiene una barra invertida (\) en el final, se interpreta como una clave del registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\ Si la clave del registro no tiene ninguna barra invertida en el final, se interpreta como un nombre de registro. Por ejemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
El nombre del valor se limita a 1024 caracteres. Es posible comprobar si hay valores como DWORD (decimal), binarios (hexadecimal) o cadenas. Para los valores DWORD, es posible comprobar si el valor es menor, igual, diferente o mayor que el valor especificado. Para los valores de cadena, es posible comprobar si los datos del valor son iguales a una cadena determinada o la contienen. Si desea que la comparacin de cadenas incluya la diferenciacin entre maysculas y minsculas, marque la casilla de Coincidir maysculas y minsculas. Para los valores binarios, es posible comprobar si los datos del valor son iguales a un fragmento determinado de datos binarios o lo contiene. Los bytes hexadecimales representan los datos. Si especifica el valor "contiene", es posible adems especificar el desplazamiento para estos datos. Si el desplazamiento
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
695
se deja en blanco, se busca el valor de los datos binarios especificados. Los valores permitidos para el cuadro de edicin hexadecimal son nmeros del 0 al 9 y letras de la "a" a la "f". Los siguientes son ejemplos de valores del registro:
DWORD Binario Cadena 12345 (en decimal) 31 AF BF 69 74 A3 69 (en hexadecimal ef4adf4a9d933b747361157b8ce7a22f
Comprobar si un proceso o un servicio est ejecutndose en un requisito personalizado de integridad del host
Para un requisito personalizado de integridad del host, es posible seleccionar una opcin para comprobar si un proceso o un servicio est ejecutndose. Para comprobar un proceso:
1 2
Seleccione Utilidad: Proceso en ejecucin. Especifique el nombre del archivo ejecutable. Por ejemplo: Symantec.exe o
c:\Program Files\Symantec.exe
1 2
Seleccione Utilidad: Servicio en funcionamiento Especifique el nombre del servicio o el nombre para mostrar. Por ejemplo: Sistema de archivos distribuidos.
Recuerde que la barra diagonal (/), la barra invertida (\) y las comillas (") son caracteres no vlidos para el nombre del servicio.
1 2 3
En el editor de requisitos personalizados, seleccione el nodo en el rbol donde usted desea agregar la accin. Haga clic en Agregar lo siguiente. Seleccione Funcin.
696
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
4 5
Seleccione Utilidad: Ejecutar un programa. Especifique el comando para ejecutar. Las variables de entorno se sustituyen antes de la ejecucin. Por ejemplo: %windir% es sustituido por la ruta del directorio de Windows. Es posible utilizar la variable %1 para ejecutar el ltimo archivo descargado. Opcionalmente, modifique la seleccin de en el contexto del sistema, que es la configuracin predeterminada. Si selecciona en el contexto de un usuario conectado, el comando de ejecucin debe incluir la ruta completa del archivo, para mostrar quin es el usuario registrado. Si no hay ningn usuario conectado, el resultado falla. Opcionalmente, seleccione si se esperar que el comando de ejecucin termine, que es la opcin predeterminada. Si modifica la seleccin a Introduzca el tiempo mximo, escriba un valor en segundos. Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza la ejecucin del archivo. Es posible adems seleccionar No esperar con esta opcin; la accin devuelve el valor "verdadero" si la ejecucin es correcta pero no espera hasta que se termine la ejecucin.
Opcionalmente, haga clic para dejar sin seleccionar la casilla de verificacin Mostrar una nueva ventana de proceso.
1 2 3 4 5 6 7
En el editor de requisitos personalizados, seleccione el nodo en el rbol donde usted desea agregar la accin. Haga clic en Agregar lo siguiente. Seleccione Funcin. Seleccione Utilidad: Ejecutar un script. Especifique un nombre de archivo para el script. Por ejemplo: miscript.js Escriba el contenido del script. En el campo Comando de ejecucin, escriba el comando para ejecutar el script. Utilice %F para especificar el nombre del archivo de script. El script se ejecuta en el contexto del sistema.
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
697
Opcionalmente, seleccione si desea esperar que el comando de ejecucin finalice (la opcin predeterminada). Si modifica la seleccin a Introduzca el tiempo mximo, escriba un valor en segundos. Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza la ejecucin del archivo. Es posible adems seleccionar No esperar con esta opcin. La accin devuelve un valor verdadero si la ejecucin se realiza correctamente, pero no espera hasta que se termine la ejecucin. Opcionalmente, haga clic para dejar sin marcar la casilla de verificacin Eliminar el archivo temporal despus de haber finalizado o terminado la ejecucin. Esta opcin est deshabilitada y no disponible si se selecciona No esperar. ventana de proceso.
1 2 3 4 5 6
En el editor de requisitos personalizados, seleccione el nodo en el rbol donde usted desea agregar la accin. Haga clic en Agregar lo siguiente. Seleccione Funcin. Seleccione Utilidad: Mensaje de registro. Seleccione uno de los tipos de gravedad del mensaje: informacin, importante, menor o crtico. Escriba un mensaje de hasta 512 caracteres de largo.
698
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
Un ejemplo es si ha configurado la comprobacin de integridad del host para que se ejecute en un intervalo corto, como 2 minutos, y desea especificar una accin que ocurra en un intervalo ms largo, por ejemplo, una vez por da. En este caso, se quita el valor de tiempo almacenado cuando el cliente recibe un nuevo perfil o cuando el usuario ejecuta manualmente una comprobacin de integridad del host. Para almacenar la hora actual
1 2 3 4 5
En el editor de requisitos personalizados, seleccione el nodo en el rbol donde usted desea agregar la accin. Haga clic en Agregar lo siguiente. Seleccione Funcin. Seleccione Utilidad: Establecer marca de hora. Escriba un nombre de hasta 256 caracteres de largo para la opcin del registro que almacena la informacin sobre la fecha y la hora.
1 2 3 4 5 6
En el cuadro de dilogo del editor de requisitos personalizados, seleccione el nodo en el rbol donde usted desea agregar la accin. Haga clic en Agregar lo siguiente. Seleccione IF...THEN. Seleccione Utilidad: Comprobar marca de hora. Escriba el nombre que especific para la opcin de registro de hora almacenada. Especifique una cantidad de tiempo en minutos, horas, das o semanas. El valor predeterminado es 0 minutos. Si la cantidad de tiempo especificada fue aprobada, o si el valor de la opcin del registro est vaco, la funcin Establecer marca de hora devuelve un valor verdadero.
Configurar polticas de integridad del host Requisitos personalizados de integridad del host
699
1 2 3
En el editor de requisitos personalizados, seleccione el nodo en el rbol donde usted desea agregar la accin. Haga clic en Agregar lo siguiente. Para insertar una funcin, seleccione Funcin y despus seleccione Utilidad: Mostrar cuadro de dilogo del mensaje. Para insertar una condicin, seleccione IFTHEN, seleccione la rama apropiada. A continuacin, seleccione Utilidad: El valor devuelto en el cuadro de dilogo del mensaje es igual a. Escriba un ttulo para el cuadro de mensaje de hasta 64 caracteres. Escriba el texto para el cuadro de mensaje de hasta 480 caracteres. Seleccione uno de los siguientes iconos para visualizar: Informacin, Pregunta, Advertencia o Error. Se visualizan el icono y el texto. Seleccione las opciones que se mostrarn: pueden ser Aceptar y Cancelar, o S y No. Seleccione la opcin predeterminada. Para cerrar el cuadro de mensaje y devolver un valor predeterminado despus de un determinado tiempo sin interaccin del usuario, seleccione la casilla de verificacin Seleccionar el valor predeterminado que se devolver. Especifique la cantidad de tiempo en segundos. El valor de tiempo debe ser mayor que 0.
4 5 6 7 8 9
1 2 3 4 5
En el editor de requisitos personalizados, seleccione el nodo en el rbol donde usted desea agregar la accin. Haga clic en Agregar lo siguiente. Seleccione Funcin. Seleccione Utilidad: Esperar. Escriba el nmero de segundos que se esperar.
700
Configurar polticas de integridad del host Opciones para reparacin de integridad del host
En el cuadro de dilogo para cada requisito predefinido, haga clic en Especifique el tiempo de espera para volver a intentar la descarga si hay errores. Si no se especifica ninguna descarga, esta opcin queda deshabilitada.
Especifique la cantidad de tiempo que se esperar, para ello introduzca un nmero y seleccione: minutos, horas o das. Sin importar el tiempo que se especifique en esta opcin, siempre que se inicie una nueva comprobacin de integridad del host, la reparacin se intenta de nuevo.
Configurar polticas de integridad del host Opciones para reparacin de integridad del host
701
UNC
\\nombredeservidor\nombrecompartido\nombredir\nombredearchivo La restauracin de UNC no funciona si la opcin Bsqueda de entorno de red est deshabilitada en el cliente de destino. Asegrese de que Bsqueda de entorno de red no fue deshabilitada si usted utiliza rutas UNC para la reparacin.
FTP HTTP
FTP://ftp.nuestroftp.nuestraempresa.com/carpeta/nombredearchivo HTTP://www.nuestrawww.nuestraempresa.com/carpeta/nombredearchivo
Los paquetes de instalacin o los archivos se descargan siempre al directorio temporal. Cualquier ruta relativa se refiere a este directorio. El directorio temporal se define en la variable de entorno TMP, si existe. Si no, se incluye en la variable de entorno TEMP. La configuracin predeterminada es el directorio de Windows. Para la ejecucin del archivo, el directorio de trabajo actual se establece siempre como el directorio temporal de Windows. Las variables de entorno se sustituyen antes de la ejecucin. Lo que sigue es un ejemplo de la sintaxis: La ruta de directorio de Windows sustituye el comando %windir% Es posible utilizar %1 (la opcin predeterminada) para ejecutar el archivo que usted especific en el campo URL de descarga. La variable %1 representa el ltimo archivo descargado. Despus de la descarga, la instalacin o la ejecucin de un comando para restaurar un requisito, el cliente siempre reexamina el requisito. Adems, el cliente registra los resultados como aprobado o error.
Permitir que los usuarios pospongan una reparacin de integridad del host
Si un requisito especifica una accin de reparacin, es posible permitir que el usuario cancele la reparacin. Tambin es posible permitir que el usuario posponga la reparacin hasta un momento ms conveniente. Entre los ejemplos de acciones de reparacin se incluyen la instalacin de una aplicacin o una actualizacin de un archivo de firmas. Es posible establecer un lmite de cuntas veces puede cancelarse una reparacin y durante cunto tiempo el usuario puede posponerla. Los lmites establecidos determinan las selecciones disponibles para el usuario en la ventana emergente que el cliente ve cuando es necesaria una reparacin. Tambin es posible agregar texto a la ventana emergente. Para permitir que el usuario cancele una descarga para un requisito, es necesario habilitar la opcin correspondiente en el cuadro de dilogo para ese requisito.
702
Configurar polticas de integridad del host Opciones para reparacin de integridad del host
Las opciones de tiempo mnimo y mximo determinan el intervalo de opciones disponibles en la ventana emergente. La ventana emergente se muestra al usuario cuando un requisito falla. El intervalo aparece como una lista al lado del icono Recordrmelo ms tarde en el mensaje emergente. La siguiente lista presenta todas las opciones:
2 minutos 5 minutos 10 minutos 15 minutos 30 minutos 1 hora 2 horas 4 horas 8 horas 1 da 2 das 4 das 1 semana 2 semanas 4 semanas
Si el usuario selecciona un perodo para posponer ms breve que la frecuencia de comprobacin de integridad del host, se anula la seleccin del usuario. Es decir, la ventana emergente no se muestra nuevamente hasta que el cliente ejecute otra comprobacin de integridad del host. Si el usuario ha optado por recibir un recordatorio en 5 minutos, pero la comprobacin de integridad del host se ejecuta cada 30 minutos, la ventana emergente de la reparacin no se mostrar hasta que hayan pasado 30 minutos. Para que sea menos confuso para el usuario, es posible sincronizar la opcin de tiempo mnima con la opcin de la frecuencia de comprobacin de integridad del host. Si el usuario pospone la reparacin, el cliente registra el evento. El requisito no se cumple, y la integridad del host se mostrar como no aprobada. El usuario puede ejecutar manualmente una nueva comprobacin de integridad del host en cualquier momento desde la interfaz de usuario del cliente.
