Administration Guide PDF

Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control
Symantec Endpoint Protection y Symantec Network Access Control

El software que se describe en este manual se suministra con acuerdo de licencia y slo puede utilizarse segn los trminos de dicho acuerdo. Documentacin versin 11.00.02.01.00
Aviso legal
Copyright 2008 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton y TruScan son marcas comerciales o marcas registradas de Symantec Corporation o de sus afiliados en los EE. UU. y en otros pases. Otros nombres pueden ser marcas comerciales de sus respectivos propietarios. Este producto de Symantec puede contener software de otros fabricantes para el cual Symantec est obligado a reconocer a estos terceros (Programas de terceros). Algunos de los programas de otros fabricantes estn disponibles mediante licencias de cdigo abierto o software gratuito. El acuerdo de licencia que acompaa el software no altera ningn derecho u obligacin que pueda tener en virtud de esas licencias de cdigo abierto o software gratuito. Para obtener ms informacin sobre los Programas de otros fabricantes, consulte el apndice de esta documentacin Aviso legal sobre otros fabricantes, o bien el archivo Lame TPIP que acompaa este producto de Symantec. El producto descrito en este documento se distribuye de acuerdo con licencias que restringen su uso, copia, distribucin y descompilacin o ingeniera inversa. Est prohibido reproducir cualquier parte de este documento de cualquier forma y mediante cualquier medio sin autorizacin previa por escrito de Symantec Corporation y de los responsables de conceder sus licencias, de haberlos. LA DOCUMENTACIN SE PROPORCIONA TAL CUAL Y NO SE OFRECE NINGN TIPO DE GARANTA EN RELACIN CON CONDICIONES EXPRESAS O IMPLCITAS, REPRESENTACIONES Y GARANTAS, INCLUSO GARANTAS IMPLCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO VIOLACIN DE DERECHOS, EXCEPTO QUE SE CONSIDERE QUE DICHA NEGACIN CARECE DE VALIDEZ LEGAL. SYMANTEC CORPORATION NO SER RESPONSABLE DE DAOS INCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIN. LA INFORMACIN INCLUIDA EN ESTA DOCUMENTACIN EST SUJETA A CAMBIOS SIN PREVIO AVISO. El Software y la Documentacin con licencia se consideran programas informticos comerciales segn lo definido en la seccin 12.212 de la normativa de adquisiciones de la Administracin Federal de los EE. UU. (FAR) y conforme a derechos restringidos segn lo definido en la seccin 52.227-19 de la FAR sobre derechos restringidos de los programas informticos comerciales, y en la seccin 227.7202 de la normativa de adquisiciones de la Defensa de la Administracin Federal de los EE. UU. (DFARS), sobre los derechos de los programas informticos comerciales y la documentacin de programas informticos
comerciales, segn corresponda, y cualquier normativa siguiente. Cualquier uso, modificacin, versin de reproduccin, rendimiento, visualizacin o divulgacin del Software y de la Documentacin con licencia por parte del Gobierno de los EE. UU. se realizar exclusivamente de acuerdo con los trminos de este acuerdo. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com.mx
Soluciones de Servicio y Soporte

Symantec tiene como objetivo ofrecer el mejor servicio en todo el mundo. Nuestra meta es ofrecerle ayuda profesional para la utilizacin de nuestro software y servicios, cualquiera que sea el lugar del mundo en que se encuentre. Las soluciones de Soporte tcnico y Servicio al cliente varan segn el pas. Si tiene alguna pregunta respecto a los servicios que se describen a continuacin, consulte la seccin "Para contactar el Servicio y Soporte mundial" al final de este captulo.
Registro y licencias
Si el producto que est implementando requiere ser registrado y/o una clave de licencia, la manera ms rpida y fcil de registrar su servicio es acceder a nuestro sitio de registro y programas de licenciamiento en www.symantec.com/certificate. Tambin puede ir a http://www.symantec.com/techsupp/ent/enterprise.html, seleccionar el producto que desea registrar y desde la pgina principal del producto, seleccionar el vnculo Registro y licencias. Si ha adquirido una suscripcin de soporte, tiene derecho a recibir asistencia tcnica de Symantec por telfono y por Internet. Cuando se ponga en contacto con el servicio de soporte por primera vez, tenga a mano el nmero de licencia que aparece en su Certificado de licencia o el Id de contacto que se genera al registrar el soporte, para que el personal pueda comprobar su autorizacin de soporte. Si no ha adquirido una suscripcin de soporte, pngase en contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener informacin sobre cmo adquirir soporte tcnico de Symantec.
Actualizaciones de seguridad
Para obtener la informacin ms reciente sobre las ltimas amenazas de seguridad y de virus, vaya al sitio Web de Symantec Security Response (antes conocido como SARC) en: http://www.symantec.com/region/mx/avcenter/. Este sitio contiene extensa informacin sobre amenazas de seguridad y de virus, as como las ltimas definiciones de virus. Las definiciones tambin pueden descargarse utilizando la funcin LiveUpdate de su producto.
Renovacin de la suscripcin de actualizaciones antivirus

La adquisicin del servicio de mantenimiento de su producto le da derecho a descargar definiciones de virus gratuitas durante el plazo de validez de su acuerdo de mantenimiento. Si su acuerdo de mantenimiento ha caducado, pngase en
contacto con su distribuidor o con el Servicio de Atencin al Cliente de Symantec para obtener informacin sobre la renovacin del acuerdo.
Los sitios Web de Symantec:

Pgina principal de Symantec (por idioma):
Alemn: http://www.symantec.de Espaol: http://www.symantec.com/region/es Francs: http://www.symantec.fr Ingls: http://www.symantec.com Italiano: http://www.symantec.it Neerlands: http://www.symantec.nl Portugus: http://www.symantec.com/br
Symantec Security Response:
http://securityresponse.symantec.com
Pgina de Servicio y Soporte Empresarial de Symantec:
http://www.symantec.com/region/mx/techsupp/enterprise/index.html
Boletines de noticias de productos:
EE.UU., Pacfico Asitico / ingls: http://www.symantec.com/techsupp/bulletin/index.html Europa, Oriente Medio y frica / ingls: http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Alemn: http://www.symantec.com/region/de/techsupp/bulletin/index.html Francs: http://www.symantec.com/region/fr/techsupp/bulletin/index.html Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html
Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html
Soporte Tcnico
Nuestro grupo de soporte tcnico global, por ser parte integrante de Symantec Security Response, mantiene centros de soporte en todas partes del mundo. Nuestro papel principal es responder a preguntas especficas sobre caractersticas/funciones de los productos, instalaciones y configuracin, adems de elaborar el contenido de nuestra Base de conocimientos accesible por Internet. Trabajamos en colaboracin con las otras reas funcionales de Symantec para responder a sus preguntas oportunamente. Por ejemplo, trabajamos con Ingeniera de productos, as como con nuestros Centros de Investigacin de Seguridad para suministrar Servicios de alerta y actualizaciones de definiciones de virus cuando hay ataques de virus y alertas de seguridad. Nuestros servicios ms importantes incluyen:
Una gama de opciones de soporte que le dan la flexibilidad de poder seleccionar la amplitud de servicio necesaria para una organizacin de cualquier tamao. Componentes de soporte telefnico y de Web que le proporcionan respuestas rpidas y la informacin ms reciente. Actualizaciones de producto que proporcionan proteccin automtica y actualizada de software. Actualizaciones de contenido para definiciones de virus y firmas de seguridad que le garantizan el ms alto nivel de proteccin. Soporte global de los expertos de Symantec Security Response, disponible las 24 horas del da, 7 das por semana, en todo el mundo, en varios idiomas. Funciones avanzadas tales como el Servicio de alertas de Symantec y el rol de Administrador de cuentas tcnico que suministran respuestas mejoradas y soporte de seguridad proactivo.
Consulte nuestro sitio Web para obtener informacin actualizada sobre los programas de soporte. Para contactarnos Los clientes que tienen un acuerdo de soporte vlido pueden ponerse en contacto con el equipo de Soporte Tcnico por telfono, a travs de la Web en la direccin URL a continuacin o utilizando los sitios de soporte regionales que se indican ms adelante en este documento. http://www.symantec.com/region/mx/techsupp/enterprise/index.html Cuando se ponga en contacto con el personal de Soporte Tcnico, asegrese de tener a mano la siguiente informacin:
Nmero de versin del producto Informacin del hardware Memoria disponible, espacio en disco, informacin sobre el NIC (tarjeta interfaz de red) Sistema operativo Versin y nivel de parche Topologa de la red Router, gateway y direccin IP Descripcin del problema Mensajes de error/archivos de registro Soluciones intentadas antes de ponerse en contacto con Symantec Cambios recientes en la configuracin del software y/o cambios en la red
Servicio de Atencin al Cliente de Symantec

El Centro de Servicio de Atencin al Cliente de Symantec puede prestarle ayuda en asuntos no tcnicos, tales como:
Informacin general sobre productos (caractersticas, idiomas disponibles, distribuidores en su rea, etc.). Solucin de problemas bsicos, tales como comprobar el nmero de versin del producto. Informacin ms reciente sobre actualizaciones y nuevas versiones de productos. Cmo actualizar su producto. Cmo registrar su producto y/o licencias. Informacin sobre los programas de licenciamiento de Symantec. Informacin sobre seguros de actualizacin y contratos de mantenimiento. Reemplazo de CD y manuales. Actualizacin de su registro de producto para reflejar un cambio de nombre o direccin. Consejos sobre las opciones de soporte tcnico de Symantec.
El sitio Web de Servicio y Soporte de Symantec ofrece extensa informacin de servicio al cliente. Esta informacin tambin se puede obtener llamando al Centro de Servicio al cliente de Symantec. Consulte la seccin "Para contactar el Servicio
y Soporte mundial", que aparece al final de este captulo, para obtener el nmero y las direcciones Web del Servicio al cliente de su rea.
Para contactar el Servicio y Soporte mundial

En Europa, Oriente Medio, frica y Amrica Latina.
Sitios Web de Servicio y Soporte de Symantec
Alemn: www.symantec.de/desupport/ Espaol: www.symantec.com/region/mx/techsupp/ Francs: www.symantec.fr/frsupport/ Ingls: www.symantec.com/eusupport/ Italiano: www.symantec.it/itsupport/ Neerlands: www.symantec.nl/nlsupport/ Portugus: www.symantec.com/region/br/techsupp/ Direccin FTP de Symantec:ftp.symantec.com (para descargar notas tcnicas y los ltimos parches)
Visite el Servicio y Soporte de Symantec en la Web para obtener informacin tcnica y no tcnica sobre su producto. Symantec Security Response :
http://www.symantec.com/region/mx/avcenter/
Boletines de noticias de productos:
EE.UU. / ingls: http://www.symantec.com/techsupp/bulletin/index.html Europa, Oriente Medio, frica y Amrica Latina / ingls: http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Alemn: http://www.symantec.com/region/de/techsupp/bulletin/index.html Francs:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html
Servicio de Atencin al Cliente de Symantec Proporciona informacin y consejos no tcnicos por telfono en los siguientes idiomas: ingls, alemn, francs, italiano y espaol.
Alemania + (49) 69 6641 0315 Austria + (43) 1 50 137 5030 Blgica + (32) 2 2750173 Dinamarca + (45) 35 44 57 04 Espaa + (34) 91 7456467 Finlandia + (358) 9 22 906003 Francia + (33) 1 70 20 00 00 Holanda + (31) 20 5040698 Irlanda + (353) 1 811 8093 Italia + (39) 02 48270040 Luxemburgo + (352) 29 84 79 50 30 Noruega + (47) 23 05 33 05 Sudfrica + (27) 11 797 6639
Suecia + (46) 8 579 29007 Suiza + (41) 2 23110001 RU + (44) 20 7744 0367 Otros pases + (353) 1 811 8093 (slo en ingls)
Servicio de Atencin al Cliente de Symantec Direccin postal
Symantec Ltd Customer Service Centre Europa, Oriente Medio y frica (EMEA) PO Box 5689 Dubln 15 Irlanda
En Amrica Latina
Symantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo el mundo. Los servicios varan segn los pases e incluyen socios internacionales, representantes de Symantec en las zonas en que Symantec no tiene una oficina. Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte Symantec de su regin. Argentina
Pte. Roque Saenz Pea 832 - Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentina Central telefnica: +54 (11) 5811-3225 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-333-0306
Venezuela
Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanizacin el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela
Central telefnica: +58 (212) 905-6327 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-1-00-2543 Colombia
Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Central telefnica: +57 (1) 638-6192 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 980-915-5241
Brasil
Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, 920 12 andar So Paulo - SP CEP: 04583-904 Brasil, SA Central telefnica: +55 (11) 5189-6300 Fax: +55 (11) 5189-6210 Sitio Web: http://www.service.symantec.com/br Soporte Gold: 000814-550-4172
Chile
Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Central telefnica: +56 (2) 378-7480 Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 0800-333-0306
Mxico
Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mxico Central telefnica: +52 (55) 5481-2600
Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 001880-232-4615 Resto de Amrica Latina
9155 South Dadeland Blvd. Suite 1100, Miami, FL 33156 U.S.A Sitio Web: http://www.service.symantec.com/mx Soporte Gold: Costa Rica: 800-242-9445 Panama: 800-234-4856 Puerto Rico: 800-232-4615
En el Pacfico Asitico
Symantec proporciona Soporte tcnico y Servicio de Atencin al Cliente en todo el mundo. Los servicios varan segn los pases e incluyen socios internacionales, representantes de Symantec en las zonas en que Symantec no tiene una oficina. Para ms informacin, pngase en contacto con la oficina de Servicio y Soporte Symantec de su regin. Oficinas de Servicio y Soporte AUSTRALIA
Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australia Central telefnica: +61 2 8879 1000 Fax: +61 2 8879 1001 Sitio Web: http://service.symantec.com Soporte Gold: 1800 805 834 gold.au@symantec.com Admin. contratos de soporte: 1800 808 089 contractsadmin@symantec.com
CHINA
Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing 100738 China P.R.C.
Central telefnica: +86 10 8518 3338 Soporte Tcnico: +86 10 8518 6923 Fax: +86 10 8518 6928 Sitio Web: http://www.symantec.com.cn HONG KONG
Symantec Hong Kong Central Plaza Suite #3006 30th Floor, 18 Harbour Road Wanchai Hong Kong Central telefnica: +852 2528 6206 Soporte Tcnico: +852 2528 6206 Fax: +852 2526 2646 Sitio Web: http://www.symantec.com.hk
INDIA
Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai 400051, India Central telefnica: +91 22 652 0658 Soporte Tcnico: +91 22 652 0671 Fax: +91 22 657 0669 Sitio Web: http://www.symantec.com/india
COREA
Symantec Korea 15,16th Floor Dukmyung B/D 170-9 Samsung-Dong KangNam-Gu Seoul 135-741 Corea del Sur Central telefnica: +822 3420 8600 Soporte Tcnico: +822 3452 1610 Fax: +822 3420 8650
Sitio Web: http://www.symantec.co.kr MALASIA
Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A. 47400 Petaling Jaya Selangor Darul Ehsan Malasia Central telefnica: +603 7805 4910 Soporte Tcnico: +603 7804 9280 Correo electrnico empresarial: gold.apac@symantec.com N empresarial gratuito: +1800 805 104 Sitio Web: http://www.symantec.com.my
NUEVA ZELANDA
Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nueva Zelanda Central telefnica: +64 9 375 4100 Fax: +64 9 375 4101 Sitio Web de support: http://service.symantec.co.nz Soporte Gold: 0800 174 045 gold.nz@symantec.com Admin. contratos de soporte: 0800 445 450 contractsadmin@symantec.com
SINGAPUR
Symantec Singapore 6 Battery Road #22-01/02/03 Singapur 049909 Central telefnica: 1800 470 0730 Fax: +65 6239 2001 Soporte Tcnico: 1800 720 7898 Sitio Web: http://www.symantec.com.sg
TAIWN
Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwn Central telefnica: +886 2 8761 5800 Soporte corporativo: +886 2 8761 5800 Fax: +886 2 2742 2838 Soporte Gold: 0800 174 045 gold.nz@symantec.com Sitio Web: http://www.symantec.com.tw
Se ha hecho todo lo posible para que la informacin contenida en este documento est libre de errores. Sin embargo, dicha informacin puede estar sujeta a modificaciones. Symantec Corporation se reserva el derecho de realizar dichas modificaciones sin previo aviso.
Contenido
Soluciones de Servicio y Soporte ..................................................................... 4
Seccin 1
Captulo 1
Tareas administrativas bsicas .......................... 39

Descripcin general de Symantec Endpoint Protection Manager ...................................................... 41
Acerca de las tareas administrativas ................................................ Iniciar sesin en Symantec Endpoint Protection Manager .................... Cmo se organiza la Consola de Symantec Endpoint Protection Manager ............................................................................... La pgina Principal ................................................................. La pgina Supervisin ............................................................. La pgina Informes ................................................................. La pgina Polticas ................................................................. La pgina Clientes .................................................................. La pgina Administrador ......................................................... 41 43 46 48 50 50 51 52 55
Captulo 2
Introduccin a la proteccin bsica ................................ 57

Categoras de proteccin ............................................................... Acerca de la proteccin antivirus y contra software espa .............. Acerca de la proteccin contra amenazas de red ........................... Acerca de la proteccin proactiva contra amenazas ...................... Acerca de la integridad del host y el cumplimiento de polticas de punto final .................................................................. 57 58 59 60 60
Captulo 3
Configurar dominios, grupos y clientes .......................... 63

Acerca de su topologa de seguridad ................................................ Acerca de la estructura de grupo ..................................................... Acerca de los dominios ............................................................ Acerca de los grupos ............................................................... Acerca de los clientes .............................................................. Acerca de importar la estructura de organizacin .............................. Adicin de un dominio .................................................................. Administrar un dominio ................................................................ 64 64 65 65 68 69 70 70
18
Contenido
Agregar un grupo ......................................................................... Eliminar un grupo ........................................................................ Cambiar el nombre de un grupo ...................................................... Mover un grupo ........................................................................... Ver las propiedades de un grupo ..................................................... Agregar clientes como usuarios ...................................................... Agregar clientes como equipos ....................................................... Alternar entre el modo de usuario y el modo de equipo en el cliente .................................................................................. Bloquear clientes para que no se agreguen a grupos ............................ Mover clientes entre grupos ........................................................... Eliminar clientes .......................................................................... Ver las propiedades de un cliente .................................................... Buscar clientes ............................................................................ Filtrar la lista de clientes ...............................................................
71 71 72 72 73 73 74 75 76 77 77 78 79 80
Captulo 4
Administrar administradores
........................................... 83 83 84 85 87 88 89 90 91 91
Acerca de los administradores ........................................................ Acerca de administrar administradores ............................................ Agregar un administrador ............................................................. Conmutacin entre un administrador limitado y no limitado y configuracin de derechos de acceso .......................................... Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin ...................................................... Autenticar administradores ........................................................... Cambiar el nombre de un administrador ........................................... Modificar la contrasea de un administrador .................................... Quitar un administrador ................................................................
Captulo 5
Trabajar con paquetes de instalacin de clientes ............................................................................ 93

Acerca de los paquetes de instalacin de clientes ............................... 93 Configurar opciones de los paquetes de instalacin de clientes ............. 94 Configurar funciones del paquete de instalacin .......................... 94 Configurar opciones de paquetes de instalacin de clientes ............ 95 Recopilar informacin de usuarios ............................................ 95 Exportar paquetes de instalacin de clientes ..................................... 96 Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes .................................................................. 98 Agregar actualizaciones de paquetes de instalacin de clientes .......................................................................... 98 Actualizar clientes en uno o ms grupos ................................... 100
Contenido
19
Eliminar paquetes de actualizacin ................................................ 101
Captulo 6
Actualizar definiciones y contenido ............................... 103

Acerca de LiveUpdate y las actualizaciones de definiciones y contenido ............................................................................ Acerca de las arquitecturas de distribucin de redes ................... Acerca de tipos de actualizaciones ........................................... Configurar un sitio para descargar actualizaciones ........................... Configurar polticas de LiveUpdate ................................................ Configurar una poltica de configuracin de LiveUpdate .............. Configurar una poltica de contenido de LiveUpdate ................... Ver y modificar la poltica de contenido de LiveUpdate que se aplica a un grupo ............................................................ Configurar un proveedor de actualizaciones grupales en la poltica de configuracin de LiveUpdate ............................. Opciones avanzadas de distribucin de actualizaciones ..................... Proporcionar actualizaciones de contenido de antivirus con Intelligent Updater ......................................................... Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones a los clientes administrados ................................................................ Habilitar la distribucin de contenido de otro fabricante en equipos cliente administrados con una poltica de LiveUpdate .................................................................... Distribuir contenido a equipos cliente administrados con herramientas de distribucin de terceros ............................ Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones a los clientes no administrados ................................................................ 103 104 108 109 111 112 113 115 115 117 117
118
119 120
122
Captulo 7
Limitar el acceso de usuarios a las funciones de clientes ........................................................................... 125

Acerca del acceso a la interfaz del cliente ........................................ Bloquear y desbloquear las opciones administradas .......................... Modificar el nivel de control del usuario ......................................... Acerca del control mixto ........................................................ Configurar opciones de la interfaz de usuario ............................ Proteger el cliente con contrasea ................................................. 125 126 127 130 131 133
20
Contenido
Captulo 8
Configurar conexiones entre los servidores de administracin y los clientes .................................... 135
Acerca de los servidores de administracin ..................................... Especificar una lista de servidores de administracin ........................ Agregar una lista de servidores de administracin ............................ Asignar una lista de servidores de administracin a un grupo y a una ubicacin ............................................................................ Ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin .................................................. Editar el nombre de servidor y la descripcin de una lista de servidores de administracin ................................................................. Editar la direccin IP, el nombre de hosts y el nmero de puerto de un servidor de administracin de una lista de servidores de administracin ..................................................................... Modificar el orden en el cual se conectan los servidores de administracin .................................................................... Reemplazo de una lista de servidores de administracin .................... Copiar y pegar una lista de servidores de administracin ................... Exportar e importar una lista de servidores de administracin ............ Eliminar una lista de servidores de administracin ........................... Acerca de las opciones de comunicacin de clientes y servidores ......... 136 136 137 139 140 141
141 142 143 143 144 145 145
Captulo 9
Fundamentos de la elaboracin de informes .............. 147

Acerca de los informes ................................................................ Acerca de los informes que puede ejecutar ...................................... Acerca de la visualizacin de registros e informes ............................ Cmo la elaboracin de informes utiliza la base de datos .................... Acerca de eventos registrados de su red .......................................... Acerca de los registros que es posible supervisar .............................. Acceder a las funciones de elaboracin de informes .......................... Asociar el host local con la direccin IP cuando las direcciones de bucle invertido estn deshabilitadas ........................................ Acerca del uso de SSL con las funciones de elaboracin de informes ............................................................................. Usar la pgina principal de Symantec Endpoint Protection ................. Configurar Informes favoritos en la pgina principal .................. Acerca del uso de los vnculos de Security Response .................... Usar la pgina principal de Symantec Network Access Control ............ Configurar preferencias de la elaboracin de informes ...................... Acerca de las opciones de visualizacin de Inicio y supervisin ................................................................... Configurar umbrales de estado de seguridad .............................. 148 149 151 151 151 152 152 154 155 155 162 164 165 167 168 169
Contenido
21
Configurar preferencias para registros e informes ...................... Acerca de los horarios de anlisis de clientes utilizados en informes y registros ........................................................................... Acerca del uso del filtro ltimas 24 horas para informes y registros ............................................................................. Acerca del uso de filtros que buscan grupos en informes y registros .............................................................................
170 170 171 171
Captulo 10
Ver y configurar informes ................................................ 173

Ver informes ............................................................................. Acerca de ver grficos lineales en informes ............................... Acerca de ver grficos de barras .............................................. Ver los informes en idiomas asiticos ....................................... Acerca de los informes ................................................................ Aspectos importantes de la elaboracin de informes ......................... Crear informes rpidos ................................................................ Guardar y eliminar los filtros de informes guardados ........................ Acerca de los nombres de filtro duplicados ................................ Imprimir y guardar una copia de un informe ................................... Crear y eliminar informes programados .......................................... 173 174 175 175 176 192 193 198 199 199 200
Captulo 11
Ver y configurar registros y notificaciones .................. 205

Acerca de los registros ................................................................. Acerca de tipos, contenido y comandos de registros .................... Usar la ficha Resumen de Supervisin ............................................ Ver registros ............................................................................. Visualizar detalles de eventos en los registros ............................ Ver registros de otros sitios .................................................... Guardar y eliminar filtros ............................................................ Acerca de los nombres de filtro duplicados ................................ Configuracin bsica de filtro para los registros ............................... Configuracin avanzada de filtro para los registros ........................... Ejecutar comandos y acciones de registros ...................................... Acerca de la reduccin del volumen de eventos enviados a los registros ............................................................................. Exportar datos de registro ............................................................ Exportar datos de registro a un archivo de texto ......................... Exportar datos a un servidor Syslog ......................................... Exportar datos de registro a un archivo de texto delimitado por comas ........................................................................... Usar notificaciones ..................................................................... 205 206 212 215 216 217 218 219 219 221 221 225 225 225 228 229 230
22
Contenido
Ver y filtrar informacin de notificaciones a administradores ............................................................. Pautas del umbral para las notificaciones del administrador ................................................................ Crear notificaciones de administrador ...................................... Acerca de la edicin de notificaciones existentes ........................
230 231 231 236
Captulo 12
Usar Supervisin e Informes para asegurar la red ................................................................................... 237

Acerca del uso de Supervisin e Informes para asegurar la red ............ Acerca de la informacin en los informes y registros de Control de aplicaciones y Control de dispositivos ............................. Informacin del informe y el registro de auditora ...................... Acerca de la informacin en los registros e informes de cumplimiento ............................................................... Acerca de la informacin de los informes y el registro de estado del equipo ..................................................................... Acerca de la informacin en los registros e informes de la proteccin contra amenazas de red .................................... Acerca de la informacin en los informes y registros del anlisis de amenazas proactivo TruScan ........................................ Acerca de la informacin en los registros e informes de riesgos ......................................................................... Acerca de la informacin en los registros e informes de anlisis ......................................................................... Acerca de la informacin en los registros e informes del sistema ......................................................................... Acerca de eliminar virus y riesgos de seguridad ................................ Identificar los equipos infectados y en riesgo ............................. Modificar una accin y volver a analizar los equipos identificados .................................................................. Reiniciar los equipos que necesitan un reinicio para finalizar la reparacin .................................................................... Actualizar definiciones y volver a analizar ................................ Acerca de investigar y limpiar los riesgos restantes .................... Eliminar los eventos sospechosos ............................................ Encontrar los clientes desconectados ............................................. 237 239 240 240 242 245 247 248 250 251 253 254 254 255 256 256 257 257
Contenido
23
Seccin 2
Captulo 13
Tareas administrativas avanzadas .................. 259

Administrar un sitio y varios sitios de la compaa ....................................................................... 261
Acerca de la administracin de sitios .............................................. Lo que puede hacer en un sitio ...................................................... Lo que no puede hacer en un sitio .................................................. Acerca de la replicacin de sitios a travs de diferentes sitios de la compaa ............................................................................ Acerca de los mdulos de Enforcer opcionales en un sitio ................... Acerca de los sitios remotos .......................................................... Editar propiedades del sitio .......................................................... Hacer una copia de respaldo de un sitio .......................................... Eliminar sitios remotos ............................................................... 261 262 263 263 263 264 264 266 266
Captulo 14
Administrar servidores ..................................................... 269

Acerca de la administracin de servidores ....................................... Acerca de las contraseas de servidores y de otros fabricantes ............ Iniciar y detener el servicio de Symantec Endpoint Protection Manager ............................................................................. Conceder o negar acceso a consolas de Symantec Endpoint Protection Manager remotas ................................................................. Eliminar servidores seleccionados ................................................. Exportar e importar opciones del servidor ....................................... 269 270 270 271 272 273
Captulo 15
Administrar servidores de directorio ............................ 275

Acerca de la administracin de servidores de directorios ................... Agregar servidores de directorios .................................................. Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager ................................... Importar informacin sobre usuarios desde un servidor de directorios LDAP ................................................................................. Buscar usuarios en un servidor de directorios LDAP .......................... Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP .................................................. Acerca de las unidades organizativas y el servidor LDAP .................... Importacin de unidades organizativas desde un servidor de directorios activo o LDAP ................................................. Sincronizacin de unidades organizativas ................................. 275 276 277 278 278 281 282 282 283
24
Contenido
Captulo 16
Administrar servidores de correo electrnico ............. 285

Acerca de administrar servidores de correo electrnico ..................... 285 Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo electrnico ............................... 286
Captulo 17
Administrar servidores proxy .......................................... 287

Acerca de los servidores proxy ...................................................... 287 Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager ................................................. 287 Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager ................................................. 288
Captulo 18
Administrar servidores RSA ............................................ 291

Acerca de los requisitos previos para usar RSA SecurID con Symantec Endpoint Protection Manager ................................................. Configurar Symantec Endpoint Protection Manager para utilizar la autenticacin de RSA SecurID ................................................. Especificar la autenticacin SecurID para un administrador de Symantec Endpoint Protection Manager ................................... Configurar el servidor de administracin para admitir la comunicacin HTTPS ............................................................................... 291 292 293 294
Captulo 19
Administrar certificados de servidor ............................. 295

Acerca de los tipos de certificado de servidor ................................... Actualizar un certificado de servidor con un asistente ....................... Hacer copia de respaldo de un certificado de servidor ........................ Localizacin de la contrasea del almacn de claves .......................... 295 296 299 300
Captulo 20
Administrar bases de datos ............................................. 301

Acerca de la administracin de bases de datos .................................. Acerca de las convenciones de nomenclatura de una base de datos ............................................................................ Asistente para la configuracin del servidor de administracin y herramientas de base de datos de Symantec ...................... Acerca de la copia de respaldo y la restauracin de una base de datos ............................................................................ Acerca de la reconfiguracin de una base de datos ...................... Acerca de la programacin de una copia de respaldo de base de datos ............................................................................ 301 302 302 303 304 305
Contenido
25
Hacer una copia de respaldo de una base de datos de Microsoft SQL .................................................................................... Hacer una copia de respaldo manual de una base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager ........................................................ Hacer una copia de respaldo de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos ............................................................ Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager ........................... Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager ................................... Restaurar una base de datos ......................................................... Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager ............................... Volver a configurar una base de datos ............................................ Volver a configurar una base de datos de Microsoft SQL .............. Volver a configurar una base de datos integrada ......................... Acerca de administrar datos de registro .......................................... Acerca de los registros de datos y el almacenamiento .................. Barrer datos de registro de la base de datos manualmente ............ Datos de registro de clientes de versiones anteriores ................... Configurar opciones de registro para los servidores en un sitio ............................................................................. Acerca de configurar la agrupacin de eventos ........................... Configurar opciones de registros de clientes ............................. Acerca de configurar las opciones de administracin de registros de los clientes para las polticas antivirus y contra software espa ............................................................................ Hacer copias de respaldo de los registros para un sitio ................. Acerca de cargar grandes cantidades de datos de registro de clientes ......................................................................... Acerca de administrar eventos de registro en la base de datos ............................................................................ Configurar opciones de mantenimiento de base de datos para los registros ....................................................................... Acerca de uso de la utilidad SQL interactiva con la base de datos integrada ...................................................................... Cambiar los parmetros de tiempo de espera ............................. Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits .......................................................
306
307
307 312 312 313 315 316 316 318 319 319 321 321 321 322 323
325 325 325 327 327 329 329 330
26
Contenido
Captulo 21
Replicar datos
.................................................................... 331 331 334 334 335 336 336 338 338 339 340 341
Acerca de la replicacin de datos ................................................... Comprender el impacto de la replicacin ......................................... Qu opciones se replican ........................................................ Cmo se combinan los cambios durante la replicacin ................. Configurar la replicacin de datos ................................................. Agregar asociados de replicacin y programacin ....................... Programar la replicacin automtica y manual ................................ Replicar datos cuando lo necesite ............................................ Modificar frecuencias de replicacin ........................................ Replicar paquetes de clientes ........................................................ Replicar registros .......................................................................
Captulo 22
Administrar Proteccin contra intervenciones ........... 343

Acerca de la Proteccin contra intervenciones ................................. 343 Configurar Proteccin contra intervenciones ................................... 344
Seccin 3
Captulo 23
Tareas generales de administracin de polticas ..................................................................... 347

Acerca de las polticas ...................................................... 349
Descripcin general de las polticas ................................................ Acerca de las polticas compartidas y no compartidas ........................ Acerca de las tareas relacionadas con las polticas ............................ Grupos, herencia, ubicaciones y polticas ........................................ Ejemplos de polticas ................................................................... 349 352 352 355 355
Captulo 24
Administrar la herencia de un grupo para las ubicaciones y las polticas ......................................... 357
Acerca de los grupos que heredan ubicaciones y polticas de otros grupos ................................................................................ 357 Deshabilitar y habilitar la herencia de un grupo ............................... 358
Captulo 25
Administrar las ubicaciones de un grupo ..................... 359

Acerca de las ubicaciones de un grupo ............................................ Acerca de las ubicaciones y el reconocimiento de ubicacin .......... Acerca de planear ubicaciones ................................................ Acerca de la ubicacin predeterminada de un grupo .................... Habilitar la asignacin automtica de polticas de un cliente .............. 359 360 361 361 362
Contenido
27
Adicin de una ubicacin con un asistente ...................................... Adicin de una ubicacin sin un asistente ....................................... Asignar una ubicacin predeterminada .......................................... Editar el nombre y la descripcin de la ubicacin de un grupo ............. Eliminar la ubicacin de un grupo ..................................................
363 365 366 367 367
Captulo 26
Trabajar con polticas ....................................................... 369

Acerca de la utilizacin de polticas ................................................ Acerca de agregar polticas ........................................................... Agregar una poltica compartida en la pgina Polticas ................ Agregar una poltica no compartida en la pgina Clientes con un asistente ....................................................................... Agregar una nueva poltica no compartida en la pgina Clientes ........................................................................ Agregar una nueva poltica no compartida desde una poltica existente en la pgina Clientes .......................................... Agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes ........... Acerca de editar polticas ............................................................. Editar una poltica compartida en la pgina Polticas ........................ Editar una poltica compartida o no compartida en la pgina Clientes .............................................................................. Asignar una poltica compartida .................................................... Retirar una poltica ..................................................................... Eliminar una poltica ................................................................... Exportar una poltica .................................................................. Importar una poltica .................................................................. Acerca de copiar polticas ............................................................ Copiar una poltica compartida en la pgina Poltica ......................... Copiar una poltica compartida o no compartida en la pgina Clientes .............................................................................. Pegar una poltica ....................................................................... Reemplazar una poltica .............................................................. Convertir una poltica compartida en una poltica no compartida .......................................................................... Convertir una copia de una poltica compartida en una poltica no compartida .......................................................................... 370 370 371 373 374 375 376 376 376 377 378 379 380 382 383 383 383 384 385 386 387 388
28
Contenido
Captulo 27
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales ............................................... 389
Acerca del modo de obtencin y el modo de transferencia .................. 389 Acerca del latido ................................................................... 390 Especificar el modo de transferencia o de obtencin .......................... 390
Captulo 28
Configurar aplicaciones aprendidas .............................. 393

Acerca de aplicaciones aprendidas ................................................. Habilitar aplicaciones aprendidas .................................................. Buscar aplicaciones ..................................................................... Guardar los resultados de una bsqueda de aplicaciones .............. 393 394 396 398
Seccin 4
Captulo 29
Configurar la proteccin antivirus y contra software espa ........................................................ 399

Configuracin bsica de polticas antivirus y contra software espa .............................................................. 401
Fundamentos de la proteccin antivirus y contra software espa ......... Acerca de crear un plan para responder ante virus y riesgos de seguridad ...................................................................... Acerca de ver el estado del antivirus y la proteccin contra software espa de su red ................................................... Acerca de ejecutar comandos para la proteccin antivirus y contra software espa ................................................................ Acerca de polticas antivirus y contra software espa ................... Acerca de trabajar con polticas antivirus y contra software espa .................................................................................. Acerca de los virus y los riesgos de seguridad ................................... Acerca de analizar ...................................................................... Acerca de los anlisis de Auto-Protect ...................................... Acerca de anlisis definidos por el administrador ....................... Acerca de los anlisis de amenazas proactivos TruScan ............... Acerca del anlisis tras la actualizacin de los archivos de definiciones ................................................................... Acerca de analizar extensiones o carpetas seleccionadas .............. Acerca de la exclusin de carpetas y archivos por nombre ............ Acerca de acciones para los virus y los riesgos de seguridad que los anlisis detectan .................................................................. 402 402 405 405 406 410 410 414 415 419 421 422 422 426 427
Contenido
29
Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa ............................................. Acerca de la interaccin del cliente con opciones de antivirus y software espa ...................................................................... Modificar la contrasea necesaria para analizar unidades de red asignadas ............................................................................ Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection ............................... Configurar el cliente de Symantec Endpoint Protection para deshabilitar el Centro de seguridad de Windows ................... Configuracin de alertas de Symantec Endpoint Protection en el equipo host ................................................................... Configuracin del tiempo de desactualizacin de las definiciones ................................................................... Exhibir una advertencia de definiciones desactualizadas o ausentes ............................................................................. Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa .................................................. Especificar una URL para una pgina principal del navegador ............ Configurar las opciones que se aplican a los anlisis antivirus y de software espa ...................................................................... Configurar anlisis de las extensiones de archivo seleccionadas ................................................................. Configurar anlisis de carpetas seleccionadas ............................ Acerca de excepciones para riesgos de seguridad ........................ Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos .................................................... Acerca de los mensajes de notificacin en los equipos infectados ..................................................................... Personalizar y mostrar advertencias en equipos infectados .......... Enviar informacin sobre anlisis a Symantec ................................. Acerca de la aceleracin de envos ........................................... Configurar opciones de envo .................................................. Administrar los archivos en cuarentena .......................................... Acerca de la configuracin de cuarentena ................................. Especificar un directorio de cuarentena local ............................. Configurar opciones de limpieza automtica .............................. Enviar elementos en cuarentena a un servidor de Cuarentena central ......................................................................... Enviar elementos en cuarentena a Symantec ............................. Configurar acciones ante el arribo de nuevas definiciones ...........
428 429 429 430 430 431 432 433 433 434 434 435 436 437 437 439 440 442 443 444 444 445 445 446 447 448 448
30
Contenido
Captulo 30
Configurar Auto-Protect ................................................... 451

Acerca de configurar Auto-Protect ................................................. Acerca de los tipos de Auto-Protect ................................................ Habilitar Auto-Protect para el sistema de archivos ........................... Configuracin de Auto-Protect para el sistema de archivos ................. Acerca de anlisis y bloqueo de riesgos de seguridad con Auto-Protect .................................................................. Configurar opciones avanzadas de anlisis y supervisin ............. Acerca del Buscador de riesgos ................................................ Configurar Auto-Protect para correo electrnico de Internet .............. Configurar Auto-Protect para Microsoft Outlook .............................. Configurar Auto-Protect para Lotus Notes ...................................... Configurar opciones de notificacin para Auto-Protect ...................... Visualizar los resultados de Auto-Protect en los equipos infectados ..................................................................... Adicin de avisos a los mensajes de correo electrnico infectados ..................................................................... Notificar a los remitentes de mensajes de correo electrnico infectados ..................................................................... Notificar a otros usuarios sobre la recepcin de mensajes de correo electrnico infectados ............................................ Configurar notificaciones de progreso para anlisis de Auto-Protect de correo electrnico de Internet ..................... 451 452 452 453 455 455 456 457 459 460 461 463 463 464 466 467
Captulo 31
Usar anlisis definidos por el administrador .............. 469

Acerca del uso de los anlisis definidos por administrador ................. Agregar anlisis programados a una poltica antivirus y contra software espa ...................................................................... Establecer opciones para anlisis programados no realizados ..................................................................... Editar, suprimir o deshabilitar anlisis planificados .................... Configurar opciones de anlisis manual .......................................... Ejecutar anlisis manuales ........................................................... Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador ............................................................. Configurar opciones avanzadas para anlisis definidos por el administrador ...................................................................... 469 470 471 473 473 475 476 478
Contenido
31
Seccin 5
Captulo 32
Configurar la proteccin contra amenazas de red .......................................................................... 479

Configuracin bsica de la proteccin contra amenazas de red .......................................................... 481
Acerca de Proteccin contra amenazas de red y los ataques de red ..................................................................................... Cmo Symantec Endpoint Protection protege los equipos contra ataques de red ................................................................ Acerca del firewall ...................................................................... Acerca de trabajar con polticas de firewall ...................................... Acerca de las normas de firewall ................................................... Acerca de los elementos de una norma de firewall ...................... Acerca de la orden de procesamiento de norma .......................... Acerca de la inspeccin de estado ............................................ Agregar normas vacas ................................................................ Agregar normas con el Asistente para agregar normas de firewall ............................................................................... Agregar normas heredadas de un grupo principal ............................. Importar y exportar normas ......................................................... Editar y eliminar normas ............................................................. Copiar y pegar normas ................................................................ Alteracin del orden de las normas ................................................ Habilitar e deshabilitar normas ..................................................... Habilitar el filtro de trfico inteligente ........................................... Habilitar configuracin de trfico y de ocultacin ............................. Configurar la autenticacin punto a punto ...................................... 482 482 483 484 485 485 490 494 495 498 499 500 501 501 502 502 503 504 505
Captulo 33
Configurar la prevencin de intrusiones ...................... 507

Acerca del sistema de prevencin de intrusiones .............................. Acerca de las firmas IPS de Symantec ....................................... Acerca de las firmas IPS personalizadas .................................... Configurar la prevencin de intrusiones ......................................... Acerca del uso de Polticas de prevencin de intrusiones .............. Habilitar opciones de prevencin de intrusiones ......................... Modificar el comportamiento de firmas IPS de Symantec ............. Bloquear un equipo atacante .................................................. Configurar una lista de equipos excluidos ................................. Crear firmas personalizadas de IPS ................................................ Asignar varias bibliotecas IPS personalizadas a un grupo ............. Modificar el orden de las firmas .............................................. 507 508 508 509 510 510 511 512 513 515 517 517
32
Contenido
Copiar y pegar firmas ............................................................ 518 Definir variables para las firmas .............................................. 519
Captulo 34
Personalizar la proteccin contra amenazas de red ................................................................................... 521

Habilitar e deshabilitar Proteccin contra amenazas de red ................ Configurar las opciones de proteccin contra amenazas de red para el control mixto .................................................................... Agregar hosts y grupos de hosts .................................................... Editar y eliminar grupos de hosts .................................................. Agregar hosts y grupos de hosts a una norma .................................. Agregar servicios de red .............................................................. Editar y eliminar servicios de red personalizados ............................. Agregar servicios de red a una norma ............................................. Habilitar el uso compartido de archivos e impresoras en la red ........... Agregar adaptadores de red .......................................................... Agregar adaptadores de red a una norma ........................................ Editar y eliminar adaptadores de red personalizados ......................... Agregar aplicaciones a una norma ................................................. Agregar programaciones a una norma ............................................ Configurar notificaciones de proteccin contra amenazas de red ......... Configurar mensajes de correo electrnico para eventos de trfico .......................................................................... Configurar la supervisin de aplicaciones de red .............................. 522 523 524 525 526 527 528 529 529 532 532 533 534 535 536 538 538
Seccin 6
Captulo 35
Configurar la proteccin proactiva contra amenazas .................................................................. 541

Configurar anlisis de amenazas proactivos TruScan .......................................................................... 543
Acerca de los anlisis de amenazas proactivos TruScan ..................... Acerca del uso de la configuracin predeterminada de Symantec ......... Acerca de los procesos que detectan los anlisis de amenazas proactivos TruScan ............................................................... Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan .................................. Acerca de los procesos que los anlisis de amenazas proactivos TruScan omiten ................................................................... Cmo funcionan los anlisis de amenazas proactivos TruScan con la Cuarentena ......................................................................... 544 545 545 547 550 551
Contenido
33
Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas ...................................................... Informacin sobre las detecciones de amenazas proactivas de TruScan .............................................................................. Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan .......................................... Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones ................................................................... Especificar acciones para las detecciones de aplicaciones comerciales ................................................................... Configurar la frecuencia del anlisis de amenazas proactivo TruScan .............................................................................. Configurar notificaciones para anlisis de amenazas proactivos TruScan ..............................................................................
551 553 555
555 556 557 558
Captulo 36
Configurar Control de aplicaciones y dispositivos ................................................................... 559

Acerca del control de aplicaciones y dispositivos .............................. Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos ......................................................................... Acerca del control de aplicaciones ................................................. Acerca del modo de prueba ..................................................... Acerca de normas y conjuntos de normas de control de aplicaciones .................................................................. Acerca del control de dispositivos .................................................. Acerca de trabajar con polticas de control de aplicaciones y dispositivos ......................................................................... Habilitar un conjunto predeterminado de normas de control de aplicaciones ........................................................................ Crear una poltica de control de aplicaciones y dispositivos ................ Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos ..................................................... Crear un nuevo conjunto de normas de control de aplicaciones y agregar una nueva regla al conjunto ................................ Agregar condiciones a una norma ............................................ Configurar propiedades de condicin para una norma ................. Configurar las acciones que se deben tomar cuando se cumple una condicin ................................................................ Aplicar una norma a aplicaciones especficas y excluir aplicaciones de una norma ............................................... 559 560 562 562 563 566 567 568 569 569 570 571 572 574 575
34
Contenido
Modificar el orden en el cual se aplican los conjuntos de normas de control de aplicaciones ................................................ Deshabilitar los conjuntos de normas de control de aplicaciones y las normas individuales en una Poltica de control de aplicaciones y dispositivos ............................................... Modificar el modo de un conjunto de normas de control de aplicaciones .................................................................. Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos .....................................................
577
578 579 579
Captulo 37
Configurar dispositivos de hardware ............................ 581

Acerca de los dispositivos de hardware ........................................... Acerca de los ID de clase ........................................................ Obtener un ID de dispositivo desde el Panel de control ...................... Agregar un dispositivo de hardware ............................................... Editar un dispositivo de hardware ................................................. Eliminar un dispositivo de hardware .............................................. 581 582 582 582 583 583
Captulo 38
Personalizar polticas de control de aplicaciones y dispositivos ................................................................... 585

Acerca de la autorizacin del uso de aplicaciones, parches y utilidades ............................................................................ Crear e importar una lista de huellas digitales de archivos ................. Crear una lista de huellas digitales de archivos .......................... Editar una lista de huellas digitales de archivos .......................... Importacin de una lista de huellas digitales de archivos en una poltica compartida ......................................................... Combinacin de listas de huellas digitales de archivos en una poltica compartida ........................................................ Eliminar una lista de huellas digitales de archivos ...................... Acerca del bloqueo del sistema ...................................................... Requisitos previos de bloqueo del sistema ................................. Configurar el bloqueo del sistema .................................................. 585 586 587 588 589 590 591 591 592 593
Contenido
35
Seccin 7
Captulo 39
Configurar excepciones centralizadas .......... 597

Configurar polticas de excepciones centralizadas ................................................................ 599
Acerca de las polticas de excepciones centralizadas ......................... Acerca de la utilizacin de polticas de excepciones centralizadas ................................................................. Acerca de las excepciones centralizadas para los anlisis antivirus y contra software espa .................................................... Acerca de las excepciones centralizadas para los anlisis de amenazas proactivos TruScan .......................................... Acerca de las excepciones centralizadas para la proteccin contra intervenciones ............................................................... Acerca de la interaccin del cliente con excepciones centralizadas ................................................................. Configurar una poltica de excepciones centralizada ......................... Configurar una excepcin centralizada para los anlisis antivirus y contra software espa .................................................... Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan .......................................... Configurar una excepcin centralizada para la proteccin contra intervenciones ............................................................... Configurar restricciones de clientes para las excepciones centralizadas ....................................................................... Crear excepciones centralizadas de eventos de registro ..................... Agregar una excepcin centralizada para eventos de riesgo .......... Agregar una excepcin centralizada para eventos de anlisis de amenazas proactivos TruScan .......................................... Agregar una excepcin centralizada para eventos de Proteccin contra intervenciones ..................................................... 599 600 601 601 602 602 603 603 607 609 609 610 611 612 612
Seccin 8
Configurar la integridad del host para el cumplimiento de polticas de puntos finales ......................................................................... 615
Configuraciones de la integridad de host bsicas ........................................................................... 617
Cmo funciona la aplicacin de integridad del host ........................... 617 Acerca del trabajo con plticas de integridad del host ........................ 620
Captulo 40
36
Contenido
Acerca de la poltica de cuarentena .......................................... Acerca de la planificacin de requisitos de integridad del host ............ Acerca de los requisitos de integridad del host ........................... Adicin de requisitos de integridad del host .................................... Editar y eliminar un requisito de integridad del host ......................... Habilitar y deshabilitar los requisitos de integridad del host ............... Modificar la secuencia de requisitos de integridad del host ................. Adicin de un requisito de integridad del host desde una plantilla .............................................................................. Acerca de la configuracin para las comprobaciones de integridad del host .............................................................................. Configurar el registro y las notificaciones para una comprobacin de integridad del host ...................................................... Permitir que se apruebe la comprobacin de integridad del host si un requisito falla ......................................................... Acerca de la correccin de integridad del host .................................. Acerca de la restauracin de aplicaciones y archivos para integridad del host .......................................................... Reparacin de integridad del host y configuracin de Enforcer ....................................................................... Especificar la cantidad de tiempo que el cliente espera para la reparacin .......................................................................... Permitir que los usuarios pospongan o cancelen la correccin de Integridad del host ...............................................................
620 621 622 623 625 625 626 626 627 629 630 631 631 632 633 633
Captulo 41
Adicin de requisitos personalizados ........................... 637

Acerca de los requisitos personalizados .......................................... Acerca de las condiciones ............................................................. Acerca de las condiciones del antivirus ..................................... Acerca de las condiciones de software espa ............................... Acerca de condiciones del firewall ........................................... Acerca de las condiciones de archivo ....................................... Acerca de las condiciones del sistema operativo ......................... Acerca de condiciones del Registro .......................................... Acerca de las funciones ............................................................... Acerca de la lgica de los requisitos personalizados .......................... Acerca de la instruccin RETURN ............................................ Acerca de la instruccin IF, THEN y ENDIF ................................ Acerca de la instruccin ELSE ................................................. Acerca de la palabra clave NOT ............................................... Acerca de las palabras clave AND y OR ..................................... Escribir un script de requisito personalizado ................................... 637 638 638 639 640 640 642 643 645 646 646 647 647 647 647 648
Contenido
37
Agregar una instruccin IF THEN ............................................ Alternar entre la instruccin IF e IF NOT .................................. Adicin de una instruccin ELSE ............................................. Agregar un comentario .......................................................... Copiar y pegar instrucciones IF, condiciones, funciones y comentarios .................................................................. Eliminar una instruccin, una condicin o una funcin ................ Mostrar un cuadro de dilogo de mensaje ........................................ Descargar un archivo .................................................................. Generar un mensaje de registro ..................................................... Ejecutar un programa .................................................................. Ejecutar un script ....................................................................... Configurar la marca de hora de un archivo ...................................... Especificar un tiempo de espera para el script ..................................
649 650 650 651 651 651 652 653 653 654 655 656 657
Apndice A
Usar la interfaz de lnea de comandos
......................... 659
El servicio del cliente .................................................................. 659 Cdigos de error ................................................................... 663 Escribir un parmetro si el cliente est protegido con contrasea .................................................................... 664
ndice .................................................................................................................. 667
38
Contenido
Seccin
Tareas administrativas bsicas
Descripcin general de Symantec Endpoint Protection Manager Introduccin a la proteccin bsica Configurar dominios, grupos y clientes Administrar administradores Trabajar con paquetes de instalacin de clientes Actualizar definiciones y contenido Limitar el acceso de usuarios a las funciones de clientes Configurar conexiones entre los servidores de administracin y los clientes Fundamentos de la elaboracin de informes Ver y configurar informes Ver y configurar registros y notificaciones Usar Supervisin e Informes para asegurar la red
40
Captulo
Descripcin general de Symantec Endpoint Protection Manager

En este captulo se incluyen los temas siguientes:

Acerca de las tareas administrativas Iniciar sesin en Symantec Endpoint Protection Manager Cmo se organiza la Consola de Symantec Endpoint Protection Manager
Acerca de las tareas administrativas

Antes de realizar tareas administrativas en Symantec Endpoint Protection Manager, es necesario haber instalado el servidor de administracin en un entorno de prueba. El administrador del sistema que instala el servidor de administracin realiza las tareas de administracin para Symantec Endpoint Protection y Symantec Network Access Control. Para obtener ms informacin, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Las tareas administrativas incluyen tareas administrativas bsicas y avanzadas. La mayora de las organizaciones necesitan realizar solamente las tareas administrativas bsicas. Es poco probable que las organizaciones ms pequeas y menos complejas realicen las tareas administrativas avanzadas. La mayor parte de las opciones de configuracin predeterminadas deberan ser suficientes para los requisitos de las tareas administrativas bsicas. Estas opciones predeterminadas se describen primero. Las organizaciones que personalizan las opciones de configuracin predeterminadas realizan tareas administrativas avanzadas.
42
Descripcin general de Symantec Endpoint Protection Manager Acerca de las tareas administrativas
La Tabla 1-1 describe la organizacin de las secciones del documento, quin debe leer cada seccin y una descripcin del contenido. Tabla 1-1 Seccin
Seccin 1: Tareas administrativas bsicas
Organizacin y contenido del documento Audiencia

Para todos los administradores. Incluye administracin de administradores, administracin de clientes, actualizacin de definiciones y contenido, y los fundamentos de la elaboracin de informes y de la supervisin. Para organizaciones ms grandes. Incluye administracin de varios sitios, administracin de servidores de varios tipos, replicacin de datos de un sitio a otro y administracin de Proteccin contra intervenciones. Para todos los administradores.
Seccin 2: Tareas administrativas avanzadas
Seccin 3:
Tareas generales de administracin de Incluye una descripcin de las polticas de todos polticas los tipos, los conceptos de herencia y de ubicaciones, y el uso de aplicaciones incorporadas. Seccin 4: Configurar la proteccin antivirus y contra software espa Para todos los administradores. Incluye configuracin de polticas antivirus y contra software espa, configuracin de Auto-Protect y configuracin de anlisis definidos por el administrador. Para los administradores que necesitan configurar firewalls. Las opciones predeterminadas generalmente son suficientes, pero los administradores que tienen una comprensin detallada de redes pueden ajustar su configuracin. Para los administradores que necesitan ir ms all de las tecnologas de proteccin antivirus, contra software espa, de prevencin de intrusiones y de firewall. Utiliza la heurstica para detectar amenazas desconocidas.
Seccin 5: Configurar la proteccin contra amenazas de red
Seccin 6: Configurar la proteccin proactiva contra amenazas
Descripcin general de Symantec Endpoint Protection Manager Iniciar sesin en Symantec Endpoint Protection Manager
43
Seccin
Seccin 7: Configurar excepciones centralizadas
Audiencia
Para organizaciones ms grandes. Incluye informacin sobre cmo configurar excepciones para los anlisis antivirus y contra software espa, los anlisis de amenazas proactivos TruScan y los anlisis de Proteccin contra intervenciones. Componente opcional.
Seccin 8:
Configurar la integridad del host para Describe cmo configurar polticas de integridad el cumplimiento de polticas de puntos del host para asegurar el cumplimiento de los finales puntos finales con la poltica de seguridad. Apndice A: Usar la interfaz de lnea de comandos Para todos los administradores. Enumera los parmetros de servicio de clientes que es posible utilizar con el comando smc.
Iniciar sesin en Symantec Endpoint Protection Manager

Es posible iniciar sesin en la Consola de Symantec Endpoint Protection Manager una vez que se instala Symantec Endpoint Protection. Es posible iniciar sesin en la consola de cualquiera de dos maneras. Es posible iniciar sesin remotamente, desde otro equipo que cumpla los requisitos del sistema para una Consola remota. Es posible adems iniciar sesin en la consola localmente, usando el equipo en el cual est instalado Symantec Endpoint Protection Manager. Muchos administradores inician sesin remotamente y pueden hacer las mismas tareas que los administradores que inician sesin localmente. Para iniciar sesin remotamente, es necesario saber la direccin IP o el nombre de host de Symantec Endpoint Protection Manager. Debe adems asegurarse de que las opciones de Internet del navegador Web permitan que se vea el contenido del servidor en el que se registra. Qu es posible ver y hacer desde la consola depende del tipo de administrador que usted sea. Es posible iniciar sesin como administrador del sistema, administrador o administrador limitado. Un administrador del sistema tiene privilegios completos a travs de todos los dominios. Un administrador tiene privilegios que se limitan a un dominio especfico. Un administrador limitado tiene un subconjunto de los privilegios de administrador y adems est limitado a un dominio especfico. Si usted instal Symantec Endpoint Protection Manager, usted es administrador del sistema. Si otro usuario instal el administrador, su estado puede ser diferente.
44
La mayora de las organizaciones, sin embargo, no necesitan ocuparse de los dominios o el estado de administrador limitado. La mayora de los administradores en organizaciones ms pequeas inician sesin como administrador del sistema. Ver "Acerca de los administradores" en la pgina 83. Para iniciar sesin en la Consola de Symantec Endpoint Protection Manager remotamente
Abra un navegador Web y escriba la direccin siguiente en el cuadro de direccin: http://nombre de host:9090 donde nombre de host es el nombre de host o la direccin IP de Symantec Endpoint Protection Manager. De forma predeterminada, la Consola de Symantec Endpoint Protection Manager utiliza el nmero de puerto 9090, pero es posible modificarlo si se ejecuta el Asistente para la configuracin del servidor de administracin.
Cuando se vea la pgina Web de la Consola de Symantec Endpoint Protection Manager, haga clic en el vnculo para visualizar la pantalla de inicio de sesin. El equipo desde el cual usted inici sesin debe tener el entorno Java 2 Runtime Environment (JRE, Java Runtime Environment) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE. El equipo debe adems tener Active X y generacin de script habilitados.
Cuando usted inicia sesin, es posible ver un mensaje que advierte de una discordancia del nombre de host. Si aparece este mensaje, en respuesta a la indicacin, haga clic en S. Este mensaje significa que la URL de la Consola de Symantec Endpoint Protection Manager remota que usted especific no coincide con el nombre del certificado de Symantec Endpoint Protection. Este problema ocurre si se inicia sesin y se especifica una direccin IP en lugar del nombre del equipo de la Consola de Symantec Endpoint Protection Manager.
En la ventana de la descarga de Symantec Endpoint Protection Manager que aparece, haga clic en el vnculo para descargar Symantec Endpoint Protection Manager. Haga clic en S o No segn lo deseado cuando se le consulte si desea crear accesos directos de escritorio y del men de inicio. Ambas son opciones aceptables.
45
En la ventana de inicio de sesin de la Consola de Symantec Endpoint Protection Manager que se visualiza, escriba su nombre de usuario y contrasea. Si este inicio de sesin es su primer inicio de sesin de Symantec Endpoint Protection despus de la instalacin, escriba el nombre de cuenta: admin. A continuacin, escriba la contrasea que usted configur cuando instal el producto. Si su red tiene solamente un dominio, omita este paso. Si su red tiene varios dominios, en el cuadro de texto Dominio, escriba el nombre del dominio en el cual desee iniciar sesin. Si el cuadro de texto Dominio no se ve, haga clic en Opciones>>. Que el cuadro de texto Dominio sea visible depende de su estado la vez ltima que usted inici sesin.
Haga clic en Iniciar sesin. Es posible recibir uno o ms mensajes de advertencia de seguridad al iniciar la Consola de Symantec Endpoint Protection Manager remota. De ser as, haga clic en S, Ejecutar, Inicio, o su equivalente y contine hasta que aparezca la Consola de Symantec Endpoint Protection Manager.
Para iniciar sesin en la Consola de Symantec Endpoint Protection Manager localmente
1 2
En el men Inicio de Windows, haga clic en Programas > Symantec Endpoint Protection Manager > Consola de Symantec Endpoint Protection Manager. En la indicacin de inicio de sesin de Symantec Endpoint Protection Manager, escriba el nombre de usuario (admin es el predeterminado) y la contrasea que usted configur durante la instalacin. Si usted es administrador y no instal el servidor de administracin, utilice el nombre de usuario y la contrasea que su administrador configur para usted.
Realice una de las tareas siguientes:

Si la Consola tiene solamente un dominio, vaya al paso 4. Si la Consola tiene ms de un dominio, haga clic en Opciones>> y escriba el nombre de dominio.
Haga clic en Iniciar sesin.
46
Descripcin general de Symantec Endpoint Protection Manager Cmo se organiza la Consola de Symantec Endpoint Protection Manager
Cmo se organiza la Consola de Symantec Endpoint Protection Manager

La Consola de Symantec Endpoint Protection Manager proporciona una vista profundizada de la seguridad de su red. Proporciona una ubicacin central desde la cual administrar Symantec Endpoint Protection y Symantec Network Access Control. La consola es el lugar donde se realizan cambios de las polticas de seguridad de los clientes. Cuando usted inicia sesin por primera vez en Symantec Endpoint Protection Manager, se ve la pgina principal de la Consola de Symantec Endpoint Protection Manager y una barra de navegacin que contiene fichas de la pgina. La barra de navegacin de la Consola de Symantec Endpoint Protection Manager se ubica sobre la cara izquierda del panel. Symantec Endpoint Protection Manager contiene seis pginas. Cada una de las pginas representa una categora funcional de administracin importante. Un icono representa cada categora funcional, junto con el texto descriptivo sobre la funcin de esa pgina. Es posible hacer clic en un icono en la barra de navegacin para visualizar su pgina correspondiente. Los iconos estn siempre disponibles para ayudarlo a navegar de pgina en pgina. La Figura 1-1 muestra la barra de navegacin de Symantec Endpoint Protection Manager.
47
Figura 1-1
Barra de navegacin
Nota: Los administradores del sistema y los administradores limitados pueden ver menos opciones, dependiendo de los permisos que se asignan a sus cuentas.
48
La pgina principal, la pgina Supervisin y la pgina Informes proporcionan las funciones de elaboracin de informes que se utilizan para supervisar la seguridad de su red. La pgina Polticas, la pgina Clientes y la pgina Administrador se utilizan para configurar y administrar su poltica de seguridad de red. La Tabla 1-2 enumera cada icono de la barra de navegacin y describe las funciones a las cuales se conecta. Tabla 1-2 Etiqueta
Pgina principal
Iconos de navegacin Descripcin

Muestra el estado de seguridad de su red e informacin de resumen de las definiciones de virus. Esta pgina es su panel de control y es la pgina predeterminada en la cual se abre la Consola de Symantec Endpoint Protection Manager.
Supervisin Muestra los registros de supervisin. Es posible adems utilizar estas pginas para ver y configurar notificaciones, y para supervisar el estado de los comandos. Informes Muestra los informes. Tiene una variedad de informes rpidos predefinidos y personalizables, e informes programados configurables. Muestra las polticas para cada tipo de polticas. Utilice esta pgina para administrar sus polticas. Muestra la informacin de polticas para los clientes y los grupos. Utilice esta pgina para administrar las polticas que se transfieren a los clientes a travs de paquetes de instalacin.
Polticas
Clientes
Administrador Muestra informacin de configuracin especfica para el administrador.
La pgina Principal
La pgina Principal muestra informacin general del estado de seguridad e informacin de resumen de definiciones de virus. Si tiene Symantec Endpoint Protection instalado, su pgina principal muestra informacin sobre la seguridad de su red. Si ha instalado Symantec Network Access Control solamente, su pgina principal muestra informes generados automticamente sobre el estado de cumplimiento de su red. La pgina principal de Symantec Endpoint Protection contiene las secciones siguientes:

Estado de seguridad Resumen de acciones por cantidad de detecciones
49
Ataques, Riesgos o Infecciones por hora: ltimas 12 horas Resumen del estado, incluidas las notificaciones no reconocidas de las ltimas 24 horas Distribucin de definiciones de virus o Firmas de prevencin de intrusiones Informacin y vnculos de Security Response Resumen de aplicaciones en observacin Informes favoritos
Ver "Usar la pgina principal de Symantec Endpoint Protection" en la pgina 155. La pgina principal de Symantec Network Access Control contiene las secciones siguientes:

Error en el estado de cumplimiento de la red Distribucin del estado de cumplimiento Resumen de clientes por error de cumplimiento Detalles del error de cumplimiento
Ver "Usar la pgina principal de Symantec Network Access Control" en la pgina 165.
Estado de seguridad
El estado de seguridad puede ser Bueno o Se necesita atencin. Si el estado es Se necesita atencin, es posible hacer clic en el icono de X rojo o en el vnculo Ms detalles para obtener ms informacin. Es posible tambin hacer clic en Preferencias para acceder a la pgina Preferencias, donde es posible configurar sus preferencias de elaboracin de informes. Ver "Configurar umbrales de estado de seguridad" en la pgina 169.
Informes favoritos
De forma predeterminada, la seccin Informes favoritos de la pgina principal contiene los informes siguientes:

Principales fuentes de ataque Correlacin principal de detecciones de riesgos Distribucin de amenazas proactiva de TruScan
Es posible hacer clic en el icono del signo ms a la derecha de Informes favoritos para modificar qu informes aparecen en esta seccin de la pgina principal. Ver "Configurar Informes favoritos en la pgina principal" en la pgina 162.
50
La pgina Supervisin
Es posible utilizar la pgina Supervisin para visualizar informacin de registros, para ver y configurar notificaciones, y para ver el estado de los comandos. Esta pgina contiene los registros y las notificaciones que los administradores pueden utilizar para supervisar sus redes. La pgina Supervisin contiene las fichas siguientes:
Resumen Si tiene Symantec Endpoint Protection instalado, hay varias vistas de resumen para elegir. Es posible optar por el antivirus y la proteccin contra software espa, la proteccin contra amenazas de red, cumplimiento o estado del sitio. Si ha instalado Symantec Network Access Control solamente, despus la ficha Resumen muestra la informacin de Estado del sitio. Si ha instalado Symantec Network Access Control solamente, la informacin de Cumplimiento aparece en la pgina principal. Ver "Usar la ficha Resumen de Supervisin" en la pgina 212. Registros Los registros presentan informacin detallada que se recoge de sus productos de seguridad. Registros contiene datos de eventos de los servidores de administracin y de los clientes. Es posible adems realizar acciones desde algunos de los registros. Algunos administradores prefieren supervisar su red principalmente usando registros. Ver "Acerca de tipos, contenido y comandos de registros" en la pgina 206. Estado del comando La ficha Estado del comando muestra el estado de los comandos que se han ejecutado desde la Consola de Symantec Endpoint Protection Manager y sus detalles. Ver "Ejecutar comandos y acciones de registros" en la pgina 221. Notificaciones Una notificacin es un mensaje que advierte sobre potenciales problemas de seguridad en su red. Es posible configurar muchas clases diferentes de eventos para activar una notificacin. Las notificaciones en la ficha Notificaciones se dirigen a los administradores, no a los usuarios. Ver "Usar notificaciones" en la pgina 230.
La pgina Informes
Es posible utilizar la pgina Informes para obtener descripciones amplias del estado de seguridad en su red. Los informes son instantneas grficas de los eventos que suceden en su red y estadsticas sobre los eventos. Es posible utilizar los filtros en la pgina Informes para elaborar informes predefinidos o
51
personalizados. Los informes predefinidos se encuentran en la ficha Informes rpidos. En la ficha Informes programados, es posible programar informes que se ejecuten en intervalos regulares y enviarlos por correo electrnico a usted mismo o a otros usuarios. Ver "Acerca de los informes" en la pgina 176.
La pgina Polticas
Es posible utilizar la pgina Polticas para crear las polticas que se descargan al cliente. Los clientes se conectan al servidor para conseguir las ltimas polticas y opciones de seguridad, y las actualizaciones de software se implementan desde all. Las polticas que aparecen dependen de los componentes del producto que usted instal. La pgina Polticas contiene los paneles siguientes:
Ver polticas El panel Ver polticas enumera los tipos de polticas que se pueden ver en el panel superior derecho: Antivirus y proteccin contra software espa, Firewall, Prevencin de intrusiones, Control de aplicaciones y dispositivos, LiveUpdate y Excepciones centralizadas. Es posible tambin ver Polticas de integridad del host si Symantec Network Access Control est instalado. Haga clic en la flecha al lado de Componentes de polticas para expandir la lista de componentes, si an no se visualiza. Componentes de polticas El panel Componentes de polticas enumera los distintos tipos de componentes de polticas que estn disponibles. Estos componentes incluyen listas de servidores de administracin, listas de huellas digitales de archivos, entre otros. Tareas El panel Tareas enumera las tareas apropiadas para la poltica que se selecciona bajo Ver polticas. Panel Polticas de tipo de poltica El panel derecho se modifica en respuesta a la poltica que se selecciona bajo Ver polticas. Para algunas opciones, el panel est dividido horizontalmente. En estos casos, la mitad inferior del panel muestra los cambios recientes para la poltica seleccionada.
Para obtener informacin sobre los diferentes tipos de polticas y sus opciones, consulte los captulos que describen las polticas.
52
La pgina Clientes
Es posible utilizar la pgina Clientes para administrar los equipos y los usuarios de su red. La pgina Clientes contiene los paneles siguientes:
Ver clientes La pgina Ver clientes visualiza los grupos en la estructura de administracin de clientes, con una disposicin jerrquica en una estructura de rbol. De forma predeterminada, esta estructura contiene el grupo Global, y debajo, el grupo Temporal. Tareas El panel Tareas enumera las tareas relacionadas con el cliente que es posible realizar. Panel nombre de grupo El panel derecho contiene cuatro fichas: Clientes, Polticas, Detalles y Paquetes de instalacin. Cada ficha muestra el contenido que pertenece al grupo que usted seleccion en el panel Ver clientes.
Es posible realizar las siguientes tareas desde la ficha Clientes:

Agregar grupos, cuentas de equipo y cuentas de usuario. Importar una unidad organizativa o un contenedor. Importar usuarios directamente desde Active Directory o un servidor LDAP. Ejecutar comandos en los grupos. Buscar clientes. Visualizar grupos o usuarios. Buscar equipos no administrados.
Desde la ficha Polticas, es posible configurar algunas opciones independientes de la ubicacin para el contenido de LiveUpdate, los registros de clientes, las comunicaciones y algunas opciones generales. Es posible adems configurar algunas opciones especficas de la ubicacin, tales como el modo de control y la transferencia u obtencin de comunicacin entre el servidor y el cliente. Es posible realizar las siguientes tareas desde la ficha Polticas:

Agregar ubicaciones. Administrar ubicaciones. Copiar polticas de grupo. Agregar grupos.
53
Es posible realizar las siguientes tareas desde la ficha Detalles:

Agregar grupos. Importar una unidad organizativa o un contenedor. Eliminar grupos. Cambiar nombres de grupos. Mover grupos. Editar propiedades de grupos.
Desde la ficha Paquetes de instalacin, es posible configurar y agregar un nuevo paquete de instalacin de clientes. Utilice el servidor de administracin para crear y despus exportar uno o ms paquetes de instalacin de clientes a un servidor de administracin en el sitio. Despus de exportar el paquete de instalacin de clientes al servidor de administracin, se instalan los archivos del paquete en los equipos cliente.
Acerca de los iconos de estado de los clientes

Cuando se ven los clientes en los grupos, aparecen iconos al lado de los clientes que indican el estado. La Tabla 1-3 ilustra y describe los iconos. Tabla 1-3 Icono Iconos de estado de los clientes Descripcin
Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.
Este icono indica el estado siguiente: El cliente no se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.

El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
54
Icono
Descripcin
Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.

El cliente es un detector no administrado.
Este icono indica el estado siguiente: El cliente no se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de equipo.

Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.
Este icono indica el estado siguiente: El cliente no se est comunicando con Symantec Endpoint Protection Manager. El cliente est en modo de usuario.

El cliente se pudo haber agregado desde la consola y puede no tener ningn software de cliente de Symantec instalado.
Este icono indica el estado siguiente: El cliente se est comunicando con Symantec Endpoint Protection Manager en otro sitio. El cliente est en modo de equipo.

55
Los usuarios en el cliente tambin pueden ver iconos de estado similares. Para obtener ms informacin, consulte la Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control.
La pgina Administrador
Es posible utilizar la pgina Administrador para administrar las cuentas de administrador, las propiedades de dominio, de servidor y de sitio, y los paquetes de instalacin de clientes para su red. Cuando se selecciona la ficha Administradores, el panel Ver muestra todos los administradores que administran el dominio en el cual el administrador inici sesin. Incluye todos los administradores del sistema, administradores y administradores limitados. La pgina Administrador de Symantec Endpoint Protection Manager contiene los paneles siguientes:
Ver administradores, Dominios, Servidores o Paquetes de instalacin. La vista que aparece depende de la seleccin que se hace en la parte inferior del panel de navegacin. Tareas El panel Tareas enumera las tareas que es posible realizar desde la pgina Administrador. Estas tareas se modifican de acuerdo con la seleccin que se hace en la parte inferior del panel de navegacin. El panel derecho El panel derecho muestra el contenido relacionado con la seleccin que se hace en la parte inferior del panel de navegacin.
Cuando se selecciona Administradores, es posible agregar, eliminar y editar cuentas de administrador. Cuando se selecciona Dominios, es posible agregar dominios, cambiar su nombre y editar sus propiedades. Dominios proporciona una manera lgica de agrupar los equipos en redes grandes. Si tiene una red pequea, probablemente utilice solamente el dominio predeterminado, cuyo nombre es Predeterminado.. Cuando se selecciona Servidores, las tareas que estn disponibles cambian basadas en lo que se ha seleccionado en el rbol de navegacin Ver servidores. Es posible seleccionar Sitio local, un servidor especfico o el host local. Cuando se selecciona Sitio local, es posible realizar las siguientes tareas:
Editar las propiedades del sitio, tales como el perodo de tiempo de espera de la consola, opciones de LiveUpdate y opciones de la base de datos. Configurar el registro externo para enviar datos de registro a un servidor de archivos o a un servidor Syslog.
56
Agregar un asociado para la replicacin del sitio. Descargar contenido de LiveUpdate. Ver el estado de LiveUpdate. Ver descargas de LiveUpdate.
Cuando se selecciona un servidor especfico, es posible realizar las siguientes tareas:
Editar las propiedades de servidor, tales como las opciones del servidor de correo, el servidor de directorios y el servidor proxy. Eliminar servidores. Administrar certificados de autenticacin de servidor. Configurar la autenticacin RSA SecurID. Importar y exportar las propiedades de este servidor como un archivo XML.
Cuando se selecciona Paquetes de instalacin, es posible agregar, eliminar, editar y exportar los paquetes de instalacin de clientes. Es posible adems enviar un paquete a los grupos y configurar opciones para recoger informacin del usuario.
Captulo
Introduccin a la proteccin bsica

Categoras de proteccin
Categoras de proteccin
Symantec Endpoint Protection proporciona varias categoras de proteccin para los equipos de su red de seguridad. Estas categoras incluyen:

Proteccin antivirus y contra software espa Proteccin contra amenazas de red Proteccin proactiva contra amenazas Integridad del host
Nota: Las polticas de integridad del host estn disponibles solamente con el producto Symantec Network Access Control. Symantec Network Access Control puede ser instalado solo o con Symantec Endpoint Protection. El resto de las categoras de proteccin vienen estndar con Symantec Endpoint Protection y no vienen con Symantec Network Access Control. La Figura 2-1 muestra las categoras de amenazas bloqueadas por cada tipo de proteccin.
58
Introduccin a la proteccin bsica Categoras de proteccin
Figura 2-1
Descripcin de la capa de proteccin
Internet
Red empresarial
Vulnerabilidades de aplicaciones Puertas traseras Vulnerabilidades del SO Caballos de Troya Gusanos Modificaciones de archivos/ procesos/registro Amenazas internas Registradores de pulsaciones Retrovirus Software espa Ataques dirigidos Caballos de Troya Gusanos Amenazas de da cero Publicidad no deseada Puertas traseras Software espa Caballos de Troya Gusanos Virus
Puertas traseras Ataques de denegacin de servicio Anlisis de puertos Ataques de pila Caballos de Troya Gusanos
Proteccin contra amenazas de red
Poltica de firewall
Tarjeta de interfaz de red
Poltica de prevencin de intrusiones
Proteccin proactiva contra amenazas
Sistema de archivos Proteccin antivirus y contra software espa
Poltica de control de aplicaciones y dispositivos
Memoria/perifricos
Poltica antivirus y contra software espa
Punto final
Acerca de la proteccin antivirus y contra software espa

La proteccin antivirus y contra software espa de Symantec Endpoint Protection proporciona proteccin contra virus y riesgos de seguridad y, en muchos casos, puede reparar sus efectos secundarios. La proteccin incluye anlisis en tiempo real de archivos y del correo electrnico, as como anlisis programados y anlisis
59
manuales. Los anlisis antivirus y contra software espa detectan virus y riesgos de seguridad, como aplicaciones de publicidad no deseada, software espa y otros archivos riesgosos para un equipo o una red. Los anlisis adems detectan rootkits de nivel de ncleo. Los rootkits son programas que intentan ocultarse del sistema operativo de un equipo y podran utilizarse para propsitos maliciosos. Es posible aplicar la poltica antivirus y contra software espa predeterminada a los equipos cliente en su red. Es posible crear polticas antivirus y contra software espa adicionales y aplicarlas segn sea necesario. Es posible editar la poltica cuando los requisitos de su red de seguridad cambien. La poltica antivirus y contra software espa predeterminada est diseada para compaas de todos los tamaos. Proporciona una proteccin fuerte al mismo tiempo que reduce al mnimo el impacto a los recursos de punto final. Ver "Fundamentos de la proteccin antivirus y contra software espa" en la pgina 402.
Acerca de la proteccin contra amenazas de red

La proteccin contra amenazas de red proporciona proteccin de firewall y prevencin de intrusiones para evitar que los ataques de intrusin y el contenido malicioso alcancen el equipo que ejecuta el cliente de Symantec Endpoint Protection. El firewall permite o bloquea el trfico de red basado en diversos criterios establecidos por el administrador o el usuario final. Las normas de firewall determinan si un punto final permite o bloquea el acceso de una aplicacin o un servicio entrante o saliente mediante su conexin de red. Las normas de firewall permiten que el cliente permita o bloquee sistemticamente aplicaciones y trfico entrantes o salientes hacia direcciones IP y puertos especficos o desde ellos. La configuracin de seguridad detecta e identifica ataques comunes, enva mensajes de correo electrnico despus de un ataque, muestra mensajes personalizables y realiza otras tareas de seguridad relacionadas. El cliente adems analiza toda la informacin entrante y saliente en busca de los patrones de datos tpicos de un ataque. Detecta y bloquea el trfico malintencionado y los intentos de ataque al equipo cliente por parte de usuarios externos. La prevencin de intrusiones tambin controla el trfico saliente y evita la propagacin de gusanos. La poltica de proteccin contra amenazas de red predeterminada est diseada para compaas de todos los tamaos. Proporciona una proteccin fuerte al mismo tiempo que reduce al mnimo el impacto a los recursos de punto final. Es posible editar la poltica predeterminada o crear nuevas polticas y aplicarlas a los puntos finales en su red.
60
Ver "Acerca de Proteccin contra amenazas de red y los ataques de red" en la pgina 482.
Acerca de la proteccin proactiva contra amenazas

La proteccin proactiva contra amenazas proporciona proteccin contra vulnerabilidades de ataques de da cero en su red. Las vulnerabilidades de ataque de da cero son las nuevas vulnerabilidades que todava no son pblicamente conocidas. Las amenazas que aprovechan estas vulnerabilidades pueden evadir la deteccin basada en firmas (tal como sofware espa y definiciones contra software espa). Los ataques de da cero se pueden utilizar en ataques dirigidos y en la propagacin de cdigo malicioso. La proteccin proactiva contra amenazas incluye lo siguiente:

Anlisis de amenazas proactivos TruScan Polticas de control de aplicaciones y dispositivos
Las opciones predeterminadas para la proteccin proactiva contra amenazas estn diseadas para compaas de todos los tamaos. Es posible editar esa configuracin y crear nuevas a medida que sus necesidades se modifican. El anlisis de amenazas proactivo utiliza la heurstica para sealar procesos y aplicaciones potencialmente dainos. La heurstica inspecciona el comportamiento de los procesos en un equipo cliente. Por ejemplo, la apertura de un puerto. Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 544. Las polticas de control de aplicaciones y dispositivos proporcionan una manera de bloquear o limitar procesos o dispositivos de hardware en los equipos cliente. Ver "Acerca del control de aplicaciones y dispositivos" en la pgina 559.
Acerca de la integridad del host y el cumplimiento de polticas de punto final

Integridad del host es la capacidad de definir, imponer y restaurar la seguridad de los clientes para asegurar redes y datos de la empresa. Se configuran polticas de integridad del host para verificar que los clientes que intentan acceder a la red estn ejecutando el software antivirus, los parches, las correcciones y otros criterios de aplicacin. Se configuran polticas de integridad del host para ejecutarse en los equipos cliente en el inicio y, luego, peridicamente. Ver "Cmo funciona la aplicacin de integridad del host" en la pgina 617. Integridad del host es una parte de Symantec Network Access Control. La poltica de integridad del host asegura que los equipos cumplan las instrucciones de TI y corrige los problemas de seguridad que encuentra. Es posible utilizar Integridad
61
del host solamente, con una poltica de cuarentena para la aplicacin automtica o con un dispositivo Enforcer de red. Poltica de integridad de host es ms eficaz cuando se utiliza con un Enforcer opcional, puesto que el dispositivo puede asegurarse de que cada equipo tenga un cliente y se configura correctamente antes de que el cliente pueda conectarse a la red. Enforcer puede ser cualquier un dispositivo del hardware que utilice uno de varios tipos de software de Enforcer o varios mdulos de aplicacin Enforcer basados en software solamente. Cuando est combinado con Enforcer, Integridad del host permite o bloquea el acceso a la red de los equipos. Cada Enforcer est diseado para diferentes necesidades de red. Para obtener ms informacin sobre Enforcer, consulte la Gua de implementacin de Symantec Network Access Control Enforcer.
62
Captulo
Configurar dominios, grupos y clientes


Acerca de su topologa de seguridad Acerca de la estructura de grupo Acerca de importar la estructura de organizacin Adicin de un dominio Administrar un dominio Agregar un grupo Eliminar un grupo Cambiar el nombre de un grupo Mover un grupo Ver las propiedades de un grupo Agregar clientes como usuarios Agregar clientes como equipos Alternar entre el modo de usuario y el modo de equipo en el cliente Bloquear clientes para que no se agreguen a grupos Mover clientes entre grupos Eliminar clientes
64
Configurar dominios, grupos y clientes Acerca de su topologa de seguridad
Ver las propiedades de un cliente Buscar clientes Filtrar la lista de clientes
Acerca de su topologa de seguridad

La configuracin de la proteccin de su red se puede considerar su topologa de seguridad. La topologa de seguridad hace referencia a la configuracin de seguridad de su empresa, incluidos los componentes reales de hardware y software de servidores y clientes. Es necesario comprender la topologa de seguridad de su red para proteger sus equipos eficazmente contra infecciones por virus y otras amenazas. Varias herramientas lo ayudan a comprender su topologa de seguridad. Una herramienta es crear un mapa, o utilizar un mapa que tenga, para ver la ubicacin lgica de sus equipos cliente. Disee este mapa de forma que sea posible aislar y limpiar sistemticamente los equipos de cada seccin antes de volver a conectarlos a su red local.
Acerca de la estructura de grupo

La estructura de organizacin para Symantec Endpoint Protection est compuesta por dominios, grupos, usuarios y equipos. La idea de los grupos es central para la configuracin de su estructura. Es muy similar al concepto de grupos de usuario en Windows. El propsito de los grupos es simplificar la aplicacin de polticas de seguridad. En vez de asignarlas a cada equipo cliente individual, es posible asignarlas a un grupo o a varios grupos. Los grupos son colecciones de equipos cliente. El servidor de Symantec Endpoint Protection Manager administra estos equipos cliente. Estas colecciones se pueden basar en diversos parmetros. Por ejemplo, el grupo puede basarse en la geografa (todos los clientes de una sucursal). Puede tambin basarse en la organizacin (todos los clientes del departamento de ventas). Defina sus grupos de una manera que corresponda a su estructura de organizacin. Un usuario es un cliente definido por el nombre de inicio de sesin. Un equipo es un cliente definido por el componente fsico de hardware. Es posible crear y ordenar los grupos en una estructura de rbol jerrquica para representar la estructura de su empresa. Se pueden asignar polticas de seguridad a los grupos y las ubicaciones dentro de esos grupos. Por lo tanto, la creacin de grupos puede ser una de las primeras cosas que hacen los administradores cuando configuran Symantec Endpoint Protection Manager. Es posible despus definir las polticas de seguridad que se basan en las necesidades de seguridad de cada grupo y aplicarlas usando el administrador.
Configurar dominios, grupos y clientes Acerca de la estructura de grupo
65
Los grupos, los usuarios y los equipos pueden ser agregados manualmente, ser importados de un servidor de directorios o ser agregados automticamente al registrar el cliente. Es posible adems importar la unidad organizativa (UO) desde un servidor de directorios (LDAP o Active Directory). Configure su estructura de organizacin de esta manera. Esta estructura sincroniza automticamente los grupos de Symantec Endpoint Protection Manager con los grupos del servidor de directorios. Ver "Acerca de importar la estructura de organizacin" en la pgina 69.
Acerca de los dominios

Los dominios permiten contener grupos, y los grupos contienen equipos y usuarios o clientes. Un administrador administra estos equipos y usuarios. Este administrador tiene una vista limitada de la consola de Symantec Endpoint Protection Manager. Tpicamente, se configuran dominios como parte de una empresa grande. Por ejemplo, un dominio puede representar una divisin dentro de una compaa, un departamento, una compaa separada o cualquier otro segmento aislado de usuarios. Un modelo comercial pequeo o mediano generalmente no se divide en dominios. Los administradores del sistema tienen acceso a todos los dominios, mientras los administradores de dominio pueden acceder solamente al dominio al cual estn asignados para trabajar. Todos los datos de cada dominio estn totalmente separados. Esta separacin impide que los administradores de un dominio vean los datos de otros dominios. Adems, los administradores no tienen acceso al icono Servidores en la pgina Administrador, y es posible restringir an ms su acceso dentro de la consola. Ver "Acerca de los administradores" en la pgina 83.
Acerca de los grupos

El propsito de los grupos y los dominios es proporcionar a los administradores una manera de administrar grupos de equipos como una unidad. Todos los clientes de una red de empresa se ordenan en grupos con necesidades y opciones de seguridad similares. Los grupos pueden contener clientes que se agregan como usuarios o equipos. Es posible crear un grupo que se base en ubicacin, departamento o cualquier otra clasificacin que cumpla las necesidades de su empresa. La estructura de grupo que se define coincide muy probablemente con la estructura de organizacin de su empresa. Es posible agrupar usuarios y equipos con necesidades informticas y requisitos de acceso a la red similares. Es posible
66
administrar estos grupos usando la ficha Clientes de Symantec Endpoint Protection Manager. Cuando se selecciona un grupo en el rbol Ver clientes, cuatro fichas de pgina se visualizan en la pgina a la derecha. Cada una de estas fichas se asocia a la administracin del grupo seleccionado. Las cuatro fichas son Clientes, Polticas, Detalles y Paquetes de instalacin. Cada una de estas fichas proporciona diversas opciones para administrar el grupo seleccionado. El grupo global es la raz de la estructura jerrquica de rbol. Debajo de ella, es posible agregar grupos y subgrupos para que reflejen la estructura de su organizacin. La estructura jerrquica de rbol incluye tambin, de manera predeterminada, el grupo temporal. Los usuarios y los equipos no siempre se asignan a un grupo apenas se registran en Symantec Endpoint Protection. Se asignan al grupo temporal cuando no pertenecen a un grupo predefinido. Nota: No es posible crear subgrupos en el grupo temporal. Figura 3-1 para ver un ejemplo de la jerarqua de rbol de grupos de una organizacin. Base la estructura de grupo de su organizacin en la ubicacin, el departamento o cualquier otra clasificacin que cumpla los requisitos de su empresa.
67
Figura 3-1
Ejemplo de jerarqua de rbol de grupos
Si crea un paquete de instalacin para la implementacin, puede incluir polticas de seguridad para un grupo especfico. En este caso, ese grupo se transforma en el grupo de equipos cliente preferido. Despus de que se instale el software de cliente de Symantec Endpoint Protection, ste se conecta a la red. Se agrega automticamente al grupo de equipos cliente preferido, a menos que alguna otra configuracin de Symantec Endpoint Protection Manager lo anule. Por ejemplo, usted pudo haber agregado manualmente un usuario o un equipo en otro grupo en la ficha Clientes. Despus de que el cliente se conecta a Symantec Endpoint Protection Manager, el grupo que se especifica en la pgina Clientes anula el especificado en el paquete de instalacin. Es posible agregar el cliente como equipo o como usuario en distintos grupos. El cliente se conecta al grupo al que se agreg en modo de equipo. El grupo que fue especificado en el paquete de cliente pudo haber sido eliminado previamente. El cliente se coloca en este grupo predeterminado cuando no se ha especificado ningn otro grupo para el usuario o el equipo en la pgina Clientes.
68
Si importa usuarios desde un servidor de Active Directory, la estructura del grupo tambin se importa.
Acerca de los clientes

Un cliente es cualquier dispositivo de red que se conecte a la red de la empresa y ejecute aplicaciones basadas en red. Los dispositivos de red pueden incluir equipos porttiles, equipos de escritorio y servidores. Un paquete de software de cliente se implementa en cada equipo o dispositivo dentro de la red. Existen dos tipos de clientes: los clientes de Symantec Endpoint Protection y los clientes de Symantec Network Access Control. Los clientes de Symantec Endpoint Protection se instalan en los equipos que dependen de Symantec Endpoint Protection para todas sus necesidades de firewall. Los clientes de Symantec Network Access Control se instalan en los equipos que no necesitan un firewall o que ya tienen un firewall de otro fabricante. Puede ejecutar ambos tipos de clientes en su red. Puede modificar tambin el tipo de software de cliente en un equipo si las necesidades de firewall del equipo se modifican. Utilice la ficha Clientes de Symantec Endpoint Protection Manager para administrar esta configuracin. Es posible aplicar diferentes polticas de seguridad a las diferentes ubicaciones. Por ejemplo, el cliente puede ser configurado para pasar automticamente a una poltica de seguridad diferente si la ubicacin fsica del cliente cambia. Una poltica puede aplicarse cuando el cliente se conecta en la oficina y otra cuando el cliente se conecta remotamente. Nota: La funcin de comprobacin de integridad del host es un complemento del grupo predeterminado de funciones de producto.
Acerca el modo de usuario y el modo de equipo

Los clientes se pueden configurar como usuarios o equipos, segn cmo desea que funcionen sus polticas de seguridad. Los clientes que se configuran como usuarios se basan en el nombre del usuario que inicia sesin en la red. Los clientes que se configuran como equipos se basan en el equipo que inicia sesin en la red. Para configurar clientes como usuarios o equipos, se agregan los usuarios y los equipos a un grupo existente. Despus de agregar un usuario o un equipo a un grupo, se asume la poltica de seguridad que fue asignada al grupo. Se puede presentar un conflicto, por ejemplo, cuando un usuario de un grupo inicia sesin en un equipo de otro grupo. La poltica de seguridad que se entrega depende del modo en el que se ejecuta el software del cliente. El modo puede ser basado en equipo o basado en usuario. Si el modo es basado en usuario, el software
Configurar dominios, grupos y clientes Acerca de importar la estructura de organizacin
69
del equipo cliente obtiene la poltica del grupo al que pertenece el usuario. Si el modo es basado en equipo, el cliente obtiene la poltica de seguridad del grupo al que pertenece el equipo. Los clientes que se configuran como usuarios se consideran que estn en modo de usuario. Los clientes que se configuran como equipos se consideran que estn en modo de equipo. El modo de equipo toma siempre precedencia sobre el modo de usuario. La mayora de los administradores definen los clientes como equipos cuando hay un equipo situado en un rea sin seguridad, como un pasillo. De esa manera, los administradores pueden controlar la poltica de seguridad sin tener en cuenta quin inicia sesin. Despus de agregar un equipo, ste se establece de forma predeterminada en el modo de equipo. De esa manera, los usuarios que inician sesin en el equipo estn restringidos a la poltica que se aplica al grupo al cual pertenece el equipo. La poltica que se aplica a otro grupo no restringe a estos usuarios. Estos usuarios no son restringidos aunque pueden estar asociados a otros grupos por nombre de usuario. Es posible agregar, eliminar y mover usuarios y equipos. Es posible tambin configurar los equipos para ser detectores no administrados en la red.
Acerca de importar la estructura de organizacin

Es posible importar estructuras de grupo o unidades organizativas. Para importar las unidades organizativas, se utiliza un servidor de directorios LDAP o a un servidor de Active Directory. Symantec Endpoint Protection puede sincronizar automticamente los grupos en la ficha Clientes con los del servidor de directorios. Ver "Acerca de las unidades organizativas y el servidor LDAP" en la pgina 282. No es posible utilizar la ficha Clientes para administrar estos grupos despus de que se importan. No es posible agregar, eliminar o mover los grupos dentro de una unidad organizativa importada. Es posible asignar polticas de seguridad a la unidad organizativa importada. Es posible adems copiar usuarios de una unidad organizativa importada a otros grupos que se enumeren en el panel Ver clientes. La poltica que fue asignada a un grupo antes de ser importada tiene prioridad. Una cuenta de usuario puede existir en la unidad organizativa y en un grupo externo. La poltica que fue aplicada al grupo externo tiene prioridad en esta situacin. Es posible importar y sincronizar informacin sobre cuentas de usuario y cuentas de equipo desde un servidor de Active Directory o de un servidor LDAP. Ver "Importar informacin sobre usuarios desde un servidor de directorios LDAP" en la pgina 278.
70
Configurar dominios, grupos y clientes Adicin de un dominio
Ver "Importacin de unidades organizativas desde un servidor de directorios activo o LDAP" en la pgina 282. Ver "Agregar servidores de directorios" en la pgina 276. Ver "Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager" en la pgina 277. Ver "Sincronizacin de unidades organizativas" en la pgina 283.
Adicin de un dominio
Solamente un administrador del sistema puede ver todos los dominios de una red de empresa. Si desea que un grupo est en ms de un dominio, agregue el grupo varias veces. Nota: Es posible agregar un ID de dominio para la recuperacin despus de un desastre. Si todos los servidores de administracin de su organizacin fallan, debe reconstruir el servidor de administracin usando el mismo ID que el servidor anterior. Es posible encontrar el ID de dominio anterior en el archivo sylink.xml en cualquier cliente. Para agregar un dominio
1 2 3 4 5 6
En la consola, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Agregar dominio. En el cuadro de dilogo Agregar dominio, escriba un nombre de dominio y un nombre de compaa opcional. En el cuadro de texto Lista de contactos, escriba opcionalmente informacin adicional, como el nombre de la persona responsable de ese sitio. Si desea agregar un ID de dominio, haga clic en Avanzadas >> y escriba el valor en el cuadro de texto ID del dominio. Haga clic en Aceptar.
Administrar un dominio
Si usted es administrador del sistema, puede crear y administrar dominios. Los administradores de dominio y los administradores limitados no pueden crear ni administrar dominios.
Configurar dominios, grupos y clientes Agregar un grupo
71
Para administrar un dominio
1 2 3
En la consola, haga clic en Administrador. En la pgina Administrador, en el panel Tareas, haga clic en Dominios. Bajo Ver dominios, haga clic en el dominio que desea administrar. No es posible administrar un dominio predeterminado.
4 5 6
En Tareas, haga clic en Administrar dominio. Haga clic en S para confirmar que desea administrar este dominio. En el cuadro de dilogo que identifica el dominio administrado, haga clic en Aceptar.
Agregar un grupo
Es posible agregar grupos despus de definir la estructura de grupo para su organizacin. La estructura de grupo coincide muy probablemente con la estructura de organizacin de su empresa. Los nombres de grupo pueden tener hasta 256 caracteres. Las descripciones de grupo pueden tener hasta 1024 caracteres. Los nombres y las descripciones de grupo pueden contener cualquier carcter excepto los siguientes: [ / \ * ? < > | :]. Nota: No es posible agregar grupos al grupo temporal. Para agregar un grupo
1 2 3 4 5
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione al grupo al que desea agregar un nuevo subgrupo. En la ficha Clientes, bajo Tareas, haga clic en Agregar grupo. En el cuadro de dilogo Agregar grupo de nombre de grupo, escriba el nombre de grupo y una descripcin. Haga clic en Aceptar.
Eliminar un grupo
Es posible eliminar los grupos que ya no se utilizan o que ya no reflejan su estructura de organizacin. Es posible eliminar un grupo solamente cuando est vaco. No puede contener ningn subgrupo, usuario o equipo. Si un grupo no est vaco, se deben mover o eliminar primero los subgrupos, los usuarios o los equipos. Adems, no es posible eliminar el grupo global o el grupo temporal.
72
Configurar dominios, grupos y clientes Cambiar el nombre de un grupo
En ciertas condiciones, Symantec Endpoint Protection Manager reconstruye un grupo eliminado para un cliente. Esta condicin puede incluir la situacin siguiente. Se crea un paquete de instalacin (un paquete de actualizacin o un paquete de nueva instalacin) que especifica ese grupo antes de eliminarlo. Adems, la configuracin de instalacin Conservar funciones existentes del cliente al actualizar est habilitada para ese paquete de instalacin. En este caso, cuando el equipo cliente se conecta al servidor de administracin, el servidor reconstruye al grupo que fue especificado en el paquete de instalacin. Para eliminar un grupo
1 2 3
En la consola, haga clic en Clientes. En la ficha Clientes, bajo Ver clientes, haga clic con el botn secundario en el grupo cuyo nombre desea eliminar y, despus, haga clic en Eliminar. En el cuadro de dilogo Eliminar, haga clic en S.
Cambiar el nombre de un grupo

Es posible cambiar el nombre de los grupos y los subgrupos para reflejar cambios en su estructura de organizacin. Es posible cambiar el nombre de un grupo para actualizar automticamente ese nombre de grupo para todos los usuarios y los equipos que ya estn asignados a ese grupo. Los equipos cliente en un grupo al que se le ha cambiado el nombre no deben cambiar de grupo ni descargar un nuevo perfil de grupo. Para cambiar el nombre de un grupo
1 2 3 4
En la consola, haga clic en Clientes. En la ficha Clientes, bajo Ver clientes, haga clic con el botn secundario en el grupo cuyo nombre desea cambiar y, despus, haga clic en Cambiar nombre. En el cuadro de dilogo Cambiar nombre de grupo de nombre de grupo, escriba el nuevo nombre de grupo. Haga clic en Aceptar.
Mover un grupo
Cualquier grupo junto con sus subgrupos, equipos y usuarios puede moverse de un nodo del rbol de grupos a otro. Sin embargo, no pueden moverse ni el grupo global ni el grupo temporal. Adems, no es posible mover los grupos del grupo temporal o mover un grupo bajo uno de sus subgrupos.
Configurar dominios, grupos y clientes Ver las propiedades de un grupo
73
Si un grupo utiliza una poltica heredada, adquiere la nueva poltica heredada del grupo al cual se mueve. Si tiene una poltica especfica aplicada, mantiene esa poltica despus del movimiento. Si no hay una poltica de grupo aplicada explcitamente al grupo que se mueve, utiliza la poltica de grupo del grupo de destino. Los clientes del grupo que se mueve utilizan el nuevo perfil. Para mover un grupo
1 2 3 4
En la consola, haga clic en Clientes. En la ficha Clientes, bajo Ver clientes, haga clic con el botn secundario en el grupo cuyo nombre desea mover y, despus, haga clic en Mover. En el cuadro de dilogo Mover grupo, seleccione el grupo del destino al cual desee mover el grupo. Haga clic en Aceptar.
Ver las propiedades de un grupo

Cada grupo tiene una pgina de propiedades. Esta pgina enumera la informacin sobre el grupo. Para ver las propiedades de un grupo
1 2 3
En la consola, haga clic en Clientes. En el panel Ver clientes, elija el grupo cuyas propiedades desea ver. Haga clic en la ficha Detalles.
Agregar clientes como usuarios

Es posible agregar manualmente usuarios a un dominio. Sin embargo, en la mayora de los casos, este procedimiento no es prctico, a menos que se desee agregar un nmero limitado de usuarios por motivos de mantenimiento. La mayora de los administradores importan listas de usuarios desde un servidor LDAP o un servidor de dominio. Es posible primero agregar manualmente un usuario a un grupo especfico e instalar ms tarde el cliente con un grupo preferido asignado a l. Esta tarea se hace asociando polticas de grupo durante la creacin del paquete. El cliente se agrega al grupo especificado en el servidor en lugar de hacerlo al grupo especificado en el paquete.
74
Configurar dominios, grupos y clientes Agregar clientes como equipos
Para agregar clientes como usuarios
1 2 3 4 5 6 7
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, ubique el grupo en el que desea agregar un cliente. En la ficha Clientes, bajo Tareas, haga clic en Agregar cuenta de usuario. En el cuadro de dilogo Agregar usuario de nombre de grupo, en el cuadro de texto Nombre de usuario, escriba el nombre del nuevo usuario. En Nombre del dominio, elija si se desea iniciar sesin en un dominio especificado o iniciar sesin en el equipo local. En el cuadro de texto Descripcin, escriba una descripcin opcional del usuario. Haga clic en Aceptar.
Agregar clientes como equipos

Se pueden agregar equipos a cualquier grupo dentro de Symantec Endpoint Protection Manager. La razn principal para agregar un equipo a un grupo es proteger ese equipo. Las polticas de seguridad de ese grupo protegen el equipo. Por ejemplo, un equipo puede estar en una ubicacin vulnerable, como un pasillo pblico. En esta situacin, el equipo se agrega a un grupo de otros equipos pblicos. Las polticas de seguridad que se aplican a este grupo se aplican tambin a cada equipo dentro del grupo. Tenga en cuenta los hechos siguientes cuando se agregan equipos a los grupos:

Es posible agregar un equipo a ms de un grupo. Es necesario saber el nombre real del equipo y el dominio antes de que se pueda agregar un equipo. La longitud mxima del nombre del equipo es de 64 caracteres. La longitud mxima del campo de descripcin es de 256 caracteres.
Es posible agregar manualmente un equipo a un grupo especfico e instalar el cliente con un grupo preferido asignado a l. Haga esta tarea asociando polticas de grupo durante la creacin del paquete. En este caso, el cliente se agrega al grupo especificado en el servidor. El cliente no se agrega al grupo especificado en el paquete de instalacin. Asegrese de que los clientes no estn bloqueados para poder agregarlos a los grupos. Ver "Bloquear clientes para que no se agreguen a grupos" en la pgina 76.
Configurar dominios, grupos y clientes Alternar entre el modo de usuario y el modo de equipo en el cliente
75
Para agregar clientes como equipos
1 2 3 4 5 6
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, ubique el grupo en el que desea agregar un cliente. En la ficha Clientes, bajo Tareas, haga clic en Agregar cuenta de equipo. En el cuadro de dilogo Agregar equipo, escriba el nombre del equipo y del dominio al que desea agregar el equipo. En el cuadro de texto Descripcin, escriba opcionalmente una breve descripcin del equipo. Haga clic en Aceptar.
Alternar entre el modo de usuario y el modo de equipo en el cliente

Los clientes pueden ejecutarse en dos diferentes modos: modo de equipo o modo de usuario. El modo de equipo toma siempre precedencia sobre el modo de usuario. El cliente en el equipo en el cual inician sesin los usuarios utiliza la poltica del grupo al cual el usuario pertenece. Este tipo de conmutacin ocurre cuando el equipo se configura en modo de usuario. Si alterna de modo de usuario a modo de equipo, tenga en cuenta las siguientes situaciones:
Es posible que el nombre del equipo an no est contenido en ningn grupo. La conmutacin al modo de equipo elimina el nombre de usuario del cliente del grupo y agrega el nombre del equipo del cliente en el grupo. El nombre del equipo del cliente y el nombre de usuario estn ambos en el mismo grupo. La conmutacin del modo de usuario al modo de equipo elimina el nombre de usuario del grupo, y el cliente adquiere el nombre del equipo. El nombre de equipo del cliente est en un grupo distinto del que contiene el nombre de usuario. La conmutacin al modo de equipo cambia el grupo del cliente al grupo del equipo. Un mensaje emergente le informa el cambio de nombre del grupo.
Cuando el cliente est en modo de equipo, el cliente utiliza la poltica del grupo al que el equipo pertenece. La poltica aplicada es independiente de quin inicia sesin en el equipo. Si alterna de modo de equipo a modo de usuario, tenga en cuenta las siguientes situaciones:
76
Configurar dominios, grupos y clientes Bloquear clientes para que no se agreguen a grupos
El nombre de usuario de inicio de sesin no est an incluido en ningn grupo. La conmutacin al modo de usuario elimina el nombre del equipo del cliente del grupo. A continuacin agrega el nombre de usuario del cliente al grupo. El grupo puede contener el nombre de usuario de inicio de sesin del cliente y el nombre de usuario de inicio de sesin del equipo. La conmutacin del modo de equipo al modo de usuario elimina el nombre del equipo del grupo. El cliente adquiere el nombre de usuario. El nombre de equipo del cliente est en un grupo distinto del que contiene el nombre de usuario. La conmutacin al modo de usuario cambia el grupo del cliente al grupo del usuario. Un mensaje emergente le informa el cambio de nombre del grupo.
Para alternar entre el modo de usuario y el modo de equipo en el cliente
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione al grupo que contiene el usuario o el equipo. En la ficha Clientes, haga clic con el botn secundario en el equipo o el nombre de usuario en la tabla y seleccione Cambiar al modo de equipo o Cambiar al modo de usuario. Este modo es una configuracin que alterna entre una u otra opcin, as que siempre se visualiza una o la otra. La informacin de la tabla se modifica para reflejar la nueva configuracin.
Bloquear clientes para que no se agreguen a grupos

Es posible configurar paquetes de instalacin de clientes con su calidad de miembro de grupo definida ya. Si define un grupo en el paquete, el cliente se agrega automticamente al grupo apropiado. El cliente se agrega la primera vez que efecta una conexin con el servidor de administracin. Es posible activar el bloqueo si no desea que los clientes se agreguen automticamente a un grupo especfico cuando se conectan a la red. Nota: La opcin de bloqueo evita que se agreguen usuarios a un grupo automticamente. Es posible bloquear un nuevo cliente para que no se agregue al grupo al que fue asignado en el paquete de instalacin de clientes. En este caso, el cliente se agrega al grupo temporal. Es posible mover manualmente un usuario o un equipo a un grupo bloqueado.
Configurar dominios, grupos y clientes Mover clientes entre grupos
77
Para bloquear clientes para que no se agreguen a grupos
1 2 3 4 5 6
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo cuyos nuevos clientes desea bloquear. Haga clic en la ficha Detalles. En la ficha Detalles, bajo Tareas, haga clic en Editar propiedades de grupo. En el cuadro de dilogo Propiedades del grupo de nombre de grupo, haga clic en Bloquear nuevos clientes. Haga clic en Aceptar.
Mover clientes entre grupos

Es posible mover a clientes entre grupos y subgrupos. El cliente pasa al nuevo grupo una vez que se mueve el cliente. No es posible mover clientes dentro de una unidad organizativa. Es posible copiar clientes de una unidad organizativa a grupos de Symantec Endpoint Protection Manager. Para mover clientes entre grupos
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, ubique el grupo que contiene los clientes que desea mover. En la ficha Clientes, haga clic con el botn secundario en los clientes que desee mover y haga clic en Mover. Utilice la tecla Mays o Control para seleccionar todos los clientes o clientes especficos.
4 5
En el cuadro de dilogo Mover grupo:nombre de grupo, seleccione el grupo al que desee mover los clientes seleccionados. Haga clic en Aceptar.
Eliminar clientes
Es posible eliminar usuarios y equipos de cualquier grupo en Symantec Endpoint Protection Manager. Tenga cuidado al eliminar usuarios y equipos. Eliminar usuarios y equipos puede afectar la poltica de seguridad que se ejecuta en el cliente. De manera predeterminada, Symantec Endpoint Protection Manager elimina automticamente los clientes inactivos despus de 30 das. Es posible deshabilitar
78
Configurar dominios, grupos y clientes Ver las propiedades de un cliente
o modificar esta opcin como configuracin de propiedades del sitio, en la ficha Servidores. Ver "Editar propiedades del sitio" en la pgina 264. Un cliente puede estar ejecutndose cuando usted lo elimina manualmente de un grupo. La prxima vez que el cliente se conecta a Symantec Endpoint Protection Manager, se volver a registrar, y se aplicarn las normas para el registro de clientes. Si su estructura del grupo incluye grupos y unidades organizativas importadas, y un cliente est en modo de equipo, se aplican las normas siguientes:

El cliente alterna a una unidad organizativa si existe el nombre del equipo all. El cliente se vuelve a registrar en el servidor.
Si un cliente est en modo de usuario, se aplican las normas siguientes:
El cliente alterna a una unidad organizativa si existe el nombre del usuario all. El cliente se vuelve a registrar en el servidor.
Para eliminar clientes
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, ubique el grupo que contiene los clientes que desea quitar. En la ficha Clientes, seleccione los clientes que desee quitar. Utilice la tecla Mays o Control para seleccionar todos los clientes o clientes especficos.
4 5
Bajo Tareas, haga clic en Eliminar clientes. En el cuadro de dilogo Eliminar, haga clic en S.
Ver las propiedades de un cliente

Cada usuario y cada equipo tienen una pgina de propiedades. El nico campo que es posible editar es el campo Descripcin en la ficha General. La pgina incluye las fichas siguientes:
General Visualiza la informacin sobre el grupo, el dominio, el nombre de inicio de sesin y la configuracin de hardware del equipo. Red
Configurar dominios, grupos y clientes Buscar clientes
79
Muestra la informacin sobre el servidor DNS, el servidor DHCP, el servidor WINS y la direccin IP del equipo.
Clientes Visualiza la informacin que se recopila del equipo cliente. Esta informacin incluye el tipo de cliente que se ejecuta en el equipo. Adems, enumera informacin especfica del software y de las polticas. Esta informacin incluye la versin del software del cliente, el nmero de serie del perfil actual, el nmero de serie de la firma actual y la ltima vez que estuvo en lnea. Informacin del usuario Visualiza la informacin sobre la persona que inici sesin actualmente el equipo. Se completa esta informacin cuando el administrador elige habilitar la recopilacin de informacin del usuario.
Ver "Recopilar informacin de usuarios" en la pgina 95. Para ver las propiedades de un cliente
1 2 3 4 5 6
En la consola, haga clic en Clientes. En el panel Ver clientes, elija el grupo con los clientes cuyas propiedades desea ver. En la ficha Clientes, seleccione el cliente. Bajo Tareas, haga clic en Editar propiedades. En el cuadro de dilogo nombre de cliente, es posible ver la informacin sobre el cliente. Haga clic en Aceptar.
Buscar clientes
Es posible que sea necesario buscar un cliente especfico cuando tiene muchos grupos y clientes en su dominio. Es posible definir los criterios de bsqueda por el tipo de datos que el servidor de administracin recopila sobre el cliente y que se solicite al usuario. Nota: Para buscar correctamente en la mayora de la informacin sobre los clientes, es necesario recopilar la informacin de usuario durante la instalacin del software de cliente o despus. Esta informacin tambin se visualiza en la ficha General y en la ficha Informacin del usuario en el cuadro de dilogo de propiedades del cliente. Ver "Ver las propiedades de un grupo" en la pgina 73.
80
Configurar dominios, grupos y clientes Filtrar la lista de clientes
Ver "Recopilar informacin de usuarios" en la pgina 95. Para buscar clientes
1 2 3 4 5 6 7 8
En la consola, haga clic en Clientes. En la ficha Clientes, bajo Ver clientes, elija el grupo que desea buscar. Bajo Tareas, haga clic en Buscar clientes. En el cuadro de dilogo Buscar clientes, en la lista desplegable Buscar, seleccione Equipos o Usuarios. Haga clic en Examinar para buscar un grupo diferente. En el cuadro de dilogo Seleccionar grupo, seleccione al grupo y haga clic en Aceptar. Bajo Criterios de bsqueda, haga clic en la lista desplegable Campo de bsqueda y seleccione los criterios mediante los cuales desea buscar. Haga clic en la lista desplegable Comparacin y seleccione un operador de comparacin. Es posible utilizar operadores booleanos estndar en sus criterios de bsqueda.
En la celda Valor, escriba la cadena de bsqueda.
10 Haga clic en Buscar. 11 Haga clic en Cerrar cuando haya terminado de buscar clientes.
Filtrar la lista de clientes

Es posible utilizar la funcin de filtro para controlar qu usuarios y equipos aparecen en la ficha Clientes. Es posible tambin seleccionar cuntos clientes aparecen en cada pgina. Cuando hay varias pginas, es posible navegar por ellas utilizando el icono Siguiente o el icono Anterior. Es posible adems pasar directamente a una pgina determinada escribiendo el nmero de pgina en el campo Nmero de pgina. Para filtrar la lista de clientes
1 2 3 4
En la consola, haga clic en Clientes. En el panel Ver clientes, elija el grupo en el que desea buscar. En el panel Tareas, haga clic en Configurar filtro de pantalla. En el cuadro de dilogo Configurar filtro de pantalla, seleccione una de los siguientes opciones:
Mostrar todos los usuarios y equipos.
81
Mostrar todos los usuarios. Mostrar todos los equipos. Mostrar estado de conexin (indicado por una luz verde al lado del nombre de usuario)
5 6
Configure el nmero de clientes que deben aparecer con un nmero entre 1 y 5.000. Haga clic en Aceptar.
82
Captulo
Administrar administradores

Acerca de los administradores Acerca de administrar administradores Agregar un administrador Conmutacin entre un administrador limitado y no limitado y configuracin de derechos de acceso Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin Autenticar administradores Cambiar el nombre de un administrador Modificar la contrasea de un administrador Quitar un administrador
Acerca de los administradores

Symantec Endpoint Protection Manager utiliza administradores para implementar sus funciones. Se utilizan tres tipos de roles de administrador: administrador del sistema, administrador y administrador limitado. Cada uno de estos roles de administrador tiene un grupo diferente de privilegios y tareas para realizar. El administrador del sistema es el administrador principal de un sistema. Un administrador que se seala como administrador del sistema puede hacer cualquier cosa en un sistema. Un administrador est un nivel por debajo de un administrador
84
Administrar administradores Acerca de administrar administradores
del sistema. Un administrador es el administrador principal dentro del dominio que administra. Un administrador no puede crear ni eliminar dominios. Un administrador tampoco puede acceder a los servidores de administracin o los servidores de Enforcer. Los administradores limitados realizan el trabajo que les asigna el administrador del sistema o el administrador. Adems, pueden configurar sus propios atributos, incluidas las opciones de seguridad y de notificacin. La Tabla 4-1 enumera las responsabilidades de cada rol de administrador. Tabla 4-1 Roles y responsabilidades de los tipos de administrador Responsabilidades

Rol de administrador
Administrador del sistema
Administra dominios.
Crea y administra administradores del sistema, administradores y administradores limitados. Administra los servidores. Administrador

Administra un nico dominio.
Crea administradores y administradores limitados dentro del dominio. Elimina y modifica los administradores que se crean dentro de un nico dominio. Modifica los atributos de los administradores que se crean en el dominio. Estos atributos incluyen opciones de notificaciones, seguridad y permiso. Administrador limitado
Administra derechos de acceso, derechos de informe y opciones de notificacin para grupos especficos dentro de un nico dominio. Realiza el trabajo que el administrador del sistema o el administrador asigna. No puede crear, eliminar ni modificar dominios u otros administradores. No puede modificar los derechos de acceso del administrador limitado mismo. No puede configurar el servidor de administracin ni el servidor de Enforcer.
Acerca de administrar administradores

Es posible crear los tres tipos de administradores que se utilizan: administradores del sistema, administradores y administradores limitados. Los administradores y los administradores limitados son ambos administradores de dominio.
Administrar administradores Agregar un administrador
85
Los administradores del sistema pueden ver y modificar el sistema entero, mientras que los administradores pueden ver y modificar solamente sus propios dominios. Los administradores del sistema tienen derechos de acceso total a todas las pginas y fichas de Symantec Endpoint Protection Manager. Los administradores solamente tienen privilegios de informes. No tienen ningn acceso a los dominios o servidores, y es posible restringir su acceso a otras opciones. Las tareas que un administrador puede realizar dependen del tipo de administrador. Por ejemplo:
Un administrador del sistema ve el resto de los administradores del sistema, todos los administradores y todos los administradores limitados asociados al dominio actual. Un administrador ve los administradores de dominio y los administradores limitados asociados al dominio que el administrador administra actualmente. Un administrador limitado se ve solamente a s mismo.
Cuando se instala el administrador de Symantec Endpoint Security, se crea un administrador del sistema predeterminado llamado admin. Es posible ver cada uno de los administradores que administran el dominio en el cual est registrado el administrador. Esta lista incluye todos los administradores del sistema, administradores y administradores limitados.
Agregar un administrador
A medida que su red se expande o cambia, es posible que el nmero de administradores resulte escaso para cumplir sus necesidades. En tal punto, es posible agregar uno o ms administradores. Cuando se agrega un administrador, se especifican las funcionalidades y las restricciones del administrador. Como administrador del sistema, es posible agregar otro administrador del sistema, administrador o administrador limitado. Ver Tabla 4-1 en la pgina 84. La lista siguiente contiene informacin adicional sobre la creacin de administradores del sistema:
Los administradores del sistema tienen derechos de acceso total. Es posible adems agregar administradores y administradores limitados, que tienen derechos de acceso ms limitados. Si no especifica ningn derecho de acceso para un administrador, el administrador se crea en un estado deshabilitado y no puede iniciar sesin.
Ver "Acerca de los administradores" en la pgina 83.
86
Administrar administradores Agregar un administrador
Para agregar un administrador
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Administradores y despus haga clic en Agregar administrador. En el cuadro de dilogo Agregar administrador, escriba el nombre del administrador. Este nombre es el nombre con el cual el administrador inicia sesin y por el cual es reconocido dentro de la aplicacin.
Escriba opcionalmente el nombre completo del administrador en el segundo cuadro de texto. Este campo tiene propsitos informativos solamente.
Escriba y vuelva a escribir la contrasea. La contrasea debe ser de seis o ms caracteres; se permiten todos los caracteres.
Especifique el tipo de autenticacin. El valor predeterminado es Autenticacin del Servidor de administracin de Symantec. Si desea utilizar el valor predeterminado, vaya al paso 9.
7 8
Si desea modificarlo por otro tipo de autenticacin, haga clic en Cambiar. En el cuadro de dilogo Autenticacin del administrador, elija una de las siguientes opciones:
Autenticacin del Servidor de administracin de Symantec Ver "Agregar servidores de directorios" en la pgina 276. Autenticacin de RSA SecurID Ver "Configurar Symantec Endpoint Protection Manager para utilizar la autenticacin de RSA SecurID" en la pgina 292. Autenticacin de directorios A continuacin, escriba el servidor de directorios y el nombre de cuenta en los cuadros de texto apropiados.
Seleccione uno de los siguientes tipos de administrador:

Administrador del sistema, y despus vaya al paso 12. Administrador, y despus vaya al paso 10. Administrador limitado, y despus vaya al paso 11.
Administrar administradores Conmutacin entre un administrador limitado y no limitado y configuracin de derechos de acceso
87
10 Si seleccion Administrador, haga clic en Derechos de informes para

especificar qu informes puede ejecutar el administrador, basado en equipos, direcciones IP, grupos de servidores, grupos de clientes y servidores principales. Salte al paso 12.
11 Si seleccion Administrador limitado, es posible especificar los derechos de

acceso haciendo una o varias de las acciones siguientes:

Active Ver informes y despus haga clic en Derechos de informes. Active Administrar clientes y despus haga clic en Derechos de grupo. Es posible especificar a qu grupos el administrador tiene acceso completo, acceso de slo lectura o ningn acceso. Haga clic en Administrar polticas. Es posible autorizar al administrador para crear solamente polticas no compartidas para una ubicacin haciendo clic en Slo permitir la edicin de polticas especficas de la ubicacin.
12 Haga clic en Aceptar.
Conmutacin entre un administrador limitado y no limitado y configuracin de derechos de acceso

Es posible transformar un administrador no limitado en un administrador limitado y es posible transformar un administrador limitado en un administrador no limitado. Es posible tambin modificar los derechos de acceso y las restricciones de elaboracin de informes para los administradores y los administradores limitados. Para alternar entre un administrador no limitado y uno limitado y configurar derechos de acceso
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador. Bajo Tareas, haga clic en Editar propiedades del administrador y despus haga clic en Derechos de acceso. En la ficha Derechos de acceso, realice una de las siguientes tareas:
Seleccione Administrador y despus vaya al paso 7.
88
Administrar administradores Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
Si migr desde Symantec AntiVirus 10.x y anterior y desea que el administrador ejecute informes para estos grupos de servidores migrados, haga clic en Derechos de informes.
Seleccione Administrador limitado.
Realice una de las acciones siguientes:

Active Ver informes y despus haga clic en Derechos de informes. Active Administrar clientes y despus haga clic en Derechos de grupo. Es posible especificar qu nivel de acceso tiene el administrador para cada grupo. Active Administrar polticas. Para restringir el administrador de forma que slo pueda crear polticas no compartidas para una ubicacin, haga clic en Slo permitir la edicin de polticas especficas de la ubicacin.
Haga clic en Aceptar.
Bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin

Es posible bloquear la cuenta del administrador si piensa que un usuario intenta iniciar sesin en el servidor de administracin demasiadas veces. Es posible tambin configurar el servidor de administracin para que enve un mensaje de correo electrnico de notificacin al administrador despus de que el administrador quede bloqueado. Esta capacidad es til si la persona que inicia sesin no es el administrador. Es posible configurar las opciones siguientes para bloquear la cuenta de un administrador:
El valor de intento de inicio de sesin errneo se restablece en 0 despus de que el administrador inicia sesin correctamente y termina la sesin ms tarde. El administrador tiene el nmero completo de intentos para iniciar sesin de nuevo ms tarde. Despus de que el administrador alcanza el lmite de intentos de inicio de sesin incorrectos, la cuenta se bloquea. El administrador debe entonces esperar hasta alcanzar el nmero especificado de minutos de espera antes de iniciar sesin de nuevo.
Administrar administradores Autenticar administradores
89
Para bloquear la cuenta de un administrador despus de demasiados intentos de inicio de sesin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador. Bajo Tareas, haga clic en Editar propiedades del administrador. En la ficha General, en el cuadro de texto de correo electrnico, escriba la direccin de correo electrnico del administrador. El servidor de administracin enva un mensaje de correo electrnico a esta direccin cuando el servidor de administracin bloquea la cuenta del administrador. Es necesario marcar la casilla de verificacin Enviar alerta de correos electrnicos cuando se bloquea la cuenta para enviar el mensaje de correo electrnico.
6 7
Bajo Umbral de intentos de inicio de sesin, mueva el control deslizante para configurar el nmero de intentos de inicio de sesin incorrectos permitidos. Para bloquear la cuenta cuando el administrador ha excedido el nmero de intentos de inicio de sesin, haga clic en Bloquear esta cuenta cuando los intentos de inicio de sesin exceden el umbral. Para enviar un mensaje de correo electrnico al administrador despus de que el servidor de administracin bloquea la cuenta del administrador, marque Enviar una alerta de correos electrnicos cuando la cuenta est bloqueada y configure el nmero de minutos. Haga clic en Aceptar.
Autenticar administradores
Cuando se agrega un administrador, es posible especificar qu software de autenticacin utiliza el servidor de administracin para autenticar cuentas de administrador. Es posible autenticar administradores usando el servidor de administracin con RSA SecurID. Se debe verificar que haya un servidor RSA existente y que se haya instalado y configurado el servidor RSA SecurID en un equipo separado. Adems verifique que el servidor RSA SecurID pueda comunicarse con el agente de SecurID. Es posible habilitar la seguridad RSA para las cuentas de administrador en Symantec Endpoint Protection Manager. Se admiten los siguientes mecanismos de inicio de sesin RSA:
90
Administrar administradores Cambiar el nombre de un administrador
Token RSA SecurID (no tokens de software RSA) Tarjeta RSA SecurID Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
Para autenticar administradores
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador. Bajo Tareas, haga clic en Editar propiedades del administrador y despus haga clic en Autenticacin. En la ficha Autenticacin, seleccione una de las siguientes opciones de autenticacin que desee utilizar para autenticar la cuenta del administrador:
Autenticacin del Servidor de administracin de Symantec Ver "Agregar servidores de directorios" en la pgina 276. Autenticacin de RSA SecurID Ver "Configurar Symantec Endpoint Protection Manager para utilizar la autenticacin de RSA SecurID" en la pgina 292. Autenticacin de directorios A continuacin, escriba el servidor de directorios y el nombre de la cuenta del administrador.
Cambiar el nombre de un administrador

Para modificar responsabilidades o asignaciones de organizacin, es posible modificar el nombre que se ha dado a un administrador. Para cambiar el nombre de un administrador
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador al que cambiar el nombre.
Administrar administradores Modificar la contrasea de un administrador
91
4 5
Bajo Tareas, haga clic en Cambiar el nombre del administrador. En el cuadro de dilogo Cambiar el nombre del administrador para nombre, modifique el nombre y despus haga clic en Aceptar.
Modificar la contrasea de un administrador

Por motivos de seguridad, es posible que sea necesario modificar la contrasea de un administrador. Cuando usted primero configur el servidor de administracin en el Asistente para la configuracin del servidor de administracin, tuvo la posibilidad de seleccionar una instalacin simple o avanzada. Si seleccion la instalacin simple, la contrasea especificada es igual que la contrasea de cifrado. Si modifica la contrasea del administrador, la contrasea de cifrado no se modifica. Para modificar la contrasea de un administrador
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador. Bajo Tareas, haga clic en Cambiar la contrasea del administrador. Escriba y confirme la nueva contrasea. La contrasea debe tener seis o ms caracteres de largo y se permiten todos los caracteres.
Quitar un administrador
Es posible quitar un administrador cuando ya no sea necesario. Para quitar un administrador
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Administradores. Bajo Ver administradores, seleccione el administrador que se eliminar. En el panel Tareas, haga clic en Eliminar administrador. En el cuadro de dilogo Eliminar administrador para nombre, haga clic en S para confirmar que desea quitar el administrador.
92
Administrar administradores Quitar un administrador
Captulo
Trabajar con paquetes de instalacin de clientes


Acerca de los paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes Exportar paquetes de instalacin de clientes Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes Eliminar paquetes de actualizacin
Acerca de los paquetes de instalacin de clientes

Para administrar equipos con la Consola de Symantec Endpoint Protection Manager, es necesario exportar por lo menos un paquete de instalacin de clientes a un servidor de administracin en el sitio. Despus de exportar el paquete de instalacin de clientes, se instalan los archivos del paquete en los equipos cliente. Es posible exportar paquetes para clientes administrados por Symantec, clientes administrados por terceros y clientes no administrados. Es posible utilizar la Consola de Symantec Endpoint Protection Manager para exportar estos paquetes como nico archivo ejecutable o como una serie de archivos en un directorio. El mtodo que se elige depende de su mtodo de implementacin y de si desea actualizar el software de cliente en grupos desde la consola de administracin. El archivo ejecutable est disponible para las herramientas de instalacin de otros fabricantes y para la conservacin de ancho de banda potencial. Tpicamente, si se utiliza un objeto de directivas de grupo de Active Directory, se elige no exportar a un solo archivo ejecutable.
94
Trabajar con paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes
Durante el proceso de exportacin, se seleccionan los paquetes de instalacin de 32 bits o de 64 bits proporcionados de forma predeterminada. A continuacin, se seleccionan opcionalmente las tecnologas especficas de proteccin de clientes que se instalarn, si no desea instalar todos los componentes. Es posible adems especificar cmo la instalacin interacta con los usuarios finales. Finalmente, es posible instalar los archivos exportados (un paquete) a los equipos uno a la vez, o implementar los archivos exportados a varios equipos simultneamente. Para conocer las opciones de implementacin de instalacin de clientes, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control en el CD. Symantec proporciona de vez en cuando paquetes actualizados de archivos de instalacin. Cuando el software de cliente se instala en los equipos cliente, es posible actualizar automticamente el software de cliente en todos los clientes de un grupo con la funcin de actualizacin automtica. No es necesario volver a distribuir el software con las herramientas de distribucin de instalacin.
Configurar opciones de los paquetes de instalacin de clientes

Cuando se exportan los paquetes de instalacin de clientes, se puede seleccionar qu componentes de los clientes se instalan y cmo. Es posible solicitar a los usuarios que enven informacin sobre s mismos, que luego aparece como propiedades para los equipos en la consola.
Configurar funciones del paquete de instalacin

Las funciones de instalacin son los componentes de clientes que estn disponibles para la instalacin. Por ejemplo, si se crean paquetes de Symantec Endpoint Protection, es posible seleccionar instalar las funciones de antivirus y de firewall. O es posible seleccionar instalar la funcin de antivirus solamente. Es necesario dar un nombre a cada grupo de selecciones. A continuacin, seleccione un grupo de funciones con nombre cuando se exportan los paquetes de software de cliente de 32 bits y de 64 bits. Para configurar funciones del paquete de instalacin
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. Bajo Ver paquetes de instalacin, haga clic en Conjuntos de funciones de instalacin de clientes.
Trabajar con paquetes de instalacin de clientes Configurar opciones de los paquetes de instalacin de clientes
95
3 4 5 6 7
Bajo Tareas, haga clic en Editar conjunto de funciones de instalacin de clientes. En el cuadro de dilogo Agregar conjunto de funciones de instalacin de clientes, en el cuadro Nombre, escriba un nombre. En el cuadro Descripcin, escriba una descripcin del conjunto de funciones de instalacin de clientes. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
Configurar opciones de paquetes de instalacin de clientes

Las opciones de instalacin afectan la forma en que el software de instalacin de clientes se instala en los equipos cliente. Es necesario dar un nombre a cada grupo de selecciones. A continuacin, seleccione un conjunto de opciones de paquete con nombre cuando se exportan los paquetes de software de cliente de 32 bits y de 64 bits. Para configurar opciones de paquetes de instalacin de clientes
1 2 3 4 5 6
En la ficha Administrador, en el panel inferior izquierdo, haga clic en Paquetes de instalacin. Bajo Ver paquetes de instalacin, haga clic en Valores de configuracin de instalacin de clientes. Bajo Tareas, haga clic en Agregar valores de configuracin de instalacin de clientes. En el cuadro de dilogo Configuracin de instalacin de clientes, en el cuadro Nombre, escriba un nombre. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
Recopilar informacin de usuarios

Es posible solicitar a usuarios en los equipos cliente que escriban informacin sobre s mismos durante el proceso de instalacin del software de cliente o durante las actualizaciones de polticas. Es posible recopilar informacin como el nmero de telfono mvil del empleado, el cargo y la direccin de correo electrnico. Despus de que usted recoja esta informacin, debe conservarla y actualizarla manualmente.
96
Trabajar con paquetes de instalacin de clientes Exportar paquetes de instalacin de clientes
Nota: Despus de habilitar la visualizacin del mensaje en el equipo cliente por primera vez y que el usuario responda con la informacin solicitada, el mensaje no aparece de nuevo. Incluso si se editan campos o se deshabilita y se vuelve a permitir el mensaje, el cliente no visualiza un nuevo mensaje. Sin embargo, el usuario puede editar la informacin en cualquier momento, y el servidor de administracin extrae esa informacin. Para recopilar informacin de usuarios
1 2 3 4 5 6 7
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. Bajo Ver paquetes de instalacin, haga clic en Paquetes de instalacin de clientes. En el panel Paquetes de instalacin de clientes, haga clic en el paquete para el cual desee recopilar informacin de usuarios. Bajo Tareas, haga clic en Configurar la recopilacin de informacin de usuarios. En el cuadro de dilogo Configurar la recopilacin de informacin de usuarios, active Recopilar informacin del usuario. En el cuadro de texto Mensaje emergente, escriba el mensaje que desea que los usuarios lean cuando se les pida informacin. Si desea que el usuario tenga la posibilidad de posponer la recopilacin de informacin del usuario, active Habilitar Recordrmelo ms tarde y establezca un tiempo en minutos. Bajo Seleccione los campos que se mostrarn para que el usuario proporcione informacin, haga clic en el tipo de informacin que se recopilar y despus haga clic en Agregar. Es posible seleccionar uno o ms campos simultneamente presionando la tecla Mays o la tecla Control.
En la columna Opcional, active la casilla de verificacin junto a cada campo que se desee definir como opcional para que el usuario complete.
Exportar paquetes de instalacin de clientes

Cuando se exportan paquetes de software de cliente, usted crea los archivos de instalacin de clientes para la implementacin. Cuando se exportan los paquetes, se debe ir a un directorio que contendr los paquetes exportados. Si especifica un
Trabajar con paquetes de instalacin de clientes Exportar paquetes de instalacin de clientes
97
directorio que no existe, ste se crea automticamente. El proceso de exportacin crea subdirectorios con nombres descriptivos en este directorio y pone los archivos de instalacin en estos subdirectorios. Por ejemplo, si se crea un paquete de instalacin para un grupo denominado MiGrupo bajo Global, se crea un directorio denominado Global_MiGrupo. Este directorio contiene el paquete de instalacin exportado. Nota: Esta convencin de nomenclatura no hace una distincin entre los paquetes de instalacin de clientes para Symantec Endpoint Protection y Symantec Network Access Control. El nombre del paquete exportado para un solo ejecutable es Setup.exe para Symantec Endpoint Protection y Symantec Network Access Control. Por lo tanto, asegrese de crear una estructura de directorios que le permita distinguir entre los archivos de instalacin de Symantec Endpoint Protection y de Symantec Network Access Control. Tiene una decisin importante para tomar cuando se exportan los paquetes. Es necesario decidir si crear un paquete de instalacin para los clientes administrados o para los no administrados. Si crea un paquete para los clientes administrados, es posible administrarlos con la Consola de Symantec Endpoint Protection Manager. Si crea un paquete para los clientes no administrados, no es posible administrarlos con la Consola de Symantec Endpoint Protection Manager. Nota: Si exporta los paquetes de instalacin de clientes desde una Consola de Symantec Endpoint Protection Manager remota, los paquetes se crean en el equipo desde el cual se ejecuta la consola de administracin remota. Adems, si se utilizan varios dominios, es necesario exportar los paquetes para cada dominio. Si no, no aparecen como disponibles para los grupos del dominio. Despus de exportar uno o ms paquetes de instalacin de archivos, implemente los archivos de instalacin en los equipos cliente. Para obtener informacin sobre la instalacin de software de cliente, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control en el CD. Para exportar paquetes de instalacin de clientes
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Paquetes de instalacin. Bajo Ver paquetes de instalacin, haga clic en Paquetes de instalacin de clientes.
98
Trabajar con paquetes de instalacin de clientes Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes
3 4 5 6
En el panel Paquetes de instalacin de clientes, bajo Nombre del paquete, haga clic en el paquete que desea exportar. En el panel inferior izquierdo, bajo Tareas, haga clic en Exportar paquete de instalacin de clientes. En el cuadro de dilogo Exportar paquete, haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta de exportacin, busque y seleccione el directorio que contendr el paquete exportado y despus haga clic en Aceptar. Los directorios con caracteres de doble byte o hi-ASCII no se admiten y se bloquean..
7 8 9
En el cuadro de dilogo Exportar paquete, configure las otras opciones segn sus metas de instalacin. Para obtener informacin acerca de la configuracin de otras opciones en este cuadro de dilogo, haga clic en Ayuda. Haga clic en Aceptar.
Agregar actualizaciones de paquetes de instalacin de clientes y actualizar clientes

Cuando Symantec proporciona actualizaciones para los paquetes de instalacin de clientes, usted primero los agrega a Symantec Endpoint Protection Manager y luego los hace disponibles para su exportacin. Sin embargo, no es necesario reinstalarlos con herramientas de distribucin de clientes. La manera ms fcil de actualizar los clientes en los grupos con el ltimo software es utilizar la consola para actualizar el grupo que contiene los clientes. Se debe primero actualizar un grupo con una pequea cantidad de equipos de prueba. Es posible adems actualizar clientes con LiveUpdate si se permite que los clientes ejecuten LiveUpdate y si la poltica de configuracin de LiveUpdate permite actualizaciones.
Agregar actualizaciones de paquetes de instalacin de clientes

Se reciben actualizaciones de los paquetes de instalacin de clientes de Symantec y, entonces, se las agrega a la base de datos del sitio para que estn disponibles para su distribucin desde Symantec Endpoint Protection Manager. Es posible exportar los paquetes durante este paso para poner el paquete a disposicin para su implementacin en equipos que no tienen el software de cliente.
99
Nota: Un paquete de instalacin que se importa consiste en dos archivos. Un archivo denominado nombre_producto.dat y otro archivo denominado nombre_producto.info. Para agregar una actualizacin de un paquete de instalacin de clientes
1 2 3 4 5 6 7
Copie el paquete en un directorio del equipo que ejecuta Symantec Endpoint Protection Manager. En la consola, haga clic en Administrador. Bajo Tareas, haga clic en Paquetes de instalacin. Bajo Tareas, haga clic en Agregar paquete de instalacin de clientes. En el cuadro de dilogo Agregar paquete de instalacin de clientes, escriba un nombre y una descripcin para el paquete. Haga clic en Examinar. En el cuadro de dilogo Seleccionar carpeta, localice y seleccione el archivo nombre_producto.info para el nuevo paquete y despus haga clic en Seleccionar. Cuando se indica que se complet correctamente, realice una de las siguientes acciones:
Si no desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Cerrar. Se ha terminado con este procedimiento. Si desea exportar los archivos de instalacin y hacerlos disponibles para la implementacin, haga clic en Exportar este paquete y despus finalice este procedimiento.
En el cuadro de dilogo Exportar paquete, haga clic en Examinar. seleccione el directorio que contendr el paquete exportado y despus haga clic en Aceptar.
10 En el cuadro de dilogo Seleccionar carpeta de exportacin, busque y
11 En el cuadro de dilogo Exportar paquete, seleccione un grupo y despus

configure las otras opciones segn sus objetivos de instalacin.
12 Para obtener informacin acerca de la configuracin de otras opciones en

este cuadro de dilogo, haga clic en Ayuda.
100
Actualizar clientes en uno o ms grupos

Es posible actualizar clientes en uno o ms grupos desde el panel Administrador y el panel Cliente. Nota: Tiene un control mucho mayor sobre la manera en que se distribuye el paquete si actualiza los clientes desde el panel Clientes. Para actualizar clientes en uno o ms grupos desde la pgina Administrador
Si an no lo ha hecho, visualice el panel Paquetes de instalacin de clientes realizando los pasos siguientes:

En la consola, haga clic en Administrador. Bajo Tareas, haga clic en Paquetes de instalacin y despus haga clic en Actualizar los grupos con el paquete.
2 3
En el panel Asistente para actualizar grupos, haga clic en Siguiente. En el panel Seleccionar paquete de instalacin de clientes, bajo Seleccione el nuevo paquete de instalacin de clientes, seleccione el paquete que agreg y despus haga clic en Siguiente. En el panel Especificar grupos, marque los grupos que desee actualizar y despus haga clic en Siguiente. En el panel Configuracin de actualizacin de paquetes, marque Descargar del servidor de administracin y haga clic en Siguiente. En el panel Finaliz el Asistente para actualizar grupos, haga clic en Finalizar.
4 5 6
Para actualizar clientes en uno o ms grupos desde la pgina Clientes
1 2 3 4
En la consola, haga clic en Clientes. En el panel Ver clientes, seleccione un grupo al cual se asign el paquete. En la ficha Paquetes de instalacin, bajo Tareas, haga clic en Agregar paquete de instalacin de clientes. En las fichas General y Notificacin, seleccione las opciones que controlan cmo desea distribuir la actualizacin. Para obtener informacin acerca de la configuracin de otras opciones, haga clic en Ayuda.
Cuando termine de configurar las opciones de distribucin de la actualizacin, haga clic en Aceptar.
Trabajar con paquetes de instalacin de clientes Eliminar paquetes de actualizacin
101
Eliminar paquetes de actualizacin

Los paquetes de actualizacin se almacenan en la base de datos. Cada uno de estos paquetes de actualizacin necesita hasta 180 MB de espacio en la base de datos, por lo que es necesario eliminar los paquetes de actualizacin de software anteriores que ya no necesite. No elimine los paquetes del sistema de archivos; se eliminan solamente de la base de datos. Por lo tanto, es posible agregarlos de nuevo si son necesarios en una fecha futura. Nota: No elimine los paquetes que se instalaron en sus equipos cliente. Para eliminar paquetes de actualizacin
1 2 3 4 5
En la consola, haga clic en Administrador. Bajo Tareas, haga clic en Paquetes de instalacin. En el panel Paquetes de instalacin de clientes, seleccione el paquete que desea eliminar. Bajo Tareas, haga clic en Eliminar paquete de instalacin de clientes. En el cuadro de dilogo Eliminar paquete de instalacin de clientes, haga clic en S.
102
Trabajar con paquetes de instalacin de clientes Eliminar paquetes de actualizacin
Captulo
Actualizar definiciones y contenido


Acerca de LiveUpdate y las actualizaciones de definiciones y contenido Configurar un sitio para descargar actualizaciones Configurar polticas de LiveUpdate Opciones avanzadas de distribucin de actualizaciones
Acerca de LiveUpdate y las actualizaciones de definiciones y contenido

LiveUpdate es el nombre de la tecnologa que busca y distribuye actualizaciones de definiciones y contenido a los equipos cliente. Estas actualizaciones incluyen definiciones de virus y software espa, firmas IPS, actualizaciones de productos, entre otras, para los clientes de Symantec Endpoint Protection. Puede permitir que los usuarios finales ejecuten LiveUpdate en los equipos cliente y programar LiveUpdate para que se ejecute en los equipos cliente en las horas especificadas. Cuando se ejecuta LiveUpdate y determina que es necesario realizar actualizaciones, LiveUpdate descarga e instala las actualizaciones para las que est configurado y tiene permiso de ejecutar. Para Symantec Endpoint Protection, dos polticas diferentes controlan cmo y cundo se distribuyen estas actualizaciones a los clientes, y controlan los tipos de actualizaciones. Con la primera poltica, se define el servidor de actualizaciones que utilizan los equipos cliente, y se define la frecuencia con la que los clientes analizan el servidor para obtener actualizaciones. Con la segunda poltica, se define el tipo de actualizaciones que deben descargar los clientes del servidor.
104
Actualizar definiciones y contenido Acerca de LiveUpdate y las actualizaciones de definiciones y contenido
Para Symantec Network Access Control, solamente se admite el primer tipo de polticas.
Acerca de las arquitecturas de distribucin de redes

Estn disponibles varias arquitecturas de red para actualizar clientes. La arquitectura de su red depende de la disponibilidad y la conservacin del ancho de banda. Las redes muy pequeas pueden programar clientes para obtener actualizaciones directamente de Symantec. Las redes entre pequeas y medianas de hasta un par de mil clientes pueden utilizar la configuracin predeterminada. La configuracin predeterminada es hacer que Symantec Endpoint Protection Manager obtenga actualizaciones de un servidor de Symantec LiveUpdate y despus proporcionar esas actualizaciones a los equipos cliente administrados. Las redes ms grandes pueden introducir proveedores de actualizaciones grupales. La Figura 6-1 ilustra estas opciones relativamente simples de la arquitectura. Figura 6-1 Opciones simples de la arquitectura de distribucin de la actualizacin
Symantec LiveUpdate
Grupo de clientes
Servidor de administracin
Grupos de clientes
Proveedor de actualizaciones grupales (cliente)
Clientes Grupo de clientes
105
El proveedor de actualizaciones grupales es una opcin que puede utilizar en cualquier grupo. Cuando crea la poltica de LiveUpdate para el grupo, puede especificar un cliente para descargar actualizaciones. Es posible enviar las actualizaciones a los otros clientes del grupo. El proveedor de actualizaciones grupales no tiene que estar en el grupo y puede actualizar varios grupos. En redes grandes de ms de 10 000 clientes, est disponible un servidor interno de LiveUpdate para conservar el ancho de banda. Esta arquitectura conserva la capacidad de procesamiento en el servidor de administracin. En este caso, es posible configurar el servidor interno de LiveUpdate para descargar actualizaciones de un servidor de Symantec LiveUpdate y enviar actualizaciones a los equipos cliente. Con esta arquitectura, el servidor de administracin descarga las funciones de la actualizacin, pero sigue procesando registros y actualizaciones de polticas. El servidor interno de LiveUpdate tambin es til para las redes que ejecutan varios productos de Symantec que tambin ejecutan LiveUpdate para actualizar clientes. Figura 6-1 ilustra estas opciones ms complejas de la arquitectura.
106
Figura 6-2
Opciones ms complejas de la arquitectura de distribucin de la actualizacin
Symantec LiveUpdate
Servidor de LiveUpdate
Servidor de LiveUpdate
Grupos de clientes
Grupos de clientes
Nota: Estn disponibles dos opciones adicionales de la arquitectura. Una opcin proporciona la administracin de otro fabricante con herramientas como Microsoft SMS e IBM Tivoli. La otra opcin proporciona un servidor proxy que se ubica entre el servidor interno de LiveUpdate y los servidores de administracin, y los clientes que actualiza. Para obtener informacin acerca del servidor proxy, consulte la Gua del administrador de LiveUpdate en el CD de instalacin. La Tabla 6-1 describe las opciones ms comunes de la arquitectura.
107
Tabla 6-1 Arquitectura Descripcin
Opciones de la arquitectura de distribucin de actualizaciones Cundo se lo debe utilizar

Utilice esta arquitectura como el mtodo ms fcil de implementar. Se instala y se configura de forma predeterminada despus de la instalacin del servidor de administracin. Es posible adems combinar este mtodo con el proveedor de actualizaciones grupales.
Symantec Endpoint De forma predeterminada, Symantec Protection Manager para Endpoint Protection Manager actualiza los los clientes clientes que administra, y los servidores de administracin extraen estas (Valor predeterminado) actualizaciones de la base de datos del sitio. La base de datos del sitio recibi actualizaciones de un servidor de Symantec LiveUpdate. Proveedor de El proveedor de actualizaciones grupales es actualizaciones grupales un cliente que acta como proxy entre para los clientes Symantec Endpoint Protection Manager y los clientes del grupo. El proveedor de actualizaciones grupales recibe actualizaciones de un servidor de administracin o de LiveUpdate, y luego transmite las actualizaciones a los otros clientes del grupo. Un proveedor de actualizaciones grupales puede actualizar varios grupos. Servidor de LiveUpdate para los clientes Los clientes pueden extraer actualizaciones directamente de un servidor de LiveUpdate. El servidor de LiveUpdate puede ser un servidor externo de Symantec LiveUpdate, o un servidor interno de LiveUpdate que recibe actualizaciones de un servidor externo de Symantec LiveUpdate.
Utilice este mtodo para los grupos ubicados junto a ubicaciones remotas con ancho de banda mnimo. Adems, este mtodo reduce la carga en los servidores de administracin.
Utilice el servidor externo de Symantec LiveUpdate para los equipos cliente no administrados que no se conectan siempre a la red corporativa. Utilice el servidor interno de LiveUpdate en redes grandes para reducir la carga del servidor de Symantec Endpoint Protection Manager.
Nota: No configure una gran cantidad de

clientes administrados, conectados para extraer actualizaciones de un servidor externo de Symantec LiveUpdate. Esta configuracin consume cantidades innecesarias de ancho de banda de la gateway de Internet.
108
Arquitectura
Distribucin de herramientas de otro fabricante (No ilustrado)
Descripcin
Las herramientas de otro fabricante como Microsoft SMS le permitieron distribuir los archivos especficos de la actualizacin a los clientes. Puede recuperar los archivos autoextrables de Intelligent Updater del sitio Web de Symantec que contienen los archivos de las definiciones de virus y el riesgo de seguridad con extensiones jdb y vdb. Ya no se admiten extensiones Idb. Para recibir otros archivos de actualizacin, es necesario configurar un servidor de Symantec Endpoint Protection Manager para descargar y preparar los archivos de la actualizacin.
Cundo se lo debe utilizar

Utilice este mtodo cuando se desee probar los archivos de la actualizacin antes de distribuirlos. Adems, utilice este mtodo si tiene una infraestructura de distribucin de herramientas de otro fabricante y desea aprovechar la infraestructura.
Acerca de tipos de actualizaciones

De forma predeterminada, los equipos cliente reciben los ltimos tipos de actualizaciones, a menos que se aplique una poltica que limite o prohba los tipos de actualizaciones. Si un grupo utiliza Symantec Endpoint Protection Manager para distribuir las actualizaciones (la configuracin predeterminada), el servidor de administracin se debe adems configurar para descargar las mismas actualizaciones. De lo contrario, esas actualizaciones no estn disponibles para la distribucin del grupo. La Tabla 6-2 enumera y describe los tipos de actualizaciones. Tabla 6-2 Tipos de actualizaciones Descripcin
Estas definiciones contienen dos tipos de actualizaciones, la actualizacin de versin completa y la actualizacin delta directa. El tipo de actualizacin se incluye en el paquete de actualizacin. Los paquetes de definiciones de virus separados estn disponibles para las plataformas x86 y x64. Estas firmas admiten el motor del antivirus y la proteccin contra software espa, y se utilizan para descomprimir y leer los datos que se almacenan en varios formatos.
Tipo de actualizacin
Definiciones de antivirus y del software espa
Firmas del descompresor
Firmas heursticas de anlisis Estas firmas protegen el equipo de amenazas de ataque de de amenazas proactivo da cero. TruScan
Actualizar definiciones y contenido Configurar un sitio para descargar actualizaciones
109
Tipo de actualizacin
Descripcin
Lista de aplicaciones Estas listas de aplicaciones son las aplicaciones comerciales comerciales del anlisis de legtimas que han generado falsos positivos en el pasado. amenazas proactivo TruScan Firmas de prevencin de intrusiones Estas firmas protegen el equipo de amenazas de red y admiten los motores de prevencin de intrusiones y de deteccin. Estas firmas controlan el flujo de envos a Symantec Security Response.
Firmas de control de envos
Configurar un sitio para descargar actualizaciones

Configurar y programar descargas de actualizaciones es un proceso de dos partes. Primero, se configura un sitio para descargar actualizaciones. El sitio debe contener las actualizaciones que se distribuyen a los clientes. Las actualizaciones se distribuyen a los clientes segn lo especificado en las polticas de LiveUpdate que se aplican a las ubicaciones en un grupo. Cuando se configura un sitio para descargar actualizaciones, se toman las siguientes decisiones:

La frecuencia para buscar actualizaciones. Los tipos de actualizaciones para descargar. Las polticas de LiveUpdate tambin especifican los tipos de actualizaciones que deben descargar a los clientes. Asegrese de que el sitio descargue todas las actualizaciones especificadas en las polticas de LiveUpdate de los clientes. Los idiomas para los tipos de actualizaciones que se descarguen. El servidor de LiveUpdate que proporciona las actualizaciones al sitio. Es posible especificar un servidor externo de Symantec LiveUpdate (recomendado), o un servidor interno de LiveUpdate que se ha instalado y se ha configurado previamente. El nmero de revisiones de contenido que se deben guardar y si se deben almacenar los paquetes de clientes descomprimidos.
Puede configurar un servidor interno de LiveUpdate en un equipo aun si el software de Symantec Endpoint Protection Manager est instalado o no. En ambos casos, debe emplear la utilidad Administrador de LiveUpdate para actualizar el servidor de LiveUpdate. La utilidad Administrador de LiveUpdate extrae las actualizaciones de las definiciones de un servidor de Symantec LiveUpdate. La utilidad entonces ubica los paquetes en un servidor Web, un sitio FTP o una ubicacin designada
110
Actualizar definiciones y contenido Configurar un sitio para descargar actualizaciones
con una ruta UNC. Se debe configurar Symantec Endpoint Protection Manager para que extraiga las actualizaciones de las definiciones de esta ubicacin. Para obtener ms informacin, consulte la Gua del administrador de LiveUpdate, disponible en el CD de instalacin o en el sitio Web de soporte de Symantec. Si se utiliza la replicacin, slo se debe configurar un sitio para descargar los archivos de la actualizacin. La replicacin actualiza automticamente la otra base de datos. Sin embargo, como mejor prctica, no debe replicar actualizaciones de productos entre los sitios. Estas actualizaciones pueden ser bastante grandes y existe una para cada idioma que seleccione. Si selecciona descargar actualizaciones de productos con LiveUpdate al administrador de Symantec Endpoint Security, las actualizaciones aparecen automticamente en el panel Paquetes de instalacin. Es posible entonces actualizar clientes con la actualizacin automtica. Si utiliza este enfoque para el control de versin, no debe seleccionar actualizaciones automticas de productos en la poltica de configuracin de LiveUpdate. Nota: Los sitios descargan archivos MSP para las actualizaciones de productos, y despus crean nuevos archivos MSI. Los sitios replican los archivos MSI si selecciona replicar actualizaciones de productos. Los archivos MSP son una fraccin del tamao de los archivos MSI. La mejor prctica es la programacin predeterminada de que el administrador de Symantec Endpoint Protection Manager ejecute LiveUpdate cada 4 horas. Para configurar un sitio para descargar actualizaciones
1 2 3 4
En la consola, haga clic en Administrador. En el panel Tareas, haga clic en Servidores. En el panel Ver, haga clic con el botn secundario en Sitio local, y luego en Propiedades. En el cuadro de dilogo Propiedades del sitio, en la ficha LiveUpdate, bajo Programacin de descarga, configure las opciones de programacin de la frecuencia con la que el servidor debe buscar actualizaciones. Bajo Tipos de contenido para descargar, examine la lista de tipos de actualizacin que se descargan. Para agregar o eliminar un tipo de actualizacin, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. Bajo Idiomas para descargar, examine la lista de idiomas de los tipos de actualizaciones que se descargan.
5 6 7
Actualizar definiciones y contenido Configurar polticas de LiveUpdate
111
8 9
Para agregar o eliminar un idioma, haga clic en Modificar seleccin, modifique la lista y, luego, haga clic en Aceptar. Bajo Servidores de origen de LiveUpdate, examine el servidor actual de LiveUpdate que se utiliza para actualizar al servidor de administracin. Este servidor es, de forma predeterminada, el servidor de Symantec LiveUpdate. A continuacin, realice una de las siguientes:
Para utilizar el servidor de origen existente de LiveUpdate, haga clic en Aceptar. No contine con este procedimiento, ya ha terminado. Para utilizar un servidor LiveUpdate interno, haga clic en Editar servidores de origen y contine con este paso.
10 En el cuadro de dilogo Servidores de LiveUpdate, marque Usar un servidor

interno especificado de LiveUpdate y, a continuacin, haga clic en Agregar.
11 En el cuadro de dilogo Agregar servidor de actualizaciones, complete los

cuadros con la informacin que identifica al servidor de LiveUpdate y, luego, haga clic en Aceptar.
12 En el cuadro de dilogo Propiedades del sitio, bajo Administracin del espacio

de disco para descargas, escriba el nmero de revisiones del contenido de LiveUpdate que se guardarn y decida si se almacenarn los paquetes de cliente descomprimidos. Se requiere ms espacio libre en el disco para el almacenamiento de una gran cantidad de revisiones de contenido. Los paquetes de clientes que se almacenan en formato expandido tambin necesitan ms espacio libre en el disco.

La Ayuda incluye y describe los datos para escribir en los cuadros. Para la ayuda de la conmutacin por error, puede instalar, configurar y seleccionar ms de un servidor de LiveUpdate. Si un servidor se desconecta, el otro servidor funciona como respaldo.
Configurar polticas de LiveUpdate

Existen dos tipos de polticas de LiveUpdate. Una es la poltica de configuracin de LiveUpdate y se aplica a los clientes de Symantec Endpoint Protection y Symantec Network Access Control. La otra es la poltica de contenido de LiveUpdate y se aplica slo a los clientes de Symantec Endpoint Protection. La poltica de configuracin de LiveUpdate especifica los equipos que los clientes contactan para verificar si hay actualizaciones y controlar la frecuencia con la que los clientes verifican si hay actualizaciones. Si es necesario, es posible aplicar esta poltica a las ubicaciones especficas en un grupo.
112
La poltica de contenidos de LiveUpdate especifica los tipos de actualizacin que los clientes pueden verificar e instalar. Para cada tipo, es posible especificar que los clientes verifiquen e instalen la ltima actualizacin. Tambin es posible especificar una versin de una actualizacin que los clientes instalen si no ejecutan esa versin. No es posible aplicar esta poltica a las ubicaciones especficas en un grupo. Slo puede aplicar esta poltica en el nivel de grupo.
Configurar una poltica de configuracin de LiveUpdate

Cuando se agrega y se aplica la poltica de configuracin de LiveUpdate, debe tener un plan de la frecuencia con la que desea que los equipos cliente busquen actualizaciones. La configuracin predeterminada es cada 4 horas. Tambin debe saber dnde desea que los equipos cliente busquen y obtengan las actualizaciones. Generalmente, es necesario que los equipos cliente busquen y obtengan actualizaciones de Symantec Endpoint Protection Manager. Despus de crear su poltica, puede asignar la poltica a uno o ms grupos y ubicaciones. Nota: Est disponible una configuracin avanzada para permitir que los usuarios inicien LiveUpdate manualmente desde los equipos cliente, y la configuracin est deshabilitada de forma predeterminada. Si habilita esta configuracin, los usuarios pueden iniciar LiveUpdate y descargar las ltimas definiciones del virus de contenido, las actualizaciones de componentes y las actualizaciones del producto potenciales. Si la configuracin de polticas avanzada para descargar actualizaciones de productos con LiveUpdate est habilitada, las actualizaciones de productos que se descargan son versiones de mantenimiento y parches para el software del cliente de Symantec. Segn el tamao de la poblacin de usuarios, es posible que no desee permitir que los usuarios descarguen todo el contenido sin probarlo antes. Adems, pueden surgir problemas si se ejecutan dos sesiones de LiveUpdate simultneamente en los equipos cliente. La mejor prctica es dejar esta opcin deshabilitada. Para configurar una poltica de configuracin de LiveUpdate
1 2 3 4 5
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En la ficha Configuracin de LiveUpdate, en el panel Tareas, haga clic en Agregar una poltica de configuracin de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. Bajo Poltica de LiveUpdate, haga clic en Configuracin del servidor.
113
En el panel Configuracin del servidor, bajo Servidor interno o externo de LiveUpdate, marque y habilite al menos una fuente de la cual extraer actualizaciones. La mayora de las organizaciones deben utilizar el servidor de administracin predeterminado.
7 8 9
Si seleccion Usar un servidor de LiveUpdate, bajo Poltica de LiveUpdate, haga clic en Programar. En el panel Programar, acepte o modifique las opciones de programacin. Si seleccion Usar un servidor de LiveUpdate, bajo Poltica de LiveUpdate, haga clic en Configuracin avanzada.
10 Decida si se guardarn o se modificarn las opciones predeterminadas.

Generalmente, no se permite que los usuarios modifiquen las opciones de actualizacin. Sin embargo, es posible permitir que inicien manualmente una sesin de LiveUpdate si usted no admite centenares o millares de clientes.
11 Cuando haya configurado su poltica, haga clic en Aceptar. 12 En el cuadro de dilogo Asignar poltica, realice una de las siguientes acciones:
Haga clic en S para guardar y para asignar la poltica a un grupo o a la ubicacin en un grupo. Haga clic en No para guardar la poltica solamente.
13 Si hizo clic en S, en el cuadro de dilogo Asignar poltica de LiveUpdate,

marque los grupos y las ubicaciones a los cuales desea asignar la poltica, y, a continuacin, haga clic en Asignar. Si no es posible seleccionar un grupo jerarquizado, ese grupo hereda polticas de su grupo principal, como se establece en la ficha Equipos y polticas de usuario.
Configurar una poltica de contenido de LiveUpdate

De forma predeterminada, todos los clientes de Symantec Endpoint Protection en un grupo reciben las ltimas versiones de todo el contenido y de todas las actualizaciones del producto. Si se configura un grupo de clientes para que obtenga actualizaciones de un servidor de administracin, los clientes reciben slo las actualizaciones que descarga el servidor. Si la poltica de contenido de LiveUpdate se configura para permitir todas las actualizaciones, pero el servidor de administracin no se configura para descargar todas las actualizaciones, los clientes reciben slo lo que el servidor descarga. Ver "Configurar un sitio para descargar actualizaciones" en la pgina 109.
114
Si un grupo se configura para obtener actualizaciones de un servidor de LiveUpdate, los clientes del grupo reciben todas las actualizaciones permitidas en la poltica de contenido de LiveUpdate. Si la poltica de contenido de LiveUpdate especifica una revisin determinada para una actualizacin, los clientes nunca reciben las actualizaciones para esta actualizacin determinada hasta que la configuracin se modifique de una revisin especfica a la ltima disponible. Los servidores de LiveUpdate no comprenden funciones de las versiones con nombre. Las versiones con nombre le permiten efectuar un control ms estricto sobre las actualizaciones que obtienen los clientes. Generalmente, los entornos que prueban las ltimas actualizaciones antes de distribuirlas a los clientes utilizan la funcin de la versin con nombre. Nota: El uso de revisiones especficas proporciona funciones de la restauracin. Para configurar una poltica de contenido de LiveUpdate
1 2 3 4 5 6
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En la ficha Contenido de LiveUpdate, haga clic en Agregar una poltica de contenido de LiveUpdate. En el panel Descripcin general, en el cuadro Nombre de poltica, escriba un nombre para la poltica. En el panel Contenido de LiveUpdate, haga clic en Definiciones de seguridad. En el panel Definiciones de seguridad, marque las actualizaciones que se descargarn e instalarn, y deje sin marcar las actualizaciones que no se utilizarn. Para cada actualizacin, realice una de las siguientes acciones:

Marque Usar el ltimo disponible Marque Seleccionar una revisin
Para continuar, realice una de las siguientes tareas:
Si no activ Seleccionar una revisin para un tipo de actualizacin, haga clic en Aceptar y, luego, contine con el paso 11. Si activ Seleccionar una revisin para un tipo de actualizacin, haga clic en Editar y, luego, contine con el paso siguiente.
En el cuadro de dilogo Seleccionar revisin, en la columna Revisin, seleccione la revisin que desea utilizar y, a continuacin, haga clic en Aceptar.
115
10 En la ventana Poltica de contenido de LiveUpdate, haga clic en Aceptar. 11 En el cuadro de dilogo Asignar poltica, haga clic en S.
Es posible cancelar este procedimiento y asignar la poltica despus.
12 En el cuadro de dilogo Asignar poltica de contenido de LiveUpdate, marque

uno o ms grupos a los cuales se asignar esta poltica y, despus, haga clic en Asignar.
Ver y modificar la poltica de contenido de LiveUpdate que se aplica a un grupo

Las polticas de contenido de LiveUpdate se aplican a los grupos y a todas las ubicaciones de los grupos. Por lo tanto, la poltica no aparece con otras polticas bajo las ubicaciones de la consola. Para ver y modificar la poltica de contenido de LiveUpdate que se aplica a un grupo
1 2 3 4 5
En la consola, haga clic en Polticas y cree por lo menos dos polticas de contenido de LiveUpdate. Aplique una de las polticas a un grupo. Haga clic en Clientes. En la ficha Polticas, bajo Valores en el panel derecho, haga clic en Poltica de contenido de LiveUpdate. En el cuadro de dilogo Poltica de contenido de LiveUpdate, observe el nombre de la poltica utilizada actualmente bajo Especifique la poltica de contenido de LiveUpdate que se utilizar para este grupo. Para modificar la poltica que se aplica al grupo, haga clic en la poltica de contenido que se utilizar y despus haga clic en Aceptar.
Configurar un proveedor de actualizaciones grupales en la poltica de configuracin de LiveUpdate

Cuando se crea una poltica de configuracin de LiveUpdate, tiene la opcin de especificar un proveedor de actualizaciones grupales. El proveedor de actualizaciones grupales proporciona actualizaciones a los clientes del grupo y a cualquier subgrupo que herede polticas establecidas en la ficha Clientes. Si tiene clientes en un grupo en una ubicacin remota que tienen problemas de ancho de banda sobre la WAN, haga que un cliente del grupo sea proveedor de actualizaciones grupales y, despus, configure el grupo para que utilice ese proveedor. El proveedor de actualizaciones grupales tambin le permite descargar
116
la capacidad de procesamiento de Symantec Endpoint Protection Manager, si necesita esa opcin. Nota: Puede configurar el proveedor de actualizaciones grupales cuando crea una poltica o cuando modifica una poltica existente. Primero debe crear una poltica sin el proveedor de actualizaciones grupales y verificar que los equipos cliente reciban las actualizaciones. Una vez que realiz la verificacin, puede agregar el proveedor de actualizaciones grupales. Este enfoque ayuda a solucionar problemas de comunicacin. Sin embargo, si el equipo del proveedor de actualizaciones grupales se desconecta, los clientes del grupo obtienen actualizaciones directamente desde el servidor de administracin. Cuando configura un proveedor de actualizaciones grupales, se especifica un nombre de host o una direccin IP y un nmero de puerto TCP. El nmero de puerto TCP predeterminado es 2967, un puerto que fue utilizado en las comunicaciones de red de Symantec AntiVirus 10.x y de Symantec Client Security 3.x. Si su equipo proveedor de actualizaciones grupales recibe direcciones IP con DHCP, se debe o asignar una direccin IP esttica al equipo, o escribir el nombre de host. Si su equipo proveedor de actualizaciones grupales est en una ubicacin remota y esa ubicacin remota utiliza la traduccin de direcciones de red (NAT), escriba el nombre de host. Nota: Si el proveedor de actualizaciones grupales ejecuta los firewalls de Windows o Symantec Client Firewall, es necesario modificar las polticas de firewall para permitir que el puerto 2967 TCP reciba comunicaciones de Symantec Endpoint Protection Manager. Para configurar un proveedor de actualizaciones grupales en la poltica de configuracin de LiveUpdate
1 2 3 4 5 6
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, en la ficha Configuracin de LiveUpdate, bajo Nombre, seleccione la poltica que desea editar. En el panel Tareas, haga clic en Editar la poltica. En la ventana Poltica de LiveUpdate, haga clic en Configuracin del servidor. En la ficha Servidor de LiveUpdate, bajo Opciones del servidor de la red local, marque Usar el proveedor de actualizaciones para grupos como servidor predeterminado de LiveUpdate. Haga clic en Proveedor de actualizaciones grupales.
Actualizar definiciones y contenido Opciones avanzadas de distribucin de actualizaciones
117
8 9
En el cuadro de dilogo Proveedor de actualizaciones grupales, en el cuadro Host, escriba una direccin IP o un nombre de host. En el cuadro Puerto, acepte o modifique la configuracin predeterminada y, a continuacin, haga clic en Aceptar.
Opciones avanzadas de distribucin de actualizaciones

Puede utilizar Intelligent Updater para distribuir actualizaciones de definiciones de virus y riesgos de seguridad. Tambin puede utilizar las herramientas de distribucin de otros fabricantes para distribuir actualizaciones. Estas actualizaciones se consiguen despus de instalar y configurar Symantec Endpoint Protection Manager para descargar las actualizaciones que desea distribuir. Nota: Las definiciones de antivirus y de proteccin contra software espa estn incluidas en los archivos vdb y jdb que puede distribuir. Los archivos vdb slo admiten clientes de 32 bits. Los archivos jdb admiten clientes de 32 bits y clientes de 64 bits. stos son los archivos que se colocan en las bandejas de entrada de los equipos cliente. Puede descargar actualizaciones del siguiente sitio: ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
Proporcionar actualizaciones de contenido de antivirus con Intelligent Updater

Para distribuir actualizaciones de definiciones de virus y riesgos de seguridad actualizadas, descargue un nuevo Intelligent Updater. A continuacin, utilice su mtodo de distribucin preferido para entregar las actualizaciones a los servidores y clientes administrados. Intelligent Updater est disponible como un nico archivo o como un paquete dividido, distribuido en varios archivos ms pequeos. El archivo nico es adecuado para equipos que cuentan con conexiones de red. El paquete dividido es para los equipos que no tienen conexiones de red, acceso a Internet o un lector de CD-ROM. Copie el paquete dividido a los soportes extrables para la distribucin. Nota: Actualmente, Intelligent Updater actualiza slo las definiciones de virus y riesgos de seguridad. Asegrese de utilizar los archivos de Intelligent Updater para empresas en lugar de la versin del producto para consumidores.
118
Para descargar Intelligent Updater
Con el navegador Web, vaya a la siguiente URL: http://www.symantec.com/es/mx/security_response/
2 3 4 5 6 7
Bajo Virus Definitions, haga clic en Download Virus Definitions Manually. Haga clic en Download Virus Definitions (Intelligent Updater Only). Seleccione el idioma y el producto adecuados. Haga clic en Download Updates. Haga clic en el archivo con la extensin .exe. Cuando se le solicite que especifique una ubicacin para guardar los archivos, seleccione una carpeta del disco duro.
Para instalar los archivos de definiciones de virus y riesgos de seguridad
1 2
Localice el archivo de Intelligent Updater que haya descargado de Symantec. Haga doble clic en el archivo y siga las instrucciones que aparecern en pantalla.
Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones a los clientes administrados
Las redes grandes pueden confiar en las herramientas de distribucin de otro fabricante como IBM Tivoli, Microsoft SMS, entre otros, para distribuir actualizaciones en los equipos cliente. El software de cliente de Symantec admite la distribucin de actualizaciones con estas herramientas. Para utilizar las herramientas de distribucin de otro fabricante, debe conseguir los archivos de actualizacin y distribuirlos con una herramienta de distribucin. Para los equipos cliente administrados, puede conseguir archivos de actualizacin despus de instalar y configurar el servidor de Symantec Endpoint Protection Manager como el primer y nico servidor de un sitio. Luego, programe y seleccione las actualizaciones de LiveUpdate que desea descargar. Ver "Configurar un sitio para descargar actualizaciones" en la pgina 109. Los archivos de actualizacin se descargan en los subdirectorios del siguiente directorio (predeterminado): \Program Files\Symantec Endpoint Protection Manager\data\outbox\ A continuacin, distribuya los archivos en los directorios de la bandeja de entrada de los equipos cliente: El siguiente directorio aparece en los equipos cliente que no ejecutan Windows Vista:
119
\\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox\ El siguiente directorio aparece en los equipos cliente que ejecutan Windows Vista: \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ De forma predeterminada, este directorio no existe y el software de cliente no marca ni procesa contenido en este directorio. Para los equipos cliente administrados, debe configurar la poltica de LiveUpdate para el grupo, habilitar la distribucin de otro fabricante en los clientes del grupo, y aplicar la poltica. Para los clientes no administrados, debe habilitar una clave del registro manualmente. Nota: Una mejor prctica es habilitar esta ayuda con una poltica de LiveUpdate.
Habilitar la distribucin de contenido de otro fabricante en equipos cliente administrados con una poltica de LiveUpdate
Cuando crea una poltica de LiveUpdate que admite la distribucin de contenido de otros fabricantes en los equipos cliente administrados, tiene un par de objetivos adicionales. Un objetivo es reducir la frecuencia con la que los clientes buscan actualizaciones. El otro objetivo es, generalmente, deshabilitar la capacidad de los usuarios de clientes de ejecutar manualmente LiveUpdate. El trmino equipos cliente administrados significa que los clientes estn administrados con las polticas de Symantec Endpoint Protection Manager. Cuando haya terminado con este paso, el siguiente directorio aparece en los equipos cliente del grupo que no ejecuta Windows Vista: \\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox\ El siguiente directorio aparece en los equipos cliente del grupo que ejecuta Windows Vista: \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Para habilitar la distribucin de contenido de otro fabricante en equipos cliente administrados con una poltica de LiveUpdate
1 2 3
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en LiveUpdate. En el panel Polticas de LiveUpdate, en la ficha Configuracin de LiveUpdate, bajo Tareas, haga clic en Agregar una poltica de configuracin de LiveUpdate.
120
4 5 6 7 8
En la ventana Poltica de LiveUpdate, en los cuadros Nombre de poltica y Descripcin, escriba un nombre y una descripcin. Bajo Administrador de terceros, active Habilitar administracin de contenido de terceros. Desactive el resto de las opciones del origen de LiveUpdate. Haga clic en Aceptar. En el cuadro de dilogo Asignar poltica, haga clic en S. Es posible cancelar este procedimiento y asignar la poltica despus.
En el cuadro de dilogo Asignar poltica de LiveUpdate, marque uno o ms grupos a los cuales se asignar esta poltica y, despus, haga clic en Asignar.
Distribuir contenido a equipos cliente administrados con herramientas de distribucin de terceros

Despus de configurar la poltica de LiveUpdate para habilitar la administracin de contenido de terceros, busque y copie el contenido en Symantec Endpoint Protection Manager. Despus de encontrar y copiar el contenido, distribyalo a los clientes. Tambin puede decidir qu contenido copiar y distribuir. Nota: Si prepara los archivos de actualizacin en los equipos cliente antes de colocarlos en el directorio /inbox, es necesario copiar los archivos. Trasladar los archivos no funciona. Es posible adems copiar archivos .vdb y .jdb a la bandeja de entrada para el procesamiento. Para distribuir contenido a equipos cliente administrados con herramientas de distribucin de terceros
1 2 3 4
En el equipo con Symantec Endpoint Protection Manager, cree un directorio de trabajo tal como \Dir_Trabajo. En la consola, en la ficha Clientes, haga clic con el botn secundario en el grupo que desea actualizar y despus haga clic en Propiedades. Documente los primeros cuatro valores hexadecimales del Nmero de serie de la poltica, tal como 7B86. Desplcese hasta el siguiente directorio: \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent
121
Localice el directorio que contiene los primeros cuatro valores hexadecimales que coinciden con el Nmero de serie de la poltica de su grupo de equipos cliente. Abra el directorio y copie index2.dax en su directorio de trabajo, por ejemplo\Dir_Trabajo\index2.dax. Desplcese hasta el siguiente directorio: \\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content
6 7
Abra y lea ContentInfo.txt para detectar el contenido que cada directorio de <<apodo de destino>> incluye. El contenido de cada directorio es <<apodo de destino>>\<nm. secuencia>\full.zip|full. El archivo que necesita es <<apodo de destino>>\<ltimo nm. de secuencia>\index.dax.
Copie el contenido de cada directorio \<<apodo de destino>> al directorio de trabajo, como \Dir_Trabajo. modo que solamente permanezcan en el directorio de trabajo la estructura de directorios y archivos siguiente: \\Dir_Trabajo\<<apodo de destino>>\<ltimo nmero de secuencia>\full.zip Su directorio de trabajo ahora contiene la estructura de directorios y archivos para distribuir a sus clientes.
10 Elimine todos los archivos y directorios de cada \<<apodo de destino>> de
11 Utilice las herramientas de distribucin de terceros para distribuir el contenido

del \Dir_Trabajo al directorio \\Symantec Endpoint Protection\inbox\ en los clientes en su grupo. El resultado final debe tener el siguiente aspecto: \\Symantec Endpoint Protection\inbox\index2.dax \\Symantec Endpoint Protection\inbox\<<apodo de destino>>\<ltimo nmero de secuencia>\full.zip Si desaparecen los archivos de modo que \inbox\ queda vaco, el proceso se realiz correctamente. Si aparece un directorio \inbox\invalid\, no se realiz correctamente y debe intentarlo de nuevo
122
Acerca del uso de las herramientas de distribucin de otro fabricante para distribuir actualizaciones a los clientes no administrados
Si instal clientes no administrados desde el CD de instalacin, los equipos cliente no confan y no procesan las actualizaciones de polticas o de contenido para los propsitos de seguridad. Para permitir que los equipos cliente procesen actualizaciones, debe crear la siguiente clave del registro: HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState Configure el valor al hexadecimal 80 de modo que la clave se vea como 0x00000080 (128) Despus de configurar esta clave, debe reiniciar el equipo o ejecutar los siguientes comandos desde el directorio \Symantec\Symantec Endpoint Protection\:
smc.exe -stop smc.exe -start
El siguiente directorio aparece en los equipos cliente que no ejecutan Windows Vista: \\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox\ El siguiente directorio aparece en los equipos cliente que ejecutan Windows Vista: \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Ahora puede utilizar las herramientas de distribucin de otro fabricante para copiar las actualizaciones de contenido o de polticas a este directorio. El software de cliente de Symantec despus confa y procesa el contenido. Obtiene el contenido para distribuir de Symantec Endpoint Protection Manager de la misma manera que lo hace para los equipos cliente administrados. Sin embargo, copie index2.xml del grupo global, en vez de copiar index2.dax del directorio de grupos de clientes administrados, segn lo descrito en el paso 2 de "Para distribuir contenido a equipos cliente administrados con herramientas de distribucin de terceros" en la pgina 120. Copie el archivo full.dax segn lo descrito para el cliente administrado. Luego, podr distribuir estos archivos. Es posible adems cortar los archivos .vdb y .jdb de la bandeja de entrada del cliente para procesarlos. Nota: Si prepara la actualizacin de los archivos en los equipos, debe copiarlos a la bandeja de entrada. Los archivos de la actualizacin no se procesan si los mueve a la bandeja de entrada.
123
Ver "Distribuir contenido a equipos cliente administrados con herramientas de distribucin de terceros" en la pgina 120. Nota: Despus de una instalacin de cliente administrado, la clave del registro de TPMState tiene un valor de 0, que es posible modificar. (Esta clave no existe despus de una instalacin de cliente no administrado). Adems, no es necesario que reinicie el equipo o que ejecute el comando smc.exe para la instalacin del equipo cliente administrado. El directorio aparece tan pronto como se modifique la clave del registro.
124
Captulo
Limitar el acceso de usuarios a las funciones de clientes


Acerca del acceso a la interfaz del cliente Bloquear y desbloquear las opciones administradas Modificar el nivel de control del usuario Proteger el cliente con contrasea
Acerca del acceso a la interfaz del cliente

Es posible determinar el nivel de interaccin que se desea que los usuarios tengan en el cliente de Symantec Endpoint Protection. Elija las funciones que estn disponibles para que los usuarios configuren. Por ejemplo, es posible controlar el nmero de notificaciones que aparecen y limitar la capacidad de los usuarios de crear normas de firewall y anlisis antivirus. Es posible adems dar a los usuarios acceso completo a la interfaz de usuario. Las funciones que los usuarios pueden personalizar para la interfaz de usuario se llaman opciones administradas. El usuario no tiene acceso a todas las funciones del cliente, como proteccin mediante contrasea. Para determinar el nivel de interaccin del usuario, es posible personalizar la interfaz de usuario de las siguientes maneras:
Para las opciones de antivirus y de proteccin contra software espa, es posible bloquear o desbloquear las opciones.
126
Limitar el acceso de usuarios a las funciones de clientes Bloquear y desbloquear las opciones administradas
Para las opciones de firewall, las opciones de prevencin de intrusiones y algunas opciones de la interfaz de usuario del cliente, es posible configurar el nivel de control del usuario y configurar las opciones asociadas. Es posible proteger el cliente con contrasea. Ver "Proteger el cliente con contrasea" en la pgina 133.
Bloquear y desbloquear las opciones administradas

Para determinar qu proteccin antivirus y contra software espa y qu funciones de proteccin contra intervenciones estn disponibles para que los usuarios configuren en el cliente, usted debe bloquearlas o desbloquearlas. Los usuarios pueden configurar las opciones que estn desbloqueadas, pero no pueden configurar las que estn bloqueadas. Solamente los administradores pueden configurar las opciones bloqueadas en la consola de Symantec Endpoint Protection Manager. La Tabla 7-1 describe los iconos de candado. Tabla 7-1 Icono Iconos de candado bloqueados y desbloqueados Qu significa el icono
La opcin est desbloqueada y los usuarios pueden modificarla en la interfaz de usuario del cliente. En el cliente, no aparece el icono del candado y la opcin est disponible. La opcin est bloqueada y los usuarios no pueden modificarla en la interfaz de usuario del cliente. En el cliente, aparece el candado bloqueado y la opcin aparece atenuada.
Las opciones se bloquean o se desbloquean en las pginas o los cuadros de dilogo donde aparecen. Para bloquear y desbloquear las opciones administradas
Abra una poltica antivirus y contra software espa. Ver "Acerca de editar polticas" en la pgina 376.
En la pgina Antivirus y proteccin contra software espa, haga clic en una de las siguientes pginas:

Auto-Protect para el sistema de archivos Auto-Protect para correo electrnico de Internet
Limitar el acceso de usuarios a las funciones de clientes Modificar el nivel de control del usuario
127
Auto-Protect para Microsoft Outlook Auto-Protect para Lotus Notes Anlisis de amenazas proactivos TruScan Envos Otros
3 4
Haga clic en el icono del candado para bloquear o desbloquear la opcin. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. Adems, puede bloquear y desbloquear las opciones de proteccin contra intervenciones. Ver "Configurar Proteccin contra intervenciones" en la pgina 344.
Modificar el nivel de control del usuario