Configurar polticas de integridad del host Opciones para reparacin de integridad del host
703
Si el usuario ha pospuesto una accin de reparacin y, en el intervalo, el cliente recibe una poltica actualizada, la cantidad de tiempo disponible para la reparacin se reajusta al mximo especificado. Para permitir que un usuario posponga una reparacin de integridad del host y mostrar una ventana emergente en el equipo de un usuario
1 2
En el panel Ver polticas, haga clic en Polticas de integridad del host. En el cuadro de dilogo Configuracin de la integridad del host, realice una de las siguientes tareas:
Para agregar una nueva poltica de integridad del host, haga clic en Agregar una poltica. Para seleccionar una poltica existente, haga clic en Editar esta poltica.
3 4
Haga clic en la ficha Configuracin avanzada. Bajo Opciones del cuadro de dilogo de correccin, configure los lmites de tiempo mnimo y mximo que determinan por cunto tiempo se permitir al usuario posponer la reparacin de integridad del host. El tiempo mnimo predeterminado es de 2 minutos y el tiempo mximo predeterminado es de 4 das. Escriba el nmero de veces que se permitir al usuario cancelar la reparacin. La configuracin predeterminada es de 2 veces. Opcionalmente, haga clic en Establecer texto adicional. Escriba un mensaje personalizado de hasta 512 caracteres. El mensaje que usted escribe se muestra en la ventana emergente de correccin del cliente si el usuario hace clic en la opcin Detalles. Si no especifica ningn texto adicional, el texto predeterminado de la ventana emergente se repite en el rea Detalles si el usuario hace clic en Detalles. Cuando termine de modificar la configuracin, haga clic en Aceptar.
5 6
704
Configurar polticas de integridad del host Administrar polticas de integridad del host
La forma en que se realiza esta tarea depende del tipo de Enforcer. La siguiente lista ofrece algunos ejemplos:
Para Gateway Enforcer, es posible configurar el mdulo de Gateway Enforcer para que reconozca el servidor de reparacin como una direccin IP interna de confianza. Para DHCP Enforcer, se establece la configuracin de red de cuarentena en el servidor DHCP para que permita el acceso al servidor de reparacin. Para LAN Enforcer, si se usa un conmutador con funcionalidad de VLAN dinmica, es posible configurar una VLAN con acceso al servidor de reparacin.
1 2 3 4
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Polticas de integridad del host y seleccione la poltica que desea aplicar a los grupos o las ubicaciones. Haga clic en Aplicar esta poltica. En el cuadro de dilogo Aplicar poltica, seleccione los grupos o las ubicaciones a las que desea aplicar la poltica y haga clic en Aplicar.
Configurar polticas de integridad del host Administrar polticas de integridad del host
705
5 6
Haga clic en S cuando se le solicite confirmar que desea aplicar cambios en las polticas. Haga clic en Aceptar en el cuadro de dilogo Se aplicaron los cambios de la poltica de integridad del host. Le indicar cuntas ubicaciones fueron actualizadas como resultado de sus cambios. La poltica se aplica a las ubicaciones y a los grupos que seleccion. Si esos grupos o ubicaciones utilizaron previamente una poltica de integridad del host, la poltica que usted aplic reemplaza a la anterior.
1 2
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Polticas de integridad del host y seleccione la poltica que desea ver.
1 2
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Polticas de integridad del host y seleccione la poltica de integridad del host que usted desea editar.
706
Configurar polticas de integridad del host Administrar polticas de integridad del host
3 4
Haga clic en Editar esta poltica. Aparece el cuadro de dilogo de configuracin de integridad del host. Se edita la poltica al agregar, editar o eliminar requisitos, modificar la secuencia de requisitos o modificar cundo se debe realizar la comprobacin de integridad del host. Es posible, adems, editar una poltica haciendo clic con el botn secundario en su nombre en el panel Ver polticas y haciendo clic en Editar.
Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de la integridad del host.
1 2
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Global y seleccione el grupo. Las ubicaciones asociadas con el grupo seleccionado se enumeran a la derecha. Es posible editar solamente polticas de integridad del host que no sean heredadas de un grupo principal.
En la ubicacin, junto a la poltica de integridad del host existente, haga clic en Editar. Aparece el cuadro de dilogo de configuracin de integridad del host. Se edita la poltica al agregar, editar o eliminar requisitos, modificar la secuencia de requisitos o modificar cundo se debe realizar la comprobacin de integridad del host. Haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de la integridad del host.
Configurar polticas de integridad del host Administrar polticas de integridad del host
707
1 2
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Polticas de integridad del host. Seleccione la nueva poltica que usted desea utilizar para sustituir una poltica existente que se aplique a los grupos o a las ubicaciones. Haga clic en Reemplazar poltica anterior. Aparece el cuadro de dilogo Reemplazar poltica de integridad del host. Muestra un rbol de grupos y ubicaciones y los nombres de la poltica de integridad del host que se aplican actualmente a cada ubicacin. Junto a Nombre anterior de la poltica de integridad del host, seleccione la poltica anterior que desea reemplazar. Las ubicaciones donde la poltica seleccionada se aplica actualmente aparecen en negrita en el rbol del cuadro de dilogo. Seleccione las ubicaciones o los grupos donde usted desea que la nueva poltica reemplace a la anterior. La nueva poltica se aplica solamente en las ubicaciones o los grupos donde la poltica anterior fue aplicada. Si selecciona una ubicacin o un grupo donde otra poltica fue aplicada o si no se aplic ninguna poltica, la nueva poltica no se aplica all.
6 7
Haga clic en Aplicar. Haga clic en S cuando se le pregunte si desea aplicar los cambios de poltica de integridad del host.
708
Configurar polticas de integridad del host Administrar polticas de integridad del host
1 2 3
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Polticas de integridad del host y seleccione la poltica que desea copiar. Haga clic con el botn secundario y seleccione Copiar del men. Es posible pegar la poltica en una ubicacin que tenga una poltica existente.
4 5
En la ubicacin donde usted desea pegar la poltica, en el rea de Polticas, haga clic a la derecha de Editar. Aparecer un men. Seleccione Pegar. Si una poltica del mismo tipo existe en esa ubicacin, se le pedir sobrescribir la poltica existente.
1 2
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Global y seleccione el grupo cuya poltica desea copiar. Las ubicaciones asociadas con el grupo seleccionado se enumeran a la derecha. Busque la ubicacin donde reside la poltica, localice el nombre de la poltica y haga clic a la derecha de Editar. Aparecer un men. Seleccione Copiar del men. Es posible pegar la poltica en otra ubicacin o en la lista de polticas.
3 4
1 2
Busque la ubicacin donde usted desea pegar la poltica y, en el rea de Polticas, haga clic a la derecha de Editar. Aparecer un men. Seleccione Pegar. Si una poltica del mismo tipo existe en esa ubicacin, se le pedir sobrescribir la poltica existente.
1 2
En el panel Ver polticas, seleccione el nodo para ese tipo de poltica. Haga clic con el botn secundario y seleccione Pegar.
Configurar polticas de integridad del host Administrar polticas de integridad del host
709
distinto. En el otro sitio, es necesario importar la poltica usando el archivo .dat de este sitio. Para exportar Polticas de integridad del host de la lista Poltica o de una ubicacin
1 2 3
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Polticas de integridad del host y seleccione la poltica que desea exportar. Haga clic en Exportar poltica. Aparece el cuadro de dilogo Guardar. Tambin puede exportar una poltica de la biblioteca haciendo clic con el botn secundario en el nombre de la poltica en el panel Ver polticas y, luego, en Exportar.
Seleccione dnde desea guardar la poltica exportada (archivo .dat), corrija el nombre de archivo si es necesario y haga clic en Guardar. La poltica y su configuracin se exportan a un archivo .dat.
1 2
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Global y seleccione el grupo cuya poltica desea editar. Las ubicaciones asociadas con el grupo seleccionado se enumeran a la derecha. Busque la ubicacin donde reside la poltica, localice el nombre en la lista y haga clic a la derecha de Editar. Aparecer un men. Seleccione Exportar poltica del men. Aparece el cuadro de dilogo Guardar. Seleccione dnde desea guardar la poltica exportada (archivo .dat), corrija el nombre de archivo si es necesario y haga clic en Guardar.
3 4 5
Seleccione una poltica de integridad del host existente en el panel Ver polticas, y haga clic en Importar Poltica de integridad del host. Haga clic con el botn secundario en Polticas de integridad del host o Poltica de integridad del host existente en el panel Ver polticas, y haga clic en Importar
710
Configurar polticas de integridad del host Administrar polticas de integridad del host
1 2 3 4
Haga clic en la pgina Polticas. En el panel Ver polticas, haga clic en Polticas de integridad del host. Haga clic en Importar una poltica. Aparecer el cuadro de dilogo Abrir. Busque un archivo de poltica de integridad del host (archivo .dat) para importar, y luego haga clic en Abrir.
1 2 3 4
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Polticas de integridad del host, y seleccione la poltica que desea quitar. Haga clic en Retirar esta poltica. En el cuadro de dilogo Retirar poltica de integridad del host, seleccione los grupos o las ubicaciones de los que desea retirar la poltica, y haga clic en Aplicar. La poltica se retirar de los grupos o las ubicaciones seleccionados que la utilizan actualmente.
1 2 3
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Polticas de integridad del host, y seleccione la poltica que desea eliminar. Haga clic en Eliminar esta poltica. Tambin puede eliminar una poltica de la biblioteca haciendo clic con el botn secundario en el nombre de la poltica en el panel Ver polticas, y haciendo clic en Eliminar.
Configurar polticas de integridad del host Administrar polticas de integridad del host
711
1 2
Haga clic en la pgina Polticas. En el panel Ver polticas, expanda Global y seleccione el grupo cuya poltica desea editar. Las ubicaciones asociadas con el grupo seleccionado se enumeran a la derecha. Busque la ubicacin donde reside la poltica, localice la poltica y haga clic a la derecha de Editar. Aparecer un men. Seleccione Quitar poltica del men. Cuando quita una poltica de una ubicacin, no la quita de la Lista de polticas (si esa poltica reside all).
3 4
1 2 3 4
Haga clic en la pgina Polticas. En el panel Ver polticas, ample Poltica. Haga clic en Polticas de integridad del host. Seleccione la poltica cuyo historial desea ver. Aparece el historial de cambios de la poltica a la derecha del panel inferior.
712
Configurar polticas de integridad del host Administrar polticas de integridad del host
Captulo
43
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas
En este captulo se incluyen los temas siguientes:
Acerca de los mdulos de Enforcer de Symantec Diferentes tipos de mdulos de Enforcer Enforcer y las comprobaciones de la integridad del host Informacin que verifica el mdulo Enforcer Comunicacin entre un mdulo de Enforcer y un servidor de administracin Comunicacin entre un mdulo de Enforcer y los clientes Descripcin de Gateway Enforcer Cmo funciona Gateway Enforcer Descripcin general de DHCP Enforcer Cmo funciona DHCP Enforcer Descripcin de LAN Enforcer Acerca de la autenticacin 802.1x Cmo funciona LAN Enforcer
714
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Acerca de los mdulos de Enforcer de Symantec
Cmo funciona la configuracin bsica de LAN Enforcer Cmo funciona el modo transparente de LAN Enforcer Usar la autenticacin 802.1x Compatibilidad con productos de aplicacin de otros proveedores
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Enforcer y las comprobaciones de la integridad del host
715
LAN Enforcer
Se utiliza para la aplicacin de los clientes que se conectan a la LAN a travs de un conmutador o de un punto de acceso inalmbrico que admite autenticacin 802.1x. LAN Enforcer acta como proxy para el Servicio de usuario de acceso telefnico de autenticacin remota (RADIUS). LAN Enforcer puede funcionar con un servidor RADIUS que proporcione la autenticacin de nivel de usuario o sin l. Se utiliza para la aplicacin de los clientes que acceden a la LAN. Recibe una direccin IP dinmica mediante un servidor de protocolo Dynamic Host Configuration Protocol (DHCP).
DHCP Enforcer
Es posible utilizar uno o ms tipos de mdulos de aplicacin de Enforcer con el mismo servidor de administracin. Cada tipo de Enforcer se instala en una ubicacin distinta usando un paquete de instalacin separado. Por ejemplo, una parte de su red puede ya estar configurada de modo que los clientes se conecten a la LAN a travs de conmutadores compatibles con 802.1x. Si es as, es posible utilizar LAN Enforcer para estos clientes. Es posible tener otras partes de la red que no se configuren para la compatibilidad con 802.1x. Es posible utilizar DHCP Enforcer para administrar la aplicacin para estos clientes. Si tiene empleados que trabajan remotamente y se conectan mediante VPN o acceso telefnico, es posible utilizar Gateway Enforcer para esos clientes. Para los clientes que se conectan a travs de un punto de acceso inalmbrico compatible con 802.1x, es posible utilizar LAN Enforcer. Si el punto de acceso inalmbrico no es compatible con 802.1x, es posible utilizar Gateway Enforcer. Si se requiere alta disponibilidad, es posible instalar dos o ms mdulos de Enforcer del mismo tipo en la misma ubicacin para proporcionar funcionalidades de la conmutacin por error. En algunas configuraciones de red, un cliente puede conectarse a una red por ms de un mdulo de Enforcer. En tal caso, el mdulo de Enforcer primero autentica al cliente. Se permite el acceso a todos.
716
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Informacin que verifica el mdulo Enforcer
Cuando un cliente intenta conectarse a la red, el cliente de Symantec en el equipo cliente ejecuta una comprobacin de integridad del host. El cliente de Symantec enva los resultados al mdulo de Enforcer. Antes de que Enforcer conceda el acceso de un cliente a la red corporativa, Enforcer verifica que el equipo cliente haya realizado la comprobacin de la integridad del host. La comprobacin de la integridad del host muestra si el cliente cumple con las polticas de integridad del host.
Se est ejecutando un cliente de Symantec? El cliente tiene el identificador correcto que prueba que es el cliente correcto? El perfil del cliente se actualiza con las ltimas polticas? El equipo cliente aprob la comprobacin de integridad del host? Est de acuerdo con las polticas de integridad del host?
Enforcer no realiza autenticacin de nivel de usuario. Un mdulo de LAN Enforcer que se configura para funcionar con un servidor RADIUS remite la informacin de usuario que recibe del suplicante de 802.1x al servidor RADIUS para la autenticacin. LAN Enforcer no concede el acceso a un cliente que no apruebe la autenticacin de nivel de usuario.
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Comunicacin entre un mdulo de Enforcer y los clientes
717
la lista. Si Enforcer se reinicia, Enforcer utiliza la lista del servidor de administracin para restablecer una conexin con un servidor de administracin. Cuando un cliente intenta conectarse a la red mediante un mdulo Enforcer, Enforcer autentica el identificador nico del cliente (UID). Enforcer autentica el UID al enviarlo al servidor de administracin, y recibe una respuesta de aceptacin o rechazo. Es posible configurar DHCP o Gateway Enforcer para extraer la informacin del servidor de administracin. Esta informacin determina si el perfil del cliente tiene las ltimas polticas de seguridad. Si el identificador o el perfil del cliente se modifica en el servidor de administracin, el servidor de administracin puede enviar la informacin a Enforcer. Enforcer puede realizar de nuevo la autenticacin de hosts en el cliente.
718
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Cmo funciona Gateway Enforcer
servidores dentro de la compaa. Solamente los clientes de confianza o autenticados pueden acceder a estos servidores. Es posible utilizar mdulos de Gateway Enforcer en las siguientes ubicaciones de red:
Es posible otorgar a usuarios remotos acceso a travs de una VPN o de un servidor de acceso telefnico, ya que se pueden aplicar las polticas de seguridad en sus equipos. Si un cliente no satisface los requisitos, Enforcer puede bloquear el acceso a un segmento protegido de la red. Puede adems dirigir al cliente a un servidor de reparacin, desde el cual se pueden descargar las aplicaciones necesarias, tales como software antivirus o parches. Si es obligatorio contar con alta disponibilidad, es posible instalar dos o ms mdulos de Gateway Enforcer para proporcionar funcionalidades de redireccionamiento.
Cuando un cliente intenta acceder a la red de la empresa, Enforcer primero comprueba si el equipo cliente ejecuta un cliente de Symantec. Si es as, comienza el proceso de autenticacin del host. El cliente de Symantec que se ejecuta en el cliente realiza una comprobacin de integridad del host. El cliente de Symantec entonces pasa los resultados al mdulo de Enforcer, junto con su informacin de identificacin y el estado de su poltica de seguridad. Enforcer verifica con el servidor de administracin que el cliente sea un cliente legtimo y que su poltica de seguridad est actualizada. El mdulo de Enforcer verifica que el cliente haya aprobado la comprobacin de integridad del host y, por lo tanto, cumple las polticas de seguridad. Si se aprueban todos los pasos, Enforcer permite que el cliente acceda a la red.
Si un cliente no satisface los requisitos para el acceso, se puede configurar el mdulo de Enforcer para que realice las siguientes acciones:
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Descripcin general de DHCP Enforcer
719
Bloquear usuarios si falla la comprobacin de integridad del host. Mostrar un mensaje emergente en el cliente. Proporcionar al cliente acceso limitado a la red a fin de permitir el uso de recursos de red para la reparacin.
Para configurar la autenticacin de Gateway Enforcer, es posible configurar qu direcciones IP de clientes se comprobarn. Es posible especificar las direcciones IP externas de confianza que Enforcer permite sin autenticacin. Para la reparacin, es posible configurar Gateway Enforcer para que permita el acceso de clientes a las direcciones IP internas de confianza. Por ejemplo, es posible permitir que los clientes accedan a un servidor de actualizacin o a un servidor de archivos que contiene los archivos de firmas del antivirus. Para los clientes sin el cliente de Symantec, es posible dirigir las solicitudes HTTP del cliente a un servidor Web. El servidor Web puede dar instrucciones adicionales o permitir que se descargue el cliente. Es posible adems configurar Gateway Enforcer para que permita que los clientes que no usan Windows accedan a la red. Gateway Enforcer funciona como puente y no como router. Tan pronto como se autentica el cliente, el mdulo de Enforcer reenva los paquetes. Esta accin permite que el cliente acceda a la red.
720
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Cmo funciona DHCP Enforcer
posible instalar dos o ms mdulos de aplicacin DHCP Enforcer para proporcionar funcionalidades de redireccionamiento.
Cuando un cliente intenta acceder a la red de la empresa, Enforcer verifica si el equipo cliente est ejecutando un cliente de Symantec y, si es as, comienza el proceso de autenticacin de hosts. El cliente de Symantec que se ejecuta en el cliente realiza una comprobacin de la integridad del host y transmite los resultados a Enforcer, junto con la informacin de identificacin y la informacin sobre el estado de la poltica de seguridad. Enforcer verifica con Protection Manager que el cliente sea un cliente legtimo y que su poltica de seguridad est actualizada. El mdulo de Enforcer verifica que el cliente haya aprobado la comprobacin de integridad del host y, por lo tanto, cumple las polticas de seguridad. Si se aprueban todos los pasos, Enforcer se asegura de que la direccin IP de cuarentena est liberada y dirige el trfico de red a la solicitud DHCP del cliente al servidor DHCP normal. El cliente entonces recibe una direccin IP normal y una configuracin de red.
Si el cliente no cumple los requisitos de seguridad, el mdulo de Enforcer se asegura de que se renueve la solicitud DHCP en el servidor DHCP de cuarentena. El cliente recibe una configuracin de red de cuarentena, que se debe establecer para permitir el acceso a un servidor de reparacin. DHCP Enforcer se puede configurar para permitir que los clientes que no utilizan Windows tengan acceso al servidor DHCP normal. Nota: Es posible instalar un servidor DHCP en un equipo y configurarlo para proporcionar una configuracin de red normal y una configuracin de red de cuarentena.
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Descripcin de LAN Enforcer
721
Figura 43-1
Los clientes solicitan direcciones IP Equipo externo Equipo externo Este equipo presenta un error porque no ejecuta el cliente o no aprueba la comprobacin de integridad del host
Enforcer verifica que el equipo ejecute el cliente y cumpla las polticas de seguridad (comprobacin de integridad del host)
Router
DHCP Enforcer
Conmutador Servidor DHCP de cuarentena Servidor DHCP normal Enforcer transmite la solicitud DHCP del cliente que no aprueba la autenticacin al servidor DHCP de cuarentena, que proporciona una direccin IP de cuarentena para permitir el acceso a un servidor de reparacin.
Enforcer transmite la solicitud DHCP del cliente autenticado al servidor DHCP normal
722
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Acerca de la autenticacin 802.1x
Verificar que los equipos cliente cumplan las polticas de seguridad configuradas en el servidor de administracin (autenticacin de host).
En las redes que no utilizan un servidor RADIUS, LAN Enforcer realiza solamente la autenticacin de host. Cuando se instala LAN Enforcer con un servidor RADIUS, se proporcionan las siguientes ventajas para la red de seguridad:
Se niega el acceso de red a equipos no deseados. Los usuarios que intentan acceder a la red deben autenticarse primero mediante RADIUS. Es posible imponer polticas de seguridad, tales como asegurarse de que el equipo tenga el software antivirus, los parches u otro software correctos. Es posible validar que el equipo cliente est ejecutando el cliente de Symantec y que haya aprobado la comprobacin de integridad del host.
Un mdulo de LAN Enforcer se comunica con un conmutador o un punto de acceso inalmbrico que admita la autenticacin EAP/802.1x. El conmutador o punto de acceso inalmbrico generalmente se configura en dos o ms redes virtuales de rea local (VLANs). Los clientes de Symantec en los equipos cliente pasan la informacin de EAP o de integridad del host al conmutador usando el protocolo EAPOL (EAP sobre LAN). El conmutador transmite la informacin al mdulo de LAN Enforcer para la autenticacin. Es posible configurar LAN Enforcer con un grupo de respuestas posibles ante un error de autenticacin. Las respuestas dependen del tipo de error de autenticacin: autenticacin de host o autenticacin de usuario EAP. Si utiliza un conmutador o un punto de acceso inalmbrico, es posible configurar LAN Enforcer para dirigir a un cliente autenticado a distintas VLAN. El conmutador o punto de acceso inalmbrico debe proporcionar funcionalidad de VLAN dinmica. Las VLAN pueden incluir una VLAN de reparacin. Si utiliza LAN Enforcer con un servidor RADIUS, es posible configurar varias conexiones de servidor RADIUS para Enforcer. Si una conexin del servidor RADIUS no funciona, el mdulo de LAN Enforcer puede utilizar una diferente. Adems, pueden se pueden configurar varios mdulos de LAN Enforcer para conectarse al conmutador. Si un mdulo de LAN Enforcer no responde, otro mdulo puede administrar la autenticacin.
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Acerca de la autenticacin 802.1x
723
servidor de autenticacin centralizado, tal como RADIUS (Servicio de usuario de acceso telefnico de autenticacin remota). El servidor autentica a cada usuario que intenta acceder a la red. El estndar 802.1x incluye especificaciones para EAP sobre LAN (EAPOL). EAPOL se utiliza para encapsular mensajes EAP en marcos de capa de vnculo (por ejemplo, Ethernet) y adems proporciona funciones de control. La arquitectura de 802.1x incluye los siguientes componentes clave:
Autenticador La entidad que administra la autenticacin, por ejemplo, un conmutador LAN compatible con 802.1x o un punto de acceso inalmbrico. La entidad que proporciona la autenticacin real validando las credenciales que se proporcionan en respuesta al desafo, por ejemplo, un servidor RADIUS. La entidad que busca acceder a la red e intenta autenticarse correctamente, por ejemplo, un equipo.
Servidor de autenticacin
Suplicante
Cuando un dispositivo suplicante se conecta a un autenticador de conmutador de red con 802.1x habilitado, ocurre el siguiente proceso:
El conmutador emite una solicitud de identidad EAP. El software del suplicante EAP responde con una Respuesta de identidad EAP, que es remitida al servidor de autenticacin (por ejemplo, RADIUS) por el conmutador. El servidor de autenticacin emite un desafo EAP, que es remitido al suplicante por el conmutador. El usuario escribe las credenciales de autenticacin (nombre de usuario y contrasea, token, etc.). El suplicante enva una Respuesta de desafo EAP, que incluye las credenciales proporcionadas por el usuario, al conmutador, que la reenva al servidor de autenticacin. El servidor de autenticacin valida las credenciales y contesta con un resultado de EAP o de autenticacin de usuario, que indica el resultado correcto o incorrecto de la autenticacin. Si la autenticacin se realiza correctamente, el conmutador permite el acceso para el trfico normal. Si la autenticacin falla, se bloquea el acceso del cliente al dispositivo. En cualquier caso, se notifica al suplicante del resultado.