Es posible determinar qu funciones de Proteccin contra amenazas de red y qu opciones de la interfaz de usuario del cliente estn disponibles para que los usuarios las configuren en el cliente de Symantec Endpoint Protection. Para determinar qu opciones estn disponibles, debe especificar el nivel de control del usuario. El nivel de control del usuario determina si el cliente puede ser totalmente invisible, mostrar un grupo parcial de funciones o mostrar una interfaz de usuario completa. Nota: El cliente de Symantec Network Access Control se ejecuta solamente en el control del servidor. Los usuarios no pueden configurar ninguna opcin de la interfaz de usuario. La Tabla 7-2 muestra los niveles de control del usuario del cliente de Symantec Endpoint Protection.
128
Tabla 7-2
Niveles de control del usuario Descripcin

Proporciona a los usuarios el control ms bajo sobre el cliente. El control de servidores bloquea la configuracin administrada de modo que los usuarios no puedan modificarla. El control de servidores tiene las caractersticas siguientes: Los usuarios no pueden configurar o habilitar normas de firewall, opciones especficas de la aplicacin, opciones del firewall, opciones de la prevencin de intrusiones o registros de la proteccin contra amenazas de red y de administracin de clientes. Se configuran todas las normas de firewall y las opciones de seguridad en la consola de Symantec Endpoint Protection Manager para el cliente. Los usuarios pueden ver registros, el historial de trfico del cliente y la lista de aplicaciones que se ejecutan en el cliente. Es posible modificar la configuracin de la interfaz de usuario y las notificaciones de firewall para que aparezcan o no en el cliente. Por ejemplo, es posible ocultar la interfaz de usuario del cliente.
Nivel de control del usuario

Control de servidores
La configuracin que se establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Cuando se crea una nueva ubicacin, se establece automticamente el control de servidores para ella. Control de clientes Proporciona a los usuarios el control ms alto sobre el cliente. El control de clientes desbloquea la configuracin administrada de modo que los usuarios puedan configurarla. El control de clientes tiene las caractersticas siguientes: Los usuarios pueden modificar o habilitar normas de firewall, notificaciones de firewall, opciones de firewall, opciones especficas de la aplicacin, opciones de la prevencin de intrusiones y opciones de la interfaz de usuario del cliente. El cliente omite las normas de firewall que usted configura para el cliente.
Es posible otorgar control de clientes a los equipos cliente que los empleados utilizan en una ubicacin remota o desde su casa.
129

Control mixto
Descripcin
Proporciona al usuario un control mixto sobre el cliente. El control mixto tiene las caractersticas siguientes: Los usuarios pueden modificar las normas de firewall y las opciones especficas de la aplicacin. Es posible configurar las normas de firewall, que pueden o no reemplazar las normas que los usuarios configuran. La posicin de las normas del servidor en la lista de normas de la poltica de firewall determina si las normas del servidor reemplazan las normas del cliente. Es posible especificar ciertas opciones para que estn disponibles o no en el cliente para que los usuarios puedan habilitarlas y configurarlas. Estas opciones incluyen los registros de la proteccin contra amenazas de red, los registros de administracin de clientes, las opciones del firewall, las opciones de la prevencin de intrusiones y algunas opciones de la interfaz de usuario. Es posible configurar las opciones de la proteccin antivirus y contra software espa para que reemplacen la configuracin del cliente, incluso si la configuracin est desbloqueada. Por ejemplo, si usted desbloquea la funcin Auto-Protect y el usuario la deshabilita, es posible habilitar Auto-Protect.
La configuracin que se establece para el control de clientes est disponible para el usuario. La configuracin que se establece para el control de servidores aparece atenuada o no se ve en la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 130.
Algunas opciones administradas tienen elementos dependientes. Por ejemplo, los usuarios pueden tener permiso para configurar normas de firewall, pero no pueden acceder a la interfaz de usuario del cliente. Dado que los usuarios no tienen acceso al cuadro de dilogo Configurar normas de firewall, no pueden crear normas. Es posible configurar un nivel de control de usuario distinto para cada ubicacin. Nota: Los clientes que se ejecutan en control de clientes o control mixto pasan al control de servidores cuando el servidor aplica una poltica de cuarentena.
130
Para modificar el nivel de control del usuario
1 2 3 4 5 6
En la consola, haga clic en Clientes. En Ver clientes, seleccione el grupo cuya ubicacin desea modificar. Haga clic en la ficha Polticas. En Configuracin y polticas especficas de la ubicacin, en la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente, realice una de las siguientes opciones:
Haga clic en Control de servidores y despus haga clic en Personalizar. Configure cualquiera de las opciones y despus haga clic en Aceptar. Haga clic en Control de clientes. Haga clic en Control mixto y a continuacin haga clic en Personalizar. Configure cualquiera de las opciones y despus haga clic en Aceptar. Ver "Acerca del control mixto" en la pgina 130. Para el cliente de Symantec Network Access Control, es posible hacer clic en Mostrar el cliente y Mostrar el icono del rea de notificacin.
Acerca del control mixto

Para los clientes en control mixto, es posible determinar qu opciones administradas se desea que los usuarios configuren o no. Las opciones administradas incluyen valores en una poltica de firewall, una poltica de prevencin de intrusiones y la configuracin de la interfaz de usuario del cliente. Es posible asignar cada opcin al control de servidor o al control del cliente. En control de clientes, solamente el usuario puede habilitar o inhabilitar la configuracin. En control de servidores, solamente usted puede habilitar o inhabilitar la configuracin. La opcin Control de clientes es el nivel de control de usuario predeterminado. Si asigna una opcin al control de servidores, luego debe configurar la opcin en la pgina o el cuadro de dilogo correspondiente en la consola de Symantec Endpoint Protection Manager. Por ejemplo, es posible habilitar la configuracin del firewall en la poltica de firewall. Es posible configurar los registros en el cuadro de dilogo Configuracin de registros de clientes en la ficha Polticas de la pgina Clientes. Es posible configurar los siguientes tipos de opciones:
131
Opciones de interfaz de usuario Opciones de proteccin general contra amenazas de red Opciones de poltica de firewall Opciones de poltica de prevencin de intrusiones
Configurar opciones de la interfaz de usuario

Es posible configurar opciones de la interfaz de usuario en el cliente si se hace una de las siguientes tareas:

Configure el nivel de control del usuario de cliente en control del servidor. Configure el nivel de control del usuario del cliente en control mixto y configure la funcin principal en la ficha Configuracin de control de clientes y servidores en Servidor. Por ejemplo, es posible configurar la opcin Mostrar u ocultar icono del rea de notificacin en Cliente. El icono del rea de notificacin aparece en el cliente, y el usuario puede elegir mostrar u ocultar el icono. Si configura la opcin Mostrar u ocultar icono del rea de notificacin en Servidor, puede elegir si desea visualizar el icono del rea de notificacin en el cliente.
Para configurar las opciones de la interfaz de usuario en control mixto
Modifique el nivel de control del usuario por control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 127.
En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente para nombre de la ubicacin, al lado de Control mixto, haga clic en Personalizar. En el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente, en la ficha Configuracin de control de clientes y servidores, realice una de las siguientes acciones:
Bloquee una opcin de modo que se pueda configurar solamente desde el servidor. Para la opcin que desee bloquear, haga clic en Servidor. Cualquier configuracin de la proteccin antivirus y contra software espa que usted establezca en Servidor anula la configuracin del cliente. Desbloquee una opcin de modo que el usuario pueda configurarla en el cliente. Para la opcin que desee, haga clic en Cliente. Cliente est seleccionado de forma predeterminada para todas las opciones, excepto para la configuracin antivirus y contra software espa.
132
Para las siguientes opciones que usted configura en Servidor, haga clic en la ficha Configuracin de la interfaz de usuario del cliente para configurarlas:
Mostrar u ocultar icono del rea de notificacin Mostrar el icono del rea de notificacin.
Habilitar/inhabilitar proteccin contra Permitir a los usuarios habilitar e inhabilitar amenazas de red proteccin contra amenazas de red. Comando de men Prueba de seguridad Permitir a los usuarios realizar prueba de de red seguridad. Mostrar/ocultar notificaciones de prevencin de intrusiones. Mostrar notificaciones de prevencin de intrusiones
Para obtener informacin sobre en qu parte de la consola se configuran las opciones restantes que usted establece en Servidor, haga clic en Ayuda. Para habilitar la configuracin del firewall y la configuracin de prevencin de intrusiones, configrelas en las polticas de firewall y de prevencin de intrusiones. Ver "Habilitar el filtro de trfico inteligente" en la pgina 503. Ver "Habilitar configuracin de trfico y de ocultacin" en la pgina 504. Ver "Configurar la prevencin de intrusiones" en la pgina 509.
En la ficha Configuracin de la interfaz de usuario del cliente, marque la casilla de verificacin de la opcin de modo que la opcin est disponible en el cliente. Haga clic en Aceptar. Haga clic en Aceptar.
6 7
Para configurar las opciones de la interfaz de usuario en control de servidor
Modifique el nivel de control del usuario por control mixto. Ver "Modificar el nivel de control del usuario" en la pgina 127.
En el cuadro de dilogo Configuracin de los controles de la interfaz de usuario del cliente para nombre de la ubicacin, al lado de Control de servidores, haga clic en Personalizar. En el cuadro de dilogo Configuracin de la interfaz de usuario del cliente, marque la casilla de verificacin de una opcin de modo que la opcin aparezca en el cliente para que el usuario la utilice. Haga clic en Aceptar. Haga clic en Aceptar.
4 5
Limitar el acceso de usuarios a las funciones de clientes Proteger el cliente con contrasea
133
Proteger el cliente con contrasea

Es posible aumentar la seguridad corporativa solicitando la proteccin mediante contrasea en el equipo cliente siempre que los usuarios realicen ciertas tareas. Es posible solicitar a los usuarios que escriban una contrasea cuando intentan realizar una de las siguientes acciones:

Abrir la interfaz de usuario del cliente. Detener el cliente. Importar y exportar la poltica de seguridad. Desinstalar el cliente.
Es posible modificar la configuracin de la proteccin mediante contrasea solamente para los subgrupos que no heredan de un grupo principal. Para proteger el cliente con contrasea
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En Ver clientes, seleccione el grupo para el que desea configurar la proteccin mediante contrasea. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. Haga clic en Configuracin de seguridad. En la ficha Configuracin de seguridad, elija una de las siguientes casillas de verificacin:

Solicitar una contrasea para abrir la interfaz de usuario del cliente Solicitar una contrasea para detener el servicio de cliente Solicitar una contrasea para importar o exportar una poltica Solicitar una contrasea para desinstalar el cliente
En el cuadro de texto Contrasea, escriba la contrasea. La contrasea se limita a 15 caracteres o menos.
7 8
En el cuadro de texto Confirmar contrasea, vuelva a escribir la contrasea. Haga clic en Aceptar.
134
Limitar el acceso de usuarios a las funciones de clientes Proteger el cliente con contrasea
Captulo
Configurar conexiones entre los servidores de administracin y los clientes


Acerca de los servidores de administracin Especificar una lista de servidores de administracin Agregar una lista de servidores de administracin Asignar una lista de servidores de administracin a un grupo y a una ubicacin Ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin Editar el nombre de servidor y la descripcin de una lista de servidores de administracin Editar la direccin IP, el nombre de hosts y el nmero de puerto de un servidor de administracin de una lista de servidores de administracin Modificar el orden en el cual se conectan los servidores de administracin Reemplazo de una lista de servidores de administracin Copiar y pegar una lista de servidores de administracin Exportar e importar una lista de servidores de administracin
136
Configurar conexiones entre los servidores de administracin y los clientes Acerca de los servidores de administracin
Eliminar una lista de servidores de administracin Acerca de las opciones de comunicacin de clientes y servidores
Acerca de los servidores de administracin

Los clientes y los mdulos de Enforcer deben poder conectarse a los servidores de administracin para descargar polticas y opciones de seguridad. Symantec Endpoint Protection Manager incluye un archivo que ayuda a administrar el trfico entre los clientes, los servidores de administracin y los mdulos de Enforcer opcionales. El archivo especifica a qu servidor de administracin se conecta un cliente o Enforcer. Puede adems especificar a qu servidor de administracin se conecta un cliente o Enforcer en caso de incidentes con un servidor de administracin. Se hace referencia a este archivo como lista de servidores de administracin. Una lista de servidores de administracin incluye las direcciones IP o los nombres de host del servidor de administracin al cual los clientes y los mdulos de Enforcer opcionales pueden conectarse despus de la instalacin inicial. Se puede personalizar la lista de servidores de administracin antes de implementar cualquier cliente o mdulo de Enforcer opcional. Cuando Symantec Endpoint Protection Manager est instalado, una lista predeterminada de servidores de administracin se crea para permitir la comunicacin HTTP entre los clientes, Enforcer y los servidores de administracin. La lista predeterminada de servidores de administracin incluye las direcciones IP de todas las tarjetas de interfaz de red conectadas (NIC) en todos los servidores de administracin en el sitio. Sera aconsejable incluir solamente las NIC externas en la lista. Aunque usted no pueda editar la lista predeterminada de servidores de administracin, es posible crear una lista personalizada de servidores de administracin. Una lista personalizada de servidores de administracin incluye los servidores de administracin exactos y las NIC correctas a las cuales es necesario que los clientes se conecten. En una lista personalizada, es posible adems utilizar el protocolo HTTPS, verificar el certificado de servidor y personalizar los nmeros de puerto HTTP o HTTPS.
Especificar una lista de servidores de administracin

Es posible especificar una lista de servidores de administracin para conectarse a un grupo de clientes y de mdulos de aplicacin Enforcer opcionales en cualquier momento. Sin embargo, esta tarea se realiza tpicamente despus de que se ha
Configurar conexiones entre los servidores de administracin y los clientes Agregar una lista de servidores de administracin
137
creado una lista personalizada de servidores de administracin y antes de implementar cualquier paquete de clientes. Para especificar una lista de servidores de administracin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee especificar una lista de servidores de administracin. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal. No es posible configurar ninguna opcin de comunicacin para un grupo a menos que el grupo ya no herede polticas y configuracin de un grupo principal.
4 5
Bajo Configuracin y polticas independientes de la ubicacin, en la rea Configuracin, haga clic en Configuracin de comunicacin. En Configuracin de comunicaciones para nombre del grupo, bajo Lista de servidores de administracin, seleccione la lista de servidores de administracin. El grupo seleccionado utiliza esta lista de servidores de administracin al comunicarse con el servidor de administracin.
Agregar una lista de servidores de administracin

Si su empresa tiene varias instancias de Symantec Endpoint Protection Manager, es posible crear una lista personalizada de servidores de administracin. La lista de servidores de administracin especifica el orden en el que se conectan los clientes en un grupo determinado. Los clientes y los mdulos de Enforcer opcionales primero intentan conectarse a los servidores de administracin que se especificaron con la prioridad ms elevada. Si no estn disponibles los servidores de administracin con la prioridad ms elevada, los clientes y los mdulos de Enforcer opcionales intentan conectarse a los servidores de administracin con la prioridad siguiente. Una lista predeterminada de servidores de administracin se crea automticamente para cada sitio. Todos los servidores de administracin disponibles en ese sitio se agregan a la lista predeterminada de servidores de administracin con la misma prioridad. Si agrega varios servidores de administracin con la misma prioridad, los clientes y los mdulos de Enforcer opcionales pueden conectarse a cualquiera de los
138
Configurar conexiones entre los servidores de administracin y los clientes Agregar una lista de servidores de administracin
servidores de administracin. Los clientes balancean la carga automticamente entre los servidores de administracin disponibles en esa prioridad. Es posible utilizar el protocolo HTTPS en lugar de la configuracin predeterminada de HTTP para la comunicacin. Si desea proteger an ms la comunicacin, es posible personalizar los nmeros de puerto HTTP y HTTPS creando una lista de servidores de administracin personalizada. Sin embargo, es necesario personalizar los puertos antes de instalar los clientes. Si no, se pierde la comunicacin entre el cliente y el servidor de administracin. Si actualiza la versin de Symantec Endpoint Protection Manager, debe recordar volver a personalizar los puertos de modo que los clientes puedan reanudar la comunicacin. Despus de que agregue una nueva lista de servidores de administracin, debe asignarla a un grupo o una ubicacin especfica, o a ambas. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 139. Para agregar una lista de servidores de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. Bajo Tareas, haga clic en Agregar una lista de servidores de administracin. En el cuadro de dilogo Listas de servidores de administracin, en el campo de texto Nombre, escriba un nombre para la lista de servidores de administracin y una descripcin opcional. Para especificar qu protocolo de comunicacin se utilizar entre los servidores de administracin y los clientes y Enforcer, seleccione una de las siguientes opciones:

Utilizar protocolo HTTP Utilizar protocolo HTTPS Utilice esta opcin si desea que los servidores de administracin se comuniquen usando HTTPS y si el servidor est ejecutando Secure Sockets Layer (SSL).
Si necesita la verificacin de un certificado con autoridades de certificacin de otros fabricantes de confianza, marque Verificar certificado al utilizar protocolo HTTPS. Para agregar un servidor, haga clic en Agregar > Nuevo servidor.
Configurar conexiones entre los servidores de administracin y los clientes Asignar una lista de servidores de administracin a un grupo y a una ubicacin
139
En el cuadro de dilogo Agregar servidor de administracin, en el campo de texto Direccin del servidor, escriba la direccin IP o el nombre de host del servidor de administracin. Si desea modificar el nmero de puerto para el protocolo HTTP o HTTPS para este servidor, realice una de las siguientes tareas:
Active Personalizar puerto HTTP y escriba un nuevo nmero de puerto. El nmero de puerto predeterminado para el protocolo HTTP es 80. Active Personalizar puerto HTTPS y escriba un nuevo nmero de puerto. El nmero de puerto predeterminado para el protocolo HTTPS es 443. Si personaliza los nmeros de puerto HTTP o HTTPS despus de la implementacin del cliente, los clientes pierden la comunicacin con el servidor de administracin.
10 Haga clic en Aceptar. 11 Si es necesario agregar un servidor de administracin con una prioridad
diferente que el servidor de administracin recin agregado, haga clic en Agregar > Nueva prioridad.
12 Repita los pasos 7 a 10 para agregar ms servidores de administracin. 13 En el cuadro de dilogo Listas de servidores de administracin, haga clic en
Aceptar.
Asignar una lista de servidores de administracin a un grupo y a una ubicacin

Despus de que se agregue una poltica, se necesita asignarla a un grupo o una ubicacin, o a ambas. Si no, la lista de servidores de administracin no es eficaz. Es necesario haber finalizado la adicin o la edicin de una lista de servidores de administracin antes de que pueda asignar la lista. Ver "Agregar una lista de servidores de administracin" en la pgina 137. Ver "Editar el nombre de servidor y la descripcin de una lista de servidores de administracin" en la pgina 141. Ver "Editar la direccin IP, el nombre de hosts y el nmero de puerto de un servidor de administracin de una lista de servidores de administracin" en la pgina 141.
140
Configurar conexiones entre los servidores de administracin y los clientes Ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin
Para asignar una lista de servidores de administracin a un grupo y a una ubicacin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee asignar. Bajo Tareas, haga clic en Asignar la lista. En el cuadro de dilogo Aplicar lista de servidores de administracin, marque los grupos y las ubicaciones a las que desee aplicar la lista de servidores de administracin. Haga clic en Asignar. Cuando se le solicite, haga clic en S.
6 7
Ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin
Se pueden visualizar los grupos y las ubicaciones a los cuales se ha asignado una lista de servidores de administracin. Para ver los grupos y las ubicaciones a las que se asigna una lista de servidores de administracin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista de servidores de administracin cuyos grupos y ubicaciones desea visualizar. Bajo Tareas, haga clic en Mostrar los grupos o las ubicaciones asignadas. Los grupos o las ubicaciones que se asignan a la lista seleccionada de servidores de administracin muestran un pequeo crculo verde con una marca blanca.
En el cuadro de dilogo nombre de la lista de servidores de administracin: Grupos y ubicaciones asignados, haga clic en Aceptar.
Configurar conexiones entre los servidores de administracin y los clientes Editar el nombre de servidor y la descripcin de una lista de servidores de administracin
141
Editar el nombre de servidor y la descripcin de una lista de servidores de administracin

Es posible modificar el nombre y la descripcin de una lista de servidores de administracin. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 139. Para editar el nombre de servidor y la descripcin de una lista de servidores de administracin
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista de servidores de administracin cuyo nombre y descripcin desea modificar. Bajo Tareas, haga clic en Editar la lista. En el cuadro de dilogo Listas de servidores de administracin, edite el nombre y la descripcin opcional de la lista de servidores de administracin. Haga clic en Aceptar.
Editar la direccin IP, el nombre de hosts y el nmero de puerto de un servidor de administracin de una lista de servidores de administracin
Si la direccin IP o el nombre de host de un servidor de administracin se modifica, debe modificarlo en la lista de servidores de administracin. Es posible tambin modificar el nmero de puerto del protocolo de comunicacin HTTP o HTTPS. Ver "Asignar una lista de servidores de administracin a un grupo y a una ubicacin" en la pgina 139. Para editar la direccin IP, el nombre de hosts y el nmero de puerto de un servidor de administracin de una lista de servidores de administracin
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin.
142
Configurar conexiones entre los servidores de administracin y los clientes Modificar el orden en el cual se conectan los servidores de administracin
3 4 5 6 7
En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee modificar. Bajo Tareas, haga clic en Editar la lista. En el cuadro de dilogo Listas de servidores de administracin, seleccione el servidor de administracin que desee modificar. Haga clic en Editar. En el cuadro Agregar servidor de administracin, escriba la nueva direccin IP o el nombre de host del servidor de administracin en el cuadro Direccin del servidor. Es posible tambin modificar el nmero de puerto del protocolo HTTP o HTTPS.
8 9
Haga clic en Aceptar. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Aceptar.
Modificar el orden en el cual se conectan los servidores de administracin

Si las circunstancias de una red se modifican, puede ser necesario reasignar direcciones IP o nombres de host, as como las prioridades en una lista de servidores de administracin. Por ejemplo, uno de los servidores en los que instal Symantec Endpoint Protection Manager tuvo un error de disco. Este servidor de administracin haba funcionado como servidor de balanceo de carga y haba recibido la Prioridad 1. Sin embargo, hay otro servidor de administracin con la Prioridad 2 asignada. Si desea resolver este problema, es posible reasignar la prioridad de este servidor de administracin. Es posible cambiar la prioridad de un servidor de administracin a partir de 2 a 1 para sustituir el servidor de administracin defectuoso. Para modificar el orden en el cual se conectan los servidores de administracin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista de servidores de administracin para la cual desea modificar el orden de los servidores de administracin. Bajo Tareas, haga clic en Editar la lista.
Configurar conexiones entre los servidores de administracin y los clientes Reemplazo de una lista de servidores de administracin
143
En el cuadro de dilogo Listas de servidores de administracin, bajo Servidores de administracin, seleccione la direccin IP, el nombre de host o la prioridad del servidor de administracin. Es posible mover una direccin IP o un nombre de host a una prioridad diferente. Si decide modificar una prioridad, se modifican automticamente todas las direcciones IP y los nombres de host asociados de la prioridad.
6 7
Haga clic en Subir o Bajar. En el cuadro de dilogo Listas de servidores de administracin, haga clic en Aceptar.
Reemplazo de una lista de servidores de administracin

Es posible reemplazar una lista de servidores de administracin que se aplic previamente a un grupo o a una ubicacin especficos por otra lista. Para reemplazar una lista de servidores de administracin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee reemplazar. Bajo Tareas, haga clic en Reemplazar la lista. En el cuadro Reemplazar lista de servidores de administracin, seleccione la lista de servidores de administracin de reemplazo desde la lista desplegable Nuevo servidor de administracin. Marque los grupos o las ubicaciones a los cuales desee aplicar la lista de servidores de administracin de reemplazo. Haga clic en Reemplazar. Cuando se le solicite, haga clic en S.
6 7 8
Copiar y pegar una lista de servidores de administracin

Es posible que desee trabajar con varias listas de administracin que sean casi idnticas, a excepcin de algunos cambios. Es posible hacer una copia de una lista
144
Configurar conexiones entre los servidores de administracin y los clientes Exportar e importar una lista de servidores de administracin
de servidores de administracin. Despus de copiar y pegar una lista de servidores de administracin, la copia de la lista de servidores de administracin aparece en el panel Listas de servidores de administracin. Para copiar y pegar una lista de servidores de administracin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee copiar. Bajo Tareas, haga clic en Copiar la lista. Bajo Tareas, haga clic en Pegar lista.
Exportar e importar una lista de servidores de administracin

Puede exportar o importar una lista existente de servidores de administracin. El formato de archivo para una lista de servidores de administracin es: .dat Para exportar una lista de servidores de administracin
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee exportar. En la pgina Polticas, bajo Tareas, haga clic en Exportar la lista. En el cuadro de dilogo Exportar poltica, busque la carpeta en la cual desea exportar el archivo de lista de servidores de administracin. Haga clic en Exportar. Si se le pide modificar el nombre de archivo en el cuadro de dilogo Exportar poltica, modifique el nombre de archivo y haga clic en Aceptar.
Configurar conexiones entre los servidores de administracin y los clientes Eliminar una lista de servidores de administracin
145
Para importar una lista de servidores de administracin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. Bajo Tareas, haga clic en Importar una lista de servidores de administracin. En el cuadro de dilogo Importar poltica, vaya al archivo de lista del servidor de administracin que desee importar y haga clic en Importar. Si se le pide modificar el nombre de archivo en el cuadro de dilogo de entrada, modifique el nombre de archivo y haga clic en Aceptar.
Eliminar una lista de servidores de administracin

Puede ser necesario eliminar una lista de servidores de administracin porque los servidores ya no estn en funcionamiento o se haya vuelto a configurar su red. Para eliminar una lista de servidores de administracin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en Componentes de polticas > Listas de servidores de administracin. En el panel Listas de servidores de administracin, seleccione la lista del servidor de administracin que desee eliminar. En la pgina Polticas, bajo Tareas, haga clic en Eliminar la lista. En el cuadro de dilogo Eliminar lista de servidores de administracin, haga clic en S.
Acerca de las opciones de comunicacin de clientes y servidores

Las opciones de comunicacin entre el cliente y el servidor y otras opciones de configuracin del cliente se almacenan en archivos en el equipo cliente. La Tabla 8-1 describe los archivos utilizados para almacenar el estado de la interfaz de usuario del cliente.
146
Configurar conexiones entre los servidores de administracin y los clientes Acerca de las opciones de comunicacin de clientes y servidores
Tabla 8-1 Nombre de archivo

SerDef.dat
Archivos de los clientes Descripcin

Un archivo cifrado que almacena opciones de comunicacin por ubicacin. Cada vez que el usuario cambia de ubicacin, se lee el archivo SerDef.dat y las opciones de comunicacin apropiadas para la nueva ubicacin se aplican al cliente. Almacena las opciones de comunicacin globales. Este archivo es para uso interno solamente y no debe ser editado. Contiene opciones de Symantec Endpoint Protection Manager. Si edita este archivo, la mayora de las opciones sern sobrescritas por las opciones de Symantec Endpoint Protection Manager la prxima vez que el cliente se conecte a Symantec Endpoint Protection Manager. Un archivo cifrado que almacena informacin sobre la GUI, tal como el tamao de la pantalla, si la consola de mensajes se visualiza y si los servicios de Windows se visualizan. Cuando el cliente se inicia, lee este archivo y vuelve al mismo estado de GUI que antes de que fuera detenido.
sylink.xml
SerState.dat
Captulo
Fundamentos de la elaboracin de informes


Acerca de los informes Acerca de los informes que puede ejecutar Acerca de la visualizacin de registros e informes Cmo la elaboracin de informes utiliza la base de datos Acerca de eventos registrados de su red Acerca de los registros que es posible supervisar Acceder a las funciones de elaboracin de informes Asociar el host local con la direccin IP cuando las direcciones de bucle invertido estn deshabilitadas Acerca del uso de SSL con las funciones de elaboracin de informes Usar la pgina principal de Symantec Endpoint Protection Usar la pgina principal de Symantec Network Access Control Configurar preferencias de la elaboracin de informes Acerca de los horarios de anlisis de clientes utilizados en informes y registros Acerca del uso del filtro ltimas 24 horas para informes y registros Acerca del uso de filtros que buscan grupos en informes y registros
148
Fundamentos de la elaboracin de informes Acerca de los informes
Acerca de los informes

Las funciones de elaboracin de informes le brindan la informacin actualizada que se necesita para supervisar y para tomar decisiones informadas sobre la seguridad de su red. La pgina principal de la consola de administracin muestra los grficos generados automticamente que contienen informacin sobre los eventos importantes que han sucedido recientemente en su red. Es posible utilizar los filtros en la pgina Informes para elaborar informes predefinidos o personalizados. Puede utilizar la pgina Informes para ver grficos de representaciones y estadsticas de los eventos que suceden en su red. Puede utilizar los filtros de la pgina Supervisin para ver una informacin ms detallada y en tiempo real sobre los registros de su red. Si est instalado Symantec Endpoint Protection, la elaboracin de informes incluye las siguientes funciones:
Pgina de inicio personalizable con sus informes ms importantes, estado de la seguridad general y vnculos a Symantec Security Response. Vistas de resumen de informes acerca del estado del antivirus, estado de la Proteccin contra amenazas de red, estado de cumplimiento y estado del sitio. Informes rpidos predefinidos e informes grficos personalizables con varias opciones de filtro que es posible configurar. La capacidad de programar los informes que se enviarn por correo electrnico a los destinatarios en intervalos regulares. Ayuda para Microsoft SQL o una base de datos integrada para almacenar registros de eventos. La capacidad de ejecutar anlisis de equipos cliente, de activar la Proteccin contra amenazas de red del cliente y Auto-Protect, y de reiniciar los equipos directamente desde los registros. La capacidad de agregar exclusiones de la aplicacin directamente desde los registros. Notificaciones configurables que se basan en los eventos de seguridad.
Si est instalado Symantec Network Access Control, la elaboracin de informes incluye las siguientes funciones:

Pgina de inicio con una vista de resumen general del estado del cumplimiento. Informes grficos predefinidos y personalizables con varias opciones de filtro. Ayuda para Microsoft SQL o una base de datos integrada para almacenar registros de eventos.
Fundamentos de la elaboracin de informes Acerca de los informes que puede ejecutar
149
La capacidad de programar los informes que se enviarn por correo electrnico a los destinatarios en intervalos regulares. Notificaciones configurables que se basan en los eventos de seguridad.
La elaboracin de informes se ejecuta como aplicacin Web dentro de la consola de administracin. La aplicacin utiliza un servidor Web para entregar esta informacin. Es posible adems acceder a las funciones de elaboracin de informes desde un navegador Web independiente que se conecte al servidor de administracin. Las tareas bsicas de la elaboracin de informes incluyen:

Inicio de sesin en la funcin de informes usando un navegador Web. Uso de la pgina de inicio y la vista de resumen para conseguir la informacin rpida sobre eventos en su red de seguridad. Configuracin de las preferencias de la elaboracin de informes. Uso de vnculos a Symantec Security Response.
Acerca de los informes que puede ejecutar

Symantec Endpoint Protection y Symantec Network Access Control recopilan la informacin sobre los eventos de seguridad de su red. Puede ver informes rpidos predefinidos y generar informes personalizados basados en la configuracin de filtro seleccionada. Tambin puede guardar los valores de configuracin de filtro para generar los mismos informes personalizados en el futuro y para eliminarlos cuando no los necesite ms. La Tabla 9-1 describe los tipos de informes que estn disponibles. Tabla 9-1 Tipo de informe
Control de aplicaciones y dispositivos
Tipos de informes Descripcin

Muestra informacin sobre los eventos donde se bloque un cierto tipo de comportamiento. Estos informes incluyen informacin sobre alertas de seguridad de la aplicacin, destinos bloqueados y dispositivos bloqueados. Los destinos bloqueados pueden ser claves de registro, dlls, archivos y procesos. Muestra informacin sobre las polticas que los clientes y las ubicaciones utilizan actualmente.
Auditora
150
Fundamentos de la elaboracin de informes Acerca de los informes que puede ejecutar
Tipo de informe
Cumplimiento
Descripcin
Muestra informacin sobre el estado del cumplimiento de su red. Estos informes incluyen informacin sobre los servidores de Enforcer, los clientes de Enforcer, el trfico de Enforcer y el cumplimiento de hosts. Muestra informacin sobre el estado operacional de los equipos de su red, como qu equipos tienen rasgos de seguridad desactivados. Estos informes incluyen informacin sobre versiones, sobre los clientes que se han registrado en el servidor, el inventario de clientes y el estado en lnea.
Estado del equipo
Proteccin contra amenazas Muestra informacin sobre prevencin de intrusiones, de red ataques en el firewall y sobre trfico y paquetes del firewall. Riesgo Muestra informacin sobre eventos de riesgo en los servidores de administracin y sus clientes. Incluye informacin sobre el anlisis de amenazas proactivo TruScan. Muestra informacin sobre la actividad del anlisis antivirus y contra software espa. Muestra informacin sobre tiempos del evento, tipos de evento, sitios, dominios, servidores y niveles de gravedad.
Anlisis
Sistema
Ver "Acerca de los informes" en la pgina 176. Nota: Algunos informes predefinidos contienen la informacin que se obtiene de Symantec Network Access Control. Si no ha comprado ese producto, sino que ejecuta uno de los informes de ese producto, el informe estar vaco. Puede modificar los informes predefinidos y guardar su configuracin. Puede crear nuevas configuraciones de filtro a partir de la configuracin predefinida o de una configuracin que usted haya creado. Tambin puede eliminar las configuraciones personalizadas si ya no las necesita. La configuracin activa del filtro se enumera en el informe si ha configurado el registro e informa la configuracin de las preferencias para incluir los filtros en informes. Ver "Configurar preferencias para registros e informes" en la pgina 170. Cuando se crea un informe, ste aparece en otra ventana. Puede guardar una copia del informe en formato de archivo Web o imprimir una copia del informe. El archivo guardado o el informe impreso proporcionan una instantnea de los datos
Fundamentos de la elaboracin de informes Acerca de la visualizacin de registros e informes
151
actuales de la base de datos de elaboracin de informes, de modo que se pueda conservar un registro del historial. Tambin puede crear los informes programados que se generan automticamente basados en una programacin configurada. Usted establece los filtros de los informes y el momento de ejecucin. Cuando el informe ha terminado, se enva por correo electrnico a uno o ms destinatarios. De forma predeterminada, siempre se ejecuta un informe programado. Puede modificar la configuracin de cualquier informe programado que an no haya ejecutado. Tambin puede eliminar uno o todos los informes programados. Ver "Crear y eliminar informes programados" en la pgina 200.
Acerca de la visualizacin de registros e informes

La resolucin de visualizacin ptima para las funciones de elaboracin de informes es 1024 x 768 o mayor. Sin embargo, es posible ver las funciones de informes con una resolucin de pantalla de tan slo 800 x 600 usando las barras de desplazamiento.
Cmo la elaboracin de informes utiliza la base de datos

Symantec Endpoint Protection recolecta y lee los eventos que ocurren en su red de los registros del servidor de administracin almacenados en la base de datos. La base de datos de informes puede ser una base de datos de Microsoft SQL de la red o la base de datos instalada con el software de informes. La base de datos tiene algunos requisitos de mantenimiento relacionados con la elaboracin de informes. Ver "Acerca de administrar eventos de registro en la base de datos" en la pgina 327. Es posible obtener el esquema de base de datos que utiliza Symantec Endpoint Protection si desea construir sus propios informes con el software de otro fabricante. Para obtener informacin sobre el esquema de base de datos, consulte las bases de conocimiento de Symantec.
Acerca de eventos registrados de su red

Symantec Endpoint Protection extrae los eventos que aparecen en los informes del registro de eventos de sus servidores de administracin. Los registros de eventos contienen marcas de hora correspondientes al huso horario del servidor.
152
Fundamentos de la elaboracin de informes Acerca de los registros que es posible supervisar
Cuando el servidor de administracin recibe los eventos, convierte los grupos fecha/hora del evento a Hora del meridiano de Greenwich (GMT) para la insercin en la base de datos. Al crear informes, el software de informes muestra informacin sobre eventos en la hora local del equipo en el que se ven los informes. Algunos tipos de eventos, como ataques de virus, pueden dar lugar a la creacin de un nmero excesivo de eventos de seguridad. Estos tipos de eventos se agregan antes de que se remitan al servidor de administracin. Para obtener informacin sobre los eventos que aparecen en la pgina de inicio, consulte la pgina de las firmas de ataques del sitio Web de Symantec Security Response. En Internet, vaya a la siguiente URL: http://securityresponse.symantec.com/avcenter/attack_sigs/
Acerca de los registros que es posible supervisar

Puede ver datos de los eventos directamente si desea prestar especial atencin a eventos especficos. Los registros incluyen datos de eventos de sus servidores de administracin y de todos los clientes que realizan informes de esos servidores. Puede filtrar los datos del registro de la misma forma que se filtran los datos de informes. Puede exportar datos del registro a un archivo separado por comas y puede exportar ciertos datos a un archivo de texto o a un servidor Syslog. Esta funcin es til para hacer una copia de respaldo de los datos del evento, o cuando desea utilizar los datos en la hoja de balance o en otra aplicacin. Ver "Exportar datos de registro" en la pgina 225.
Acceder a las funciones de elaboracin de informes

La elaboracin de informes se ejecuta como aplicacin Web dentro de la consola de administracin. La aplicacin utiliza un servidor Web para entregar esta informacin. Es posible acceder a las funciones de elaboracin de informes, que se encuentran en la pgina principal, la pgina Supervisin y la pgina Informes, de la consola. Es posible adems acceder a las funciones de la pgina principal, Supervisin e Informes desde un navegador Web independiente que se conecte a su servidor de administracin. Es posible realizar todas las funciones de elaboracin de informes desde la consola o un navegador Web independiente. Sin embargo, todas las otras funciones de la consola no estarn disponibles al usar un navegador independiente. Para acceder a informes desde un navegador Web, es necesario tener la siguiente informacin:
La direccin IP o el nombre de host del servidor de administracin.
Fundamentos de la elaboracin de informes Acceder a las funciones de elaboracin de informes
153
El nombre y la contrasea de cuenta para el administrador.
Cuando se utiliza un navegador Web para acceder a funciones de elaboracin de informes, no hay pginas ni iconos de la pgina en la visualizacin. Todas las fichas que se encuentran en las pginas principal, Supervisin e Informes de la consola se encuentran en la parte superior de la ventana del navegador. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Nota: Para acceder a las funciones de elaboracin de informes por cualquier mtodo, es necesario tener Internet Explorer 6.0 o posterior instalado. Otros navegadores Web no se admiten. La informacin que se da aqu asume que se utiliza la consola de administracin para acceder a funciones de elaboracin de informes en lugar de un navegador Web. Los procedimientos para utilizar los informes son similares, independientemente del mtodo de acceso a ellos. Sin embargo, los procedimientos que usan especficamente los informes en un navegador independiente no se documentan, a excepcin de cmo iniciar sesin usando un navegador Web independiente. Nota: Es posible adems utilizar la consola o un navegador Web para ver informes cuando est conectado a travs de una sesin de terminal remota. Ver "Iniciar sesin en Symantec Endpoint Protection Manager" en la pgina 43. La ayuda contextual est disponible al hacer clic en el vnculo Ms informacin, que se encuentra en las pginas de la consola que se utilizan para las funciones de elaboracin de informes. Nota: Si no utiliza el puerto predeterminado cuando se instalan las pginas de ayuda para informes, no es posible acceder a la ayuda contextual en pantalla. Para acceder a la ayuda contextual cuando se utiliza un puerto no predeterminado, es necesario agregar una variable al archivo Reporter.php.
154
Fundamentos de la elaboracin de informes Asociar el host local con la direccin IP cuando las direcciones de bucle invertido estn deshabilitadas
Para iniciar sesin en los informes desde un navegador Web independiente
1 2
Abra un navegador Web. Escriba la URL de informes en el cuadro de texto de direccin en el formato que sigue: http://nombre de servidor /reporting/index.php?
Cuando aparece el cuadro de dilogo de inicio de sesin, escriba su nombre de usuario y contrasea, y despus haga clic en Iniciar sesin. Si tiene ms de un dominio, en el cuadro de texto Dominio, es necesario escribir su nombre de dominio.
Para modificar el puerto utilizado para acceder a la ayuda contextual para la elaboracin de informes
1 2 3
Cambie el directorio por unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. Abra el archivo de configuracin Reporter.php con un editor. Agregue la lnea siguiente al archivo y sustituya el nmero de puerto por el nmero de puerto que usted utiliz cuando instal la ayuda de informes. $scm_http_port=nmero de puerto
Guarde y cierre el archivo.
Asociar el host local con la direccin IP cuando las direcciones de bucle invertido estn deshabilitadas
Si ha deshabilitado las direcciones de bucle invertido en el equipo, las pginas de informes no se visualizan. Si intenta iniciar sesin en la consola de administracin o acceder a las funciones de informes, ver el mensaje de error siguiente: No es posible establecer una comunicacin con el componente de informes Las pginas Inicio, Supervisin e Informes estn en blanco. Las pginas Polticas, Clientes y Administrador se muestran y funcionan normalmente. Para que se muestren los componentes de informes cuando estn deshabilitadas las direcciones de bucle invertido, es necesario asociar la palabra localhost (host local) con la direccin IP de su equipo. Es posible editar el archivo de host de Windows para asociar el host local con una direccin IP.
Fundamentos de la elaboracin de informes Acerca del uso de SSL con las funciones de elaboracin de informes
155
Para asociar el host local con la direccin IP en los equipos con Windows
Cambie el directorio a la ubicacin de su archivo de host. De forma predeterminada, el archivo de host se encuentra en %SystemRoot%\system32\drivers\etc
2 3
Abra el archivo de host con un editor. Agregue la lnea siguiente al archivo de host: xxx.xxx.xxx.xxx localhost #funciones de informes para iniciar sesin donde se sustituye xxx.xxx.xxx.xxx por la direccin IP de su equipo. Es posible agregar cualquier comentario que desee despus del signo #. Por ejemplo, es posible escribir la siguiente lnea: 192.168.1.100 localhost # esta entrada es para mi equipo de consola de administracin
Guarde y cierre el archivo.
Acerca del uso de SSL con las funciones de elaboracin de informes

Es posible utilizar SSL con las funciones de la elaboracin de informes para una mayor seguridad. El SSL proporciona confidencialidad, integridad para sus datos y autenticacin entre el cliente y el servidor. Para obtener informacin acerca del uso de SSL con las funciones de elaboracin de informes, consulte Configurar SSL para funcionar con las funciones de elaboracin de informes de Symantec Endpoint Protection en la base de conocimientos de Symantec en la siguiente URL: http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072512593748
Usar la pgina principal de Symantec Endpoint Protection

Si tiene Symantec Endpoint Protection instalado y sus derechos de cuenta de administrador incluyen permisos para ver informes, su pgina principal muestra informes generados automticamente. Estos informes contienen informacin importante sobre su seguridad de red. Si no tiene permisos para ver informes, su pgina principal no contiene estos informes generados automticamente. La Figura 9-1 es una muestra de la pgina principal que los administradores con permisos para ver informes ven.
156
Fundamentos de la elaboracin de informes Usar la pgina principal de Symantec Endpoint Protection
Figura 9-1
Muestra de la pgina principal de Symantec Endpoint Protection en la consola
La pgina principal incluye informes generados automticamente y varios elementos de estado. Algunos de los informes de la pgina principal contienen hipervnculos a informes ms detallados. Es posible hacer clic en los nmeros y en algunos grficos en los informes de la pgina principal para ver los detalles. Nota: Los informes se filtran automticamente basados en los permisos del usuario que ha iniciado sesin. Si es administrador del sistema, se ve la informacin de todos los dominios. Si es administrador limitado con derechos de acceso a solamente un dominio, se ve la informacin solamente de ese dominio. La Tabla 9-2 describe cada elemento de la pgina principal de Symantec Endpoint Protection detalladamente.
157
Tabla 9-2
Elementos e informes de la pgina principal
Informe o informacin de estado Descripcin

Estado de seguridad El estado de seguridad puede ser Bueno o Se necesita atencin. Los umbrales que usted establece en la ficha Estado de seguridad determinan las definiciones de Bueno y Se necesita atencin.. Se accede a la ficha Estado de seguridad desde el vnculo Preferencias de la pgina principal. Ver "Configurar umbrales de estado de seguridad" en la pgina 169. Es posible hacer clic en el icono del estado de seguridad en la pgina principal para obtener ms informacin.
158

Resumen de acciones por cantidad de De forma predeterminada, la pgina principal muestra un resumen de acciones detecciones| Resumen de acciones por para las ltimas 24 horas y por la cantidad de infecciones para los virus y los cantidad de equipos riesgos de seguridad. Es posible hacer clic en el vnculo Preferencias para modificar el intervalo de tiempo que se utiliza por la ltima semana en vez de las ltimas 24 horas. Es posible utilizar el mismo vnculo para modificar la visualizacin por cantidad de detecciones a una visualizacin por nmero de equipos. Ver "Acerca de las opciones de visualizacin de Inicio y supervisin" en la pgina 168. El Resumen de acciones por cantidad de detecciones resume la siguiente informacin:

La cantidad de medidas que se tomaron sobre virus y riesgos de seguridad. La incidencia de nuevas detecciones de virus y riesgos de seguridad. El nmero de equipos que permanecen infectados por virus y riesgos de seguridad.
El Resumen de acciones por cantidad de equipos resume la siguiente informacin: El nmero de equipos distintos en los cuales se tomaron varias medidas sobre virus y riesgos de seguridad. La cantidad total de nuevas detecciones de virus y riesgos de seguridad.

El nmero total de equipos que permanecen infectados por virus y riesgos de seguridad.
Por ejemplo, suponga que tiene cinco acciones limpiadas en la vista por cantidad de detecciones. Si todas las detecciones ocurren en el mismo equipo, la vista por cantidad de equipos muestra una cantidad de uno, no cinco. En cualquiera de las acciones, haga clic en el nmero de virus o riesgos de seguridad para ver un informe detallado. Un riesgo de seguridad sospechoso indica que un anlisis de amenazas proactivo TruScan ha detectado algo que debe investigar. Puede o no ser inofensivo. Si determina que este riesgo es inofensivo, podr utilizar la poltica de excepciones centralizada para excluirlo de detecciones en el futuro. Si ha configurado que se registren los anlisis de amenazas proactivos TruScan y determina que este riesgo es daino, es posible utilizar la poltica de excepciones centralizada para terminarlo o ponerlo en cuarentena. Si ha utilizado la configuracin predeterminada del anlisis de amenazas proactivo TruScan, Symantec Endpoint Protection no puede reparar este riesgo. Si determina que este riesgo es daino, deber quitar el riesgo manualmente.
159

Resumen de acciones por cantidad de El recuento Recientemente infectado muestra la cantidad de riesgos que detecciones| Resumen de acciones por infectaron los equipos slo durante el intervalo de tiempo seleccionado. cantidad de equipos Recientemente infectado es un subgrupo de An infectado. El recuento An infectado muestra el nmero total de riesgos que un anlisis continuara (continuacin) clasificando como infectado, tambin dentro del intervalo de tiempo configurado. Por ejemplo, el equipo puede seguir infectado porque Symantec Endpoint Protection slo puede quitar el riesgo parcialmente. Despus de investigar el riesgo, podr borrar el recuento An infectado del registro del estado del equipo. Tanto el recuento Recientemente infectado como el recuento An infectado muestra los riesgos que requieren que usted tome otras medidas para eliminarlos. En la mayora de los casos, es posible tomar estas medidas desde la consola y sin tener que ir al equipo.
Nota: Un equipo se incluye en el recuento Recientemente infectado si el

evento de la deteccin ocurri durante el intervalo de tiempo de la pgina principal. Por ejemplo, si un riesgo no reparado afect un equipo en el plazo de las ltimas 24 horas, el recuento Recientemente infectado subir en la pgina principal. Es posible que el riesgo quede sin reparar debido a una reparacin parcial o porque la poltica de seguridad para ese riesgo se encuentra configurada en Slo registrar. Es posible configurar un barrido de la base de datos para quitar o para conservar los eventos de la deteccin que dieron lugar a riesgos no reparados. Si el barrido se configura para quitar los eventos de riesgo no reparados, entonces el recuento de la pgina de inicio para An infectado ya no contendr esos eventos. Esos eventos caducan y se eliminan de la base de datos. Esta desaparicin no significa que se repararon los equipos. No se aplica ningn lmite de tiempo a las entradas de An infectado. Despus de que se limpien los riesgos, es posible modificar el estado de infeccin para el equipo. Modifique el estado en el registro de Estado del equipo haciendo clic en el icono para ese equipo en la columna Infectado.
Nota: El recuento Recientemente infectado no disminuye cuando el estado

de infeccin de un equipo se borra en el registro de estado del equipo; el recuento An infectado s se reduce. Es posible determinar la cantidad total de eventos que se produjeron la ltima vez que se configur el perodo para que aparezca en la pgina principal. Para determinar la cantidad total, agregue los recuentos de todas las filas del Resumen de acciones a excepcin de An infectado. Ver "Ver registros" en la pgina 215.
160

Ataques | Riesgos | Infecciones Por hora: ltimas 12 horas | Por hora: ltimas 24 horas Este informe consiste en un grfico lineal. El grfico de lneas demuestra la incidencia de los ataques, las detecciones o las infecciones en su red de seguridad durante las 12 24 horas pasadas. Es posible seleccionar una de las siguientes opciones para visualizar: Los ataques representan los incidentes que la proteccin contra amenazas de red frustr. Los riesgos representan todas las detecciones que efectuaron la proteccin antivirus y contra software espa y el anlisis de amenazas proactivo TruScan. Las infecciones representan los virus y los riesgos de seguridad que fueron detectados, pero no pueden ser reparados correctamente.
Es posible modificar la visualizacin haciendo clic en una nueva vista en el cuadro de lista.
Nota: Es posible hacer clic en el vnculo Preferencias para modificar el

intervalo de tiempo predeterminado que se utiliza. Ver "Acerca de las opciones de visualizacin de Inicio y supervisin" en la pgina 168. Resumen del estado de notificaciones El resumen del estado de notificaciones muestra un resumen de una lnea sobre el estado de las notificaciones que se han configurado. Por ejemplo, 100 notificaciones no reconocidas en las ltimas 24 horas. Ver "Crear notificaciones de administrador" en la pgina 231. Resumen del estado El resumen del estado resume el estado operacional de los equipos en su red. Contiene el nmero de equipos en la red que tienen los siguientes problemas:

El motor antivirus se encuentra desactivado. Auto-Protect se encuentra desactivado. Proteccin contra intervenciones se encuentra desactivado.
Los equipos necesitan reiniciarse para completar ciertas clases de reparacin de riesgos o para finalizar la instalacin de una descarga de software de LiveUpdate. Los equipos no superaron una comprobacin de integridad del host. Este nmero es siempre cero si usted no tiene Symantec Network Access Control instalado. Es posible hacer clic en cada nmero del Resumen del estado para obtener informacin. El nmero de notificaciones no reconocidas en las 24 horas pasadas tambin aparece.
161

Distribucin de definiciones de virus Las secciones Distribucin de definiciones de virus y Firmas de prevencin | Firmas de prevencin de intrusiones de intrusiones de la pgina principal muestran cmo se distribuyen las definiciones de virus y las firmas IPS actuales. Es posible alternar entre ellas haciendo clic en una nueva vista en el cuadro de lista. Security Response La seccin Security Response muestra las amenazas principales y las ltimas amenazas determinadas por Symantec Security Response. Adems, muestra el nmero de equipos en su red que estn desprotegidos contra estas amenazas. El contador de ThreatCon indica el nivel de gravedad actual de amenaza a los equipos de una red. Los niveles de gravedad se basan en las evaluaciones de amenazas que realiza Symantec Security Response. El nivel de seguridad de ThreatCon brinda una imagen general de la seguridad de Internet. Puede hacer clic en cualquiera de los vnculos para obtener informacin adicional. Ver "Acerca del uso de los vnculos de Security Response" en la pgina 164.
Nota: Symantec no admite la instalacin de Symantec Client Firewall en el

mismo equipo que Symantec Endpoint Protection Manager. Si instala ambos en el mismo equipo, esta situacin puede causar errores de CGI cuando se hace clic en los vnculos de Security Response en la pgina principal. Resumen de aplicaciones en observacin El Resumen de aplicaciones en observacin muestra las incidencias de aplicaciones en su red que estn en las listas siguientes:

La lista de aplicaciones comerciales de Symantec La lista de detecciones de amenazas proactivas forzadas de TruScan, que es la lista personalizada de aplicaciones en observacin
Es posible hacer clic en un nmero para visualizar un informe ms detallado. Informes favoritos La seccin Informes favoritos contiene tres informes predeterminados. Es posible personalizar esta seccin reemplazando uno o ms de estos informes con otro informe predeterminado o personalizado que desee. Los informes favoritos se ejecutan cada vez que usted los ve, de modo que sus datos sean actuales. Aparecen en una nueva ventana. Para seleccionar los informes a los que usted desea acceder desde la pgina principal, puede hacer clic en el icono ms (+) ubicado al lado de Informes favoritos.
Es posible utilizar el vnculo Preferencias para modificar el plazo para los informes y los resmenes que se visualizan en esas pginas. La configuracin predeterminada es de las ltimas 24 horas; la otra opcin es la ltima semana. Es
162
posible adems modificar los informes predeterminados que se visualizan en la seccin Informes favoritos de la pgina principal.
Configurar Informes favoritos en la pgina principal

Es posible configurar la seccin Informes favoritos en la pgina principal para que proporcione vnculos a un mximo de tres informes que desee ver regularmente. Es posible utilizar esta funcin para visualizar los informes que desee ver con mayor frecuencia, cada vez que inicia sesin en la consola de administracin. Los informes favoritos se ejecutan cada vez que usted los ve, as que muestran informacin actualizada sobre el estado de su red. Los informes siguientes aparecen en Informes favoritos de forma predeterminada:

Principales fuentes de ataque Correlacin principal de detecciones de riesgos Distribucin de amenazas proactiva de TruScan
Nota: Cuando se personaliza la visualizacin, se personaliza la visualizacin para la cuenta de usuario conectada solamente. Los valores configurados en esta pgina se guardarn para todas las sesiones. La prxima vez que se registre en la consola de administracin con las mismas credenciales de usuario, esta configuracin se utilizar para la visualizacin de la pgina principal. La Tabla 9-3 describe las opciones de visualizacin de la pgina principal.
163
Tabla 9-3
Opciones de visualizacin de informes favoritos en la pgina principal Definicin

Especifica los tipos de informes que estn disponibles. Symantec Endpoint Protection proporciona los siguientes tipos de informes:

Opcin
Tipo de informe
Control de aplicaciones y dispositivos Auditora Cumplimiento Estado del equipo Proteccin contra amenazas de red Riesgo Anlisis Sistema
Nombre del informe
Enumera los nombres de los informes disponibles para el tipo de informe que usted seleccion. Si ha guardado filtros asociados al informe que usted seleccion, aparecen en este cuadro de lista. El filtro predeterminado siempre es mencionado.
Filtro
Para configurar los informes favoritos en la pgina principal
1 2 3 4 5 6 7
Haga clic en Pgina principal. Haga clic en el icono ms (+) al lado de Informes favoritos. Desde el cuadro de lista del informe que desee modificar, haga clic en un tipo de informe. Por ejemplo, haga clic en Riesgo. Desde el cuadro de lista siguiente, haga clic en el nombre del informe que desee. Por ejemplo, haga clic en Distribucin de riesgos a lo largo del tiempo. Si ha guardado filtros asociados al informe que usted seleccion, seleccione el que desea utilizar o seleccione el filtro predeterminado. Repita este paso para los vnculos del segundo y el tercer informe, si lo desea. Haga clic en Aceptar. Los vnculos a los informes que usted seleccion aparecen en su pgina principal.
164
Acerca del uso de los vnculos de Security Response

La pgina principal incluye un resumen creado a partir de la informacin del sitio Web de Symantec Security Response. Se muestra el cuadro de niveles de seguridad ThreatCon, as como vnculos con el sitio Web de Symantec Security Response y otros sitios Web de seguridad. El nivel de ThreatCon muestra la condicin de Internet durante las ltimas 24 horas. El nivel se evala de nuevo cada 24 horas, a menos que la actividad de Internet sea tal que se necesite hacerlo antes. Las niveles ThreatCon son los siguientes:
1 - Normal No hay actividad de incidentes de red perceptible ni ninguna actividad de cdigo malicioso con una clasificacin de riesgo moderado o grave. Bajo condiciones normales, solamente se necesita un grado de seguridad de rutina, diseado para derrotar amenazas de red normales. Deben utilizarse sistemas y mecanismos de notificacin automatizados. 2 - Elevado El conocimiento o la expectativa de actividad del ataque estn presentes, sin incidencia de eventos especficos. Se utiliza esta clasificacin cuando el cdigo malicioso alcanza un nivel de riesgo moderado. Bajo esta condicin, se debe realizar un examen cuidadoso de los sistemas vulnerables y expuestos. Las aplicaciones de seguridad se deben actualizar con nuevas firmas y normas tan pronto como estn disponibles. Se recomiendan la supervisin cuidadosa de los registros, pero no se requiere ningn cambio en la infraestructura de seguridad real. 3 - Alto Este nivel se aplica cuando una amenaza aislada para la infraestructura informtica est en curso o cuando el cdigo malicioso alcanza un nivel de riesgo grave. Bajo esta condicin, es necesaria mayor supervisin. Las aplicaciones de seguridad se deben actualizar con nuevas firmas y normas tan pronto como estn disponibles. Se recomienda volver a implementar y configurar los sistemas de seguridad. 4 - Extremo Este nivel se aplica cuando hay actividad extrema de incidentes de la red global en curso. La puesta en prctica de medidas en estas condiciones de amenazas durante ms que un perodo corto puede generar dificultades y afectar las operaciones normales de la infraestructura en red.
Para obtener ms informacin sobre los niveles de amenaza, haga clic en el vnculo de Symantec para ver el sitio Web de Symantec. Nota: Los riesgos de seguridad especficos son clasificados de 1 a 5.
Fundamentos de la elaboracin de informes Usar la pgina principal de Symantec Network Access Control
165
Cada vnculo muestra una pgina en una ventana nueva. La Tabla 9-4 describe los vnculos de Security Response. Tabla 9-4 Vnculo
Alertas de seguridad
Vnculos de Security Response en la pgina principal de informes Qu muestra

Muestra un resumen de las amenazas potenciales a la red de seguridad a partir de informacin obtenida de Symantec Security Response. Este resumen incluye las amenazas ms recientes, las amenazas principales y vnculos con herramientas de remocin. Tambin puede realizar bsquedas en la base de datos de amenazas de Symantec Security Response.
Symantec
Muestra el sitio Web de Symantec. Puede obtener informacin sobre riesgos y riesgos de seguridad, descargas de definiciones de virus y noticias sobre los productos de seguridad de Symantec. Muestra la pgina de descarga de definiciones de virus del sitio Web de Symantec. Muestra el sitio Web de Symantec Security Response, donde se muestran las amenazas y los avisos de seguridad ms recientes. Muestra el sitio Web de Security Focus, donde se incluye informacin acerca de los virus ms recientes.
Definiciones
ltimas amenazas
Security Focus
Usar la pgina principal de Symantec Network Access Control

Si tiene Symantec Network Access Control instalado y tiene permisos para ver informes, su pgina principal muestra resmenes generados automticamente. Estos informes contienen informacin importante sobre el estado de cumplimiento de la red. Algunos de los resmenes incluyen hipervnculos a informes ms detallados. Es posible hacer clic en el grfico y los nmeros de los resmenes para ver ms detalles. Nota: Los informes se filtran automticamente basados en los permisos del usuario que ha iniciado sesin. Si es administrador del sistema, se ve la informacin de todos los dominios. Si es administrador limitado con derechos de acceso a solamente un dominio, se ve la informacin solamente de ese dominio.
166
Fundamentos de la elaboracin de informes Usar la pgina principal de Symantec Network Access Control
La Figura 9-2 muestra cmo aparece la pgina principal de Symantec Network Access Control. Figura 9-2 Pgina principal de Symantec Network Access Control
La Tabla 9-5 describe los informes de la pgina principal para Symantec Network Access Control. Tabla 9-5 Resmenes de la pgina principal de Symantec Network Access Control Descripcin
La seccin Error en el estado de cumplimiento de la red brinda una imagen del cumplimiento general de la red en el perodo configurado. Muestra los clientes que intentaron conectarse a la red pero no pudieron hacerlo porque no cumplan los requisitos. Muestra los clientes que no superaron la comprobacin de integridad del host que se ejecuta en su equipo.
Resumen
Error en el estado de cumplimiento de la red
Distribucin del estado de cumplimiento
Fundamentos de la elaboracin de informes Configurar preferencias de la elaboracin de informes
167
Resumen
Resumen de clientes por error de cumplimiento
Descripcin
Este resumen muestra el porcentaje de errores de los requisitos generales de cumplimiento. Muestra un grfico de barras que presenta un conteo de las estaciones de trabajo nicas por el tipo de evento de error de control. Algunos ejemplos de los tipos de evento de error de control son un antivirus, un firewall o un problema de VPN. Proporciona un grfico de barras ms detallado que el Resumen de clientes por error de cumplimiento. Por ejemplo, suponga que el Resumen de clientes por error de cumplimiento muestra diez clientes con un error de cumplimiento del antivirus. En cambio, este informe muestra los detalles siguientes: Cuatro clientes no tienen ningn software antivirus actualmente en funcionamiento. Dos clientes no tienen ningn software antivirus instalado. Cuatro clientes tienen archivos de definiciones de antivirus desactualizados.
Detalles del error de cumplimiento
Si tiene solamente Symantec Network Access Control instalado, los informes de la pgina principal no son personalizables, a excepcin del plazo cubierto por los informes y los resmenes. Es posible modificar el plazo usando el vnculo Preferencias. Las opciones son: ltima semana y ltimas 24 horas. Nota: Si es administrador del sistema, se ve la informacin de todos los dominios. Si es administrador limitado con derechos de acceso a solamente un dominio, se ve la informacin solamente de ese dominio.
Configurar preferencias de la elaboracin de informes

Es posible configurar las preferencias siguientes de elaboracin de informes:

Las opciones de visualizacin de las pginas Inicio y supervisin Los umbrales de Estado de seguridad Las opciones de visualizacin que se utilizan para los registros y los informes, as como la carga de la versin anterior del archivo de registro
168
Para obtener informacin sobre las opciones de preferencia que puede configurar, haga clic en Ayuda en cada ficha, en el cuadro de dilogo Preferencias. Para configurar preferencias de elaboracin de informes
1 2
Desde la consola, en la pgina principal, haga clic en Preferencias. Haga clic en una de las siguientes fichas, segn el tipo de preferencias que desee configurar:

Inicio y supervisin Estado de seguridad Registros e informes
3 4
Configure los valores para las opciones que desee modificar. Haga clic en Aceptar.
Acerca de las opciones de visualizacin de Inicio y supervisin

Es posible configurar las preferencias siguientes para la pgina principal y la ficha Vista de resumen de la pgina Supervisin:
La unidad de tiempo que se utiliza para los informes en la pgina principal y en la ficha Vista de resumen de la pgina Supervisin La velocidad a la cual la pgina principal y la ficha Vista de resumen de la pgina Supervisin se actualizan automticamente El grado de las notificaciones que se incluyen en la cantidad de notificaciones no reconocidas en la pgina principal El contenido de Resumen de acciones de la pgina principal
De manera predeterminada, se ve la informacin de las ltimas 24 horas, pero se puede modificar a la ltima semana si as se desea. Es posible adems configurar la velocidad a la cual la pgina principal y la ficha Vista de resumen de la pgina Supervisin se actualizan automticamente. Los valores vlidos van desde nunca hasta cada 5 minutos. Nota: Para configurar la velocidad a la cual los registros individuales se actualizan, es posible mostrar el registro que se desea ver. A continuacin, es posible seleccionar la velocidad deseada del cuadro de lista Actualizacin automtica en la vista de ese registro. Si es administrador del sistema, puede configurar el contador de la pgina principal para incluir solamente las notificaciones que usted cre pero no ha reconocido.
169
De manera predeterminada, los administradores del sistema ven el nmero total de notificaciones no reconocidas, sin importar quin cre las notificaciones. Si es administrador limitado, el contador de notificaciones no reconocidas consiste siempre solamente en las notificaciones que usted mismo cre pero no ha reconocido. Es posible configurar Resumen de acciones en la pgina principal para visualizar por cantidad de detecciones en los equipos o por el nmero de equipos. Ver "Usar la pgina principal de Symantec Endpoint Protection" en la pgina 155. Para conocer las descripciones de estas opciones de visualizacin, consulte la ayuda contextual de la ficha Inicio y supervisin. Es posible acceder a la ayuda contextual desde el vnculo Preferencias en la pgina principal.
Configurar umbrales de estado de seguridad

Los umbrales de estado de seguridad que usted establece determinan cundo el mensaje de estado de seguridad en la pgina principal de la consola de administracin se considera Malo. Los umbrales se expresan como porcentaje y reflejan cundo se considera que su red no cumple con sus polticas de seguridad. Por ejemplo, es posible configurar el porcentaje de equipos con definiciones de virus desactualizadas que activa un estado de seguridad malo. Es posible, adems, configurar qu antigedad deben tener las definiciones para ser calificadas como desactualizadas. Symantec Endpoint Protection determina cul es actual cuando calcula si las firmas o las definiciones estn desactualizadas de la siguiente manera. Su estndar son las definiciones de virus ms recientes y las fechas de las firmas IPS que estn disponibles en el servidor de administracin en el cual se ejecuta la consola de administracin. Nota: Si tiene solamente Symantec Network Access Control instalado, no tiene una ficha llamada Estado de seguridad para configurar los umbrales de seguridad. Para conocer las descripciones de estas opciones de visualizacin, vea la ayuda contextual de la ficha Estado de seguridad. Es posible acceder a la ayuda contextual desde el vnculo Preferencias en la pgina principal. Para configurar umbrales de estado de seguridad
1 2
Desde la consola, en la pgina principal, haga clic en Preferencias. En la ficha Estado de seguridad, marque los elementos que desee incluir en los criterios que determinan el estado general de la seguridad de la pgina principal.
170
Fundamentos de la elaboracin de informes Acerca de los horarios de anlisis de clientes utilizados en informes y registros
3 4
Para cada elemento, escriba el nmero que desea que active un estado de seguridad Se necesita atencin.. Haga clic en Aceptar.
Configurar preferencias para registros e informes

Es posible configurar preferencias en las siguientes reas para los registros y los informes:
El formato de fecha y el separador de fecha que se utilizan para la visualizacin de la fecha El nmero de filas, la zona horaria y el formato de la direccin IP que se utilizan para la visualizacin de la tabla La visualizacin del filtro en informes y notificaciones La disponibilidad de datos de registro de los equipos de la red que ejecutan software Symantec Antivirus 10.x
Para conocer las descripciones de estas opciones de visualizacin, consulte la ayuda contextual de la ficha Registros e Informes. Es posible acceder a la ayuda contextual desde el vnculo Preferencias en la pgina principal. Nota: El formato de visualizacin de la fecha que usted establece aqu no se aplica a las fechas y las versiones de definiciones de virus que se visualizan en columnas de la tabla. Estos elementos utilizan siempre el formato A-M-D.
Acerca de los horarios de anlisis de clientes utilizados en informes y registros

Los informes y los registros muestran los tiempos del anlisis de clientes usando la zona horaria de la consola. Por ejemplo, suponga que el cliente est en la zona horaria del pacfico (PST) y es analizado a las 8:00 p. m. PST. Si la consola est en la zona horaria del este (EST), el horario que se visualiza para este anlisis es 11:00 p. m. EST. Si los clientes administrados estn en zonas horarias diferentes a la del servidor de administracin y se utiliza la opcin del filtro Definir fechas especficas, es posible ver resultados inesperados. Las condiciones siguientes afectan el filtro de tiempo Definir fechas especficas:

La exactitud de los datos y del horario en el cliente La exactitud de los datos y del horario en el servidor de administracin
Fundamentos de la elaboracin de informes Acerca del uso del filtro ltimas 24 horas para informes y registros
171
Nota: Si modifica la zona horaria en el servidor, cierre sesin en la consola y vuelva a encenderla para ver los horarios exactos en registros e informes.
Acerca del uso del filtro ltimas 24 horas para informes y registros
Si selecciona ltimas 24 horas para el intervalo de tiempo de un informe o una vista de registro, el intervalo comienza cuando se selecciona el filtro. Si se actualiza la pgina, no se restablece el inicio del intervalo de 24 horas. Si selecciona el filtro y espera para crear un informe, el intervalo de tiempo se inicia cuando seleccion el filtro. Esta condicin adems se aplica cuando se ve un registro de eventos o un registro de alertas. El intervalo de tiempo no se inicia cuando se crea el informe o se ve el registro. Para asegurarse de que el intervalo de las ltimas 24 horas comience en este momento, seleccione un intervalo de tiempo diferente y vuelva a seleccionar ltimas 24 horas. Nota: El inicio del filtro de intervalo de tiempo de las ltimas 24 horas de la pgina de inicio se establece en el momento en que se accede a la pgina principal.
Acerca del uso de filtros que buscan grupos en informes y registros

Dado que todos los grupos son subgrupos del grupo principal Global, cuando un filtro busca grupos, los busca de forma jerrquica empezando con la cadena Global. Si el nombre del grupo no comienza con la letra g, es necesario incluir un asterisco antes de la cadena que se buscar. O es posible comenzar la cadena con g* cuando se utilizan caracteres comodn. Por ejemplo, si tiene un grupo denominado Servicios y escribe s* en este cuadro, no se encuentra ningn grupo para utilizar en la vista. Para encontrar un grupo de nombre Servicios, usted necesita utilizar la cadena *s*. Si tiene ms de un grupo que contenga la letra s, es posible utilizar una cadena tal como *ser*.
172
Fundamentos de la elaboracin de informes Acerca del uso de filtros que buscan grupos en informes y registros
Captulo
10
Ver y configurar informes


Ver informes Acerca de los informes Aspectos importantes de la elaboracin de informes Crear informes rpidos Guardar y eliminar los filtros de informes guardados Imprimir y guardar una copia de un informe Crear y eliminar informes programados
Ver informes
Utilice la pgina Informes para ejecutar, ver, imprimir y programar informes para que se ejecuten de manera regular. La Figura 10-1 muestra un ejemplo de un informe de riesgo.
174
Ver y configurar informes Ver informes
Figura 10-1
Informe de ejemplo
Acerca de ver grficos lineales en informes

Los grficos lineales muestran el progreso en el tiempo. Las unidades que se visualizan en el eje x dependen del intervalo de tiempo que se selecciona. La Tabla 10-1 muestra la unidad del eje x que se utiliza para cada intervalo de tiempo que es posible seleccionar para los grficos lineales.
Ver y configurar informes Ver informes
175
Tabla 10-1
Unidades del eje x para el intervalo de tiempo correspondiente seleccionado Unidad del eje X
hora da
Intervalo de tiempo
ltimas 24 horas ltima semana ltimo mes Mes actual ltimos 3 meses ltimo ao Intervalo de tiempo
mes un da (24 horas) es por hora mayor que 1 da, pero inferior o igual a 7 das son por hora mayor que 7 das, pero inferior o igual a 31 das son por da mayor que 31 das, pero inferior o igual a 2 aos son por mes mayor que 2 aos es por ao
Acerca de ver grficos de barras

En los informes que contienen histogramas o grficos de barras que implican amenazas, pase el mouse por las barras del grfico para ver los nombres de las amenazas.
Ver los informes en idiomas asiticos

Los histogramas y los grficos de barras en 3D se crean en el servidor al mismo tiempo que las imgenes antes de que los grficos se enven al navegador. De forma predeterminada, el servidor que se utiliza para crear estos grficos busca la fuente MS Arial Unicode. MS Arial Unicode est disponible como parte de Microsoft Office y visualiza todos los idiomas compatibles correctamente. Si la fuente MS Arial Unicode no se encuentra, el servidor utiliza Lucida sans Unicode. Algunos informes en los servidores que se visualizan en un idioma asitico no muestran el texto del grfico correctamente, a menos que se instale MS Arial Unicode en el servidor. Este problema ocurre si su informe incluye un histograma o un grfico de barras en 3D. Si no tiene la fuente MS Arial Unicode instalada en el servidor, es posible configurar su servidor para resolver este problema. Es posible configurar Symantec Endpoint Protection para utilizar cualquier fuente compatible con Unicode que admita los idiomas en su entorno.
176
Ver y configurar informes Acerca de los informes
Para modificar la fuente utilizada para visualizar informes
1 2 3
Cambie el directorio por unidad:\Program Files\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Common. Abra el archivo de configuracin i18nCommon.bundle con un editor. Escriba el nombre del archivo de fuente que desee utilizar despus del signo de igualdad (=) que sigue la variable SPECIAL_FONT. Por ejemplo, si se quisiera utilizar Arial, se escribira lo siguiente: SPECIAL_FONT=arial.ttf
4 5
Guarde el archivo en formato UTF-8 y despus cierre el archivo. Asegrese de que el archivo de fuente que se escribe se encuentre en el directorio %WINDIR%\fonts.
Acerca de los informes

Los informes rpidos son informes imprimibles que estn disponibles desde la ficha Informes rpidos en la pgina Informes. La Tabla 10-2 describe los tipos de informe para los informes rpidos. Tabla 10-2 Tipo de informe
Tipos de informe rpidos
Descripcin
Los informes del control de aplicaciones y dispositivos contienen informacin sobre los eventos en los que se bloque el acceso a un equipo o se evit que un dispositivo llegara a la red. El informe de auditora contiene informacin sobre actividades de modificacin de polticas, tales como los tiempos y los tipos de eventos, las modificaciones de polticas, los dominios, los sitios, los administradores y las descripciones. Los informes de cumplimiento contienen informacin sobre el servidor de Enforcer, los clientes de Enforcer, el trfico de Enforcer y el cumplimiento de hosts. Los informes de Estado del equipo contienen informacin sobre el estado operacional de los equipos de la red en tiempo real.
Auditora
Cumplimiento
Estado del equipo
Proteccin contra amenazas Los informes de la proteccin contra amenazas de red permiten realizar un de red seguimiento de la actividad del equipo y de su interaccin con otros equipos y redes. Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de ellos mediante sus conexiones de red. Riesgo Los informes de riesgos incluyen informacin sobre eventos del riesgo en los servidores de administracin y sus clientes.
177
Tipo de informe
Anlisis
Descripcin
Los informes de anlisis proporcionan informacin sobre la actividad del anlisis antivirus y de software espa. Los informes del sistema contienen informacin que es til para solucionar los problemas del cliente.
Sistema
Esta seccin describe los informes por nombre y contenido general. Puede seleccionar Configuracin bsica y Configuracin avanzada para que todos los informes clarifiquen los datos que desea ver. Tambin puede guardar el filtro personalizado con un nombre para ejecutar el mismo informe personalizado ms tarde. Si tiene varios dominios en su red, muchos informes permiten que se vean los datos de todos los dominios, de un sitio o de algunos sitios. La configuracin predeterminada para todos los informes rpidos es mostrar todos los dominios, grupos, servidores y as sucesivamente, segn sea necesario para el informe que selecciona para crear. Nota: Si solamente Symantec Network Access Control est instalado, un nmero significativo de informes estar vaco. Los informes de control de aplicaciones y dispositivos, de proteccin contra amenazas de red, de riesgos y de anlisis no contienen datos. Los informes de cumplimiento y de auditora contienen datos, al igual que algunos de los informes de estado del equipo y del sistema. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para ese tipo de informe en la consola. Ms informacin muestra la ayuda contextual. Ver "Crear informes rpidos" en la pgina 193. La Tabla 10-3 describe los informes de control de aplicaciones y dispositivos que estn disponibles. Tabla 10-3 Nombre del informe
Grupos principales con registros de control de aplicaciones con mayor cantidad de alertas
Informes de control de aplicaciones y dispositivos
Descripcin
Este informe consiste en un grfico circular con barras relativas. Muestra los grupos con los registros del control de aplicaciones que han generado el nmero ms grande de alertas de seguridad.
178
Nombre del informe

Principales destinos bloqueados
Descripcin
Este informe consiste en un grfico circular con barras relativas para cada uno de los siguientes destinos, si es necesario:

Archivos principales Claves de registro principales Procesos principales Mdulos principales (dlls)
Principales dispositivos bloqueados
Este informe consiste en un grfico circular con una barra relativa que muestra los dispositivos para los que se bloquea el acceso a su red con ms frecuencia.
La Tabla 10-4 describe el informe de auditora que est disponible. Tabla 10-4 Nombre del informe
Polticas utilizadas
Informe de auditora
Descripcin
Este informe muestra las polticas que los clientes y las ubicaciones utilizan actualmente. La informacin incluye el nombre de dominio, el nombre de grupo y el nmero de serie de la poltica que se aplica a cada grupo.
La Tabla 10-5 describe los informes de cumplimiento que estn disponibles. Tabla 10-5 Nombre del informe
Estado de cumplimiento de la red
Informes de cumplimiento
Descripcin
Este informe consiste en un grfico lineal y una tabla. Muestra la fecha y hora del evento, el nmero de ataques y el porcentaje de ataques implicados en cada uno. Es posible ver el nmero total de clientes a los que se aplican las siguientes acciones de cumplimiento en el intervalo de tiempo seleccionado:

Autenticado Desconectado Error Aprobado Rechazado
179
Nombre del informe

Estado de cumplimiento
Descripcin
Es posible seleccionar una accin para ver un grfico lineal que muestre uno de los siguientes: El nmero total de clientes que han pasado un anlisis de integridad del host en su red en el intervalo de tiempo seleccionado El nmero total de clientes que no han pasado un anlisis de integridad del host en su red en el intervalo de tiempo seleccionado
Este informe tambin incluye una tabla que muestra la fecha y hora del evento, el nmero de clientes y el porcentaje de clientes implicados en cada uno. Resumen de clientes por error de cumplimiento Este informe consiste en un grfico de barras que muestra la siguiente informacin: La cantidad de estaciones de trabajo nicas por tipo de evento de errores de control, tal como antivirus, firewall o VPN. El nmero total de clientes en el grupo.
Detalles del error de cumplimiento
Este informe consiste en una tabla que muestra el nmero de equipos nicos por error de control. Muestra los criterios y la norma que est implicada en cada error. Incluye el porcentaje de los clientes que se implementan y el porcentaje de los que fallaron.
Clientes con errores de Este informe consiste en una tabla que muestra los eventos de error de cumplimiento. cumplimiento por ubicacin Estos eventos se muestran en grupos que se basan en su ubicacin. La informacin incluye los equipos nicos que fallaron y el porcentaje total de errores y de errores de ubicacin.
La Tabla 10-6 describe los informes de estado del equipo que estn disponibles. Tabla 10-6 Nombre del informe Descripcin Informes de estado del equipo
Distribucin de definiciones Este informe muestra las versiones nicas de los archivo de definiciones de virus que de virus se utilizan en su red, y del nmero de equipos y del porcentaje que utiliza cada versin. Consiste en un grfico circular, una tabla y barras relativas. Equipos no registrados en el Este informe muestra una lista de todos los equipos que no se han registrado en el servidor servidor. Adems muestra la direccin IP del equipo, la hora de la ltima verificacin y el nombre del usuario que inici sesin en aquel momento. Versiones de producto de Symantec Endpoint Protection Este informe muestra la lista de nmeros de versin para todas las versiones del producto de Symantec Endpoint Protection de su red. Adems, incluye el dominio y el servidor para cada uno, as como el nmero de equipos y el porcentaje de cada uno. Consiste en un grfico circular y barras relativas.
180
Nombre del informe

Distribucin de la firma de prevencin de intrusiones
Descripcin
Este informe visualiza las versiones del archivo de firmas IPS que se utilizan en su red. Adems, incluye el dominio y el servidor para cada uno, as como el nmero de equipos y el porcentaje de cada uno. Consiste en un grfico circular y barras relativas. Este informe consiste en los siguientes grficos con barras relativas que muestran el nmero total de equipos y el porcentaje de cada uno:

Inventario de clientes
Sistema operativo Memoria total Memoria libre Espacio total en disco Espacio libre en disco Tipo de procesador
Este informe consiste en un grfico circular con barras relativas que muestran aprobaciones y errores de cumplimiento por grupo o subred. Muestra el nmero de equipos y el porcentaje de equipos que estn en cumplimiento. Este informe consiste en grficos circulares con barras relativas por grupo o subred. Muestra el porcentaje de equipos que estn conectados. Conectados tiene los siguientes significados: Para los clientes que estn en modo de transferencia, "conectados" significa que los clientes estn conectados actualmente al servidor. Para los clientes que estn en modo de obtencin, "conectados" significa que los clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes. Para los clientes en sitios remotos, "conectados" significa que los clientes estaban conectados a la hora de la ltima replicacin.
Estado de conexin del cliente
Clientes con la ltima poltica Este informe consiste en grficos circulares con barras relativas por grupo o subred. Muestra el nmero de equipos y el porcentaje de la ltima poltica que se aplic. Cantidad de clientes por grupo Este informe consiste en una tabla que incluye estadsticas de informacin de hosts por grupo. Incluye la cantidad de clientes y de usuarios. Si utiliza varios dominios, esta informacin aparece por dominio.
181
Nombre del informe

Resumen del estado de seguridad
Descripcin
Este informe refleja el estado de la seguridad general de la red. Este informe muestra el nmero y el porcentaje de los equipos que tienen el siguiente estado:

El motor del antivirus est desactivado. Auto-Protect est desactivado. La proteccin contra intervenciones est desactivada. Es necesario reiniciar el equipo. Se produjo un error en una comprobacin de integridad del host. La proteccin contra amenazas de red est desactivada.
Versiones de contenido de proteccin
Este informe muestra todas las versiones proactivas del contenido de proteccin que se utilizan en su red en un solo informe. Se muestra un grfico circular para cada tipo de proteccin. Estn disponibles los siguientes tipos de contenido:

Versiones del descompresor Versiones del motor del borrador Versiones del contenido del anlisis de amenazas proactivo TruScan Versiones del motor de anlisis de amenazas proactivo TruScan Versiones de la lista de aplicaciones comerciales Versiones del motor del controlador de contenido proactivo Versiones de la lista de aplicaciones permitidas Los nuevos tipos de contenido que Symantec Security Response ha agregado
Migracin de clientes
Este informe consiste en las tablas que describen el estado de migracin de clientes por dominio, grupo y servidor. Muestra la direccin IP del cliente y si la migracin tuvo xito, si fall o si an no se ha iniciado.
Distribucin de software cliente (instantneas)
Este informe consiste en las tablas que siguen el progreso de las implementaciones de paquetes de clientes. La informacin de la instantnea le permite observar los rpidos progresos de la distribucin, y la cantidad de clientes que an no se Este informe est disponible implementaron completamente. slo como un informe programado. Clientes Este informe consiste en grficos lineales y tablas que muestran el nmero de clientes conectados/desconectados a conectados o desconectados. Se muestra un grfico para cada uno de los destinos lo largo del tiempo principales. El destino es un grupo o un sistema operativo. (instantneas) Este informe est disponible slo como un informe programado.
182
Nombre del informe
Descripcin
Clientes con la ltima poltica Este informe consiste en un grfico lineal que muestra los clientes que tienen la a lo largo del tiempo ltima poltica aplicada. Se muestra un grfico para cada uno de los clientes (instantneas) principales. Este informe est disponible slo como un informe programado. Clientes con errores de cumplimiento a lo largo del tiempo (instantneas) Este informe est disponible slo como un informe programado. Distribucin de definiciones Este informe incluye las versiones de paquetes de definiciones de virus que se han de virus (instantneas) distribuido a los clientes. Esta informacin es til para realizar un seguimiento del progreso de la implementacin de nuevas definiciones de virus de la consola. Este informe est disponible slo como un informe programado. Este informe consiste en un grfico lineal que muestra el porcentaje de clientes que no han superado un anlisis de la integridad del host a lo largo del tiempo. Se muestra un grfico para cada uno de los clientes principales.
La Tabla 10-7 describe los informes de la proteccin contra amenazas de red que estn disponibles. Tabla 10-7 Nombre del informe Descripcin Informes de proteccin contra amenazas de red
Principales destinos atacados Este informe consiste en un grfico circular con barra relativa. Puede ver la informacin usando como destino los grupos, las subredes, los clientes o los puertos. Incluye informacin tal como el nmero y el porcentaje de ataques, el tipo y la gravedad del ataque, y la distribucin de ataques. Principales fuentes de ataque Este informe consiste en un grfico circular con barras relativas que muestra los hosts principales que iniciaron ataques contra su red. Incluye informacin tal como el nmero y el porcentaje de ataques, el tipo y la gravedad del ataque, y la distribucin de ataques. Principales tipos de ataque Este informe consiste en un grfico circular asociado con barras relativas. Incluye informacin como el nmero y el porcentaje de eventos. Adems, incluye el grupo y la gravedad, y el tipo y nmero de evento por grupo.
183
Nombre del informe

Principales aplicaciones bloqueadas
Descripcin
Este informe consiste en un grfico circular con barras relativas que muestran las principales aplicaciones que no pudieron acceder a su red. Incluye informacin tal como el nmero y el porcentaje de ataques, el grupo y la gravedad del ataque, y la distribucin de ataques por grupo.
Ataques a lo largo del tiempo Este informe consiste en uno o ms grficos lineales que muestran los ataques durante el intervalo de tiempo seleccionado. Por ejemplo, si el intervalo de tiempo es el mes anterior, el informe muestra el nmero total de ataques por da del ltimo mes. Incluye el nmero y el porcentaje de ataques. Es posible ver los ataques para todos los equipos, o por los sistemas operativos, los usuarios, las direcciones IP, los grupos o los tipos principales de ataque. Eventos de seguridad por gravedad Este informe consiste en un grfico circular que muestra el nmero total y el porcentaje de eventos de seguridad de su red, ordenados segn su gravedad.
Aplicaciones bloqueadas a lo Este informe consiste en un grfico lineal y una tabla. Muestra el nmero total de largo del tiempo aplicaciones que no pudieron acceder a su red durante un intervalo de tiempo seleccionado. Incluye la hora del evento, el nmero de ataques y el porcentaje. Puede ver la informacin para todos los equipos, o por grupo, direccin IP, sistema operativo o usuario. Notificaciones de trfico a lo Este informe consiste en un grfico lineal. Muestra el nmero de notificaciones que largo del tiempo fueron basadas en violaciones de la norma de firewall a lo largo del tiempo. Las normas que se cuentan son sas donde usted activ la opcin Enviar alerta de correo electrnico en la columna Registro de la lista Normas de polticas de firewall. Puede ver la informacin de este informe para todos los equipos, o por grupo, direccin IP, sistema operativo o usuario. Principales notificaciones de Este informe consiste en un grfico circular con barras relativas que enumera al trfico grupo o subred, y el nmero y el porcentaje de notificaciones. Muestra el nmero de notificaciones que fueron basadas en las violaciones de la norma de firewall configurada como importante. Las normas que se cuentan son sas donde usted activ la opcin Enviar alerta de correo electrnico en la columna Registro de la lista Normas de polticas de firewall. Es posible ver la informacin para todos los equipos, para el registro de trfico, o para el registro de paquetes, agrupado por grupos principales o subredes.
184
Nombre del informe

Informe completo
Descripcin
Este informe brinda la siguiente informacin de la proteccin contra amenazas de red en un solo informe:

Principales tipos de ataque Principales destinos atacados por grupo Principales destinos atacados por subred Principales destinos atacados por cliente Principales fuentes de ataque Principales notificaciones de trfico por grupo (trfico) Principales notificaciones de trfico por grupo (paquetes) Principales notificaciones de trfico por subred (trfico) Principales notificaciones de trfico por subred (paquetes)
Este informe incluye informacin de todos los dominios.
La Tabla 10-8 describe los informes de riesgos que estn disponibles. Tabla 10-8 Nombre del informe
Equipos infectados y en riesgo
Informes de riesgos
Descripcin
Este informe consiste en dos tablas. Una tabla enumera los equipos que tienen una infeccin por virus. La otra tabla enumera los equipos que tienen un riesgo de seguridad que an no se ha reparado. Este informe consiste en una tabla que muestra una cantidad de todas las medidas posibles que se tomaron cuando se detectaron los riesgos. Las acciones posibles son Limpiado, Sospechoso, Bloqueado, En cuarentena, Eliminado, Recientemente infectado y An infectado. Esta informacin adems aparece en la pgina de inicio de Symantec Endpoint Protection. Este informe consiste en un grfico circular, una tabla de riesgos y una barra relativa asociada. Muestra el nmero total de detecciones de riesgos por dominio, servidor o equipo. Si tiene clientes de versiones anteriores de Symantec AntiVirus, el informe utiliza el grupo de servidores en lugar del dominio.
Resumen de acciones de deteccin
Conteo de detecciones de riesgos
185
Nombre del informe
Descripcin
Nuevos riesgos detectados en Este informe incluye una tabla y un grfico circular de la distribucin. la red Para cada nuevo riesgo, la tabla proporciona la siguiente informacin:

Nombre del riesgo Categora o tipo de riesgo Primera fecha de deteccin Primer caso en la organizacin Tipo de anlisis que lo detect primero
Dominio donde fue detectado (grupo de servidores en los equipos de versin anterior) Servidor donde fue detectado (servidor principal en los equipos de versin anterior)

Grupo donde fue detectado (servidor principal en los equipos de versin anterior) Equipo donde fue detectado y nombre del usuario que inici sesin en ese entonces
El grfico circular muestra la nueva distribucin de riesgos por tipo de seleccin de destino: dominio (grupo de servidores en los equipos de versin anterior), grupo, servidor (servidor principal en los equipos de versin anterior), equipo o nombre de usuario. Correlacin principal de detecciones de riesgos Este informe consiste en un grfico de barra tridimensional que establece una correlacin entre las detecciones de virus y riesgos de seguridad usando dos variables. Puede seleccionar del equipo, del nombre de usuario, del dominio, del grupo, del servidor, o del nombre del riesgo para las variables del eje de x y de y. Este informe muestra los cinco casos principales para cada variable del eje. Si seleccion "equipos" como una de las variables y hay menos de cinco equipos infectados, los equipos no infectados pueden aparecer en el grfico.
Nota: Para los equipos que ejecutan versiones anteriores de Symantec AntiVirus,
se utilizan el grupo de servidores y el servidor principal en lugar del dominio y el servidor. Resumen de distribucin de riesgos Este informe incluye un grfico circular y un grfico de barra asociado que muestra un porcentaje relativo para cada elemento nico del tipo de destino elegido. Por ejemplo, si el destino elegido es nombre de riesgo, el grfico circular muestra partes de cada riesgo nico. Se muestra una barra para cada nombre de riesgo, y los detalles incluyen el nmero de detecciones y el porcentaje de las detecciones totales. Los destinos incluyen el nombre de riesgo, el dominio, el grupo, el servidor, el equipo, el nombre de usuario, la fuente, el tipo de riesgo o la gravedad del riesgo. Para los equipos que ejecutan versiones anteriores de Symantec AntiVirus, se utilizan el grupo de servidores y el servidor principal en lugar del dominio y el servidor. Este informe consiste en una tabla que muestra el nmero de detecciones de virus y riesgos de seguridad por unidad de tiempo y barra relativa.
Distribucin de riesgos a lo largo del tiempo
186
Nombre del informe

Resultados de la deteccin del anlisis de amenazas proactivo TruScan
Descripcin
Este informe consiste en un grfico circular y grficos de barra que muestran la siguiente informacin: Una lista de las aplicaciones clasificadas como riesgos que se han agregado a las excepciones como aceptables en su red. Una lista de las aplicaciones que se detectaron como riesgos confirmados.