724
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Cmo funciona LAN Enforcer
Nota: Solamente se permite el trfico EAP durante el proceso de autenticacin Para obtener informacin sobre EAP, consulte la RFC 2284 de IETF en la siguiente URL: http://www.ietf.org/rfc/rfc2284.txt Para obtener detalles adicionales sobre el estndar IEEE 802.1x, consulte el texto sobre este estndar en la siguiente URL: http://standards.ieee.org/getieee802/download/802.1x-2001.pdf
Configuracin bsica: Con un servidor RADIUS para realizar autenticacin de usuario EAP (Protocolo de autenticacin extensible) tradicional junto con autenticacin de hosts. Modo transparente: Sin un servidor RADIUS para realizar solamente la autenticacin de hosts. Nota: El modo transparente no est disponible al usar un punto de acceso inalmbrico.
En la configuracin bsica, LAN Enforcer realiza la autenticacin de host, pero adems se configura para funcionar con un servidor RADIUS, que proporciona autenticacin de usuarios. En modo transparente, no hay interaccin con un servidor RADIUS. En ambos casos, LAN Enforcer utiliza el protocolo EAPOL (EAP sobre LAN). Utiliza el protocolo para comunicarse con el suplicante EAP del cliente a travs del conmutador o punto de acceso 802.1x. El suplicante EAP del equipo cliente intenta autenticarse a travs del autenticador. A continuacin, comienza el proceso de autenticacin de usuarios EAP (en la configuracin bsica) y autenticacin de hosts. El servidor RADIUS realiza la autenticacin y devuelve el resultado (permitido o denegado) al mdulo de LAN Enforcer. La autenticacin de host falla si la comprobacin de integridad del host realizada por el cliente de Symantec detecta que se cumple cualquiera de las siguientes condiciones:
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Cmo funciona LAN Enforcer
725
El equipo no cumple los requisitos de la poltica de integridad del host. El cliente no tiene la poltica ms reciente.
El autenticador puede admitir la alternacin dinmica de VLAN. En ese caso, es posible configurar el autenticador y el mdulo de LAN Enforcer para asignar el puerto a una VLAN segn los resultados de la autenticacin. Si no desea utilizar los resultados de la autenticacin, es posible configurarlos para que asignen el puerto de acuerdo con los atributos de RADIUS. Las configuraciones tpicas de VLAN pueden incluir acceso de red normal, acceso de red de administrador especial o acceso restringido para cuarentena o reparacin. Es posible adems configurar el mdulo de LAN Enforcer con un atributo de VLAN personalizado, por ejemplo, para enviar una lista de control de acceso (ACL) al conmutador. Un suplicante pudo no aprobar la autenticacin EAP, la autenticacin de host, o ambas. En ese caso, LAN Enforcer acta como servidor de autenticacin. Puede dar instrucciones al autenticador para que bloquee el acceso o asigne dinmicamente el dispositivo cliente a una VLAN de cuarentena o reparacin. Una VLAN de reparacin tpicamente proporciona acceso de red restringido para permitir que se realicen correctamente las acciones de reparacin automticas. Estas acciones pueden incluir la instalacin o la actualizacin del software, u otros pasos necesarios para que el dispositivo cliente vuelva a cumplir la poltica de seguridad. Por ejemplo, un cliente puede descargar la ltima actualizacin del antivirus. El cliente puede entonces iniciar nuevamente el proceso de autenticacin. El cliente aprobar la autenticacin y se podr conectar a su VLAN de red regular en vez de la VLAN de reparacin. El cliente obtiene una nueva direccin IP cuando se cumplen las siguientes condiciones:
Un cliente (que acta como suplicante de 802.1x) aprueba o falla la autenticacin. La VLAN tiene cambios (debido a un inicio de sesin o como resultado de un conmutador de VLAN por cualquier motivo).
Nota: Para obtener una nueva direccin IP, el cliente inicia una liberacin y renovacin de IP en Windows 2000. En el resto de las plataformas, el cliente inicia una renovacin de IP.
726
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Cmo funciona la configuracin bsica de LAN Enforcer
Un suplicante (por ejemplo, un equipo cliente) intenta acceder a la red mediante un autenticador (por ejemplo, un conmutador 802.1x). El conmutador detecta el equipo y solicita la identificacin. El suplicante de 802.1x del equipo solicita al usuario un nombre de usuario y una contrasea, y responde con su identificacin. El conmutador transmite esta informacin al mdulo de LAN Enforcer, que la reenva al servidor RADIUS. El servidor RADIUS genera un desafo EAP seleccionando un tipo de EAP basado en su configuracin. El mdulo de LAN Enforcer recibe este desafo, agrega un desafo de integridad del host y lo reenva al conmutador. El conmutador transmite los desafos EAP y de integridad del host al cliente. El cliente recibe los desafos y enva una respuesta. El conmutador recibe la respuesta y la transmite al mdulo de LAN Enforcer. LAN Enforcer examina el resultado de la comprobacin de integridad del host y la informacin de estado del cliente y la reenva al servidor RADIUS. El servidor RADIUS realiza la autenticacin EAP y enva el resultado de vuelta al mdulo de LAN Enforcer. LAN Enforcer recibe los resultados de la autenticacin y transmite el resultado y la accin que se debe realizar. El conmutador selecciona la accin apropiada y permite el acceso de red normal, bloquea el acceso o permite el acceso a una VLAN alternativa, de acuerdo con los resultados.
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Usar la autenticacin 802.1x
727
Un suplicante (por ejemplo, un equipo cliente) intenta acceder a la red mediante un autenticador (por ejemplo, un conmutador 802.1x). El autenticador ve el equipo y enva un paquete de autenticacin de un Protocolo de autenticacin extensible (EAP) (slo se permite el trfico del EAP). El cliente (acta como suplicante del EAP) ve el paquete de la autenticacin y responde con la autenticacin de la integridad del host. El conmutador enva los resultados de la autenticacin de la integridad del host a LAN Enforcer (se ejecuta como servidor proxy RADIUS). LAN Enforcer le responde al conmutador incluyendo la informacin de asignacin de VLAN que se basa en los resultados de la autenticacin.
Un cliente no autenticado o un suplicante de otro fabricante enva la informacin del usuario y del cumplimiento a un conmutador de red 802.11 administrado. El conmutador de red retransmite la informacin a LAN Enforcer. LAN Enforcer enva la informacin del usuario al servidor de autenticacin para su autenticacin. El servidor RADIUS es el servidor de autenticacin. Si el cliente no aprueba la autenticacin de nivel de usuario o no cumple con la poltica de integridad del host, Enforcer puede bloquearle el acceso a la red. Enforcer coloca los equipos cliente que no cumplen en una red de cuarentena donde el equipo puede ser corregido. Una vez que el cliente repara el equipo y alcanza el cumplimiento, el protocolo 802.1x vuelve a autenticar el equipo y le concede acceso a la red.
Para funcionar con LAN Enforcer, el cliente puede utilizar un suplicante de otro fabricante o un suplicante integrado. La Tabla 43-1 describe los tipos de opciones que se pueden configurar para la autenticacin 802.1x.
728
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Usar la autenticacin 802.1x
Suplicante de otro Utiliza un suplicante de 802.1x de otro fabricante. fabricante LAN Enforcer funciona con un servidor RADIUS y suplicantes de 802.1x de otro fabricante para realizar la autenticacin de usuarios. El suplicante de 802.1x solicita informacin del usuario, que LAN Enforcer transmite al servidor RADIUS para la autenticacin de nivel de usuario. El cliente enva el perfil del cliente y el estado de integridad del host a Enforcer a fin de que Enforcer autentique el equipo.
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Usar la autenticacin 802.1x
729
Opcin
Descripcin
Modo transparente Utiliza el cliente para ejecutarse como suplicante de 802.1x. Se utiliza este mtodo si no desea utilizar un servidor RADIUS para realizar la autenticacin de usuario. LAN Enforcer se ejecuta en modo transparente y acta como servidor RADIUS falso. El modo transparente implica que el suplicante no solicita informacin del usuario. En el modo transparente, el cliente acta como suplicante de 802.1x. El cliente responde a la solicitud de EAP del conmutador con el perfil del cliente y el estado de integridad del host. El conmutador, en su momento, transmite la informacin a LAN Enforcer, que acta como servidor RADIUS falso. LAN Enforcer valida la informacin de integridad del host y del perfil del cliente provista por el conmutador y puede permitir, bloquear o asignar dinmicamente una VLAN, segn sea necesario.
Advertencia: Es necesario saber si su red corporativa utiliza el servidor RADIUS como servidor de autenticacin. Si configura la autenticacin de 802.1x incorrectamente, la conexin a la red puede romperse.
Nota: Para permitir que el usuario configure la autenticacin 802.1 en el cliente, debe configurar el cliente como control del cliente. Para configurar el cliente para utilizar el modo transparente o un suplicante integrado
1 2
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo de clientes que desea que realicen la autenticacin 802.1x.
730
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Usar la autenticacin 802.1x
3 4 5 6
En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, marque Habilitar la autenticacin 802.1x. Marque Usar el cliente como suplicante de 802.1x. Realice una de las acciones siguientes:
Para seleccionar el modo transparente, seleccione Usar modo transparente de Symantec. Para permitir que el usuario configure un suplicante integrado, seleccione Permitir al usuario seleccionar el protocolo de autenticacin. Los usuarios pueden elegir el protocolo de autenticacin para su conexin de red.
1 2 3 4 5
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo de clientes que desea que realicen la autenticacin 802.1x. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, marque Habilitar la autenticacin 802.1x. Haga clic en Aceptar.
Puede configurar al cliente para que utilice el suplicante integrado. Se habilita al cliente para la autenticacin 802.1x y como suplicante de 802.1x.
Se produjo un error durante la autenticacin del usuario en el equipo cliente porque los usuarios escribieron el nombre de usuario o la contrasea incorrectamente. El equipo cliente est en la VLAN incorrecta. El equipo cliente no obtiene una conexin de red. Los problemas de conexin de red suceden generalmente porque el conmutador entre el equipo cliente y LAN Enforcer no autentic el nombre de usuario y la contrasea.
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Compatibilidad con productos de aplicacin de otros proveedores
731
Los usuarios deben iniciar sesin en un equipo cliente que haya autenticado un usuario anterior. El equipo cliente no aprob la comprobacin de cumplimiento.
Los usuarios pueden reautenticar el equipo slo si se configur el equipo con un suplicante integrado. El men contextual del rea del icono de notificacin del equipo cliente muestra un comando de reautenticacin.
API de aplicacin universal Symantec ha desarrollado la API de aplicacin universal para permitir que otros proveedores con tecnologa relacionada integren sus soluciones con el software de Symantec. Control de admisin de red de Cisco Los clientes de Symantec son compatibles con la solucin Control de admisin de red de Cisco.