Una lista de las aplicaciones que se han detectado, pero que an no se han confirmado como riesgos.
Para cada lista, este informe muestra el nombre de la empresa, el hash de la aplicacin, y la versin y el equipo implicados. Para las aplicaciones permitidas, tambin se muestra la fuente del permiso. Distribucin de amenazas proactiva de TruScan Este informe consiste en un grfico circular que muestra los nombres de las principales aplicaciones detectadas con barras relativas y una tabla de resumen. Las detecciones incluyen aplicaciones de la lista de aplicaciones comerciales y las detecciones forzadas. La primera tabla de resumen contiene el nombre de la aplicacin, y el nmero y el porcentaje de detecciones. La tabla de resumen muestra lo siguiente, por deteccin:

Nombre y hash de la aplicacin
Tipo de aplicacin, cualquier registrador de pulsaciones, caballo de Troya o gusano, control remoto o registrador de pulsaciones comercial Nombre de la empresa

Versin de la aplicacin Nmero de equipos nicos que han informado la deteccin Tres nombres principales de ruta en las detecciones Fecha de la ltima deteccin
Deteccin de amenazas proactiva a lo largo del tiempo de TruScan
Este informe consiste en un grfico lineal que muestra el nmero de detecciones de amenazas proactivas para el intervalo de tiempo seleccionado. Tambin contiene una tabla con barras relativas que incluye los nmeros totales de las amenazas que se detectaron a lo largo del tiempo.
Resumen de acciones para los Este informe incluye una lista de los informes de riesgos principales que se riesgos principales encontraron en su red. Para cada uno, se muestran barras de resumen de acciones que muestran el porcentaje de cada accin que se tom cuando se detect un riesgo. Las acciones incluyen en cuarentena, limpiado, eliminado, etc. Este informe muestra, adems, el porcentaje de tiempo para el que cada accin determinada era la primera accin configurada, la segunda accin configurada, ninguna o desconocida.
187
Nombre del informe

Nmero de notificaciones
Descripcin
Este informe consiste en un grfico circular asociado con una barra relativa. Los grficos muestran el nmero de notificaciones que se activaron por las violaciones de la norma de firewall configurada como importante. Incluye el tipo de notificaciones y el nmero de cada una. Ver "Configurar mensajes de correo electrnico para eventos de trfico" en la pgina 538.
Nmero de notificaciones a lo largo del tiempo
Este informe consiste en un grfico lineal que muestra el nmero de notificaciones en la red para el intervalo de tiempo seleccionado. Tambin contiene una tabla que incluye el nmero y el porcentaje de notificaciones a lo largo del tiempo. Puede filtrar los datos para ver la lista por tipo de notificacin, estado del acuse de recibo, creador y nombre de la notificacin. Este informe muestra el nmero de virus y de detecciones de riesgos de seguridad, y una barra relativa por semana para cada uno de los intervalos de tiempo especificados. Un intervalo de un da muestra la semana anterior.
Ataques semanales
Informe completo de riesgos De forma predeterminada, este informe incluye todos los informes de distribucin y los informes de nuevos riesgos. Sin embargo, puede configurarlo para incluir slo algunos informes. Este informe incluye informacin de todos los dominios.
La Tabla 10-9 describe los informes de anlisis que estn disponibles.
188
Tabla 10-9 Nombre del informe

Histograma de estadsticas de anlisis
Informes de anlisis
Descripcin
Este informe se presenta como histograma. Puede seleccionar si desea que la informacin del informe de anlisis se distribuya. Es posible seleccionar uno de los siguientes mtodos:

Por tiempo del anlisis (en segundos) Por nmero de riesgos detectados Por nmero de archivos con detecciones Por nmero de archivos que se analizan Por nmero de archivos que no se analizan
Tambin puede configurar el ancho y la cantidad de clases para utilizar en el histograma. El ancho de clases es el intervalo de datos que desea utilizar para el grupo por seleccin. La cantidad de clases especifica la frecuencia con la que se repite el intervalo en el histograma. La informacin que se muestra incluye el nmero de entradas y los valores mnimos y mximos, as como la desviacin media y estndar. Es posible que desee modificar los valores del informe para maximizar la informacin que se genera en el histograma del informe. Por ejemplo, es posible que desee considerar el tamao de la red y la cantidad de informacin que ve. Equipos por ltimo anlisis Este informe muestra una lista de los equipos de la red de seguridad que fueron analizados la ltima vez. Tambin incluye la direccin IP y el nombre del usuario que inici sesin a la hora del anlisis. Este informe muestra una lista de equipos de la red de seguridad que no fueron analizados. Proporciona la siguiente informacin adicional:

Equipos no analizados
La direccin IP La hora del ltimo anlisis El nombre del usuario actual o del usuario que inici sesin a la hora del ltimo anlisis
La Tabla 10-10 describe los informes del sistema que estn disponibles. Tabla 10-10 Nombre del informe
Principales clientes que generan errores
Informes del sistema
Descripcin
Este informe consiste en un grfico circular para cada condicin de advertencia y condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el porcentaje de advertencias por cliente.
189
Nombre del informe

Principales servidores que generan errores
Descripcin
Este informe consiste en un grfico circular para cada condicin de advertencia y condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el porcentaje de advertencias por servidor.
Principales instancias de Este informe consiste en un grfico circular para cada condicin de advertencia y Enforcer que generan errores condicin de error. Los grficos muestran la cantidad de errores y la cantidad y el porcentaje de advertencias por instancia de Enforcer. Errores de replicacin de base de datos a lo largo del tiempo Este informe consiste en un grfico lineal con una tabla asociada que enumera los errores de replicacin para el intervalo de tiempo seleccionado.
190
Nombre del informe

Estado del sitio
Descripcin
191
Nombre del informe
Descripcin
Este informe muestra el estado actual y la velocidad de transferencia de todos los servidores de su sitio local. Tambin muestra la informacin sobre la instalacin del cliente, el estado en lnea del cliente y el volumen de registro del cliente para su sitio local. Los datos que se extraen de este informe se actualizan cada diez segundos, pero debe volver a realizar el informe para ver datos actualizados.
Nota: Si tiene varios sitios, este informe muestra el total de clientes instalados y en
lnea de su sitio local, no de todos los sitios. Si tiene restricciones del sitio o del dominio como administrador, slo ver la informacin que se le permite ver. El estado de salud de un servidor se clasifica de la siguiente manera:

Bueno: el servidor es ascendente y funciona normalmente
Malo: el servidor tiene poca memoria o poco espacio libre en el disco, o tiene una gran cantidad de errores de la solicitud del cliente. Crtico: el servidor no funciona Para cada servidor, este informe contiene el estado, el estado de salud y el motivo, el uso del CPU y de la memoria y el espacio libre en el disco. Adems, contiene informacin de la velocidad de transferencia del servidor, como polticas descargadas y velocidad de transferencia del sitio basadas en el ltimo latido. Incluye la siguiente informacin de la velocidad de transferencia del sitio:

Total de clientes instalados y en lnea Polticas descargadas por segundo Firmas de prevencin de intrusiones descargadas por segundo Aplicaciones incorporadas por segundo Registros de clientes recibidos por segundo Polticas descargadas por segundo Firmas de prevencin de intrusiones del sistema descargadas por segundo Aplicaciones incorporadas por segundo
Registros de sistema de Enforcer, registros del trfico y registros de paquetes por segundo Actualizaciones de la informacin de clientes por segundo Registros de seguridad de clientes, registros de sistema, registros del trfico y registros de paquetes recibidos por segundo Registros de aplicacin y control de dispositivos por segundo
Conectados tiene los siguientes significados en este informe: Para los clientes que estn en modo de transferencia, "conectados" significa que los clientes estn conectados actualmente al servidor. Para los clientes que estn en modo de obtencin, "conectados" significa que los clientes han contactado el servidor dentro de los dos ltimos latidos de los clientes. Para los clientes en sitios remotos, "conectados" significa que los clientes estaban
192
Ver y configurar informes Aspectos importantes de la elaboracin de informes
Nombre del informe
Descripcin
conectados a la hora de la ltima replicacin.
Aspectos importantes de la elaboracin de informes

Debe tener en cuenta la siguiente informacin cuando se utilizan informes:
Las marcas de hora de los informes se especifican en la hora local del usuario. La base de datos de informes contiene eventos especificados segn la hora del meridiano de Greenwich (GMT). Al crear un informe, estos valores de horario se convierten en la hora local del equipo en el que se ven los informes. En algunos casos, los datos del informe no tienen una correspondencia directa con lo que aparece en los productos de seguridad. Esta falta de correspondencia se produce porque el software de elaboracin de informes agrega eventos de seguridad. La informacin sobre categoras de riesgos que se incluye en los informes se obtiene del sitio Web de Symantec Security Response. Hasta que la consola pueda extraer esta informacin, cualquier informe que genere mostrar Desconocido en el campo de categoras de riesgos. Los informes que se generan brindan un cuadro exacto de los equipos en peligro de su red. Los informes se basan en los datos de registro, no en los datos de registro de Windows. Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Si se producen errores de la base de datos durante la ejecucin de registros que incluyen una gran cantidad de datos, se recomienda cambiar los parmetros de tiempo de espera. Ver "Cambiar los parmetros de tiempo de espera" en la pgina 329. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Consulte el artculo "Reporting server does not report or shows a timeout error message when querying large amounts of data" (El servidor de informes no genera informes o presenta un mensaje de error de tiempo de espera al consultar una gran cantidad de datos) en la base de conocimientos de Symantec (en ingls).
Es importante tener en cuenta la siguiente informacin si algunos equipos de su red estn ejecutando versiones anteriores de Symantec AntiVirus:
Ver y configurar informes Crear informes rpidos
193
Cuando se utilizan los filtros de informes y registros, los grupos de servidores se categorizan como dominios. Los grupos de equipos cliente se categorizan como grupos, y los servidores principales se categorizan como servidores. Si se genera un informe que incluye equipos con versiones anteriores, el valor de los campos de direccin IP y MAC es Ninguno.
Crear informes rpidos

Genere un informe rpido seleccionando entre las opciones de Configuracin bsica que aparecen bajo Qu configuracin de filtros desea utilizar. Si desea configurar opciones adicionales para construir un informe, haga clic en Configuracin avanzada. Configuracin bsica y Configuracin avanzada varan de informe a informe. Para ver una descripcin de cada opcin avanzada que se puede configurar, es posible hacer clic en Ms informacin para ese tipo de informe en la consola. Hacer clic en Ms informacin muestra la ayuda contextual para ese tipo de informe. Es posible guardar la configuracin del informe de modo que se pueda ejecutar el mismo informe en una fecha posterior, y es posible imprimir y guardar informes. Nota: Los cuadros de texto de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn. Ver "Imprimir y guardar una copia de un informe" en la pgina 199. La Tabla 10-11 describe todas las opciones de Configuracin bsica disponibles para todos los tipos de informe rpido.
194
Tabla 10-11 Opcin

Intervalo de tiempo
Configuracin bsica de filtro para los informes rpidos
Descripcin
Especifica el intervalo de tiempo de los eventos que usted desea ver en el informe. Seleccione a partir de las opciones siguientes:

ltimas 24 horas Semana pasada ltimo mes Mes actual ltimos tres meses Ao pasado Definir fechas especficas
Si elige Definir fechas especficas, algunos informes necesitan que se configure una fecha inicial y una fecha final. Otros informes necesitan que usted establezca la hora de la ltima verificacin, que es la ltima vez que el equipo se registr con su servidor. La configuracin predeterminada es ltimas 24 horas. Fecha inicial Especifica la fecha de inicio del intervalo de fechas. Esta opcin slo est disponible cuando se selecciona Definir fechas especficas para el intervalo de tiempo. Fecha final Especifica la fecha de finalizacin del intervalo de fechas. Esta opcin slo est disponible cuando se selecciona Definir fechas especficas para el intervalo de tiempo.
Nota: No es posible configurar una fecha final que sea igual que la fecha inicial o anteriores
a sta. ltimo registro despus de Especifica que usted desea ver todas las entradas que impliquen a un equipo que no se ha registrado en su servidor desde el momento especificado. Solamente disponible para los informes de estado del equipo cuando se selecciona Definir fechas especficas para el intervalo de tiempo.
195
Opcin
Estado
Descripcin
Disponible para el informe de cumplimiento del estado de cumplimiento de la red. Seleccione entre las siguientes opciones:

Autenticado Desconectado Error Aprobado Rechazado
Disponible para el informe de cumplimiento del estado de cumplimiento. Seleccione una de las acciones siguientes:

Aprobado Error
Agrupar por
Muchos de los informes se pueden agrupar de maneras apropiadas. Por ejemplo, la opcin ms comn es ver la informacin para solamente un grupo o una subred, pero algunos informes proporcionan otras opciones apropiadas.
196
Opcin
Destino
Descripcin
Disponible para el informe de proteccin contra amenazas de red de los principales destinos atacados. Seleccione entre las siguientes opciones:

Grupo Subred Cliente Puerto
Disponible para el informe de proteccin contra amenazas de red de los ataques a lo largo del tiempo. Seleccione entre las siguientes opciones:

Todos Grupo Direccin IP Sistema operativo Nombre de usuario Tipo de ataque
Disponible para los informes de proteccin contra amenazas de red de aplicaciones bloqueadas a lo largo del tiempo y notificaciones de trfico a lo largo del tiempo. Seleccione entre las siguientes opciones:

Todos Grupo Direccin IP Sistema operativo Nombre de usuario
Disponible para el informe de proteccin contra amenazas de red de las principales notificaciones de trfico. Seleccione entre las siguientes opciones:

Todos Trfico Paquete
Eje X Eje Y
Disponible para el informe de riesgos de la correlacin principal de detecciones de riesgos. Seleccione entre las siguientes opciones:

Equipo Nombre de usuario Dominio Grupo Servidor Nombre del riesgo
Amplitud de clases
Especifica la amplitud para formar un histograma. Disponible para el informe de anlisis del histograma de estadsticas de anlisis.
197
Opcin
Nmero de contenedores
Descripcin
Especifica el nmero de contenedores que usted desea utilizar para formar las barras de un histograma. Disponible para el informe de anlisis del histograma de estadsticas de anlisis.
Configuracin avanzada proporciona control adicional sobre los datos que desee ver. Son especficos para el tipo y el contenido del informe. Para ver una descripcin de cada opcin avanzada que se puede configurar, es posible hacer clic en Ms informacin para ese tipo de informe en la consola. Hacer clic en Ms informacin muestra la ayuda contextual para ese tipo de informe. Para crear un informe rpido
1 2 3
En la consola, haga clic en Informes. En la ficha Informes rpidos, en el cuadro de lista Tipo de informe, seleccione el tipo de informe que desee crear. Por ejemplo, seleccione Riesgo. Bajo Qu tipo de informe de anlisis desea ver, en el cuadro de lista Seleccionar un informe, seleccione el nombre del informe que desee ver. Por ejemplo, seleccione Conteo de detecciones de riesgos. En el cuadro de lista Utilizar filtro guardado, seleccione una configuracin de filtro guardada que desee utilizar o deje el filtro predeterminado. Bajo Qu configuracin de filtros desea utilizar, en el cuadro de lista Intervalo de tiempo, seleccione el intervalo de tiempo para el informe. Si seleccion Definir fechas especficas, utilice los cuadros de lista Fecha inicial y Fecha final. Estas opciones configuran el intervalo de tiempo sobre el cual se desea ver informacin. Si desea configurar las opciones adicionales para el informe, haga clic en Configuracin avanzada y configure las opciones que desee. Es posible hacer clic en Ms informacin en la ficha Informes rpidos para ver las descripciones de las opciones del filtro en la ayuda contextual. Cuando el botn de 3 puntos est disponible, lo lleva a una lista de opciones conocidas para esa opcin. Por ejemplo, esta opcin puede llevarlo a una lista de servidores conocidos o a una lista de dominios conocidos. Es posible guardar las opciones de configuracin del informe si piensa que querr ejecutar este informe de nuevo en el futuro. Ver "Guardar y eliminar los filtros de informes guardados" en la pgina 198.
4 5 6
Haga clic en Crear informe.
198
Ver y configurar informes Guardar y eliminar los filtros de informes guardados
Guardar y eliminar los filtros de informes guardados

Puede guardar la configuracin de informes personalizados, de modo que se pueda volver a generar el informe en una fecha posterior. Cuando guarda la configuracin, se guarda en la base de datos. El nombre que se da al filtro aparece en el cuadro de lista Usar un filtro guardado para ese tipo de registros y de informes. Nota: Las opciones de configuracin del filtro que guarda estn disponibles para la cuenta del inicio de sesin del usuario solamente. Otros usuarios con privilegios de elaboracin de informes no tienen acceso a la configuracin guardada. Puede eliminar las configuraciones de informe que usted crea. Si se elimina una configuracin, el informe ya no estar disponible. El nombre de la configuracin de informe predeterminado aparece en el cuadro de lista Utilizar informe guardado, y la pantalla vuelve a completarse con las opciones de configuracin predeterminadas. Para guardar un filtro
1 2 3 4 5
En la consola, haga clic en Informes. Seleccione un tipo informe del cuadro de lista. Modifique cualquier Configuracin bsica o Configuracin avanzada para el informe. Haga clic en Guardar filtro. En el cuadro de texto Nombre del filtro, escriba un nombre descriptivo para este filtro de informes. Slo se muestran los primeros 32 caracteres del nombre cuando el filtro se agrega a la lista Usar un filtro guardado. Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar. Despus de que se guarda un filtro, aparece en el cuadro de lista Usar un filtro guardado para los informes y los registros relacionados.
6 7
Para eliminar un filtro guardado
1 2 3 4
En la ficha Informes, seleccione un tipo de informe. En el cuadro de lista Utilizar filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Haga clic en el icono Eliminar ubicado junto al cuadro de lista Usar un filtro guardado. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S.
Ver y configurar informes Imprimir y guardar una copia de un informe
199
Acerca de los nombres de filtro duplicados

El almacenamiento de filtros se basa en parte en el creador, as que no ocurren problemas cuando dos usuarios diferentes crean un filtro con el mismo nombre. Sin embargo, un solo usuario o dos usuarios que se registran en la cuenta de administrador predeterminada no deben crear filtros con el mismo nombre. Si los usuarios crean filtros con el mismo nombre, un conflicto puede ocurrir bajo dos condiciones:
Los dos usuarios estn registrados en la cuenta del administrador predeterminada en diversos sitios y cada uno crea un filtro con el mismo nombre. Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se elimina el filtro utilizable, usted adems elimina el filtro inutilizable.
Imprimir y guardar una copia de un informe

Cuando se genera un informe, ste aparece en una nueva ventana. Puede imprimir o guardar una copia del informe. Nota: De forma predeterminada, Internet Explorer no imprime las imgenes y los colores de fondo. Si esta opcin de impresin est desactivada, el informe impreso se ver diferente del informe creado por el usuario. Puede cambiar la configuracin en el explorador para imprimir las imgenes y los colores de fondo. Para imprimir una copia de un informe
1 2
En la ventana de informes, haga clic en Imprimir. En el cuadro de dilogo Imprimir, seleccione la impresora que desee, si es necesario, y luego haga clic en Imprimir.
Cuando se guarda un informe, se guarda una captura de pantalla del entorno de seguridad que corresponde a los datos actuales de la base de datos de informes. Si ejecuta el mismo informe ms adelante, a partir de la misma configuracin de filtro, el nuevo informe mostrar datos diferentes.
200
Ver y configurar informes Crear y eliminar informes programados
Para guardar una copia de un informe
1 2 3 4 5
En la ventana de informes, haga clic en Guardar. En el cuadro de dilogo Descarga del archivo, haga clic en Guardar. En el cuadro de dilogo Guardar como, en el cuadro de la seleccin Guardar en, vaya a la ubicacin donde desee guardar el archivo. En el cuadro de lista Nombre de archivo, modifique el nombre de archivo predeterminado, si lo desea. Haga clic en Guardar. El informe se guarda en el formato del archivo Web de Microsoft, un solo archivo (*.mht) en la ubicacin que usted seleccion.
En el cuadro de dilogo de finalizacin de la descarga, haga clic en Cerrar.
Crear y eliminar informes programados

Los informes programados son los informes que se ejecutan automticamente basados en la programacin que se configura. Los informes programados se envan por correo electrnico a los destinatarios, as que es necesario incluir la direccin de correo electrnico de por lo menos un recipiente. Despus de que un informe se ejecuta, el informe se enva por correo electrnico a los destinatarios que se configuran como archivo adjunto .mht. Los datos que aparecen en los informes de la instantnea se actualizan en la base de datos cada hora. Los informes programados se envan por correo electrnico a sus destinatarios en la hora y el momento que el administrador configura usando la opcin Ejecutar cada. Cuando Symantec Endpoint Protection enva por correo electrnico un informe de instantnea, los datos en el informe son actuales durante el plazo de una hora. Los otros informes que contienen datos a lo largo del tiempo se actualizan en la base de datos segn el intervalo de la carga que usted configur para los registros de clientes. Ver "Configurar opciones de registros de clientes " en la pgina 323. Nota: Si tiene varios servidores dentro de un sitio que compartan una base de datos, slo el servidor instalado primero ejecuta los informes programados para el sitio. Esta configuracin predeterminada se asegura de que todos los servidores en el sitio no ejecuten los mismos anlisis programados simultneamente. Si desea sealar un servidor diferente para ejecutar informes programados, es posible configurar esta opcin en las propiedades del sitio local. Ver "Editar propiedades del sitio" en la pgina 264.
201
Los informes rpidos siguientes estn disponibles solamente como informes programados:

Distribucin de software cliente (instantneas) Clientes conectados/desconectados a lo largo del tiempo (instantneas) Clientes con la ltima poltica a lo largo del tiempo (instantneas) Clientes con errores de cumplimiento a lo largo del tiempo (instantneas) Distribucin de definiciones de virus (instantneas)
Es posible modificar la configuracin para cualquier informe que se haya programado. La prxima vez que el informe se ejecuta utiliza la nueva configuracin del filtro. Es posible adems crear informes programados adicionales, que es posible asociar a un filtro de informes previamente guardado. Puede eliminar uno o todos los informes programados. Nota: Cuando se asocia un filtro guardado a un informe programado, asegrese de que el filtro no contenga fechas personalizadas. Si el filtro especifica una fecha personalizada, usted obtendr el mismo informe cada vez que se ejecute el informe. Es posible imprimir y guardar informes programados, como se hace con los informes que se ejecutan manualmente. Nota: Cuando se crea un informe programado, es necesario utilizar el filtro predeterminado o un filtro que usted ya haya guardado. Despus de que usted haya programado el informe, es posible volver y editar el filtro. Para obtener informacin sobre las opciones que es posible configurar en estos procedimientos, en la ficha Informes programados, es posible hacer clic en Ms informacin. Para crear un informe programado
1 2 3
En la consola, haga clic en Informes. En la ficha Informes programados, haga clic en Agregar. En el cuadro de texto Nombre del informe, escriba un nombre descriptivo y, opcionalmente, escriba una descripcin ms larga. Aunque se puedan pegar ms de 255 caracteres en el cuadro de texto de la descripcin, slo 255 caracteres se guardan en la descripcin.
Deje sin marcar la casilla de verificacin Activar este informe programado si usted no quiere que este informe se ejecute.
202
5 6 7 8
Seleccione el tipo de informe que desee programar del cuadro de lista. Seleccione el nombre del informe especfico que desee programar del cuadro de lista. Seleccione el nombre del filtro guardado que desee utilizar del cuadro de lista. En el cuadro de texto Ejecutar cada, seleccione el intervalo de tiempo en el cual desea que el informe sea enviado por correo electrnico (horas, das, semanas o meses). A continuacin, escriba el valor para el intervalo de tiempo que usted seleccion. Por ejemplo, si desea que el informe le sea enviado da por medio, seleccione das y despus escriba 2. Bajo Programa de informes, en el cuadro de texto Ejecutar cada, escriba la frecuencia con la cual este informe se debe enviar por correo electrnico a los destinatarios. informe se inicie o haga clic en el icono del calendario y seleccione la fecha. A continuacin, seleccione la hora y los minutos de los cuadros de lista.
10 En el cuadro de texto Iniciar despus de, escriba la fecha en que desea que el
11 Bajo Destinatarios del informe, escriba una o ms direcciones de correo

electrnico separadas por comas. Es necesario haber configurado las propiedades del servidor de correo para que las notificaciones de correo electrnico funcionen.
12 Haga clic en Aceptar para guardar la configuracin del informe programado.

Para editar el filtro utilizado para un informe programado
1 2 3 4 5 6
En la consola, haga clic en Informes. Haga clic en Informes programados. En la lista de informes, haga clic en el informe programado que desee editar. Haga clic en Editar filtro. Realice los cambios del filtro que desee. Haga clic en Guardar filtro. Si desea conservar el filtro de informes original, d a este filtro editado un nuevo nombre.
7 8
Haga clic en Aceptar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.
203
Para eliminar un informe programado
1 2 3 4
En la consola, haga clic en Informes. En la ficha Informes programados, en la lista de informes, haga clic en el nombre del informe que desee eliminar. Haga clic en Eliminar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S.
204
Captulo
11
Ver y configurar registros y notificaciones


Acerca de los registros Usar la ficha Resumen de Supervisin Ver registros Guardar y eliminar filtros Configuracin bsica de filtro para los registros Configuracin avanzada de filtro para los registros Ejecutar comandos y acciones de registros Acerca de la reduccin del volumen de eventos enviados a los registros Exportar datos de registro Usar notificaciones
Acerca de los registros

Con los registros, es posible ver eventos detallados de sus productos de seguridad. Los registros contienen datos de eventos de sus servidores de administracin, as como de todos los clientes que se comunican con esos servidores. Dado que los informes son estticos y no incluyen tantos detalles como los registros, algunos administradores prefieren supervisar su red principalmente con registros.
206
Ver y configurar registros y notificaciones Acerca de los registros
Es recomedable ver esta informacin para solucionar problemas de seguridad o de conectividad en su red. Esta informacin puede ser til adems para la investigacin de amenazas o para verificar el historial de eventos. Nota: Las pginas de informes y las pginas del registro siempre se muestran en el idioma con el que se instal el servidor de administracin. Para ver estas pginas cuando utiliza una consola o un navegador del equipo remoto, la fuente apropiada debe estar instalada en el equipo. Es posible exportar algunos datos de eventos del registro a un archivo delimitado por comas para importarlos en una aplicacin de hojas de clculo. Otros datos de registro se pueden exportar a un archivo de volcado o a un servidor Syslog. Ver "Exportar datos de registro" en la pgina 225.
Acerca de tipos, contenido y comandos de registros

Es posible ver los siguientes tipos de registros de la pgina Supervisin:

Control de aplicaciones y dispositivos Auditora Cumplimiento Estado del equipo Proteccin contra amenazas de red Anlisis de amenazas proactivo TruScan Riesgos Anlisis Sistema
Nota: Se accede a todos estos registros desde la pgina Supervisin, usando la ficha Registros. Es posible ver la informacin sobre las notificaciones creadas en la ficha Notificaciones y la informacin sobre el estado de los comandos en la ficha Estado del comando. Algunos tipos de registros se subdividen en distintos tipos de contenido para que sea ms fcil visualizarlos. Por ejemplo, los registros de control de aplicaciones y de control de dispositivos incluyen el registro de control de aplicaciones y el registro de control de dispositivos. Es posible adems ejecutar comandos desde algunos registros.
207
Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 230. Nota: Si tiene solamente Symantec Network Access Control instalado, slo algunos de los registros contienen datos; algunos registros estn vacos. El registro de auditora, de cumplimiento, de estado del equipo y del sistema contienen datos. Si tiene solamente Symantec Endpoint Protection instalado, los registros de cumplimiento y los registros de Enforcer estn vacos, pero el resto de los registros contienen datos. La Tabla 11-1 describe los distintos tipos de contenido que es posible ver y las acciones que pueden efectuarse desde cada registro.
208
Tabla 11-1 Tipo de registro

Registro y listas
Contenido y acciones
El registro de control de aplicaciones y el registro de control de dispositivos contienen informacin sobre los eventos en los que se bloque determinado tipo de comportamiento. Los siguientes registros de control de aplicaciones y dispositivos estn disponibles: Control de aplicaciones, que incluye informacin sobre proteccin contra intervenciones Control de dispositivos
La informacin que est disponible en el registro de control de aplicaciones incluye los siguientes elementos:

La hora en que se produjo el evento Las acciones efectuadas El dominio y el equipo que estaban implicados La gravedad La norma que estaba implicada El proceso de llamada El destino
La informacin que est disponible en el registro de control de dispositivos incluye los siguientes elementos:

La hora en que se produjo el evento El tipo de evento El dominio y el grupo que estaban implicados El equipo que estaba implicado El usuario que estaba implicado El nombre del sistema operativo Una descripcin La ubicacin El nombre de la aplicacin implicada.
Es posible agregar un archivo a una poltica de excepciones centralizada desde el registro de control de aplicaciones. Auditora Los registros de auditora contienen informacin sobre la actividad de modificacin de polticas. La informacin disponible incluye la hora y el tipo de evento; la poltica modificada; el dominio, el sitio y el administrador implicado; y una descripcin. No hay ninguna accin asociada a este registro.
209
Tipo de registro
Cumplimiento
Los registros de cumplimiento contienen informacin sobre el servidor de Enforcer, los clientes de Enforcer y el trfico de Enforcer, y sobre cumplimiento de los hosts. Los siguientes registros de cumplimiento estn disponibles si tiene instalado Symantec Network Access Control: Servidor de Enforcer Este registro realiza un seguimiento de la comunicacin entre los mdulos de Enforcer y su servidor de administracin. La informacin que se registra incluye el nombre del mdulo de Enforcer, cundo se conecta al servidor de administracin, el tipo de evento, el sitio y el nombre del servidor. Cliente de Enforcer Proporciona informacin sobre todas las conexiones de clientes de Enforcer, incluida informacin sobre la autenticacin punto a punto.. Los datos disponibles incluyen el nombre, tipo, sitio, host remoto y direccin MAC remota de cada Enforcer, y si el cliente fue aprobado, rechazado o autenticado. Trfico de Enforcer (Gateway Enforcer solamente) Proporciona cierta informacin sobre el trfico que se mueve a travs de un dispositivo Enforcer. Esta informacin incluye la direccin y la hora del trfico, el protocolo que fue utilizado, el nombre y el sitio del mdulo Enforcer. La informacin adems incluye el puerto local que fue utilizado, la direccin y una cantidad. Es posible filtrar segn los intentos de conexin que fueron permitidos o bloqueados. Cumplimiento del host Este registro realiza un seguimiento de los detalles de los anlisis de integridad de los hosts de los clientes. La informacin disponible incluye la hora, la ubicacin, el sistema operativo, el motivo de los errores y una descripcin.
No hay ninguna accin asociada a estos registros.
210
Tipo de registro
Estado del equipo
Los registros de estado del equipo contienen informacin sobre el estado operacional de los equipos cliente de la red en tiempo real. La informacin disponible incluye el nombre del equipo y la direccin IP, la hora de la ltima verificacin, la fecha de las definiciones, el estado de infeccin, el estado de Auto-Protect, el servidor, el grupo, el dominio y el nombre de usuario. Es posible realizar las siguientes acciones desde el registro de estado del equipo:
Anlisis Este comando inicia un anlisis activo, completo o personalizado. Las opciones de anlisis personalizado son las que usted ha configurado para los anlisis de comandos en la pgina Anlisis definidos por el administrador. El comando utiliza la configuracin de la poltica antivirus y contra software espa que se aplica a los clientes que usted seleccion para analizar. Actualizar contenido Este comando activa una actualizacin de polticas, definiciones y software desde la consola para los clientes del grupo seleccionado. Actualizar contenido y anlisis Este comando activa una actualizacin de polticas, definiciones y software en los clientes del grupo seleccionado. Este comando luego inicia un anlisis activo, completo o personalizado. Las opciones de anlisis personalizado son las que usted ha configurado para los anlisis de comandos en la pgina Anlisis definidos por el administrador. El comando utiliza la configuracin de la poltica antivirus y contra software espa que se aplica a los clientes que usted seleccion para analizar. Cancelar todos los anlisis Este comando cancela todos los anlisis en curso y cualquier anlisis en cola para los destinatarios seleccionados. Reiniciar equipos Este comando reinicia los equipos que usted seleccion. Si los usuarios han iniciado sesin, se les advierte sobre el reinicio basado en las opciones de reinicio que el administrador configur para ese equipo. Es posible configurar las opciones de reinicio de clientes en la ficha Configuracin general del cuadro de dilogo Configuracin de la pgina Clientes. Habilitar Auto-Protect Este comando activa Auto-Protect para todos los equipos cliente que usted seleccion. Habilitar proteccin contra amenazas de red Este comando activa la proteccin contra amenazas de red para todos los equipos cliente que usted seleccion. Inhabilitar proteccin contra amenazas de red Este comando desactiva la proteccin contra amenazas de red para todos los equipos cliente que usted seleccion.
Es posible adems eliminar el estado infectado de los equipos desde este registro.
211
Tipo de registro
Proteccin contra amenazas Los registros de proteccin contra amenazas de red contienen informacin sobre de red ataques en el firewall y en la prevencin de intrusiones. Existe informacin disponible sobre ataques de negacin de servicio, anlisis de puertos y los cambios que fueron realizados a los archivos ejecutables. Adems contienen la informacin sobre las conexiones que se hacen a travs del firewall (trfico) y los paquetes de datos que pasan a travs de l. Estos registros adems contienen algunos de los cambios operacionales que se realizan en los equipos, como detectar aplicaciones de red y configurar software. La informacin disponible incluye elementos como la hora, el tipo de evento y las acciones efectuadas. La informacin adicional disponible incluye la gravedad, la direccin, el nombre de host, las acciones efectuadas, la direccin IP y el protocolo implicado. Los registros siguientes de proteccin contra amenazas de red estn disponibles:

Ataques Trfico Paquete
No hay ninguna accin asociada a estos registros. Anlisis de amenazas proactivo TruScan El registro de Anlisis de amenazas proactivo TruScan contiene informacin sobre las amenazas que se han detectado durante el anlisis de amenazas proactivo. Los anlisis de amenazas proactivos TruScan utilizan la heurstica para analizar en busca de cualquier comportamiento similar al de virus y riesgos de seguridad. Este mtodo puede detectar virus desconocidos y riesgos de seguridad. La informacin disponible incluye elementos como la hora de la incidencia, el nombre del evento, el equipo y el usuario implicados, el nombre y el tipo de aplicacin y el nombre del archivo. Es posible agregar un proceso detectado a una poltica de excepciones centralizada preexistente desde este registro. Riesgo El registro de riesgos contiene informacin sobre eventos de riesgo. Parte de la informacin disponible incluye el nombre y la hora del evento, el nombre de usuario, el equipo, el nombre del riesgo, la cantidad, el origen y el nombre de la ruta. Es posible efectuar las siguientes acciones desde este registro:

Agregar riesgo a la poltica de excepciones centralizada Agregar archivo a la poltica de excepciones centralizada Agregar carpeta a la poltica de excepciones centralizada Agregar extensin a la poltica de excepciones centralizada Eliminar de Cuarentena
212
Ver y configurar registros y notificaciones Usar la ficha Resumen de Supervisin
Tipo de registro
Anlisis
El registro de anlisis contiene informacin sobre la actividad del anlisis antivirus y de software espa. La informacin disponible incluye elementos tales como el nombre del equipo, la direccin IP, el estado, la hora del anlisis, la duracin y los resultados del anlisis. No hay ninguna accin asociada a estos registros.
Sistema
Los registros de sistema contienen informacin sobre eventos tales como cundo se inician y se detienen los servicios. La informacin disponible incluye elementos tales como el tiempo y el tipo de evento; el sitio, el dominio y el servidor implicados; y la gravedad. Estn disponibles los siguientes registros del sistema:

Administrativo Actividad del cliente y el servidor Actividad del servidor Actividad del cliente Actividad de Enforcer
No hay ninguna accin asociada a estos registros. Lista Estado del comando La lista Estado del comando contiene informacin sobre el estado de los comandos que se han ejecutado desde la consola. Incluye informacin tal como la fecha en que se ejecut el comando, quin lo emiti y una descripcin del comando. Adems incluye el estado de avance del comando y los clientes a los que afect dicho comando. La lista Notificaciones contiene informacin sobre eventos de notificaciones. Tales eventos incluyen informacin tal como la fecha y la hora de la notificacin. Adems incluye informacin sobre si la notificacin fue reconocida, quin la cre, su asunto y el mensaje. No hay ninguna accin asociada a estos registros.
Lista Notificaciones
Nota: Se puede acceder al registro de notificaciones desde la ficha Notificaciones,

en la pgina Supervisin, no desde la ficha Registros. Ver "Ver y filtrar informacin de notificaciones a administradores" en la pgina 230.
Usar la ficha Resumen de Supervisin

La ficha Resumen de la ficha Supervisin muestra resmenes sucintos, de alto nivel sobre datos de registro importantes a fin de brindarle una idea inmediata del estado de la seguridad. Es posible ver los resmenes siguientes en la ficha Resumen:
Proteccin antivirus y contra software espa
213
Proteccin contra amenazas de red Cumplimiento Estado del sitio
La Tabla 11-2 enumera el contenido de las vistas de resumen. Tabla 11-2 Vistas de resumen y su contenido Contenido
La vista Antivirus contiene la siguiente informacin:

Vista de resumen
Antivirus
Amenazas proactivas TruScan Distribucin de riesgos Nuevos riesgos Distribucin de riesgos por origen Distribucin de riesgos por atacante Distribucin de riesgos por grupo
Nota: Los nuevos riesgos se calculan a partir del ltimo

barrido de la base de datos para el perodo que est configurado en la ficha Inicio y supervisin, en Preferencias. Ver "Acerca de las opciones de visualizacin de Inicio y supervisin" en la pgina 168. Por ejemplo, suponga que su intervalo de tiempo establecido en Preferencias est configurado en el valor predeterminado, las ltimas 24 horas. Y suponga que el barrido de la base de datos est configurado para que se realice cada semana, el domingo a la noche y para que se eliminen los riesgos que tienen ms de tres das. Si un virus determinado infecta un equipo de su red el lunes, eso se informa como un nuevo riesgo. Si otro equipo es infectado con el mismo virus el mircoles, eso no se refleja en esta cantidad. Si este mismo virus infecta un equipo de su red el lunes siguiente, se informa aqu como recientemente infectado. Se informa como nuevo porque ocurri durante las ltimas 24 horas, y el domingo se barrieron de la base de datos que tenan entradas de ms de tres das. Las detecciones anteriores de riesgos ocurrieron hace ms de tres das, por lo tanto, fueron eliminadas de la base de datos.
214
Vista de resumen
Contenido
Proteccin contra amenazas La vista Proteccin contra amenazas de red contiene la de red siguiente informacin:

Principales destinos atacados por grupo Tipos de eventos de ataque Principales fuentes de ataque Eventos de seguridad por gravedad
Cumplimiento
La vista Cumplimiento contiene la siguiente informacin:

Error en el estado de cumplimiento de la red Distribucin del estado de cumplimiento Resumen de clientes por error de cumplimiento Detalles del error de cumplimiento
Nota: Si no tiene instalado Symantec Network Access

Control, la vista Cumplimiento no contiene ningn dato. Estado del sitio La vista Estado del sitio contiene la siguiente informacin:

Estado del sitio Generadores principales de errores por servidor Generadores principales de errores por cliente Errores de replicacin a lo largo del tiempo Generadores principales de errores por Enforcer
Nota: Si no tiene instalado Symantec Network Access

Control, la seccin Generadores principales de errorres por Enforcer no contiene ningn dato.
Si tiene solamente Symantec Network Access Control instalado, debe tener en cuenta la siguiente informacin:
La vista Cumplimiento que se describe en la Tabla 11-2 incluye su pgina principal. La vista Estado del sitio es la nica disponible en la ficha Resumen.
Es posible hacer clic en cualquiera de los grficos circulares de la vista de la ficha Resumen para ver ms detalles. Para ver el resumen de Principales destinos atacados, en Proteccin contra amenazas de red, utilice el cuadro de lista para ver el resumen por grupos, subredes, clientes o puertos.
Ver y configurar registros y notificaciones Ver registros
215
Nota: Si tiene solamente Symantec Endpoint Protection instalado, los grficos en la vista de resumen de cumplimiento estn vacos. Si tiene solamente Symantec Network Access Control instalado, la ficha Resumen contiene solamente la vista Estado del sitio. Es posible ver la informacin del resumen de cumplimiento en la pgina principal. Para modificar el tipo de resumen
1 2
En la ventana principal, haga clic en Supervisin. En la parte superior de la ficha Resumen, en el cuadro de lista Tipo de resumen, seleccione el tipo de vista que desea ver.
Ver registros
Puede generar una lista de eventos para ver desde los registros que se basan en un conjunto de opciones de filtro seleccionadas. Cada tipo de registro y de contenido tiene una configuracin de filtro predeterminada que puede utilizarse como est o modificarse. Es posible adems crear y guardar nuevas configuraciones de filtro. Estos nuevos filtros se pueden basar en el filtro predeterminado o en un filtro existente que usted cre previamente. Si guarda la configuracin del filtro, puede generar la misma vista de registro en una fecha posterior sin tener que volver a configurar las opciones. Es posible eliminar las configuraciones de filtro personalizadas si ya no las necesita. Ver "Guardar y eliminar filtros" en la pgina 218. Nota: Si se producen errores de base de datos cuando se visualizan los registros que incluyen una gran cantidad de datos, puede ser recomendable modificar los parmetros de tiempo de espera de la base de datos. Ver "Cambiar los parmetros de tiempo de espera" en la pgina 329. Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Para obtener informacin sobre parmetros de tiempo de espera adicionales, consulte el artculo "Reporting server does not report or shows a timeout error message when querying large amounts of data" (El servidor de informes no genera informes o presenta un mensaje de error de tiempo de espera al consultar una gran cantidad de datos) de la base de datos de conocimientos de Symantec (en ingls). Debido a que los registros contienen cierta informacin que se recopila a intervalos, es posible actualizar las vistas de los registros. Para configurar la frecuencia de
216
actualizacin del registro, visualice el registro y seleccinelo del cuadro de lista Actualizacin automtica en la parte superior derecha de la vista de ese registro. Nota: Si ve los datos de registro usando fechas especficas, la actualizacin automtica no tiene ningn efecto. Los datos permanecen siempre iguales. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para ese tipo de informe en la consola. Ms informacin muestra la ayuda contextual. Nota: Los campos de opcin del filtro que aceptan caracteres comodn y buscan coincidencias no diferencian entre maysculas y minsculas. El carcter del asterisco ASCII es el nico carcter de asterisco que se puede utilizar como carcter comodn. Para ver un registro
1 2 3 4 5
En la ventana principal, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo de registro que desea ver. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro que desea ver. En el cuadro de lista Usar un filtro guardado, seleccione un filtro guardado o deje el valor Predeterminado. Seleccione un tiempo del cuadro de lista Intervalo de tiempo o deje el valor predeterminado. Si selecciona Definir fechas especficas, defina la fecha o las fechas y la hora para las cuales desea visualizar entradas. Haga clic en Configuracin avanzada para limitar la cantidad de entradas que se visualizan. Es posible adems configurar cualquier otra Configuracin avanzada disponible para el tipo de registro que seleccion. Despus de tener la configuracin de vista que desea, haga clic en Ver registro. La vista de registro aparece en la misma ventana.
Visualizar detalles de eventos en los registros

Es posible mostrar detalles sobre eventos que estn almacenados en los registros.
217
Para mostrar detalles de eventos
1 2 3 4 5
En la ventana principal, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el tipo de registro que desea ver. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro que desea ver. Haga clic en Ver registro. Haga clic en el evento del cual desea ver detalles y haga clic en Detalles.
Ver registros de otros sitios

Si desea ver los registros de otro sitio, es necesario iniciar sesin en un servidor en el sitio remoto desde la consola. Si tiene una cuenta en un servidor en el sitio remoto, es posible iniciar sesin remotamente y ver los registros de ese sitio. Si ha configurado asociados de replicacin, puede elegir copiar los registros de los asociados de replicacin a un asociado local, y viceversa. Ver "Replicar registros" en la pgina 341. Si elige replicar los registros, de manera predeterminada, ver la informacin de su sitio y de los sitios replicados cuando visualiza cualquier registro. Si desea ver un solo sitio, es necesario filtrar los datos para limitarlos a la ubicacin que desea ver. Nota: Si elige replicar registros, asegrese de que tiene suficiente espacio libre en el disco para registros adicionales en todos los asociados de replicacin. Para ver los registros de otro sitio
1 2
Abra un navegador Web. Escriba el nombre del servidor o la direccin IP y el nmero de puerto, 9090, en el cuadro de texto de la direccin, de la siguiente manera: http://192.168.1.100:9090 La consola empieza a descargar. El equipo desde el cual usted inici sesin debe tener el entorno Java 2 Runtime Environment (JRE, Java Runtime Environment) instalado. Si no, se le pedir que lo descargue e instale. Siga las indicaciones para instalar JRE. Ver "Iniciar sesin en Symantec Endpoint Protection Manager" en la pgina 43.
218
Ver y configurar registros y notificaciones Guardar y eliminar filtros
3 4
En el cuadro de dilogo de inicio de sesin de la consola, escriba su nombre de usuario y su contrasea. En el cuadro de texto Servidor, si no se completa automticamente, escriba el nombre del servidor o la direccin IP y el nmero de puerto 8443, de la siguiente manera: http://192.168.1.100:8443
Haga clic en Iniciar sesin.
Guardar y eliminar filtros

Es posible crear filtros personalizados con Configuracin bsica y Configuracin avanzada para modificar la informacin que se desea ver. Es posible guardar la configuracin del filtro en la base de datos de modo que se pueda volver a generar la misma vista en el futuro. Cuando guarda la configuracin, se guarda en la base de datos. El nombre que se da al filtro aparece en el cuadro de lista Usar un filtro guardado para ese tipo de registros y de informes. Nota: Si seleccion ltimas 24 horas como el intervalo de tiempo para un filtro de registro, el intervalo de tiempo de 24 horas se inicia al seleccionar el filtro por primera vez. Si se actualiza la pgina, no se restablece el inicio del intervalo de 24 horas. Si selecciona el filtro y espera para crear un registro, el intervalo de tiempo se inicia al seleccionar el filtro. No se inicia cuando ve el registro. Para asegurarse de que el intervalo de las ltimas 24 horas comience en este momento, seleccione un intervalo de tiempo diferente y vuelva a seleccionar ltimas 24 horas. Para guardar un filtro
1 2 3
En la ventana principal, haga clic en Supervisin. En la ficha Registros, seleccione el tipo de vista de registro para la que desea configurar un filtro, desde el cuadro de lista Tipo de registro. En algunos tipos de registros, aparece un cuadro de lista Contenido del registro. Si aparece, seleccione el contenido del registro para el que desea configurar un filtro. En el cuadro de lista Usar un filtro guardado, seleccione el filtro desde el cual desea establecer el inicio. Por ejemplo, seleccione el filtro predeterminado. En la seccin Qu configuracin de filtros desea utilizar, haga clic en Configuracin avanzada. Modifique cualquiera de las opciones.
4 5 6
Ver y configurar registros y notificaciones Configuracin bsica de filtro para los registros
219
7 8
Haga clic en Guardar filtro. En el cuadro de dilogo que aparece, en el cuadro Nombre del filtro, escriba el nombre que desee utilizar para esta configuracin de filtro de registro. Slo se muestran los primeros 32 caracteres del nombre cuando el filtro guardado se agrega a la lista de filtros. Haga clic en Aceptar. El nombre del nuevo filtro se agrega al cuadro de lista Usar un filtro guardado.
10 Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en Aceptar.

Para eliminar un filtro guardado
1 2 3
En el cuadro de lista Usar un filtro guardado, seleccione el nombre de la configuracin del filtro que desea eliminar. Al lado del cuadro de lista Usar un filtro guardado, haga clic en el icono Eliminar. Cuando se le solicite confirmar si desea eliminar el filtro, haga clic en S.
Acerca de los nombres de filtro duplicados

El almacenamiento de filtros se basa en parte en el creador, as que no ocurren problemas cuando dos usuarios diferentes crean un filtro con el mismo nombre. Sin embargo, un solo usuario o dos usuarios que se registran en la cuenta de administrador predeterminada no deben crear filtros con el mismo nombre. Si los usuarios crean filtros con el mismo nombre, un conflicto puede ocurrir bajo dos condiciones:
Los dos usuarios estn registrados en la cuenta del administrador predeterminada en diversos sitios y cada uno crea un filtro con el mismo nombre. Un usuario crea un filtro, se registra en un sitio distinto y crea inmediatamente un filtro con el mismo nombre.
Si ocurre cualquiera de estas condiciones antes de que ocurra la replicacin del sitio, el usuario ve posteriormente dos filtros con el mismo nombre en la lista de filtros. Solamente uno de los filtros es utilizable. Si ocurre este problema, es mejor eliminar el filtro utilizable y reconstruirlo con un nombre distinto. Cuando se elimina el filtro utilizable, usted adems elimina el filtro inutilizable.
Configuracin bsica de filtro para los registros

La mayora de los registros tienen la misma configuracin bsica.
220
Ver y configurar registros y notificaciones Configuracin bsica de filtro para los registros
La Tabla 11-3 describe la configuracin bsica que es comn a la mayora de los registros. Tabla 11-3 Opcin
Tipo de registro
Configuracin bsica para los registros Descripcin

Especifica el tipo de registro que desea ver. Seleccione uno de los siguientes tipos:

Control de aplicaciones y dispositivos Auditora Cumplimiento Estado del equipo Proteccin contra amenazas de red Anlisis de amenazas proactivo TruScan Riesgos Anlisis Sistema
Contenido del registro
Si hay ms de un registro de ese tipo, es posible seleccionar el tipo de contenido del registro que se desea ver. Especifica qu filtro se desea utilizar para crear la vista del registro. Es posible utilizar el filtro predeterminado o un filtro personalizado al que usted ha dado un nombre y que ha guardado para ver informacin de registro.
Usar un filtro guardado
Intervalo de tiempo
Especifica el intervalo de tiempo de los eventos que usted desea ver en el registro. Seleccione alguna de las opciones siguientes:

ltimas 24 horas Semana pasada ltimo mes Mes actual ltimos tres meses Ao pasado Definir fechas especficas
Configuracin avanzada
Cada registro tiene algunas opciones de configuracin avanzada que le son especficas. Haga clic en Configuracin avanzada y Configuracin bsica para alternar entre ellas.
Ver y configurar registros y notificaciones Configuracin avanzada de filtro para los registros
221
Configuracin avanzada de filtro para los registros

La configuracin avanzada proporciona control adicional sobre los datos que desea ver. Son especficos para el tipo y el contenido del registro. Si tiene equipos en su red que estn ejecutando versiones anteriores de Symantec AntiVirus, cuando se utilicen los filtros de registro, la terminologa siguiente se aplicar:

Los grupos de servidores de una versin anterior se categorizan como dominios Los grupos de clientes de una versin anterior se categorizan como grupos Los servidores principales de una versin anterior se categorizan como servidores
Nota: No es posible filtrar los datos de una versin anterior de Symantec Client Firewall para conocer las firmas de prevencin de intrusiones. Para ver las versiones de firmas que se ejecutan en un equipo, es posible ir al registro Estado del equipo. Seleccione un equipo que tenga Symantec Client Firewall instalado y a continuacin haga clic en Detalles. Esta informacin est en el campo Versin de IDS. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para ese tipo de registro en la consola. Ms informacin muestra la ayuda contextual.
Ejecutar comandos y acciones de registros

Desde el registro Estado del equipo, es posible ejecutar varios comandos en clientes seleccionados. Es posible adems hacer clic con el botn secundario en un grupo directamente de la pgina Cliente de la consola para ejecutar comandos. El orden en el cual se procesan los comandos y las acciones en el cliente vara de un comando a otro. Sin importar dnde se inicia el comando, los comandos y las acciones se procesan de la misma manera. Para obtener informacin sobre las opciones que se pueden configurar al ejecutar comandos, en la ficha Registros de la consola, haga clic en Ms informacin. Al hacer clic en Ms informacin, se muestra la ayuda contextual. Desde la ficha Estado del comando, es posible ver el estado de los comandos que se han ejecutado desde la consola y sus detalles. Es posible adems cancelar un anlisis especfico desde esta ficha si el anlisis est en curso.
222
Ver y configurar registros y notificaciones Ejecutar comandos y acciones de registros
Es posible cancelar todos los anlisis en curso y en cola para los clientes seleccionados desde el registro Estado del equipo. Si confirma el comando, la tabla se actualiza y se ve que el comando de cancelacin se agrega a la tabla de estado del comando. Nota: Si ejecuta el comando de anlisis y selecciona un anlisis personalizado, el anlisis utiliza la configuracin del anlisis de comando que usted configur en la pgina Anlisis definido por el administrador. El comando utiliza la configuracin que est en la poltica antivirus y contra software espa que se aplica a los clientes seleccionados. Si ejecuta un comando Reiniciar equipo desde un registro, el comando se enva inmediatamente. Si hay usuarios conectados al cliente, se les advierte sobre el reinicio, de acuerdo con las opciones de reinicio que el administrador configur para ese cliente. Es posible configurar las opciones de reinicio de clientes en la ficha Configuracin general del cuadro de dilogo Configuracin, de la pgina Clientes. Los registros siguientes permiten que se agreguen excepciones a una poltica de excepciones centralizada:

Registro de control de aplicaciones Registro del anlisis de amenazas proactivo TruScan Registro de riesgos
Ver "Crear excepciones centralizadas de eventos de registro" en la pgina 610. Para agregar cualquier tipo de excepcin desde un registro, debe haber creado una poltica de excepciones centralizada. Ver "Configurar una poltica de excepciones centralizada" en la pgina 603. Desde el registro de riesgos, es posible adems eliminar los archivos de Cuarentena. Si Symantec Endpoint Protection detecta riesgos en un archivo comprimido, el archivo comprimido se pone en cuarentena completamente. Sin embargo, el registro Riesgo contiene una entrada separada para cada archivo del archivo comprimido. No es posible utilizar el comando Eliminar de Cuarentena desde registro Riesgo para eliminar de Cuarentena solamente los archivos infectados. Para eliminar correctamente el riesgo o los riesgos, es necesario seleccionar todos los archivos del archivo comprimido antes de utilizar el comando Eliminar de Cuarentena.
223
Nota: Para seleccionar los archivos del archivo comprimido, debe visualizarlos todos en la vista de registro. Es posible utilizar la opcin Lmite en la configuracin avanzada del filtro del registro Riesgo para aumentar el nmero de entradas en la vista. Para eliminar archivos de Cuarentena desde el registro Riesgo
1 2 3 4 5 6 7
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro Riesgo, a continuacin haga clic en Ver registro. Seleccione una entrada del registro que tenga un archivo que se haya puesto en cuarentena. Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena. Haga clic en Iniciar. En el cuadro de dilogo que aparece, haga clic en Eliminar. En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
Para eliminar un archivo comprimido de Cuarentena desde el registro Riesgo
1 2 3
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione el registro Riesgo y a continuacin haga clic en Ver registro. Seleccione todas las entradas de los archivos del archivo comprimido. Todas las entradas del archivo comprimido deben estar en la vista del registro. Es posible utilizar la opcin Lmite de Configuracin avanzada para aumentar el nmero de entradas en la vista.
4 5 6 7
Desde el cuadro de lista Accin, seleccione Eliminar de Cuarentena. Haga clic en Iniciar. En el cuadro de dilogo que aparece, haga clic en Eliminar. En el cuadro de dilogo de confirmacin que aparece, haga clic en Aceptar.
Para ejecutar un comando desde el registro Estado del equipo
1 2 3 4
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione un comando del cuadro de lista Accin.
224
Haga clic en Iniciar. Si hay opciones de configuracin para el comando que usted seleccion, aparecer una nueva pgina donde es posible configurar las opciones apropiadas.
6 7 8
Cuando haya finalizado la configuracin, haga clic en S o Aceptar. En el cuadro de mensaje de confirmacin del comando que aparece, haga clic en S. En el cuadro de dilogo Mensaje, haga clic en Aceptar. Si el comando no se pone en cola correctamente, es posible que se deba repetir este procedimiento. Se puede verificar si el servidor no funciona. Si la consola ha perdido conectividad con el servidor, es posible finalizar la sesin en la consola y a continuacin volver a iniciarla para ver si ayuda.
Para ver los detalles del estado del comando
1 2
Haga clic en Supervisin. En la ficha Estado del comando, seleccione un comando de la lista y a continuacin haga clic en Detalles.
Para cancelar un anlisis especfico que est en curso
1 2 3
Haga clic en Supervisin. En la ficha Estado del comando, haga clic en el icono Cancelar anlisis de la columna Comando del comando de anlisis que desee cancelar. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
Para cancelar todos los anlisis en curso y puestos en cola
1 2 3 4 5 6
Haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, seleccione Estado del equipo. Haga clic en Ver registro. Seleccione uno o ms equipos de la lista y a continuacin seleccione Cancelar todos los anlisis de la lista de comandos. Haga clic en Iniciar. Cuando aparezca el cuadro de dilogo de confirmacin, haga clic en S para cancelar todos los anlisis en curso y puestos en cola de los equipos seleccionados. Cuando aparece una confirmacin de que el comando se puso en cola correctamente, haga clic en Aceptar.
Ver y configurar registros y notificaciones Acerca de la reduccin del volumen de eventos enviados a los registros
225
Acerca de la reduccin del volumen de eventos enviados a los registros

Es posible reducir el nmero de eventos que se enva a los registros de antivirus y contra software espa al configurar parmetros de administracin de registros. Estas opciones se configuran por cada poltica en su poltica antivirus y contra software espa. Ver "Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa" en la pgina 428.
Exportar datos de registro

Existen varias opciones para exportar los datos de sus registros. Es posible exportar los datos de algunos registros a un archivo de texto delimitado por comas. Es posible exportar los datos de otros registros a un archivo de texto delimitado por tabulaciones, que se llama archivo de volcado, o a un servidor Syslog. La exportacin de los datos de registro es til para acumular todos los registros de la red entera en una ubicacin centralizada. La exportacin de los datos de registro tambin es til cuando se utiliza un programa de otro fabricante, tal como una hoja de clculo, para organizar o manipular los datos. Adems, es recomendable exportar los datos en sus registros antes de eliminar los registros. Cuando se exportan los datos de los registros a un servidor Syslog, es necesario configurar el servidor Syslog para que reciba esos registros. Para enviar los registros a programas de otros fabricantes, es necesario tener el programa de otro fabricante instalado y en la red. Por ejemplo, es posible utilizar Microsoft Excel para abrir los archivos de registro exportados. Cada campo aparece en una columna separada, y en cada lnea, aparece un registro separado. Nota: No es posible restaurar la base de datos a partir de los datos de registro exportados.
Exportar datos de registro a un archivo de texto

Al exportar datos de los registros a un archivo de texto, de forma predeterminada, los archivos se colocan en la carpeta unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\dump. Las entradas se colocan en un archivo .tmp hasta que los registros se transfieran al archivo de texto. Si Symantec Network Access Control no est instalado, algunos de estos registros no existen.
226
Ver y configurar registros y notificaciones Exportar datos de registro
La Tabla 11-4 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados. Tabla 11-4 Nombres de archivo de texto de registro para Symantec Endpoint Protection Nombre de archivo de texto
scm_admin.log agt_behavior.log scm_agent_act.log scm_policy.log scm_system.log agt_packet.log agt_proactive.log agt_risk.log agt_scan.log agt_security.log agt_system.log agt_traffic.log
Datos de registro
Administracin de servidor Control de aplicaciones de servidor Cliente de servidor Poltica de servidor Sistema de servidor Paquete de clientes Amenaza proactiva del cliente Riesgos del cliente Anlisis de equipos cliente Seguridad del cliente Sistema del cliente Trfico del cliente
Nota: Los nombres del registro en la Tabla 11-4 no se corresponden directamente con los nombres de registro que se utilizan en la ficha Registros de la pgina Supervisin. La Tabla 11-5 muestra la correspondencia de los tipos de datos de registro con los nombres de los archivos de datos de registro exportados para los registros de Enforcer. Tabla 11-5 Nombres de archivo de texto de registro adicionales para Symantec Network Access Control Nombre de archivo de texto
scm_enforcer_act.log enf_client_act.log
Datos de registro
Actividades de Enforcer del servidor Actividades de Enforcer del cliente
227
Datos de registro
Sistema de Enforcer Trfico de Enforcer
Nombre de archivo de texto

enf_system.log enf_traffic.log
Nota: Cuando se exporta a un archivo de texto, el nmero de registros exportados puede ser distinto del nmero que se establece en el cuadro de dilogo Registro externo. Esta situacin se presenta cuando se reinicia el servidor de administracin. Despus de reiniciar el servidor de administracin, la cantidad de entradas de registro se restablece a cero, pero ya puede haber entradas en los archivos de registro temporales. En esta situacin, el primer archivo de *.log de cada tipo que se genera despus del reinicio contiene ms entradas que el valor especificado. Cualquier archivo de registro que se exporte posteriormente contiene el nmero correcto de entradas. Para obtener ms informacin sobre las opciones que pueden configurarse con este procedimiento, haga clic en Ayuda, en la consola para ver la ficha General. Para exportar datos de registro a un archivo de volcado
1 2 3 4 5 6
En la consola, haga clic en Administrador. Haga clic en Servidores. Haga clic en el sitio local o en el sitio remoto para el que desee configurar el registro externo. Haga clic en Configurar el registro externo. En la ficha General, seleccione la frecuencia con la que se enviarn los datos de registro al archivo. Seleccione el Servidor de registro maestro que manejar el registro externo. Si utiliza Microsoft SQL con ms de un servidor de administracin conectado a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 8
Marque Exportar registros a un archivo de volcado. Si es necesario, marque Limitar registros de archivos de volcado y escriba el nmero de entradas que se quieran enviar al mismo tiempo al archivo de texto.
228
En la ficha Filtro de registros, seleccione todos los registros que se quieran enviar a los archivos de texto. Si el tipo de registro seleccionado permite definir el nivel de gravedad, es necesario marcar los niveles de gravedad que se desean guardar. Se guardan todos los niveles que se seleccionan.
Exportar datos a un servidor Syslog

Es posible configurar Symantec Endpoint Protection para enviar los datos de registro de algunos registros a un servidor Syslog. Nota: Recuerde configurar su servidor Syslog para recibir los datos de registro. Para obtener ms informacin sobre las opciones que es posible configurar en este procedimiento, es posible hacer clic en Ayuda en la consola para la ficha General. Para exportar datos de registro a un servidor Syslog
1 2 3 4 5 6
En la consola, haga clic en Administrador. Haga clic en Servidores. Haga clic en el sitio local o el sitio remoto desde el cual desee exportar datos de registro. Haga clic en Configurar el registro externo. En la ficha General, seleccione la frecuencia con la que se enviarn los datos de registro al archivo. Seleccione el servidor que manejar el registro externo. Si utiliza Microsoft SQL y tiene varios servidores de administracin conectados a la base de datos, slo necesita un servidor como Servidor de registro maestro.
7 8
Marque Habilitar la transmisin de registros a un servidor Syslog. Configure los campos siguientes segn corresponda:
Servidor Syslog: Especifique la direccin IP o el nombre de dominio del servidor Syslog que recibir los datos de registro. Puerto UDP de destino: Especifique el puerto de destino que el servidor Syslog utiliza para escuchar mensajes de Syslog o utilice la configuracin predeterminada.
229
Recurso de registro: Especifique el nmero del recurso de registro que desee utilizar en el archivo de configuracin Syslog o utilice la configuracin predeterminada. Los valores vlidos van de 3 a 23.
En la ficha Filtro de registros, seleccione todos los registros que se quieran enviar a los archivos de texto. Si un tipo de registro seleccionado permite seleccionar el nivel de gravedad, marque los niveles de gravedad que desee guardar.
Exportar datos de registro a un archivo de texto delimitado por comas

Es posible exportar los datos de los registros a un archivo de texto delimitado por comas. Para exportar registros a un archivo de texto delimitado por comas
1 2 3 4 5 6 7 8
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro que desea exportar. Modifique cualquier Configuracin bsica o Configuracin avanzada. Haga clic en Ver registro. Haga clic en Exportar. En la nueva ventana que aparece, haga clic en el men Archivo y a continuacin haga clic en Guardar como. Si se le pregunta si desea continuar, haga clic en S. En la ventana Guardar pginas Web que aparece, utilice el cuadro de lista Guardar en para desplazarse hasta el directorio donde desea guardar el archivo. En el cuadro de texto Nombre de archivo, escriba el nombre de archivo que se utilizar modifique el tipo a Archivo de texto (*.txt).
10 Para guardar los datos sin procesar, en el cuadro de lista Guardar como tipo, 11 Haga clic en Guardar para exportar los datos al archivo.
230
Ver y configurar registros y notificaciones Usar notificaciones
Usar notificaciones
Las notificaciones son mensajes sobre los eventos de seguridad que han ocurrido en su red. Es posible configurar muchos tipos distintos de notificaciones. Algunas notificaciones se dirigen a los usuarios y algunas se dirigen a los administradores. Es posible configurar las siguientes acciones de notificacin para alertar a administradores o a otros individuos designados cuando se cumplen determinadas condiciones relacionadas con la seguridad:

Enviar un correo electrnico. Ejecutar un archivo por lotes u otro archivo ejecutable. Registrar una entrada en el registro de notificaciones de la base de datos.
Ver "Crear notificaciones de administrador" en la pgina 231.
Ver y filtrar informacin de notificaciones a administradores

Es posible ver la informacin del registro de notificaciones de la misma manera que se ve la informacin de otros registros. Es posible filtrar el registro de notificaciones para ver la informacin sobre un solo tipo de evento de notificacin por vez. Es posible filtrar su vista de notificaciones y guardar los filtros para uso futuro. Es posible filtrar notificaciones en el registro de acuerdo con los criterios siguientes:

Intervalo de tiempo Estado de reconocimiento Tipo Creador Nombre
Ver todas las notificaciones
1 2
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Ver notificaciones. Aparece la lista de todos los tipos de notificaciones.
Para filtrar la vista de notificaciones
1 2
En la consola, haga clic en Supervisin. En la ficha Notificaciones, en Qu configuracin de filtros desea utilizar, haga clic en Configuracin avanzada.
231
Configure cualquier opcin por la cual desea filtrar. Es posible filtrar por cualquier combinacin de intervalo de tiempo, estado de reconocimiento, tipo de notificacin, creador o nombre especfico de notificacin.
Haga clic en Ver notificaciones. Aparece una lista del tipo de notificaciones que seleccion.
Pautas del umbral para las notificaciones del administrador

Algunos tipos de notificacin contienen valores predeterminados cuando se los configura. Estas pautas proporcionan puntos de partida razonables segn el tamao de su entorno, pero es posible que deban ser ajustados. Tal vez sea necesario utilizar prueba y error para encontrar el equilibrio correcto entre demasiadas y demasiadas pocas notificaciones para su entorno. Configure el umbral en un lmite inicial y espere algunos das. Vea si recibe notificaciones con muy poca frecuencia o si las notificaciones lo desbordan o desbordan su red. Para la deteccin de virus, riesgos de seguridad y eventos de firewall, suponga que tiene menos de 100 equipos en una red. Un punto de partida razonable en esta red es configurar una notificacin cuando dos eventos de riesgo se detectan en el plazo de un minuto. Si tiene 100 a 1000 equipos, detectar cinco eventos de riesgo en el plazo de un minuto puede ser un punto de partida ms til. Es posible que tambin desee recibir alertas cuando los clientes tienen definiciones desactualizadas. Es recomendable recibir notificaciones de cada cliente que tiene un archivo de definiciones desactualizadas durante ms de dos das.
Crear notificaciones de administrador

Es posible crear y configurar las notificaciones para que se activen cuando ocurren ciertos eventos relacionados con la seguridad. Es posible configurar el software para que efecte las siguientes acciones de notificacin:

Registrar la notificacin en la base de datos. Enviar un correo electrnico a determinados individuos. Nota: Para enviar notificaciones por correo electrnico, es necesario configurar tambin un servidor de correo. Es posible configurar un servidor de correo usando la ficha Servidor de correo en la pgina de servidores de administracin. Ejecutar un archivo por lotes u otra clase de archivo ejecutable.
232
El perodo de reduccin predeterminado para las notificaciones es Automtico. Si se activa una notificacin y la condicin de la activacin contina existiendo, la accin de notificacin que haya configurado no se vuelve a realizar durante 60 minutos. Por ejemplo, suponga que define una notificacin para que se le enve un correo electrnico cuando un virus infecta cinco equipos en el plazo de una hora. Si un virus contina infectando sus equipos a esta velocidad o ms rpido, Symantec Endpoint Protection le enva una notificacin por correo electrnico cada hora. Los correos electrnicos seguirn envindose hasta que la velocidad de infeccin disminuya a menos de cinco equipos por hora. Es posible configurar el software para que se enve una notificacin cuando ocurren los siguientes tipos de eventos:
Error de autenticacin Los errores de inicio de sesin activan este tipo de notificacin. Se define el nmero de errores de inicio de sesin y el plazo que se desea para activar una notificacin. Symantec Endpoint Protection le notifica si el nmero de errores de inicio de sesin que ocurran durante el plazo excede su configuracin. Informa el nmero de errores de inicio de sesin que ocurrieron. Modificacin en la lista de clientes Las modificaciones en los clientes activan este tipo de notificacin. Los tipos de modificaciones que pueden activar esta notificacin son: la adicin, el movimiento, el cambio de nombre o la eliminacin de un cliente. Otras posibilidades son que el estado de detector no administrado, el modo del cliente o el hardware de un cliente se hayan modificado. Alerta de seguridad de cliente Es posible elegir entre eventos de seguridad de cumplimiento, proteccin contra amenazas de red, trfico, paquete, control de dispositivos y control de aplicaciones. Es posible adems elegir el tipo y el alcance del ataque que activar esta notificacin y el perodo. Los tipos incluyen las instancias en cualquier equipo, las instancias en un solo equipo o las instancias en equipos distintos. Algunos de estos tipos necesitan que usted adems habilite el inicio de sesin en la poltica asociada. Enforcer est inactivo Un dispositivo Enforcer desconectado activa este tipo de notificacin. La notificacin le indica el nombre de cada Enforcer, su grupo y la hora de su ltimo estado. Se detect una aplicacin comercial o forzada La deteccin de una aplicacin en la lista de aplicaciones comerciales o en la lista del administrador de aplicaciones que se deben observar activa esta notificacin. Nueva aplicacin incorporada
233
Las nuevas aplicaciones incorporadas activan este tipo de notificacin.
Nuevo riesgo detectado Los nuevos riesgos detectados activan este tipo de notificacin. Nuevo paquete de software Las descargas de nuevos paquetes de software activan este tipo de notificacin. Ataque de riesgo Se define el nmero y el tipo de instancias de nuevos riesgos y el perodo que debe activar este tipo de notificacin. Los tipos incluyen las instancias en cualquier equipo, las instancias en un solo equipo o las instancias en equipos distintos. Estado del servidor Los estados de servidor desconectado, malo o muy grave activan esta notificacin. La notificacin enumera el nombre del servidor, el estado de salud, el motivo y el ltimo estado. Evento de riesgo simple La deteccin de un evento de riesgo simple activa esta notificacin. La notificacin enumera varios detalles sobre el riesgo, que incluyen el usuario y el equipo implicados, y las acciones que Symantec Endpoint Protection efectu. Evento del sistema Los eventos del sistema, tales como actividades de Enforcer y de servidor, error de replicacin, problemas de copia de respaldo y de restauracin, y errores de sistema, activan esta notificacin. La notificacin enumera la cantidad de eventos detectados. Equipo no administrado Los equipos no administrados activan esta notificacin. La notificacin enumera detalles, tales como la direccin IP, la direccin MAC y el sistema operativo, para cada equipo. Definiciones de virus desactualizadas Se define la desactualizacin al configurar la notificacin. Se definen el nmero de equipos y el nmero de das de antigedad de las definiciones del equipo necesarios para activar esta notificacin.
Con la configuracin de Condiciones de notificacin, es posible configurar una alerta de seguridad del cliente por instancias en cualquier equipo, en un solo equipo o en equipos distintos. Es posible adems configurar estas opciones para un ataque de riesgo. Ver "Configurar notificaciones de proteccin contra amenazas de red" en la pgina 536.
234
Para obtener una descripcin de cada opcin configurable, es posible hacer clic en Ms informacin, en la consola. Ms informacin muestra la ayuda contextual. Nota: Es posible filtrar la vista de las condiciones de notificacin que se han creado usando el cuadro de lista Mostrar tipos de notificacin. Para estar seguro de que se visualizan las nuevas notificaciones creadas, asegrese de que la opcin Todos est seleccionada en este cuadro de lista. Para crear una notificacin
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Condiciones de notificacin. Haga clic en Agregar y a continuacin seleccione el tipo de notificacin que desee agregar de la lista que aparece. En la nueva ventana que aparece, en el cuadro de texto Nombre de la notificacin, escriba un nombre descriptivo. Especifique las opciones de filtro que desee. Por ejemplo, para algunos tipos de notificaciones, es posible limitar la notificacin a dominios, grupos, servidores, equipos, riesgos o aplicaciones especficos.
235
Especifique la configuracin de la notificacin y las acciones que desea que ocurran cuando se activa esta notificacin. Puede hacer clic en Ayuda para ver descripciones de las opciones posibles para todos los tipos de notificaciones. Si selecciona Enviar correo electrnico a como la accin que se efectuar, la notificacin por correo electrnico depende de la opcin del nombre de usuario del servidor de correo. El nombre de usuario que se configura para el servidor de correo en el cuadro de dilogo Propiedades del servidor debe tener el siguiente formato usuario@dominio. Si este campo se deja en blanco, las notificaciones se envan desde SYSTEM@nombre del equipo. Si el servidor de elaboracin de informes tiene un nombre que utiliza un conjunto de caracteres de doble byte (DBCS, Double Byte Character Set), es necesario especificar el campo de nombre de usuario con un nombre de cuenta de correo electrnico que tenga el formato usuario@dominio. Si selecciona Ejecutar el archivo por lotes o ejecutable como la accin que debe efectuarse, escriba el nombre del archivo. Los nombres de ruta no estn permitidos. El archivo por lotes o el archivo ejecutable que se ejecutar debe estar ubicado en el siguiente directorio: unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\ bin
Es recomendable crear una notificacin de proteccin contra amenazas de red que se activa cuando un evento de trfico coincide con los criterios configurados para una norma de firewall. Para crear este tipo de notificacin, es necesario realizar las siguientes tareas:
En la lista Normas de polticas de firewall, marque la opcin Enviar alerta de correo electrnico en la columna Registro de las normas de las cuales desea ser notificado. En la ficha Notificaciones, configure una alerta de seguridad del cliente para eventos de proteccin contra amenazas de red, paquete o trfico.
Para crear una notificacin de proteccin contra amenazas de red
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Notificaciones, haga clic en Condiciones de notificacin. Haga clic en Agregar y seleccione Alerta de seguridad de cliente. Escriba un nombre para esta notificacin. Si desea limitar esta notificacin a dominios, grupos, servidores o equipos especficos, especifique las opciones de filtro que desee.
236
Seleccione uno de los siguientes tipos de ataque:

Instancias en equipos diferentes Instancias en cualquier equipo Instancias en un solo equipo
Para especificar el tipo de actividad de proteccin contra amenazas de red, active una de las siguientes casillas de verificacin:
Para los ataques y los eventos que el firewall detecta o que las firmas de prevencin de intrusiones detectan, marque Eventos de proteccin contra amenazas de red. Para las normas de firewall que se activan y se registran en el registro de paquetes, marque Eventos de paquetes. Para las normas de firewall que se activan y se registran en el registro de trfico, marque Eventos de trfico.
Si lo desea, modifique las condiciones predeterminadas de notificacin para configurar el nmero de instancias dentro del nmero de minutos en que desea que se active esta notificacin. Marque Enviar correo electrnico a y a continuacin escriba las direcciones de correo electrnico de las personas a las que desea notificar cuando se cumplen estos criterios.

La opcin Enviar alerta de correo electrnico en la columna Registro de la lista de normas de polticas de firewall estar ahora activada. Cuando se activa esta notificacin, se enva el correo electrnico. Ver "Configurar mensajes de correo electrnico para eventos de trfico" en la pgina 538.
Acerca de la edicin de notificaciones existentes

Si edita la configuracin de una notificacin existente, las entradas anteriores que se generaron muestran mensajes en el registro de notificaciones basados en su nueva configuracin. Si desea conservar sus ltimos mensajes de notificacin en la vista del registro de notificaciones, no edite la configuracin de una notificacin existente. En su lugar, cree una nueva notificacin con un nuevo nombre. A continuacin, deshabilite la notificacin existente dejando sin marcar las acciones que usted configur bajo Qu debe ocurrir cuando se activa esta notificacin.
Captulo
12
Usar Supervisin e Informes para asegurar la red


Acerca del uso de Supervisin e Informes para asegurar la red Acerca de eliminar virus y riesgos de seguridad Encontrar los clientes desconectados
Acerca del uso de Supervisin e Informes para asegurar la red

Los informes muestran una instantnea esttica de la informacin sobre sus clientes y servidores, pero se pueden programar para ejecutarse en intervalos a fin de presentar informacin actualizada. Los registros a los que se accede desde la pgina Supervisin son dinmicos y muestran informacin ms especfica y detallada, tal como nombres de equipos y usuarios. Es posible que sea necesario este nivel de detalle para localizar algunos problemas. Puede ejecutar comandos en todos los clientes en un grupo desde algunos registros a fin de reparar inmediatamente problemas. Puede supervisar el estado de los comandos desde la ficha Estado del comando. Las notificaciones que se pueden configurar desde la pgina Supervisin pueden alertarlo sobre problemas. Es posible utilizar una notificacin para activar la reparacin de un problema haciendo que se ejecute un archivo por lotes u otro ejecutable. Puede configurar una notificacin que se enve cuando ciertos eventos ocurren o alcanzan el umbral de incidencias. Tambin puede conseguir informacin de inters de los registros y de los informes de muchas maneras diferentes. Por ejemplo, suponga que desea saber qu equipos
238
Usar Supervisin e Informes para asegurar la red Acerca del uso de Supervisin e Informes para asegurar la red
estn infectados en su red. La pgina principal muestra un conteo de los equipos recientemente infectados y an infectados. Este conteo le dice inmediatamente cuando inicia sesin en la consola si se encontraron problemas de seguridad en su red. Es posible encontrar ms detalles sobre estos equipos de muchas maneras diferentes. Por ejemplo, es posible hacer lo siguiente:
Programar el informe rpido de Equipos infectados y en riesgo para ejecutarse cada maana y configurarlo para que se enve por correo electrnico a usted mismo o a otra persona. Construir y guardar un filtro de informe de riesgos que incluya los detalles especficos que usted desee sobre los equipos infectados. Ejecute un informe rpido usando ese filtro siempre que vea desde la pgina principal que ha ocurrido un problema de seguridad. O es posible crear un informe programado para ejecutarse que utilice ese filtro guardado y enviarlo por correo electrnico a usted mismo o a otra persona. Ir directamente al registro de riesgos y ver los eventos de infeccin. Es posible utilizar el filtro predeterminado o un filtro guardado solamente con los detalles que desee. Personalizar la pgina principal para modificar los informes predeterminados en la seccin Informes favoritos, si lo desea. Es posible utilizar cualquier informe rpido predefinido o un informe que utilice un filtro personalizado. Estos informes se ejecutan siempre que usted los ve, de modo que la informacin que contienen es actual.
No importa cul sea su enfoque preferido, es posible crear algunos filtros de registro e informes personalizados. Es posible utilizar los filtros personalizados regularmente para supervisar o eliminar problemas de seguridad en su red. Para personalizar los filtros, se debe primero identificar la informacin que desea ver en el informe o registrar. Por ejemplo, es posible ejecutar un informe para visualizar los riesgos de seguridad principales que infectaron su red durante un plazo especfico. Suponga que encuentra que el riesgo principal en su red la ltima semana era RPC.Attack. El informe identifica cuntos equipos fueron infectados. Es posible entonces utilizar el registro de riesgos para visualizar los nombres de los equipos que fueron infectados por RPC.Attack. El registro de riesgos adems muestra los nombres de los usuarios que haban iniciado sesin en esos equipos a la hora de la infeccin.
239
Acerca de la informacin en los informes y registros de Control de aplicaciones y Control de dispositivos

Los registros e informes de Control de aplicaciones y Control de dispositivos contienen informacin sobre los siguientes tipos de eventos:

El acceso a una entidad del equipo fue bloqueado. Un dispositivo fue prohibido en la red.
Los archivos, las claves de registro y los procesos son ejemplos de entidades del equipo. La informacin que est disponible incluye elementos tales como la hora y el tipo de evento; las medidas tomadas; el host y la norma implicados. Adems contienen el proceso de llamada implicado. Estos registros e informes incluyen informacin sobre Polticas de control de aplicaciones y dispositivos y Proteccin contra intervenciones. La Tabla 12-1 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes y los registros de Control de aplicaciones y Control de dispositivos. Tabla 12-1 Resumen de registros e informes rpidos de Control de aplicaciones y Control de dispositivos Usos tpicos
Utilice este informe para comprobar qu grupos son los ms riesgosos de su red.
Informe o registro
Grupos principales con registros de control de aplicaciones con mayor cantidad de alertas Principales destinos bloqueados
Utilice este informe para comprobar qu archivos, procesos y otras entidades se utilizan ms frecuentemente en ataques contra su red. Utilice este informe para descubrir qu dispositivos son los ms problemticos desde el punto de vista de poner en peligro la seguridad de su red.
Principales dispositivos bloqueados
Registro de control de aplicaciones Utilice este registro para ver informacin sobre las entidades siguientes:

Las acciones tomadas en respuesta a eventos.
Los procesos que estuvieron implicados en los eventos. Los nombres de las normas aplicadas desde la poltica cuando el acceso de una aplicacin se bloquea.
240
Informe o registro
Usos tpicos
Registro de control de dispositivos Utilice este registro cuando es necesario ver los detalles de Control de dispositivos, tales como la hora exacta en que Control de dispositivos habilit o deshabilit los dispositivos. Este registro adems visualiza informacin tal como el nombre del equipo, su ubicacin, el usuario que haba iniciado sesin y el sistema operativo implicado.
Informacin del informe y el registro de auditora

El registro de auditora contiene informacin sobre actividades de modificacin de polticas, tales como los tiempos y los tipos de eventos, las modificaciones de polticas, los dominios, los sitios, los administradores y las descripciones. El informe rpido de auditora predeterminado se llama Polticas utilizadas. Vea el informe Polticas utilizadas para supervisar las polticas en uso en su red, por grupo. Es posible ver los registros de auditora cuando se desea ver qu administrador modific una poltica determinada y cundo.
Acerca de la informacin en los registros e informes de cumplimiento

Los registros de cumplimiento contienen informacin sobre el servidor, los clientes y el trfico de Enforcer, y sobre el cumplimiento de los hosts. La informacin disponible incluye elementos tales como la hora y el tipo de evento, el nombre del mdulo de Enforcer implicado, el sitio y el servidor. Nota: Si Symantec Network Access Control no est instalado, los registros y los informes de cumplimiento no contienen datos. La Tabla 12-2 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes y los registros de cumplimiento. Tabla 12-2 Resumen de registros e informes rpidos de cumplimiento Usos tpicos
Informe o registro
Estado de cumplimiento de la red Utilice este informe para ver el cumplimiento general, para saber si los clientes han fallado la comprobacin de integridad del host o la autenticacin, o han sido desconectados.
241
Informe o registro
Estado de cumplimiento
Usos tpicos
Utilice este informe para ver el nmero total de clientes que hayan aprobado o fallado una comprobacin de integridad del host en su red.
Resumen de clientes por error de Utilice este informe para ver los motivos generales cumplimiento para los eventos de errores de control, tales como antivirus, firewall o VPN. Detalles del error de cumplimiento Utilice este informe para ver un mayor nivel de detalle sobre los errores de cumplimiento. Muestra los criterios y la norma que estuvo implicada en cada error. Incluye el porcentaje de los clientes que fueron implementados y el porcentaje de los que fallaron. Por ejemplo, el Resumen de errores de cumplimiento puede mostrar diez errores de clientes debido al software antivirus. En cambio, Detalles del error de cumplimiento muestra la siguiente informacin: Cuatro clientes no tienen ningn software antivirus actualmente en funcionamiento. Dos clientes no tienen ningn software antivirus instalado. Cuatro clientes tienen archivos de definiciones de antivirus desactualizados.
Clientes con errores de cumplimiento por ubicacin
Utilice este informe para ver si algunas ubicaciones tienen ms problemas de cumplimiento que otras.
Registro del servidor de Enforcer Utilice este registro para ver informacin sobre eventos de cumplimiento de Enforcer, el nombre del mdulo de Enforcer implicado, su sitio y su servidor. Entre otras cosas, este registro contiene la siguiente informacin: Qu mdulos de Enforcer no pudieron registrarse con sus servidores Qu mdulos de Enforcer recibieron correctamente descargas de polticas y el archivo de comunicacin sylink.xml Si el servidor de Enforcer ha recibido correctamente sus registros de los mdulos de Enforcer
Registro de clientes de Enforcer
Utilice este registro para ver qu clientes tienen comprobaciones de integridad del host aprobadas o falladas, si fueron autenticados o rechazados, o si fueron desconectados de la red.
242
Informe o registro
Registro de trfico de Enforcer
Usos tpicos
Utilice este registro para ver informacin sobre el trfico que pasa por un mdulo de Enforcer. La informacin disponible incluye:

La direccin del trfico La hora en que el trfico comenz y finaliz El protocolo utilizado
La direccin IP de origen y la direccin IP de destino utilizadas El puerto utilizado

El tamao del paquete (en bytes) Los intentos de conexin que fueron permitidos o bloqueados
Este registro se aplica solamente a los mdulos Gateway Enforcer. Registro de cumplimiento del host Utilice este registro para ver informacin especfica sobre eventos de cumplimiento determinados. Tales eventos incluyen el motivo, el usuario implicado y el nombre del sistema operativo implicado.
Acerca de la informacin de los informes y el registro de estado del equipo

El registro de estado del equipo contiene informacin sobre el estado operacional de los equipos de la red en tiempo real. La informacin disponible incluye el nombre del equipo y la direccin IP, la hora de la ltima verificacin, la fecha de las definiciones, el estado de infeccin, el estado de Auto-Protect, el servidor, el grupo, el dominio y el nombre de usuario. Los filtros para los informes de estado del equipo tienen opciones de configuracin estndar y opciones especficas de cumplimiento. La Tabla 12-3 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes y registros de estado del equipo. Tabla 12-3 Resumen de registro e informes rpidos de estado del equipo Usos tpicos
Utilice este informe para asegurarse de que todos los grupos, dominios o servidores en su red utilizan versiones actualizadas de los archivos de definiciones de virus.
Informe o registro
Distribucin de definiciones de virus
243
Informe o registro
Equipos no registrados en el servidor
Usos tpicos
Utilice este informe para ver qu equipos no se han registrado con un servidor y, por lo tanto, pueden haberse perdido o faltan. Utilice este informe para comprobar las versiones del software del producto, las definiciones de virus, las firmas IPS y el contenido de proteccin proactiva en uso en su red. Con esta informacin es posible localizar los equipos que necesitan una actualizacin. Utilice este informe para asegurarse de que todos los grupos de su red utilizan firmas actualizadas de prevencin de intrusiones. Es posible adems ver qu dominios o servidores estn desactualizados. Utilice este informe para ver el nmero y el porcentaje de equipos que entran en ciertas categoras de hardware y software. La informacin disponible incluye el sistema operativo del equipo, la memoria total, la memoria libre, el espacio libre en disco total, el espacio libre en disco y el tipo de procesador. Por ejemplo, desde el informe de inventario de clientes, puede ver que el 22% de sus equipos tienen menos de 1 GB de espacio libre en el disco. Utilice este informe para ver qu grupos o subredes tienen el porcentaje ms grande de equipos fuera de cumplimiento. Sera aconsejable investigar si ciertos grupos parecen tener muchos ms problemas de cumplimiento que otros. Utilice este informe para ver qu grupos o subredes tienen el porcentaje ms grande de clientes en lnea. Sera aconsejable investigar por qu algunos grupos o subredes experimentan actualmente ms problemas que otros. Utilice este informe para ver qu grupos o subredes tienen el porcentaje ms grande de equipos que no tienen la ltima poltica. Utilice este informe para ver el nmero total de clientes y de usuarios, por grupo.
Versiones de producto de Symantec Endpoint Protection
Distribucin de la firma de prevencin de intrusiones
Inventario de clientes
Estado de conexin del cliente
Clientes con la ltima poltica
Cantidad de clientes por grupo
244
Informe o registro
Usos tpicos
Resumen del estado de seguridad Utilice este informe para ver rpidamente el nmero total de equipos que tengan los siguientes problemas:

Auto-Protect est deshabilitado El motor antivirus se encuentra desactivado
Proteccin contra intervenciones se encuentra desactivado El equipo necesita ser reiniciado El equipo fall una comprobacin de integridad del host La proteccin contra amenazas de red est desactivada
Estos equipos pueden continuar en peligro a menos que se intervenga. Versiones de contenido de proteccin Utilice este informe para comprobar las versiones del contenido de proteccin proactiva en uso en su red, para localizar cualquier equipo que necesite una actualizacin. Utilice este informe para ver el estado de la migracin de clientes por dominio, grupo y servidor. Es posible identificar rpidamente los clientes donde la migracin ha fallado o an no se ha iniciado. Utilice este informe para localizar los clientes que no se conectan a la red con suficiente frecuencia. Este informe est disponible slo como un informe programado.
Migracin de clientes
Clientes conectados/desconectados a lo largo del tiempo (instantneas)
Clientes con la ltima poltica a lo Utilice este informe para localizar los clientes que no largo del tiempo (instantneas) reciben actualizaciones de polticas con suficiente frecuencia. Este informe est disponible slo como un informe programado. Distribucin de software cliente (instantneas) Utilice este informe para localizar los clientes que no tienen la ltima versin de software implementada. Este informe est disponible slo como un informe programado.
Clientes con errores de Utilice este informe para localizar los clientes que cumplimiento a lo largo del tiempo frecuentemente fallan las comprobaciones de (instantneas) integridad del host. Este informe est disponible slo como un informe programado.
245
Informe o registro
Distribucin de definiciones de virus (instantneas)
Usos tpicos
Utilice este informe para ver las versiones de definiciones que los clientes tienen. Este informe est disponible slo como un informe programado. Compruebe el registro de estado del equipo si necesita ms detalles sobre alguna de las reas que los informes cubren.
Registro de estado del equipo
Acerca de la informacin en los registros e informes de la proteccin contra amenazas de red

Los registros de la proteccin contra amenazas de red permiten realizar un seguimiento de la actividad del equipo y de su interaccin con otros equipos y redes. Registran informacin sobre el trfico que intenta ingresar en los equipos o salir de ellos mediante sus conexiones de red. Los registros de proteccin contra amenazas de red contienen detalles sobre ataques en el firewall, tal como la siguiente informacin:

Ataque de negacin de servicio Anlisis de puertos Modificaciones a los archivos ejecutables
Los registros de proteccin contra amenazas de red recogen informacin sobre la prevencin de intrusiones. Adems contienen informacin sobre las conexiones que fueron hechas a travs del firewall (trfico), las claves del registro, los archivos y las DLL a las que se accede. Contienen informacin sobre los paquetes de datos que pasan a travs de los equipos. Los cambios operacionales que fueron realizados a los equipos tambin se incluyen en estos registros. Esta informacin puede incluir el momento en que se inician y se detienen los servicios o alguien configura software. Entre los otros tipos de informacin que puede estar disponible hay elementos tales como la hora y el tipo de evento, y las medidas tomadas. Puede adems incluir la direccin, el nombre de host, la direccin IP y el protocolo que fue utilizado para el trfico implicado. Si se aplica al evento, la informacin puede adems incluir el nivel de gravedad. La Tabla 12-4 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes y registros de la proteccin contra amenazas de red.
246
Tabla 12-4
Resumen de informes rpidos y registros de la proteccin contra amenazas de red Usos tpicos
Utilice este informe para identificar qu grupos, subredes, equipos o puertos se atacan ms frecuentemente. Sera aconsejable tomar medidas basadas en este informe. Por ejemplo, es posible que encuentre que los clientes que se comunican con VPN son atacados mucho ms frecuentemente. Puede ser recomendable agrupar esos equipos de modo que se pueda aplicar una poltica de seguridad ms rigurosa. Utilice este informe para identificar qu hosts atacan su red ms frecuentemente. Utilice este informe para identificar los tipos de ataque que se dirigen a su red ms frecuentemente. Los tipos de ataque que es posible supervisar incluyen anlisis de puertos, ataques de negacin de servicio y falsificacin de MAC.
Informe o registro
Principales destinos atacados
Principales fuentes de ataque
Principales tipos de ataque
Principales aplicaciones bloqueadas
Utilice estos informes juntos para identificar las aplicaciones que se utilizan ms frecuentemente para atacar su red. Es posible adems ver si las aplicaciones Aplicaciones bloqueadas a lo largo utilizadas para los ataques se han modificado a lo largo del tiempo del tiempo. Ataques a lo largo del tiempo Utilice este informe para identificar los grupos, las direcciones IP, los sistemas operativos y los usuarios que se atacan ms frecuentemente en su red. Utilcelo adems para identificar el tipo ms frecuente de ataque que ocurre. Utilice este informe para ver un resumen de la gravedad de los eventos de seguridad en su red.
Eventos de seguridad por gravedad
247
Informe o registro
Principales notificaciones de trfico
Usos tpicos
Estos informes muestran el nmero de ataques que infringieron las normas de firewall que usted configur para notificarle sobre violaciones. Se configura la Notificaciones de trfico a lo largo informacin de estos datos seleccionando la opcin del tiempo Enviar alerta de correo electrnico en la columna Registro de la lista de normas de polticas de firewall. Utilice Notificaciones de trfico a lo largo del tiempo para ver cmo los ataques aumentan o disminuyen, o afectan a diversos grupos a lo largo del tiempo. Utilcelos para ver qu grupos estn en mayor peligro de ataque a travs del firewall. Informe completo Utilice este informe para ver la informacin que aparece en todos los informes rpidos de la proteccin contra amenazas de red en un lugar. Utilice este registro si necesita ms informacin sobre un evento de trfico o un tipo de trfico especfico que pase a travs de su firewall. Utilice este registro si necesita ms informacin sobre un paquete especfico. Sera aconsejable mirar los paquetes para investigar ms a conciencia un evento de seguridad enumerado en un informe. Utilice este registro si necesita informacin ms detallada sobre un ataque especfico que ocurri.
Registro de trfico
Registro de paquetes
Registro de ataques
Acerca de la informacin en los informes y registros del anlisis de amenazas proactivo TruScan
La Tabla 12-5 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes y el registro del anlisis de amenazas proactivo TruScan.
248
Tabla 12-5
Resumen de informes rpidos y registros del anlisis de amenazas proactivo TruScan Usos tpicos
Utilice este informe para ver la siguiente informacin:
Informe o registro
Resultados de la deteccin del anlisis de amenazas proactivo TruScan (debajo de informes de riesgos)
Una lista de las aplicaciones clasificadas como riesgos que se han agregado a las excepciones como aceptables en su red. Deteccin de amenazas proactiva Una lista de las aplicaciones que se detectaron como a lo largo del tiempo TruScan riesgos confirmados. (debajo de informes de riesgos) Una lista de las aplicaciones que se han detectado, pero que an no se han confirmado como riesgos. Utilice Deteccin de amenazas proactiva a lo largo del tiempo TruScan para ver si las amenazas detectadas por los anlisis de amenazas proactivos TruScan se han modificado a lo largo del tiempo. Distribucin de amenazas Utilice este informe por los siguientes motivos: proactiva de TruScan (en informes Para ver qu aplicaciones de la lista de aplicaciones de riesgos) comerciales y de la lista de detecciones forzada se detectan ms frecuentemente. Para ver qu medida se tom en respuesta a la deteccin. Para determinar si equipos determinados en su red son atacados ms frecuentemente por este vector. Para ver detalles sobre la aplicacin que atac. Registro del anlisis de amenazas Utilice este registro si necesita ms informacin sobre proactivo TruScan eventos especficos de la deteccin de amenazas proactiva. Esta informacin puede ser el nombre del usuario que haba iniciado sesin cuando ocurri la deteccin. Es posible adems utilizar comandos desde este registro para agregar entidades legtimas, tales como archivos, carpetas, extensiones y procesos a la poltica de excepciones centralizada. Despus de que se agrega a la lista, si una actividad legtima se detecta como riesgo, no se acta sobre la entidad.
Acerca de la informacin en los registros e informes de riesgos

El registro y los informes de riesgos incluyen informacin sobre eventos del riesgo en los servidores de administracin y sus clientes.
249
La Tabla 12-6 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes rpidos y el registro de riesgos. Tabla 12-6 Resumen de informes rpidos y registros de riesgos Usos tpicos
Utilice este informe para identificar rpidamente los equipos que necesitan su atencin porque estn infectados con un virus o un riesgo de seguridad.
Tipos de registro e informe

Equipos infectados y en riesgo
Resumen de acciones de deteccin Utilice este informe para identificar las medidas que fueron tomadas cuando los riesgos fueron detectados. Esta informacin adems aparece en la pgina de inicio de Symantec Endpoint Protection. Conteo de detecciones de riesgos Utilice este informe para identificar dominios, grupos o equipos determinados que tienen el nmero ms grande de detecciones de riesgos. Es posible entonces investigar por qu algunas entidades parecen estar en mayor riesgo que otras en su red. Utilice este informe para identificar y seguir el impacto de los nuevos riesgos en su red. Utilice este informe para buscar correlaciones entre los riesgos y los equipos, los usuarios, los dominios y los servidores.
Nuevos riesgos detectados en la red Correlacin principal de detecciones de riesgos
Resumen de distribucin de riesgos
Utilice estos informes para seguir la distribucin de riesgos. Es posible adems utilizarlos para localizar riesgos, dominios, grupos, servidores, equipos y a Distribucin de riesgos a lo largo usuarios determinados que parecen tener ms del tiempo problemas que otros. Es posible utilizar Distribucin de riesgos a lo largo del tiempo para ver cmo estos riesgos se modifican a lo largo del tiempo. Resumen de acciones para los riesgos principales Utilice este informe para revisar las acciones tomadas sobre los riesgos que Symantec Endpoint Protection ha detectado en su red. Utilice estos informes para refinar cmo se crean y se configuran notificaciones en su red.
Nmero de notificaciones Nmero de notificaciones a lo largo del tiempo Ataques semanales
Utilice este informe para seguir los ataques de riesgos semana por semana.
250
Tipos de registro e informe

Informe completo de riesgos
Usos tpicos
Utilice este informe para ver todos los informes de distribucin y la informacin sobre nuevos riesgos al mismo tiempo. Utilice este registro si necesita informacin ms especfica sobre algunas reas de los informes de riesgos. Por ejemplo, es posible utilizar el registro de riesgos para ver detalles sobre los riesgos que fueron detectados en los equipos donde los riesgos se encuentran a menudo. Es posible adems utilizar el registro de riesgos para ver detalles sobre los riesgos de seguridad de una gravedad determinada que han afectado a su red.
Registro de riesgos
Acerca de la informacin en los registros e informes de anlisis

El registro y los informes de anlisis contienen informacin sobre la actividad de los anlisis antivirus y contra software espa. La Tabla 12-7 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes rpidos y el registro de anlisis. Tabla 12-7 Resumen de informes rpidos y registros de anlisis Usos tpicos
Agrupe por la hora de anlisis en que se utiliza este informe para ver un histograma de cunto tiempo toman los anlisis programados para completarse en los clientes. Puede ser recomendable modificar la hora para la que se programa el anlisis basado en esta informacin. Es posible filtrar este informe basado en el nmero de archivos que fueron analizados. Estos resultados pueden ayudarlo a ver si algunos usuarios restringen los anlisis a una pequea cantidad de archivos en sus equipos. Utilice este informe para identificar los equipos que no han ejecutado un anlisis recientemente. Es posible configurarlo para buscar el ltimo da o la ltima semana, o un plazo personalizado, que desee comprobar.
Informe o registro
Histograma de estadsticas de anlisis
Equipos por ltimo anlisis
251
Informe o registro
Equipos no analizados
Usos tpicos
Utilice este informe para obtener una lista de los equipos que no se han analizado en un perodo especfico. Este informe adems incluye las direcciones IP de los equipos por dominios o grupos especficos. Estos equipos pueden estar en peligro. Es posible clasificar este registro por la duracin del anlisis para identificar los equipos que tardan ms tiempo en analizarse en su red. De acuerdo con esta informacin, es posible personalizar los anlisis programados para estos equipos si es necesario.
Registro de anlisis
Acerca de la informacin en los registros e informes del sistema

Los registros del sistema contienen informacin que es til para solucionar los problemas del cliente. La Tabla 12-8 describe algunos usos tpicos para la clase de informacin que es posible obtener de los informes rpidos y el registro del sistema. Tabla 12-8 Resumen de informes rpidos y registro del sistema Usos tpicos
Utilice este informe para ver qu clientes generan el nmero ms grande de errores y advertencias. Sera aconsejable mirar la ubicacin y el tipo de usuarios en estos clientes para ver por qu experimentan ms problemas que otros. Es posible luego ir al registro del sistema para obtener informacin. Utilice este informe para ver qu servidores generan el nmero ms grande de errores y advertencias. Es posible mirar estos servidores para ver por qu experimentan ms problemas que lo tpico para su red.
Informe o registro
Principales clientes que generan errores
Principales servidores que generan errores
Principales instancias de Enforcer Utilice este informe para ver qu mdulos de Enforcer que generan errores generan el nmero ms grande de errores y advertencias. Es posible mirar estos Enforcers para ver por qu experimentan ms problemas que lo tpico para su red.
252
Informe o registro
Usos tpicos
Errores de replicacin de base de Utilice este informe para ver qu servidores o sitios datos a lo largo del tiempo experimentan ms problemas con la replicacin de base de datos. Adems le dice por qu las replicaciones fallan, de modo que se puedan reparar los problemas. Estado del sitio Utilice este informe para ver cmo su servidor maneja su carga de cliente. De acuerdo con la informacin de este informe, sera aconsejable ajustar la carga. Utilice este registro para ver elementos relacionados con actividades administrativas, como las siguientes:

Registro administrativo
Inicios de sesin y cierres de sesin Cambios de polticas Cambios de contrasea Cuando los certificados coinciden Eventos de replicaciones Eventos relacionados con los registros
Este registro puede ser til para resolver problemas de los clientes, tales como certificados, polticas o importaciones faltantes. Es posible considerar por separado los eventos que se relacionan con los dominios, los grupos, los usuarios, los equipos, las importaciones, los paquetes, las replicaciones y otros eventos. Registro de actividades del cliente Utilice este registro para ver toda la actividad del y el servidor cliente que ocurre para un servidor especfico. Por ejemplo, es posible utilizar este registro para ver los puntos siguientes:

Descargas de polticas correctas y con errores Conexiones de los clientes al servidor Registros del servidor
Registro de actividades del servidor
Entre otras cosas, utilice este registro por los siguientes motivos:

Localizar y solucionar problemas de replicacin
Localizar y solucionar problemas de copia de respaldo Localizar y solucionar problemas del servidor Radius Ver todos los eventos del servidor de un nivel determinado de gravedad
Usar Supervisin e Informes para asegurar la red Acerca de eliminar virus y riesgos de seguridad
253
Informe o registro
Usos tpicos
Registro de actividades del cliente Entre otras cosas, es posible utilizar este registro para supervisar las actividades relacionadas con el cliente siguientes: Qu clientes fueron bloqueados para que no accedieran a la red Qu clientes necesitan ser reiniciados

Qu clientes tuvieron instalaciones correctas o con errores Qu clientes tuvieron problemas de inicio y finalizacin de servicios Qu clientes tuvieron problemas de importacin de normas Qu clientes tuvieron problemas al descargar polticas Qu clientes tuvieron errores de conexin al servidor
Registro de actividades de Enforcer
Utilice este registro para supervisar problemas con los mdulos de Enforcer. En este registro, es posible ver eventos de administracin, eventos de Enforcer, eventos de habilitacin y eventos de polticas. Es posible filtrarlos por su nivel de gravedad. Por ejemplo, es posible utilizar este registro para solucionar los siguientes tipos de problemas:

Conectividad de Enforcer
La importacin y la aplicacin de polticas y configuraciones Inicios, interrupciones y pausas de Enforcer
Nota: Si Symantec Network Access Control no est instalado, el registro de actividades de Enforcer y las entradas en otros registros que se apliquen a los mdulos de Enforcer estn vacos.
Acerca de eliminar virus y riesgos de seguridad

Eliminar infecciones por virus y riesgos de seguridad es una tarea que es posible realizar diariamente o segn lo necesario, dependiendo del estado de la seguridad de su red. Primero, se identifican y localizan los riesgos, despus se decide cmo manejarlos. Despus de reparar los problemas, es posible actualizar el registro de estado del equipo para mostrar que se ha respondido a los riesgos.
254
Identificar los equipos infectados y en riesgo

La primera tarea es identificar los equipos que estn infectados y en riesgo. Para identificar los equipos infectados
En la consola, haga clic en Inicio y mire el Resumen de acciones. Si es administrador del sistema, ver la cantidad de equipos recientemente infectados y an infectados que hay en su sitio. Si es administrador del dominio, ver la cantidad de equipos recientemente infectados y an infectados que hay en su dominio. La categora An infectado es un subconjunto de Recientemente infectado, y la cantidad de equipos an infectados disminuye a medida que elimina los riesgos de la red. Los equipos estn an infectados si un anlisis posterior informa que estn infectados. Por ejemplo, Symantec Endpoint Protection pudo haber limpiado un riesgo de un equipo slo parcialmente, y Auto-Protect an detecta el riesgo.
2 3 4 5
En la consola, haga clic en Informes. En el cuadro de lista Tipo de informe, haga clic en Riesgo. En el cuadro de lista Seleccionar un informe, haga clic en Equipos infectados y en riesgo. Haga clic en Crear informe y observe las listas de los equipos infectados y en peligro que aparecen.
Modificar una accin y volver a analizar los equipos identificados

El paso siguiente en la reparacin de los riesgos en su red es identificar por qu los equipos siguen infectados o en riesgo. Compruebe la medida que se llev a cabo para cada riesgo en los equipos infectados y en peligro. Puede ser que la medida que se tom y se configur haya sido la opcin Ignorado. Si la accin fue Ignorado, debe eliminar el riesgo del equipo, quitar el equipo de la red o aceptar el riesgo. Sera aconsejable editar la poltica antivirus y contra software espa aplicada al grupo al que pertenece este equipo. Sera aconsejable configurar otra accin para esta categora de riesgos o para este riesgo especfico.
255
Para identificar las acciones que necesitan ser modificadas y volver a analizar los equipos identificados
1 2
En la consola, haga clic en Supervisin. En la ficha Registros, seleccione el registro de riesgo y despus haga clic en Ver registro. Desde la columna de eventos del registro de riesgos, es posible ver qu sucedi y qu medida se tom. Desde la columna de nombre de riesgo, es posible ver los nombres de los riesgos que siguen activos. Desde la columna de usuario de grupo de dominio, es posible ver a qu grupo pertenece el equipo. Si un cliente est en peligro porque un anlisis tom la medida Ignorado, es posible que deba modificar la poltica antivirus y contra software espa para el grupo. Desde la columna Equipo, es posible ver los nombres de los equipos que an tienen riesgos activos. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 437. Si su poltica se configura para utilizar modo de transferencia, se transfiere a los clientes del grupo en el latido siguiente. Ver "Especificar el modo de transferencia o de obtencin" en la pgina 390.
3 4 5 6
Haga clic en Atrs. En la ficha Registros, seleccione el registro de estado del equipo y despus haga clic en Ver registro. Si modific una accin y elimin una nueva poltica, seleccione los equipos que necesitan volver a analizarse con la nueva configuracin. Desde el cuadro Lista de comandos, seleccione Analizar y despus haga clic en Iniciar para volver a analizar los equipos. Es posible supervisar el estado del comando Analizar desde la ficha Estado del comando.
Reiniciar los equipos que necesitan un reinicio para finalizar la reparacin

Los equipos pueden seguir en riesgo o infectados porque necesitan ser reiniciados para finalizar la reparacin de un virus o de un riesgo de seguridad.
256
Para reiniciar los equipos a fin de finalizar la reparacin
En el registro de riesgos, marque la columna Debe reiniciar. Puede ser que un riesgo se haya eliminado parcialmente de algunos equipos, pero los equipos an necesitan un reinicio para finalizar la reparacin.
2 3
Seleccione de la lista los equipos que necesitan un reinicio. En el cuadro Lista de comandos, seleccione Reiniciar equipos y luego haga clic en Iniciar. Es posible supervisar el estado del comando Reiniciar equipos desde la ficha Estado del comando.
Actualizar definiciones y volver a analizar

Algunos equipos pueden an estar en peligro porque sus definiciones estn desactualizadas. Para actualizar definiciones y volver a analizar
Para los equipos que quedan en la vista, marque la columna Fecha de las definiciones. Si algunos equipos tienen definiciones de virus que estn desactualizadas, seleccione esos equipos. En el cuadro Lista de comandos, seleccione Actualizar contenido y anlisis, y despus haga clic en Iniciar. Es posible supervisar el estado del comando Actualizar contenido y anlisis desde la ficha Estado del comando.
Haga clic en Inicio y mire los nmeros de las filas An infectado y Recientemente infectado del Resumen de acciones. Si las cantidades son ceros, se han eliminado los riesgos. Si las cantidades no son ceros, es necesario investigar los riesgos que permanecen.
Acerca de investigar y limpiar los riesgos restantes

Si algunos riesgos permanecen, es posible que deba investigarlos an ms. Desde el cuadro de dilogo de anlisis de resultados, es posible hacer clic en el vnculo a Symantec Security Response para el riesgo detectado. Los resultados del anlisis adems le dicen qu procesos, archivos o claves de registro estn implicados en la deteccin de riesgos. Es posible crear una poltica personalizada de control de aplicaciones para bloquear una aplicacin nociva. Es posible que sea necesario desconectar el equipo de la red y eliminar los archivos y las claves del registro, y detener procesos manualmente.
Usar Supervisin e Informes para asegurar la red Encontrar los clientes desconectados
257
Eliminar los eventos sospechosos

Un riesgo de seguridad sospechoso indica que un anlisis de amenazas proactivo TruScan ha detectado algo que debe investigar. Puede o no ser inofensivo. Si determina que este riesgo es inofensivo, podr utilizar la poltica de excepciones centralizada para excluirlo de detecciones en el futuro. Si los anlisis de amenazas proactivos no pueden reparar un riesgo o si usted los ha configurado para ignorar un riesgo, es posible que sea necesario eliminar esos riesgos. Si configur los anlisis de amenazas proactivos TruScan y se investiga y determina que un riesgo es daino, es posible repararlo con la poltica de excepciones centralizada. Configure la poltica de excepciones centralizada para terminar o para poner en cuarentena el riesgo en vez de registrarlo. Si Symantec Endpoint Protection detect este riesgo usando la configuracin predeterminada del anlisis de amenazas proactivo TruScan, entonces Symantec Endpoint Protection no puede reparar este riesgo. Si determina que este riesgo es daino, deber quitar el riesgo manualmente. Despus de haber eliminado el riesgo, es posible eliminar la entrada del registro de riesgos.
Encontrar los clientes desconectados

Es posible comprobar qu equipos estn desconectados en su red de varias maneras. Por ejemplo, es posible realizar los anlisis siguientes:
Ejecute el informe rpido de estado del equipo Equipos no registrados en el servidor para ver el estado de conexin. Configure y ejecute una versin personalizada de este informe para ver los equipos en un grupo o sitio determinado. Vea el registro de estado del equipo, que contiene la direccin IP del equipo y la hora del ltimo registro.
Un cliente puede estar desconectado por varios motivos. Es posible identificar los equipos que estn desconectados y reparar estos problemas de varias maneras. Si Symantec Network Access Control est instalado, es posible utilizar las opciones de filtro de cumplimiento para personalizar el informe rpido Equipos no registrados en el servidor. Es posible entonces utilizar este informe para ver los motivos especficos por los que los equipos no estn conectados. Es posible entonces eliminar los problemas que se ven. Entre los motivos de cumplimiento que es posible filtrar estn los siguientes:

La versin del antivirus del equipo est desactualizada. El software antivirus del equipo no est ejecutndose.
258
Usar Supervisin e Informes para asegurar la red Encontrar los clientes desconectados
Un script fall. La ubicacin del equipo se ha modificado.
Para encontrar los clientes desconectados
1 2 3 4 5
En la consola, haga clic en Supervisin. En la ficha Registros, del cuadro de lista Tipo de registro, haga clic en Estado del equipo. Haga clic en Opciones avanzadas. En el cuadro de lista Estado de conexin, haga clic en Desconectado. Haga clic en Ver registro. De forma predeterminada, aparece una lista de los equipos que han estado desconectados durante las ltimas 24 horas. La lista incluye el nombre de cada equipo, la direccin IP y la ltima vez que se registr con su servidor. Es posible ajustar el intervalo de tiempo para visualizar los equipos desconectados para cualquier intervalo que desee ver.
Seccin
Tareas administrativas avanzadas
Administrar un sitio y varios sitios de la compaa Administrar servidores Administrar servidores de directorio Administrar servidores de correo electrnico Administrar servidores proxy Administrar servidores RSA Administrar certificados de servidor Administrar bases de datos Replicar datos Administrar Proteccin contra intervenciones
260
Captulo
13
Administrar un sitio y varios sitios de la compaa


Acerca de la administracin de sitios Lo que puede hacer en un sitio Lo que no puede hacer en un sitio Acerca de la replicacin de sitios a travs de diferentes sitios de la compaa Acerca de los mdulos de Enforcer opcionales en un sitio Acerca de los sitios remotos Editar propiedades del sitio Hacer una copia de respaldo de un sitio Eliminar sitios remotos
Acerca de la administracin de sitios

Symantec organiza instalaciones de componentes en sitios. Un sitio abarca uno o varios Symantec Endpoint Protection Managers y una base de datos (MS SQL o integrada). Incluye opcionalmente uno o ms mdulos de Enforcer que se ubican juntos en la misma ubicacin del negocio. Las empresas grandes instalan generalmente muchos sitios. El nmero de sitios que sea necesario se puede relacionar con la compaa que tiene varias ubicaciones fsicas, divisiones separadas y reas en varias subredes. Por lo general, la administracin corporativa y los departamentos de TI son responsables de determinar el nmero y la ubicacin de estos sitios.
262
Administrar un sitio y varios sitios de la compaa Lo que puede hacer en un sitio
El sitio local es la consola de Symantec Endpoint Protection Manager en la que ha iniciado sesin. Este sitio se puede ubicar en otra ciudad. Sin embargo, esto no significa necesariamente que el sitio es fsicamente local. Los sitios remotos son los sitios conectados al sitio local como asociados de replicacin. La administracin de seguridad centralizada es posible desde cualquier consola de Symantec Endpoint Protection Manager donde puede administrar sitios locales y sitios remotos.
Lo que puede hacer en un sitio

Desde un sitio determinado, puede realizar las siguientes tareas en todos los sitios (local y remoto):
Modificar una descripcin del sitio. Ver "Editar propiedades del sitio" en la pgina 264. Configurar la consola de Symantec Endpoint Protection Manager para finalizar una sesin despus de un cierto perodo. Ver "Editar propiedades del sitio" en la pgina 264. Borrar los clientes que no se han conectado durante algn tiempo. Ver "Editar propiedades del sitio" en la pgina 264. Configurar los umbrales del registro. Programar informes diarios y semanales. Configurar el registro externo para filtrar y enviar registros a un archivo o a un servidor Syslog. Modificar un nombre de base de datos y una descripcin Ver "Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager" en la pgina 315.
Desde un sitio determinado, puede realizar las siguientes tareas slo para un sitio local:
Hacer una copia de respaldo del sitio local inmediatamente. Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL" en la pgina 306. Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager" en la pgina 312. Modificar la programacin de las copias de respaldo. Ver "Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager" en la pgina 312.
Administrar un sitio y varios sitios de la compaa Lo que no puede hacer en un sitio
263
Eliminar un servidor seleccionado (solamente si tiene varios Symantec Endpoint Protection Manager conectados a una sola base de datos de Microsoft SQL). Agregar una conexin a un asociado de replicacin en el mismo sitio Ver "Agregar asociados de replicacin y programacin" en la pgina 336. Actualizar el certificado del servidor. Ver "Acerca de los tipos de certificado de servidor" en la pgina 295. Hacer consultas a la base de datos para obtener informacin.
Estas listas no son completas. Se proporcionan para darle una idea de los tipos de tareas que se puedan realizar de forma local o remota.
Lo que no puede hacer en un sitio

En un sitio remoto no se pueden realizar ciertas tareas. Si desea instalar un nuevo sitio, debe ir a un equipo especfico en el que instal Symantec Endpoint Protection Manager o un mdulo de Enforcer. Sin embargo, se puede registrar remotamente en un sitio para realizar otras tareas que se puedan realizar solamente en la consola de Symantec Endpoint Protection Manager de un sitio local. Ver "Iniciar sesin en Symantec Endpoint Protection Manager" en la pgina 43.
Acerca de la replicacin de sitios a travs de diferentes sitios de la compaa

Una vez que se realiz la instalacin del primer sitio de una compaa, puede instalar sitios adicionales como asociados de replicacin. Puede agregar asociados de replicacin cuando instale los segundos sitios y los subsecuentes. Para obtener ms informacin acerca de la configuracin del primer sitio durante la instalacin inicial, consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control.
Acerca de los mdulos de Enforcer opcionales en un sitio

Si desea una aplicacin adicional en su sitio, puede instalar Gateway, LAN y DHCP Enforcer.
264
Administrar un sitio y varios sitios de la compaa Acerca de los sitios remotos
Si desea agregar mdulos de Enforcer en un sitio existente, consulte la Gua de implementacin del dispositivo Symantec Network Access Control Enforcer.
Acerca de los sitios remotos

Puede ver otros sitios desde la ficha Servidores. Si est conectado a otra consola de Symantec Endpoint Protection Manager, puede editar las propiedades del servidor del sitio remoto. En los sitios remotos, puede realizar las siguientes tareas:

Eliminar un sitio remoto y sus asociados de replicacin. Modificar la descripcin del servidor remoto. Modificar el acceso a la consola de Symantec Endpoint Protection Manager del sitio remoto. Configurar un servidor de correo electrnico para un sitio remoto. Programar la sincronizacin del servidor del directorio para un sitio remoto. Configurar una conexin del servidor del sitio remoto a un servidor proxy. Configurar el registro externo para enviar registros a un archivo o a un servidor Syslog.
Editar propiedades del sitio

Las propiedades del sitio incluyen lo siguiente:

Nombre y descripcin del sitio Especificar el perodo en que la consola supera el tiempo de espera Independientemente de eliminar los clientes que no se han conectado despus de un cierto perodo de tiempo Si se activ o no el aprendizaje de aplicaciones para el sitio Tamaos mximos de registro que se mantienen en el sitio Programacin de informes
Puede editar propiedades del sitio local o remoto desde la consola. Para editar las propiedades del sitio
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores.
Administrar un sitio y varios sitios de la compaa Editar propiedades del sitio
265
3 4 5 6
En la pgina Administrador, bajo Ver, expanda Sitio local (nombre del sitio) o expanda Sitios remotos. Seleccione el sitio cuyas propiedades desea editar. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del sitio de la ficha General, edite la descripcin del sitio en el cuadro Descripcin. Puede utilizar hasta 1024 caracteres.
En el cuadro de dilogo Propiedades del sitio de la ficha General, seleccione un valor, de 5 minutos a Nunca, de la lista Tiempo de espera de la consola. La configuracin predeterminada es una (1) hora. Cuando se alcanza el perodo de Tiempo de espera de la consola, se cerrar la sesin del administrador.
En el cuadro de dilogo Propiedades del sitio de la ficha General, active Eliminar clientes que no se conectaron durante x das. Puede eliminar a los usuarios que no se han conectado durante un determinado nmero de das (de 1 a 99999). La configuracin predeterminada se habilita por un perodo de treinta (30) das.
En el cuadro de dilogo Propiedades del sitio de la ficha General, marque Realizar un seguimiento de cada aplicacin que ejecutan los clientes. Las aplicaciones aprendidas ayudan a que los administradores realicen un seguimiento del acceso a la red y el uso de las aplicaciones de un cliente registrando todas las aplicaciones que se inicien en cada cliente. Es posible habilitar o deshabilitar el aprendizaje de las aplicaciones para un sitio especfico. Si esta opcin no se habilita, el seguimiento de aplicaciones no se realiza para ese sitio. El seguimiento de aplicaciones tampoco se realiza si est habilitado para los clientes que se conectan al sitio sealado. Esta opcin funciona como un conmutador principal.
10 En el cuadro de dilogo Propiedades del sitio en la ficha General, seleccione

un servidor de informes en la lista Seleccione un servidor para enviar notificaciones y ejecutar informes programados. Esta opcin slo es importante si utiliza una base de datos de Microsoft SQL que se conecte a varias bases de datos.
266
Administrar un sitio y varios sitios de la compaa Hacer una copia de respaldo de un sitio
Hacer una copia de respaldo de un sitio

Cuando se hace una copia de respaldo de la informacin de un sitio, se realiza la misma tarea que cuando se hace una copia de respaldo de una base de datos para un sitio. Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL" en la pgina 306. Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager" en la pgina 312. Para hacer una copia de respaldo de un sitio
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, haga clic en Host local. En la pgina Administrador, bajo Tareas, haga clic en Editar configuracin de la copia de respaldo. En el cuadro de dilogo Hacer copia de respaldo del sitio local: Nombre del sitio local, seleccione el nombre del servidor de respaldo de la lista Servidor de copia de respaldo. De forma predeterminada, el nombre de la ruta es Program Files\Symantec\ Symantec Endpoint Protection Manager\data\backup. Sin embargo, puede modificar el nombre de la ruta de la copia de respaldo con una de las utilidades de respaldo disponibles.
Seleccione el nmero de copias de respaldo que se desee conservar de la lista Nmero de copias de respaldo que desea conservar. Es posible seleccionar hasta 10 copias de respaldo para conservar antes de que una copia de respaldo se elimine automticamente.
Eliminar sitios remotos

Cuando se quita un servidor en un sitio remoto de una compaa, se necesita eliminarlo manualmente de todas las consolas de Symantec Endpoint Protection Manager. Los servidores se enumeran bajo Sitios remotos. Desinstalar el software a partir de una consola de Symantec Endpoint Protection Manager no hace que el icono desaparezca del panel Servidores en otras consolas de Symantec Endpoint Protection Manager.
Administrar un sitio y varios sitios de la compaa Eliminar sitios remotos
267
Para eliminar sitios remotos
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, haga clic en Sitios remotos. En la pgina Administrador, bajo Ver, expanda Sitios remotos y seleccione el sitio que desea eliminar. Haga clic en Eliminar sitio remoto. En el cuadro de dilogo Eliminar sitio remoto, el sistema le solicitar que confirme la cancelacin del sitio remoto:
Al eliminar el sitio remoto, se quitan todos los asociados de replicacin en los que este sitio participa. Est seguro de que desea eliminar este sitio?
Haga clic en S para eliminar el sitio remoto. Puede volver a agregar un sitio remoto que fue eliminado al agregar un asociado de replicacin.
268
Administrar un sitio y varios sitios de la compaa Eliminar sitios remotos
Captulo
14
Administrar servidores

Acerca de la administracin de servidores Acerca de las contraseas de servidores y de otros fabricantes Iniciar y detener el servicio de Symantec Endpoint Protection Manager Conceder o negar acceso a consolas de Symantec Endpoint Protection Manager remotas Eliminar servidores seleccionados Exportar e importar opciones del servidor
Acerca de la administracin de servidores

Es posible administrar centralmente todos los tipos de servidores desde la pgina Administrador en la consola de Symantec Endpoint Protection Manager. La pgina Administrador, bajo Ver servidores, enumera los grupos siguientes:
Sitio local La consola de Symantec Endpoint Protection Manager del sitio local, bases de datos, asociados de replicacin, tales como otras instancias de la consola de Symantec Endpoint Protection Manager cuyas bases de datos se replican, y mdulos de Enforcer opcionales Sitios remotos La consola de Symantec Endpoint Protection Manager de cualquier sitio remoto, bases de datos, asociados de replicacin, tales como otras instancias de Symantec Endpoint Protection Manager cuyas bases de datos se replican, y mdulos de Enforcer opcionales
270
Administrar servidores Acerca de las contraseas de servidores y de otros fabricantes
Acerca de las contraseas de servidores y de otros fabricantes

Todos los servidores para los cuales es posible establecer una conexin requieren que configure contraseas de otros fabricantes en Symantec Endpoint Protection Manager. Las contraseas de otros fabricantes se guardan automticamente en la base de datos que usted cre cuando instal inicialmente Symantec Endpoint Protection Manager. Tpicamente se le solicita que proporcione la contrasea de otro fabricante durante la configuracin de los siguientes tipos de servidores:

Servidores de correo electrnico Servidores de directorios Servidores RSA Servidores proxy
Iniciar y detener el servicio de Symantec Endpoint Protection Manager

Cuando se instala Symantec Endpoint Protection Manager, el ltimo paso del asistente de configuracin del servidor incluye una casilla de verificacin de la consola de Symantec Endpoint Protection Manager (seleccionada de forma predeterminada). Si deja la casilla seleccionada, la consola de Symantec Endpoint Protection Manager se inicia automticamente. Symantec Endpoint Protection Manager se ejecuta como servicio automtico. Si no se inici automticamente, es posible iniciarlo (y detenerlo ms tarde) usando Servicios desde las herramientas administrativas del men Inicio. Desde una lnea de comandos, es posible iniciar y detener el servicio de Symantec Endpoint Protection Manager de la siguiente forma:
net start Symantec Endpoint Protection Manager consolesemsrv
y
net stop semsrv
Es posible adems reiniciar la consola de Symantec Endpoint Protection Manager para iniciar el servicio automticamente.
Administrar servidores Conceder o negar acceso a consolas de Symantec Endpoint Protection Manager remotas
271
Nota: Si detiene el servicio de Symantec Endpoint Protection Manager, los clientes no pueden conectarse ms a l. Si los clientes deben comunicarse con Symantec Endpoint Protection Manager para conectarse a la red, se les niega el acceso hasta que se reinicie el servicio de Symantec Endpoint Protection Manager. Por ejemplo, un cliente debe comunicarse con Symantec Endpoint Protection Manager para aprobar una comprobacin de integridad del host.
Conceder o negar acceso a consolas de Symantec Endpoint Protection Manager remotas

Es posible asegurar la consola de Symantec Endpoint Protection Manager principal concediendo o negando el acceso a los equipos en los cuales se instala una consola de Symantec Endpoint Protection Manager remota. De forma predeterminada, a todas las consolas se les permite el acceso. Los administradores pueden iniciar sesin en la consola de Symantec Endpoint Protection Manager principal localmente o remotamente desde cualquier equipo en la red. Adems de conceder o de negar el acceso globalmente, es posible especificar excepciones por la direccin IP. La lista de excepciones niega automticamente el acceso si ha elegido conceder acceso a todas las consolas remotas. Inversamente, si se niega el acceso a todas las consolas remotas, se concede automticamente el acceso a todas las excepciones. Cuando se crea una excepcin, el equipo que usted especific debe tener una direccin IP esttica. Es posible adems crear una excepcin para un grupo de equipos especificando una mscara de subred. Por ejemplo, es posible permitir el acceso en todas las reas que se administran. Sin embargo, es posible negar el acceso a una consola de Symantec Endpoint Protection Manager que se encuentre en un rea pblica. Para conceder o negar acceso a una consola de Symantec Endpoint Protection Manager remota
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, seleccione al servidor cuyo permiso de acceso a la consola se desea modificar. Bajo Tareas, haga clic en Editar propiedades del servidor. En la ficha General, haga clic en Acceso concedido o Acceso denegado.
272
Administrar servidores Eliminar servidores seleccionados
Si desea especificar las direcciones IP de los equipos que estn exentos de los permisos de acceso de la consola, haga clic en Agregar. Los equipos que se agregan se convierten en excepciones a las cuales se concede acceso. Se niega el acceso a estos equipos. Si selecciona Acceso denegado, los equipos que se especifican se convierten en los nicos a los que se permite el acceso. Cree una excepcin para un solo equipo o un grupo de equipos.
En el cuadro de dilogo Denegar acceso a la consola, haga clic en una de las siguientes opciones:
Equipo individual Para un equipo, escriba la direccin IP. Grupo de equipos Para varios equipos, escriba la direccin IP y la mscara de subred para el grupo.
Haga clic en Aceptar. Los equipos ahora aparecen en la lista de excepciones. Para cada direccin IP y mscara, aparece el estado de los permisos. Si modifica Acceso concedido por Acceso denegado, o viceversa, todas las excepciones se modifican tambin. Si ha creado excepciones para negar el acceso, ahora tienen acceso.
Haga clic en Editar todo para modificar las direcciones IP o los nombres de host de los equipos que aparecen en la lista de excepciones. El editor de direcciones IP aparece. El editor de direcciones IP es un programa de edicin de texto que permite editar direcciones IP y mscaras de subred.
10 Haga clic en Aceptar. 11 Cuando finaliza de agregar excepciones a la lista o de editar la lista, haga clic
en Aceptar.
Eliminar servidores seleccionados

Pudo haber desinstalado varias instalaciones de Symantec Endpoint Protection Manager. Sin embargo, puede ser que an se visualicen en la consola de Symantec Endpoint Protection Manager. En esta situacin, es necesario eliminar las conexiones. La incidencia ms comn de esta situacin es cuando utiliza una base de datos de Microsoft SQL con varias instancias de Symantec Endpoint Protection Manager conectadas a l. Si se desinstala un mdulo de Symantec Endpoint Protection
Administrar servidores Exportar e importar opciones del servidor
273
Manager, an aparece en las otras consolas de Symantec Endpoint Protection Manager. Es necesario eliminar manualmente los servidores que ya no se conectan. Para eliminar servidores seleccionados
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, expanda Sitio local (Sitio <nombredesitio>) para seleccionar la instancia de Symantec Endpoint Protection Manager que quiera eliminar. Recuerde que es necesario detener el servicio de Symantec Endpoint Protection Manager antes de que pueda eliminarlo. Ver "Iniciar y detener el servicio de Symantec Endpoint Protection Manager" en la pgina 270.
4 5
Haga clic en Eliminar el servidor seleccionado. Haga clic en S para eliminar el servidor seleccionado.
Exportar e importar opciones del servidor

Puede ser necesario exportar o importar opciones para Symantec Endpoint Protection Manager. Las opciones se exportan a un archivo en formato .xml. Para exportar opciones del servidor
1 2 3 4 5
Haga clic en la ficha Servidores. En el rbol, expanda Sitio local (Sitio nombredelsitio) y despus seleccione el servidor de administracin que desea exportar. Haga clic en Exportar propiedades del servidor. Seleccione una ubicacin en la cual guardar el archivo y especifique un nombre de archivo. Haga clic en Exportar.
Para importar opciones del servidor
1 2 3
Haga clic en la ficha Servidores. En el rbol, expanda Sitio local (Sitio nombredelsitio) y despus seleccione el servidor de administracin para el que desea importar la configuracin. Haga clic en Importar propiedades del servidor.
274
Administrar servidores Exportar e importar opciones del servidor
4 5
Seleccione el archivo que desea importar y despus haga clic en Importar. Haga clic en S para confirmar la importacin.
Captulo
15
Administrar servidores de directorio


Acerca de la administracin de servidores de directorios Agregar servidores de directorios Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager Importar informacin sobre usuarios desde un servidor de directorios LDAP Buscar usuarios en un servidor de directorios LDAP Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP Acerca de las unidades organizativas y el servidor LDAP
Acerca de la administracin de servidores de directorios

Es necesario configurar Symantec Endpoint Protection Manager para comunicarse con cualquier servidor de directorios. Es necesario establecer una conexin entre los servidores de directorios y Symantec Endpoint Protection Manager. Si no establece una conexin, no es posible importar usuarios desde Active Directory o servidores de directorios LDAP, ni sincronizarlo con ellos.
276
Administrar servidores de directorio Agregar servidores de directorios
Agregar servidores de directorios

Con los servidores de Active Directory, no es posible filtrar los usuarios. Con los servidores LDAP, es posible filtrar los usuarios antes de importar datos. Por lo tanto, es posible agregar un servidor de Active Directory compatible con LDAP como servidor LDAP si es necesario filtrar los datos. Despus de que usted termine de agregar un servidor de directorios, puede configurar la sincronizacin. Ver "Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager" en la pgina 277. Para agregar servidores de directorios
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, seleccione la instancia de Symantec Endpoint Protection Manager a la cual desee agregar un servidor de directorios. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor para nombre del sitio, en la ficha Servidores de directorios, haga clic en Agregar. En el cuadro de dilogo Agregar servidor de directorios, escriba el nombre para el servidor de directorios que desee agregar en el campo Nombre. En el cuadro de dilogo Agregar servidor de directorios, marque Active Directory o LDAP como Tipo de servidor. En el cuadro de dilogo Agregar servidor de directorios, escriba la direccin IP, el nombre de host o el nombre de dominio en el cuadro Direccin IP del servidor o nombre. Es necesario escribir la direccin IP, el nombre de host o el nombre de dominio del servidor de directorios que desee agregar.
4 5 6 7 8
Si agrega un servidor LDAP, escriba el nmero de puerto del servidor LDAP en el cuadro Puerto LDAP. No es posible modificar los valores si se agrega un servidor de Active Directory. La configuracin de puerto predeterminado es 389.
10 Si agrega un servidor LDAP, escriba LDAP BaseDN en el cuadro BaseDN LDAP.
Administrar servidores de directorio Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager
277
11 Escriba el nombre de usuario de la cuenta autorizada del servidor de

directorios en el cuadro Nombre de usuario.
12 Escriba la contrasea para la cuenta del servidor de directorios en el cuadro

Contrasea.
13 Si desea conectarse con el servidor de directorios usando Secure Sockets

Layer (SSL), marque Usar conexin segura. Si no activa esta opcin, se utiliza una conexin sin cifrar normal.
Sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager
Es posible configurar servidores de directorios para importar y sincronizar usuarios con Symantec Endpoint Protection Manager. Es necesario haber agregado los servidores de directorios antes de sincronizar la informacin sobre los usuarios. Para sincronizar cuentas de usuario entre servidores de directorios y Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver, seleccione la instancia de Symantec Endpoint Protection Manager a la cual desee agregar un servidor de directorios. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidores de directorios. Active Sincronizar con servidores de directorios si no est marcada. sta es la opcin predeterminada.
4 5 6
Para configurar la programacin para cuantas veces desea sincronizar al servidor de administracin con el servidor del directorio, realice una de las siguientes acciones:
Para sincronizar automticamente cada 24 horas, haga clic en Programacin automtica.
278
Administrar servidores de directorio Importar informacin sobre usuarios desde un servidor de directorios LDAP
La configuracin predeterminada se programa para sincronizar cada 86 400 segundos. Tambin puede personalizar el intervalo al editar el archivo tomcat\etc\conf.properties.
Para especificar la frecuencia de sincronizacin deseada, haga clic en Sincronizar cada y especifique el nmero de horas.
Importar informacin sobre usuarios desde un servidor de directorios LDAP

Los administradores pueden importar informacin sobre cuentas de usuario y del equipo desde un servidor de directorios LDAP usando el protocolo LDAP. Si planea importar informacin sobre usuarios y cuentas, debe primero establecer una conexin entre Symantec Endpoint Protection Manager y un servidor de directorios. Ver "Agregar servidores de directorios" en la pgina 276. Es posible despus buscar e importar informacin sobre usuarios y cuentas realizando las siguientes tareas:
Buscar usuarios en el servidor LDAP. Ver "Buscar usuarios en un servidor de directorios LDAP" en la pgina 278. Importar la informacin sobre las cuentas de usuario. Ver "Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP" en la pgina 281.
Buscar usuarios en un servidor de directorios LDAP

Es necesario buscar usuarios en un servidor LDAP cuando se importa informacin sobre usuarios al servidor de administracin. Para buscar usuarios en un servidor de directorios LDAP
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, seleccione el grupo al cual desee importar usuarios. En la pgina Clientes, bajo Tareas, haga clic en Importar usuarios de Active Directory o LDAP. En el cuadro de dilogo Importar usuarios de Active Directory o LDAP, escriba la direccin IP o el nombre de host en el cuadro Servidor.
Administrar servidores de directorio Buscar usuarios en un servidor de directorios LDAP
279
En el cuadro de dilogo Importar usuarios de Active Directory o LDAP, escriba el nmero de puerto del servidor LDAP o el servidor de Active Directory en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 389.
Si desea conectarse con el servidor de directorios usando Secure Sockets Layer (SSL), haga clic en Usar conexin segura. Si no activa esta opcin, se utiliza una conexin sin cifrar.
280
Administrar servidores de directorio Buscar usuarios en un servidor de directorios LDAP
Enumere los usuarios haciendo clic en Enumerar usuarios. Es posible adems escribir una consulta LDAP para localizar los nombres de los usuarios que desee importar en el cuadro Base de bsqueda LDAP. Es posible especificar opciones de bsqueda, tales como pares de atributo y valor. Los atributos deben estar separados por comas.
CN DC L ST O OU C STREET NombreComn ComponenteDominio NombreLocalidad NombreEstadoOProvincia NombreOrganizacin NombreUnidadOrganizativa NombrePas DireccinCalle
No todos los servidores LDAP admiten todas las opciones. Por ejemplo, Microsoft Active Directory no admite O. El orden en el cual se especifican los pares de atributos y valores es importante, ya que indica la ubicacin de la entrada en la jerarqua de directorios LDAP. Si durante la instalacin de un servidor de directorios, usted especific un nombre de dominio de tipo DNS tal como itsupport.sygate.com, es posible consultar un servidor de directorios, pues itsupport es un nombre de dominio NetBIOS NT tpico. Para realizar una consulta en ese servidor de Active Directory, especifique la base de la bsqueda LDAP en este orden:
CN=Usuarios, DC=itsupport, DC=sygate, DC=com
Es posible utilizar caracteres comodn o expresiones regulares en la base de bsqueda. Por ejemplo:
CN=a*, CN=Usuarios, DC=itsupport, DC=sygate, DC=com
Esta consulta devuelve todos los nombres de usuario que se inician con la letra a. Otro ejemplo representa las organizaciones en las cuales es posible realizar una bsqueda de directorio estructural, tal como:
Administrar servidores de directorio Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
281
miempresa.com -> ingeniera.miempresa.com o ventas.miempresa.com
Es posible especificar cualquier opcin aplicable donde se desee iniciar la bsqueda en el directorio LDAP.
o=miempresa.com u o=ingeniera.miempresa.com
Es posible especificar una comparacin lgica usando > o < en una cadena de bsqueda LDAP. Una consulta LDAP que proporciona ms de 1000 resultados puede fallar. Asegrese de configurar la base de bsqueda de forma que se informen menos de 1000 usuarios.
8 9
Escriba el nombre de la cuenta de usuario LDAP en el cuadro Cuentas autorizadas. Escriba la contrasea de la cuenta de usuario LDAP en el cuadro Contrasea. servidor LDAP. Si se marca Mostrar slo usuarios que no se hayan agregado a ningn grupo, slo aparecen los usuarios que no se han agregado.
10 Haga clic en Enumerar usuarios para visualizar una lista de usuarios en el
Importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
Es posible tambin importar usuarios desde una lista de resultados de bsqueda de un servidor LDAP. Para importar usuarios desde una lista de resultados de bsqueda de un servidor de directorios LDAP
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En el rbol de Lista de grupos, seleccione el grupo al que desee agregar usuarios desde el servidor LDAP. Haga clic en Agregar todo si desea agregar todos los usuarios o seleccione usuarios especficos de la lista, y despus haga clic en Agregar.
Haga clic en el nombre del campo segn el cual se clasificar. Es posible clasificar los resultados de la bsqueda por campo en orden ascendente o descendente.
282
Administrar servidores de directorio Acerca de las unidades organizativas y el servidor LDAP
Seleccione uno o ms usuarios desde el rea de Lista de usuarios de LDAP. Es posible utilizar las teclas de seleccin estndar de Windows como Ctrl para seleccionar usuarios no continuos.
5 6 7
Haga clic en Agregar de modo que los nombres de nuevos usuarios aparezcan en el rbol del grupo. Repita este proceso para agregar usuarios a otros grupos, como sea necesario, hasta que haya agregado todos los nuevos usuarios a los grupos apropiados. Haga clic en Cerrar.
Acerca de las unidades organizativas y el servidor LDAP

Symantec Endpoint Protection Manager puede sincronizar automticamente usuarios, equipos y la estructura de grupos entera en una unidad organizativa (OU) desde un servidor de Active Directory o LDAP. Cuando se importan, es posible asignar polticas a los grupos que se crean. Las unidades organizativas importadas no se pueden modificar en la consola de Symantec Endpoint Protection Manager. Si necesita agregarlas, eliminarlas o modificarlas de cualquier manera, es necesario realizar estas tareas en el servidor LDAP. Symantec Endpoint Protection Manager permanece automticamente sincronizado con la estructura que se implementa en el servidor de directorios si se habilita la sincronizacin. Es posible adems crear grupos en Symantec Endpoint Protection Manager y copiar usuarios en l desde las OU. El mismo usuario puede existir en el grupo en el servidor de administracin y una OU. En esta situacin, la prioridad del grupo es mayor que la prioridad de la OU. Por lo tanto, la poltica del grupo se aplica al usuario o al equipo.
Importacin de unidades organizativas desde un servidor de directorios activo o LDAP

Si desea importar una unidad organizativa o un contenedor, es necesario haber conectado Symantec Endpoint Protection Manager a un servidor LDAP. Ver "Agregar servidores de directorios" en la pgina 276. No es posible filtrar resultados desde el cuadro de dilogo Importar unidades organizativas. Si es necesario filtrar usuarios, debe hacerlo cuando se agrega el servidor LDAP a Symantec Endpoint Protection Manager. Los servidores de Active Directory no se pueden filtrar en cualquier lugar.
283
Este proceso puede tardar bastante tiempo, dependiendo del nmero de usuarios. Una unidad organizativa no se puede poner en ms de un rbol de grupos. Para importar una unidad organizativa desde un servidor LDAP
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver, seleccione el grupo al cual desee agregar la unidad organizativa o el contenedor. En la pgina Clientes, bajo Tareas, haga clic en Importar unidad organizativa o contenedor. Elija el dominio. Seleccione la unidad organizativa. Haga clic en Aceptar.
Sincronizacin de unidades organizativas

La integracin y la sincronizacin con los servidores LDAP y Active Directory es una funcin opcional de Symantec Endpoint Protection Manager. Es posible importar unidades organizativas desde otros servidores y configurar la sincronizacin automtica de las unidades importadas con los otros servidores. Cualquier cambio que usted realice en el servidor LDAP no aparece inmediatamente en la unidad organizativa que fue importada en Symantec Endpoint Protection Manager. El perodo de latencia depende de la frecuencia de sincronizacin. Es posible configurar la frecuencia de sincronizacin editando propiedades del servidor en Symantec Endpoint Protection Manager. El nombre del usuario an aparece en el grupo en Symantec Endpoint Protection Manager, incluso si se haban realizado las siguientes tareas:

Copiar un usuario de una unidad organizativa a un grupo. Eliminar ese usuario del servidor LDAP posteriormente.
La sincronizacin ocurre solamente entre el servidor LDAP y la unidad organizativa.
284
Captulo
16
Administrar servidores de correo electrnico


Acerca de administrar servidores de correo electrnico Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo electrnico
Acerca de administrar servidores de correo electrnico

Si su red admite servidores de correo electrnico, es posible realizar las siguientes tareas despus de establecer la comunicacin entre Symantec Endpoint Protection Manager y el servidor de correo electrnico:
Configure notificaciones automticas de correo electrnico para eventos de seguridad que sern enviadas a los administradores. Configure notificaciones automticas de correo electrnico para eventos de seguridad que sern enviadas a los clientes.
Las notificaciones automticas de correo electrnico pueden ocurrir solamente si se establece una conexin entre Symantec Endpoint Protection Manager y por lo menos uno de los servidores de correo electrnico en la red. Ver "Configurar mensajes de correo electrnico para eventos de trfico" en la pgina 538.
286
Administrar servidores de correo electrnico Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo electrnico
Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo electrnico
Si desea utilizar la notificacin de correo electrnico, es necesario configurar el servidor de correo electrnico en Symantec Endpoint Protection Manager. Para establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo electrnico
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidor. En la pgina Administrador, bajo Ver servidores, seleccione la instancia de Symantec Endpoint Protection Manager para la cual desee establecer una conexin al servidor de correo electrnico. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor de correo. Escriba la direccin IP, el nombre de host o el nombre de dominio del servidor de correo electrnico en el cuadro de texto Direccin del servidor. Escriba el nombre de usuario de la cuenta en el servidor de correo electrnico en el cuadro de texto Nombre de usuario. Es necesario agregar un nombre de usuario solamente si el servidor de correo electrnico requiere autenticacin.
4 5 6 7
En el cuadro de dilogo Propiedades del servidor, escriba la contrasea de una cuenta en el servidor de correo electrnico en el cuadro de texto Contrasea. Es necesario agregar una contrasea solamente si el servidor de correo electrnico requiere autenticacin.
Captulo
17
Administrar servidores proxy


Acerca de los servidores proxy Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
Acerca de los servidores proxy

Es posible utilizar servidores proxy HTTP y servidores proxy FTP para que lo ayuden a administrar LiveUpdates. Es posible establecer conexiones entre Symantec Endpoint Protection Manager y los siguientes tipos de servidor:

Servidor proxy HTTP Servidor proxy FTP
Configurar una conexin entre un servidor proxy HTTP y Symantec Endpoint Protection Manager
Si admite un servidor proxy HTTP en la red corporativa, debe conectar el servidor proxy HTTP a Symantec Endpoint Protection Manager. Puede utilizar el servidor proxy HTTP para descargar automticamente el contenido de LiveUpdate.
288
Administrar servidores proxy Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
Para configurar un servidor proxy HTTP
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. Bajo Ver servidores, seleccione a qu Symantec Endpoint Protection Manager desea conectar un servidor proxy HTTP. Bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor proxy. Bajo Configuracin del proxy HTTP, seleccione Utilizar configuracin de proxy personalizada de la lista Utilizacin del proxy. Escriba la direccin IP del servidor proxy HTTP en el campo Direccin del servidor. Una direccin IP o un nombre de servidor vlido de hasta 256 caracteres.
Escriba el nmero de puerto del servidor proxy en el campo Puerto. Un nmero de puerto vlido va de 0 a 65535.
Active Para establecer la conexin a travs del servidor proxy se necesita autenticacin. usuario.
10 Escriba el nombre de usuario del servidor proxy en el campo Nombre de 11 Escriba la contrasea del servidor proxy al cual desee conectarse en el campo
Contrasea.
Configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
Si admite un servidor proxy FTP en la red corporativa, debe conectar el servidor proxy FTP a Symantec Endpoint Protection Manager. Puede utilizar el servidor proxy HTTP para descargar automticamente el contenido de LiveUpdate. Para configurar una conexin entre un servidor proxy FTP y Symantec Endpoint Protection Manager
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores.
289
3 4 5 6 7
Bajo Ver servidores, seleccione a qu Symantec Endpoint Protection Manager desea conectar un servidor proxy FTP. Bajo Tareas, haga clic en Editar propiedades del servidor. En el cuadro de dilogo Propiedades del servidor, haga clic en la ficha Servidor proxy. Bajo Configuracin de proxy FTP, seleccione Utilizar configuracin de proxy personalizada de la lista Utilizacin del proxy. Escriba la direccin IP del servidor proxy FTP en el campo Direccin del servidor. La direccin IP o el nombre de servidor pueden contener hasta 256 caracteres.
Escriba el nmero de puerto del servidor proxy en el campo Puerto. Un nmero de puerto vlido va de 0 a 65535.
290
Captulo
18
Administrar servidores RSA

Acerca de los requisitos previos para usar RSA SecurID con Symantec Endpoint Protection Manager Configurar Symantec Endpoint Protection Manager para utilizar la autenticacin de RSA SecurID Especificar la autenticacin SecurID para un administrador de Symantec Endpoint Protection Manager Configurar el servidor de administracin para admitir la comunicacin HTTPS
Acerca de los requisitos previos para usar RSA SecurID con Symantec Endpoint Protection Manager
Si desea autenticar a los administradores que utilizan Symantec Endpoint Protection Manager con RSA SecurID, es necesario habilitar la autenticacin cifrada ejecutando el asistente para la instalacin de RSA. Antes de ejecutar el asistente, asegrese de que:

Tiene un servidor RSA ACE instalado. El equipo en el cual usted instal Symantec Endpoint Protection Manager se registra como host vlido en el servidor RSA ACE. Cree el archivo de secreto de nodo para el mismo host. El archivo sdconf.rec en el servidor RSA ACE es accesible en la red. Se ha asignado un dispositivo de seguridad o una tarjeta SecurID sincronizada a una cuenta de Symantec Endpoint Protection Manager. El nombre de inicio de sesin debe estar activado en el servidor RSA ACE.
292
Administrar servidores RSA Configurar Symantec Endpoint Protection Manager para utilizar la autenticacin de RSA SecurID
El administrador tiene el PIN RSA o la contrasea disponible.
Symantec admite los siguientes tipos de inicios de sesin de RSA:

Token RSA SecurID (no tokens de software RSA) Tarjeta RSA SecurID Tarjeta de teclado numrico RSA (no tarjetas inteligentes RSA)
Para iniciar sesin en Symantec Endpoint Protection Manager con RSA SecurID, el administrador necesita un nombre de inicio de sesin, el token (hardware) y un nmero de pin.
Configurar Symantec Endpoint Protection Manager para utilizar la autenticacin de RSA SecurID
Si su red corporativa incluye un servidor RSA, es necesario instalar el software para un agente de RSA ACE en el equipo en el cual usted instal Symantec Endpoint Protection Manager y configurarlo como cliente de autenticacin de SecurID. Tambin se hace referencia a Symantec Endpoint Protection Manager como el servidor de administracin. Para configurar la autenticacin de RSA SecurID en Symantec Endpoint Protection Manager
Instale el software para el agente de RSA ACE en el mismo equipo en el cual usted instal Symantec Endpoint Protection Manager. Es posible instalar el software ejecutando el archivo .msi de Windows del CD del agente de autenticacin de RSA. Copie los archivos nodesecret.rec, sdconf.rec y agent_nsload.exe del servidor de RSA ACE al equipo en el cual usted instal Symantec Endpoint Protection Manager. En la lnea de comandos, escriba el siguiente comando:
agent_nsload -f nodesecret.rec -p contrasea para el archivo nodesecret
4 5 6
En la consola de administracin, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. En la pgina Administrador, bajo Ver servidores, seleccione la instancia de Symantec Endpoint Protection Manager a la cual desee conectar un servidor RSA. En la pgina Administrador, bajo Tareas, haga clic en Configurar autenticacin SecurID.
Administrar servidores RSA Especificar la autenticacin SecurID para un administrador de Symantec Endpoint Protection Manager
293
8 9
En el panel Asistente para configurar la autenticacin SecurID, haga clic en Siguiente. En el panel Aptitudes del panel del Asistente para configurar la autenticacin SecurID, lea los requisitos previos de modo que se puedan cumplir todos los requisitos.
10 Haga clic en Siguiente. 11 En el panel Cargar archivo RSA del panel del Asistente para configurar la
autenticacin SecurID, busque la carpeta en la cual el archivo sdconf.rec reside. Es posible adems escribir el nombre de ruta.
12 Haga clic en Siguiente. 13 Haga clic en Prueba para probar su configuracin. 14 En el cuadro de dilogo Configuracin de prueba, escriba el nombre de usuario
y la contrasea para su SecurID y despus haga clic en Prueba. Ahora autentica correctamente.
Especificar la autenticacin SecurID para un administrador de Symantec Endpoint Protection Manager

Es posible especificar que los administradores deben primero ser autenticados por SecurID antes de que puedan registrarse en la consola de administracin. Es posible crear un nuevo administrador o modificar la configuracin para un administrador existente. El procedimiento detallado aqu describe cmo especificar la autenticacin para un nuevo administrador. Ver "Agregar un administrador" en la pgina 85. Para crear una autenticacin SecurID para un administrador de Symantec Endpoint Protection Manager
1 2 3 4 5
En la consola de administracin, haga clic en Administrador. En la pgina Administrador, bajo Tareas, seleccione Administradores. En la pgina Administradores, bajo Tareas, seleccione Agregaradministrador. En el cuadro de dilogo Agregar administrador, escriba el nombre de un usuario que usted configur previamente para el cliente RSA ACE. Al lado de Tipo de autenticacin, haga clic en Cambiar.
294
Administrar servidores RSA Configurar el servidor de administracin para admitir la comunicacin HTTPS
6 7
En el cuadro de dilogo Autenticacin del administrador, seleccione Autenticacin de RSA SecurID y despus haga clic en Aceptar. En el cuadro de dilogo Agregar administrador, haga clic en Aceptar.
Configurar el servidor de administracin para admitir la comunicacin HTTPS

Si planea utilizar la comunicacin HTTPS y la autenticacin SSL entre los clientes, Symantec Endpoint Protection Manager y mdulos de Enforcer opcionales, es necesario agregar un certificado SSL. Es necesario agregar el certificado SSL a Internet Information Server de Microsoft (IIS). Es necesario terminar las siguientes tareas, en este orden:

Genere o compre un certificado SSL. Agregue el certificado al servidor IIS instalado en el mismo equipo que Symantec Endpoint Protection Manager. Configure el servidor de administracin para admitir la comunicacin HTTPS.
Para agregar el certificado al servidor IIS
1 2 3 4 5
Haga clic en Inicio > Programas > Herramientas administrativas > Administrador de Internet Information Services (IIS). Bajo el equipo local, seleccione Symantec Web Server bajo sitios Web. Haga clic con el botn secundario en Symantec Web Server y elija Propiedades. En la ficha Seguridad de directorios, haga clic en Certificado de servidor para iniciar el Asistente para certificados de servidor Web. Cree o importe un certificado de servidor siguiendo los pasos en el asistente. Para obtener ms informacin, vea la ayuda en pantalla de IIS.
En la ficha Sitio Web, especifique el nmero de puerto para el puerto SSL, que es 443 de forma predeterminada.
Captulo
19
Administrar certificados de servidor


Acerca de los tipos de certificado de servidor Actualizar un certificado de servidor con un asistente Hacer copia de respaldo de un certificado de servidor Localizacin de la contrasea del almacn de claves
Acerca de los tipos de certificado de servidor

Los certificados digitales son el estndar de la industria para autenticar y cifrar datos confidenciales. Si desea prevenir la lectura de informacin cuando sta pasa a travs de los routers en la red, es necesario cifrar los datos. Por lo tanto, se necesita un certificado digital que utilice el protocolo HTTPS. Como parte de este procedimiento seguro, el servidor identifica y se autentica con un certificado de servidor. Symantec utiliza el protocolo HTTPS para la comunicacin entre todos los servidores, clientes y mdulos de Enforcer opcionales en una red. Se debe adems habilitar el cifrado en el servidor de administracin de modo que el servidor identifique y se autentique con un certificado de servidor. Si no habilita esta opcin, la instalacin de un certificado digital no es eficaz. Symantec Endpoint Protection Manager admite los siguientes tipos de certificado:
Archivo de almacn de claves JKS (.jks) Una herramienta Java que se llama keytool.exe genera el archivo del almacn de claves. Symantec admite solamente el formato del estndar de claves de
296
Administrar certificados de servidor Actualizar un certificado de servidor con un asistente
Java (JKS). El formato de extensin de criptografa de Java (JCEKS) necesita una versin especfica de Java Runtime Environment (JRE). Symantec Endpoint Protection Manager admite solamente un archivo de almacn de claves JCEKS generado con la misma versin que el kit del desarrollo de Java (JDK) en Symantec Endpoint Protection Manager.
Archivo de almacn de claves PKCS12 (.pfx y .p12) El almacn de claves debe contener un certificado y una clave privada. La contrasea del almacn de claves debe ser igual que la contrasea principal. Se exporta generalmente de Internet Information Services (IIS). Archivo de claves privadas y certificado (formato DER y PEM) Symantec admite certificados y claves privadas no cifrados en los formatos DER o PEM. Los archivos de clave privada PKCS8 cifrados no se admiten.
Sera aconsejable hacer una copia de respaldo de la informacin sobre el certificado como medida de seguridad. Si se daa el servidor de administracin o se olvida la contrasea del almacn de claves, es posible extraer fcilmente la contrasea.
Actualizar un certificado de servidor con un asistente

Es posible utilizar el asistente para actualizar certificados del servidor como gua para el proceso de actualizar certificados. Para actualizar un certificado de servidor con un asistente
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. Bajo Ver servidores, haga clic en el servidor de administracin para el cual desee actualizar el certificado de servidor. Bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida del Asistente para administrar certificados del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Actualizar el certificado del servidor.
297
7 8
En el panel Administrar certificado del servidor, haga clic en Siguiente. Seleccione cualquiera de las siguientes opciones para instalar o actualizar un certificado de servidor:
Archivo de almacn de claves JKS (.jks) Ver "Actualizar un certificado JKS con un asistente" en la pgina 297. Ver "Actualizar un certificado PKCS12 con un asistente" en la pgina 298. Ver "Actualizar certificados y claves privadas sin cifrar (DER o PEM) con un asistente" en la pgina 298.
Archivo de almacn de claves PKCS12 (.pfx y .p12) Archivo de claves privadas y certificado (formato DER y PEM)
Actualizar un certificado JKS con un asistente
1 2 3 4
Realice los pasos 1 a 8, a menos que ya lo haya hecho. En el panel Actualizar certificado del servidor, haga clic en Archivo de almacn de claves JKS (.jks). Haga clic en Siguiente. En el panel Almacn de claves JKS, haga clic en Examinar para localizar el archivo de almacn de claves JKS (.jks) en el servidor de administracin, o escriba la ruta para este archivo en el campo de texto. En el cuadro de dilogo Seleccionar archivo de almacn de claves Java, haga clic en Abrir despus de que haya localizado el archivo. En el panel Almacn de claves JKS, escriba la contrasea del almacn de claves en el cuadro de texto Contrasea del almacn de claves. En el panel Almacn de claves JKS, escriba la contrasea del almacn de claves en el campo de texto Contrasea de clave por segunda vez. En el panel Almacn de claves JKS, haga clic en Siguiente. En el panel Ha finalizado el Asistente para administrar certificados del servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario cerrar la sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
5 6 7 8 9
298
Actualizar un certificado PKCS12 con un asistente
1 2 3 4
Realice los pasos 1 a 8, a menos que ya lo haya hecho. En el panel Actualizar certificado del servidor, haga clic en Archivo de almacn de claves PKCS12 (.pfx y .p12). Haga clic en Siguiente. En el panel Almacn de claves PKCS12, haga clic en Examinar para localizar el archivo de almacn de claves PKCS12 (.pfx y .p12) en el servidor de administracin, o escriba la ruta para este archivo en el campo de texto. En el cuadro de dilogo Seleccionar archivo PKCS12 , haga clic en Abrir despus de que haya localizado el archivo. En el panel Almacn de claves PKCS12, escriba la contrasea del almacn de claves en el cuadro de texto Contrasea del almacn de claves. En el panel Almacn de claves PKCS12, haga clic en Siguiente. En el panel Ha finalizado el Asistente para administrar certificados del servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario cerrar la sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
5 6 7 8
Actualizar certificados y claves privadas sin cifrar (DER o PEM) con un asistente
1 2 3 4
Realice los pasos 1 a 8, a menos que ya lo haya hecho. En el panel Actualizar certificado del servidor, haga clic en Archivo de claves privadas y certificados (formato DER y PEM). Haga clic en Siguiente. El panel Archivo de certificado, localice el certificado (formato DER y PEM) en el servidor de administracin haciendo clic en Examinar. Alternativamente, escriba la ruta para este archivo en el cuadro de texto Ruta del certificado.
El panel Archivo de certificado, haga clic en Examinar para localizar el archivo de clave privada (formato DER y PEM) en el servidor de administracin. Alternativamente, escriba la ruta para este archivo en el cuadro de texto Archivo de clave privada.
Administrar certificados de servidor Hacer copia de respaldo de un certificado de servidor
299
6 7
En el panel Archivo de certificado, haga clic en Siguiente despus de que haya localizado los archivos. En el panel Ha finalizado el Asistente para administrar certificados del servidor, haga clic en Finalizar. En el panel Ha finalizado el Asistente para administrar certificados del servidor, aparece un mensaje que indica si los certificados de servidor fueron agregados correctamente. Es necesario cerrar la sesin y reiniciar el servidor de administracin antes de que el certificado entre en vigor.
Hacer copia de respaldo de un certificado de servidor

En caso de que se dae el servidor de administracin, es necesario hacer una copia de respaldo de la clave privada as como de los archivos que representan el certificado. Para hacer una copia de respaldo de un certificado de servidor
1 2 3 4 5 6 7
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Tareas, haga clic en Servidores. Bajo Ver servidores, haga clic en el servidor de administracin cuyo certificado de servidor desea incluir en una copia de respaldo. Bajo Tareas, haga clic en Administrar certificado del servidor. En el panel de bienvenida del Asistente para administrar certificados del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Hacer copia de respaldo del certificado del servidor. En el panel Hacer copia de respaldo del certificado del servidor, escriba la ruta o vaya a la carpeta en la cual desee hacer la copia de respaldo de la clave privada. Observe que se hace una copia de respaldo del certificado del servidor de administracin en la misma carpeta. El archivo del almacn de claves JKS se incluye en una copia de respaldo durante la instalacin inicial. Un archivo que se llama servermarca de hora.xml tambin se incluye en una copia de respaldo. El archivo del almacn de claves JKS incluye el par de claves privada y pblica del servidor y el certificado autofirmado.
8 9
En el panel Hacer copia de respaldo del certificado del servidor, haga clic en Siguiente. En el panel Administrar certificado del servidor, haga clic en Finalizar.
300
Administrar certificados de servidor Localizacin de la contrasea del almacn de claves
Localizacin de la contrasea del almacn de claves

Es posible que sea necesario localizar la contrasea si se la pierde. Para localizar la contrasea del almacn de claves
1 2 3 4
Haga clic con el botn secundario en Mi PC. Seleccione Explorador para localizar la carpeta en la cual se hizo la copia de respaldo de los archivos para el certificado. Abra el archivo servermarca de hora.xml y localice la contrasea del almacn de claves. Pegue la contrasea del almacn de claves en los campos Contrasea del almacn de claves y Contrasea de clave.
Captulo
20
Administrar bases de datos


Acerca de la administracin de bases de datos Hacer una copia de respaldo de una base de datos de Microsoft SQL Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager Restaurar una base de datos Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager Volver a configurar una base de datos Acerca de administrar datos de registro
Acerca de la administracin de bases de datos

Symantec Endpoint Protection y Symantec Network Access Control admiten Microsoft SQL o una base de datos integrada. Por lo general, la base de datos integrada se utiliza para las organizaciones con 1000 o menos clientes que se conectan a la consola de Symantec Endpoint Protection Manager. Las organizaciones ms grandes generalmente utilizan Microsoft SQL Server para la base de datos. Si instala una base de datos integrada, Symantec Endpoint Protection Manager puede instalar automticamente la base de datos. Si el entorno de su empresa admite un servidor MS SQL, puede aprovechar el hardware y el software existentes. Los servidores MS SQL permiten que se admita un nmero ms grande de clientes.
302
Administrar bases de datos Acerca de la administracin de bases de datos
Una base de datos contiene informacin sobre polticas de seguridad y de aplicacin. Adems, todas las opciones de configuracin, los datos sobre ataques, los registros y los informes tambin se incluyen en la base de datos. Por lo tanto, puede supervisar brechas de seguridad en la red. La informacin de la base de datos se almacena en las tablas, tambin llamadas esquemas de base de datos. El esquema se proporciona para los administradores que pueden necesitarlo para la elaboracin de informes especializados.
Acerca de las convenciones de nomenclatura de una base de datos

Una base de datos de Microsoft SQL utiliza convenciones de nomenclatura diferentes de una base de datos integrada.
Convencin de nomenclatura para una base de datos de Microsoft SQL

Puede instalar una base de datos de Microsoft SQL en el mismo equipo que Symantec Endpoint Protection Manager o en otro. En ambos casos, la base de datos de Microsoft SQL guarda el mismo nombre que el equipo en el cual se instala el servidor de bases de datos de Microsoft SQL. Es posible instalar el servidor de administracin y la base de datos de Microsoft SQL en el mismo equipo que se llama PolicyMgrCorp. La base de datos conserva el mismo nombre que el equipo en el cual se instala. El nombre de la base de datos aparece en el rbol de la pgina Administrador bajo Ver. Adems aparece como Direccin de base de datos de la base de datos de Microsoft SQL en el panel Administracin de la base de datos.
Convencin de nomenclatura para una base de datos integrada

Si utiliza una base de datos integrada, el nombre de la base de datos siempre ser host local. El nombre, host local, aparece en la pgina Administrador bajo Ver. Adems, se incluye como Direccin de base de datos de la base de datos integrada en el panel Administracin de la base de datos.
Asistente para la configuracin del servidor de administracin y herramientas de base de datos de Symantec
Puede hacer una copia de respaldo de ciertas opciones de base de datos, como el nombre de la base de datos, programarlas y editarlas desde la consola de Symantec Endpoint Protection Manager. Sin embargo, slo puede restaurar y volver a
303
configurar bases de datos con el Asistente para la configuracin del servidor de administracin y la utilidad Symantec Database Backup and Restore. Es posible utilizar el Asistente para la configuracin del servidor de administracin para volver a configurar todo MS SQL y la configuracin de la base de datos integrada. Ver "Acerca de la reconfiguracin de una base de datos" en la pgina 304. Puede utilizar la utilidad Herramientas de base de datos de Symantec para hacer una copia de respaldo de todas las opciones de MS SQL y de la base de datos integrada, restaurarlas y volver a configurarlas. Ver "Acerca de la copia de respaldo y la restauracin de una base de datos" en la pgina 303.
Acerca de la copia de respaldo y la restauracin de una base de datos

Como el tamao de una base de datos aumenta a lo largo del tiempo, debe hacer copias de respaldo de la base de datos regularmente. Si se produce un desastre, debe restaurar la ltima instantnea de la base de datos. Hacer copias de respaldo de bases de datos y quitar el espacio sin usar es un paso necesario en el mantenimiento de una base de datos de produccin.
Copias de respaldo de base de datos

Cuando se hace una copia de respaldo de una base de datos, se crea una copia separada de la base de datos. En caso de corrupcin de datos o de un error de hardware, puede volver a una copia de respaldo anterior. Si desea obtener una copia limpia de la base de datos, debe volver al punto anterior a que se produjera el problema. Puede ser necesario volver a introducir ciertos datos en la base de datos durante el proceso de recuperacin. Sin embargo, se conserva la estructura principal y la mayora de los datos con una copia de respaldo reciente. Puede hacer una copia de respaldo de la base de datos desde la consola de Symantec Endpoint Protection Manager o con la utilidad Symantec Database Backup and Restore. La utilidad Symantec Database Backup and Restore se instala automticamente durante la instalacin. Es posible hacer una copia de respaldo de las siguientes maneras:
Base de datos de Microsoft SQL solamente Es posible utilizar Microsoft SQL Server Enterprise Manager para configurar un plan de mantenimiento que incluya copias de respaldo automticas. Base de datos integrada o de Microsoft SQL
304
Es posible realizar una copia de respaldo manual y adems programar copias de respaldo automticas desde la consola de Symantec Endpoint Protection Manager. Las copias de respaldo se deben almacenar preferiblemente en una unidad de disco diferente. Es necesario hacer una copia de respaldo de la unidad de disco peridicamente. Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL" en la pgina 306. Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager" en la pgina 312.
Restaurar base de datos

Es posible que deba restaurar una base de datos por un nmero de motivos. La restauracin de una base de datos debe ocurrir en los casos siguientes:

Se daan los datos de la base de datos. Se produce un error en el hardware.
Se desea convertir una base de datos integrada en una base de datos de Microsoft SQL o viceversa. Si los datos ya existen en la base de datos anterior, es necesario realizar las siguientes tareas:

Hacer una copia de respaldo del sitio. Volver a configurar la base de datos. Crear una nueva base de datos vaca. Restaurar la base de datos.
Si tiene una copia de respaldo de una base de datos, puede restaurar esa base de datos en el equipo en el que se instal Symantec Endpoint Protection Manager. Tambin puede restaurar la base de datos en cualquier otro equipo. Utilice la utilidad Symantec Database Backup and Restore para restaurar una base de datos. Esta herramienta se instala automticamente cuando instala Symantec Endpoint Protection Manager. Ver "Restaurar una base de datos" en la pgina 313.
Acerca de la reconfiguracin de una base de datos

Es necesario volver a configurar la base de datos en ciertas circunstancias:
Se modific la direccin IP o el nombre de host del servidor de la base de datos.
305
Se modific el puerto del servidor de la base de datos que se conecta a Symantec Endpoint Protection Manager. Se modific el nombre de la base de datos. Nota: Tambin puede modificar el nombre de la base de datos en Symantec Endpoint Protection Manager. Ver "Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager" en la pgina 315.
Slo MS SQL: Se modific el nombre del usuario responsable de la base de datos. Si modifica el nombre de usuario del servidor de la base de datos en un servidor de bases de datos, la consola de Symantec Endpoint Protection Manager no se puede conectar al servidor de bases de datos. Se modific la contrasea del usuario responsable de la base de datos. Puede modificar la contrasea del usuario responsable del servidor de la base de datos. Si modifica la contrasea, el servidor de administracin no podr conectarse al servidor de bases de datos. Slo MS SQL: Se modific la ruta del cliente SQL. Se modific la carpeta de la papelera del cliente SQL que, de forma predeterminada, est ubicada en C:\Program Files\Microsoft SQL Server\80\Tools\Binn. Si modific la ruta del cliente SQL en el servidor de bases de datos de Microsoft SQL, la consola de Symantec Endpoint Protection Manager no podr conectarse al servidor de bases de datos. Se actualiza una base de datos integrada a una base de datos de Microsoft SQL.
Ver "Volver a configurar una base de datos" en la pgina 316. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Proporciona informacin acerca de cmo actualizar una base de datos integrada a una base de datos de Microsoft SQL.
Acerca de la programacin de una copia de respaldo de base de datos

Es posible realizar copias de respaldo manuales de bases de datos o configurar una programacin automtica de copias de respaldo de MS SQL y de bases de datos integradas en Symantec Endpoint Protection Manager. Sin embargo, tambin puede utilizar el Asistente para el mantenimiento de bases de datos de MS SQL Server para programar copias de respaldo automticas para una base de datos de Microsoft SQL. Adems, puede utilizar la utilidad Symantec Database Backup and Restore para recuperar una base de datos de Microsoft SQL o una base de datos integrada.
306
Administrar bases de datos Hacer una copia de respaldo de una base de datos de Microsoft SQL
Ver "Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager" en la pgina 312. Ver "Hacer una copia de respaldo manual de una base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager" en la pgina 307. Ver "Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager" en la pgina 312. Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos" en la pgina 307. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Proporciona informacin acerca de cmo hacer una copia de respaldo de una base de datos de Microsoft SQL con la utilidad Symantec Database Backup and Restore.
Hacer una copia de respaldo de una base de datos de Microsoft SQL

Puede hacer una copia de respaldo de una base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager o la utilidad Symantec Database Backup and Restore cuando lo necesite. La utilidad Symantec Database Backup and Restore se instala automticamente durante la instalacin de Symantec Endpoint Protection Manager. Tambin puede utilizar el Asistente para la planificacin del mantenimiento de bases de datos que se incluye en el software MS SQL Server para hacer la copia de respaldo de la base de datos de Microsoft SQL. El Asistente para la planificacin del mantenimiento de bases de datos de MS SQL tambin puede ayudarlo a configurar una programacin de copias de respaldo y otras tareas de mantenimiento. Ver "Copias de respaldo de base de datos" en la pgina 303. Ver "Hacer una copia de respaldo manual de una base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager" en la pgina 307. Ver "Hacer una copia de respaldo de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos" en la pgina 307. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Proporciona informacin acerca de cmo hacer una copia de respaldo de una base de datos de Microsoft SQL con la utilidad Symantec Database Backup and Restore.
307
Hacer una copia de respaldo manual de una base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager
La consola de Symantec Endpoint Protection Manager incluye una copia de respaldo del sitio que se puede utilizar para hacer una copia de respaldo y restaurar la base de datos. Adems, puede configurar un plan de mantenimiento en el agente de Microsoft SQL Server. El paso siguiente incluye la configuracin recomendada. Es posible que sea necesario utilizar una configuracin diferente dependiendo de los criterios siguientes:

El tamao de su organizacin. La cantidad de espacio libre en el disco que se ha reservado para las copias de respaldo. Las pautas obligatorias de su compaa.
Para hacer una copia de respaldo manual de la base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En la pgina Administrador, debajo de Ver servidores, haga clic en el icono que representa la base de datos de Microsoft SQL. En la pgina Administrador, debajo de Tareas, haga clic en Hacer copia de respaldo del sitio ahora. Este mtodo hace una copia de respaldo de todos los datos del sitio, incluida la base de datos. Es posible comprobar el registro del sistema y la carpeta de copia de respaldo para conocer el estado durante la copia de respaldo y despus de ella.
Haga clic en Cerrar.
Hacer una copia de respaldo de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos
Microsoft SQL Server Enterprise Manager proporciona un asistente para ayudarlo a configurar un plan de mantenimiento de base de datos. Puede utilizar el Asistente para la planificacin del mantenimiento de bases de datos para administrar la base de datos y para programar las copias de respaldo automticas de la base de datos de Microsoft SQL.
308
Nota: Asegrese de iniciar el agente SQL Server. Los derechos de acceso de Sysadmin son obligatorios para ejecutar el Asistente para la planificacin del mantenimiento de bases de datos. Consulte la documentacin de Microsoft SQL Server para obtener informacin acerca de cmo mantener una base de datos de Microsoft SQL Server. Para hacer copia de respaldo de una base de datos de Microsoft SQL con el Asistente para la planificacin del mantenimiento de bases de datos en Microsoft SQL Enterprise Manager 2000
1 2 3
En SQL Server Enterprise Manager, haga clic en Programas > Microsoft SQL Server > Enterprise Manager. Expanda el nombre de servidor donde nombre del servidor es el nombre del servidor en el que est instalada la base de datos. Haga doble clic en la carpeta Administracin. Cuando se inicia el agente SQL Server, se muestra una flecha verde en el icono. Si no est iniciado, inicie el administrador de servicios de SQL Server seleccionando el agente de SQL Server y haciendo clic con el botn secundario y seleccionando Inicio.
4 5 6 7
Expanda Bases de datos. Haga clic con el botn secundario en sem5 y seleccione Todas las tareas > Plan de mantenimiento. En la pantalla de bienvenida del Asistente para la planificacin del mantenimiento de bases de datos, haga clic en Siguiente. En la pantalla Seleccionar bases de datos, seleccione Las bases de datos: y, al lado, marque sem5 para hacer copia de respaldo de la base de datos. A continuacin, haga clic en Siguiente. En la pantalla Informacin de optimizacin de actualizacin de datos, seleccione Quitar espacio no utilizado de los archivos de base de datos. En el cuadro de texto Cuando se incremente por encima de:, escriba 1024 o un tamao mximo apropiado segn el tamao de su organizacin. Cuando la base de datos excede el tamao especificado, el espacio sin usar se quita automticamente.
8 9
10 En el cuadro de texto Espacio disponible tras la reduccin, elija 20% del

espacio de datos u otra cantidad apropiada para las necesidades de su empresa.
309
11 Los datos se optimizan semanalmente y se especifica una configuracin

predeterminada aceptable. Si desea modificar la programacin, haga clic en Cambiar. En el cuadro de dilogo Editar planificacin de tareas recurrentes que aparece, especifique cuntas veces y a qu hora se debe quitar el espacio sin usar de la base de datos. Luego, haga clic en Aceptar.
12 Cuando finalice con la optimizacin de la configuracin, haga clic en Siguiente. 13 En la pantalla Comprobar la integridad de la base de datos, haga clic en
Siguiente sin configurar esta opcin, porque Symantec Endpoint Protection Manager mantiene la integridad de la base de datos.
14 En la pantalla Especificar el plan de copia de seguridad de la base de datos,

marque Realizar copia de seguridad como parte del plan de mantenimiento y Comprobar la integridad de la copia de seguridad al finalizarla.
15 Seleccione los medios en los que desea guardar la copia de respaldo. 16 Haga clic en Cambiar para modificar la programacin de la copia de respaldo. 17 En el cuadro de dilogo Editar la programacin peridica del trabajo, haga
clic Diario. Seleccione la frecuencia con la que desea que se realice una copia de respaldo de la base de datos. Se recomienda cada 1 da.
18 Marque Activar programacin. 19 Configure cundo desea realizar las copias de respaldo. Tambin puede elegir
una fecha de inicio y de finalizacin, o Sin fecha de finalizacin si es necesario, y luego haga clic en Aceptar.
20 Haga clic en Siguiente. 21 En la pantalla Especificar directorio del disco de copia de respaldo, especifique
un directorio de copia de respaldo haciendo clic en Utilizar el directorio predeterminado de copias de respaldo (la ruta predeterminada es \MSSQL\BACKUP) o Utilizar este directorio.
22 Seleccione el directorio en el que desea copiar los archivos.

El directorio debe estar ubicado en el mismo equipo que la base de datos. Es necesario dirigir la copia de respaldo a una unidad de disco diferente.
23 Marque Crear un subdirectorio para cada base de datos.
310
24 Haga clic en Quitar los archivos anteriores a y, a continuacin, especifique

un plazo despus del cual se quitarn o se eliminarn automticamente las copias de respaldo anteriores. Asegrese de que tiene suficiente espacio libre en el disco para almacenar las copias de respaldo para el plazo especificado y haga clic en Siguiente.
25 Contine de la siguiente manera:

Si seleccion Mantener la base de datos Sem5 automticamente durante la configuracin del servidor de bases de datos Si el cuadro de dilogo Modelo de recuperacin muestra Simple Si el cuadro de dilogo Modelo de recuperacin muestra Completa Contine con el paso 41.
Contine con el paso 41.
Contine con el paso 26.
26 En la pantalla Especificar la planificacin de copias de respaldo del registro

de transacciones, marque Hacer copia de respaldo del registro de transacciones como parte del plan de mantenimiento.
27 Seleccione los medios en los que desea guardar la copia de respaldo. 28 Haga clic en Cambiar para modificar la programacin de la realizacin de
copias de respaldo del registro de transacciones. Aparecer el cuadro de dilogo Editar planificacin de tareas recurrentes. De forma predeterminada, el tamao mximo del registro de transacciones es 8 GB. Si el registro de transacciones alcanza el tamao mximo, deja de funcionar y se puede daar la base de datos. (Puede modificar el tamao mximo del registro de transacciones en SQL Server Enterprise Manager).
29 Despus de Sucede, haga clic en Diario.