732
Usar Symantec Enforcer para mantener fuera de la red los puntos finales que no cumplen las polticas Compatibilidad con productos de aplicacin de otros proveedores
Captulo
44
Acerca de la administracin de mdulos de Enforcer desde la consola Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores Acerca de los grupos de Enforcer Acerca de la informacin de Enforcer que aparece en la consola Visualizar informacin acerca de Enforcer desde la consola Modificar el nombre y la descripcin de un mdulo de Enforcer Eliminar un mdulo de Enforcer o un grupo de Enforcer Exportar e importar opciones de grupo de Enforcer Mensajes emergentes para los clientes bloqueados Acerca de la configuracin de clientes y Enforcer Configurar clientes para utilizar una contrasea para detener el servicio del cliente
734
Administrar mdulos de Enforcer desde la consola Acerca de la administracin de mdulos de Enforcer desde la pgina Servidores
Antes de configurar las opciones de Enforcer en la consola, termine la instalacin y la configuracin del mdulo de Enforcer en el equipo de Enforcer. Las opciones de Enforcer en la consola dependen de qu tipo de Enforcer se configura: Gateway, LAN o DHCP. Por lo tanto, las opciones para cada uno se cubren por separado. Ver "Descripcin de Gateway Enforcer" en la pgina 717. Ver "Descripcin general de DHCP Enforcer" en la pgina 719. Ver "Descripcin de LAN Enforcer" en la pgina 721. La mayor parte de la configuracin y la administracin de Enforcer se realiza desde la consola. La mayora de las opciones de configuracin de Enforcer se pueden modificar solamente en la consola. Sin embargo, algunas opciones de Enforcer requieren que se edite un archivo de Enforcer en el equipo de Enforcer, en lugar de en la consola. Casi todas las opciones para los mdulos de Enforcer se configuran desde la pgina Servidores en la consola. LAN Enforcer tiene algunas opciones obligatorias adicionales en la pgina Polticas. Si administra varios mdulos de Enforcer y es responsable de otras tareas, generalmente es ms conveniente administrarlas todas a partir de una ubicacin centralizada. La consola proporciona esta funcionalidad. Es posible iniciar sesin en una consola para visualizar informacin sobre todas las instancias de Enforcer. Es necesario realizar algunas tareas en el equipo en el cual se instala Enforcer. Las tareas incluyen el uso de la consola local de Enforcer en lugar de la consola de administracin, y tareas de mantenimiento de hardware. Por ejemplo, los problemas de Enforcer y de conexin de la consola se solucionan en el mdulo de Enforcer mismo. Para definir el problema, puede ser necesario comprobar fsicamente el estado del hardware de Enforcer o modificar su conexin de red. Este captulo no incluye informacin sobre cmo configurar el cliente de aplicacin de Symantec, que es un componente separado de Enforcer.
735
Se necesitan privilegios completos de administrador del sistema para ver la pgina Servidores. Solamente un administrador de sistema con acceso a la consola completa tiene acceso a las opciones de configuracin de Enforcer en la pgina Servidores de la consola. Los administradores de dominio no pueden ver la pgina Servidores. Los administradores de dominio no tienen acceso a la pgina Servidores.
736
Administrar mdulos de Enforcer desde la consola Acerca de la informacin de Enforcer que aparece en la consola
automtica al mismo grupo. Es posible asegurarse de que los distintos mdulos de LAN Enforcer compartan opciones. Especifique el mismo nombre de grupo en la consola local de Enforcer, en el cuadro de dilogo Configuracin.
Administrar mdulos de Enforcer desde la consola Visualizar informacin acerca de Enforcer desde la consola
737
Versin
Nombre de host
Sistema operativo Sistema operativo que se ejecuta en el equipo en el cual se instal el mdulo de Enforcer seleccionado. Estado de conexin En lnea: el servicio est ejecutndose y es el mdulo de Enforcer activo primario. Desconectado: el servicio est detenido. Estado de conmutacin por error IP interna IP externa (Gateway y DHCP Enforcer solamente). Si Enforcer est activo o en espera.
Direccin IP de la tarjeta de interfaz de red interna. (Gateway y DHCP Enforcer solamente). Direccin IP de la tarjeta de interfaz de red externa. Direccin MAC de la tarjeta de interfaz de red interna. (Gateway y DHCP Enforcer solamente). Direccin MAC de la tarjeta de interfaz de red externa. Fabricante y modelo de la tarjeta de interfaz de red interna. (Gateway y DHCP Enforcer solamente). Fabricante y modelo de la tarjeta de interfaz de red externa.
738
Administrar mdulos de Enforcer desde la consola Modificar el nombre y la descripcin de un mdulo de Enforcer
1 2
En la consola, en la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, haga clic en los nombres de los Enforcer sobre los que desea ver informacin. Para LAN Enforcer, los campos que se refieren al NIC externo no muestran informacin, ya que LAN Enforcer necesita slo un NIC interno. Adems, no se muestra ningn estado de conmutacin por error, ya que la conmutacin por error de LAN Enforcer se administra a travs del conmutador.
1 2
En la consola, en la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, haga clic en el nombre del mdulo de Enforcer y, a continuacin, bajo Tareas, haga clic en Editar propiedades de Enforcer. Aparece el cuadro de dilogo Propiedades. El campo de nombre no es editable. Escriba el texto deseado en el cuadro de texto Descripcin. Haga clic en Aceptar. Es posible adems editar la descripcin de Enforcer haciendo clic con el botn secundario en el nombre del mdulo de Enforcer y seleccionando Propiedades.
3 4
Administrar mdulos de Enforcer desde la consola Exportar e importar opciones de grupo de Enforcer
739
Servidores. Para eliminar un mdulo de Enforcer permanentemente desde la consola, primero desinstale el mdulo desde el equipo de Enforcer. Para eliminar un mdulo de Enforcer despus de desinstalarlo desde el equipo de Enforcer
1 2 3
Desactive o desinstale el mdulo de Enforcer en el equipo de Enforcer. En la consola, en la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, haga clic en el nombre del mdulo de Enforcer y, a continuacin, bajo Tareas, haga clic en Eliminar Enforcer. Un cuadro de mensaje le solicitar que confirme la eliminacin. Para confirmar la eliminacin, haga clic en S.
Si no hay mdulos de Enforcer enumerados en un grupo de Enforcer y usted desea no utilizar ms ese grupo, es posible eliminar el grupo. El grupo debe estar vaco para que pueda eliminarlo. Cuando se elimina un grupo, se elimina cualquier opcin personalizada para el grupo. Para eliminar un grupo de Enforcer
1 2 3 4
En la consola, en la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, haga clic en el nombre del grupo de Enforcer. Haga clic en Eliminar grupo. Un cuadro de mensaje le solicitar que confirme la eliminacin. Para confirmar la eliminacin, haga clic en S.
1 2 3 4
En la consola, en la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, haga clic en el nombre de grupo de Enforcer y despus haga clic en Exportar propiedades del grupo. Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre de archivo. Haga clic en Guardar.
740
Administrar mdulos de Enforcer desde la consola Mensajes emergentes para los clientes bloqueados
Cuando importa opciones, usted debe importarlas en un grupo de Enforcer existente, que sobrescribe las opciones del grupo seleccionado. Para importar opciones de grupo de Enforcer
1 2
En la consola, en la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, haga clic en el nombre de grupo de Enforcer cuyas opciones desee sobrescribir y despus haga clic en Importar propiedades del grupo. Seleccione el archivo que desea importar y haga clic en Abrir. Se le pedir que confirme si desea sobrescribir las propiedades actuales del grupo de Enforcer. Haga clic en S.
Mensaje para los equipos que ejecutan un cliente. Mensaje para los equipos de Windows que no estn ejecutando un cliente (Gateway o DHCP Enforcer solamente).
Es posible agregar texto al mensaje predeterminado. Por ejemplo, es posible decirle al usuario del equipo qu hacer para corregir la situacin. Se configura este mensaje como parte de la configuracin de polticas del grupo de equipos cliente en lugar de la configuracin de Enforcer.
Administrar mdulos de Enforcer desde la consola Mensajes emergentes para los clientes bloqueados
741
Mensajes para los equipos de Windows que no estn ejecutando un cliente (Gateway o DHCP Enforcer solamente)
En algunos casos, los clientes intentan conectarse a la red de la empresa sin ejecutar el cliente. Gateway Enforcer y DHCP Enforcer muestran un mensaje emergente para informar a los usuarios de los equipos con Windows sobre la necesidad de instalar el software de cliente. El mensaje avisa a los clientes que estn bloqueados para acceder a la red porque el cliente de Symantec no est ejecutndose. Es posible configurar el contenido del mensaje en la ficha Autenticacin del cuadro de dilogo de configuracin de Enforcer. Utilice la opcin Habilitar el mensaje emergente en el cliente si el cliente no se est ejecutando. Nota: Para Gateway Enforcer solamente, una alternativa al mensaje emergente es la opcin de redireccin HTTP. La opcin de redireccin HTTP conecta al cliente a un sitio Web con funcionalidades o instrucciones de reparacin. Para que Enforcer haga que el cliente muestre un mensaje, los puertos UDP 137 y 138 deben estar abiertos para transmitir el mensaje. La mensajera de Windows, tambin llamada Messenger, debe ejecutarse en sistemas basados en Windows NT (Windows NT 4.0, 2000, XP y Windows Server 2003) para que el equipo muestre mensajes emergentes. Si el cliente se est ejecutando, no se requiere Mensajera de Windows para mostrar un mensaje emergente desde el cliente.
1 2 3
En la consola, en la pgina Clientes, seleccione la ficha Polticas. Bajo Ver polticas, seleccione el grupo para el que desea especificar un mensaje emergente. Bajo Configuracin, seleccione Configuracin general. El cuadro de dilogo Configuracin de grupo aparece con la ficha Configuracin general seleccionada.
742
4 5 6
En la ficha Configuracin de seguridad, seleccione Mostrarunmensajecuando Symantec Enforcer bloquea un cliente. Si desea agregar texto al mensaje predeterminado, haga clic en Establecer texto adicional, luego escriba el texto y haga clic en Aceptar. Haga clic en Aceptar.
Configurar clientes para utilizar una contrasea para detener el servicio del cliente
El cliente puede pasar la autenticacin de Enforcer inicialmente, mientras se ejecuta, y recibir una configuracin de red y una direccin IP normales. Si ms tarde se produce un error en la autenticacin, Enforcer enva un mensaje al cliente. Este incidente provoca que el cliente haga una versin y renueve la direccin IP. Sin embargo, si el usuario final detiene al cliente en el equipo cliente, Enforcer no puede imponer la versin y llevar a cabo la renovacin. Para asegurarse de que Enforcer pueda continuar poniendo en cuarentena o bloqueando clientes, es posible que desee restringir qu usuarios pueden detener un cliente. Puede restringir usuarios al solicitar una contrasea para que el usuario final detenga al cliente. Para configurar clientes para utilizar una contrasea para detener el servicio del cliente
1 2 3
En la consola, en la pgina Cliente, seleccione el grupo de equipos cliente. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Configuracin de seguridad, bajo Proteccin de contrasea del cliente, seleccione Solicitar una contrasea para detener el servicio de cliente y especifique la contrasea. Haga clic en Aceptar.
Captulo
45
Acerca de los informes de Enforcer Acerca de los registros de Enforcer Configurar opciones de registro de Enforcer
El informe del sistema, Principales instancias de Enforcer que generan errores, contiene informacin sobre los mdulos de Enforcer que generaron errores y advertencias. El informe del sistema, Estado del sitio, contiene informacin sobre la velocidad del sistema, el trfico y el registro de paquetes de Enforcer. Los informes de cumplimiento contienen informacin sobre el estado de cumplimiento de los clientes.
744
Registro del servidor de Enforcer Registro de clientes de Enforcer Registro de trfico de Enforcer (Gateway Enforcer solamente)
De forma predeterminada, los registros de Enforcer se almacenan en un mdulo de Enforcer y los datos de registro se envan a la consola y se almacenan en la base de datos. Desde la consola, es posible modificar las opciones de registro de Enforcer, ver los registros de Enforcer y generar informes sobre los mdulos de Enforcer. Las actividades se registran en el mismo registro del servidor de Enforcer para todos los mdulos de Enforcer en un sitio. Nota: Tambin est disponible en la consola un registro del sistema, Actividad de Enforcer. Contiene informacin sobre eventos, como el inicio de los mdulos de aplicacin de Enforcer y cundo se conectan al administrador. Ver "Acerca de tipos, contenido y comandos de registros" en la pgina 220.
745
Tipo de Enforcer
746
Autenticado El identificador nico del cliente (UID) era correcto. Rechazado El UID del cliente era incorrecto o no se estaba ejecutando ningn cliente. Desconectado El cliente se desconect de Enforcer o el servicio de Enforcer se detuvo. Aprobado El cliente pas la comprobacin de integridad del host. Error El cliente no pas la comprobacin de integridad del host.
MAC remota
747
Accin
Recuento
Tipo de Enforcer
748
1 2 3
En la consola, en la pgina Administrador, haga clic en Servidores. Seleccione el grupo de Enforcer que desee en el panel Ver servidores y haga clic en Editar propiedades de grupo, bajo Tareas. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, deje sin marcar la casilla de verificacin Habilitar registro para cada registro que desee deshabilitar. Haga clic en Aceptar.
1 2 3
En la consola, en la pgina Administrador, haga clic en Servidores. Seleccione el grupo de Enforcer que desee en el panel Ver servidores y haga clic en Editar propiedades de grupo, bajo Tareas. En el cuadro de dilogo Configuracin de nombre de Enforcer, en la ficha Registro, marque la casilla de verificacin Enviar el registro al servidor de administracin para cada tipo de registro que desee enviar. Cuando haya finalizado sus cambios en el cuadro de dilogo Configuracin, haga clic en Aceptar.