Seleccione la frecuencia con la que desea que se realice una copia de respaldo del registro de transacciones. Se recomienda Cada 1 da. Asegrese de marcar Habilitar programacin.
30 Seleccione la frecuencia con la que desea que se realicen las copias de respaldo.
Se recomienda la opcin predeterminada, Cada 4 horas.
31 Seleccione una fecha de inicio y finalizacin o Sin fecha de finalizacin, si

corresponde, y haga clic en Aceptar.
32 Haga clic en Siguiente.
311
33 En la pantalla Especificar directorio del disco de copia de respaldo, seleccione

un directorio de copia de respaldo haciendo clic en Utilizar el directorio predeterminado de copias de respaldo o en Utilizar este directorio. La ruta predeterminada es \MSSQL\BACKUP.
34 Seleccione el directorio en el que desea copiar los archivos. 35 Marque Crear un subdirectorio para cada base de datos. 36 Haga clic en Quitar los archivos anteriores a: 37 Especifique un plazo despus del cual se quitarn o se eliminarn
automticamente las copias de respaldo anteriores. Asegrese de que tiene suficiente espacio libre en el disco para almacenar las copias de respaldo para el plazo especificado y, a continuacin, haga clic en Siguiente.
38 En la pantalla Informes para generar, marque Escribir el informe en un

archivo de texto en el directorio. Especifique la ruta completa y el nombre del archivo de texto donde es necesario que se genere el informe.
39 Marque Eliminar archivos de informe de texto anteriores a y configure la

opcin de 4 semanas.
40 Marque Enviar informe de correo electrnico al operador y especifique el

administrador del sistema a quien se le enviar el informe generado mediante el correo SQL. Si el operador de correo electrnico no est disponible, seleccione Nuevo operador y, a continuacin, haga clic en Siguiente.
41 En la pantalla Historial de planificacin de mantenimiento, haga clic en

Siguiente. Debe utilizar la configuracin predeterminada del Historial de planificacin de mantenimiento, a menos que se necesite modificarla.
42 En la pantalla Finalizacin del Historial del plan de mantenimiento de bases

de datos, escriba un nombre para el plan de mantenimiento, como Mantenimiento de bases de datos SQL, y luego haga clic en Finalizar.
43 Cuando finalice la planificacin, se mostrar el mensaje de que el plan fue

creado correctamente. Luego, haga clic en Aceptar.
312
Administrar bases de datos Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager
Realizar copia de respaldo de una base de datos cuando sea necesario desde Symantec Endpoint Protection Manager
Es posible realizar una copia de respaldo cuando sea necesario de una base de datos integrada desde la consola de Symantec Endpoint Protection Manager. Ver "Copias de respaldo de base de datos" en la pgina 303. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control. Proporciona informacin sobre cmo hacer una copia de respaldo de una base de datos integrada con la utilidad Symantec Database Backup and Restore. Para hacer una copia de respaldo de una base de datos integrada desde una consola de Symantec Endpoint Protection Manager
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, haga clic en el icono que representa la base de datos integrada. Bajo Tareas, haga clic en Hacer copia de respaldo del sitio ahora. Este mtodo hace una copia de respaldo de todos los datos del sitio, incluida la base de datos. Es posible comprobar el registro del sistema y la carpeta de copia de respaldo para conocer el estado durante la copia de respaldo y despus de ella.
5 6
Haga clic en S cuando aparece el mensaje Hacer copia de respaldo. Haga clic en Cerrar.
Programar copias de respaldo automticas de bases de datos de Symantec Endpoint Protection Manager
Puede establecer programaciones para la copia de respaldo automtica de MS SQL y de las bases de datos integradas en Symantec Endpoint Protection Manager. Ver "Acerca de la programacin de una copia de respaldo de base de datos" en la pgina 305.
Administrar bases de datos Restaurar una base de datos
313
Para hacer una copia de respaldo de una base de datos integrada desde una consola de Symantec Endpoint Protection Manager
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, haga clic en el icono que representa la base de datos integrada o de MS SQL cuya configuracin de copia de respaldo desea modificar. En la pgina Administrador, bajo Tareas, haga clic en Editar configuracin de la copia de respaldo. En el cuadro de dilogo Sitio de copia de respaldo para el sitio local, haga clic en Programar copias de respaldo. Para especificar la frecuencia de copia de respaldo, seleccione Cada hora, Diaria o Semanalmente y despus especifique una de las siguientes opciones:
4 5 6
Si elige Cada hora, en el cuadro Hora de inicio, especifique el nmero de minutos despus de la hora en que deben realizarse las copias de respaldo. Si elige Diariamente, en el cuadro Hora de inicio, especifique la hora y los minutos para indicar a qu hora de cada da deben realizarse las copias de respaldo. Si elige Semanalmente, en el cuadro Hora de inicio, especifique la hora y los minutos para indicar el momento en que deben realizarse las copias de respaldo. Si elige Semanalmente, especifique el Da de semana para indicar el da en el que se deben llevar a cabo las copias de respaldo.
Haga clic en Aceptar. En el tiempo programado, las copias de respaldo se realizan automticamente y se colocan en un archivo .zip con el nombre de la fecha de la copia de respaldo. El archivo de respaldo se almacena en una carpeta de respaldo que se crea en la ruta, tal como lo especifica la raz de los datos del servidor. Por ejemplo, un archivo de respaldo que se crea el 1 de agosto de 2007 a las 9:46 a. m. se llama 2007-Aug-01_09-46-13-AM.zip.
Restaurar una base de datos

Si la base de datos no funciona correctamente, puede restaurarla si realiz una copia de respaldo.
314
Administrar bases de datos Restaurar una base de datos
Para restaurar una base de datos
Ubique el ltimo archivo de respaldo que tiene. Este archivo est en formato .zip y tiene el nombre de la fecha en la que fue creado. El archivo se almacena en una carpeta de respaldo que fue creada en la ruta especificada para la raz de los datos del servidor. Configure el equipo en el cual desea restaurar la base de datos usando una de las siguientes estrategias:
En otro equipo Si el hardware en el equipo anterior fall, es necesario instalar el sistema operativo y Symantec Endpoint Protection Manager en el nuevo equipo. Aunque reemplaza la base de datos por nuevos datos, an tiene que configurar una base de datos cuando finaliza la instalacin. En el mismo equipo Si el hardware y Symantec Endpoint Protection Manager funcionan correctamente, se puede restaurar la base de datos en el mismo equipo. Si surgen problemas, puede desinstalar Symantec Endpoint Protection Manager, volver a instalarlo, configurar la base de datos y restaurar los datos.
3 4 5 6 7 8 9
Cierre la sesin en la consola. Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Programas > Herramientas administrativas > Servicios. Ubique el servicio de Symantec Endpoint Protection Manager y, a continuacin, haga clic con el botn secundario y seleccione Detener. Seleccione Inicio > Programas > Symantec Endpoint Protection Manager > Copia de respaldo y restauracin de la base de datos. Haga clic en Restaurar y despus haga clic en S en el mensaje que aparece. En el cuadro de dilogo Restaurando la base de datos, seleccione la copia de respaldo que desea utilizar de la lista Haga clic en Aceptar. La restauracin de la base de datos tarda varios minutos. La cantidad de tiempo que lleva terminar la tarea depende del tamao de la base de datos, del nmero de usuarios, de asociados de replicacin y de otros criterios.
10 Cuando la restauracin de la base de datos finalice, aparecer el siguiente

mensaje:
La base de datos se ha restaurado correctamente.
11 Haga clic en Salir.
Administrar bases de datos Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager
315
12 Haga clic en Inicio > Programas >Symantec Endpoint Protection Manager

si restaur la base de datos en un equipo diferente, porque debe eliminar el servidor de bases de datos anterior. De lo contrario, ha finalizado la restauracin de la base de datos.
13 Inicie sesin en la consola de Symantec Endpoint Protection Manager. 14 Haga clic en Administrador. 15 Haga clic en Servidores. 16 En la pgina Administrador, debajo de Tareas, haga clic con el botn
secundario en el servidor de la base de datos anterior y seleccione Eliminar.
17 Vuelva a configurar los criterios adicionales, tales como nombres de usuario

y contrasea, si es necesario. Ver "Volver a configurar una base de datos de Microsoft SQL " en la pgina 316.
Editar el nombre y la descripcin de una base de datos en la consola de Symantec Endpoint Protection Manager
Puede editar el nombre y la descripcin de una base de datos local o remota. Tambin puede editar el nombre de la base de datos con el Asistente para la configuracin del servidor de administracin. Ver "Volver a configurar una base de datos de Microsoft SQL " en la pgina 316. Para editar el nombre y la descripcin de una base de datos
1 2 3 4 5 6 7 8
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. Bajo Ver servidores, expanda Sitio local. Seleccione la base de datos local o expanda Sitios remotos para seleccionar la base de datos de un sitio remoto cuyas propiedades desea editar. Bajo Tareas, haga clic en Editar propiedades de la base de datos. En el cuadro de dilogo Propiedades de la base de datos, edite el nombre de la base de datos en el campo Nombre. En el cuadro de dilogo Propiedades de la base de datos, edite la descripcin de la base de datos en el campo Descripcin. Haga clic en Aceptar.
316
Administrar bases de datos Volver a configurar una base de datos
Volver a configurar una base de datos

Puede volver a configurar una base de datos MS SQL y una base de datos integrada por cualquiera de los siguientes motivos:

Cambio de la direccin IP del servidor de bases de datos Cambio del nombre del host del servidor de bases de datos
Volver a configurar una base de datos de Microsoft SQL

Debe utilizar el Asistente para la configuracin del servidor de administracin para volver a configurar la base de datos de Microsoft SQL. Ver "Acerca de la reconfiguracin de una base de datos" en la pgina 304. Para volver a configurar una base de datos de Microsoft SQL
1 2 3 4
Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Todos los Programas > Herramientas administrativas > Servicios. Ubique el servicio de Symantec Endpoint Protection Manager y, a continuacin, haga clic con el botn secundario y seleccione Detener. Haga clic en Inicio > Todos los Programas > Symantec Endpoint Protection Manager > Asistente para la configuracin del servidor de administracin. En la pantalla de bienvenida del Asistente para la configuracin del servidor de administracin, haga clic en Volver a configurar el servidor de administracin. Haga clic en Siguiente para comenzar la reconfiguracin. En el cuadro Nombre del servidor, edite el nombre del equipo en el que est instalado Symantec Endpoint Protection Manager. Edite el nmero de puerto HTTPS que Symantec Endpoint Protection Manager incluye en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 8443.
5 6 7
Edite la ubicacin de la carpeta de datos del servidor o vaya a la carpeta raz donde los archivos de datos se encuentran. La carpeta raz incluye copias de respaldo, replicacin y otros archivos de Symantec Endpoint Protection Manager. El nombre de la ruta predeterminado es C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data
Haga clic en Siguiente.
10 Haga clic en Microsoft SQL Server.
317
11 Haga clic en Siguiente. 12 Escriba el nombre del servidor de la base de datos en el cuadro Servidor de
bases de datos, si corresponde. Escriba la direccin IP o el nombre del host del servidor de bases de datos donde el servidor SQL Server Enterprise Manager (SEM) guarda los datos de la aplicacin.
13 Escriba el nmero de puerto del servidor SQL en el cuadro Puerto de SQL

Server. El nmero de puerto predeterminado es 1433.
14 Escriba el nombre de la base de datos en el cuadro Nombre de la base de datos.

El nombre de la base de datos de Microsoft SQL donde se almacenan los datos de la aplicacin.
15 Escriba el nombre del usuario en el cuadro Usuario

Este nombre representa al usuario responsable de la base de datos.
16 Escriba la contrasea en el campo Contrasea.

Esta contrasea es la del usuario de la base de datos. Este campo no puede estar vaco.
17 Escriba el nombre de la ruta del cliente SQL en Ruta del cliente SQL.
De forma predeterminada, la carpeta de la papelera del cliente SQL contiene el archivo bcp.exe. Por ejemplo, C:\Program Files\Microsoft SQL Server\80\Tools\Binn. El archivo bcp.exe debe residir en el mismo equipo que en el que est instalado Symantec Endpoint Protection Manager. Este archivo es parte del paquete del cliente de SQL Server. Se debe adems especificar correctamente el nombre de ruta del cliente de MS SQL en Asistente para la configuracin del servidor de administracin. Si la cadena de caracteres no se especifica correctamente o el paquete del cliente MS SQL no se instal, no es posible volver a configurar la base de datos.
18 Haga clic en Siguiente.

Se crear la base de datos. Este proceso slo tarda unos pocos minutos. Aparece un mensaje de base de datos durante ese perodo de tiempo si el servicio Symantec Endpoint Protection Manager an se est ejecutando.
318
19 Puede seleccionar Iniciar Symantec Endpoint Protection Manager e Iniciar

Management Console. Estas opciones estn seleccionadas de manera predeterminada.
20 Haga clic en Finalizar.

Finaliz la reconfiguracin de la base de datos. Si mantuvo las opciones de inicio seleccionadas, aparecer el inicio de sesin de la consola de Symantec Endpoint Protection Manager.
Volver a configurar una base de datos integrada

Es necesario utilizar el Asistente para la configuracin del servidor de administracin de Symantec para volver a configurar la base de datos. Ver "Acerca de la reconfiguracin de una base de datos" en la pgina 304. Para volver a configurar una base de datos integrada
1 2 3 4
Detenga el servicio de Symantec Endpoint Protection Manager seleccionando Inicio > Programas > Herramientas administrativas > Servicios. Ubique el servicio de Symantec Endpoint Protection Manager y, a continuacin, haga clic con el botn secundario y seleccione Detener. Haga clic en Inicio > Programas > Symantec Endpoint Protection Manager > Asistente para la configuracin del servidor de administracin. En la pantalla de bienvenida del Asistente para la configuracin del servidor de administracin, haga clic en Volver a configurar el servidor de administracin. Haga clic en Siguiente para comenzar la reconfiguracin. En el cuadro Nombre del servidor, edite el nombre del equipo en el que est instalado Symantec Endpoint Protection Manager. Edite el nmero de puerto HTTPS que Symantec Endpoint Protection Manager incluye en el cuadro Puerto del servidor. El nmero de puerto predeterminado es 8443.
5 6 7
Edite la ubicacin de la carpeta de datos del servidor o vaya a la carpeta raz donde los archivos de datos se encuentran. La carpeta raz incluye copias de respaldo, replicacin y otros archivos de Symantec Endpoint Protection Manager. El nombre de la ruta predeterminado es C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data
Haga clic en Siguiente.
Administrar bases de datos Acerca de administrar datos de registro
319
10 Haga clic en Base de datos integrada. 11 Haga clic en Siguiente. 12 Escriba el nmero de puerto del servidor en el cuadro Puerto del servidor de
bases de datos. El nmero de puerto predeterminado es 2638.
13 Escriba la contrasea en el cuadro Contrasea.

Este campo no puede estar vaco.
14 Escriba la contrasea de nuevo el cuadro Confirmar contrasea. 15 Haga clic en Siguiente.

La creacin de la base de datos tarda unos minutos. Aparece un mensaje de base de datos durante ese perodo de tiempo si el servicio Symantec Endpoint Protection Manager an se est ejecutando.
16 Puede seleccionar Iniciar Symantec Endpoint Protection Manager e Iniciar

Management Console. Estas opciones estn seleccionadas de manera predeterminada.

Finaliz la reconfiguracin de la base de datos. Si mantuvo las opciones de inicio seleccionadas, aparecer el inicio de sesin de la consola de Symantec Endpoint Protection Manager.
Acerca de administrar datos de registro

Es posible configurar un nmero de opciones para administrar los registros que se almacenan en la base de datos.
Acerca de los registros de datos y el almacenamiento

Los datos de todos los registros que se cargan en la consola se almacenan en la base de datos de la consola. Los datos se almacenan en dos tablas en la base de datos a partir de los siguientes tipos de registros:

Registros de control de aplicaciones y dispositivos Registros de auditora Registros de Enforcer Registros de proteccin contra amenazas de red
320
Registros del sistema
Los datos de otros registros se almacenan en una sola tabla. Es posible configurar las opciones de registro para administrar los registros de base de datos que se almacenan en dos tablas. Ver "Configurar opciones de registro para los servidores en un sitio" en la pgina 321. La nica tabla que contiene los otros datos de registros es administrada mediante las opciones de mantenimiento de base de datos en las propiedades del sitio. Es posible configurar las opciones de mantenimiento de base de datos que afectan a los datos que se almacenan en una nica tabla. Ver "Configurar opciones de mantenimiento de base de datos para los registros" en la pgina 327. Para los registros que se almacenan en dos tablas, una tabla (tabla A) es la tabla de registro real. Las nuevas entradas de registro se escriben en esta tabla. Cuando se alcanza el umbral o la expiracin del registro, las nuevas entradas de registro se almacenan en la segunda tabla (tabla B). Los datos permanecen en la tabla A hasta que la tabla B alcance su umbral o el nmero de das que se especifica para la caducidad. En ese momento, la tabla A se borra totalmente y las nuevas entradas se almacenan all. La informacin de la tabla B permanece hasta que ocurra la conmutacin. La conmutacin de una tabla a la otra, tambin llamada barrido de registros desde la base de datos, se realiza automticamente. La sincronizacin del conmutador depende de la configuracin del registro especificada en las propiedades del sitio. El proceso es igual, sin importar si el barrido es automtico o manual. Es posible realizar un barrido manual del registro despus de hacer una copia de respaldo de la base de datos, si se prefiere utilizar este mtodo como parte del mantenimiento de base de datos de rutina. Si permite que ocurra un barrido automtico, es posible perder algunos datos de registro si las copias de respaldo de la base de datos no se realizan con la suficiente frecuencia. Si realiza regularmente un barrido manual del registro despus de haber realizado una copia de respaldo de la base de datos, sta garantiza que se conserven todos sus datos de registro. Este procedimiento es muy til si es necesario conservar sus registros por un perodo relativamente largo, tal como un ao. Nota: El proceso manual que se describe en Barrer datos de registro de la base de datos manualmente no afecta los datos en los registros que se almacenan en una sola tabla en la base de datos.
321
Barrer datos de registro de la base de datos manualmente

Puede borrar manualmente los registros, pero este paso es opcional y no tiene que hacerlo. Para barrer datos de registro de la base de datos manualmente
Para prevenir un barrido automtico de la base de datos hasta despus de crear una copia de respaldo, aumente la Configuracin del registro de las propiedades del sitio al mximo. Ver "Configurar opciones de registro para los servidores en un sitio" en la pgina 321.
2 3
Realice la copia de respaldo, segn corresponda. En el equipo donde est instalado el administrador, abra un navegador Web y escriba la siguiente URL: https://localhost:8443/servlet/ConsoleServlet?ActionType= ConfigServer&action=SweepLogs Cuando haya realizado esta tarea, las entradas de registro para todos los tipos de registros se guardan en la tabla de base de datos alterna. La tabla original se guarda hasta que se inicie el siguiente barrido.
Para vaciar todo excepto las entradas ms actuales, realice un segundo barrido. Se borra la tabla original y las entradas comienzan a almacenarse all de nuevo. Recuerde volver Configuracin del registro de las propiedades del sitio a sus valores preferidos.
Datos de registro de clientes de versiones anteriores

Las funciones de informe de Symantec Endpoint Protection utilizan una carpeta temporal, unidad:\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp, con varios propsitos. Algunos administradores pueden querer programar sus propias tareas automatizadas para limpiar peridicamente esta carpeta temporal. Si lo hace as, asegrese de no eliminar el archivo LegacyOptions.inc, si existe. Si elimina este archivo, se pierden los datos entrantes de registros de versiones anteriores del cliente de Symantec AntiVirus.
Configurar opciones de registro para los servidores en un sitio

Para ayudar a controlar el uso del espacio libre en el disco, es posible configurar el nmero de entradas que se mantienen en el servidor en los registros de un sitio.
322
Es posible adems configurar el nmero de das que se guardan las entradas. Es posible configurar distintas opciones para los diversos sitios. Nota: La informacin del registro en la ficha Registros de la pgina Supervisin de la consola se presenta en grupos lgicos para su anlisis. Los nombres de registros de la ficha Configuracin del registro de las propiedades del sitio corresponden al contenido del registro, no a los tipos de registro de la ficha Registros de la pgina Supervisin. Para ver la descripcin de cada opcin configurable, puede hacer clic en Ms informacin para ese tipo de informe en la consola. Ms informacin muestra la ayuda contextual. Para configurar opciones de registro para los servidores en un sitio
1 2 3 4 5
En la consola, haga clic en Administrador. En el sector inferior izquierdo, haga clic en Servidores. Seleccione el sitio que desea configurar. Bajo Tareas, haga clic en Editar propiedades del sitio. En la ficha Configuracin del registro, configure el nmero de entradas y el nmero de das para guardar las entradas de registro para cada tipo de registro. Es posible configurar los tamaos para los registros del servidor de administracin, los registros de clientes y los registros de Enforcer.
Acerca de configurar la agrupacin de eventos

Configura la agrupacin de eventos para los registros de clientes en dos ubicaciones de la consola. La Tabla 20-1 describe dnde configurar la agrupacin de eventos del cliente y lo que significa la configuracin.
323
Tabla 20-1 Ubicacin
Agrupacin de eventos del cliente Descripcin

Utilice esta ubicacin para configurar la agrupacin de los eventos de riesgo. El tiempo predeterminado de la agrupacin es de 5 minutos. La primera incidencia de un evento se registra inmediatamente. Las incidencias subsecuentes de los mismos eventos se agrupan y el nmero de incidencias se registra en el cliente cada 5 minutos. Utilice esta ubicacin para configurar la agrupacin de los eventos de proteccin contra amenazas de red. Los eventos se conservan en los clientes durante el perodo de reduccin antes de agruparse en un solo evento y cargarse en la consola. El perodo de reduccin ayuda a reducir los eventos a un nmero manejable. La configuracin predeterminada del perodo de reduccin es Automtico. El perodo de reduccin inactivo determina la cantidad de tiempo que debe pasar entre las entradas de registro antes de que la siguiente incidencia se considere como una nueva entrada. El tiempo inactivo predeterminado de reduccin es de 10 segundos.
En la pgina Polticas, poltica antivirus y contra software espa, Otros, ficha Tratamiento de registros
En la pgina Clientes, pgina Polticas, Configuracin de registros de clientes
Ver "Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa" en la pgina 428. Ver "Configurar opciones de registros de clientes " en la pgina 323.
Configurar opciones de registros de clientes

Si ha instalado Symantec Endpoint Protection, puede configurar algunas opciones de registros de clientes. Es posible configurar el nmero de entradas almacenadas en los registros y el nmero de das que cada entrada se conserva en el cliente. Es posible configurar las opciones de los siguientes registros de clientes:

Control Paquete Riesgo Seguridad Sistema Trfico
324
Si tiene instalado Symantec Network Access Control, puede habilitar y deshabilitar el registro, y enviar los registros de Enforcer al servidor de administracin. Tambin puede configurar el nmero de entradas del registro y el nmero de das que las entradas se conservan en el cliente. Para obtener ms informacin sobre los registros de Enforcer, consulte la Gua de implementacin de Symantec Network Access Control Enforcer. Para los registros de Seguridad, Riesgo y Trfico, tambin puede configurar el perodo atenuador y el perodo atenuador inactivo que se utilizarn para la agrupacin de eventos. Es posible configurar si desea cargar o no cada tipo de registro de clientes al servidor y el tamao mximo de las cargas. Si elige no cargar los registros de clientes, las consecuencias sern las siguientes:
No es posible ver los datos de registro de clientes desde la consola mediante la ficha Registros del panel de supervisin. No es posible hacer copias de respaldo de los registros de clientes cuando se realiza una copia de respaldo de la base de datos. No es posible exportar los datos de registro de clientes a un archivo o a un servidor de registros centralizado.
Para configurar opciones de registros de clientes
1 2
En la consola, haga clic en Clientes. En Configuracin y polticas independientes de la ubicacin de la ficha Polticas, en Configuracin, haga clic en Configuracin de registros de clientes. En el cuadro de dilogo Configuracin de registros de clientes para nombre de grupo, configure el tamao mximo del archivo y el nmero de das que se deben conservar las entradas de registro. Seleccione Cargar en servidor de administracin para los registros que desee que los clientes reenven al servidor. Para los registros Seguridad y Trfico, configure el perodo atenuador y el perodo atenuador inactivo. Esta configuracin determina la frecuencia con la que se agregan los eventos de Proteccin contra amenazas de red.
4 5
6 7
Especifique el nmero mximo de entradas que desea que un cliente cargue al administrador al mismo tiempo. Haga clic en Aceptar.
325
Acerca de configurar las opciones de administracin de registros de los clientes para las polticas antivirus y contra software espa
Puede configurar las siguientes opciones de administracin de registros para las polticas antivirus y contra software espa:
Qu eventos de antivirus y software espa se envan desde los clientes a los registros de proteccin antivirus y contra software espa en el servidor Cunto tiempo se conservan los eventos en los registros de proteccin antivirus y contra software espa en el servidor Con qu frecuencia los eventos agregados se cargan desde los clientes al servidor
Ver "Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa" en la pgina 428.
Hacer copias de respaldo de los registros para un sitio

No se hacen copias de respaldo de los datos de registro a menos que configure Symantec Endpoint Protection para hacerlo. Si no hace copia de respaldo de los registros, slo se guardan las opciones de configuracin del registro en la copia de respaldo. Puede utilizar la copia de respaldo para restaurar la base de datos, pero los registros de la base de datos estn vacos de datos cuando se restauran. Esta opcin de configuracin se encuentra con las otras opciones de copia de respaldo para los sitios locales en la pgina Servidores de la pgina Administrador. Puede elegir guardar hasta diez versiones de las copias de respaldo del sitio. Debe asegurarse de tener el espacio libre en el disco adecuado para guardar todos los datos si se elige guardar varias versiones. Para hacer copia de respaldo de los registros de un sitio
1 2 3 4 5
En la consola, haga clic en Administrador. Seleccione un servidor de bases de datos. Bajo Tareas, haga clic en Editar configuracin de la copia de respaldo. En el cuadro Grupo de configuracin de la copia de respaldo, active Crear copia de respaldo de registros. Haga clic en Aceptar.
Acerca de cargar grandes cantidades de datos de registro de clientes

Si tiene una gran cantidad de clientes, es posible que haya un gran volumen de datos de registro de clientes.
326
Es necesario evaluar si desea reducir el volumen de datos usando las opciones siguientes:
Cargue solamente algunos de los registros de clientes al servidor. Ver "Configurar opciones de registros de clientes " en la pgina 323. Filtre los eventos del sistema y los eventos de riesgo menos importantes para remitir menos datos al servidor. Ver "Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa" en la pgina 428.
Si an planea cargar grandes cantidades de datos de registro de los clientes a un servidor, es necesario considerar los factores siguientes:

El nmero de clientes en su red La frecuencia de latido, que controla cuntas veces los registros de clientes se cargan al servidor La cantidad de espacio en el directorio donde se almacenan los datos de registro antes de ser insertados en la base de datos
Una configuracin que carga una gran cantidad de datos de registro de clientes al servidor puede causar frecuentemente problemas de espacio. Si es necesario cargar un gran volumen de datos de registro de clientes, es posible tener que ajustar algunos valores predeterminados para evitar estos problemas de espacio. A medida que se implementan clientes, es necesario supervisar el espacio en el servidor en el directorio de insercin de registros y ajustar estos valores segn sea necesario. El directorio predeterminado donde los registros se convierten en archivos .dat y luego se incluyen en la base de datos es unidad:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log. La ubicacin del directorio de datos del servidor se configura durante la instalacin, cuando se le solicita que seleccione la carpeta de datos del servidor. Es posible ejecutar el Asistente para la configuracin del servidor de administracin desde el men Inicio para modificar este directorio, si lo desea. El directorio \inbox\log se agrega automticamente al directorio especificado. La frecuencia con la cual se cargan los registros de clientes se configura en la pgina Polticas de la pgina Clientes, bajo Configuracin de comunicaciones. La frecuencia predeterminada indica que se carguen los registros cada cinco minutos. Para ajustar los valores que controlan el espacio disponible en el servidor, es necesario modificar estos valores en el registro. Las claves del Registro que se necesitan cambiar se encuentran en el servidor en HKEY_LOCAL_MACHINE\ SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM. La Tabla 20-2 enumera las claves de registro y sus valores predeterminados y describe sus funciones.
327
Tabla 20-2 Nombre del valor

MaxInboxSpace
Claves de registro que contienen opciones de carga de registro Valor predeterminado y descripcin
MaxInboxSpace especifica el espacio asignado para el directorio donde los archivos de registro se convierten a archivos .dat antes de que se almacenen en la base de datos. El valor predeterminado es de 200 MB.
MinDataFreeSpace
MinDataFreeSpace especifica la cantidad de espacio mnima que se debe mantener libre en este directorio. Esta clave es til para asegurarse de que otras aplicaciones que utilizan el mismo directorio tengan suficiente espacio para ejecutarse sin afectar el rendimiento. El valor predeterminado es 0.
IntervalOfInboxSpaceChecking
IntervalOfInboxSpaceChecking especifica cunto tiempo Symantec Endpoint Protection espera entre las comprobaciones de espacio en la bandeja de entrada que est disponible para los datos de registro. El valor predeterminado es 30 segundos.
Acerca de administrar eventos de registro en la base de datos

La base de datos recibe y almacena un flujo constante de entradas en sus archivos de registro. Es necesario administrar los datos que se almacenan en la base de datos de modo que los datos almacenados no consuman todo el espacio libre en el disco disponible. Si hay demasiados datos, pueden causar que el equipo en el cual se ejecuta la base de datos se bloquee. Es necesario comprender su configuracin de mantenimiento de base de datos predeterminada y modificarla si el espacio libre en el disco que utiliza la base de datos parece crecer constantemente. Si hay un pico grande en la actividad de riesgo, es posible que sea necesario eliminar ciertos datos para proteger el espacio libre en el disco disponible en el servidor.
Configurar opciones de mantenimiento de base de datos para los registros

Los administradores pueden configurar las opciones de mantenimiento de la base de datos para los datos que se almacenan en los registros. Las opciones de mantenimiento de base de datos lo ayudan a administrar el tamao de su base de
328
datos mediante la especificacin de opciones de compresin y de cunto tiempo se guardan los datos. Para obtener informacin sobre las opciones de mantenimiento de base de datos especficas, consulte la ayuda contextual en el cuadro de dilogo Propiedades del sitio para nombre del sitio en la ficha Base de datos. Para configurar opciones de mantenimiento de base de datos para los registros
1 2 3 4
En la consola, haga clic en Administrador. Seleccione un sitio. Bajo Tareas, haga clic en Editar propiedades del sitio. En la ficha Base de datos, configure el nmero de das para guardar los eventos de riesgo. Para conservar el subconjunto de eventos de riesgo de infeccin despus del umbral especificado para los eventos de riesgo, marque la casilla de verificacin No eliminar eventos de infecciones.
5 6
Configure cun frecuentemente se desea comprimir los eventos en que se hallaron riesgos idnticos en un solo evento. Configure el nmero de das durante los que se guardarn los eventos que han sido comprimidos. Este valor incluye el tiempo previo a la compresin de los eventos. Por ejemplo, suponga que especifica que se eliminen los eventos comprimidos despus de diez das y se compriman los eventos despus de siete das. En este caso, se eliminan los eventos tres das despus de que son comprimidos.
7 8 9
Configure el nmero de das para guardar las notificaciones reconocidas y no reconocidas. Configure el nmero de das para guardar los eventos de anlisis. Configure el nmero de das para guardar los comandos que se han ejecutado desde la consola y su informacin de estado del comando asociada. Despus de esta vez, Symantec Endpoint Protection no puede distribuir ms los comandos a sus destinatarios previstos.
329
10 Marque las casillas de verificacin si desea eliminar las definiciones de virus

sin usar y los eventos de virus que contienen EICAR como el nombre del virus. El virus de prueba EICAR es un archivo de texto desarrollado por el European Institute for Computer Anti-Virus Research (EICAR). Proporciona una manera fcil y segura de probar la mayora del software antivirus. Es posible descargarlo desde el sitio Web de EICAR. Es posible utilizarlo para verificar que la porcin de antivirus de Symantec Endpoint Protection funciona.
Acerca de uso de la utilidad SQL interactiva con la base de datos integrada

Si elige utilizar la base de datos integrada con Symantec Endpoint Protection o Symantec Network Access Control, debe observar la siguiente informacin. Cuando ejecute la aplicacin de base de datos SQL interactiva (dbisqlc.exe), se bloquea la insercin de datos en la base de datos integrada. Si utiliza un tiempo la aplicacin, los archivos .dat se acumulan en los directorios unidad:\Program Files\Symantec\ Symantec Endpoint Protection Manager\data\inbox\log. Para aliviar la acumulacin de los archivos .dat y reiniciar la insercin de datos en la base de datos, cierre la aplicacin.
Cambiar los parmetros de tiempo de espera

Si ocurren errores de la base de datos cuando se ven informes o registros que contienen muchos datos, es posible realizar los cambios siguientes:

Modificar el tiempo de espera de conexin del servidor de Microsoft SQL Modificar el tiempo de espera de comandos del servidor de Microsoft SQL
Los valores de informe predeterminados son los siguientes:

El tiempo de espera de conexin es 300 segundos (5 minutos) El tiempo de espera de comandos es 300 segundos (5 minutos)
Si se muestran errores CGI o de terminacin de procesos, puede ser necesario cambiar otros parmetros de tiempo de espera. Consulte el artculo "Reporting server does not report or shows a timeout error message when querying large amounts of data" (El servidor de informes no genera informes o presenta un mensaje de error de tiempo de espera al consultar una gran cantidad de datos) en la base de conocimientos de Symantec (en ingls).
330
Para cambiar los parmetros de tiempo de espera
Abra el archivo Reporter.php, ubicado en el directorio \Program Files\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\ Resources. Utilice un editor de texto para agregar los siguientes valores al archivo:

$CommandTimeout =xxxx $ConnectionTimeout =xxxx Los valores del tiempo de espera se especifican en segundos. Si se especifica un valor igual a cero o se dejan los campos en blanco, se usar la configuracin predeterminada.
Acerca de recuperar un registro del sistema de cliente daado en equipos de 64 bits

Si el registro del sistema llega a daarse en un cliente de 64 bits, es posible ver un mensaje de error no especificado en los registros del sistema en la consola. Si se daa, no es posible ver los datos en el registro en el cliente y los datos no se cargan en la consola. Esta condicin puede afectar los datos en los registros e informes de estado del equipo, riesgos y anlisis de la consola. Para corregir esta condicin, es posible eliminar el archivo de registro daado y el archivo serialize.dat en el cliente. Estos archivos se encuentran en el cliente Unidad:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs\fecha.Log. Despus de que se eliminen estos archivos, el archivo de registro se reconstruye y comienza a registrar entradas correctamente.
Captulo
21
Replicar datos

Acerca de la replicacin de datos Comprender el impacto de la replicacin Configurar la replicacin de datos Programar la replicacin automtica y manual Replicar paquetes de clientes Replicar registros
Acerca de la replicacin de datos

La replicacin es el proceso de compartir informacin entre bases de datos para asegurarse de que el contenido sea coherente. Es posible utilizar la replicacin para aumentar el nmero de servidores de bases de datos que estn disponibles para los clientes y, de tal modo, reducir la carga en cada uno. La replicacin se configura tpicamente durante la instalacin inicial. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control para obtener ms informacin sobre cmo configurar la replicacin de datos durante una instalacin inicial. Un asociado de replicacin es otro sitio con un servidor de bases de datos. Adems tiene una conexin al sitio que usted designa como sitio principal o sitio local. Un sitio puede tener tantos asociados de replicacin como sea necesario. Todos los asociados de replicacin comparten una clave de licencia comn. Los cambios que usted realiz en cualquier asociado de replicacin se duplican al resto de los asociados de replicacin siempre que Symantec Endpoint Protection Manager se programe para replicar datos.
332
Replicar datos Acerca de la replicacin de datos
Por ejemplo, es posible configurar un sitio en su oficina principal (sitio 1) y un segundo sitio (sitio 2). El sitio 2 es un asociado de replicacin del primer sitio. Las bases de datos en el sitio 1 y el sitio 2 son reconciliadas usando una programacin de sincronizacin que se debe configurar. Si se realiza un cambio en el sitio 1, aparece automticamente en el sitio 2 despus de que ocurra la replicacin. Si se realiza un cambio en el sitio 2, aparece automticamente en el sitio 1 despus de que ocurra la replicacin. Es posible adems instalar un tercer sitio (el sitio 3) que puede replicar datos del sitio 1 o del sitio 2. El tercer sitio es un asociado de replicacin de los otros dos sitios. La Figura 21-1 ilustra cmo ocurre la replicacin de datos de un sitio local a otros dos sitios.
Replicar datos Acerca de la replicacin de datos
333
Figura 21-1
Sitio 1
Asociados de replicacin del sitio

Sitio 2 Symantec Endpoint Protection Manager Base de datos de MS SQ Replicacin
Symantec Endpoint Protection Manager
Base de datos de MS SQ
Sitio 3 Symantec Endpoint Protection Manager
Base de datos de MS SQ
Los asociados de replicacin se mencionan en la pgina Administrador. Es posible visualizar la informacin sobre asociados de replicacin seleccionando el asociado en el rbol. Todos los sitios tienen tpicamente el mismo tipo de base de datos. Es posible, sin embargo, configurar la replicacin entre sitios que usan diversos tipos de bases de datos. Adems, es posible configurar la replicacin entre una base de datos integrada y una base de datos de MS SQL.
Replicacin
334
Replicar datos Comprender el impacto de la replicacin
Si utiliza una base de datos integrada, es posible conectar solamente una instancia de Symantec Endpoint Protection Manager a ella debido a los requisitos de configuracin. Si utiliza una base de datos de MS SQL, es posible conectar varias instancias de Symantec Endpoint Protection Manager o compartir una base de datos. Solamente la primera instancia de Symantec Endpoint Protection Manager necesita configurarse como asociado de replicacin. Se considera que todos los sitios que se configuran como asociados de replicacin estn en la misma granja de sitios. Inicialmente, se instala el primer sitio y despus se instala un segundo sitio como asociado de replicacin. Un tercer sitio se puede instalar y configurarse para conectarse a cualquiera de los primeros dos sitios. Es posible agregar tantos sitios como sea necesario a la granja de sitios. Es posible eliminar asociados de replicacin para detener la replicacin. Es posible agregar ms tarde ese asociado de replicacin nuevamente para que las bases de datos sean coherentes. Sin embargo, algunos cambios pueden ser incompatibles. Ver "Qu opciones se replican" en la pgina 334.
Comprender el impacto de la replicacin

Si los administradores realizan cambios en cada sitio de replicacin simultneamente, algunos cambios pueden perderse. Si modifica la misma opcin en ambos sitios y se presenta un conflicto, el cambio ms reciente es el que surte efecto cuando ocurre la replicacin. Por ejemplo, el sitio 1 (Nueva York) se replica con el sitio 2 (Tokio), y el sitio 2 se replica con el sitio 3 (Londres). Se desea que los clientes que se conectan a la red en Nueva York tambin se conecten con Symantec Endpoint Protection Manager en Nueva York. Sin embargo, es necesario evitar que se conecten a Symantec Endpoint Protection Manager en Tokio o Londres.
Qu opciones se replican
Cuando se configura la replicacin, las opciones de comunicacin de los clientes tambin se replican. Por lo tanto, asegrese de que las opciones de comunicacin sean correctas para todos los sitios en la granja de sitios de la manera siguiente:
Cree opciones de comunicacin genricas de forma que la conexin de un cliente se base en el tipo de conexin. Por ejemplo, es posible utilizar un nombre DNS genrico, tal como symantec.com para todos los sitios en una granja de sitios. Siempre que los clientes se conecten, el servidor DNS resuelve el nombre y conecta el cliente a la instancia local de Symantec Endpoint Protection Manager.
Replicar datos Comprender el impacto de la replicacin
335
Cree opciones de comunicacin especficas asignando grupos a los sitios de modo que todos los clientes en un grupo se conecten a la instancia de Symantec Endpoint Protection Manager indicada. Por ejemplo, es posible crear dos grupos para los clientes en el sitio 1, dos grupos diferentes para el sitio 2 y dos otros grupos para el sitio 3. Es posible aplicar las opciones de comunicacin en el nivel de grupo de forma que los clientes se conecten a la instancia de Symantec Endpoint Protection Manager indicada.
Sera aconsejable configurar pautas para administrar las opciones de ubicacin para los grupos. Las pautas pueden ayudar a evitar que ocurran conflictos en las mismas ubicaciones. Es posible adems ayudar a evitar que ocurran conflictos para cualquier grupo que se encuentre en diversos sitios.
Cmo se combinan los cambios durante la replicacin

Despus de que ocurra la replicacin, la base de datos en el sitio 1 y la base de datos en el sitio 2 son iguales. Solamente la informacin de identificacin del equipo para los servidores se diferencia. Si los administradores modifican la configuracin en todos los sitios de una granja de sitios, pueden ocurrir conflictos. Por ejemplo, los administradores en el sitio 1 y el sitio 2 pueden agregar un grupo con el mismo nombre. Si desea resolver este conflicto, ambos grupos existen despus de la replicacin. Sin embargo, se cambia el nombre de uno de ellos con un tilde y el nmero 1 (~1). Si ambos sitios agregaron un grupo que se llama Ventas, despus de la replicacin se pueden ver dos grupos en ambos sitios. Un grupo se llama Ventas y el otro Ventas 1. Esta duplicacin ocurre siempre que una poltica con el mismo nombre se agrega al mismo lugar en dos sitios. Si se crean adaptadores de red duplicados en diversos sitios con el mismo nombre, se agregan un tilde y el nmero 1 (~1). Los dos smbolos se agregan a uno de los nombres. Si se modifican distintas opciones en ambos sitios, los cambios se combinan despus de la replicacin. Por ejemplo, si se modifica Configuracin de seguridad del cliente en el sitio 1 y la proteccin mediante contrasea en el sitio 2, ambos conjuntos de cambios aparecen despus de la replicacin. Siempre que sea posible, los cambios se combinan entre los dos sitios. Si se agregan polticas en ambos sitios, las nuevas polticas aparecen en ambos sitios despus de la replicacin. Pueden ocurrir conflictos cuando una poltica se modifica en dos sitios diferentes. Si una poltica se modifica en varios sitios, la ltima actualizacin de cualquier cambio se mantiene despus de la replicacin.
336
Replicar datos Configurar la replicacin de datos
Si realiza las siguientes tareas con la replicacin programada para ocurrir cada hora durante la hora:

Se edita AvAsPolicy1 en el sitio 1 a las 2:00 p. m. Se edita la misma poltica en el sitio 2 a las 2:30 p. m.
A continuacin, solamente los cambios que se han realizado en el sitio 2 aparecen despus de que la replicacin se completa, cuando la replicacin ocurre a las 3:00 p. m. Si uno de los asociados de replicacin est desconectado, el sitio remoto puede an indicar el estado como conectado.
Configurar la replicacin de datos

Es posible configurar la replicacin de datos durante la instalacin inicial o en un momento posterior. Cuando se configura la replicacin durante la instalacin inicial, es posible adems configurar una programacin para la sincronizacin de los asociados de replicacin.
Agregar asociados de replicacin y programacin

Si desea replicar datos con otro sitio, usted pudo haberlo configurado ya durante la instalacin inicial. Si no configur la replicacin durante la instalacin inicial, es posible hacerlo ahora agregando un asociado de replicacin. Varios sitios se denominan granja de sitios, siempre que se configuren como asociados de replicacin. Es posible agregar cualquier sitio en la granja de sitios como asociado de replicacin. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control para obtener ms informacin. Adems, es posible agregar un asociado de replicacin que fue eliminado previamente como asociado. Antes de que comience, es necesario tener la siguiente informacin:
Una direccin IP o un nombre de host de la instancia de Symantec Endpoint Protection Manager para la cual desee incluir un asociado de replicacin. La instancia de Symantec Endpoint Protection Manager a la cual desee conectarse debe previamente haber sido un asociado de replicacin. Symantec Endpoint Protection Manager puede adems haber sido un asociado de otro sitio en la misma granja de sitios.
Replicar datos Configurar la replicacin de datos
337
Para agregar un asociado de replicacin
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. Bajo Ver servidores, seleccione un sitio. En la pgina Administrador, bajo Tareas, haga clic en Agregar asociado de replicacin. En el asistente Agregar asociado de replicacin, haga clic en Siguiente. Escriba la direccin IP o el nombre de host del mdulo de Symantec Endpoint Protection Manager que desee transformar en asociado de replicacin. Escriba el nmero de puerto del servidor remoto en el cual se instal Symantec Endpoint Protection Manager. La configuracin predeterminada para el puerto del servidor remoto es 8443.
7 8 9
Escriba el nombre de usuario y la contrasea del administrador. Haga clic en Siguiente. En el panel Programar replicacin, especifique la programacin para la replicacin entre los dos asociados haciendo una de las siguientes tareas:
Marque Replicar automticamente. Hace que la replicacin frecuente y automtica ocurra entre dos sitios. sta es la opcin predeterminada. Por lo tanto, no es posible configurar una programacin personalizada para la replicacin. Deje sin marcar Replicar automticamente Es posible ahora configurar una programacin personalizada para la replicacin:

Seleccione una Frecuencia de replicacin cada hora, diaria o semanal. Seleccione el da especfico durante el cual debe ocurrir la replicacin en la lista Da de semana para configurar una programacin semanal.
10 Haga clic en Siguiente. 11 En el panel Replicacin de paquetes de cliente y archivos de registro, active
o desactive las opciones dependiendo de si desea replicar los registros. La configuracin predeterminada es desactivado.
12 Haga clic en Siguiente. 13 Haga clic en Finalizar.

El sitio del asociado de replicacin se agrega bajo Asociados de replicacin en la pgina Administrador.
338
Replicar datos Programar la replicacin automtica y manual
Desconectar asociados de replicacin

Eliminar un asociado de replicacin simplemente desconecta un asociado de replicacin de Symantec Endpoint Protection Manager. No elimina el sitio. Es posible agregar el sitio ms tarde si es necesario hacerlo agregando un asociado de replicacin. Para quitar bases de datos del proceso de replicacin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. Expanda Asociados de replicacin y seleccione el asociado que desee desconectar. En la pgina Administrador, debajo del panel Tareas, haga clic en Eliminar asociado de replicacin. Escriba S cuando se le pida que verifique que desea eliminar el asociado de replicacin.
Programar la replicacin automtica y manual

Es posible programar la replicacin automticamente o manualmente. Es posible adems especificar la frecuencia con la cual desee programar la replicacin.
Replicar datos cuando lo necesite

La replicacin ocurre normalmente segn la programacin que se configura cuando se agrega un asociado de replicacin durante la instalacin. El sitio con el nmero de ID ms pequeo inicia la replicacin programada. Ocasionalmente, es posible que la replicacin ocurra inmediatamente. Programar la replicacin manual
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, haga clic en Servidores. En la pgina Administrador, bajo Ver, ample Asociados de replicacin y seleccione el asociado cuya base de datos desea replicar de forma inmediata. En la pgina Administrador, debajo de Tareas, haga clic en Replicar ahora.
Replicar datos Programar la replicacin automtica y manual
339
Haga clic en S cuando se le pida que verifique que desea iniciar una replicacin ahora. El siguiente mensaje aparece:
La replicacin se ha programado. Para obtener detalles con respecto al resultado del suceso programado, consulte los registros de sistema del servidor despus de unos minutos de retraso. El retraso depende de la carga del servidor, el nmero de cambios que se deben replicar, y el ancho de banda del canal de comunicacin.
Haga clic en Aceptar. La base de datos se replica inmediatamente. Si utiliza una base de datos de Microsoft SQL con ms de un servidor, es posible iniciar solamente la replicacin desde el primer servidor en ese sitio. Si intenta realizar la replicacin ahora desde el segundo servidor, el siguiente mensaje aparece:
Slo el primer servidor del sitio puede llevar a cabo la replicacin. Inicie sesin en el servidor <nombre del primer servidor> para comenzar la replicacin.
Modificar frecuencias de replicacin

La replicacin ocurre normalmente segn la programacin que se configura cuando se agrega un asociado de replicacin durante la instalacin inicial. El sitio con el nmero de ID ms pequeo inicia la replicacin programada. Cuando se ha establecido un asociado de replicacin, es posible modificar la programacin de replicacin. Cuando se modifica la programacin en un asociado de replicacin, la programacin en ambos lados es igual despus de la replicacin siguiente. Para modificar frecuencias de replicacin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. En la pgina Administrador, bajo Tareas, haga clic en Editar asociado de replicacin. En el cuadro de dilogo Editar asociado de replicacin, especifique la programacin para la replicacin entre los dos asociados haciendo una de las siguientes tareas:
Marque Replicar automticamente.
340
Replicar datos Replicar paquetes de clientes
Hace que la replicacin frecuente y automtica ocurra entre dos sitios. sta es la opcin predeterminada. Por lo tanto, no es posible configurar una programacin personalizada para la replicacin.
Deje sin marcar Replicar automticamente Es posible ahora configurar una programacin personalizada para la replicacin.

Seleccione una Frecuencia de replicacin cada hora, diaria o semanal. Seleccione el da especfico durante el cual debe ocurrir la replicacin en la lista Da de semana para configurar una programacin semanal.
Replicar paquetes de clientes

Es posible elegir replicar o duplicar paquetes de clientes entre el sitio local y un asociado de replicacin en un sitio remoto. Sera aconsejable copiar la ltima versin de un paquete de clientes desde un sitio local a un sitio remoto. El administrador en el sitio remoto puede entonces implementar el paquete de clientes. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control para obtener ms informacin sobre cmo crear e implementar los paquetes de instalacin de clientes en un sitio. Si decide replicar los paquetes de clientes, es posible duplicar una gran cantidad de datos. Si replica muchos paquetes, los datos pueden llegar a tener hasta 5 GB. Los paquetes de instalacin de Symantec Endpoint Protection y Symantec Network Access Control de 32 bits y de 64 bits pueden ocupar hasta 500 MB del espacio libre en el disco. Consulte la Gua de instalacin para Symantec Endpoint Protection y Symantec Network Access Control para obtener ms informacin sobre los requisitos para el almacenamiento en discos. Para replicar paquetes de clientes entre asociados de replicacin
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. Expanda Asociados de replicacin y seleccione el asociado de replicacin con el cual desee replicar los paquetes de clientes. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del asociado de replicacin.
Replicar datos Replicar registros
341
5 6
En el cuadro de dilogo Propiedades del asociado de replicacin, bajo Asociado, haga clic en Replicar paquetes de cliente entre el sitio local y el sitio asociado. Haga clic en Aceptar.
Replicar registros
Es posible especificar que desea replicar o duplicar los registros adems de la base de datos de un asociado de replicacin. Es posible especificar la replicacin de registros agregando asociados de replicacin o editando las propiedades de un asociado de replicacin. Si planea replicar registros, asegrese de que tiene suficiente espacio libre en el disco para registros adicionales en todos los equipos de asociados de replicacin. Ver "Ver registros de otros sitios" en la pgina 217. Para replicar registros entre los asociados de replicacin
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Administrador. En la pgina Administrador, bajo Ver, haga clic en Asociados de replicacin. Expanda Asociados de replicacin y seleccione el asociado de replicacin para el cual desee iniciar la generacin de registros de replicacin. En la pgina Administrador, bajo Tareas, haga clic en Editar propiedades del asociado de replicacin. En el cuadro de dilogo Propiedades del asociado de replicacin, bajo Asociado, haga clic en Registros replegados del sitio local a este sitio del asociado o Replicar registros desde el sitio asociado al sitio local. Haga clic en Aceptar.
342
Replicar datos Replicar registros
Captulo
22
Administrar Proteccin contra intervenciones


Acerca de la Proteccin contra intervenciones Configurar Proteccin contra intervenciones
Acerca de la Proteccin contra intervenciones

La Proteccin contra intervenciones ofrece proteccin en tiempo real para las aplicaciones de Symantec que se ejecutan en servidores y clientes. Evita que los procesos que no pertenecen a Symantec, tales como gusanos, caballos de Troya, virus y riesgos de seguridad, afecten a los procesos de Symantec. Es posible configurar el software para bloquear o registrar intentos de modificar los procesos de Symantec. Nota: Los analizadores de riesgos de seguridad de otros fabricantes, que detectan aplicaciones de publicidad no deseada y software espa, y que actan como defensa contra stos, por lo general, afectan los procesos de Symantec. Si la Proteccin contra intervenciones est habilitada cuando se ejecuta un analizador, la Proteccin contra intervenciones genera una gran cantidad de notificaciones y de entradas de registro. Para un mejor funcionamiento de la Proteccin contra intervenciones, se recomienda siempre dejarla habilitada. Utilice el filtro de registros si el nmero de los eventos generados es demasiado grande. Cuando un cliente se instala como cliente no administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:
Se habilita Proteccin contra intervenciones.
344
Administrar Proteccin contra intervenciones Configurar Proteccin contra intervenciones
La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es bloquear el intento y registrar el evento. La Proteccin contra intervenciones enva al usuario un mensaje predeterminado cuando detecta un intento de intervencin.
Cuando un cliente se instala como cliente administrado, la Proteccin contra intervenciones tiene los siguientes valores predeterminados:

Se habilita Proteccin contra intervenciones. La accin que toma la Proteccin contra intervenciones cuando detecta un intento de intervencin es slo registrar el evento. La Proteccin contra intervenciones no enva un mensaje al usuario cuando detecta un intento de intervencin.
Nota: Si habilita notificaciones cuando Symantec Endpoint Protection detecta intentos de intervenciones, las notificaciones sobre los procesos de Windows se envan a los equipos afectados, as como se envan las notificaciones sobre los procesos de Symantec.
Configurar Proteccin contra intervenciones

Es posible habilitar y deshabilitar Proteccin contra intervenciones y configurar las medidas que toma cuando detecta un intento de intervencin. Es posible adems configurarla para que notifique a los usuarios cuando detecta un intento de intervencin. La mejor opcin cuando se utiliza inicialmente Symantec Endpoint Protection es utilizar la accin Registrar el evento solamente al supervisar los registros una vez por semana. Cuando est seguro de que no ve ningn falso positivo, configure Proteccin contra intervenciones en Bloquear y registrar el evento. Es posible configurar un mensaje que aparecer en los clientes cuando Symantec Endpoint Protection detecte un intento de intervencin. De forma predeterminada, los mensajes de notificacin aparecen cuando el software detecta un intento de intervencin. El mensaje que se crea puede contener una mezcla de texto y variables. Las variables se rellenan con los valores que identifican las caractersticas del ataque. Si utiliza una variable, debe escribirla exactamente como aparece. La Tabla 22-1 describe las variables que es posible utilizar para configurar un mensaje.
345
Tabla 22-1
Variables y descripciones del mensaje de Proteccin contra intervenciones Descripcin

Accin que Proteccin contra intervenciones llev a cabo para responder al ataque. Nmero de ID del proceso que atac una aplicacin de Symantec. Nombre del proceso que atac una aplicacin de Symantec. Nombre del equipo atacado. Fecha del ataque. Tipo de objetivo que atac el proceso. Nombre del archivo que atac procesos protegidos. rea del hardware o software del equipo que se protegi contra intervenciones. Para los mensajes de Proteccin contra intervenciones, este campo es una aplicacin de Symantec. La ruta completa y el nombre del archivo que atac procesos protegidos. El tipo de intento de intervencin que ocurri. Ubicacin del objetivo atacado por el proceso. Identificacin del proceso que recibi el ataque. Identificacin de la sesin de la terminal en que ocurri el evento. Nombre del usuario que inici la sesin cuando se produjo el ataque.
Campo
[AccinEfectuada]
[IdProcesoActor]
[NombreProcesoActor] [Equipo] [FechaDeteccin] [TipoDeEntidad] [NombreArchivo] [Ubicacin]
[RutaYNombreDeArchivo]
[EventoDelSistema] [NombreRutaDestino] [IdProcesoDestino] [IdSesinTerminalDestino]
[Usuario]
Para habilitar o inhabilitar Proteccin contra intervenciones
1 2 3
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, marque o deje sin marcar Proteger el software de seguridad de Symantec contra intervenciones o intentos de cierre.
346
4 5
Haga clic en el icono de bloqueo si desea evitar que los usuarios modifiquen esta configuracin. Haga clic en Aceptar.
Para configurar las opciones bsicas de Proteccin contra intervenciones
1 2 3
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, en el cuadro de lista, seleccione una de las siguientes acciones:
Para bloquear y registrar actividad no autorizada, haga clic en Bloquear y registrar el evento. Para registrar actividades no autorizadas y permitir que se lleven a cabo, haga clic en Registrar el evento solamente.
4 5
Para habilitar y personalizar los mensajes de notificacin de Proteccin contra intervenciones
1 2 3 4
En la consola, haga clic en Clientes. En la ficha Polticas, bajo Configuracin, haga clic en Configuracin general. En la ficha Proteccin contra intervenciones, haga clic en Mostrar un mensaje de notificacin al detectar una intervencin. En el cuadro del campo del texto, si desea modificar el mensaje predeterminado, es posible escribir texto adicional y eliminar texto. Si utiliza una variable, debe escribirla exactamente como aparece.
5 6
Seccin
Tareas generales de administracin de polticas
Acerca de las polticas Administrar la herencia de un grupo para las ubicaciones y las polticas Administrar las ubicaciones de un grupo Trabajar con polticas Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales Configurar aplicaciones aprendidas
348
Captulo
23
Acerca de las polticas


Descripcin general de las polticas Acerca de las polticas compartidas y no compartidas Acerca de las tareas relacionadas con las polticas Grupos, herencia, ubicaciones y polticas Ejemplos de polticas
Descripcin general de las polticas

La pgina Polticas de la consola de Symantec Endpoint Protection Manager proporciona una solucin centralmente administrada. Maneja la aplicacin de polticas de seguridad, la comprobacin de integridad del host (Symantec Network Access Control solamente) y la reparacin automatizada de todos los clientes. Las funciones de polticas son el corazn del software de Symantec. Los clientes se conectan al servidor para obtener las ltimas polticas, opciones de seguridad y actualizaciones de software. Es posible adems realizar muchas de las tareas relacionadas con las polticas en la pgina Clientes. Tpicamente la mayora de las tareas relacionadas con polticas para las polticas compartidas se realizan en la pgina Polticas. Sin embargo, la mayora de las tareas relacionadas con polticas para las tareas no compartidas se realizan en la pgina Clientes. Symantec Endpoint Protection Manager aprende el comportamiento de las comunicaciones, crea e implementa polticas de seguridad y de cumplimiento, administra estructuras de usuarios y equipos, y se comunica con otros servidores de administracin. Mediante el protocolo de comunicacin de latidos de Symantec, el servidor de administracin aprende sobre usuario, la aplicacin y el
350
Acerca de las polticas Descripcin general de las polticas
comportamiento de red desde los clientes. El servidor de administracin proporciona a las empresas una vista actualizada de su estado de seguridad. Es posible utilizar varios tipos de polticas para administrar el entorno corporativo. Algunas de estas polticas se crean automticamente durante la instalacin. Es posible utilizar una poltica predeterminada como est o personalizarla para adaptarla a un entorno corporativo especfico. La Tabla 23-1 enumera cada poltica, independientemente de si se crea una poltica predeterminada durante la instalacin inicial, y una descripcin para cada poltica. Tabla 23-1 Polticas de Symantec Endpoint Protection Manager Poltica Descripcin predeterminada
S Define la configuracin del anlisis de amenazas antivirus y contra software espa, incluido cmo se manejan los procesos detectados. Define las normas de firewall que permiten y bloquean trfico, y especifica la configuracin del filtrado de trfico inteligente, el trfico y la autenticacin punto a punto. Define las excepciones a las firmas de prevencin de intrusiones y especifica la configuracin de la prevencin de intrusiones, como respuesta activa. Ayuda a definir, restaurar e imponer la seguridad de los clientes para mantener las redes empresariales y los datos seguros. Protege recursos del sistema contra aplicaciones y administra dispositivos perifricos que pueden conectarse a los equipos.
Nombre de poltica
Antivirus y proteccin contra software espa
Firewall
Prevencin de intrusiones
Integridad del host
Acerca de las polticas Descripcin general de las polticas
351
Nombre de poltica
LiveUpdate
Poltica Descripcin predeterminada

S Especifica los equipos que los clientes deben contactar para buscar actualizaciones, junto con la programacin que define cuntas veces los clientes deben buscar actualizaciones. Especifica las excepciones a funciones de polticas determinadas que desee aplicar.
Excepciones centralizadas
No
Las empresas utilizan la informacin que recoge el servidor de administracin para crear polticas de seguridad. Estas polticas de seguridad enlazan usuarios, tecnologa de conectividad, aplicaciones y comunicacin por red a las polticas de seguridad. Las polticas de seguridad de Symantec se administran y se heredan mediante estructuras de grupos de usuarios, equipos y servidores. Es posible importar informacin sobre usuarios y equipos. Es posible tambin sincronizar datos con servidores de directorio, como Active Directory y LDAP. El servidor de administracin se puede centralizar o distribuir en una empresa global para proporcionar escalabilidad, tolerancia de fallos, balanceo de carga y replicacin de polticas. Es posible realizar las siguientes tareas:
Configurar su estructura administrativa y organizativa, que incluye los equipos, los usuarios y los grupos. Configurar las polticas de seguridad. Cada grupo que se define como parte de su estructura organizativa puede tener una poltica separada. Es posible adems configurar polticas individuales para ubicaciones, tales como el hogar y la oficina, dentro de un grupo. Configurar e implementar paquetes de clientes. Personalizar la configuracin del cliente. Administrar los sitios y la replicacin de Symantec Endpoint Protection Manager. Configurar los mdulos de Symantec Enforcer si usted los utiliza como parte de su solucin de aplicacin. Supervisar registros y ver informes.
352
Acerca de las polticas Acerca de las polticas compartidas y no compartidas
Acerca de las polticas compartidas y no compartidas

Es posible crear los siguientes tipos de polticas:
Poltica compartida Se aplica a cualquier grupo y ubicacin. Es posible tener varias polticas compartidas. Se aplica a una ubicacin especfica en un grupo. Sin embargo, es posible tener solamente una poltica por ubicacin.
Poltica no compartida
Es necesario crear polticas compartidas, ya que es posible editar y sustituir fcilmente una poltica en todos los grupos y ubicaciones que la utilicen. Sin embargo, es posible que sea necesaria una poltica especializada para una ubicacin determinada que ya exista. En ese caso, es posible crear una poltica que sea exclusiva para una ubicacin. Cuando se crea una nueva poltica, tpicamente se edita una poltica predeterminada. Una poltica predeterminada siempre incluye normas y opciones de seguridad predeterminadas. Se aplica una poltica separada a cada grupo de usuarios o equipos. Sin embargo, es posible adems aplicar polticas de seguridad separadas a la ubicacin de cada grupo. Por ejemplo, se han asignado varias ubicaciones a un grupo. Cada usuario puede querer conectarse a una red de empresa desde una ubicacin diferente cuando est en la oficina o cuando est en su casa. Es posible que sea necesario aplicar una poltica diferente con su propio grupo de normas y opciones a cada ubicacin.
Acerca de las tareas relacionadas con las polticas

Una vez que termine la instalacin de la consola de Symantec Endpoint Protection Manager, es posible personalizar cualquiera de las polticas predeterminadas. La Tabla 23-2 enumera las tareas de rutina que es necesario realizar cuando se mantienen polticas compartidas y no compartidas.
Acerca de las polticas Acerca de las tareas relacionadas con las polticas
353
Tabla 23-2
Tareas de la administracin de polticas Tipo de poltica

Nombre de la tarea
Agregar
Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos LiveUpdate Excepciones centralizadas Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos LiveUpdate Excepciones centralizadas Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos LiveUpdate Excepciones centralizadas Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos LiveUpdate Excepciones centralizadas
Editar
Eliminar
Exportar
354
Acerca de las polticas Acerca de las tareas relacionadas con las polticas
Nombre de la tarea
Asignar
Tipo de poltica

Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos LiveUpdate Excepciones centralizadas
Nota: No se asigna una poltica no compartida, ya que se

asigna automticamente a la ubicacin en la cual se la crea. Retirar

Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos Excepciones centralizadas Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos LiveUpdate Excepciones centralizadas Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos LiveUpdate Excepciones centralizadas Antivirus y proteccin contra software espa Firewall Prevencin de intrusiones Integridad del host Control de aplicaciones y dispositivos LiveUpdate Excepciones centralizadas
Reemplazar
Copiar
Importar
Acerca de las polticas Grupos, herencia, ubicaciones y polticas
355
Grupos, herencia, ubicaciones y polticas

Es posible desarrollar polticas compartidas y despus aplicarlas a grupos y ubicaciones especficos. Las polticas se pueden aplicar en el nivel del grupo Global, una raz o el grupo principal. Los subgrupos pueden heredar las polticas en la consola de Symantec Endpoint Protection Manager. Es posible aplicar una poltica con varias normas a un grupo o a una ubicacin.
Ejemplos de polticas
Por ejemplo, los usuarios remotos utilizan tpicamente DSL e ISDN, para los cuales puede ser necesaria una conexin VPN. Otros usuarios remotos pueden querer utilizar el acceso telefnico cuando se conectan a la red de la empresa. Los empleados que trabajan en la oficina tpicamente utilizan una conexin de Ethernet. Sin embargo, los grupos de ventas y marketing pueden adems utilizar conexiones inalmbricas. Cada uno de estos grupos puede necesitar sus propias polticas de firewall para las ubicaciones desde las cuales se conectan a la red de la empresa. Sera aconsejable aplicar una poltica restrictiva con respecto a la instalacin de aplicaciones no certificadas en la mayora de las estaciones de trabajo de los empleados para proteger la red de la empresa contra ataques. El grupo de TI puede necesitar acceso a aplicaciones adicionales. Por lo tanto, este grupo puede necesitar una poltica de seguridad menos restrictiva que los empleados tpicos. En este caso, es posible crear una poltica de firewall diferente para el grupo de TI.
356
Acerca de las polticas Ejemplos de polticas
Captulo
24
Administrar la herencia de un grupo para las ubicaciones y las polticas


Acerca de los grupos que heredan ubicaciones y polticas de otros grupos Deshabilitar y habilitar la herencia de un grupo
Acerca de los grupos que heredan ubicaciones y polticas de otros grupos

En la estructura del grupo, los subgrupos inicialmente y automticamente heredan la informacin sobre ubicaciones, polticas y configuracin del grupo principal. De forma predeterminada, la herencia se habilita para cada grupo. Sin embargo, es posible deshabilitar la herencia en cualquier momento para cualquier grupo. Por ejemplo, es posible crear un grupo llamado Ingeniera con un subgrupo que se llame Garanta de calidad. El subgrupo Garanta de calidad incluye automticamente las mismas ubicaciones, polticas y configuracin que el grupo Ingeniera. Si desea modificar las polticas y la configuracin del subgrupo Garanta de calidad, debe primero deshabilitar la herencia para el subgrupo Garanta de calidad. Si no deshabilita la herencia, aparece un mensaje en la parte superior del cuadro de dilogo del elemento que desea modificar. Este mensaje indica que no es posible modificar ubicaciones, polticas o configuracin porque son heredadas del grupo Ingeniera.
358
Administrar la herencia de un grupo para las ubicaciones y las polticas Deshabilitar y habilitar la herencia de un grupo
Si crea un subgrupo y deshabilita posteriormente la herencia para este subgrupo, nada cambia en ese subgrupo inicialmente. Mantiene todas las ubicaciones y polticas del grupo del cual inicialmente heredaba informacin sobre sus ubicaciones y polticas. Sin embargo, es posible realizar cambios al subgrupo que son independientes del grupo del cual inicialmente heredaba informacin sobre sus ubicaciones y polticas. Si realiza cambios y habilita ms tarde la herencia, cualquier cambio para el subgrupo se sobrescribe. Se sobrescriben por las ubicaciones y las polticas que estn presentes actualmente en el grupo del cual ahora hereda sus polticas. Puede desear asignar polticas y opciones a cada grupo. Por lo tanto, debe agregarlas al grupo en el nivel ms alto antes de deshabilitar la herencia para un subgrupo. A continuacin, todos los subgrupos comparten la misma informacin sobre ubicaciones y polticas, incluso si se habilita ms tarde la herencia de nuevo. Ver "Agregar normas heredadas de un grupo principal" en la pgina 499.
Deshabilitar y habilitar la herencia de un grupo

Es posible deshabilitar y habilitar la herencia de un grupo en cualquier momento. De forma predeterminada, se habilita la herencia siempre que se crea una nueva ubicacin para un grupo. Para deshabilitar y habilitar la herencia de un grupo
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee deshabilitar o habilitar la herencia. Es posible seleccionar cualquier grupo con excepcin del grupo asociado al grupo Temporal.
En el panel nombre de grupo, en la ficha Polticas, realice una de las siguientes tareas:
Para deshabilitar herencia, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Para habilitar la herencia, active Heredar polticas y configuracin del grupo principal " nombre de grupo" y despus haga clic en S cuando se le solicite para proceder.
Captulo
25
Administrar las ubicaciones de un grupo


Acerca de las ubicaciones de un grupo Habilitar la asignacin automtica de polticas de un cliente Adicin de una ubicacin con un asistente Adicin de una ubicacin sin un asistente Asignar una ubicacin predeterminada Editar el nombre y la descripcin de la ubicacin de un grupo Eliminar la ubicacin de un grupo
Acerca de las ubicaciones de un grupo

A menudo las polticas y la configuracin deben ser diferentes segn la ubicacin desde la cual un usuario intenta conectarse a la red corporativa. Por lo tanto, es posible crear diversas ubicaciones o perfiles para cada grupo del cual un usuario es miembro. Es posible tener muchas ubicaciones, como en los ejemplos siguientes:

Predeterminada (trabajo en una oficina corporativa) Oficina remota (trabajo en un recurso corporativo remoto) VPN (VPN desde una ubicacin exterior) Hogar (trabajo desde una ubicacin particular a travs de un proveedor de servicios de Internet)
360
Administrar las ubicaciones de un grupo Acerca de las ubicaciones de un grupo
Es posible personalizar la poltica y la configuracin de cada ubicacin segn las condiciones especficas que son apropiadas para esa ubicacin. Por ejemplo, las polticas para la ubicacin predeterminada pueden no ser tan estrictas como las polticas para VPN u hogar. Se utiliza la poltica asociada a la ubicacin predeterminada cuando el usuario est ya detrs de un firewall corporativo. Se agregan ubicaciones despus de que se han configurado todos los grupos que es necesario administrar. Cada grupo puede tener diversas ubicaciones, si su estrategia de seguridad lo necesita. Si agrega una ubicacin, sta se aplica al grupo para el cual usted la cre y a cualquier subgrupo que herede del grupo principal. Por lo tanto, las ubicaciones que se proponga aplicar a todos los usuarios finales se deben crear probablemente en el nivel del grupo Global. Las ubicaciones especficas de un grupo determinado se pueden crear en el nivel del subgrupo. Por ejemplo, en la mayora de las compaas todos los usuarios finales necesitan una ubicacin predeterminada que se agrega automticamente al grupo Global. Sin embargo, no todos los usuarios finales necesitan una conexin VPN. Los usuarios finales que necesitan una conexin VPN pueden ser ordenados en un grupo que se llame Teletrabajadores. Se agrega la ubicacin VPN al grupo Teletrabajadores, adems de a la ubicacin heredada de oficina. Los miembros de ese grupo pueden entonces utilizar las polticas asociadas a las ubicaciones de oficina o VPN.
Acerca de las ubicaciones y el reconocimiento de ubicacin

Si desea proteger su red, es necesario configurar las condiciones para activar esta conmutacin automtica o reconocimiento de ubicacin. Es necesario aplicar automticamente la mejor poltica de seguridad a un cliente o un servidor. La mejor poltica de seguridad tpicamente est relacionada con la ubicacin desde la cual un usuario se conecta. Puede agregar un grupo de condiciones a la ubicacin de cada grupo que selecciona automticamente la poltica de seguridad correcta para un entorno de usuario. Estas condiciones se basan en informacin tal como la configuracin de red del equipo desde el cual fue iniciado el pedido de acceso de red. Una direccin IP, una direccin MAC o la direccin de un servidor de directorios pueden tambin funcionar como condicin. Si modifica una poltica de seguridad en la consola, el servidor de administracin actualiza la poltica en el cliente o el cliente descarga la poltica. Si la ubicacin actual no es vlida despus de la actualizacin, el cliente pasa a otra ubicacin que sea vlida o el cliente utiliza la ubicacin predeterminada.
Administrar las ubicaciones de un grupo Acerca de las ubicaciones de un grupo
361
Acerca de planear ubicaciones

Antes de agregar ubicaciones a un grupo, es necesario considerar los tipos de polticas de seguridad que necesita en su entorno. Adems debe determinar los criterios que definen cada ubicacin. Tenga en cuenta las preguntas siguientes:
Desde qu ubicaciones se estn conectando los usuarios? Considere qu ubicaciones necesitan ser creadas y cmo etiquetar cada una. Por ejemplo, los usuarios pueden conectarse en la oficina, desde su domicilio, desde un sitio de cliente o desde otro sitio remoto tal como un hotel durante un viaje. Puede ser necesario agregar ubicaciones posteriormente en un sitio grande. Se debe configurar el reconocimiento de ubicacin para cada ubicacin? Cmo quiere identificar la ubicacin si usa el reconocimiento de ubicacin? Es posible identificar la ubicacin a partir de direcciones IP, WINS, DHCP o direcciones de servidor DNS, conexiones de red y otros criterios. Si identifica la ubicacin por la conexin de red, qu tipo de conexin es? Por ejemplo, la conexin de red puede ser una conexin a Symantec Endpoint Protection Manager, a una red de acceso telefnico o a una marca determinada de servidor VPN. Quieren que los clientes que se conectan a esta ubicacin utilicen un tipo especfico de control, tal como control de servidor, control mixto o control del cliente? Desea aplicar el control de integridad del host en cada ubicacin? O desea omitirla en algn momento, por ejemplo, cuando no est conectado a Symantec Endpoint Protection Manager? Qu aplicaciones y servicios se deben permitir en cada ubicacin? Es necesario que la ubicacin utilice las mismas opciones de comunicacin que las otras ubicaciones del grupo o utilice una configuracin diferente? Es posible configurar opciones de comunicacin nicas para una ubicacin.
Acerca de la ubicacin predeterminada de un grupo

Se utiliza la ubicacin predeterminada si uno de los siguientes casos ocurren:
Una de las diversas ubicaciones cumple los criterios de la ubicacin y la ltima ubicacin no cumple los criterios de la ubicacin. Se utiliza el reconocimiento de ubicacin y ninguna ubicacin cumple los criterios.
362
Administrar las ubicaciones de un grupo Habilitar la asignacin automtica de polticas de un cliente
La ubicacin cambia de nombre o se modifica en la poltica. El cliente vuelve a la ubicacin predeterminada cuando recibe la nueva poltica.
Cuando Symantec Endpoint Protection Manager se instala inicialmente, slo se configura la ubicacin predeterminada, llamada Predeterminada. En ese momento, la ubicacin predeterminada de cada grupo es Predeterminada. Es posible modificar la ubicacin predeterminada ms tarde despus de agregar otras ubicaciones. Cada grupo debe tener una ubicacin predeterminada. Puede preferir designar una ubicacin como Hogar o Calle como ubicacin predeterminada.
Habilitar la asignacin automtica de polticas de un cliente

Es posible controlar las polticas que se asignan a los clientes segn la ubicacin desde la cual un cliente se conecta. Se debe, por lo tanto, habilitar el reconocimiento de ubicacin. Para habilitar la asignacin automtica de polticas de un cliente
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee implementar la conmutacin automtica de ubicaciones. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible modificar solamente las opciones independientes de la ubicacin para los grupos que no hayan heredado esas polticas y opciones de un grupo principal.
4 5
Bajo Configuracin y polticas independientes de la ubicacin, haga clic en Configuracin general. En el cuadro de dilogo Configuracin general, en la ficha Configuracin general, bajo Configuracin de ubicacin, active Recordar la ltima ubicacin. De forma predeterminada, esta opcin est habilitada. Inicialmente, el cliente se asigna a la poltica asociada a la ubicacin desde la cual el cliente se conect a la red por ltima vez.
Si la opcin Recordar la ltima ubicacin est marcada cuando un equipo cliente se conecta a la red, se asigna inicialmente una poltica al cliente. Esta poltica est asociada a la ubicacin ltima usada. Si se habilita el reconocimiento de ubicacin, el cliente cambia automticamente a la poltica apropiada despus de algunos segundos. La poltica asociada a
Administrar las ubicaciones de un grupo Adicin de una ubicacin con un asistente
363
una ubicacin especfica determina la conexin de red de un cliente. Si se inhabilita el reconocimiento de ubicacin, el cliente puede alternar manualmente entre las ubicaciones, incluso si est en modo de control de servidores. Si se habilita una ubicacin de cuarentena, el cliente puede alternar a la poltica de cuarentena despus de algunos segundos.
Si la opcin Recordar la ltima ubicacin no est seleccionada cuando un cliente se conecta a la red, al cliente se le asigna inicialmente la poltica asociada con la ubicacin predeterminada. El cliente no puede conectarse a la ltima ubicacin usada. Si se habilita el reconocimiento de ubicacin, el cliente cambia automticamente a la poltica apropiada despus de algunos segundos. La poltica asociada a una ubicacin especfica determina la conexin de red de un cliente. Si se inhabilita el reconocimiento de ubicacin, el usuario puede alternar manualmente entre las ubicaciones, incluso si el cliente est en modo de control de servidores. Si se habilita una ubicacin de cuarentena, el cliente puede alternar a la poltica de cuarentena despus de algunos segundos.
Active Habilitar reconocimiento de ubicacin. De forma predeterminada, se habilita el reconocimiento de ubicacin. El cliente se asigna automticamente a la poltica asociada a la ubicacin desde la cual el usuario intenta conectarse a la red.
Adicin de una ubicacin con un asistente

Es posible agregar la ubicacin de un grupo usando un asistente o al editar informacin sobre la ubicacin de un grupo. Cada ubicacin tiene tpicamente su propio grupo de polticas y opciones. Si agrega una ubicacin con el Asistente para agregar ubicaciones, usted asigna la ubicacin a un grupo especfico. Adems, especifica las condiciones bajo las cuales las polticas y las opciones de un grupo pasan a una nueva ubicacin con sus propias polticas y opciones. Para agregar una ubicacin con un asistente
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual se desee agregar una o ms ubicaciones.
364
Administrar las ubicaciones de un grupo Adicin de una ubicacin con un asistente
En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible agregar ubicaciones solamente a los grupos que no heredan polticas del grupo principal.
4 5 6 7
En la pgina Clientes, bajo Tareas, haga clic en Agregar ubicacin. En el panel Bienvenido al Asistente para agregar ubicaciones, haga clic en Siguiente. En el panel Especificar el nombre de la ubicacin, escriba un nombre y una descripcin para la nueva ubicacin y haga clic en Siguiente. En el panel Especificar una condicin, seleccione cualquiera de las siguientes condiciones bajo las cuales un cliente conmutar de una ubicacin a otra:
No hay ninguna condicin especfica Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si hay varias ubicaciones disponibles. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si su direccin IP est incluida en el intervalo especificado. Es necesario especificar la direccin IP inicial y final. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se especifican su mscara de subred y su direccin de subred. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al servidor DNS especificado. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al nombre de dominio especificado y direccin de resolucin DNS. Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al servidor de administracin especificado.
Intervalo de direcciones IP
Direccin de subred y mscara de subred
Servidor DNS
El cliente puede resolver el nombre del host
El cliente puede conectarse con el servidor de administracin
Administrar las ubicaciones de un grupo Adicin de una ubicacin sin un asistente
365
Tipo de conexin de red
Seleccione esta opcin de modo que el cliente pueda elegir esta ubicacin si se conecta al tipo especificado de conexin de red. El cliente pasa a esta ubicacin al usar una de las siguientes conexiones:

Cualquier red Acceso telefnico a redes Ethernet Inalmbrico VPN-1 de Check Point VPN de Cisco VPN PPTP de Microsoft VPN de Juniper NetScreen VPN de Nortel Contivity VPN de SafeNet SoftRemote VPN SSL de Aventail VPN SSL de Juniper
8 9
Haga clic en Siguiente. En el panel Finaliz el Asistente para agregar ubicaciones, haga clic en Finalizar.
Adicin de una ubicacin sin un asistente

Es posible agregar una ubicacin con sus polticas y opciones asociadas a un grupo sin utilizar un asistente. Ver "Adicin de una ubicacin con un asistente" en la pgina 363. Para agregar una ubicacin sin un asistente
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual se desee agregar una o ms ubicaciones. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible agregar solamente ubicaciones a los grupos que no heredan polticas de un grupo ms alto.
4 5
En la pgina Cliente, bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrar ubicaciones, bajo Ubicaciones, haga clic en Agregar.
366
Administrar las ubicaciones de un grupo Asignar una ubicacin predeterminada
6 7 8
En el cuadro de dilogo Agregar ubicacin, escriba el nombre y la descripcin de la nueva ubicacin y despus haga clic en Aceptar. En el cuadro de dilogo Administrar ubicaciones, al lado de Pasar a esta ubicacin cuando, haga clic en Agregar. En el cuadro de dilogo Especificar criterios de ubicacin, en la lista desplegable Tipo, seleccione y defina una condicin. El equipo cliente pasa a la ubicacin si el equipo tiene la condicin especificada.
Haga clic en Aceptar. haga clic en Agregar y despus seleccione Criterios con relacin Y o Criterios con relacin O.
10 Para agregar condiciones adicionales, al lado de Pasar a esta ubicacin cuando,
11 Repita los pasos 8 a 9. 12 Haga clic en Aceptar.
Asignar una ubicacin predeterminada

Cada vez que se crea un nuevo grupo, la consola de Symantec Endpoint Protection Manager crea automticamente una ubicacin predeterminada llamada Predeterminada. Es posible especificar otra ubicacin como ubicacin predeterminada. Para asignar una ubicacin predeterminada
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, haga clic en el grupo al cual desee asignar una ubicacin predeterminada diferente. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrar ubicaciones, bajo Ubicaciones, seleccione la ubicacin que desea establecer como ubicacin predeterminada. Bajo Descripcin, active Establecer esta ubicacin como ubicacin predeterminada en caso de conflicto. La ubicacin Predeterminada es siempre la ubicacin predeterminada hasta que se asigne otra al grupo.
Administrar las ubicaciones de un grupo Editar el nombre y la descripcin de la ubicacin de un grupo
367
Editar el nombre y la descripcin de la ubicacin de un grupo

Es posible editar el nombre y la descripcin de una ubicacin en el nivel de grupo. Para editar el nombre y la descripcin de la ubicacin de un grupo
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, haga clic en el grupo cuyo nombre y descripcin se desea editar. En la ficha Polticas, en el panel Tareas, haga clic en Administrar ubicaciones. En el cuadro de texto Nombre de ubicacin, edite el nombre de la ubicacin. En el cuadro de texto Descripcin, edite la descripcin de la ubicacin. Haga clic en Aceptar.
Eliminar la ubicacin de un grupo

Es posible que sea necesario eliminar la ubicacin de un grupo porque ya no se aplica. Para eliminar una ubicacin
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo que contiene la ubicacin que desea eliminar. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es posible eliminar ubicaciones solamente de los grupos que no heredan polticas de sus grupos principales.
4 5
En la pgina Clientes, bajo Tareas, haga clic en Administrar ubicaciones. En el cuadro de dilogo Administrar ubicaciones, bajo Ubicaciones, seleccione la ubicacin que desea eliminar y despus haga clic en Eliminar. No es posible eliminar la ubicacin configurada como ubicacin predeterminada.
En el cuadro de dilogo Eliminar condicin, haga clic en S.
368
Administrar las ubicaciones de un grupo Eliminar la ubicacin de un grupo
Captulo
26
Trabajar con polticas


Acerca de la utilizacin de polticas Acerca de agregar polticas Acerca de editar polticas Editar una poltica compartida en la pgina Polticas Editar una poltica compartida o no compartida en la pgina Clientes Asignar una poltica compartida Retirar una poltica Eliminar una poltica Exportar una poltica Importar una poltica Acerca de copiar polticas Copiar una poltica compartida en la pgina Poltica Copiar una poltica compartida o no compartida en la pgina Clientes Pegar una poltica Reemplazar una poltica Convertir una poltica compartida en una poltica no compartida Convertir una copia de una poltica compartida en una poltica no compartida
370
Trabajar con polticas Acerca de la utilizacin de polticas
Acerca de la utilizacin de polticas

Es posible realizar las siguientes tareas en todas las polticas:
Agregar Si agrega o edita polticas compartidas en la pgina Polticas, debe adems asignar las polticas a un grupo o a una ubicacin. Si no, las polticas no se aplicarn. Editar Asignar Eliminar Importar y exportar Copiar y pegar Convertir Reemplazar
Cada tarea, en caso de ser pertinente, tiene referencias apropiadas a las tareas que describen los componentes especficos de cada tipo de poltica. Estas polticas pueden ser polticas compartidas o polticas no compartidas.
Acerca de agregar polticas

Es posible agregar polticas compartidas o no compartidas. Tpicamente se agrega cualquier poltica que los grupos y las ubicaciones compartan en la pgina Polticas en la ficha Polticas. Sin embargo, se agrega cualquier poltica que no sea compartida entre grupos y se aplique solamente a una ubicacin especfica en la pgina Clientes. Si decide agregar una poltica en la pgina Clientes, es posible agregar una nueva poltica mediante los siguientes mtodos:

Basar una nueva poltica en una poltica existente. Crear una nueva poltica. Importar una poltica desde una poltica previamente exportada.
Ver "Agregar una poltica compartida en la pgina Polticas" en la pgina 371. Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente" en la pgina 373.
Trabajar con polticas Acerca de agregar polticas
371
Agregar una poltica compartida en la pgina Polticas

Generalmente, se agrega una poltica compartida en la pgina Polticas en lugar de hacerlo en la pgina Clientes. Tanto las ubicaciones como los grupos pueden compartir la misma poltica. Debe asignar la poltica compartida cuando termine de agregarla. Es posible agregar una poltica no compartida desde la pgina Clientes. Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente" en la pgina 373. Para agregar una poltica compartida en la pgina Polticas
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, seleccione cualquiera de los tipos de polticas. En la pgina Polticas, bajo Tareas, haga clic en Agregar una poltica de tipo de poltica. En la pgina Poltica de tipo de poltica, en el panel Descripcin general, escriba el nombre y la descripcin de la poltica. Si no lo ha hecho antes, marque Habilitar esta poltica. En el panel Descripcin general, seleccione una de las siguientes vistas:
Vista de rbol Las polticas asignadas a los grupos y a las ubicaciones se representan como iconos. Las polticas asignadas a los grupos y a las ubicaciones se representan en una lista.
Vista de lista
372
Para configurar la poltica, bajo Ver polticas, haga clic en uno de los siguientes tipos de polticas:
Antivirus y proteccin contra software espa Ver "Acerca de trabajar con polticas de control de aplicaciones y dispositivos" en la pgina 567. Ver "Acerca de trabajar con polticas de firewall" en la pgina 484. Ver "Acerca del uso de Polticas de prevencin de intrusiones" en la pgina 510. Ver "Acerca de trabajar con polticas de control de aplicaciones y dispositivos" en la pgina 567. Ver "Acerca del trabajo con plticas de integridad del host" en la pgina 620. Ver "Acerca de LiveUpdate y las actualizaciones de definiciones y contenido" en la pgina 103. Ver "Acerca de la utilizacin de polticas de excepciones centralizadas" en la pgina 600.
Firewall
Integridad del host
LiveUpdate
8 9
Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar. En el cuadro de dilogo Asignar poltica, realice una de las siguientes acciones:
Para asignar la poltica a un grupo o a una ubicacin ahora, haga clic en S y despus vaya al paso 10. Para asignar la poltica a un grupo o a una ubicacin ms tarde, haga clic en No. Ver "Asignar una poltica compartida" en la pgina 378.
Si no asigna la poltica, los equipos cliente en ese grupo o ubicacin no reciben la poltica.
10 En el cuadro de dilogo Asignar poltica de [tipo de poltica], active los grupos

y las ubicaciones a los cuales desee aplicar la poltica.
11 Haga clic en Asignar. 12 Para confirmar, haga clic en S.
373
Agregar una poltica no compartida en la pgina Clientes con un asistente

Es posible agregar polticas no compartidas o polticas compartidas en la pgina Clientes. Es posible agregar una poltica compartida en la pgina Polticas. Ver "Agregar una poltica compartida en la pgina Polticas" en la pgina 371. Para agregar una poltica no compartida en la pgina Clientes con un asistente
1 2 3
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, localice el grupo al cual desea agregar la poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible agregar una poltica.
4 5
Bajo Configuracin y polticas especficas de la ubicacin, desplcese hasta la ubicacin. A la derecha de Polticas especficas de la ubicacin, haga clic en Agregar una poltica. Si existe una poltica compartida o especfica de la ubicacin, no aparece ms en el asistente Agregar poltica para nombre de ubicacin.
374
En el asistente Agregar poltica para nombre de la ubicacin, seleccione el tipo de poltica que desea agregar y despus haga clic en Siguiente. Es posible agregar polticas especficas de la ubicacin solamente si no existe ninguna. Agregar una poltica aparece solamente si no existe ninguna poltica para un tipo especfico de poltica.
Seleccione entre las siguientes opciones:

Usar una poltica compartida existente Crea una poltica no compartida a partir de una poltica compartida del mismo tipo. Si edita esta poltica, se modifica en todas las ubicaciones que la utilizan. Ver "Agregar una nueva poltica no compartida desde una poltica existente en la pgina Clientes" en la pgina 375. Crear una nueva poltica Crea una poltica no compartida. Ver "Agregar una nueva poltica no compartida en la pgina Clientes" en la pgina 374. Importar una poltica de un archivo de Crea una poltica no compartida a partir de polticas un archivo de formato .dat que fue exportado previamente. Ver "Agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes" en la pgina 376.
Agregar una nueva poltica no compartida en la pgina Clientes

Si crea una poltica no compartida en la pgina Clientes, la poltica se aplica solamente a una ubicacin especfica. Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente" en la pgina 373. Para agregar una nueva poltica no compartida en la pgina Clientes
1 2
En el asistente Agregar poltica para nombre de la ubicacin, seleccione el tipo de poltica que desea agregar y despus haga clic en Siguiente. Haga clic en Crear una nueva poltica y despus haga clic en Siguiente.
375
3 4
En el panel Descripcin general de tipo de poltica, escriba el nombre y la descripcin de la poltica. Para configurar la poltica, bajo Ver polticas, haga clic en uno de los siguientes tipos de polticas:
Antivirus y proteccin contra Ver "Acerca de trabajar con polticas antivirus y contra software espa software espa" en la pgina 410. Firewall Ver "Acerca de trabajar con polticas de firewall" en la pgina 484. Ver "Acerca del uso de Polticas de prevencin de intrusiones" en la pgina 510. Ver "Acerca de trabajar con polticas de control de aplicaciones y dispositivos" en la pgina 567. Ver "Acerca del trabajo con plticas de integridad del host" en la pgina 620. Ver "Acerca de LiveUpdate y las actualizaciones de definiciones y contenido" en la pgina 103. Ver "Acerca de la utilizacin de polticas de excepciones centralizadas" en la pgina 600.
Control de aplicaciones y dispositivos Integridad del host
LiveUpdate
Agregar una nueva poltica no compartida desde una poltica existente en la pgina Clientes
Es posible agregar una nueva poltica no compartida desde una poltica existente en la pgina Clientes. Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente" en la pgina 373. Para agregar una nueva poltica no compartida desde una poltica existente en la pgina Clientes
1 2 3 4
En el asistente Agregar poltica para nombre de la ubicacin, seleccione el tipo de poltica que desea agregar y despus haga clic en Siguiente. Haga clic en Usar una poltica compartida existente y despus haga clic en Siguiente. En el cuadro de dilogo Agregar poltica, seleccione una poltica existente de la lista desplegable Poltica. Haga clic en Aceptar.
376
Trabajar con polticas Acerca de editar polticas
Agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes
Es posible agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes. Ver "Agregar una poltica no compartida en la pgina Clientes con un asistente" en la pgina 373. Para agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes
1 2 3 4
En el asistente Agregar poltica para nombre de la ubicacin, seleccione el tipo de poltica que desea agregar y despus haga clic en Siguiente. Haga clic en Importar una poltica de un archivo de polticas y despus haga clic en Siguiente. En el cuadro de dilogo Importar poltica, busque el archivo .dat que fue exportado previamente. Haga clic en Importar.
Acerca de editar polticas