749
1 2 3
En la consola, en la pgina Administrador, haga clic en Servidores. Seleccione el grupo de Enforcer que desee en el panel Ver servidores y haga clic en Editar propiedades de grupo. En el cuadro de dilogo de configuracin Nombre de Enforcer, en la ficha Registro, en cada uno de los campos Tamao mximo del archivo de registro, especifique el nmero de KB de datos que se mantedrn en cada registro. La configuracin predeterminada es 512 KB. En el campo La entrada del registro caducar despus de, especifique el nmero de das que la entrada permanecer en la base de datos antes de que se quite. El intervalo es de 1 da a 365 das, con una configuracin predeterminada de 30 das. Haga clic en Aceptar.
1 2
En la consola, en la pgina Administrador, haga clic en Servidores. Seleccione el grupo de Enforcer que desee en el panel Ver servidores y haga clic en Editar propiedades de grupo.
750
En el cuadro de dilogo de congifuracin Nombre de Enforcer, en la ficha de Registro, en la lista Filtro de registros de trfico, seleccione una de las siguientes opciones de filtro:
Todo el trfico Registra todo el trfico, incluido el que est permitido y quitado Registra solamente los clientes que Enforcer bloquea Registra solamente el trfico que Enforcer permite
Apndice
smc -checkrunning
752
Parmetro
smc -dismissgui
Descripcin
Cierra la interfaz de usuario del cliente de Symantec Endpoint Protection o Symantec Network Access Control e incluye el icono del rea de notificacin. El cliente an se ejecuta y protege el equipo cliente. Devuelve 0.
smc -exportlog
Exporta todo el contenido de un registro a un archivo .txt. Para exportar un registro, utilice la siguiente sintaxis: smc -exportlog tipo_registroarchivo_de_salida Donde: tipo_registro es:
0 = Registro del sistema 1 = Registro de seguridad 2 = Registro de trfico 3 = Registro de paquetes 4 = Registro de control Es posible exportar solamente los registros de control, de paquetes, de seguridad, del sistema y de trfico.
archivo_de_salida es el nombre de ruta y el nombre del archivo asignados al archivo exportado. Devuelve 0, -2, -5. smc -runhi Si Symantec Network Access Control est instalado, ejecuta una comprobacin de integridad del host. Devuelve 0. smc -showgui Muestra la interfaz de usuario del cliente de Symantec Endpoint Protection o Symantec Network Access Control. Devuelve 0. smc -updateconfig Comprueba si el archivo de polticas del servidor de administracin es ms reciente que el archivo de polticas del cliente. Si el archivo de polticas del cliente est desactualizado, updateconfig descarga el archivo de polticas ms reciente y sustituye el existente, que es serdef.dat. Devuelve 0.
753
El cliente ejecuta Windows 2003/XP/Vista y los usuarios son miembros del grupo de administradores de Windows. El cliente ejecuta Windows 2003/XP y los usuarios son miembros del grupo de usuarios avanzados.
Nota: Si el cliente ejecuta Windows Vista y el control de cuentas de usuario est habilitado, el usuario pasa a ser automticamente un miembro del grupo de administradores y de usuarios. Para utilizar los siguientes parmetros, los usuarios deben ser miembros del grupo de administradores solamente. Tabla A-2 Parmetros que los miembros del grupo de administradores pueden utilizar Descripcin
Agrega el contenido de un archivo de polticas al contenido del archivo de polticas actual del cliente. Este comando no sustituye el contenido del archivo de polticas actual. Por lo tanto, es posible implementar el archivo de polticas ms actual sin tener que quitar la configuracin desactualizada de normas de firewall, anlisis antivirus, opciones de seguridad y opciones de la interfaz de usuario. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -importconfig C:\policy\OfficeRules.xml. Devuelve 0, -1, -5, -6. smc -exportconfig Exporta el archivo de polticas del cliente a un archivo .xml. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -exportconfig C:\policy\OfficeRules.xml Devuelve 0, -1, -5, -6.
Parmetro
smc -importconfig
754
Parmetro
smc -importadvrule
Descripcin
Agrega las normas de firewall importadas a la lista del cliente de normas de firewall existentes. Estas normas no sobrescriben las normas existentes. El cliente enumera las normas existentes y las normas importadas, incluso si cada norma tiene el mismo nombre y los mismos parmetros. El cliente debe ejecutarse para importar el contenido del archivo de polticas. Las normas de firewall y del cliente se aplican solamente al cliente cuando se utiliza el control del cliente o el control mixto. El cliente ignora estas normas en el control del servidor. Para importar normas de firewall, usted importa un archivo .sar. Por ejemplo, es posible escribir el siguiente comando: smc -importadvrule C:\config\AllowExplorerRule.sar Se agrega una entrada al registro del sistema despus de importar normas. Devuelve 0, -1, -5, -6.
smc -exportadvrule
Exporta las normas de firewall del cliente a un archivo .sar. Las normas de clientes se aplican solamente al cliente cuando se utiliza el control del cliente o el control mixto. El cliente ignora estas normas en el control del servidor. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -exportadvrule C:\config\AllowExplorerRule.sar Devuelve 0, -1, -5, -6.
smc -start
Inicia el servicio del cliente de Symantec Endpoint Protection o Symantec Network Access Control. Devuelve 0, -1.
smc -stop
Detiene el servicio del cliente de Symantec Endpoint Protection o Symantec Network Access Control y lo descarga de la memoria. Devuelve 0, -1.
Cuando importe archivos de polticas y normas de firewall, recuerde que se aplican las siguientes normas:
755
No es posible importar archivos de polticas o de normas de firewall directamente desde una unidad de red asignada. El cliente no admite rutas UNC (convencin de nomenclatura universal).
Cdigos de error
El cliente registra los cdigos de error del comando smc en el registro del sistema. La Tabla A-3 muestra los cdigos de error que el comando smc devuelve cuando los parmetros obligatorios faltan o no son vlidos. Tabla A-3 Cdigo de error
0 -1
-2
-3 -4 -5
El servicio del cliente smc no est instalado. El servicio del cliente smc no se est ejecutando. Archivo de entrada no vlido. Por ejemplo, los parmetros importconfig, exportconfig, updateconfig, importadv, exportadvrule y exportlog necesitan el nombre de ruta y el nombre de archivo correctos.
-6
El archivo de entrada no existe. Por ejemplo, los parmetros importconfig, updateconfig y importadvrule necesitan el nombre de ruta, el nombre de archivo de polticas (.xml) o el nombre de archivo de las normas de firewall (.sar) correctos.
756
-stop
El cliente pide una contrasea antes de que usted o el usuario detengan el cliente. El cliente pide una contrasea antes de que pueda importar el archivo de polticas. El cliente pide una contrasea antes de que pueda exportar el archivo de polticas.
-importconfig
-exportconfig
Ver "Proteger el cliente con contrasea" en la pgina 161. Nota: La contrasea se limita a 15 caracteres o menos. Para escribir un parmetro si el cliente est protegido con contrasea
1 2 3
En el equipo cliente, en la barra de tareas, haga clic en Inicio > Ejecutar. En el cuadro de dilogo Ejecutar, escriba cmd. En el smbolo del sistema de MS-DOS de Windows, escriba una de las siguientes opciones:
smc -parmetro-p contrasea smc contrasea-parmetro-p
Donde:
parmetro es -stop, -importconfig o -exportconfig. contrasea es la contrasea que usted especific en la consola.
ndice
A
activadores adaptador de red 531 aplicacin 528 host 529 normas de firewall 527 servicio de red 530 activadores de hosts normas de firewall 529 activadores de la aplicacin normas de firewall 528 actualizacin de clientes 120 actualizacin de clientes en uno o ms grupos 121 adaptadores. Ver adaptadores de red adaptadores de red activadores 531 adicin a la lista predeterminada 571 adicin a una norma 572 edicin y eliminacin 573 agrupacin 336 amenazas 261, 524 Ver tambin Proteccin contra amenazas de red Ver tambin Proteccin proactiva contra amenazas combinadas 456 amenazas combinadas 456 Anlisis informes 203 registros 226 anlisis 464 Ver tambin anlisis programados acerca de 459 antivirus y contra software espa excepciones centralizadas para 645 antivirus y software espa 478 asignacin de acciones 471 Auto-Protect 460 detenido 519 ejecucin manual 517 exclusin de archivos en los anlisis 470 extensiones de archivo recomendadas 468
informes 264 interrumpido 518 opciones avanzadas para anlisis definidos por el administrador 520 opciones de progreso del anlisis 518 pospuesto 519 registros 264 seleccin de archivos y carpetas para analizar 466 visualizacin de mensaje de aviso en el cliente 483 anlisis de amenazas proactivo 584 acciones 595 administracin de detecciones 593 deteccin forzada 592 excepciones centralizadas 591 nivel de sensibilidad 595 anlisis de amenazas proactivos aplicaciones comerciales 596 configuracin predeterminada 584 configuracin predeterminada de Symantec 584 Cuarentena 590 deteccin de procesos 585 envo de informacin a Symantec 485 excepciones centralizadas 645, 650 falsos positivos 587 forzar una deteccin 652 frecuencia 596 notificaciones 597 omitir procesos 590 procesos 594 anlisis definidos por el administrador 511 Ver tambin anlisis manuales Ver tambin anlisis programados anlisis manuales configuracin 516 ejecucin 517 opciones avanzadas 520 opciones de progreso del anlisis 518 anlisis programados 464 Ver tambin anlisis acerca de 464
758
ndice
agregar a una poltica 512 Consider reformatting to remove the commas--franedicin, eliminacin o deshabilitacin 515 guardar como plantilla 512 opciones avanzadas 520 opciones cuando no se realiza 514 opciones de progreso del anlisis 518 API de aplicacin universal 731 aplicaciones 575 Ver tambin aplicaciones aprendidas adicin a una norma 574 autorizar 635 bsqueda 442, 575 definicin 574 lista de excepciones 636 opciones en requisitos de integridad del host 688 restauracin para integridad del host 700 supervisin de aplicaciones de red 579 aplicaciones aprendidas 575 Ver tambin aplicaciones acerca de 439 bsqueda 442 guardado de resultados de la bsqueda 444 habilitacin 440441 lista 575 aplicaciones de publicidad no deseada 457 archivo de almacn de claves JKS 309 archivo del almacn de claves PKCS12 310 archivos exclusin del anlisis 470 opciones en requisitos de integridad del host 688 restauracin para integridad del host 700 archivos de definiciones analizar despus de actualizar 466 configurar acciones ante nuevas definiciones 492 exhibicin de advertencia de desactualizacin o ausencia 476 Archivos MSI 129 Archivos MSP 129 archivos sospechosos 453 asistente para la configuracin de normas 539 Asistente para la configuracin del servidor de administracin 316 ataques bloqueo 524, 553 firmas 547 ataques de da cero 584
auditora informe 194 registro 222 autenticacin certificado 309 host 714 nivel de usuario 716 reautenticacin 730 autenticacin 802.1x acerca de 727 configuracin 730 Autenticacin IEEE 802.1x acerca de 727 opciones 727 Auto-Protect anlisis 460 anlisis y bloqueo de riesgos de seguridad 497 configuracin 493 configuracin de opciones de notificacin 503 configurar notificaciones de progreso 510 Lotus Notes 502 Microsoft Outlook 501 opciones avanzadas de anlisis y supervisin 497 para correo electrnico de Internet 499 para el sistema de archivos configuracin 495 habilitacin 494 tipos de 494 visualizar resultados en equipos infectados 505 Auto-Protect para correo electrnico de Internet 499 Auto-Protect para el sistema de archivos. Ver Auto-Protect
B
balanceo de carga 424 base de datos administracin integrada 315 MS SQL 315 Asistente para la configuracin del servidor de administracin 316 cambio de los parmetros de tiempo de espera 343 copia de respaldo 317 automtica 319, 326 copias de respaldo manuales 319 edicin descripcin 329
ndice
759
nombre 329 errores 343 errores CGI 343 errores de proceso terminados 343 integrada convencin de nomenclatura 316 reconfiguracin 318 mantenimiento 341342 MS SQL archivo bcp.exe 331 convenciones de nomenclatura 316 reconfiguracin 318 programar copia de respaldo automtica 326 reconfiguracin integrada 332 restaurar acerca de 318 paso 327 tamao 317 Utilidad Symantec Database Backup and Restore 316 volver a configurar MS SQL 330 Bases de conocimientos 450 bibliotecas. Ver firmas IPS bloquear equipos atacantes 553 bloqueo automtico 553 bloqueos en polticas antivirus y contra software espa 453 bots 456 bots de Internet 456 Buscador de riesgos 498 bloquear direcciones IP 499
C
Caballos de Troya 456, 579 candados iconos de candado 154 carpetas anlisis de seleccin 480 categora de riesgo Otros 458 Centro de Seguridad de Windows 474 alertas 475 tiempo de caducidad para las definiciones 476 Centro de seguridad de Windows deshabilitacin 474 certificado actualizacin 310
archivo de almacn de claves JKS 309 archivo del almacn de claves PKCS12 310 certificado y archivo de clave privada (formato DER y PEM) 310 digital 309 servidor 309 cifrado 309 cliente 354 Ver tambin replicacin actualizaciones Intelligent Updater 137 comandos 751 comunicacin con los mdulos de Enforcer 717 desconectado 271 eliminacin de paquetes de actualizacin 122 interfaz de usuario acceso a 153 configuracin 155, 159 configurar 154 mensajes cuando se bloquea 740 normas 534 proteccin mediante contrasea 161 registro de control 602 replicacin de paquetes 354 riesgos herramientas de distribucin de otro fabricante 138 Cliente de aplicacin de Symantec 734 clientes de versiones anteriores Polticas antivirus y contra software espa para 453 clientes desconectados 271 clientes no administrados distribucin de actualizaciones con herramientas de otro fabricante 142 cdigos de error 755 comando smc acerca de 751 cdigos de error 755 comandos cliente 751 ejecutar de registros 235 comprobaciones de integridad del host cambios de polticas 670 cundo ejecutar 669 despus de un error 672 forzar la aprobacin 675 mensajes 673 registro de detalles 672
760
ndice
registro detallado 672 retencin de resultados 671 Comprobaciones de la integridad del host Mdulos de Enforcer y 715 condiciones agregar a los requisitos 683684 configuracin administrada bloquear y desbloquear 154 configuracin de ocultacin 546 Conjunto de normas de control de aplicaciones configuracin de prioridades 613 modos 612613 conmutacin por error 424 consola administracin de Enforcer 734, 736 pgina Servidores 734 registros de Enforcer 748 visualizar informacin de Enforcer 737 consola de administracin. Ver consola Control de admisin de red de Cisco 731 control de aplicaciones y dispositivos conjuntos de normas 602 creacin de polticas personalizadas 613 informes 193, 253 registros 222, 253, 602 control de clientes 156 control de nivel de aplicaciones 602 control de nivel de dispositivos control de aplicaciones y dispositivos 603 informes 193 control de servidores 156 control mixto 157 acerca de 158 configuracin de opciones de proteccin contra amenazas de red 565 copia de respaldo Base de datos de Microsoft SQL 317 Base de datos de Microsoft SQL con el asistente MS SQL 321 base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager 321 base de datos integrada 317 base de datos integrada desde la consola de Symantec Endpoint Protection Manager 325 Cuarentena acerca de 454 administrar elementos 454 borrar archivos 236
cuarentena directorio local 488 envo de elementos a Symantec 491 opciones 488 opciones de limpieza 489 remisin de elementos a la Cuarentena central 491 cumplimiento informes 194, 254, 743 registros 223, 254, 744
D
Declaracin de condicin IF 684 DHCP Enforcer . Ver mdulos de Enforcer distribucin de contenido de otro fabricante acerca de 138 en equipos cliente administrados 139 habilitacin con una poltica de LiveUpdate 139 requisito de la clave del registro para no clientes no administrados 142 uso con clientes no administrados 142 dominios acerca de 70 administracin 71 visualizacin 70 visualizacin de grupos 70
E
elaboracin de informes Preferencias de la pgina principal 184 registros 219 Symantec Endpoint Protection pgina principal 171 Symantec Network Access Control pgina principal 181 envo de informacin de amenazas a Symantec 485 envos 486 configuracin de opciones 487 envo al servidor de Cuarentena central 491 envo de elementos a Symantec 491 envo de informacin a Symantec 485 equipos infectados visualizar resultados de Auto-Protect en 505 errores CGI base de datos 343 errores de proceso terminados base de datos 343
ndice
761
estado del equipo informes 195, 256 registros 224, 256 eventos acerca de 167 agrupacin 336, 338 mantenimiento de la base de datos opciones 342 excepciones 551, 643 Ver tambin excepciones centralizadas firmas IPS 551 excepciones centralizadas 643 Ver tambin Polticas de excepciones centralizadas archivos 649 carpetas 649 Eventos de Proteccin contra intervenciones 656 eventos de proteccin proactiva contra amenazas 655 extensiones 650 forzar una deteccin de anlisis de amenazas proactivo 652 para anlisis antivirus y contra software espa 645 para anlisis de amenazas proactivos 591, 645, 650 para procesos detectados 651 Proteccin contra intervenciones 646, 652 riesgos de seguridad conocidos 648 sucesos de riesgos 654 excepciones de IPS 551 exclusiones. Ver excepciones centralizadas exportacin lista de servidores de administracin 434 normas de firewall 542 opciones de grupo de Enforcer 739 paquetes de instalacin de clientes 118 polticas 411412 Polticas de control de aplicaciones y dispositivos 621 Polticas de integridad del host 708 requisitos de poltica de integridad del host 679 extensiones anlisis de seleccin 479
filtros de trfico inteligentes 545 firewall acerca de 524525 configuracin del trfico 546 notificaciones 577 requisitos de integridad del host 687 firmas. Ver firmas IPS firmas IPS personalizadas acerca de 548 asignacin de bibliotecas a un grupo 558 bibliotecas 556, 558 copiado y pegado 559 creacin 556 crear una biblioteca 556 importacin 555 modificar el orden 559 variables 560 Symantec acerca de 548 excepciones 551 modificacin del comportamiento 551 formato DER y PEM 310
G
Gateway Enforcer . Ver mdulos de Enforcer grupo principal. Ver herencia grupos acerca de 70 asignacin de lista de servidores de administracin 429 especificacin de una lista de servidores de administracin 425 visualizacin 70 grupos de hosts adicin a una norma 568 creacin 566 edicin 567 eliminacin 567 gusanos 456
H
herencia deshabilitacin 377 habilitacin 376 normas de firewall 533, 541 poltica 375 anulacin 376
F
falsos positivos 549, 587 reduccin al mnimo 556 filtros 232
762
ndice
ubicacin 375 anulacin 376 herencia de grupo. Ver herencia herencia de ubicacin 375 herramientas de piratera 457 historial Polticas de control de aplicaciones y dispositivos 624 hosts adicin a una norma 568 equipo local y remoto 529530 exclusin de la prevencin de intrusiones 554 origen y destino 529 hosts excluidos 554 huellas digitales de archivos 630
I
iconos candado 154 iconos de candado 154 IEEE 802.1x configuracin 726 importacin archivos de polticas limitaciones 754 informacin de usuario desde bsqueda del servidor de directorios LDAP 295 informacin de usuario desde un servidor LDAP 292 lista de servidores de administracin 435 normas de firewall 542 limitaciones 754 opciones de grupo de Enforcer 739 polticas 413 Polticas de integridad del host 709 requisitos de poltica de integridad del host 679 plantillas y 679 unidades organizativas 296 Informes aspectos importantes 206 conceptos bsicos 165 informes 214 Ver tambin Informes programados almacenamiento 213 almacenamiento de las opciones de configuracin 212 Anlisis 203 anlisis 264 auditora 194, 254
configurar los filtros 166 control de aplicaciones 193 control de aplicaciones y dispositivos 253 control de dispositivos 193 cumplimiento 194, 254, 743 descripcin general 165 eliminacin de las opciones de configuracin 212 estado del equipo 195, 256 filtro ltimas 24 horas 187 Impresin 213 mdulos de Enforcer acerca de 743 Proteccin contra amenazas de red 198, 259 Proteccin proactiva contra amenazas 261 rpidos 192 Riesgo 200 Riesgos 263 Sistema 204, 265 sistema 743 tipos 165 Informes favoritos Symantec Endpoint Protection personalizacin 178 informes programados 214 Ver tambin informes acerca de 214 creacin 215 eliminacin 217 modificacin 215 informes rpidos configuracin bsica de filtro 208 creacin 211 inspeccin. Ver inspeccin de estado inspeccin de estado acerca de 535 creacin de normas de trfico 535 instrucciones IF THEN 683 instrucciones THEN 684 Integridad del host acerca de 64 interfaz de usuario acerca de 153 configuracin 155, 159 configurar 154 IPv4 569 IPv6 569
ndice
763
L
LAN Enforcer . Ver mdulos de Enforcer lista de dispositivos de hardware administracin 615 lista de servidores de administracin acerca de 424 adicin 427 asignacin a grupo y ubicacin 429 balanceo de carga 424 conmutacin por error 424 copiado 434 edicin descripciones 430 direcciones IP 430 nombres de host 430 nombres de servidor 430 nmeros de puerto 431 protocolos HTTP 431 protocolos HTTPS 431 eliminacin 435 direcciones IP 436 nombres de host 436 prioridades 436 especificacin para un grupo 425 exportacin 434 importacin 435 lista predeterminada 425 pegado 434 reasignacin direcciones IP 433 nombres de host 433 prioridades 433 reemplazo 433 visualizacin de grupos y ubicaciones asignados 426 LiveUpdate actualizar definiciones y contenido 123 Administrador de LiveUpdate 129 archivos MSI y MSP 129 arquitecturas distribucin de redes 124 configuracin de un sitio para descargar actualizaciones 129 configurar poltica de configuracin 132 un proveedor de actualizaciones grupales 135 una poltica del contenido 133 firmas y definiciones 128
modificar las polticas de contenido aplicadas a los grupos 135 opciones avanzadas de distribucin 137 opciones de la distribucin de otro fabricante 126 polticas acerca de 131 configurar 132133 tipos de actualizaciones 128 usar con la replicacin 129 uso de las herramientas de distribucin de otro fabricante en lugar del 138
M
manuales, anlisis. Ver anlisis manuales marcadores 457 mensaje de aviso adicin a mensaje de correo infectado 506 ejemplo 483 visualizacin en equipos infectados 483 mensajes Enforcer 740 modificacin 741 visualizacin 741 opciones de cuadro en requisitos de integridad del host 698 registro en requisitos de integridad del host 697 mensajes de correo electrnico 499, 508 Ver tambin Auto-Protect para correo electrnico de Internet Ver tambin mensajes de correo electrnico infectados para normas de firewall 578 mensajes de correo electrnico infectados adicin de advertencia a 506 notificacin a otros usuarios 508 notificacin de remitentes 507 mensajes de notificacin para anlisis antivirus y de software espa 483 Modo de produccin 612613 Modo de prueba 612613 modo transparente 726 modos 612613 mdulos de Enforcer acerca de 714 clientes comunicacin con 717 configuracin del cliente 742 conmutacin por error 715, 735
764
ndice
consola administracin 734 limitaciones 736 DHCP 715 acerca de 719 conmutacin por error 735 eliminacin 739 Gateway 714 acerca de 718 conmutacin por error 735 funciones 718 Registro de trfico 746 grupos 735 creacin 736 exportacin de opciones 739 importacin de opciones 739 modificacin 736 modificacin del nombre 736 informacin verificada 716 informes 743 LAN 715 autenticacin 802.1x 727 configuracin 726 conmutacin por error 736 modo transparente 726 modificacin de la descripcin 738 modificacin de nombre 738 otros proveedores 731 registro Cliente 745 Registro de actividades 747 Registro de servidores 744 Registro de trfico 746 registros acerca de 744 configuracin 748 deshabilitacin 748 envo a la consola 748 filtrado 749 retencin 749 tamao 749 restauracin de integridad del host 703 restriccin de interrupciones del cliente 742 servidor de administracin comunicacin con 716 tipos 714 valores 734 varios 715 motores IPS 547 basado en paquete 549