Es posible editar polticas compartidas en la ficha Polticas de la pgina Polticas y en la pgina Cliente. Sin embargo, es posible editar solamente polticas no compartidas en la pgina Clientes.
Editar una poltica compartida en la pgina Polticas

Tanto las ubicaciones como los grupos pueden compartir la misma poltica. Es necesario asignar una poltica compartida despus de que se la edita. Para editar una poltica compartida en la pgina Polticas
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea editar. Bajo Tareas, haga clic en Editar la poltica.
Trabajar con polticas Editar una poltica compartida o no compartida en la pgina Clientes
377
5 6
En el panel Descripcin general de tipo de poltica, edite el nombre y la descripcin de la poltica, si es necesario. Para editar la poltica, haga clic en cualquiera de las pginas Poltica de tipo de poltica para las siguientes polticas:
LiveUpdate
Editar una poltica compartida o no compartida en la pgina Clientes

Es posible editar las polticas compartidas y no compartidas en la pgina Clientes. Para editar una poltica compartida o no compartida en la pgina Clientes
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee editar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible editar una poltica.
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee editar.
378
Trabajar con polticas Asignar una poltica compartida
5 6 7
Localice la poltica especfica para la ubicacin que desee editar. A la derecha de la poltica seleccionada, haga clic en Tareas y despus haga clic en Editar poltica. Realice una de las tareas siguientes:

Para editar una poltica no compartida, vaya al paso 8. Para editar una poltica compartida, en el cuadro de dilogo Editar poltica, haga clic en Editar compartidas para editar la poltica en todas las ubicaciones.
Es posible hacer clic en un vnculo para el tipo de poltica que desee editar:
LiveUpdate
Asignar una poltica compartida

Despus de crear una poltica compartida en la pgina Polticas, debe asignarla a uno o ms grupos y a una o ms ubicaciones. Las polticas no asignadas no se descargan a los equipos cliente en grupos y ubicaciones. Si no asigna la poltica cuando se agrega la poltica, es posible asignarla a grupos y ubicaciones ms tarde. Es posible tambin reasignar una poltica a un grupo o ubicacin diferente.
Trabajar con polticas Retirar una poltica
379
Para asignar una poltica compartida
Agregue una poltica compartida. Ver "Agregar una poltica compartida en la pgina Polticas" en la pgina 371.
2 3 4 5 6 7
En la pgina Polticas, bajo Ver polticas, seleccione el tipo de poltica que desea asignar. En el panel Polticas de tipo de poltica, seleccione la poltica especfica que desea asignar. En la pgina Polticas, bajo Tareas, haga clic en Asignar la poltica. En el cuadro de dilogo Asignar poltica de tipo de poltica, active los grupos y las ubicaciones a los cuales desee asignar la poltica. Haga clic en Asignar. Haga clic en S para confirmar que desea asignar la poltica.
Retirar una poltica

Puede ser necesario retirar una poltica de un grupo o una ubicacin en ciertas circunstancias. Por ejemplo, un grupo especfico pudo haber experimentado problemas despus de que usted introdujo una nueva poltica. Si retira una poltica, sta se retira automticamente de los grupos y las ubicaciones que usted seal. Sin embargo, la poltica permanece en la base de datos. Es posible retirar todas las polticas en la pgina Polticas, a excepcin de las siguientes polticas:

Antivirus y proteccin contra software espa LiveUpdate
Nota: Es necesario retirar una poltica de todos los grupos y ubicaciones para eliminarla. No es posible retirar una poltica antivirus y contra software espa o de LiveUpdate de una ubicacin o de un grupo. Es posible substituirlas solamente por otra poltica antivirus y contra software espa o de LiveUpdate. Para retirar una poltica compartida en la pgina Polticas
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea retirar.
380
Trabajar con polticas Eliminar una poltica
3 4 5 6 7
En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea retirar. En la pgina Polticas, bajo Tareas, haga clic en Retirar la poltica. En el cuadro de dilogo Retirar poltica, marque los grupos y las ubicaciones de los cuales desee retirar la poltica. Haga clic en Retirar. Cuando el sistema le solicite que confirme que desea retirar la poltica para los grupos y las ubicaciones, haga clic en S.
Para retirar una poltica compartida o no compartida en la pgina Clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee retirar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible retirar una poltica.
4 5 6 7
Bajo Configuracin y polticas especficas de la ubicacin, busque el nombre de la ubicacin para la cual desea retirar una poltica. Localice la poltica para la ubicacin que desee retirar. Haga clic en Tareas y, despus, en Retirar poltica. En el cuadro de dilogo Retirar poltica, haga clic en S.
Eliminar una poltica

Es posible que deba eliminar una poltica que se aplique a los grupos y a las ubicaciones. Por ejemplo, las guas de consulta corporativas pueden modificarse porque necesitan la implementacin de diferentes polticas. A medida que se agregan nuevos grupos corporativos, es posible que deba eliminar los grupos anteriores y sus polticas asociadas. Puede ser necesario eliminar una poltica compartida o una poltica no compartida. A medida que se agregan nuevas ubicaciones y nuevos grupos, es posible que deba eliminar polticas anteriores. Para eliminar una poltica no compartida, se la retira y elimina usando el mismo comando.
Trabajar con polticas Eliminar una poltica
381
Nota: Una poltica que se ha asignado a un grupo o a una ubicacin debe retirarse antes de poder eliminarla. No es posible retirar una poltica antivirus y contra software espa o una poltica de LiveUpdate. En su lugar, se debe primero sustituirla por otra poltica contra software espa o poltica de LiveUpdate. A continuacin, es posible eliminar la poltica contra software espa o la poltica de LiveUpdate original. Es necesario tener por lo menos una poltica contra software espa y una poltica de LiveUpdate para cada grupo y cada ubicacin. Para eliminar una poltica compartida en la pgina Poltica
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, seleccione el tipo de poltica que desea eliminar. La poltica se pudo haber asignado a uno o ms grupos y a una o ms ubicaciones.
3 4 5
En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea eliminar. En la pgina Polticas, bajo Tareas, haga clic en Eliminar la poltica. Cuando se le solicite que confirme que desea eliminar la poltica seleccionada, haga clic en S.
Para eliminar una poltica no compartida en la pgina Clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el que desea eliminar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible eliminar una poltica.
4 5
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee eliminar. Localice la poltica especfica para la ubicacin que desea eliminar.
382
Trabajar con polticas Exportar una poltica
A la derecha de la poltica seleccionada, haga clic en Tareas y despus haga clic en Retirar poltica. Cuando se retira la poltica, se la elimina el mismo tiempo. No es posible eliminar una poltica antivirus y contra software espa o una poltica de LiveUpdate de una ubicacin. Slo es posible sustituirla por otra poltica.
Haga clic en S.
Exportar una poltica

Puede exportar polticas existentes a un archivo .dat. Por ejemplo, es posible que desee exportar una poltica para utilizarla en un sitio distinto. En el otro sitio, es necesario importar la poltica usando el archivo .dat del sitio original. Toda la configuracin asociada a la poltica se exporta automticamente. Es posible exportar una poltica compartida o no compartida. Para exportar una poltica compartida en la pgina Polticas
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea exportar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea exportar. En la pgina Polticas, bajo Tareas, haga clic en Exportar la poltica. En el cuadro de dilogo Exportar poltica, localice la carpeta donde desea exportar el archivo de polticas y despus haga clic en Exportar.
Para exportar una poltica compartida o no compartida en la pgina Clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee exportar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible exportar una poltica.
4 5
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee exportar. Localice la poltica especfica para la ubicacin que desea exportar.
Trabajar con polticas Importar una poltica
383
6 7 8
A la derecha de la poltica, haga clic en Tareas y despus haga clic en Exportar poltica. En el cuadro de dilogo Exportar poltica, busque la carpeta a la que desea exportar la poltica. En el cuadro de dilogo Exportar poltica, haga clic en Exportar.
Importar una poltica

Es posible importar un archivo de polticas y aplicarlo a un grupo o solamente a una ubicacin. El formato del archivo de importacin es .dat. Es posible importar una poltica compartida o no compartida para una ubicacin especfica en la pgina Clientes. Ver "Agregar una nueva poltica no compartida desde un archivo de polticas previamente exportado en la pgina Clientes" en la pgina 376. Para importar una poltica compartida en la pgina Polticas
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desee importar. En el panel Polticas de tipo de poltica, haga clic en la poltica que desea importar. En la pgina Polticas, bajo Tareas, haga clic en Importar una poltica de tipo de poltica. En el cuadro de dilogo Importar poltica, vaya al archivo de polticas que desee importar y haga clic en Importar.
Acerca de copiar polticas

Es posible que desee copiar una poltica antes de personalizarla. Despus de copiar una poltica, debe pegarla.. Ver "Pegar una poltica" en la pgina 385.
Copiar una poltica compartida en la pgina Poltica

Es posible copiar una poltica compartida en la pgina Poltica. Es posible tambin copiar una poltica compartida en la pgina Clientes.
384
Trabajar con polticas Copiar una poltica compartida o no compartida en la pgina Clientes
Ver "Copiar una poltica compartida o no compartida en la pgina Clientes" en la pgina 384. Para copiar una poltica compartida en la pgina Poltica
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desee copiar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea copiar. En la pgina Polticas, bajo Tareas, haga clic en Copiar la poltica. En el cuadro de dilogo Copiar poltica, marque No volver a mostrar este mensaje. Marque esta opcin solamente si no desea seguir siendo notificado sobre este proceso. El mensaje indica que la poltica se ha copiado al portapapeles y que est lista para ser pegada.
Copiar una poltica compartida o no compartida en la pgina Clientes

Es posible copiar una poltica compartida o no compartida en la pgina Clientes. Sin embargo, se debe posteriormente pegar la poltica en la pgina Clientes. Tambin es posible copiar polticas compartidas en la pgina Poltica. Ver "Copiar una poltica compartida en la pgina Poltica" en la pgina 383. Para copiar una poltica compartida o no compartida en la pgina Clientes
1 2
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee copiar una poltica. En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin, desfile para encontrar el nombre de la ubicacin desde la cual desea copiar una poltica. Localice la poltica especfica para la ubicacin que desee copiar. A la derecha de la poltica, haga clic en Tareas y despus haga clic en Copiar.
4 5
Trabajar con polticas Pegar una poltica
385
En el cuadro de dilogo Copiar poltica, marque No volver a mostrar este mensaje. Marque esta opcin solamente si no desea seguir siendo notificado sobre este proceso. El mensaje indica que la poltica se ha copiado al portapapeles y que est lista para ser pegada.
Pegar una poltica

Es necesario haber copiado una poltica antes de poder pegarla. Para las polticas compartidas, cuando se pega una poltica, la poltica aparece en el panel derecho. Las palabras "Copia de" se agregan al principio del nombre de la poltica para distinguirla como copia. Es posible editar el nombre de la poltica copiada. Ver "Acerca de copiar polticas" en la pgina 383. Para pegar una poltica compartida en la pgina Poltica
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea pegar. En el panel Polticas de tipo de poltica, haga clic en la poltica especfica que desea pegar. En la pgina Polticas, bajo Tareas, haga clic en Pegar una poltica.
Para pegar una poltica compartida o no compartida en la pgina Clientes
1 2 3
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee pegar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible pegar una poltica.
4 5
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee pegar. Localice la poltica especfica para la ubicacin que desee pegar.
386
Trabajar con polticas Reemplazar una poltica
6 7
A la derecha de la poltica, haga clic en Tareas y despus haga clic en Pegar. Cuando se le pregunte si desea sobrescribir la poltica existente, haga clic en S.
Reemplazar una poltica

Es posible que desee sustituir una poltica compartida por otra. Es posible substituir la poltica compartida en todas las ubicaciones o en una ubicacin. Cuando se reemplaza una poltica para todas las ubicaciones, el servidor de administracin sustituye solamente la poltica para las ubicaciones que la tienen. Por ejemplo, suponga que el grupo de ventas utiliza la poltica de ventas para tres de sus cuatro ubicaciones. Si reemplaza la poltica de ventas por la poltica de marketing, slo esas tres ubicaciones reciben la poltica de marketing. Es posible que un grupo de clientes utilice la misma configuracin sin importar la ubicacin en la que estn. En este caso, es posible tambin reemplazar una poltica no compartida por una poltica compartida. Se sustituye una poltica no compartida por una poltica compartida para cada ubicacin por separado. Para reemplazar una poltica compartida para todas las ubicaciones
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. En la pgina Polticas, bajo Ver polticas, haga clic en el tipo de poltica que desea reemplazar. En el panel Polticas de tipo de poltica, haga clic en la poltica. En la pgina Polticas, bajo Tareas, haga clic en Reemplazar la poltica. En el cuadro de dilogo Reemplazar poltica de tipo de poltica, en la lista desplegable Nueva poltica de tipo de poltica, seleccione la poltica compartida que reemplaza la anterior. Seleccione los grupos y las ubicaciones para los que desee reemplazar la poltica existente. Haga clic en Reemplazar. Cuando el sistema le solicite que confirme el reemplazo de la poltica para los grupos y las ubicaciones, haga clic en S.
6 7 8
Trabajar con polticas Convertir una poltica compartida en una poltica no compartida
387
Para reemplazar una poltica compartida o una poltica no compartida para una ubicacin
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee reemplazar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible reemplazar una poltica.
4 5 6 7
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar la ubicacin que contiene la poltica. Al lado de la poltica que desee sustituir, haga clic en Tareas y, despus, en Reemplazar poltica. En el cuadro de dilogo Reemplazar poltica, en la lista desplegable Nueva poltica, seleccione la poltica de reemplazo. Haga clic en Aceptar.
Convertir una poltica compartida en una poltica no compartida

Se puede convertir una poltica compartida existente en una poltica no compartida porque la poltica ya no se aplica a todos los grupos o todas las ubicaciones. Cuando finaliza la conversin, la poltica convertida con su nuevo nombre aparece bajo Configuracin y polticas especficas de la ubicacin. Para convertir una poltica compartida en una poltica no compartida
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el que desea convertir una poltica. En el panel asociado al grupo que usted seleccion en el paso anterior, haga clic en Polticas. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Si no deshabilita la herencia, no es posible exportar ninguna poltica.
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar el nombre de la ubicacin cuya poltica desee convertir.
388
Trabajar con polticas Convertir una copia de una poltica compartida en una poltica no compartida
6 7 8 9
Localice la poltica especfica para la ubicacin que desee convertir. Haga clic en Tareas y luego en Convertir en poltica no compartida. En el cuadro de dilogo Descripcin general, edite el nombre y la descripcin de la poltica. Haga clic en Aceptar.
Convertir una copia de una poltica compartida en una poltica no compartida

Es posible copiar el contenido de una poltica compartida y crear una poltica no compartida de ese contenido. Una copia le permite modificar el contenido de una poltica compartida en una ubicacin y no en el resto de las ubicaciones. La copia anula la poltica no compartida existente. Para convertir una copia de una poltica compartida en una poltica no compartida
1 2 3
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee reemplazar una poltica. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Es necesario deshabilitar la herencia para este grupo. Si no deshabilita la herencia, no es posible reemplazar una poltica.
4 5 6 7
Bajo Configuracin y polticas especficas de la ubicacin, desplcese para encontrar la ubicacin que contiene la poltica. Al lado de la poltica que desee sustituir, haga clic en Tareas y, despus, en Editar poltica. En el cuadro de dilogo Editar poltica, haga clic en Crear poltica no compartida a partir de copia. Edite la poltica. Ver "Acerca de editar polticas" en la pgina 376.
Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Captulo
27
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales

Acerca del modo de obtencin y el modo de transferencia Especificar el modo de transferencia o de obtencin
Acerca del modo de obtencin y el modo de transferencia

Es posible configurar el cliente en el modo de transferencia o en el modo de obtencin. En cualquier modo, el cliente toma la medida correspondiente basada en el cambio en el estado del servidor de administracin. Debido a la conexin constante, el modo de transferencia necesita un ancho de banda de red grande. La mayor parte del tiempo se deben configurar los clientes en el modo de obtencin.
modo de obtencin El cliente se conecta al administrador peridicamente, segn la frecuencia de la configuracin del latido. El cliente comprueba el estado del servidor de administracin cuando el cliente se conecta.
390
Extraer o transferir polticas entre los servidores de administracin, los clientes y los mdulos de Enforcer opcionales Especificar el modo de transferencia o de obtencin
modo de transferencia
El cliente establece una conexin HTTP constante con el servidor de administracin. Siempre que un cambio ocurra en el estado del servidor de administracin, notifica al cliente inmediatamente.
Acerca del latido

Un latido es la frecuencia en la cual los equipos cliente cargan datos y descargan polticas. Un latido es un protocolo que cada cliente utiliza para comunicarse con Symantec Endpoint Protection Manager. La frecuencia de latidos es un factor clave en el nmero de clientes que cada Symantec Endpoint Protection Manager pueda admitir. Symantec Corporation recomienda lo siguiente para las implementaciones grandes. Las implementaciones de 1000 puestos o ms deben configurar la frecuencia de latidos a la longitud del tiempo mxima que cumple los requisitos de seguridad de una compaa. Por ejemplo, si desea actualizar polticas de seguridad y reunir registros a diario, entonces, configure la frecuencia de latidos en 24 horas. Esta configuracin permite a cada cliente comunicarse con Symantec Endpoint Protection Manager poco despus de que se reinicia Symantec Endpoint Protection Manager. La primera vez que ocurre un latido se basa en la frecuencia de latidos que usted configura. Se calcula esta incidencia del primer latido de la siguiente manera: frecuencia de latidos x .05 (el 5%) Cuando usted configura una frecuencia de latidos en 30 minutos, el primer latido ocurre en 90 segundos. Este intervalo se calcula como cinco por ciento de la configuracin del latido. Si configura una frecuencia de latidos en 30 minutos o menos, se limita el nmero total de clientes que Symantec Endpoint Protection Manager puede admitir. Es posible que necesite una alta frecuencia de latidos en una implementacin grande (1000 puestos o ms) en cada Symantec Endpoint Protection Manager. En este caso, consulte a Symantec Professional Services y a Symantec Enterprise Support para evaluar la configuracin, el hardware y la arquitectura de red adecuados y necesarios para su entorno de red.
Especificar el modo de transferencia o de obtencin

Es posible especificar si el servidor de administracin transfiere la poltica a los clientes o si los clientes obtienen la poltica del servidor de administracin. El modo de transferencia es la configuracin predeterminada. Si selecciona el modo de obtencin, se debe adems configurar la frecuencia con la que cada cliente se conecta al servidor de administracin. Es posible configurar el modo de transferencia o de obtencin para grupos o ubicaciones.
391
Para especificar el modo de transferencia o de obtencin para un grupo
1 2 3 4 5 6
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee especificar si se transferirn u obtendrn las polticas. En la pgina Clientes, haga clic en la ficha Polticas. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "nombre de grupo". Bajo el panel Configuracin y polticas independientes de la ubicacin, bajo Configuracin, haga clic en Configuracin de comunicaciones. En el cuadro de dilogo Configuracin de comunicaciones para nombre de grupo, bajo Descarga, verifique que Descargar polticas y contenido del servidor de administracin est activado. Realice una de las tareas siguientes:

Haga clic en Modo de transferencia. Haga clic en Modo de obtencin y bajo Intervalo de latidos, configure el nmero de minutos o de horas.
Para especificar el modo de transferencia o de obtencin para una ubicacin
1 2 3 4 5
En la consola, haga clic en Clientes. En la pgina Clientes, bajo Ver clientes, seleccione el grupo para el cual desee especificar si se transferirn u obtendrn las polticas. En la pgina Clientes, haga clic en la ficha Polticas. En la ficha Polticas, desactive Heredar polticas y configuracin del grupo principal "Global". Bajo Configuracin y polticas especficas de la ubicacin, bajo Polticas especficas de la ubicacin para la ubicacin que desea modificar, expanda Configuracin especfica de la ubicacin. Bajo Configuracin especfica de la ubicacin, a la derecha de Configuracin de comunicaciones, haga clic en Tareas > Editar configuracin y desactive Usar configuracin de comunicaciones de grupo. A la derecha de Configuracin de comunicaciones, haga clic en Local Transferir o (Local - Obtener). Realice una de las tareas siguientes:
7 8
Haga clic en Modo de transferencia.
392
Haga clic en Modo de obtencin y bajo Intervalo de latidos, configure el nmero de minutos o de horas.
Captulo
28
Configurar aplicaciones aprendidas


Acerca de aplicaciones aprendidas Habilitar aplicaciones aprendidas Buscar aplicaciones
Acerca de aplicaciones aprendidas

El cliente supervisa y recopila informacin sobre las aplicaciones y los servicios que se ejecutan en cada equipo. Puede configurar el cliente para que recopile la informacin en una lista y para enviar la lista al servidor de administracin. La lista de aplicaciones y sus caractersticas se llama aplicaciones aprendidas. Es posible utilizar esta informacin para descubrir qu aplicaciones estn ejecutando los usuarios. Es posible tambin utilizar la informacin cuando se necesita informacin sobre aplicaciones de las reas siguientes:

Polticas de firewall Polticas de control de aplicaciones y dispositivos Anlisis de amenazas proactivos TruScan Polticas de integridad del host Supervisin de aplicaciones de red Listas de huellas digitales de archivos
La consola incluye una herramienta de consulta para buscar una lista de aplicaciones. Es posible buscar en criterios basados en aplicaciones o criterios
394
Configurar aplicaciones aprendidas Habilitar aplicaciones aprendidas
basados en equipos. Por ejemplo, puede descubrir la versin de Internet Explorer que cada equipo cliente utiliza. Nota: En algunos pases, es posible que no est permitido por ley local utilizar la herramienta de aplicaciones aprendidas en ciertas circunstancias, por ejemplo, para obtener informacin de uso de una aplicacin desde un equipo porttil cuando un empleado inicia sesin en la red de la oficina desde su domicilio con el equipo porttil de la empresa. Antes de utilizar esta herramienta, confirme que est permitido utilizarla para sus propsitos en su jurisdiccin. Si no se permite, siga las instrucciones para deshabilitar la herramienta.
Nota: El cliente no registra informacin sobre las aplicaciones que ejecutan los clientes de Symantec Network Access Control. La funcin de las aplicaciones aprendidas no est disponible en la consola si instala slo Symantec Network Access Control. Si integra Symantec Network Access Control con Symantec Endpoint Protection, puede utilizar la herramienta de las aplicaciones aprendidas con las Polticas de integridad del host. Es necesario instalar el mdulo de proteccin contra amenazas de red y el mdulo de control de aplicaciones y dispositivos en el cliente para que esta caracterstica funcione.
Habilitar aplicaciones aprendidas

Es posible habilitar las aplicaciones aprendidas para sitios enteros, para grupos dentro de un sitio o para ubicaciones dentro de un grupo. La funcin de aplicaciones aprendidas est habilitada de forma predeterminada para el sitio, el grupo y la ubicacin. Primero se habilitan las aplicaciones aprendidas para cada sitio y, a continuacin, se habilitan opcionalmente las aplicaciones aprendidas para grupos y ubicaciones especficos. Para habilitar aplicaciones aprendidas, es necesario realizar las siguientes tareas:
Habilitar aplicaciones aprendidas para el sitio. Es necesario habilitar la herramienta de aplicaciones aprendidas para que un sitio utilice la herramienta para un grupo o una ubicacin especficos. Habilitar los clientes para que enven aplicaciones aprendidas al servidor de administracin por grupo o por ubicacin.
Es posible configurar una notificacin que se enviar a su direccin de correo electrnico cuando cada cliente de un grupo o una ubicacin ejecute una aplicacin. Ver "Crear notificaciones de administrador" en la pgina 231.
Configurar aplicaciones aprendidas Habilitar aplicaciones aprendidas
395
Puede configurar las aplicaciones aprendidas para los servidores de administracin dentro de un sitio local o dentro de un sitio remoto. Para habilitar las aplicaciones aprendidas para un sitio
1 2
En la consola, haga clic en Administrador y, luego, haga clic en Servidores. Bajo Ver servidores, realice una de las siguientes acciones:

Haga clic en Sitio local (Sitio nombre del sitio). Expanda Sitios remotos y, a continuacin, haga clic en Sitio nombre del sitio.
3 4
Bajo Tareas, haga clic en Editar propiedades del sitio. En el cuadro de dilogo Propiedades del sitio para nombre del sitio, en la ficha General, marque Realizar un seguimiento de cada aplicacin que ejecutan los clientes. Haga clic en Aceptar.
Despus de habilitar un sitio para recopilar las listas de aplicaciones aprendidas de los clientes, se permite a los clientes que enven las listas al servidor por grupo o por ubicacin. Nota: Es posible modificar esta opcin solamente para los subgrupos que no heredan sus polticas y opciones de un grupo principal. Para enviar la lista de aplicaciones aprendidas al servidor de administracin
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo. En la ficha Polticas, haga clic en Configuracin de comunicaciones. En el cuadro de dilogo Configuracin de comunicaciones para nombre del grupo, asegrese de que Aprender aplicaciones que se ejecutan en los equipos cliente est activado. Haga clic en Aceptar.
Para enviar aplicaciones aprendidas al servidor de administracin para una ubicacin
1 2 3
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo. Bajo Configuracin y polticas especficas de la ubicacin, seleccione la ubicacin y despus expanda Configuracin especfica de la ubicacin.
396
Configurar aplicaciones aprendidas Buscar aplicaciones
A la derecha de Configuracin de comunicaciones, haga clic en Tareas y despus deje sin marcar Usar configuracin de comunicaciones de grupo. Esta opcin permite crear una opcin de ubicacin en lugar de una opcin de grupo.
5 6
Haga clic en Tareas y despus haga clic en Editar configuracin. En el cuadro de dilogo Configuracin de comunicaciones de nombre de la ubicacin, marque Aprender aplicaciones que se ejecutan en los equipos cliente. Haga clic en Aceptar.
Buscar aplicaciones
Despus de que el servidor de administracin reciba la lista de aplicaciones de los clientes, es posible realizar consultas sobre los detalles de las aplicaciones. Por ejemplo, es posible encontrar todos los equipos cliente que utilizan una aplicacin no autorizada. Es posible entonces crear una norma de firewall para bloquear la aplicacin en el equipo cliente. O es posible actualizar todos los equipos cliente para que utilicen la versin ms actual de Microsoft Word. Es posible buscar una aplicacin de las siguientes maneras:
Por aplicacin. Es posible limitar la bsqueda a aplicaciones o detalles de aplicaciones especficos, como el nombre, la huella digital del archivo, la ruta, el tamao, la versin o la hora de la ltima modificacin. Por cliente o equipo cliente. Es posible buscar las aplicaciones que un usuario o un equipo especfico ejecuta. Por ejemplo, es posible buscar la direccin IP del equipo.
Es posible tambin buscar nombres de aplicacin para agregarlos a una norma de firewall, directamente dentro de la poltica de firewall. Ver "Agregar aplicaciones a una norma" en la pgina 534. La informacin sobre los clientes que es posible elegir en Campo de bsqueda se obtiene de los clientes cuando se los agrega. Ver "Ver las propiedades de un cliente" en la pgina 78. Para buscar aplicaciones
1 2
En la consola, haga clic en Polticas. En la pgina Polticas, bajo Tareas, haga clic en Buscar aplicaciones.
397
3 4
En el cuadro de dilogo Buscar aplicaciones, a la derecha del campo Buscar aplicaciones en, haga clic en Examinar. En el cuadro de dilogo Seleccionar grupo o ubicacin, seleccione un grupo de clientes para el cual desee ver aplicaciones y haga clic en Aceptar. Es posible especificar solamente un grupo por vez.
5 6
Asegrese de que Buscar subgrupos est marcada. Realice una de las acciones siguientes:
Para buscar informacin por usuario o equipo, haga clic en A partir de informacin del equipo/cliente. Para buscar por aplicacin, haga clic en A partir de aplicaciones.
Haga clic en la celda vaca bajo Campo de bsqueda y despus seleccione el criterio de bsqueda de la lista. La celda Campo de bsqueda muestra los criterios para la opcin que usted seleccion. Para obtener informacin sobre estos criterios, haga clic en Ayuda.
8 9
Haga clic en la celda vaca bajo Operador de comparacin y despus seleccione uno de los operadores. Haga clic en la celda vaca bajo Valor y a continuacin seleccione o escriba un valor. La celda Valor puede proporcionar un formato o un valor de la lista desplegable, de acuerdo con el criterio que usted haya seleccionado en la celda Campo de bsqueda.
10 Para agregar un criterio de bsqueda adicional, haga clic en la segunda fila

y despus escriba informacin en las celdas Campo de bsqueda, Operador de comparacin y Valor. Si escribe ms de una fila de criterios de bsqueda, la consulta busca coincidencias con todas las condiciones.
11 Haga clic en Buscar. 12 En la tabla Resultados de la consulta, realice una de las siguientes tareas:
Haga clic en las flechas de desplazamiento para ver filas y columnas adicionales. Haga clic en Atrs y Siguiente para ver pantallas de informacin adicionales. Seleccione una fila y despus haga clic en Ver detalles para ver informacin adicional sobre la aplicacin.
Los resultados no se guardan a menos que usted los exporte a un archivo.
398
13 Para quitar los resultados de la consulta, haga clic en Borrar todo. 14 Haga clic en Cerrar.
Guardar los resultados de una bsqueda de aplicaciones

Despus de ejecutar la consulta, es posible guardar los resultados en un archivo de texto o un archivo delimitado por comas. La herramienta de consulta exporta todos los resultados de la consulta, en lugar de una fila seleccionada. Para guardar los resultados de una bsqueda de aplicaciones
Busque los detalles sobre una aplicacin o un equipo cliente. Ver "Buscar aplicaciones" en la pgina 396.
2 3
En el cuadro de dilogo Buscar aplicaciones, bajo Resultados de la consulta, haga clic en Exportar. En el cuadro de dilogo Exportar resultados, escriba el nmero para la pgina que contiene los detalles de la aplicacin y los detalles del equipo cliente que desee exportar. Seleccione o escriba el nombre de ruta y el nombre de archivo al cual desee exportar el archivo y, luego, haga clic en Exportar. Para confirmar, haga clic en Aceptar. Cuando haya terminado de buscar aplicaciones, haga clic en Cerrar.
4 5 6
Seccin
Configurar la proteccin antivirus y contra software espa
Configuracin bsica de polticas antivirus y contra software espa Configurar Auto-Protect Usar anlisis definidos por el administrador
400
Captulo
29
Configuracin bsica de polticas antivirus y contra software espa


Fundamentos de la proteccin antivirus y contra software espa Acerca de trabajar con polticas antivirus y contra software espa Acerca de los virus y los riesgos de seguridad Acerca de analizar Acerca de acciones para los virus y los riesgos de seguridad que los anlisis detectan Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa Acerca de la interaccin del cliente con opciones de antivirus y software espa Modificar la contrasea necesaria para analizar unidades de red asignadas Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection Exhibir una advertencia de definiciones desactualizadas o ausentes Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa Especificar una URL para una pgina principal del navegador
402
Configuracin bsica de polticas antivirus y contra software espa Fundamentos de la proteccin antivirus y contra software espa
Configurar las opciones que se aplican a los anlisis antivirus y de software espa Enviar informacin sobre anlisis a Symantec Administrar los archivos en cuarentena
Fundamentos de la proteccin antivirus y contra software espa

Es posible proporcionar proteccin antivirus y contra software espa para los equipos de su red de seguridad mediante las acciones siguientes:

Crear un plan para responder ante virus y riesgos de seguridad. Ver el estado de su red en la pgina principal de la consola. Ejecutar comandos de la consola para activar Auto-Protect, iniciar un anlisis manual o actualizar definiciones. Utilice las polticas antivirus y contra software espa para modificar la configuracin de Auto-Protect y de anlisis en los equipos cliente.
Acerca de crear un plan para responder ante virus y riesgos de seguridad

Una respuesta eficaz a un virus y a un ataque de riesgos de seguridad necesita un plan que le permita responder rpida y eficientemente. Es necesario crear un plan para el ataque y definir acciones para manejar archivos sospechosos. La Tabla 29-1 define las tareas para crear un plan para ataques de virus y riesgos de seguridad.
403
Tabla 29-1 Tarea
Plan de ejemplo Descripcin

Verifica que los equipos infectados tengan los ltimos archivos de definiciones. Es posible ejecutar informes para comprobar que los equipos cliente tengan las ltimas definiciones. Para actualizar definiciones, realice una de las siguientes acciones: Aplique una poltica de LiveUpdate. Ver "Configurar polticas de LiveUpdate" en la pgina 111. Ejecute el comando Actualizar contenido para un grupo o los equipos seleccionados que sean mencionados en la ficha Clientes. Ejecute el comando Actualizar contenido en los equipos seleccionados que se enumeran en un registro de riesgos o estados del equipo.
Comprobar que los archivos de definiciones estn al da.
Realizar un mapa de la topologa Prepara un mapa de la topologa de la red que permite de la red aislar y limpiar sistemticamente los equipos por segmentos antes de volver a conectarlos a la red local. El mapa debe incluir la siguiente informacin:

Nombres y direcciones de los equipos cliente Protocolos de red Recursos compartidos
Conocer las soluciones de seguridad.
Es necesario entender la topologa de su red y la implementacin del cliente en la red. Es necesario tambin entender la puesta en prctica de cualquier otro producto de seguridad que se utilice en su red. Considere las preguntas siguientes: Cules son los programas de seguridad que protegen los servidores y las estaciones de trabajo de la red? Cul es la planificacin para actualizar las definiciones? De qu mtodos alternativos se dispone para obtener las actualizaciones si los canales normales son atacados? Qu archivos de registro estn disponibles para realizar un seguimiento de los virus en la red?
404
Tarea
Contar con un plan de copias de respaldo
Descripcin
En caso de infeccin catastrfica, es posible que necesite restaurar equipos cliente. Asegrese de que tiene un plan de copia de respaldo pensado para restaurar equipos crticos. Las amenazas combinadas, como los gusanos, pueden transmitirse a travs de los recursos compartidos sin necesidad de que intervenga el usuario. Cuando se deba responder a una infeccin provocada por gusanos informticos, es fundamental aislar los equipos afectados desconectndolos de la red. Los informes y los registros de la consola de administracin son una buena fuente de informacin sobre riesgos en su red. Es posible utilizar la enciclopedia de virus de Symantec Security Response para aprender ms sobre un riesgo determinado que usted identifique en informes o registros. En algunos casos, es posible que encuentre instrucciones adicionales para manejar el riesgo.
Aislar los equipos infectados
Identificar el riesgo
Responder a riesgos desconocidos Es necesario consultar el sitio Web de Symantec Security Response para obtener informacin actualizada cuando las situaciones siguientes son verdaderas: No es posible identificar un archivo sospechoso examinando los registros y los informes. Los ltimos archivos de definiciones de virus no limpian el archivo sospechoso.
En el sitio Web, es posible que encuentre informacin reciente sobre el archivo sospechoso. Consulte las ltimas amenazas y recomendaciones de seguridad de virus. http://www.symantec.com/es/mx/security_response/
Dnde obtener ms informacin

Es posible buscar en las bases de conocimientos de Symantec en lnea para obtener ms informacin. Las bases de conocimientos contienen informacin detallada que no estaba disponible a la hora de la publicacin de esta gua. http://www.symantec.com/es/mx/security_response/ Tambin puede consultar las pginas Web de Symantec Security Response para obtener informacin actualizada sobre virus y riesgos de seguridad.
405
http://www.symantec.com/es/mx/enterprise/security_response/
Acerca de ver el estado del antivirus y la proteccin contra software espa de su red
Es posible ver rpidamente el estado de su red de seguridad en la pgina principal de la consola. Un resumen de estado le muestra cuntos equipos de su red de seguridad han deshabilitado el antivirus y la proteccin contra software espa. Un resumen muestra las acciones que el cliente realiz sobre los virus y los riesgos de seguridad detectados. La pgina principal tambin incluye la distribucin de las definiciones de virus a travs de la red. Ver "Usar la pgina principal de Symantec Endpoint Protection" en la pgina 155. Tambin puede ejecutar informes y ver registros. Ver "Acerca del uso de Supervisin e Informes para asegurar la red" en la pgina 237.
Acerca de ejecutar comandos para la proteccin antivirus y contra software espa

Es posible ejecutar rpidamente comandos desde la pgina Clientes en la consola o usando los registros de estado del equipo de la pgina Supervisin.
Acerca de habilitar Auto-Protect manualmente

La poltica antivirus y contra software espa predeterminada habilita Auto-Protect de forma predeterminada. Si los usuarios en los equipos cliente deshabilitan Auto-Protect, es posible volver a habilitarlo rpidamente en la consola. Puede seleccionar los equipos para los cuales usted desea habilitar Auto-Protect en la consola en la pgina Clientes. Es posible tambin habilitar Auto-Protect desde un registro que usted genere en la pgina Supervisin. Ver "Habilitar Auto-Protect para el sistema de archivos" en la pgina 452.
Acerca de ejecutar anlisis manuales

Es posible incluir anlisis programados como parte de polticas antivirus y contra software espa. Sin embargo, es posible que necesite ejecutar manualmente anlisis en los equipos cliente. Es posible seleccionar los equipos para los cuales usted desea ejecutar anlisis manuales en la consola en la pgina Clientes. Tambin se puede ejecutar un anlisis manual desde un registro que usted genere en la pgina Supervisin.
406
Es posible ejecutar un anlisis personalizado, activo o completo. Si elige ejecutar un anlisis personalizado, el cliente utiliza la configuracin para los anlisis manuales que usted configure en la poltica antivirus y contra software espa. Ver "Ejecutar anlisis manuales" en la pgina 475.
Acerca de polticas antivirus y contra software espa

Una poltica antivirus y contra software espa incluye los siguientes tipos de opciones:

Anlisis de Auto-Protect Anlisis definidos por el administrador (anlisis programados y manuales) Anlisis de amenazas proactivos TruScan Opciones de cuarentena Opciones de Envos Parmetros de Otros
Cuando se instala Symantec Endpoint Protection, aparecen varias polticas antivirus y contra software espa en la lista de polticas en la consola. Es posible modificar una de las polticas preconfiguradas o crear nuevas polticas. Nota: Las polticas antivirus y contra software espa incluyen la configuracin para los anlisis de amenazas proactivos TruScan. Ver "Acerca de analizar" en la pgina 414.
Acerca de las polticas antivirus y contra software espa preconfiguradas

Las siguientes polticas antivirus y contra software espa preconfiguradas estn disponibles:

Poltica antivirus y contra software espa Poltica antivirus y contra software espa: Alto rendimiento Poltica antivirus y contra software espa: Seguridad elevada
La poltica de seguridad elevada es la ms rigurosa de todas las polticas antivirus y contra software espa preconfiguradas. Debe tener en cuenta que puede afectar el rendimiento de otras aplicaciones. La poltica de alto rendimiento proporciona un mejor rendimiento que la poltica de seguridad elevada, pero no proporciona la misma proteccin. Utiliza sobre todo
407
Auto-Protect para el sistema de archivos para analizar archivos con las extensiones de archivo seleccionadas y detectar amenazas. La poltica antivirus y contra software espa predeterminada contiene las siguientes opciones de configuracin importantes:
Auto-Protect para el sistema de archivos se carga en el inicio del equipo y se habilita para todos los archivos. Auto-Protect para correo electrnico de Internet, Microsoft Outlook y Lotus Notes se habilita para todos los archivos. Se habilita el anlisis de red de Auto-Protect para el sistema de archivos. Los anlisis de amenazas proactivos TruScan se habilitan y ejecutan una vez por hora. ActiveScan no se ejecuta automticamente cuando llegan nuevas definiciones. Una anlisis programado se ejecuta una vez por semana, con el ajuste de anlisis configurado en Mximo rendimiento de aplicaciones.
La poltica de alto rendimiento contiene las siguientes opciones importantes:
Auto-Protect para el sistema de archivos se carga cuando Symantec Endpoint Protection se inicia y se habilita para los archivos con las extensiones seleccionadas. Se deshabilita el anlisis de red de Auto-Protect para el sistema de archivos. Se deshabilita Auto-Protect para correo electrnico de Internet, Microsoft Outlook y Lotus Notes. Los anlisis de amenazas proactivos se habilitan y ejecutan una vez cada 6 horas. ActiveScan no se ejecuta automticamente cuando llegan nuevas definiciones. Una anlisis programado se ejecuta una vez por mes, con el ajuste de anlisis configurado en Mximo rendimiento de aplicaciones.
La poltica de seguridad elevada contiene las siguientes opciones importantes:
Auto-Protect para el sistema de archivos se carga en el inicio del equipo y se habilita para todos los archivos. Auto-Protect para correo electrnico de Internet, Microsoft Outlook y Lotus Notes se habilita para todos los archivos. Se habilita el anlisis de red de Auto-Protect para el sistema de archivos. Los anlisis de amenazas proactivos se habilitan y ejecutan una vez por hora, adems de cada vez que se inicia un nuevo proceso. ActiveScan se ejecuta automticamente cuando llegan nuevas definiciones.
408
Una anlisis programado se ejecuta una vez por semana, con el ajuste de anlisis configurado en Rendimiento equilibrado.
Acerca de bloquear configuraciones de polticas antivirus y contra software espa

Es posible bloquear ciertas configuraciones de una poltica antivirus y contra software espa. Cuando se bloquea una configuracin, los usuarios no pueden modificar las opciones en los equipos cliente que utilizan la poltica.
Acerca de polticas antivirus y contra software espa para los clientes de versiones anteriores
Si su entorno contiene clientes con versiones anteriores distintas, es posible que su poltica antivirus y contra software espa tenga configuraciones que no puedan ser aplicadas. Es posible que necesite configurar y administrar polticas antivirus y contra software espa separadas para los clientes de una versin anterior.
Acerca de la configuracin predeterminada para la administracin de archivos sospechosos

Con la poltica antivirus y de proteccin contra software espa predeterminada, el cliente de Symantec Endpoint Protection realiza las siguientes acciones cuando identifica un archivo que puede estar infectado con un virus:

El cliente intenta reparar el archivo. Si el archivo no se puede reparar con el grupo actual de definiciones, el cliente mueve el archivo infectado a la cuarentena local. Adems, el cliente hace una entrada de registro del evento de riesgo. El cliente transmite los datos al servidor de administracin. Es posible ver los datos de registro de la consola.
Se pueden llevar a cabo las acciones adicionales que se indican a continuacin con el fin de completar la estrategia para el tratamiento de virus:
Configurar la funcin de informes para notificarle cuando se encuentren los virus. Ver "Usar notificaciones" en la pgina 230. Definir las diferentes acciones de reparacin que se basan en el tipo de virus. Por ejemplo, es posible configurar el cliente para reparar virus de macro automticamente. Luego, puede configurar una accin diferente para que el cliente realice cuando detecte un archivo de programa. Asignar una accin de copia de respaldo para los archivos que el cliente no puede reparar.
409
Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 437.
Configurar el rea de cuarentena local para que enve los archivos infectados a un servidor de Cuarentena central. Es posible configurar Cuarentena central para que intente realizar una reparacin. Cuando Cuarentena central intenta realizar una reparacin, utiliza su grupo de definiciones de virus. Las definiciones de Cuarentena central pueden estar ms actualizadas que las definiciones del equipo local. Es posible adems remitir automticamente las muestras de archivos infectados a Symantec Security Response para realizar un anlisis. Consulte la Gua del administrador de la Cuarentena central si desea obtener ms informacin.
Acerca de usar polticas para administrar elementos en cuarentena

Cuando el cliente detecta un virus conocido, pone el archivo en la cuarentena local del equipo cliente. El cliente puede tambin poner en cuarentena los elementos que los anlisis de amenazas proactivos detectan. Se configuran las opciones de cuarentena como parte de una poltica antivirus y contra software espa que se aplique a los clientes. Es posible especificar las siguientes opciones:

Una ruta del directorio de la cuarentena local Si los clientes envan manualmente elementos en cuarentena a Symantec Security Response Si los clientes envan automticamente elementos en cuarentena a un servidor de Cuarentena central Cmo maneja la cuarentena local la correccin cuando se obtienen nuevas definiciones de virus
Ver "Administrar los archivos en cuarentena" en la pgina 444. Es posible tambin eliminar elementos en cuarentena en sus equipos cliente desde el registro de riesgos en la consola. Ver "Acerca del uso de Supervisin e Informes para asegurar la red" en la pgina 237.
410
Configuracin bsica de polticas antivirus y contra software espa Acerca de trabajar con polticas antivirus y contra software espa
Acerca de trabajar con polticas antivirus y contra software espa

Se crean y editan las polticas antivirus y contra software espa de forma similar a cmo usted crea y modifica otros tipos de polticas. Es posible asignar, retirar, sustituir, copiar, exportar, importar o eliminar una poltica antivirus y contra software espa. Se asigna tpicamente una poltica a los grupos varios en su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Los pasos de este captulo asumen que usted est familiarizado con los fundamentos de la configuracin de polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 370.
Acerca de los virus y los riesgos de seguridad

Una poltica antivirus y contra software espa analiza en busca de virus y riesgos de seguridad; ejemplos de riesgos de seguridad son software espa, software de publicidad no deseada y otros archivos que pueden poner un equipo o una red en riesgo. Los anlisis antivirus y contra software espa detectan rootkits del nivel de ncleo. Los rootkits son programas que intentan ocultarse del sistema operativo de un equipo y podran utilizarse para propsitos maliciosos. La poltica antivirus y contra software espa predeterminada realiza las acciones siguientes:
Detecta, elimina y repara los efectos secundarios de virus, gusanos, caballos de Troya y amenazas combinadas. Detecta, elimina y repara los efectos secundarios de riesgos de seguridad, como publicidad no deseada, marcadores, herramientas de piratera, programas broma, programas de acceso remoto, software espa, programas de seguimiento, etc.
La Tabla 29-2 describe los tipos de riesgos que busca el software de cliente.
Configuracin bsica de polticas antivirus y contra software espa Acerca de los virus y los riesgos de seguridad
411
Tabla 29-2 Riesgo

Virus
Virus y riesgos de seguridad Descripcin

Programa o cdigo que adjunta una copia de si mismo a otro programa informtico o documento cuando se ejecuta. Cuando el programa infectado se ejecuta, el programa de virus asociado se activa y se adjunta a otros programas y documentos. Cuando un usuario abre un documento que contiene un virus de macro, el programa de virus adjunto se activa y se asocia a otros programas y documentos. Por regla general, los virus entregan una carga, como puede ser mostrar un mensaje en una fecha concreta. Algunos virus daan especficamente datos. Estos virus pueden daar programas, eliminar archivos o cambiar el formato de discos.
Bots maliciosos de Internet
Programas que ejecutan tareas automatizadas en Internet con propsitos maliciosos. Los bots se pueden utilizar para automatizar ataques en los equipos o para recoger informacin de sitios Web.
Gusanos
Programas que se reproducen sin infectar otros programas. Algunos gusanos se propagan copindose a s mismos de disco a disco, mientras que otros slo se reproducen en la memoria para ralentizar el equipo. Programas maliciosos que se ocultan en algo benigno, por ejemplo, un juego o una utilidad. Amenazas que combinan las caractersticas de virus, gusanos, caballos de Troya y cdigo con los puntos vulnerables de Internet y de los servidores para iniciar, transmitir y extender un ataque. Las amenazas combinadas emplean diversos mtodos y tcnicas para propagarse con rapidez, y causan un dao generalizado en toda la red.
Caballos de Troya
Amenazas combinadas
412
Riesgo
Publicidad no deseada
Descripcin
Programas independientes o anexos a otros que recogen, de forma secreta, informacin personal a travs de Internet y la transmiten a otro equipo. La publicidad no deseada puede realizar un seguimiento de los hbitos de navegacin del usuario con intereses comerciales. Este tipo de aplicaciones tambin puede enviar contenido publicitario. Tambin es posible descargarlas de sitios Web sin advertirlo, por lo general, dentro de aplicaciones gratuitas o de uso compartido, y recibirlas a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, publicidad no deseada cuando acepta un acuerdo de licencia de usuario final de un programa de software.
Marcadores
Programas que utilizan un equipo, sin el permiso ni conocimiento del usuario, para realizar llamadas a travs de Internet a un nmero 900 (de pago especial) o a un sitio FTP. Tpicamente, estos nmeros se marcan para acumular gastos. Programas utilizados por un hacker para tener acceso no autorizado al equipo de un usuario. Por ejemplo, una clase de herramienta de hackeo es un registrador de pulsaciones del teclado, el cual realiza un seguimiento de las pulsaciones individuales del teclado, las registra y enva esta informacin al hacker. Entonces, el hacker puede realizar anlisis de puerto y de puntos dbiles. Las herramientas de hackeo se pueden emplear tambin para desarrollar virus.
Herramientas de hackeo
413
Riesgo
Programas broma
Descripcin
Programas que alteran o interrumpen el funcionamiento de un equipo con el fin de gastar una broma o asustar al usuario. Por ejemplo, se puede descargar un programa mediante un sitio Web, correo electrnico o programa de mensajera instantnea. Dicho programa podra hacer que la Papelera de reciclaje se aleje del puntero cuando el usuario intente eliminar un archivo, o invertir las funciones de los botones del mouse. Otros riesgos de seguridad que no se ajusten exactamente a las definiciones de virus, caballos de Troya, gusanos u otras categoras de riesgos de seguridad. Programas que permiten acceder a travs de Internet desde otro equipo, de manera que pueden recopilar informacin del equipo de un usuario, atacarlo o alterar su contenido. Por ejemplo, un usuario puede instalar un programa u otro proceso puede instalar un programa sin el conocimiento del usuario. Este programa puede utilizarse con fines dainos, modificando o no el programa original de acceso remoto. Programas independientes que pueden supervisar, de forma secreta, la actividad del sistema, as como detectar contraseas y otro tipo de informacin confidencial para transmitirla a otro equipo. Tambin es posible descargarlos de sitios Web sin advertirlo, por lo general dentro de aplicaciones gratuitas o de uso compartido, y recibirlos a travs de mensajes de correo electrnico o programas de mensajera instantnea. A menudo, un usuario descarga, sin saberlo, software espa cuando acepta un acuerdo de licencia de usuario final de un programa de software.
Otros
Programas de acceso remoto
Software espa
414
Configuracin bsica de polticas antivirus y contra software espa Acerca de analizar
Riesgo
Programas de seguimiento
Descripcin
Aplicaciones independientes o anexas a otras que realizan un seguimiento de la ruta del usuario en Internet y envan la informacin al sistema de destino. Por ejemplo, la aplicacin puede descargarse mediante un sitio Web, un mensaje de correo electrnico o un programa de mensajera instantnea. Posteriormente, sta puede obtener informacin confidencial relativa al comportamiento del usuario.
De forma predeterminada, Auto-Protect analiza en busca de virus, caballos de Troya, gusanos y riesgos de seguridad cuando se ejecuta. Algunos riesgos, como Back Orifice, se detectaban como virus en versiones anteriores del software de cliente. Se siguen detectando como virus a fin de que el software de cliente pueda seguir proporcionando proteccin a equipos con versiones anteriores.
Acerca de analizar
Es posible incluir los tipos siguientes de anlisis en una poltica antivirus y contra software espa:
Anlisis antivirus y de software espa

Anlisis de Auto-Protect Anlisis definidos por el administrador
Anlisis de amenazas proactivos TruScan
De forma predeterminada, todos los anlisis antivirus y de software espa detectan virus y riesgos de seguridad, tales como publicidad no deseada y software espa; los anlisis ponen en cuarentena los virus y los riesgos de seguridad, y quitan o reparan sus efectos secundarios. Los anlisis de Auto-Protect y definidos por el administrador detectan virus conocidos y riesgos de seguridad. Los anlisis de amenazas proactivos detectan virus y riesgos de seguridad desconocidos analizando en busca de conducta potencialmente maliciosa.
415
Nota: En ocasiones, se puede llegar a instalar inadvertidamente una aplicacin que incluya un riesgo de seguridad, como aplicaciones de publicidad no deseada o software espa. Si Symantec determina que bloquear el riesgo no causar ningn dao al equipo, el software de cliente lo bloquear. Si el bloqueo del riesgo deja el equipo en condicin inestable, el cliente espera a que finalice la instalacin de la aplicacin para poner el riesgo en cuarentena. Despus se reparan los efectos secundarios del riesgo.
Acerca de los anlisis de Auto-Protect

Los anlisis de Auto-Protect incluyen los siguientes tipos de anlisis:

Anlisis de Auto-Protect para el sistema de archivos Anlisis de Auto-Protect para archivos adjuntos de correo electrnico para Lotus Notes y Outlook (MAPI e Internet) Anlisis de Auto-Protect para mensajes de correo electrnico de Internet y para archivos adjuntos que utilizan los protocolos de comunicacin POP3 o SMTP; los anlisis de Auto-Protect para correo electrnico de Internet tambin incluyen anlisis heursticos del correo saliente
Nota: Por motivos de rendimiento, no se admite Auto-Protect para correo electrnico de Internet para POP3 en los sistemas operativos de servidor. En Microsoft Exchange Server, no es necesario instalar Auto-Protect para Microsoft Outlook. Auto-Protect analiza de forma continua archivos y mensajes de correo electrnico en busca de virus y riesgos de seguridad, como software espa y aplicaciones de publicidad no deseada, a medida que se los lee o se los escribe en un equipo. Es posible configurar Auto-Protect para que analice solamente las extensiones de archivo seleccionadas. Cuando analiza extensiones seleccionadas, Auto-Protect puede tambin determinar el tipo de un archivo, incluso si un virus modifica la extensin del archivo. Durante la configuracin, es posible bloquear ciertas opciones de Auto-Protect en los clientes para aplicar una directiva de seguridad de la empresa sobre virus o riesgos de seguridad. Los usuarios no podrn modificar las opciones que se bloqueen. Auto-Protect se encuentra habilitado de forma predeterminada. Es posible ver el estado Auto-Protect en la consola, bajo la ficha Clientes o generando los informes y los registros que muestran el estado del equipo. Es posible tambin ver el estado de Auto-Protect directamente en el cliente.
416
Mediante el anlisis de Auto-Protect, se pueden analizar archivos adjuntos de correo electrnico de las siguientes aplicaciones:

Lotus Notes 4.5x, 4.6, 5.0 y 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)
Si utiliza Microsoft Outlook sobre MAPI o el cliente de Microsoft Exchange, y Auto-Protect est habilitado para el correo electrnico, los archivos adjuntos se descargan inmediatamente al equipo que est ejecutando el cliente de correo electrnico. Se analizan los archivos adjuntos cuando el usuario abre el mensaje. Si descarga un archivo adjunto de gran tamao con una conexin lenta, el rendimiento del correo se ver afectado. En el caso de usuarios que reciban con regularidad datos adjuntos extensos, tal vez prefiera deshabilitar esta funcin. Nota: Si Lotus Notes o Microsoft Outlook est instalado en el equipo cuando se realiza una instalacin de software de cliente, el software de cliente detecta la aplicacin de correo electrnico. El cliente entonces instala el complemento de Auto-Protect adecuado. Se instalan ambos complementos si se seleccion una instalacin completa en la instalacin manual. Si su programa de correo electrnico no se encuentra entre los formatos de datos admitidos, podr proteger la red mediante la activacin de Auto-Protect en el sistema de archivos. Si un usuario recibe un mensaje con un archivo adjunto infectado en un sistema de correo electrnico Novell GroupWise, Auto-Protect puede detectar el virus cuando el usuario abre el archivo adjunto. Esto se debe a que la mayora de los programas de correo electrnico guardan los archivos adjuntos en un directorio temporal cuando se ejecutan desde el programa. Si habilita Auto-Protect en su sistema de archivos, Auto-Protect detecta el virus cuando se los escribe al directorio temporal. Auto-Protect tambin detecta el virus si el usuario intenta guardar el archivo adjunto infectado en una unidad local o de red.
Acerca de la deteccin Auto-Protect de los procesos que descargan continuamente el mismo riesgo de seguridad
Si Auto-Protect detecta un proceso que descarga continuamente un riesgo de seguridad al equipo cliente, Auto-Protect muestra una notificacin y registra la deteccin. (Auto-Protect se debe configurar para enviar notificaciones). Si el proceso contina descargando el mismo riesgo de seguridad, aparecen varias notificaciones en el equipo del usuario y Auto-Protect registra varios eventos. Para evitar el exceso de notificaciones y eventos registrados, Auto-Protect detiene automticamente el envo de notificaciones sobre el riesgo de seguridad despus
417
de tres detecciones. Auto-Protect tambin deja de registrar el evento despus de tres detecciones. En algunas situaciones, Auto-Protect no detiene el envo de notificaciones y el registro de eventos para el riesgo de seguridad. Auto-Protect contina enviando notificaciones y registrando eventos cuando cualquiera de las siguientes situaciones son verdades:
Usted o los usuarios de los equipos cliente deshabilitan los bloqueos de la instalacin de riesgos de seguridad (la configuracin predeterminada es habilitado). La accin para el tipo de riesgo de seguridad que descarga el proceso tienen la accin No hacer nada.
Acerca de la exclusin automtica de archivos y carpetas

El software de cliente detecta automticamente la presencia de ciertas aplicaciones de otro fabricante y productos de Symantec. Despus de que los detecta, crea exclusiones para estos archivos y carpetas. El cliente excluye estos archivos y estas carpetas de todos los anlisis antivirus y contra software espa. El software de cliente crea automticamente exclusiones para los elementos siguientes:

Microsoft Exchange Controlador de dominio de Active Directory Ciertos productos de Symantec
Nota: Para ver las exclusiones que el cliente crea en equipos de 32 bits, es posible examinar el contenido de la clave del Registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Exclusions. No es necesario editar el Registro directamente. En los equipos de 64 bits, oberve HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions. El cliente no excluye las carpetas temporales del sistema de los anlisis, ya que se originara una importante vulnerabilidad del sistema en el equipo. Es posible configurar cualquier exclusin adicional usando excepciones centralizadas. Para obtener informacin sobre el uso de excepciones centralizadas, consulte la "Configurar una poltica de excepciones centralizada" en la pgina 603.
418
Acerca de la exclusin automtica de archivos y de carpetas para Microsoft Exchange Server

Si los servidores de Microsoft Exchange se instalan en el equipo donde usted instal el cliente de Symantec Endpoint Protection, el software de cliente detecta automticamente la presencia de Microsoft Exchange. Cuando el software de cliente detecta un servidor de Microsoft Exchange, crea las exclusiones apropiadas de archivo y de carpeta para Auto-Protect para el sistema de archivos y el resto de los anlisis. Los servidores de Microsoft Exchange pueden incluir servidores agrupados. El software de cliente busca cambios en la ubicacin de los archivos y las carpetas apropiados de Microsoft Exchange a intervalos regulares. Si instala Microsoft Exchange en un equipo donde el software de cliente ya est instalado, se crean las exclusiones cuando el cliente busca cambios. El cliente excluye los archivos y las carpetas; si un solo archivo se mueve desde una carpeta excluida, el archivo permanece excluido. El software de cliente crea exclusiones de anlisis de carpetas y archivos para las versiones siguientes de Microsoft Exchange Server:

Exchange 5.5 Exchange 6.0 Exchange 2000 Exchange 2003 Exchange 2007 Exchange 2007 SP1
Para Exchange 2007, vea la documentacin para el usuario para ver la informacin sobre compatibilidad con software antivirus. En algunas circunstancias, puede ser recomendable crear exclusiones de anlisis para algunas carpetas de Exchange 2007 manualmente. Por ejemplo, en un entorno agrupado, puede ser recomendable crear algunas exclusiones. Para obtener ms informacin, consulte Preventing Symantec Endpoint Protection 11.0 from scanning the Microsoft Exchange 2007 directory structure" (Evitar que Symantec Endpoint Protection 11.0 analice la estructura de directorios de Microsoft Exchange 2007) (en ingls) en la Base de conocimientos de Symantec en la direccin URL siguiente: http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072619121148
Acerca de la exclusin automtica de archivos y de carpetas de los productos de Symantec

El cliente crea las exclusiones apropiadas de anlisis de archivos y carpetas para ciertos productos de Symantec cuando se detectan.
419
El cliente crea exclusiones para los productos de Symantec siguientes:

Symantec Mail Security 4.0, 4.5, 4.6, 5.0 y 6.0 para Microsoft Exchange Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange Norton AntiVirus 2.x para Microsoft Exchange Base de datos integrada y registros de Symantec Endpoint Protection Manager
Acerca de la exclusin automtica de archivos y de carpetas de Active Directory

El software de cliente crea exclusiones de archivos y carpetas para los registros, los archivos en funcionamiento y la base de datos del controlador de dominio de Active Directory. El cliente supervisa las aplicaciones que estn instaladas en el equipo cliente. Si el software detecta Active Directory en el equipo cliente, el software crea automticamente las exclusiones.
Si las aplicaciones de correo electrnico cliente utilizan una sola bandeja de entrada
Las aplicaciones que almacenan todo el correo electrnico en un solo archivo incluyen Outlook Express, Eudora, Mozilla y Netscape. Si sus equipos cliente utilizan aplicaciones de correo electrnico que usan una sola bandeja de entrada, es necesario crear una excepcin centralizada para excluir el archivo de la bandeja de entrada. La excepcin se aplica a todos los anlisis antivirus y de software espa, as como de Auto-Protect. El cliente de Symantec Endpoint Protection pone en cuarentena la bandeja de entrada entera y los usuarios no pueden acceder a su correo electrnico si las declaraciones siguientes son verdaderas:
El cliente detecta un virus en el archivo de la bandeja de entrada durante un anlisis manual o programado. La accin que se configura para el virus es Poner en cuarentena.
Symantec no recomienda generalmente excluir los archivos de los anlisis. Cuando se excluye de los anlisis el archivo de la bandeja de entrada, sta no puede ser puesta en cuarentena; sin embargo, si el cliente detecta un virus cuando un usuario abre un mensaje de correo electrnico, puede poner en cuarentena o borrar con seguridad el mensaje.
Acerca de anlisis definidos por el administrador

Los anlisis definidos por el administrador son los anlisis antivirus y de software espa que detectan virus conocidos y riesgos de seguridad. Para una proteccin ms completa, es necesario programar anlisis ocasionales para sus equipos
420
cliente. A diferencia de Auto-Protect, que analiza los archivos y el correo electrnico al tiempo que se leen desde el equipo y hacia l, los anlisis definidos por el administrador detectan virus y riesgos de seguridad. Los anlisis definidos por el administrador detectan virus y riesgos de seguridad examinando todos los archivos y procesos (o un subconjunto de archivos y de procesos). Los anlisis definidos por el administrador pueden tambin analizar la memoria y puntos de carga. Se configuran anlisis definidos por el administrador como parte de una poltica antivirus y contra software espa. Los anlisis definidos por el administrador incluyen los siguientes tipos de anlisis:

Anlisis programados Anlisis manuales
Tpicamente, es posible que desee crear un anlisis programado completo para que se ejecute una vez por semana y un Active Scan que se ejecute una vez por da. De forma predeterminada, el cliente de Symantec Endpoint Protection genera un Active Scan que se ejecuta durante el inicio en los equipos cliente.
Acerca de los anlisis planificados

Es posible programar anlisis para que se ejecuten en momentos determinados. Los usuarios pueden tambin programar anlisis para sus equipos desde equipos cliente, pero no pueden modificar o deshabilitar los anlisis que usted programa para sus equipos. El software de cliente ejecuta un anlisis programado a la vez. Si existe ms de un anlisis planificado para el mismo momento, se ejecutar uno y despus el otro. Los anlisis programados cuentan con opciones similares a las de los anlisis de Auto-Protect, pero cada tipo de anlisis se debe configurar de forma independiente. Las excepciones centralizadas que usted configura se aplican a todos los tipos de anlisis antivirus y de software espa. Si un equipo est apagado en el momento en que deba realizarse un anlisis planificado, ste no se ejecutar, a menos que el equipo est configurado para ejecutar anlisis no realizados. Los anlisis planificados inspeccionan archivos en busca de virus y riesgos de seguridad, como aplicaciones de publicidad no deseada o software espa. La Tabla 29-3 describe los tipos de anlisis programado.
421
Tabla 29-3 Tipo

Active Scan
Tipos de anlisis programado Descripcin

Analiza con gran rapidez la memoria del sistema y todas las ubicaciones tpicas de los virus y riesgos de seguridad. El anlisis incluye todos los procesos que se ejecuten en la memoria, archivos del registro importantes y archivos como config.sys y windows.ini. Adems incluye algunas carpetas crticas del sistema operativo. Analiza el equipo entero en busca de virus y riesgos de seguridad, incluso el sector de arranque y la memoria del sistema. Analiza las carpetas y los archivos seleccionados en busca de virus y riesgos de seguridad.
Anlisis completo
Anlisis personalizado
Acerca de anlisis manuales

Es posible ejecutar un anlisis manual desde la consola para examinar las carpetas y los archivos seleccionados en los equipos cliente seleccionados. Los anlisis manuales proporcionan resultados inmediatos de anlisis efectuados en un rea de la red o en una unidad de disco duro local. Es posible ejecutar estos anlisis desde la ficha Cliente en la consola. Puede tambin ejecutar estos anlisis desde la ficha Supervisin en la consola. Ver "Ejecutar anlisis manuales" en la pgina 475. Ver "Ejecutar comandos y acciones de registros" en la pgina 221. El anlisis manual predeterminado analiza todos los archivos y las carpetas. Es posible modificar la configuracin para los anlisis manuales en una poltica antivirus y contra software espa. En la poltica, es posible especificar las extensiones de archivo y las carpetas que usted desee analizar. Cuando se ejecuta un anlisis manual desde la pgina de Supervisin, el anlisis se ejecuta en el cliente sobre la base de las opciones configuradas en la poltica. Ver "Configurar opciones de anlisis manual" en la pgina 473.
Acerca de los anlisis de amenazas proactivos TruScan

Los anlisis de amenazas proactivos TruScan utilizan la heurstica para analizar en busca de comportamiento similar al de virus y riesgos de seguridad. A diferencia de los anlisis antivirus y de software espa, que detectan virus y riesgos de seguridad conocidos, los anlisis de amenazas proactivos detectan virus y riesgos de seguridad desconocidos.
422
Nota: Debido a que el anlisis de amenazas proactivo examina procesos activos en equipos cliente, el anlisis puede afectar el rendimiento del sistema. El software de cliente ejecuta anlisis de amenazas proactivos de forma predeterminada. Es posible habilitar o deshabilitar los anlisis de amenazas proactivos en una poltica antivirus y contra software espa. Los usuarios en los equipos cliente pueden habilitar o deshabilitar este tipo de anlisis si usted no bloquea la configuracin. Aunque incluya una configuracin para anlisis de amenazas proactivos en una poltica antivirus y contra software espa, usted establece la configuracin de anlisis de manera diferente que en los anlisis antivirus y de software espa. Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 544.
Acerca del anlisis tras la actualizacin de los archivos de definiciones

Si la funcin Auto-Protect est activada, el software de cliente comenzar el anlisis de inmediato con los archivos de definiciones actualizados. Cuando se actualizan los archivos de las definiciones, el software de cliente intenta reparar los archivos que se almacenan en Cuarentena y analiza los procesos activos. En el anlisis de amenazas proactivo las detecciones se ponen en cuarentena, los archivos se analizan para considerar si ahora se consideran un virus o un riesgo de seguridad. El cliente analiza los elementos en cuarentena mediante anlisis de amenazas proactivos de forma similar a cmo analiza elementos en cuarentena mediante otros tipos de anlisis. Para las detecciones en cuarentena, el software de cliente termina la correccin y limpia cualquier efecto secundario. Si la deteccin de amenazas proactiva ahora es parte de la lista blanca de Symantec, el software de cliente restaura y quita la deteccin de la cuarentena; sin embargo, el proceso no se vuelve a ejecutar.
Acerca de analizar extensiones o carpetas seleccionadas

Para cada tipo de anlisis antivirus y contra software espa y de Auto-Protect, es posible seleccionar los archivos para incluir por extensin. Para los anlisis definidos por un administrador, es posible tambin seleccionar los archivos para incluir por carpeta. Por ejemplo, es posible especificar que un anlisis programado analice solamente ciertas extensiones y que los anlisis de Auto-Protect analicen todas las extensiones.
423
Cuando se seleccionan extensiones de archivo o carpetas para los anlisis, es posible seleccionar varias extensiones o carpetas que usted desee analizar. Cualquier extensin o carpeta que usted no seleccione se excluyen del anlisis. En el cuadro de dilogo Extensiones de archivo es posible agregar rpidamente las extensiones para todos los programas comunes o todos los documentos comunes. Es posible tambin agregar sus propias extensiones. Cuando se agrega una extensin propia, es posible especificar una extensin con cuatro caracteres, como mximo. En el cuadro de dilogo Editar carpetas, se seleccionan carpetas de Windows, en lugar de las rutas completas de las carpetas. Los equipos cliente en su red de seguridad pueden utilizar diversas rutas para estas carpetas. Puede seleccionar cualquiera de las siguientes carpetas:

COMMON_APPDATA COMMON_DESKTOPDIRECTORY COMMON_DOCUMENTS COMMON_PROGRAMS COMMON_STARTUP PROGRAM_FILES PROGRAM_FILES_COMMON SYSTEM WINDOWS
Cuando se analizan carpetas o extensiones de archivo seleccionados, es posible mejorar el rendimiento del anlisis. Por ejemplo, si usted copia una carpeta grande que no est en la lista seleccionada de carpetas, el proceso que copia es ms rpido porque el contenido de la carpeta es excluido. Es posible excluir archivos de anlisis por tipo de extensin o directorio. Para excluir archivos, configure una poltica de excepciones centralizada que contenga las exclusiones. Cuando se especifican exclusiones en una poltica, las exclusiones se aplican en cualquier momento con cualquier anlisis antivirus y de software espa ejecutado en clientes con esa poltica. Ver "Configurar una poltica de excepciones centralizada" en la pgina 603. Cuando se analizan extensiones seleccionadas, el software de cliente no lee el encabezado del archivo para determinar el tipo de archivo. Cuando se analizan extensiones seleccionadas, el cliente solamente analiza los archivos con las extensiones especificadas.
424
Advertencia: Como el software de cliente excluye los archivos y las carpetas de los anlisis, no protege las carpetas y los archivos seleccionados contra virus y riesgos de seguridad. La Tabla 29-4 describe las extensiones que se recomienda analizar. Tabla 29-4 Extensiones de archivo recomendadas para el anlisis Descripcin
Controlador Controlador; gestor de compresin de audio Controlador; gestor de compresin y descompresin de audio Archivo ADT; fax Archivo AX Proceso por lotes Proceso por lotes Archivo binario Clase de Java Ejecutable Panel de control de subprogramas para Microsoft Windows Secuencia de comandos de Corel Biblioteca de vnculos dinmicos Microsoft Word Microsoft Word Controlador Ejecutable Archivo de ayuda Aplicacin HTML Archivo HTML
Extensin de archivo
386 ACM ACV
ADT AX BAT BTM BIN CLA COM CPL
CSC DLL DOC DOT DRV EXE HLP HTA HTM
425
Extensin de archivo
Archivo HTML HTT INF INI JPEG JPG JS JSE JTD MDB MP? MSO OBD OBT OCX
Descripcin
Archivo HTML Archivo HTML Secuencia de comandos de instalacin Archivo de inicio Archivo de grficos Archivo de grficos Script de Java JavaScript codificado Ichitaro Microsoft Access Microsoft Project Microsoft Office 2000 Cuaderno de Microsoft Office Cuaderno de Microsoft Office Objeto de Microsoft que integra un control personalizado y tiene un vnculo a l Archivo de superposicin Archivo de informacin de programa Cdigo fuente de programa PERL (UNIX) Grficos de mapas de bits de Presentation Manager Microsoft PowerPoint Microsoft PowerPoint Microsoft PowerPoint Documento de texto enriquecido Fax, protector de pantalla, instantnea o script para Farview o Microsoft Windows Archivo de intrprete de comandos (UNIX)
OV? PIF PL PM POT PPT PPS RTF SCR
SH
426
Extensin de archivo
SHB SHS SMM SYS VBE VBS VSD VSS VST VXD WSF WSH XL?
Descripcin
Archivo de Corel Show Background Archivo temporal de intrprete de comandos Lotus AmiPro Controlador de dispositivo BIOS VESA (funciones principales) VBScript Microsoft Office Visio Microsoft Office Visio Microsoft Office Visio Controlador virtual de dispositivo Archivo de secuencia de comandos de Windows Archivo de configuracin de Windows Script Host Microsoft Excel
Acerca de la exclusin de carpetas y archivos por nombre

Es posible que haya ciertos riesgos de seguridad que la poltica de seguridad de su empresa le permita mantener en sus equipos. Es posible configurar el cliente para que excluya estos riesgos de todos los anlisis antivirus y de software espa. Es posible excluir archivos y carpetas con nombre de anlisis de Auto-Protect y definidos por el administrador. Por ejemplo, es posible excluir la ruta C:\Temp\Install o carpetas que contengan un riesgo de seguridad permisible. Puede excluir los archivos que activan alertas positivas falsas. Por ejemplo, si usted utiliz otro programa de anlisis de virus para limpiar un archivo infectado, es posible que el programa no pueda quitar totalmente el cdigo del virus. El archivo puede ser inofensivo pero el cdigo del virus deshabilitado podra hacer que el software de cliente registre un falso positivo. Consulte con el soporte tcnico de Symantec si no est seguro de que un archivo est infectado. Cuando se crea una exclusin, se aplica a todos los tipos de anlisis antivirus y de software espa que ejecute. Se crea una exclusin como parte de una excepcin centralizada. Ver "Configurar una poltica de excepciones centralizada" en la pgina 603.
Configuracin bsica de polticas antivirus y contra software espa Acerca de acciones para los virus y los riesgos de seguridad que los anlisis detectan
427
Acerca de acciones para los virus y los riesgos de seguridad que los anlisis detectan
Muchas de las opciones estn disponibles en distintos tipos de anlisis. Cuando se configuran anlisis manuales, programados o de Auto-Protect, es posible asignar las primeras y segundas acciones que se deben efectuar cuando el software de cliente encuentra virus y riesgos de seguridad. Es posible asignar primeras y segundas acciones individuales que se deben aplicar cuando el cliente detecta los siguientes tipos de riesgos:

Virus de macro Virus no de macro Todos los riesgos de seguridad (aplicaciones de publicidad no deseada, software espa, programas broma, marcadores, herramientas de piratera, programas de acceso remoto, programas de seguimiento y otros) Categoras individuales de riesgos de seguridad, como software espa Acciones personalizadas para determinados riesgos de seguridad
De forma predeterminada, el cliente de Symantec Endpoint Protection primero intenta limpiar un archivo que est infectado por un virus. Si el software de cliente no puede limpiar el archivo, realiza las acciones siguientes:

Mueve el archivo a la Cuarentena en el equipo infectado Niega el acceso al archivo Registra el evento
De forma predeterminada, el cliente mueve cualquier archivo infectado por riesgos de seguridad a la Cuarentena en el equipo infectado. El cliente tambin intenta quitar o reparar los efectos secundarios del riesgo. De forma predeterminada, la Cuarentena contiene un registro de todas las acciones que el cliente realiz. Si es necesario, el equipo puede volver al estado que tena antes de que el cliente intentara la eliminacin y la reparacin. De no ser posible colocar un riesgo de seguridad en cuarentena y repararlo, la segunda accin es registrarlo. Para las detecciones de anlisis de amenazas proactivo TruScan, las acciones se determinan dependiendo de si usted utiliza configuraciones predeterminadas administradas por Symantec o si elige configurar las acciones usted mismo. Las acciones para anlisis de amenazas proactivo se configuran en una parte separada de la poltica antivirus y contra software espa.
428
Configuracin bsica de polticas antivirus y contra software espa Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa
Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones" en la pgina 555.
Configurar parmetros de gestin de registros en una poltica antivirus y contra software espa
Es posible incluir parmetros de gestin de registros en la poltica antivirus y contra software espa. De forma predeterminada, los clientes envan siempre ciertos tipos de eventos al servidor de administracin (tal como Anlisis detenido o Anlisis iniciado). Es posible elegir enviar o no enviar otros tipos de eventos (tales como Archivo no analizado). Los eventos que los clientes envan al servidor de administracin afectan la informacin de informes y registros. Es necesario decidir qu tipo de informacin usted desea reenviar al servidor de administracin. Es posible reducir el tamao de los registros y la cantidad de informacin que se incluye en los informes si usted selecciona solamente ciertos tipos de eventos. Es posible tambin configurar cunto tiempo el cliente conserva elementos de registro. La opcin no afecta los eventos que los clientes enven a la consola de administracin. Es posible utilizar la opcin para reducir el tamao real del registro en los equipos cliente. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Configurar los parmetros de gestin de registros para una poltica antivirus y contra software espa
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Tratamiento de registros, bajo Filtrado de eventos de registros de antivirus y software espa, seleccione los eventos que usted desea reenviar al servidor de administracin. Bajo Retencin de registros, seleccione la frecuencia con la que el cliente debe eliminar lneas del registro. En Registrar agrupacin de eventos, seleccione con qu frecuencia se deben enviar eventos agregados al servidor. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
3 4 5
Configuracin bsica de polticas antivirus y contra software espa Acerca de la interaccin del cliente con opciones de antivirus y software espa
429
Acerca de la interaccin del cliente con opciones de antivirus y software espa

Es posible configurar los parmetros especficos en la poltica que controlan la experiencia del usuario del cliente. Puede realizar las siguientes acciones:

Configurar opciones de progreso de anlisis para anlisis programados. Configurar opciones de anlisis para clientes. Modificar la contrasea necesaria para analizar unidades asignadas. Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Security. Exhibir una advertencia de definiciones desactualizadas o ausentes. Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa. Especificar la URL que se debe utilizar para volver a dirigir un navegador de Internet si un riesgo de seguridad intenta modificar la URL.
Es posible ver y personalizar mensajes de advertencia en los equipos infectados. Por ejemplo, si los usuarios tienen un programa de software espa instalado en sus equipos, es posible notificarles que han infringido su poltica corporativa. Puede incluir un mensaje en la notificacin que indique que los usuarios deben desinstalar la aplicacin inmediatamente. Nota: Es posible tambin bloquear configuraciones de polticas de modo que los usuarios no puedan modificar la configuracin.
Modificar la contrasea necesaria para analizar unidades de red asignadas

Symantec Endpoint Protection exige a los usuarios de los equipos cliente que proporcionen una contrasea antes de que puedan analizar una unidad de red asignada. La contrasea predeterminada es symantec. Nota: Si los usuarios analizan unidades de red, el anlisis puede afectar el rendimiento del equipo cliente.
430
Configuracin bsica de polticas antivirus y contra software espa Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para modificar la contrasea necesaria para analizar unidades asignadas
1 2 3 4 5 6
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Otros, bajo Analizar unidad de red, marque Solicitar una contrasea antes de analizar una unidad de red asignada. Haga clic en Cambiar la contrasea. En el cuadro de dilogo Configuracin de contrasea, introduzca la nueva contrasea y vuelva a escribirla para confirmarla. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Especificar cmo el Centro de Seguridad de Windows interacta con el cliente de Symantec Endpoint Protection
Si utiliza el Centro de Seguridad de Windows en Windows XP Service Pack 2 o Windows Vista, es posible utilizar la poltica antivirus y contra software espa para configurar las siguientes opciones en los equipos cliente:
El perodo despus del cual el Centro de Seguridad de Windows considera que los archivos de definiciones estn desactualizados. Si el Centro de Seguridad de Windows visualiza alertas de antivirus para los productos de Symantec en el equipo host.
Nota: El estado del producto de Symantec est siempre disponible en la consola de administracin, sin importar si el Centro de Seguridad de Windows est habilitado o deshabilitado.
Configurar el cliente de Symantec Endpoint Protection para deshabilitar el Centro de seguridad de Windows
Es posible configurar las circunstancias bajo las cuales el software de cliente deshabilita el Centro de Seguridad de Windows.
431
Para configurar Symantec Endpoint Protection para deshabilitar el Centro de Seguridad de Windows
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. Haga clic en la ficha Otros. Bajo Centro de seguridad de Windows, en la lista desplegable Deshabilitar Centro de seguridad de Windows, seleccione una de las siguientes opciones:
Nunca Una vez Nunca deshabilitar el Centro de Seguridad de Windows. Deshabilitar el Centro de Seguridad de Windows solamente una vez. Si un usuario vuelve a habilitarlo, el software de cliente no lo deshabilita nuevamente. Deshabilitar siempre el Centro de Seguridad de Windows. Si un usuario vuelve a habilitarlo, el software de cliente lo vuelve a deshabilitar inmediatamente. Reactivar el Centro de Seguridad de Windows solamente si Symantec Endpoint Protection lo deshabilit.
Siempre
Restaurar
Configuracin de alertas de Symantec Endpoint Protection en el equipo host

Es posible configurar el Centro de Seguridad de Windows para visualizar alertas del cliente de Symantec Endpoint Protection. Para configurar alertas que se muestren en el equipo host
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. Haga clic en la ficha Otros.
432
En el Centro de Seguridad de Windows, en el men desplegable Mostrar alertas de antivirus en el Centro de seguridad de Windows, seleccione una de las siguientes opciones:
Deshabilitar El Centro de Seguridad de Windows no visualiza estas alertas en el rea de notificacin de Windows. El Centro de Seguridad de Windows visualiza estas alertas en el rea de notificacin de Windows. El Centro de Seguridad de Windows utiliza la configuracin existente para visualizar estas alertas.
Habilitar
Usar la configuracin existente
Configuracin del tiempo de desactualizacin de las definiciones

De forma predeterminada, el Centro de Seguridad de Windows considera que las definiciones de Symantec quedan desactualizadas al transcurrir 30 das. Es posible modificar el nmero de das que las definiciones puedan estar obsoletas durante la instalacin en el programa de instalacin de Windows. Es posible tambin modificar la configuracin en la poltica antivirus y contra software espa. En los equipos cliente, el cliente de Symantec Endpoint Protection compara cada 15 minutos la fecha de caducidad, la fecha de las definiciones y la fecha actual. Por lo general, no se informa sobre el estado de desactualizacin al Centro de Seguridad de Windows porque las definiciones se actualizan de forma automtica. Si actualiza definiciones manualmente, es posible que tenga que esperar hasta 15 minutos para ver un estado exacto en el Centro de Seguridad de Windows. Para configurar el tiempo de desactualizacin de las definiciones
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. Haga clic en la ficha Otros. En Centro de Seguridad de Windows, bajo Mostrar un mensaje del Centro de seguridad de Windows cuando las definiciones estn desactualizadas, escriba el nmero de das. Es posible tambin utilizar las flechas hacia arriba o hacia abajo para seleccionar el nmero de das que las definiciones de virus y riesgos de seguridad puedan estar desactualizadas. El valor debe estar entre 1 y 30.
Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configuracin bsica de polticas antivirus y contra software espa Exhibir una advertencia de definiciones desactualizadas o ausentes
433
Exhibir una advertencia de definiciones desactualizadas o ausentes

Es posible exhibir y personalizar los mensajes de advertencia que aparecern en los equipos cliente con definiciones de virus y riesgos de seguridad desactualizadas o ausentes. Es posible que desee alertar a los usuarios si no tiene actualizaciones automticas programadas. Tambin puede ser que desee alertar a usuarios si permite que desactiven LiveUpdate. Para exhibir una advertencia sobre definiciones
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Notificaciones, bajo Acciones, seleccione una de las siguientes opciones, o ambas:

Mostrar el mensaje cuando las definiciones no estn actualizadas Mostrar un mensaje cuando Symantec Endpoint Protection se est ejecutando sin definiciones de virus
3 4
Fije el nmero de das que las definiciones de virus y riesgos de seguridad pueden permanecer desactualizadas antes de que aparezca la advertencia. Para las definiciones inexistentes de virus y riesgos de seguridad, configure el nmero de intentos de reparacin que Symantec Endpoint Protection debe hacer antes de que aparezca la advertencia. Haga clic en Advertencia para cada opcin marcada, y personalice el mensaje predeterminado. En el cuadro de dilogo de alerta, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
5 6 7
Especificar la URL que se debe mostrar en las notificaciones de error de antivirus y software espa
En casos poco comunes, los usuarios podran ver aparecer errores en los equipos cliente. Por ejemplo, es posible que el equipo cliente encuentre desbordamientos de bfer o problemas de descompresin durante los anlisis. Es posible especificar una URL que lleve al sitio Web de soporte de Symantec o a una URL personalizada. Por ejemplo, en cambio, es posible que tenga un sitio Web interno que usted desee especificar.
434
Configuracin bsica de polticas antivirus y contra software espa Especificar una URL para una pgina principal del navegador
Nota: La URL tambin aparece en el registro de eventos del sistema para el equipo cliente en el cual se produce el error. Para especificar una URL que se debe mostrar en las notificaciones de error de antivirus y software espa
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Notificaciones, seleccione Mostrar mensajes de error con la URL de una solucin. Seleccione una de las siguientes opciones:
Mostrar la URL de un artculo de la base de conocimientos de soporte tcnico de Symantec Mostrar una URL personalizada
4 5 6
Haga clic en Personalizar mensaje de error si desea personalizar el mensaje. Escriba el texto personalizado que usted desea incluir y haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Especificar una URL para una pgina principal del navegador

Es posible especificar la URL que se debe utilizar como pgina principal cuando el cliente de Symantec Endpoint Protection repara un riesgo de seguridad que secuestr la pgina principal del navegador. Para especificar una URL para una pgina principal del navegador
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Otros. En la ficha Otros, bajo Proteccin del navegador de Internet, escriba la URL. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar las opciones que se aplican a los anlisis antivirus y de software espa
Algunas opciones son comunes para todos los anlisis antivirus y de software espa. Los anlisis antivirus y de software espa incluyen anlisis de Auto-Protect y definidos por el administrador. La poltica incluye las siguientes opciones:
Configuracin bsica de polticas antivirus y contra software espa Configurar las opciones que se aplican a los anlisis antivirus y de software espa
435
Configurar anlisis de las extensiones de archivo o de las carpetas seleccionadas Configurar las excepciones centralizadas para los riesgos de seguridad Configurar acciones para las detecciones de virus y riesgos de seguridad conocidos Administrar los mensajes de notificacin en equipos infectados Personalizar y mostrar notificaciones en los equipos infectados Agregar avisos a los mensajes de correo electrnico infectados Notificar a los remitentes de mensajes de correo electrnico infectados Notificar a usuarios sobre la recepcin de mensajes de correo electrnico infectados
La informacin sobre acciones y notificaciones para los anlisis de amenazas proactivos se incluye en una seccin separada. Ver "Configurar notificaciones para anlisis de amenazas proactivos TruScan" en la pgina 558.
Configurar anlisis de las extensiones de archivo seleccionadas

El cliente de Symantec Endpoint Protection puede realizar anlisis en menos tiempo si slo se analizan los archivos de determinadas extensiones. Los anlisis que incluyen solamente extensiones seleccionadas ofrecen menos proteccin a los equipos; sin embargo, cuando usted analiza solamente las extensiones seleccionadas es posible seleccionar los tipos de archivo que los virus atacan tpicamente. Cuando se analizan extensiones seleccionadas, es posible hacer anlisis ms eficientes y utilizar menos recursos del equipo. Es posible configurar las extensiones que se analizarn para balancear los requisitos siguientes:

La cantidad de proteccin que su red necesita La cantidad de tiempo y recursos necesarios para proporcionar proteccin
Por ejemplo, es posible analizar slo los archivos con las extensiones ms expuestas a virus y a otros riesgos. Cuando se analizan slo algunas extensiones, se excluyen de forma automtica todos los archivos con extensiones diferentes. Cuando se excluyen archivos de los anlisis, se disminuye la cantidad de recursos del equipo necesarios para ejecutar el anlisis. Advertencia: Cuando se seleccionan extensiones para el anlisis, cualquier otra extensin no estar protegida contra virus y riesgos de seguridad.
436
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para incluir solamente los archivos con extensiones determinadas para anlisis de Auto-Protect o definidos por el administrador
1 2 3
En la ficha Detalles del anlisis, bajo Tipos de archivos, haga clic en Analizar slo las extensiones seleccionadas. Haga clic en Extensiones seleccionadas. En el cuadro de dilogo Extensiones de archivos, es posible realizar las siguientes acciones:

Agregar extensiones propias escribindolas y haciendo clic en Agregar. Quitar cualquier extensin seleccionndolas y despus haciendo clic en Eliminar. Devolver la lista a su configuracin predeterminada haciendo clic en Predeterminadas. Agregar todas las extensiones de programa haciendo clic en Agregar programas comunes. Agregar todas las extensiones de documento haciendo clic en Agregar documentos comunes.
Configurar anlisis de carpetas seleccionadas

Es posible configurar carpetas seleccionadas que ciertos anlisis definidos por el administrador analizarn. Estos anlisis definidos por el administrador incluyen anlisis programados personalizados y anlisis manuales. No es posible configurar carpetas seleccionadas para Auto-Protect. Ver "Acerca de analizar extensiones o carpetas seleccionadas" en la pgina 422. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar los anlisis de carpetas seleccionadas
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, realice una de las siguientes acciones:

Haga clic en Agregar. Bajo Anlisis programados, seleccione un anlisis existente y haga clic en Editar.
437
Bajo Anlisis manual del administrador, haga clic en Editar.
En la ficha Detalles del anlisis, en la lista desplegable de Tipo de anlisis, haga clic en Anlisis personalizado. Los anlisis manuales se preestablecen en Anlisis personalizado.
4 5
Bajo Anlisis, haga clic en Editar carpetas. En el cuadro de dilogo Editar carpetas, seleccione Analizar las carpetas seleccionadas y, en la lista de carpetas, marque todas las carpetas que desea incluir en este anlisis. El campo Carpetas seleccionadas muestra todas las opciones.
6 7
Haga clic en Aceptar hasta volver a la pgina Anlisis definido por el administrador. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Acerca de excepciones para riesgos de seguridad