N
niveles de control 155 niveles de control del usuario 155 nodos ELSE 684 nombre de archivo especificacin 689 normas. Ver normas de firewall normas de firewall acciones 528 acerca de 527, 534 activadores 527 activadores de adaptador de red 531 activadores de servicio de red 530 adaptadores de red adicin 571572 edicin y eliminacin 573 adicin mediante el asistente 539 usar norma vaca 537 aplicaciones 528 adicin 574 cliente 534 condiciones 527 copiar 543 deshabilitacin 544 edicin 542 elementos 527 eliminacin 542 exportacin 542 grupos de hosts adicin 568 creacin 566 edicin y eliminacin 567 habilitacin 544 herencia 533, 541 hosts 529 importacin 542 limitaciones 754 lista 533 mensajes de correo electrnico 578 modificar el orden 544 orden de procesamiento 532 modificacin 544 pegar 543
ndice
765
programaciones adicin 575 servicios de red adicin 569, 571 edicin y eliminacin 570 servidor 534 normas vacas 537 notificaciones anlisis de amenazas proactivo 597 opciones de Auto-Protect 503 Proteccin contra amenazas de red 576 registro 226
O
opciones firewall 526, 546 Proteccin contra amenazas de red 565 opciones administradas configurar en el cliente 153 opciones bloqueadas y desbloqueadas cliente 154 opciones contra software espa requisitos de integridad del host 686 opciones de antivirus requisitos de integridad del host 685 opciones de arquitectura de redes para la administracin de otro fabricante de actualizaciones 126 para LiveUpdate y la distribucin del contenido 124 opciones de espera ejecucin de script de integridad del host 699 reparacin de integridad del host 700 opciones de registro requisitos de integridad del host 693 opciones del sistema operativo requisitos de integridad del host 690
P
pgina principal Symantec Endpoint Protection acerca de 171 personalizacin 178 utilizacin 172 vnculos de Security Response 179 Symantec Network Access Control acerca de 181 utilizacin 181
paquetes de instalacin de clientes acerca de 115 adicin 120 adicin de actualizaciones 120 configuracin 116117 exportacin 118 recopilacin de informacin de usuarios 117 parmetros de tiempo de espera base de datos 343 PC-cillin 528 plan para ataques de virus 448 plantillas para anlisis programados 512 requisitos de integridad del host importacin 679 poltica 397 Ver tambin LiveUpdate Ver tambin normas de firewall Ver tambin polticas antivirus y contra software espa Ver tambin Polticas de control de aplicaciones y dispositivos Ver tambin Polticas de excepciones centralizadas Ver tambin Polticas de firewall Ver tambin Polticas de integridad del host Ver tambin Prevencin de intrusiones acerca de 365, 397 adicin de polticas no compartidas desde exportado 404 pgina Clientes 400, 402 agregar compartida desde una carpeta compartida existente 403 pgina Poltica 399 asignar compartida 408 compartida 368 convertir compartidas en no compartidas 612 edicin de polticas compartidas pgina Clientes 406 pgina Polticas 405 edicin de polticas no compartidas pgina Clientes 406 ejemplo 373 eliminar compartida pgina Clientes 410 pgina Poltica 409 eliminar no compartida pgina Clientes 410
766
ndice
exportar compartida pgina Clientes 412 pgina Polticas 411 exportar no compartida pgina Clientes 412 herencia 375 importacin de archivos de polticas 754 importacin de poltica compartida pgina Clientes 413 pgina Polticas 413 importacin de poltica no compartida pgina Clientes 413 LiveUpdate 131 no compartida 368 predeterminada 366 retirar poltica compartida 415 retirar poltica no compartida 415 poltica compartida. Ver poltica poltica no compartida. Ver poltica poltica predeterminada 366 Polticas antivirus y contra software espa acerca de 452 trabajar con 455 polticas antivirus y contra software espa administrar la interaccin del cliente 473 anlisis programados 512 bloquear configuracin 453 clientes de versiones anteriores 453 configurar la gestin de registros 472 configurar opciones del Centro de Seguridad de Windows 474 opciones de envo 485 poltica predeterminada 452 Polticas de control de aplicaciones y dispositivos administracin 616 asignacin 611 copiado 619 creacin 605 edicin 617 eliminacin 623 estructura 600 exportacin 621 importacin 622 normas deshabilitacin 614 prioridades 613 personalizacin 604 predeterminada 604 reemplazo 618
retirar 622 tipos de controles 600 trabajar con 603 ver el historial de cambios 624 Polticas de excepciones centralizadas 643 Ver tambin excepciones centralizadas configuracin 646 crear excepciones de eventos de registro 654 excepciones para los anlisis de amenazas proactivos 650 interaccin del cliente 646 para anlisis antivirus y contra software espa 647 restricciones de clientes 653 trabajar con 644 Polticas de firewall acerca de 525526 Polticas de integridad del host 659 alternar 707 aplicar 704 copiado 707 creacin 664 compartido 665 especficas de una ubicacin 667 edicin 705 eliminacin 710 exportacin 708 historial de cambios 711 importacin 709 Mdulos de Enforcer y 715 predeterminada 668 reemplazo 706 requisitos adicin 676 aprobacin incluso cuando una condicin no se cumple 675 comprobacin de la marca de hora 697 copiado 678 definicin 675 deshabilitacin 677 edicin 676 editor 683 ejemplo 661 eliminacin 676 habilitacin 677 importacin 679 opcin de espera 699 opcin de registro de mensaje 697 opciones contra software espa 686
ndice
767
opciones de antivirus 685 opciones de archivo 688 opciones de cuadro de mensaje 698 opciones de ejecucin de programa 695 opciones de ejecucin de script 696 opciones de firewall 687 opciones de registro 693 opciones del sistema operativo 690 pegado 678 personalizadas 684 personalizados 681, 683, 685691, 693 planificacin 663 plantillas 666 predefinidos 680 secuencia 678 tipos 660 restauracin de integridad del host 700 configuracin de Enforcer 703 posposicin 701 retirar 710 supresin 710 valores 669 ver 705 ver el historial de cambios 711 Polticas de proteccin de acceso 64 preferencias elaboracin de informes 184 prevencin de intrusiones acerca de 524, 547 bloquear equipos atacantes 553 configuracin 549 deshabilitar en los equipos especificados 554 habilitacin 550 notificaciones 577 prioridades de normas Polticas de control de aplicaciones y dispositivos 613 Productos de Symantec exclusiones automticas 463 programacin copia de respaldo automtica de base de datos 326 copia de respaldo cuando sea necesaria de la base de datos integrada 325 copia de respaldo manual de base de datos de Microsoft SQL 321 copia de respaldo manual de la base de datos con el Asistente para el mantenimiento de bases de datos Microsoft SQL 321
programaciones adicin a una norma 575 programas broma 458 programas de acceso remoto 458 Programas de seguimiento 459 Proteccin antivirus y contra software espa bloquear y desbloquear funciones 154 conceptos bsicos 448 Proteccin contra amenazas de red configuracin para el control mixto 565 creacin de notificaciones 576 descripcin general 524 deshabilitacin 564 habilitacin 564 informes 198, 259 registros 225, 259 Proteccin contra intervenciones administracin 357 bloquear y desbloquear funciones 154 excepciones centralizadas 646, 652 mensajes 359 proteccin mediante contrasea anlisis de unidades asignadas 473 cambio de contrasea 473 cliente 161, 742 mdulos de Enforcer 742 parmetros 755 Proteccin proactiva contra amenazas acerca de 64 informes 261 registros 225, 261 proteccin proactiva contra amenazas 584 protocolo LDAP 292 protocolo HTTP 427 protocolo HTTPS 427 Protocolo LDAP 292 protocolos adicin 569 adicin a una norma 571 edicin y eliminacin 570 HTTP 427 HTTPS 309, 427 Proveedor de actualizaciones grupales configurar una poltica de configuracin 135 puertos y comunicaciones 135 proxy RADIUS 715
768
ndice
R
reautenticacin 730 reconfiguracin base de datos de Microsoft SQL 318 base de datos integrada 318, 332 registro externo 239 registros 219, 254 acceso remoto 231 acerca de 168 actualizacin 230 administracin 341 almacenamiento 334 Anlisis 226 anlisis 264 auditora 222 borrar de base de datos 335 cliente configuracin de tamao 338 control de aplicaciones y dispositivos 222, 253 cumplimiento 223, 254, 744 detalles de eventos 230 ejecutar comandos de 235 eliminar opciones de configuracin 233 errores de la base de datos 229 estado del equipo 224, 256 exportacin de datos 239 filtrado 232 filtro ltimas 24 horas 232 guardar configuraciones de filtro 232 mantenimiento de la base de datos opciones 342 mdulos de Enforcer 744 Actividad 747 Cliente 745 configuracin 748 deshabilitacin 748 envo a la consola 748 filtrado 749 retencin 749 Servidor 744 tamao 749 Trfico 746 Notificaciones 226 Proteccin contra amenazas de red 225, 259 Proteccin proactiva contra amenazas 225, 261 registro de control de clientes 602 replicar 231 riesgo eliminar archivos de Cuarentena 236
Riesgos 225, 263 servidor configuracin de tamao 336 Sistema 226, 265, 755 tipos 220 ver remotamente 231 visualizacin 229 registros de eventos 229 filtro ltimas 24 horas 187, 232 registros e informes de firewall. Ver Proteccin contra amenazas de red reparacin Integridad del host 700 aplicaciones 700 archivos 700 cancelacin 700 posposicin 701 tiempo de espera 700 replicacin agregar asociado de replicacin 350 combinacin de datos 349 configuracin inicial 350 posterior a la instalacin 350 desconexin de asociado de replicacin 352 descripcin general 345 ejemplo 348 ejemplo ilustrado 347 frecuencia 353 LiveUpdate y 129 opciones de comunicacin 348 paquete de clientes 354 registros 355 respuesta activa configuracin 553 restauracin Base de datos de Microsoft SQL 318 base de datos integrada 318 retirar poltica compartida 415 poltica no compartida 415 Polticas de control de aplicaciones y dispositivos 622 riesgo 455 Ver tambin riesgos de seguridad deteccin 455 eliminacin 267 informes 200, 263
ndice
769
registros 225, 263 eliminar archivos de Cuarentena 236 riesgos de seguridad 455 Ver tambin riesgo acciones 453 configuracin de acciones 481 omitir durante el anlisis 481 proceso que contina descargando 462 sobre las acciones para 471 rootkits 455
S
servicios adicin 569 adicin a una norma 571 edicin y eliminacin 570 servicios de red activadores 530 adicin a la lista predeterminada 569 adicin a una norma 571 edicin 570 eliminacin 570 servidor adicin de servidor de directorios 290 directorio 289 normas 534 Proxy FTP 301 Proxy HTTP 301 registros 336 servidor de administracin comunicacin con los mdulos de Enforcer 716 servidor de directorios LDAP importacin de informacin de usuario al servidor de administracin 292 Servidor de Microsoft Exchange exclusiones automticas 462 servidor proxy FTP 301 HTTP 301 Servidor proxy FTP 301 Servidor proxy HTTP 301 servidores de directorios activos 289 adicin 290 LDAP 289 sincronizacin 291 servidores de directorios activos 289 filtro 290
servidores de directorios LDAP 289 bsqueda de usuarios 292 filtro 290 importacin informacin de usuario desde una bsqueda del servidor de directorios LDAP 295 unidades organizativas 296 sincronizacin servidores de directorios 291 unidades organizativas 297 Sistema informes 204, 265 registros 226, 265 cdigos de error del comando smc 755 sistema informes 743 Sitio Web de Security Response Symantec Endpoint Protection acceso desde pgina principal 179 software espa 458 supervisin de aplicaciones de red 579 Symantec Security Response 450 envos 486
T
tasas de deteccin envo de informacin a Symantec 486 trfico habilitar trfico inteligente 545 opciones 546 Trfico DHCP 545 Trfico DNS 545 Trfico ICMP 536 Trfico TCP 536 Trfico UDP 536 Trfico WINS 545 TrendMicro PC-cillin 528
U
unidades organizativas importacin 296 sincronizacin 297 URL especificar la pgina principal del navegador 478 que aparece en notificaciones de error 477 Utilidad Symantec Database Backup and Restore 316
770
ndice
V
variables en firmas 560 virus 455456 acciones 453 configuracin de acciones 481 sobre las acciones para 471 volver a configurar Base de datos de Microsoft SQL 330
W
Windows Vista 555