Si desea conservar cualquier riesgo de seguridad en su red, es posible omitir los riesgos de seguridad cuando se detectan en los equipos cliente. Si un usuario ha configurado acciones personalizadas para un riesgo de seguridad que usted ha especificado que debe omitirse, las acciones personalizadas del usuario no se utilizan. Nota: Cuando se agrega un riesgo de seguridad a la lista de excepciones, el cliente de Symantec Endpoint Protection deja de registrar eventos relacionados con el riesgo de seguridad. Es posible configurar el cliente para registrar el riesgo incluso si usted incluye el riesgo en la lista de excepciones. Sin importar si el riesgo se registra o no, no se notifica a los usuarios de ninguna manera cuando el riesgo est presente en sus equipos. Es posible utilizar una poltica de excepciones centralizada para configurar excepciones. Ver "Configurar una poltica de excepciones centralizada" en la pgina 603.
Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos
Las acciones se utilizan para especificar cmo responden los clientes cuando un anlisis de antivirus y contra software espa detecta un virus o un riesgo de seguridad conocido. Estas acciones se aplican a Auto-Protect y a los anlisis
438
definidos por el administrador. Las acciones para los anlisis de amenazas proactivos se configuran por separado. Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 544. Las acciones permite que configure cmo responde el software de cliente cuando detecta un virus o un riesgo de seguridad conocidos. Puede asignar una primera accin y, en caso de que la primera accin no sea posible, una segunda accin. El cliente Symantec Endpoint Protection utiliza estas acciones cuando detecta un virus o un riesgo de seguridad, como publicidad no deseada o software espa. Los tipos de virus y riesgos de seguridad se presentan en la jerarqua. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Nota: Para riesgos de seguridad, use la accin de eliminar con precaucin. En algunos casos, la eliminacin de riesgos de seguridad provoca la prdida de funcionalidad de algunas aplicaciones.
Advertencia: Si configura el software de cliente para eliminar los archivos afectados por los riesgos de seguridad, no puede restaurar los archivos. Para hacer copia de respaldo de los archivos afectados por los riesgos de seguridad, configure el software de cliente para ponerlos en Cuarentena. Para configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos
En la ficha Acciones, bajo Deteccin, seleccione un tipo de virus o riesgo de seguridad. De forma predeterminada, cada subcategora de riesgos de seguridad se configura automticamente para utilizar las acciones establecidas para la categora entera de riesgos de seguridad.
A fin de configurar una situacin especfica de una categora de riesgo de seguridad para que se efecten acciones diferentes, marque Anular acciones configuradas para Riesgos de seguridad y, a continuacin, fije las acciones exclusivas para esa categora.
439
Bajo Acciones para, seleccione la primera y la segunda accin que el software de cliente toma cuando detecta esa categora de virus o riesgo de seguridad. Puede bloquear acciones de modo que los usuarios no puedan modificar la accin en los equipos cliente que utilizan esta poltica. Para riesgos de seguridad, use la accin de eliminar con precaucin. En algunos casos, la eliminacin de riesgos de seguridad provoca la prdida de funcionalidad de algunas aplicaciones.
4 5
Repita el paso 3 para cada categora a la que desee asignar acciones (virus y riesgos de seguridad). Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Acerca de los mensajes de notificacin en los equipos infectados

Es posible habilitar un mensaje de notificacin personalizado para que aparezca en los equipos infectados cuando un anlisis definido por el administrador o Auto-Protect encuentre un virus o un riesgo de seguridad. Estas notificaciones pueden alertar a los usuarios a revisar su actividad reciente en el equipo cliente. Por ejemplo, el hecho de que un usuario descargue una aplicacin o visite pginas Web puede dar como resultado una infeccin de software espa. Nota: Es posible que el idioma del sistema operativo en el cual se ejecuta el cliente no pueda interpretar algunos caracteres en los nombres de virus. Si el sistema operativo no puede interpretar los caracteres, stos aparecen como signos de interrogacin en las notificaciones. Por ejemplo, algunos nombres de virus en unicode pueden contener caracteres de doble byte. En los equipos con el cliente en un sistema operativo en ingls, estos caracteres aparecen como signos de interrogacin. Para los anlisis de Auto-Protect de correo electrnico, es posible tambin configurar las siguientes opciones:

Adicin de avisos a los mensajes de correo electrnico infectados Notificaciones para los remitentes de mensajes de correo electrnico infectados Notificaciones para los usuarios sobre la recepcin de mensajes de correo electrnico infectados
Ver "Configurar opciones de notificacin para Auto-Protect" en la pgina 461. Las notificaciones para los resultados del anlisis de amenazas proactivo se configura por separado.
440
Ver "Configurar notificaciones para anlisis de amenazas proactivos TruScan" en la pgina 558.
Personalizar y mostrar advertencias en equipos infectados

Puede crear el mensaje personalizado que desea mostrar en los equipos infectados al detectar un virus o un riesgo de seguridad. Es posible escribir directamente en el campo del mensaje para agregar o modificar el texto. Cuando se ejecuta un anlisis remoto, es posible notificar al usuario de un problema mostrando un mensaje en la pantalla del equipo infectado. Se puede personalizar el mensaje incluyendo informacin, como el nombre del riesgo, el nombre del archivo infectado, el estado del riesgo. Un mensaje de aviso podra tener el siguiente aspecto:
Tipo de anlisis: Anlisis programado Evento: Riesgo detectado NombreDeRiesgoDeSeguridad: Stoned-C Archivo: C:\Autoexec.bat Ubicacin C: Equipo: ACCTG-2 Usuario: JSmith Accin efectuada: Limpiado
La Tabla 29-5 describe los campos variables disponibles para las notificaciones. Tabla 29-5 Campo Variables del mensaje de notificacin Descripcin
NombreDeRiesgoDeSeguridad Nombre del virus o del riesgo de seguridad detectado. AccinEfectuada La accin efectuada al detectar el virus o el riesgo de seguridad. Puede ser la primera o la segunda accin configurada. Estado Estado del archivo: Infectado, No infectado o Eliminado. Esta variable de mensaje no se usa de forma predeterminada. Para mostrar esta informacin, debe agregar manualmente esta variable al mensaje. NombreArchivo Nombre del archivo infectado por el virus o el riesgo de seguridad. Nombre y ruta completa del archivo infectado por el virus o el riesgo de seguridad.
RutaYNombreDeArchivo
441
Campo
Ubicacin
Descripcin
Unidad del equipo en la que se ubic el virus o el riesgo de seguridad. Nombre del equipo donde se detect el virus o el riesgo de seguridad. Nombre del usuario conectado al detectar el virus o el riesgo de seguridad. Tipo de evento, como Riesgo detectado. El tipo de anlisis que detect el virus o el riesgo de seguridad. Fecha en la que se detect el virus o el riesgo de seguridad.
Equipo
Usuario
Evento RegistradoPor
FechaDeteccin
NombreDeAlmacenamiento El rea afectada de la aplicacin, por ejemplo, Auto-Protect para el sistema de archivos o Auto-Protect para Lotus Notes. DescripcinDeLaAccin Descripcin completa de las acciones efectuadas en respuesta a la deteccin del virus o del riesgo de seguridad.
Para mostrar mensajes de notificacin en los equipos infectados
En la pgina Poltica antivirus y contra software espa, realice una de las siguientes acciones:

Haga clic en Anlisis definidos por el administrador. Haga clic en Auto-Protect para el sistema de archivos. Haga clic en Auto-Protect para correo electrnico de Internet. Haga clic en Auto-Protect para Microsoft Outlook. Haga clic en Auto-Protect para Lotus Notes.
2 3 4
Si seleccion Anlisis definido por el administrador, en la ficha Anlisis, haga clic en Agregar o Editar. En la ficha Notificaciones, marque Mostrar un mensaje de notificacin en el equipo infectado y modifique el cuerpo del mensaje de notificacin. Haga clic en Aceptar.
442
Configuracin bsica de polticas antivirus y contra software espa Enviar informacin sobre anlisis a Symantec
Enviar informacin sobre anlisis a Symantec

Es posible especificar que la informacin sobre detecciones de anlisis de amenazas proactivos y la informacin sobre Auto-Protect o detecciones de anlisis se enven automticamente a Symantec Security Response. La informacin que los clientes envan ayuda a Symantec a determinar si una amenaza detectada es verdadera. Si Symantec determina que la amenaza es verdadera, Symantec puede generar una firma para tratar la amenaza. La firma se incluye en una versin actualizada de definiciones. Para las detecciones de amenazas proactivas de TruScan, Symantec puede actualizar sus listas de procesos permitidos o bloqueados. Cuando un cliente enva informacin sobre un proceso, incluye los puntos siguientes:

La ruta del archivo ejecutable El archivo ejecutable La informacin de estado interno La informacin sobre el archivo y los puntos de carga del registro relacionados con la amenaza La versin del contenido que utiliz el anlisis de amenazas proactivo
No se enva ninguna informacin personal que permita identificar el equipo cliente. La informacin sobre tasas de deteccin puede ayudar a Symantec a refinar las actualizaciones de las definiciones de virus. Las tasas de deteccin muestran los virus y los riesgos de seguridad detectados con mayor frecuencia por los clientes. Symantec Security Response puede quitar las firmas que no se detectan y proporcionar una lista de definiciones de virus dividida en segmentos para los clientes que la solicitan. Las listas divididas en segmentos aumentan el rendimiento del anlisis antivirus y de software espa. Cuando un anlisis de amenazas proactivo hace una deteccin, el software de cliente verifica si la informacin sobre el proceso se ha enviado. Si se ha enviado la informacin, el cliente no enva la informacin de nuevo. Nota: Cuando los anlisis de amenazas proactivos detectan elementos de la lista de aplicaciones comerciales, la informacin sobre estas detecciones no se enva a Symantec Security Response. Cuando se habilita el envo para los procesos, se actualizan los elementos que son puestos en cuarentena por los anlisis de amenazas proactivos. Cuando se actualizan los elementos, la ventana Cuarentena indica que las muestras se han
Configuracin bsica de polticas antivirus y contra software espa Enviar informacin sobre anlisis a Symantec
443
enviado a Symantec Security Response. El software de cliente no notifica a los usuarios, y la consola de administracin muestra una indicacin cuando se envan detecciones con otros tipos de acciones. Otros tipos de acciones incluyen el registro o la finalizacin. Es posible enviar muestras de cuarentena a Symantec. Ver "Enviar elementos en cuarentena a Symantec" en la pgina 448.
Acerca de la aceleracin de envos

Los clientes pueden, o no, enviar muestras a Symantec en funcin de la siguiente informacin:

La fecha del archivo de control de datos del envo El porcentaje de los equipos que pueden realizar envos
Symantec publica su archivo de datos de control del envo (SCD) y lo incluye como parte de un paquete de LiveUpdate. Cada producto de Symantec tiene su propio SCD. El archivo controla la configuracin siguiente:

Cuntos envos un cliente puede realizar en un da Cunto tiempo se debe esperar para que el software de cliente vuelva a intentar envos Cuntas veces se debe volver a intentar un envo con errores Qu direccin IP del servidor de Symantec Security Response recibe el envo
Si el SCD queda obsoleto, los clientes detienen los envos. Symantec considera el SCD desactualizado cuando un equipo cliente no ha descargado contenido de LiveUpdate en 7 das. Si los clientes detienen la transmisin de envos, el software de cliente no recopila la informacin de envos y la enva ms tarde. Cuando los clientes se inician para realizar envos de nuevo, envan solamente la informacin sobre los eventos que ocurren despus del reinicio de la transmisin. Los administradores pueden tambin configurar el porcentaje de equipos que pueden realizar envos. Cada equipo cliente determina si debe enviar informacin o no. El equipo cliente selecciona aleatoriamente un nmero de 1 a 100. Si el nmero es inferior o igual al porcentaje configurado en la poltica de ese equipo, el equipo enva informacin. Si el nmero es mayor que el porcentaje configurado, el equipo no enva la informacin.
444
Configuracin bsica de polticas antivirus y contra software espa Administrar los archivos en cuarentena
Configurar opciones de envo

Los envos estn habilitados de forma predeterminada. Es posible habilitar o deshabilitar los envos en una poltica antivirus y contra software espa desde la ficha Envos. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para especificar si se enva informacin sobre los procesos detectados por los anlisis de amenazas proactivos TruScan
1 2 3 4 5
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Anlisis de amenazas proactivos TruScan, marque o deje sin marcar Permitir que los equipos cliente enven procesos detectados por anlisis. Cuando se selecciona este parmetro, es posible modificar el porcentaje de equipos cliente que deben enviar informacin sobre procesos. Si habilit los envos, utilice las flechas hacia arriba o hacia abajo para seleccionar el porcentaje o escriba el valor deseado en el cuadro de texto. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Para especificar si se enva informacin sobre Auto-Protect y tasas de deteccin de anlisis manual
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Tasas de deteccin, marque o deje sin marcar Permitir que los equipos cliente enven tasas de deteccin de amenazas. Cuando se selecciona este parmetro, es posible modificar el porcentaje de equipos cliente que deben enviar tasas de deteccin.
Administrar los archivos en cuarentena

Administrar los archivos en cuarentena incluye los siguientes pasos:

Especificacin de un directorio de cuarentena local Envo de elementos en cuarentena a Symantec Configuracin de acciones ante el arribo de nuevas definiciones
445
Acerca de la configuracin de cuarentena

Se utiliza la poltica antivirus y contra software espa para establecer la configuracin de cuarentena del cliente. La configuracin de cuarentena se administra como parte importante de su estrategia ante ataques de virus.
Especificar un directorio de cuarentena local

Si no desea utilizar el directorio de cuarentena predeterminado para almacenar los archivos en cuarentena en los equipos cliente, es posible especificar un directorio local diferente. Es posible utilizar la extensin de ruta, para ello use el signo de porcentaje al escribir la ruta. Por ejemplo, puede escribir %COMMON_APPDATA%. Las rutas relativas no se permiten. El software admite los siguientes parmetros de expansin:
%COMMON_APPDATA% Esta ruta generalmente se refiere a C:\ Documents and Settings\All Users\ Application Data Esta ruta generalmente se refiere a C:\Program Files Esta ruta generalmente se refiere a C:\Program Files\Common Esta ruta generalmente se refiere a C:\Documents and Settings\All Users\Start Menu\Programs Esta ruta generalmente se refiere a C:\Documents and Settings\All Users\Start Menu\Programs\Startup Esta ruta generalmente se refiere a C:\ Documents and Settings\All Users\Desktop Esta ruta generalmente se refiere a C:\ Documents and Settings\All Users\ Documents Esta ruta generalmente se refiere a C:\ Windows\System32 Esta ruta generalmente se refiere a C:\Windows
%PROGRAM_FILES%
%PROGRAM_FILES_COMMON%
%COMMON_PROGRAMS%
%COMMON_STARTUP%
%COMMON_DESKTOPDIRECTORY%
%COMMON_DOCUMENT%
%SYSTEM%
%WINDOWS%
446
Para especificar un directorio de cuarentena local
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Cuarentena. En la ficha Otros, bajo Opciones locales de cuarentena, haga clic en Especificar directorio de cuarentena. En el cuadro de texto, escriba el nombre de un directorio local en los equipos cliente. Es posible utilizar la extensin de ruta, para ello use el signo de porcentaje al escribir la ruta. Por ejemplo, es posible escribir %COMMON_APPDATA%, pero las rutas relativas no se permiten. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar opciones de limpieza automtica

Cuando el software de cliente detecta un archivo sospechoso, lo coloca en la carpeta del rea de cuarentena local del equipo infectado. La funcin de limpieza de la cuarentena elimina automticamente los archivos en cuarentena cuando superan una antigedad especificada. La funcin de limpieza de la cuarentena elimina automticamente los archivos de cuarentena cuando el directorio donde estn almacenados alcanza un tamao determinado. Es posible configurar estas opciones desde la poltica antivirus y contra software espa. Es posible configurar individualmente el nmero de das durante los que se conservarn los archivos reparados, de copia de respaldo y en cuarentena. Es posible tambin configurar el tamao mximo permitido para el directorio antes de que los archivos se quiten automticamente del equipo cliente. Se puede usar una de estas opciones, o ambas. Si se configuran los dos tipos de lmites, se depurarn primero todos los archivos de antigedad mayor a la especificada. Si el tamao del directorio an excede el lmite de tamao especificado, se eliminan los archivos anteriores uno por uno. Se eliminan archivos hasta que el tamao del directorio sea inferior al lmite. De forma predeterminada, estas opciones no estn habilitadas. Para configurar opciones de limpieza automtica
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Cuarentena. En la ficha Limpieza, bajo Archivos reparados, marque o deje sin marcar Habilitar la eliminacin automtica de archivos reparados. En el cuadro Suprimir despus de, escriba un valor o haga clic en las flechas para seleccionar el intervalo en das.
447
Active Eliminar los archivos ms antiguos para limitar el tamao del directorio en y escriba el tamao de directorio mximo permitido, en megabytes. La configuracin predeterminada es 50 MB. Bajo Archivos de copia de respaldo, marque o deje sin marcar Habilitar la eliminacin automtica de archivos de copia de respaldo. En el cuadro Suprimir despus de, escriba el intervalo o haga clic en las flechas para seleccionarlo. Active Eliminar los archivos ms antiguos para limitar el tamao del directorio en y escriba el tamao de directorio mximo permitido, en megabytes. El valor predeterminado es 50 MB. Bajo Archivos en cuarentena, marque o deje sin marcar Habilitar la eliminacin automtica de archivos en cuarentena que no se pudieron reparar. En el cuadro Suprimir despus de, escriba un valor o haga clic en las flechas para seleccionar el intervalo en das. directorio en y escriba el tamao de directorio mximo permitido, en megabytes. El valor predeterminado es 50 MB.
5 6 7
10 Active Eliminar los archivos ms antiguos para limitar el tamao del
11 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Enviar elementos en cuarentena a un servidor de Cuarentena central

Es posible habilitar los elementos en cuarentena para que se remitan de la Cuarentena local a un servidor de Cuarentena central. Es necesario configurar el cliente para que remita elementos si usted utiliza un servidor de Cuarentena central en su red de seguridad. El servidor de Cuarentena central puede remitir la informacin a Symantec Security Response. La informacin que los clientes envan ayuda a Symantec a determinar si una amenaza detectada es verdadera. Nota: Solamente los elementos en cuarentena que son detectados por anlisis antivirus y de software espa se pueden enviar a un servidor de Cuarentena central. Los elementos en cuarentena que son detectados por anlisis de amenazas proactivos no pueden ser enviados. Para habilitar el envo de elementos en cuarentena a un servidor de cuarentena
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Elementos en cuarentena, marque Permitir que los equipos cliente enven automticamente elementos de la cuarentena a un servidor de cuarentena.
448
3 4 5
Escriba el nombre del Servidor de cuarentena. Escriba el nmero de puerto que desea utilizar y seleccione el nmero de segundos para reintentar la conexin. Cuando haya terminado de establecer la configuracin para esta poltica, haga clic en Aceptar.
Enviar elementos en cuarentena a Symantec

Es posible configurar el software de cliente para que permita a los usuarios enviar a Symantec Security Response archivos sospechosos o infectados, y efectos secundarios relacionados para que se los analice con ms minuciosidad. Cuando los usuarios envan informacin, Symantec puede refinar su deteccin y reparacin. Los archivos enviados a Symantec Security Response se convierten en propiedad de Symantec Corporation. En ciertos casos, los archivos se comparten con la comunidad de antivirus. Si Symantec comparte los archivos, Symantec utiliza el cifrado estndar de la industria y puede mantener los datos annimos para ayudar a proteger la integridad del contenido y su privacidad. En algunos casos, Symantec puede rechazar un archivo. Por ejemplo, Symantec puede rechazar un archivo porque no parece estar infectado. Es posible habilitar el reenvo de archivos si desea permitir a los usuarios reenviar archivos seleccionados. Los usuarios pueden reenviar los archivos una vez por da. Para habilitar el envo de elementos en cuarentena a Symantec
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Envos. Bajo Elementos en cuarentena, marque Permitir que los equipos cliente enven manualmente elementos de la cuarentena a Symantec Security Response. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar acciones ante el arribo de nuevas definiciones

Es posible configurar acciones que desea realizar cuando los equipos cliente reciben nuevas definiciones. De forma predeterminada, el cliente vuelve a analizar los elementos en cuarentena y los repara y restaura automticamente. Por lo general, debe utilizar siempre esta configuracin.
449
Para configurar acciones ante nuevas definiciones
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Cuarentena. En la ficha General, bajo Cuando lleguen nuevas definiciones de virus, haga clic en una de las siguientes opciones:
Reparar y restaurar automticamente los archivos de la cuarentena de forma silenciosa Reparar los archivos de la cuarentena de forma silenciosa sin restaurarlos Preguntar al usuario No hacer nada
450
Captulo
30
Configurar Auto-Protect

Acerca de configurar Auto-Protect Acerca de los tipos de Auto-Protect Habilitar Auto-Protect para el sistema de archivos Configuracin de Auto-Protect para el sistema de archivos Configurar Auto-Protect para correo electrnico de Internet Configurar Auto-Protect para Microsoft Outlook Configurar Auto-Protect para Lotus Notes Configurar opciones de notificacin para Auto-Protect
Acerca de configurar Auto-Protect

Se establece la configuracin de Auto-Protect como parte de una poltica antivirus y contra software espa. Es posible tambin habilitar manualmente Auto-Protect para un grupo de clientes o para equipos y usuarios determinados. Es posible bloquear o desbloquear muchas opciones de Auto-Protect en una poltica antivirus y contra software espa. Cuando se bloquea una opcin, los usuarios en los equipos cliente no pueden modificar la opcin. De forma predeterminada, las opciones estn desbloqueadas. Algunas opciones de Auto-Protect son similares a las opciones para otros anlisis antivirus y de software espa. Ver "Configurar las opciones que se aplican a los anlisis antivirus y de software espa" en la pgina 434.
452
Configurar Auto-Protect Acerca de los tipos de Auto-Protect
Acerca de los tipos de Auto-Protect

Auto-Protect protege el sistema de archivos y los adjuntos de correo electrnico que los clientes reciben. Es posible configurar los siguientes tipos de Auto-Protect:

Auto-Protect para el sistema de archivos Auto-Protect para correo electrnico de Internet Auto-Protect para Microsoft Outlook Lotus Notes, Auto-Protect
De forma predeterminada, se habilitan todos los tipos de Auto-Protect. Si los equipos cliente ejecutan otros productos de seguridad de correo electrnico, como Symantec Mail Security, es posible que no necesite habilitar Auto-Protect para el correo electrnico. Ver "Acerca de los anlisis de Auto-Protect" en la pgina 415.
Habilitar Auto-Protect para el sistema de archivos

Las opciones de Auto-Protect se incluyen en la poltica antivirus y contra software espa que se aplica a los equipos cliente. De forma predeterminada, Auto-Protect para el sistema de archivos est habilitado. Es posible bloquear la configuracin, de forma que los usuarios de los equipos cliente no puedan deshabilitar Auto-Protect para el sistema de archivos. Es posible que necesite habilitar Auto-Protect desde la consola, si permite que los usuarios modifiquen esta opcin o si deshabilita Auto-Protect para el sistema de archivos. Es posible habilitar Auto-Protect para el sistema de archivos mediante la ficha Clientes de la consola. Es posible tambin habilitar manualmente Auto-Protect para el sistema de archivos desde los registros de estado del equipo. Ver "Ejecutar comandos y acciones de registros" en la pgina 221. Si desea deshabilitar Auto-Protect, es necesario deshabilitar la configuracin en la poltica antivirus y contra software espa que se aplica al grupo. Para habilitar Auto-Protect para el sistema de archivos
1 2 3
En la consola, haga clic en Clientes y, bajo Ver clientes, seleccione el grupo que incluye los equipos para los cuales se desea habilitar Auto-Protect. En el panel derecho, seleccione la ficha Clientes. Realice una de las acciones siguientes:
Configurar Auto-Protect Configuracin de Auto-Protect para el sistema de archivos
453
En el panel izquierdo, bajo Ver clientes, haga clic con el botn secundario en el grupo para el cual desea habilitar Auto-Protect. En el panel derecho, en la ficha Clientes, seleccione los equipos y los usuarios para los cuales desea habilitar Auto-Protect y, despus, haga clic con el botn secundario en la seleccin.

Haga clic en Ejecutar comando en el grupo > Habilitar Auto-Protect Haga clic en Ejecutar comando en los clientes > Habilitar Auto-Protect
En el mensaje que aparece, haga clic en Aceptar. Si desea habilitar o deshabilitar Auto-Protect para el correo electrnico, debe incluir la configuracin en la poltica antivirus y contra software espa.
Configuracin de Auto-Protect para el sistema de archivos

Cuando se configura Auto-Protect para el sistema de archivos como parte de una poltica antivirus y contra software espa, usted establece la configuracin que define cmo Auto-Protect y sus funciones asociadas se comportan. Puede especificar si desea analizar disquetes, unidades de red o ambos. Nota: Cuando se configuran las opciones de Auto-Protect, es posible hacer clic en el icono del candado que est al lado de la configuracin de Auto-Protect. Los usuarios con los equipos cliente que utilizan esta poltica no pueden modificar las configuraciones bloqueadas. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar Auto-Protect para el sistema de archivos
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para el sistema de archivos. Bajo anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:

Analizar todos los archivos Analizar slo las extensiones seleccionadas
454
Ver "Configurar anlisis de las extensiones de archivo seleccionadas" en la pgina 435.
En Opciones adicionales, active o desactive Analizar en busca de riesgos de seguridad y Bloquear la instalacin de riesgos de seguridad. Ver "Acerca de anlisis y bloqueo de riesgos de seguridad con Auto-Protect" en la pgina 455.
5 6 7
En Configuracin de red, active o desactive Red para habilitar o deshabilitar el anlisis de Auto-Protect de archivos de red. Si activ Red, haga clic en Configuracin de red. En el cuadro de dilogo Configuracin de red, realice una de las siguientes acciones:
Habilite o deshabilite Auto-Protect para que confe en los archivos de los equipos remotos que ejecutan Auto-Protect. Configure las opciones de memoria cach de la red para los anlisis de Auto-Protect.
8 9
Haga clic en Aceptar. Bajo Configuracin para disquetes, active o desactive Buscar virus de arranque en los disquetes al acceder a ellos. configure la accin que se desea tomar cuando se encuentra un virus de arranque, ya sea quitarlo del registro de arranque, o registrarlo y dejarlo.
10 Si activ Buscar virus de arranque en los disquetes al acceder a ellos,
11 En la ficha Acciones, configure las opciones.

12 En la ficha Notificaciones, configure las opciones de notificacin.

Ver "Configurar opciones de notificacin para Auto-Protect" en la pgina 461.
13 En la ficha Avanzado, configure las siguientes opciones:

Inicio y cierre Opciones de recarga
14 En Opciones adicionales, haga clic en Cach de archivos o Buscador de

riesgos.
15 Configure la memoria cach de archivos o la configuracin de Buscador de

riesgos y despus haga clic en Aceptar.
455
Acerca de anlisis y bloqueo de riesgos de seguridad con Auto-Protect

De forma predeterminada, Auto-Protect hace las acciones siguientes:
Analiza en busca de riesgos de seguridad, tales como publicidad no deseada y software espa. Pone en cuarentena los archivos infectados. Quita o repara los efectos secundarios de los riesgos de seguridad.
En los casos en que bloquear la instalacin de un riesgo de seguridad no afecta la estabilidad del equipo, Auto-Protect tambin bloquea la instalacin, de forma predeterminada. Si Symantec determina que el bloqueo de un riesgo de seguridad podra poner en peligro la estabilidad de un equipo, Auto-Protect permite la instalacin del riesgo. Auto-Protect tambin toma inmediatamente la medida que se configura para el riesgo. Sin embargo, de vez en cuando quizs sea necesario deshabilitar temporalmente el anlisis de riesgos de seguridad en Auto-Protect y volver a habilitarlo. Puede tambin ser necesario deshabilitar el bloqueo de riesgos de seguridad para controlar el momento en que Auto-Protect reacciona ante ciertos riesgos de seguridad. Nota: No es posible deshabilitar el anlisis de riesgos de seguridad en otros tipos de anlisis. Sin embargo, es posible configurar Symantec Endpoint Protection para que no haga nada con los riesgos de seguridad y registre la deteccin. Puede tambin excluir riesgos especficos de forma global de todos los tipos de anlisis agregndolos a la lista de excepciones centralizadas. Ver "Acerca de las polticas de excepciones centralizadas" en la pgina 599.
Configurar opciones avanzadas de anlisis y supervisin

Es posible configurar opciones avanzadas de anlisis y supervisin para los anlisis de Auto-Protect de archivos y procesos. Las opciones incluyen cundo analizar archivos y la configuracin de anlisis heurstico. El anlisis heurstico como parte de Auto-Protect es diferente del anlisis de amenazas proactivo. El anlisis heurstico de Auto-Protect analiza los archivos en busca de conducta maliciosa y el anlisis de amenazas proactivo examina los procesos en ejecucin en busca de conducta maliciosa. Ver "Acerca de los anlisis de amenazas proactivos TruScan" en la pgina 544. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos.
456
Configurar opciones avanzadas de anlisis y supervisin
1 2 3 4
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Detalles del anlisis, bajo Anlisis, haga clic en Anlisis y supervisin avanzados. Bajo Analizar archivos, especifique qu actividades activan anlisis. Bajo Opciones de deteccin Bloodhound(TM), active o desactive Habilitar deteccin de virus Bloodhound (TM). Es posible tambin modificar el nivel de proteccin.
5 6
Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Acerca del Buscador de riesgos

El Buscador de riesgos permite identificar el origen de las infecciones vricas basadas en recursos compartidos de una red en equipos en los que se ejecuten los sistemas operativos Windows XP/2000/2003. Cuando Auto-Protect detecta una infeccin, enva informacin a Rtvscan, el servicio principal de Symantec Endpoint Protection. Rtvscan determina si la infeccin se ha originado local o remotamente. Si la infeccin vino de un equipo remoto, Rtvscan puede hacer las siguientes acciones:

Buscar y registrar el nombre del equipo NetBIOS del equipo y su direccin IP. Buscar y registrar al usuario que inici sesin en el equipo en momento del envo. Mostrar la informacin en el cuadro de dilogo Propiedades de riesgos.
Rtvscan sondea cada segundo de forma predeterminada en busca de sesiones de red y guarda en la memoria cach esta informacin como una lista de origen secundaria de equipos remotos. Esta informacin maximiza la frecuencia con la que el Buscador de riesgos puede identificar correctamente el equipo remoto infectado. Por ejemplo, un riesgo puede cerrar el recurso de red compartido antes de que Rtvscan pueda registrar la sesin de red. Entonces, el Buscador de riesgos utilizar la lista de origen secundaria para intentar identificar el equipo remoto. Es posible configurar esta informacin en el cuadro de dilogo Opciones avanzadas de Auto-Protect. La informacin del Buscador de riesgos aparece en el cuadro de dilogo Propiedades del riesgo y slo est disponible para las entradas de riesgos causadas por archivos
Configurar Auto-Protect Configurar Auto-Protect para correo electrnico de Internet
457
infectados. Cuando el Buscador de riesgos determina que la actividad del host local caus una infeccin, enumera el origen como el host local. El Buscador de riesgos clasifica un origen como desconocido cuando las condiciones siguientes son verdades:

No logra identificar el equipo remoto. El usuario autenticado para compartir un archivo remite a varios equipos. Esto puede ocurrir cuando un ID de usuario se asocia a varias sesiones de red. Por ejemplo, varios equipos pueden iniciar sesin en un servidor de archivos compartidos con el mismo ID de usuario de servidor.
Es posible registrar la lista completa de los equipos remotos que infectan actualmente el equipo local. Establezca el valor de la cadena HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\ AV\ProductControl\Debug en "THREATTRACER X" en el equipo local. El valor THREATTRACER activa el resultado de la depuracin y la X garantizan que slo aparezcan los resultados de la depuracin relacionados con el Buscador de riesgos. Tambin puede agregar una L para asegurarse de que los resultados se incluyan en el archivo de registro <Carpeta_programa_SAV>\vpdebug.log. Para asegurarse de que no aparezca la ventana de depuracin, agregue XW. Si desea intentar esta opcin, utilice el archivo de prueba de virus Eicar.com, disponible en: www.eicar.org El Buscador de riesgos tambin incluye una opcin para bloquear las direcciones IP de los equipos de origen. Para que esta opcin tenga efecto, es necesario configurar la opcin correspondiente en las polticas de firewall para habilitar este tipo de bloqueo automtico.
Configurar Auto-Protect para correo electrnico de Internet

Auto-Protect para correo electrnico de Internet protege los mensajes de correo electrnico entrantes y los mensajes de correo electrnico salientes que utilizan el protocolo de comunicaciones POP3 o SMTP sobre Secure Sockets Layer (SSL). Cuando se habilita Auto-Protect para correo electrnico de Internet, el software de cliente analiza el texto del cuerpo del correo electrnico y los archivos adjuntos que se incluyan. Es posible habilitar Auto-Protect para admitir la administracin del correo electrnico cifrado sobre conexiones POP3 y SMTP. Auto-Protect detecta las conexiones seguras y no analiza los mensajes cifrados. Aunque Auto-Protect para
458
Configurar Auto-Protect Configurar Auto-Protect para correo electrnico de Internet
correo electrnico de Internet no analiza mensajes cifrados, contina protegiendo los equipos contra virus y riesgos de seguridad en archivos adjuntos. Esta funcin analiza los archivos adjuntos de correo electrnico al guardarlos en el disco duro. Nota: Auto-Protect para correo electrnico de Internet no se admite para equipos de 64 bits. Auto-Protect para correo electrnico de Internet tampoco admite el anlisis del correo electrnico POP3 en los sistemas operativos del servidor. El cliente de Symantec Endpoint Protection tambin proporciona el anlisis heurstico del correo electrnico saliente. El anlisis heurstico utiliza la deteccin de virus Bloodhound para identificar los riesgos que se pueden contener en mensajes de salida. Cuando el cliente analiza los mensajes de correo electrnico salientes, el anlisis ayuda a prevenir la extensin de riesgos. Estos riesgos incluyen los gusanos que pueden utilizar clientes de correo electrnico para replicarse y distribuirse a travs de una red. El anlisis del correo electrnico no es compatible con los siguientes clientes de correo:

Clientes IMAP Clientes AOL Correo electrnico basado en HTTP como Hotmail y Yahoo! Correo
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar Auto-Protect para correo electrnico de Internet
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para correo electrnico de Internet. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para correo electrnico de Internet. Bajo anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:

4 5
Active o desactive Analizar archivos incluidos en archivos comprimidos. Haga clic en Aceptar.
Configurar Auto-Protect Configurar Auto-Protect para Microsoft Outlook
459
En la ficha Acciones, configure las opciones. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 437.
7 8
Haga clic en Aceptar. En la ficha Notificaciones, bajo Notificaciones por correo electrnico, marque o desmarque cualquiera de las siguientes opciones:

Insertar un aviso en el mensaje de correo electrnico Enviar correo electrnico al remitente Enviar correo electrnico a otros
Haga clic en Aceptar. conexiones POP3 o SMTP cifradas.
10 En la ficha Avanzada, bajo Conexiones cifradas, habilite o deshabilite las 11 Bajo Anlisis heurstico de gusanos en correo masivo, active o desactive
Heurstica de gusanos salientes.
Configurar Auto-Protect para Microsoft Outlook

De forma predeterminada, Auto-Protect analiza los archivos adjuntos de correo electrnico de Microsoft Outlook. Es posible personalizar la configuracin del anlisis. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar Auto-Protect para Microsoft Outlook
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para Microsoft Outlook. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para Microsoft Outlook. Bajo anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:

460
Configurar Auto-Protect Configurar Auto-Protect para Lotus Notes
4 5
Active o desactive Analizar archivos incluidos en archivos comprimidos. En la ficha Acciones, configure las opciones. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 437.
En la ficha Notificaciones, marque o desmarque cualquiera de las siguientes opciones:

Configurar Auto-Protect para Lotus Notes

De forma predeterminada, Auto-Protect analiza archivos adjuntos de correo electrnico de Lotus Notes. Es posible personalizar la configuracin del anlisis. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar Auto-Protect para Lotus Notes
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para Lotus Notes. En la ficha Detalles del anlisis, active o desactive Habilitar Auto-Protect para Lotus Notes. Bajo anlisis, en Tipos de archivos, haga clic en una de las siguientes opciones:

4 5
Active o desactive Analizar archivos incluidos en archivos comprimidos. En la ficha Acciones, configure las opciones. Ver "Configurar las acciones para las detecciones de virus y riesgos de seguridad conocidos" en la pgina 437.
En la ficha Notificaciones, marque o desmarque cualquiera de las siguientes opciones:
Configurar Auto-Protect Configurar opciones de notificacin para Auto-Protect
461
Cuando haya terminado de establecer la configuracin de polticas, haga clic en Aceptar.
Configurar opciones de notificacin para Auto-Protect

De forma predeterminada, los resultados de los anlisis de Auto-Protect para el sistema de archivos aparecen en los equipos infectados. Es posible configurar la poltica antivirus y contra software espa de modo que los resultados no aparezcan en los equipos cliente. Es posible personalizar el mensaje de notificacin que aparece en los equipos cliente cuando Auto-Protect hace una deteccin. Ver "Personalizar y mostrar advertencias en equipos infectados" en la pgina 440. Para el software de correo electrnico compatible, es posible tambin configurar Auto-Protect para que haga lo siguiente:
Agregar un aviso a los mensajes de correo electrnico sobre los equipos infectados. Notificar a los remitentes de mensajes de correo electrnico infectados. Notificar a otros usuarios sobre la recepcin de mensajes de correo electrnico infectados.
Es posible personalizar los mensajes de correo electrnico que se envan para notificar a los usuarios. Nota: Tenga precaucin cuando se configure opciones para notificar a los remitentes y a otros usuarios sobre mensajes de correo electrnico infectados. La direccin del mensaje de correo electrnico infectado puede ser falsificada. Si enva notificaciones, es posible que genere correo electrnico no deseado y aumente el trfico de la red. Los campos variables que usted personaliza para los mensajes y el correo electrnico de las notificaciones son levemente diferentes. Es posible personalizar la informacin del cuerpo del mensaje y la informacin del campo de infeccin. La Tabla 30-1 describe los campos del cuerpo del mensaje de correo electrnico.
462
Tabla 30-1 Campo

Usuario
Campos del cuerpo del mensaje de correo electrnico Descripcin

Nombre del usuario conectado al detectar el virus o el riesgo de seguridad. Fecha en la que se detect el virus o el riesgo de seguridad. Direccin de correo electrnico que envi el mensaje con el archivo adjunto infectado. La lista de direcciones a las cuales el correo electrnico con el archivo adjunto infectado fue enviado.
FechaDeteccin RemitenteDeCorreo
ListaDeDestinatarios
La Tabla 30-2 describe los campos de informacin de la infeccin. Tabla 30-2 Campo Campos de informacin de la infeccin Descripcin
NombreDeRiesgoDeSeguridad Nombre del virus o del riesgo de seguridad detectado. AccinEfectuada La accin efectuada al detectar el virus o el riesgo de seguridad. Puede ser la primera o la segunda accin configurada. Estado del archivo: Infectado, No infectado o Eliminado. Esta variable de mensaje no se usa de forma predeterminada. Para mostrar esta informacin, agregue manualmente esta variable al mensaje. NombreArchivo Nombre del archivo infectado por el virus o el riesgo de seguridad. Nombre y ruta completa del archivo infectado por el virus o el riesgo de seguridad. Nombre del equipo donde se detect el virus o el riesgo de seguridad. Nombre del usuario conectado al detectar el virus o el riesgo de seguridad. Fecha en la que se detect el virus o el riesgo de seguridad.
Estado
RutaYNombreDeArchivo
Equipo
Usuario
FechaDeteccin
NombreDelArchivoAdjuntoOriginal Nombre del archivo adjunto que contiene el virus o el riesgo de seguridad.
463
Campo
NombreDeAlmacenamiento
Descripcin
El rea afectada de la aplicacin. Por ejemplo, el nombre del almacenamiento puede ser Auto-Protect para el sistema de archivos o Auto-Protect para Lotus Notes.
Visualizar los resultados de Auto-Protect en los equipos infectados

Si desea que los usuarios vean los resultados de los anlisis de archivos y procesos de Auto-Protect, es posible visualizar los resultados en los equipos infectados. Es posible tambin deshabilitar la visualizacin si usted no desea que los resultados aparezcan en los equipos cliente. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para visualizar resultados de Auto-Protect en equipos infectados
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para el sistema de archivos. En la ficha Notificaciones, active o desactive Mostrar el cuadro de dilogo de resultados de Auto-Protect en el equipo infectado. Cuando haya terminado de establecer la configuracin de polticas, haga clic en Aceptar.
Adicin de avisos a los mensajes de correo electrnico infectados

Para los programas de correo electrnico admitidos, se puede configurar Auto-Protect con el fin de insertar un aviso en el cuerpo de los mensajes de correo electrnico infectados. Un mensaje de advertencia es importante si el cliente de Symantec Endpoint Protection no puede limpiar el virus del mensaje. El mensaje es tambin importante si el archivo adjunto infectado se mueve o se elimina, y tambin cuando se le cambia el nombre o cuando no se hace nada con l. El aviso informa sobre el virus encontrado y detalla la accin que se ha llevado a cabo. Puede agregar el siguiente texto al principio del mensaje de correo electrnico que contiene el archivo infectado: Symantec Endpoint Protection encontr un riesgo de seguridad en un archivo adjunto proveniente de [RemitenteDeCorreo]. Adems, se aade al mensaje la siguiente informacin relativa a cada archivo infectado:

El nombre del archivo adjunto El nombre del riesgo
464
Las medidas tomadas El estado de infeccin del archivo
Se pueden personalizar el asunto y el cuerpo del mensaje. El mensaje de correo electrnico contiene un campo llamado RemitenteDeCorreo. Es posible personalizar el mensaje predeterminado. El aviso aparecer ante el destinatario de la siguiente forma:
Symantec Endpoint Protection encontr un riesgo de seguridad en un archivo adjunto proveniente de John.Smith@miempresa.com.
Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para agregar avisos de correo electrnico a los mensajes de correo electrnico infectados

Haga clic en Auto-Protect para correo electrnico de Internet. Haga clic en Auto-Protect para Microsoft Outlook. Haga clic en Auto-Protect para Lotus Notes.
2 3
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, marque Insertar un aviso en el mensaje de correo electrnico. Haga clic en Advertencia y realice una de las siguientes acciones:

Haga clic en Aceptar para aceptar el mensaje predeterminado. Personalice el mensaje de advertencia.
Notificar a los remitentes de mensajes de correo electrnico infectados

Para los programas de correo electrnico admitidos, se puede configurar Auto-Protect con el fin de responder automticamente al remitente de un mensaje de correo que contiene un archivo adjunto infectado. Nota: Tenga precaucin cuando se configure opciones para notificar a los remitentes y a otros usuarios sobre mensajes de correo electrnico infectados. La direccin del mensaje de correo electrnico infectado puede ser falsificada. Si enva notificaciones, es posible que genere correo electrnico no deseado y aumente el trfico de la red.
465
Es posible tambin configurar Auto-Protect para enviar un mensaje de correo electrnico de respuesta predeterminado con el siguiente asunto: Riesgo de seguridad detectado en el mensaje "[AsuntoDelMensaje]" El cuerpo del mensaje comunica quin envi el archivo adjunto infectado: Symantec Endpoint Protection encontr un riesgo de seguridad en un archivo adjunto que usted ([RemitenteDeCorreo]) envi a [ListaDeDestinatarios]. Adems, se aade al mensaje la siguiente informacin relativa a cada archivo infectado:

El nombre del archivo adjunto El nombre del riesgo Las medidas tomadas El estado de infeccin del archivo
Tambin es posible personalizar este mensaje. Para notificar a los remitentes de mensajes de correo electrnico infectados

Haga clic en Auto-Protect para correo electrnico de Internet. Haga clic en Auto-Protect para Microsoft Outlook. Haga clic en Auto-Protect para Lotus Notes.
2 3 4
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active Enviar correo electrnico a remitente. Haga clic en Remitente. En el cuadro de dilogo Enviar correo electrnico a remitente, en la ficha Mensaje, bajo Texto del mensaje, realice una de las siguientes acciones:

Haga clic en Aceptar para aceptar el mensaje predeterminado. Escriba el asunto, el cuerpo del mensaje y la informacin de la infeccin para que aparezcan en cada mensaje. Luego, haga clic en Aceptar. Es posible hacer clic en Ayuda para obtener informacin sobre las variables que puede utilizar en el mensaje.
Para Auto-Protect para correo electrnico de Internet solamente, en la ficha Servidor de correo electrnico, escriba la siguiente informacin:

El nombre y el puerto del servidor de correo El nombre de usuario y la contrasea
466
La ruta inversa del correo electrnico
Notificar a otros usuarios sobre la recepcin de mensajes de correo electrnico infectados

Para los programas de correo electrnico admitidos, se puede configurar Auto-Protect con el fin de notificar a otros usuarios cuando se abra un mensaje de correo que contenga un archivo adjunto infectado. Nota: Tenga precaucin cuando configure opciones para notificar a otros usuarios sobre mensajes de correo electrnico infectados. La direccin del mensaje de correo electrnico infectado puede ser falsificada. Si enva notificaciones, es posible que genere correo electrnico no deseado y aumente el trfico de la red. Es posible enviar un mensaje de correo electrnico a otros usuarios con el asunto siguiente: Riesgo de seguridad detectado en el mensaje "[AsuntoDelMensaje]" El cuerpo del mensaje informa sobre la identidad del remitente del archivo adjunto infectado: Symantec Endpoint Protection encontr un riesgo de seguridad en un archivo adjunto proveniente de [RemitenteDeCorreo]. Adems, se aade al mensaje la siguiente informacin relativa a cada archivo infectado:

El nombre del archivo adjunto El nombre del riesgo Las medidas tomadas El estado de infeccin del archivo
Tambin es posible personalizar este mensaje. Para notificar a otros usuarios sobre mensajes de correo infectado

Haga clic en Auto-Protect para correo electrnico de Internet. Haga clic en Auto-Protect para Microsoft Outlook.
467
Haga clic en Auto-Protect para Lotus Notes.
2 3 4
En la ficha Notificaciones, bajo Notificaciones por correo electrnico, active Enviar correo electrnico a otros. Haga clic en Otros. En el cuadro de dilogo Enviar correo electrnico a otros, en la ficha Otros, proporcione una o ms direcciones de correo electrnico a las cuales deben enviarse las notificaciones. Haga clic en la ficha Mensaje y escriba un asunto, el cuerpo del mensaje y la informacin de infeccin que aparecer en cada mensaje. Es posible hacer clic en Ayuda para obtener informacin sobre las variables que puede utilizar en el mensaje.
Para Auto-Protect para correo electrnico de Internet solamente, en la ficha Servidor de correo electrnico, escriba la siguiente informacin:

El nombre y el puerto del servidor de correo El nombre de usuario y la contrasea La ruta inversa del correo electrnico
7 8
Configurar notificaciones de progreso para anlisis de Auto-Protect de correo electrnico de Internet

Es posible habilitar o deshabilitar las opciones del indicador de progreso para los anlisis de Auto-Protect de correo electrnico de Internet. Es posible configurar las siguientes opciones:
Si se debe mostrar o no una ventana de progreso en el equipo cliente cuando se enva un mensaje de correo electrnico. Si se debe mostrar o no un icono en el rea de notificacin para indicar el estado de transmisin del correo electrnico.
Estas opciones estn habilitadas de forma predeterminada. Para configurar notificaciones de progreso
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Auto-Protect para correo electrnico de Internet. En la ficha Notificaciones, bajo Notificaciones de progreso, realice las siguientes acciones:
468
Active o desactive Mostrar un indicador de progreso al enviar correo electrnico. Active o desactive Mostrar un icono en el rea de notificacin.
Captulo
31
Usar anlisis definidos por el administrador


Acerca del uso de los anlisis definidos por administrador Agregar anlisis programados a una poltica antivirus y contra software espa Configurar opciones de anlisis manual Ejecutar anlisis manuales Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador Configurar opciones avanzadas para anlisis definidos por el administrador
Acerca del uso de los anlisis definidos por administrador

Los anlisis definidos por el administrador incluyen los anlisis antivirus y de software espa programados y los anlisis manuales. Se configuran las opciones para estos tipos de anlisis como parte de una poltica antivirus y contra software espa. Se utilizan anlisis programados y anlisis manuales para complementar la proteccin que proporciona Auto-Protect. Auto-Protect proporciona la proteccin cuando lee y escribe los archivos. Los anlisis programados y los anlisis manuales pueden analizar cualquier archivo que exista en los equipos cliente. Pueden tambin proteger memoria, los puntos de carga y otras ubicaciones importantes en sus equipos cliente.
470
Usar anlisis definidos por el administrador Agregar anlisis programados a una poltica antivirus y contra software espa
Nota: Para los equipos cliente administrados, Symantec Endpoint Protection proporciona un anlisis programado predeterminado que analiza todos los archivos, carpetas y ubicaciones en los equipos cliente. Algunas opciones para los anlisis definidos por el administrador son similares a las opciones para los anlisis de Auto-Protect. Las opciones similares incluyen las acciones de deteccin y las notificaciones que usted especifica. Ver "Configurar las opciones que se aplican a los anlisis antivirus y de software espa" en la pgina 434.
Agregar anlisis programados a una poltica antivirus y contra software espa

Se configuran anlisis programados como parte de una poltica antivirus y contra software espa. Es posible guardar su configuracin de anlisis programados como plantilla. Es posible utilizar cualquier anlisis que guarde como plantilla como base para una poltica antivirus y contra software espa distinta. Las plantillas de anlisis pueden ahorrarle tiempo al configurar diversas polticas antivirus y contra software espa. Una plantilla de anlisis programado est incluida en la poltica de forma predeterminada. El anlisis programado predeterminado analiza todos los archivos y directorios. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Agregar un anlisis programado a una poltica antivirus y contra software espa
1 2 3 4 5 6 7
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis programados, haga clic en Agregar. En el cuadro de dilogo Agregar anlisis programado, haga clic en Crear un nuevo anlisis programado. Haga clic en Aceptar. En el cuadro de dilogo Agregar anlisis programado, en la ficha Detalles del anlisis, escriba un nombre y una descripcin para este anlisis programado. Seleccione el tipo de anlisis (Activo, Completo o Personalizado). Si seleccion Personalizado, bajo Anlisis, es posible especificar qu directorios se deben analizar.
471
Bajo Tipos de archivos, haga clic en Analizar todos los archivos o Analizar slo las extensiones seleccionadas. Ver "Configurar anlisis de las extensiones de archivo seleccionadas" en la pgina 435.
En Comprobar lo siguiente para mejorar el anlisis, seleccione Memoria, Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y riesgos de seguridad.
10 Haga clic en Opciones de anlisis avanzadas. 11 Configure las opciones para los archivos comprimidos, la migracin del
almacenamiento o la optimizacin del rendimiento.
12 Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis. 13 En la ficha Programacin, bajo Programacin de anlisis, configure la
frecuencia y la hora en las cuales el anlisis se debe ejecutar.

15 En la ficha Notificaciones, configure las opciones.

Ver "Acerca de los mensajes de notificacin en los equipos infectados" en la pgina 439.
16 Si desea guardar este anlisis como plantilla, seleccione Guardar una copia
como plantilla de anlisis programado.

Agregar un anlisis programado desde una plantilla
1 2 3 4 5
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis programados, haga clic en Agregar. En el cuadro de dilogo Agregar anlisis programado, haga clic en Crear un anlisis programado a partir de una plantilla de anlisis programado. Seleccione la plantilla de anlisis que usted desea utilizar para esta poltica. Haga clic en Aceptar.
Establecer opciones para anlisis programados no realizados

Si un equipo no realiza un anlisis programado por alguna razn, el cliente de Symantec Endpoint Protection intentar hacerlo durante un intervalo de tiempo
472
especfico. Si el cliente no puede iniciar el anlisis en ese intervalo, no lo llevar a cabo. Si el usuario que defini un anlisis no est conectado, el software de cliente ejecuta el anlisis de todos modos. Es posible especificar que el cliente no ejecute el anlisis si el usuario no est conectado. La Tabla 31-1 describe los intervalos de tiempo predeterminados. Tabla 31-1 Intervalos de tiempo predeterminados Intervalo predeterminado
8 horas 3 das 11 das
Frecuencia del anlisis

Anlisis diarios Anlisis semanales Anlisis mensuales
Si no desea utilizar el intervalo predeterminado, puede especificar uno diferente para intentar realizar el anlisis programado. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Es posible configurar las opciones para los anlisis programados no realizados al crear un anlisis programado o al editar un anlisis programado existente. Para establecer opciones para anlisis programados no realizados
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis programados, realice una de las siguientes acciones:
Haga clic en Agregar y, en el cuadro de dilogo Agregar anlisis programado, asegrese de que Crear un nuevo anlisis programado est marcada. Haga clic en Aceptar. Seleccione un anlisis de la lista y haga clic en Editar.
En la ficha Programar, bajo Anlisis programados no realizados, active Especifique el tiempo de espera antes de volver a intentar. Escriba el nmero o utilice las flechas para especificar el intervalo de tiempo para que el cliente reintente el anlisis programado.
Usar anlisis definidos por el administrador Configurar opciones de anlisis manual
473
Editar, suprimir o deshabilitar anlisis planificados

Es posible editar, eliminar o deshabilitar anlisis programados en una poltica antivirus y contra software espa. Los cambios surten efecto la prxima vez que se aplica la poltica. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para editar un anlisis programado
1 2 3 4
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, seleccione el anlisis que desea editar y haga clic en Editar. En el cuadro de dilogo Editar anlisis programado, haga las modificaciones que desee. Haga clic en Aceptar.
Para eliminar un anlisis programado
1 2 3 4
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, seleccione el anlisis que desea eliminar. Haga clic en Eliminar. En el mensaje que aparece, haga clic en S.
Para deshabilitar un anlisis programado
1 2 3 4 5
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, seleccione el anlisis que desea deshabilitar en esta poltica. Haga clic en Editar. En el cuadro de dilogo Editar anlisis programado, en la ficha Programar, deje sin marcar Habilitar anlisis. Haga clic en Aceptar.
Configurar opciones de anlisis manual

Es posible configurar las opciones para los anlisis personalizados que usted desea ejecutar manualmente. Se ejecutan los anlisis manuales desde la pgina Clientes.
474
Usar anlisis definidos por el administrador Configurar opciones de anlisis manual
Es posible tambin ejecutar anlisis manuales desde la pgina Supervisin en la consola de administracin. No es posible configurar un nombre o una descripcin de anlisis para las opciones de anlisis. El cliente utiliza las opciones siempre que se ejecuta un anlisis manual personalizado desde la consola de administracin en el equipo cliente. Nota: Es posible ejecutar Active Scan o un anlisis completo cuando lo necesite. Ver "Acerca de anlisis definidos por el administrador" en la pgina 419. Las opciones para los anlisis manuales son similares a las de los anlisis programados. Ver "Agregar anlisis programados a una poltica antivirus y contra software espa" en la pgina 470. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar opciones para los anlisis manuales
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Anlisis, bajo Anlisis manual del administrador, haga clic en Editar. En el cuadro de dilogo Editar anlisis manual del administrador, en la ficha Detalles del anlisis, bajo Anlisis, haga clic en Editar carpetas. De forma predeterminada, el anlisis incluye todas las carpetas.
4 5
En el cuadro de dilogo Editar carpetas, seleccione las carpetas deseadas y haga clic en Aceptar. En el cuadro de dilogo Editar anlisis manual del administrador, bajo Tipos de archivos, haga clic en Analizar todos los archivos o Analizar slo las extensiones seleccionadas. Ver "Acerca de analizar extensiones o carpetas seleccionadas" en la pgina 422.
Bajo Comprobar lo siguiente para mejorar el anlisis, marque o deje sin marcar Memoria, Ubicaciones comunes de infecciones o Ubicaciones conocidas de virus y riesgos de seguridad. Haga clic en Opciones de anlisis avanzadas. Configure las opciones para los archivos comprimidos, la migracin del almacenamiento o la optimizacin del rendimiento. Haga clic en Aceptar para guardar las opciones avanzadas para este anlisis.
7 8 9
Usar anlisis definidos por el administrador Ejecutar anlisis manuales
475

11 En la ficha Notificaciones, configure las opciones.

Ver "Acerca de los mensajes de notificacin en los equipos infectados" en la pgina 439.
Ejecutar anlisis manuales

Es posible ejecutar un anlisis de forma remota desde la consola de administracin. Es posible ejecutar el anlisis desde la ficha Clientes en la consola. Es posible tambin ejecutar el anlisis desde los registros de estado del equipo que se generan en la ficha Supervisin. Ver "Ejecutar comandos y acciones de registros" en la pgina 221. Es posible ejecutar un anlisis manual personalizado, activo o completo. El anlisis personalizado utiliza las opciones establecidas para los anlisis manuales en la poltica antivirus y contra software espa. De forma predeterminada, el anlisis evala los siguientes tipos de elementos:

Todos los directorios Todos los tipos de archivo Memoria Ubicaciones comunes de infecciones Ubicaciones conocidas de virus y riesgos de seguridad
Ver "Configurar opciones de anlisis manual" en la pgina 473. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Nota: Si se emite un comando de reinicio en un equipo cliente que ejecuta un anlisis manual, el anlisis se detiene y el equipo cliente se reinicia. El anlisis no se reinicia.
476
Usar anlisis definidos por el administrador Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
Para ejecutar un anlisis manual en un grupo
1 2 3 4 5 6 7
En la consola, haga clic en Clientes. Bajo Ver clientes, haga clic con el botn secundario en el grupo que incluye los equipos que desea analizar. Haga clic en Ejecutar comando en el grupo > Anlisis. En el cuadro de dilogo Seleccionar tipo de anlisis, seleccione Active Scan, Anlisis completo o Anlisis personalizado. Haga clic en Aceptar. En el mensaje que aparece, haga clic en S. En el mensaje de confirmacin que aparece, haga clic en Aceptar.
Para ejecutar un anlisis manual en un equipo o un usuario
1 2 3 4 5 6 7
En la consola, haga clic en Clientes. En el panel derecho, bajo Clientes, seleccione los equipos y los usuarios para los cuales desea ejecutar un anlisis. Haga clic con el botn secundario en la seleccin y despus haga clic en Ejecutar comando en los clientes > Anlisis. En el mensaje que aparece, haga clic en S. En el cuadro de dilogo Seleccionar tipo de anlisis, seleccione Active Scan, Anlisis completo o Anlisis personalizado. Haga clic en Aceptar. En el mensaje de confirmacin que aparece, haga clic en Aceptar.
Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
Es posible configurar si el cuadro de dilogo Resultados del anlisis aparece en los equipos cliente. Si permite que el cuadro de dilogo aparezca en los equipos cliente, siempre se permite a los usuarios interrumpir momentneamente o retrasar un anlisis definido por el administrador. Es posible permitir que los usuarios detengan un anlisis por completo. Es posible tambin configurar las opciones sobre cmo los usuarios podrn interrumpir o retrasar los anlisis. Las posibles acciones de usuario posibles son las siguientes:
Usar anlisis definidos por el administrador Configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
477
Anlisis interrumpido
Cuando un usuario interrumpe el anlisis, el cuadro de dilogo de resultados del anlisis permanece abierto, en espera de que el usuario reanude o cancele el anlisis. Si se apaga el equipo, el anlisis interrumpido no continuar. Cuando un usuario pospone un anlisis programado, el usuario tiene la opcin de posponer el anlisis por una o por tres horas. Es posible configurar la cantidad de veces que puede posponerlo. Cuando se pospone un anlisis, el cuadro de dilogo de resultados se cierra; reaparece cuando finaliza el perodo de aplazamiento y se reanuda el anlisis. Cuando un usuario detiene un anlisis, ste generalmente se detiene de inmediato. Si un usuario detiene un anlisis mientras el software de cliente analiza un archivo comprimido, el anlisis no se detiene inmediatamente. En ese caso, la detencin se produce al finalizar el anlisis del archivo comprimido. Los anlisis que se hayan detenido no se reanudarn.
Anlisis pospuesto
Anlisis detenido
Los anlisis interrumpidos se reanudan automticamente una vez que transcurre el intervalo de tiempo especificado. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en este procedimiento. Para configurar opciones de progreso del anlisis para los anlisis definidos por el administrador
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Avanzadas, bajo Opciones de progreso de anlisis, haga clic Mostrar el progreso del anlisis o Mostrar el progreso del anlisis si se detecta un riesgo. Para cerrar automticamente el indicador de progreso del anlisis despus de que el anlisis termine, marque Cerrar la ventana de progreso del anlisis al finalizar. Marque la opcin Permitir al usuario detener el anlisis. Haga clic en Opciones para interrumpir. En el cuadro de dilogo Opciones de pausa del anlisis, realice una de las siguientes acciones:
4 5 6
478
Usar anlisis definidos por el administrador Configurar opciones avanzadas para anlisis definidos por el administrador
Para limitar el tiempo durante el que un usuario puede interrumpir un anlisis, marque Limitar el tiempo durante el que puede interrumpirse el anlisis y escriba una cantidad de minutos. El intervalo es de 3 a 180. Para limitar el nmero de veces que un usuario puede retrasar (o posponer) un anlisis, en el cuadro Cantidad mxima de oportunidades para posponer, escriba un nmero entre 1 y 8. De forma predeterminada, el usuario puede posponer un anlisis durante una hora. Para modificar este lmite a 3 horas, marque Permitir a los usuarios posponer el anlisis durante 3 horas.
Configurar opciones avanzadas para anlisis definidos por el administrador

Es posible configurar opciones avanzadas para anlisis programados y manuales. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Para configurar opciones avanzadas para anlisis definidos por el administrador
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis definidos por el administrador. En la ficha Avanzadas, bajo Anlisis programados, active o desactive las siguientes opciones:
Retrasar los anlisis programados cuando el equipo est funcionando con batera Permitir que se ejecuten anlisis programados definidos por el usuario cuando el autor no est conectado
Bajo Anlisis al iniciar y anlisis activados, marque o deje sin marcar las siguientes opciones:

Ejecutar anlisis de inicio cuando los usuarios inicien sesin Permitir a los usuarios modificar los anlisis de inicio Ejecutar Active Scan cuando lleguen nuevas definiciones
Seccin
Configurar la proteccin contra amenazas de red
Configuracin bsica de la proteccin contra amenazas de red Configurar la prevencin de intrusiones Personalizar la proteccin contra amenazas de red
480
Captulo
32
Configuracin bsica de la proteccin contra amenazas de red


Acerca de Proteccin contra amenazas de red y los ataques de red Acerca del firewall Acerca de trabajar con polticas de firewall Acerca de las normas de firewall Agregar normas vacas Agregar normas con el Asistente para agregar normas de firewall Agregar normas heredadas de un grupo principal Importar y exportar normas Editar y eliminar normas Copiar y pegar normas Alteracin del orden de las normas Habilitar e deshabilitar normas Habilitar el filtro de trfico inteligente Habilitar configuracin de trfico y de ocultacin Configurar la autenticacin punto a punto
482
Configuracin bsica de la proteccin contra amenazas de red Acerca de Proteccin contra amenazas de red y los ataques de red
Acerca de Proteccin contra amenazas de red y los ataques de red

Los ataques de red se aprovechan del modo en que los equipos transfieren informacin. El cliente puede proteger los equipos supervisando la informacin que entra en el equipo y sale de l, y bloqueando los intentos de ataque. La informacin viaja por Internet en forma de paquetes. Cada paquete incluye un encabezado con informacin acerca del equipo remitente, del equipo al que va dirigida la informacin, del modo en que los datos del paquete deben ser procesados y del puerto que debe recibir el paquete. Los puertos son los canales que dividen la secuencia de informacin que viene de Internet en rutas separadas que manejan las aplicaciones individuales. Cuando las aplicaciones de Internet se ejecutan en un equipo, acuden a uno o ms puertos y aceptan la informacin enviada a dichos puertos. Los ataques de red se aprovechan de las debilidades de determinados programas de Internet. Los atacantes utilizan las herramientas que envan los paquetes que contienen cdigos de programacin maliciosos a un puerto determinado. Si una aplicacin vulnerable a este ataque recibe informacin por ese puerto, el cdigo puede dejar que el atacante acceda al equipo, lo desactive o incluso llegue a controlarlo. El cdigo de programacin que se emplea para generar los ataques puede estar dentro de un nico paquete o abarcar varios paquetes. Es posible instalar el cliente con las configuraciones predeterminadas para la proteccin contra amenazas de red. En la mayora de los casos no es necesario modificar la configuracin. Por lo general, resulta seguro dejar la configuracin como est. Sin embargo, si tiene conocimientos profundos sobre redes, puede efectuar varios cambios en el firewall cliente para personalizar la proteccin de los equipos cliente.
Cmo Symantec Endpoint Protection protege los equipos contra ataques de red
El cliente Symantec Endpoint Protection incluye las siguientes herramientas que protegen los equipos de su organizacin contra intentos de intrusin:
Firewall Supervisa todas las comunicaciones de Internet y crea un escudo que bloquea o limita los intentos de visualizar la informacin del equipo.
Configuracin bsica de la proteccin contra amenazas de red Acerca del firewall
483
Analiza toda la informacin entrante y la informacin saliente para los modelos de los datos que son tpicos de un ataque. Ver "Acerca del sistema de prevencin de intrusiones" en la pgina 507.
Acerca del firewall

El firewall de Symantec Endpoint Protection es el software que proporciona una barrera entre el equipo e Internet. El firewall evita que los usuarios no autorizados accedan a los equipos y a las redes que se conectan a Internet. Detecta posibles ataques de hacker, protege la informacin personal y elimina fuentes no deseadas de trfico de red.
El firewall supervisa los intentos de acceso desde Internet
Equipo cliente
Internet
El firewall permite o bloquea el trfico de red especificado en la poltica de firewall
Toda la informacin que entra en la red privada o sale de ella debe pasar a travs del firewall, que examina los paquetes de informacin. El firewall bloquea los paquetes que no cumplen con los criterios de seguridad especificados. La manera en que el firewall examina los paquetes de informacin es con el uso de polticas de firewall. Las polticas de firewall tienen una o ms normas que trabajan juntas para permitir o bloquear el acceso de usuarios a la red. Solamente el trfico autorizado puede pasar. Las polticas de firewall definen el trfico autorizado. El firewall se ejecuta en segundo plano. Usted determina el nivel de interaccin que desea que los usuarios tengan con el cliente permitiendo o bloqueando su capacidad de configurar normas de firewall y opciones del firewall. Los usuarios
484
Configuracin bsica de la proteccin contra amenazas de red Acerca de trabajar con polticas de firewall
pueden interactuar con el cliente solamente cuando les notifica sobre nuevas conexiones de red y problemas posibles, o puede ser que tengan total acceso a la interfaz de usuario. Ver "Acerca de las normas de firewall" en la pgina 485.
Acerca de trabajar con polticas de firewall

Symantec Endpoint Protection Manager incluye polticas de firewall predeterminadas con normas de firewall y configuracin del firewall para el entorno de la oficina. El entorno de la oficina est normalmente bajo proteccin de firewalls, de filtros de paquete de lmites o de servidores antivirus corporativos. Por lo tanto, es normalmente ms seguro que la mayora de los ambientes familiares, donde la proteccin reducida del lmite est disponible. Cuando se instala la consola por primera vez, se agrega una poltica de firewall predeterminada a cada grupo automticamente. Cada vez que usted agrega una nueva ubicacin, la consola copia una poltica de firewall a la ubicacin predeterminada automticamente. Si la proteccin predeterminada no es adecuada, es posible personalizar las polticas de firewall para cada ubicacin, por ejemplo para un sitio del hogar o sitio de cliente. Si no desea polticas de firewall predeterminadas, puede editarlas o reemplazarlas por otra poltica compartida. Las polticas de firewall incluyen los siguientes elementos:
Normas de firewall Supervisa todas las comunicaciones de Internet y crea un escudo que bloquea o limita los intentos de visualizar la informacin del equipo. Las normas de firewall permiten que el equipo sea invisible para otros en Internet. Las normas de firewall protegen a los usuarios remotos contra ataques de hackers y evitan que los hackers utilicen la puerta trasera para acceder a la red corporativa a travs de estos equipos. Es posible notificar a los usuarios cuando el firewall bloquea una aplicacin de su equipo. Filtros de trfico inteligentes Permite los tipos de trfico especficos que son obligatorios en la mayora de las redes, como el trfico DHCP, DNS y WINS. Ver "Habilitar el filtro de trfico inteligente" en la pgina 503.
Configuracin bsica de la proteccin contra amenazas de red Acerca de las normas de firewall
485
Configuracin de trfico y modo de ocultacin
Detecta y bloquea el trfico que viene de ciertos controladores, de los protocolos y de otras fuentes. Ver "Habilitar configuracin de trfico y de ocultacin" en la pgina 504.
Configuracin de la Bloquea la conexin de un equipo remoto a un equipo cliente autenticacin punto a punto hasta que el equipo cliente haya autenticado ese equipo remoto. Ver "Configurar la autenticacin punto a punto" en la pgina 505.
Es posible configurar una ubicacin en control del cliente o en control mixto de modo que el usuario pueda personalizar las polticas de firewall. Ver "Configurar las opciones de proteccin contra amenazas de red para el control mixto" en la pgina 523. Las polticas de firewall se crean y editan de forma similar a otros tipos de polticas. Puede asignar, quitar, reemplazar, copiar, exportar, importar o eliminar polticas de firewall. Se asigna tpicamente una poltica a los diferentes grupos de su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Debe estar familiarizado con los fundamentos de la configuracin de polticas para trabajar con polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 370.
Acerca de las normas de firewall

Las normas de firewall controlan el modo en que el cliente protege el equipo cliente de trfico entrante y saliente malicioso. El firewall comprueba automticamente todos los paquetes entrantes y salientes con estas normas. A continuacin, el firewall permite o bloquea los paquetes que se basan en la informacin que se especifica en las normas. Cuando un equipo intenta conectarse a otro equipo, el firewall compara el tipo de conexin con su lista de normas de firewall.
Acerca de los elementos de una norma de firewall

Una norma de firewall describe generalmente las condiciones en las que una conexin de red puede permitirse o negarse. Se utilizan los siguientes criterios para definir una norma de firewall:
486
Activadores
Aplicaciones, hosts, protocolos y adaptadores de red Cuando el firewall evala la norma, todos los activadores deben ser verdaderos para que se produzca una coincidencia. Si un activador no es verdadero en relacin con el paquete actual, el firewall no podr aplicar la norma. Es posible combinar las definiciones de activacin para crear normas ms complejas, por ejemplo, para identificar un protocolo determinado en lo referente a una direccin de destino especfica.
Condiciones
Estado de programacin y protector de pantalla Los parmetros condicionales no describen un aspecto de una conexin de red. Por el contrario, los parmetros condicionales determinan el estado activo de una norma. Es posible definir una programacin o identificar un estado del protector de pantalla que indique cuando una norma se considera activa o inactiva. Los parmetros condicionales son opcionales y si no se definen, no son significativos. El firewall no evala normas inactivas.
Acciones
Permitir o bloquear, y registrar o no registrar Los parmetros de accin especifican qu medidas toma el firewall cuando una norma coincide. Si la norma coincide y se selecciona en respuesta a un paquete recibido, el firewall realiza todas las acciones. El firewall permite o bloquea el paquete, y registra o no el paquete. Si el firewall permite el trfico, permite que el trfico especificado por la norma acceda a la red. Si el firewall bloquea el trfico, bloquea el trfico especificado por la norma para que no acceda a la red.
Una norma que combina todos los criterios puede permitir trfico a la direccin IP 192.58.74.0 en el puerto remoto 80 todos los das entre las 9 y las 5 P.M.
Acerca de activadores de la aplicacin

Cuando la aplicacin es el nico activador que usted define en una norma de permiso de trfico, el firewall permite que la aplicacin realice cualquier operacin de red. La aplicacin es el valor significativo, no las operaciones de red que la aplicacin realiza. Por ejemplo: se permite Internet Explorer y no se define ningn otro activador. Los usuarios podrn acceder a los sitios remotos que utilizan HTTP, HTTPS, FTP, Gopher y cualquier otro protocolo compatible con el navegador Web. Es posible definir activadores adicionales para describir los hosts y protocolos de red con los que se permite comunicacin. Las normas basadas en la aplicacin pueden ser difciles de solucionar, porque una aplicacin puede utilizar varios protocolos. Por ejemplo, si el firewall procesa una norma que permite Internet Explorer antes de una norma que bloquee el ftp, el usuario se puede comunicar con el ftp. El usuario puede escribir una URL basada en ftp en el navegador, tal como ftp://ftp.symantec.com.
487
No es necesario utilizar normas de aplicaciones para controlar el trfico en el nivel de red. Por ejemplo, una norma que bloquee o limite el uso de Internet Explorer no tendra ningn efecto si el usuario utilizara otro navegador Web. El trfico que el otro navegador Web genera sera comparado con el resto de las normas, excepto con la norma de Internet Explorer. Las normas basadas en la aplicacin son ms eficaces cuando se configuran para bloquear las aplicaciones que envan y reciben trfico. Nota: Si Trend Micro PC-cillin IS 2007 y el cliente de Symantec Endpoint Protection se instalan en el mismo equipo, las normas de firewall para un navegador Web especfico no funcionan. Trend Micro PC-cillin entrega trfico Web a su propio software proxy. En la Trend Micro PC-cillin, es necesario deshabilitar los controles de acceso del sitio Web y la opcin de amenazas de la prevencin de los datos.
Acerca de los activadores de hosts

Cuando se definen activadores de hosts, se especifica el host en ambos lados de la conexin de red descrita. Tradicionalmente, la manera de expresar la relacin entre los hosts se denomina el origen o destino de una conexin de red. Es posible definir la relacin del servicio de host de cualquiera de las siguientes maneras:
Origen y destino El host de origen y el host de destino dependen de la direccin del trfico. En un caso el equipo cliente local puede ser el origen, mientras que en otro caso el equipo remoto puede ser el origen. La relacin de origen y destino se utiliza ms comunmente en firewalls basados en redes. Host local y remoto El host local es siempre el equipo cliente local, y el host remoto es siempre un equipo remoto que se coloca en otra parte en la red. Esta expresin del vnculo del puerto es independiente de la direccin del trfico. La relacin local y remota se utiliza ms comnmente en firewalls basados en host, y es una manera ms simple de mirar el trfico.
La Figura 32-1 ilustra la relacin de origen y destino con respecto a la direccin del trfico.
488
Figura 32-1
Hosts de origen y destino
Origen
` Cliente de SEP HTTP
Destino
Symantec.com
Destino
` Cliente de SEP RDP
Origen
` Otro cliente
La Figura 32-2 ilustra la relacin del host local y el host remoto con respecto a la direccin del trfico. Figura 32-2 Host local y remoto
Local
` Cliente de SEP HTTP
Remoto
Symantec.com
Local
` Cliente de SEP RDP
Remoto
` Otro cliente
Es posible definir varios hosts de origen y varios hosts de destino. Los hosts que usted define de cualquier lado de la conexin se evalan mediante la instruccin O. La relacin entre los hosts seleccionados se evala mediante una instruccin Y.
489
Por ejemplo, considere una norma que defina un solo host local y varios host remotos. Como el firewall examina los paquetes, el host local debe coincidir con la direccin IP relevante. Sin embargo, las caras de oposicin de la direccin pueden coincidir con cualquier host remoto. Por ejemplo, es posible definir una norma para permitir la comunicacin HTTP entre el host local y symantec.com, yahoo.com, o google.com. La norma es igual que tres normas. Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 526.
Acerca de los activadores de servicio de red

Un activador de servicio de red identifica uno o ms protocolos de red significativos en relacin con el trfico de red descrito. Es posible definir las siguientes clases de protocolos:
TCP UDP ICMP IP Puerto o intervalos de puerto Puerto o intervalos de puerto Tipo y cdigo Nmero de protocolo (tipo de IP) Ejemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP Ethernet Tipo de trama Ethernet Ejemplos: Tipo 0x0800 = IPv4, Tipo = 0x8BDD = IPv6, Tipo 0x8137 = IPX
Cuando usted define elementos que activan servicios basados en TCP o UDP, identifica los puertos en ambos lados de la conexin de red descrita. Tradicionalmente, los puertos se consideran el origen o el destino de una conexin de red. Es posible definir la relacin del servicio de red de cualquiera de las siguientes maneras:
Origen y destino El puerto de origen y el puerto de destino dependen de la direccin del trfico. En algn caso, es posible que el equipo cliente local maneje el puerto de origen, mientras que, en otro caso, puede manejarlo el equipo remoto. El equipo host local maneja siempre el puerto local y el equipo remoto maneja siempre el puerto remoto. Esta expresin del vnculo del puerto es independiente de la direccin del trfico.
Host local y remoto
Se especifica la direccin del trfico cuando usted define el protocolo.
490
Es posible definir diversos protocolos. Por ejemplo, una norma puede incluir los protocolos ICMP, IP y TCP. La norma describe diversos tipos de conexiones establecidos entre los equipos cliente identificados o utilizados por una aplicacin.
Acerca de los activadores del adaptador de red

Si define un activador de adaptador de red, la norma es relevante solamente para el trfico transmitido o recibido usando el tipo especificado de adaptador. Es posible especificar uno de los siguientes tipos de adaptadores:

Ethernet Inalmbrico Acceso telefnico Cualquier VPN Adaptadores virtuales especficos de proveedores
Cuando se define un tipo determinado de adaptador, tenga en cuenta cmo se utiliza ese adaptador. Por ejemplo, si una norma permite trfico saliente HTTP de los adaptadores de Ethernet, HTTP se permite a travs de todos los adaptadores instalados del mismo tipo. La nica excepcin es si tambin especifica direcciones del host local. El equipo cliente puede utilizar los servidores multi NIC y las estaciones de trabajo que conectan dos o ms segmentos de la red. Para controlar el trfico concerniente a un adaptador determinado, se debe utilizar el esquema de la direccin de cada segmento en lugar del adaptador mismo.
Acerca de la orden de procesamiento de norma

Las normas de firewall se ordenan secuencialmente, desde la prioridad ms alta hasta la prioridad ms baja, o desde arriba abajo en la lista de normas. El firewall examina las normas en este orden. Si la primera norma no especifica cmo administrar un paquete, el firewall examina la segunda norma para la informacin acerca de cmo administrar un paquete. Este proceso contina hasta que el firewall encuentre una coincidencia. Despus de que encuentra una coincidencia, el firewall toma las medidas que la norma especifica, y no se examinan las normas subsecuentes de una prioridad ms baja. Por ejemplo, si una norma que bloquea todo el trfico se enumera primero, seguida por una norma que permita todo el trfico, el cliente bloquea todo el trfico. La Tabla 32-1 muestra el orden en el que el firewall procesa las normas y la configuracin.
491
Tabla 32-1
Secuencia para procesar normas de firewall, firmas IPS y configuracin Opcin

Firmas IPS personalizadas
Prioridad
Primer lugar
Segundo lugar Configuracin de la prevencin de intrusiones, configuracin del trfico y modo de ocultacin Tercer lugar Cuarto lugar Quinto lugar Sexto lugar Filtros de trfico inteligentes Normas de firewall Comprobacin de anlisis de puertos Firmas IPS que se descargan con LiveUpdate
La lista Normas contiene una lnea divisoria azul. La lnea divisoria configura la prioridad de las normas en las siguientes situaciones:

Cuando un subgrupo hereda normas de un grupo principal. Cuando el cliente se configura en control mixto. El firewall procesa normas del servidor y normas de clientes.
La Figura 32-3 muestra una lista de normas y la lnea divisoria azul. Figura 32-3 Lista de normas
Acerca de las normas heredadas

El firewall procesa las normas de firewall heredadas en la lista de normas de la siguiente manera:
492
Sobre la lnea divisoria azul, las normas que la poltica hereda toman precedencia sobre las normas que usted crea. Bajo la lnea divisoria azul, las normas que usted crea toman precedencia sobre las normas que la poltica hereda.
La Figura 32-4 muestra cmo la lista de normas ordena las normas cuando un subgrupo hereda normas de un grupo principal. En este ejemplo, el grupo de ventas es el grupo principal. El grupo de ventas de Europa hereda del grupo de ventas. Figura 32-4
Grupo Ventas
Normas de firewall heredadas

Grupo Ventas europeas
Ventas europeas hereda las normas de firewall de Ventas
Grupo Ventas europeas Norma 1

Toma precedencia
Norma 1
Norma 3 Norma 3
Lnea azul
Lnea azul
Lnea azul
Norma 2
Norma 4
Norma 4
Toma precedencia
Norma 2
Ver "Agregar normas heredadas de un grupo principal" en la pgina 499.
Acerca de las normas del servidor y normas de clientes

Las normas se categorizan como normas del servidor o normas de clientes. Las normas del servidor son las normas que crea en la consola de Symantec Endpoint Protection Manager y que se descargan en el cliente de Symantec Endpoint Protection. Las normas de clientes son las normas que el usuario crea en el cliente. La Tabla 32-2 describe la relacin entre el nivel de control del usuario del cliente y la interaccin del usuario con las normas de firewall.
493
Tabla 32-2
Nivel de control del usuario y estado de las normas Interaccin del usuario
El cliente recibe normas del servidor, pero el usuario no puede verlas. El usuario no puede crear normas de clientes. El cliente recibe normas del servidor. El usuario puede crear las normas de clientes, que se combinan con normas del servidor y con la configuracin de seguridad del cliente. El cliente no recibe normas del servidor. El usuario puede crear normas de clientes. No es posible ver las normas de clientes.

Control de servidores
Control mixto
Control de clientes
Ver "Configurar opciones de la interfaz de usuario" en la pgina 131. Para los clientes de control mixto, el firewall procesa las normas del servidor y las normas de clientes en un orden determinado. La Tabla 32-3 enumera el orden en que el firewall procesa las normas del servidor, las normas de clientes y la configuracin de los clientes. Tabla 32-3 Prioridad de procesamiento de normas del servidor y de normas de clientes Tipo o configuracin de la norma
Normas del servidor con los niveles prioritarios (normas ubicadas sobre la lnea azul en la lista de normas) Normas de clientes Normas del servidor con los niveles prioritarios ms bajos (normas ubicadas bajo la lnea azul en la lista de normas) En el cliente, las normas del servidor ubicadas bajo la lnea azul se procesan despus de normas de clientes. Cuarto lugar Quinto lugar Configuracin de seguridad de los clientes Configuracin especfica de la aplicacin del cliente
Prioridad
Primer lugar
Segundo lugar Tercer lugar
En el cliente, los usuarios pueden modificar las normas de clientes o la configuracin de seguridad, pero no pueden modificar una norma del servidor. Advertencia: Si el cliente est en control mixto, los usuarios pueden crear una norma de cliente que permita todo el trfico. Esta norma anula todas las normas del servidor ubicadas bajo la lnea azul.
494
Ver "Alteracin del orden de las normas" en la pgina 502.
Acerca de la inspeccin de estado

El firewall utiliza la inspeccin de estado, un proceso que realiza un seguimiento de la informacin sobre conexiones actuales, como direcciones IP de origen y destino, puertos y aplicaciones. El cliente toma decisiones sobre el flujo de trfico usando esta informacin de conexin antes de examinar las normas de firewall. Por ejemplo, si una norma de firewall permite que un cliente se conecte a un servidor Web, el firewall registra informacin sobre la conexin. Cuando el servidor responde, el firewall detecta que se espera una respuesta del servidor Web al cliente y sin inspeccionar la base de normas permite el flujo del trfico del servidor Web hacia el cliente que inici la comunicacin. Una norma debe permitir el trfico saliente inicial antes de que el firewall registre la conexin. La inspeccin de estado permite simplificar las bases de normas, dado que evita la necesidad de crear normas que permitan el trfico en las dos direcciones para el trfico que normalmente slo se inicia en una direccin. El trfico del cliente que se inicia normalmente en una direccin incluye Telnet (puerto 23), HTTP (puerto 80) y HTTPS (puerto 443). Los clientes inician este trfico saliente, de forma que slo es necesario crear una norma que permita el trfico saliente para estos protocolos. El firewall permite el trfico de retorno. Al configurar solamente las normas de salida, se aumenta la seguridad del cliente de las siguientes maneras:

Se reduce la complejidad de las bases de normas. Se elimina la posibilidad de que un gusano o cualquier otro programa malicioso pueda iniciar conexiones con clientes en puertos configurados slo para el trfico de salida. Tambin puede configurar slo las normas de entrada para el trfico con los clientes que no haya sido iniciado por ellos.
La inspeccin de estado es compatible con todas las normas que dirigen el trfico TCP. No es compatible con las normas que filtran el trfico ICMP. Para el trfico ICMP, se deben crear normas que permitan el trfico en ambas direcciones cuando sea necesario. Por ejemplo, si desea que los clientes usen el comando ping y reciban respuestas, deber crear una norma que permita el trfico ICMP en ambas direcciones. Ya que el firewall tiene estados incluidos, slo se deben crear las normas que inician una conexin, no las caractersticas de un paquete determinado. Todos los paquetes que pertenecen a una conexin permitida se permiten implcitamente, como una parte integral de esa misma conexin.
Configuracin bsica de la proteccin contra amenazas de red Agregar normas vacas
495
Acerca de las conexiones UDP

Para las comunicaciones UDP, el cliente analiza el primer datagrama UDP y aplica la accin que se efecta sobre el datagrama inicial a los siguientes datagramas UDP de la sesin de programa en curso. El trfico entrante o saliente entre los mismos equipos se considera parte de la conexin UDP. Para el trfico de estado de UDP, cuando se establece una conexin UDP, se permite la comunicacin UDP entrante, incluso si la norma de firewall la bloquea. Por ejemplo, si una norma bloquea las comunicaciones UDP entrantes para una aplicacin especfica, pero usted elige permitir un datagrama UDP saliente, se permiten todas las comunicaciones UDP entrantes para la sesin actual de la aplicacin. Para UDP sin estado, es necesario crear una norma de firewall para permitir la respuesta entrante de la comunicacin UDP. El tiempo de espera de una sesin de UDP finaliza a los 40 segundos si la aplicacin cierra el puerto.
Agregar normas vacas

Cuando se crean nuevas polticas de firewall, la poltica incluye varias normas predeterminadas. Las normas predeterminadas le dan la proteccin bsica para un entorno de oficina. Si necesita normas de firewall adicionales, es posible agregarlas. Se agregan normas de las siguientes maneras:

Agregue una norma vaca a la lista y configrela manualmente. Ejecute al Asistente para normas de firewall. Ver "Agregar normas con el Asistente para agregar normas de firewall" en la pgina 498.
Para simplificar la administracin de la base de normas, es necesario especificar el trfico entrante y saliente en la norma siempre que sea posible. No es necesario crear normas de entrada para el trfico tal como HTTP. El cliente de Symantec Endpoint Protection utiliza la inspeccin de estado para el trfico TCP y no necesita una norma para filtrar el trfico de retorno que los clientes inician. Ver "Acerca de la inspeccin de estado" en la pgina 494. Para agregar normas vacas
En la consola, abra una poltica de firewall. Ver "Acerca de editar polticas" en la pgina 376.
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma vaca.
496
4 5
En el cuadro de texto Nombre, escriba un nombre para la norma. En el campo Gravedad, haga clic en la lista desplegable y seleccione una de las siguientes opciones:

Crtico Importante Menor Informacin
Haga clic con el botn secundario en el campo Aplicacin, haga clic en Editar y, en el cuadro de dilogo Lista de aplicaciones, defina una aplicacin. Ver "Agregar aplicaciones a una norma" en la pgina 534.
7 8
Haga clic en Aceptar. Haga clic con el botn secundario en el campo Host, haga clic en Editar y, en la lista Host, defina un host. Ver "Agregar hosts y grupos de hosts a una norma" en la pgina 526.
Haga clic en Aceptar. configure una programacin. Ver "Agregar programaciones a una norma" en la pgina 535.
10 Haga clic con el botn secundario en el campo Hora, haga clic en Editar y
11 Haga clic en Aceptar. 12 Haga clic con el botn secundario en el campo Servicio y haga clic en Editar
para agregar o para configurar un servicio de red personalizado. Ver "Agregar servicios de red a una norma" en la pgina 529.
13 Haga clic en Aceptar. 14 Haga clic con el botn secundario en el campo Adaptador y seleccione uno
o ms de los puntos siguientes:

Todos los adaptadores Cualquier VPN Acceso telefnico Ethernet Inalmbrico Ms adaptadores
497
Es posible agregar y seleccionar elementos desde una lista de adaptadores de proveedores especficos Ver "Agregar adaptadores de red" en la pgina 532.
15 Haga clic con el botn secundario en el campo Protector de pantalla y

seleccione el estado que desea para el protector de pantalla:

Activado Desactivado Cualquiera
16 Haga clic con el botn secundario en el campo Accin y seleccione la accin

que usted quisiera que el firewall tome cuando el trfico coincida con una norma:

Permitir Bloquear Preguntar
17 Haga clic con el botn secundario en el campo Registro y seleccione una o

ms acciones de registro que usted quisiera que el firewall tome cuando el trfico coincida con la norma:

Escribir en el registro de trfico Escribir en el registro de paquetes Enviar alerta de correo electrnico Ver "Configurar mensajes de correo electrnico para eventos de trfico" en la pgina 538.
El campo Creada el no es editable. Si la poltica es compartida, el campo muestra el trmino Compartido. Si la poltica no es compartida, el campo muestra el nombre del grupo al que la poltica no compartida est asignada.
18 Haga clic con el botn secundario en el campo Descripcin y, despus, haga

clic en Editar.
19 En el cuadro de dilogo Introducir descripcin, escriba una descripcin

opcional para la norma y despus haga clic en Aceptar.
20 Cuando haya terminado de agregar la norma, realice una de las siguientes

acciones:

Agregue otra norma. Agregue la configuracin de filtrado inteligente del trfico o la configuracin de trfico y ocultacin.
498
Configuracin bsica de la proteccin contra amenazas de red Agregar normas con el Asistente para agregar normas de firewall
Ver "Habilitar el filtro de trfico inteligente" en la pgina 503. Ver "Habilitar configuracin de trfico y de ocultacin" en la pgina 504.
21 Si se le pide, asigne la poltica a una ubicacin.

Ver "Asignar una poltica compartida" en la pgina 378.
Agregar normas con el Asistente para agregar normas de firewall

Utilice el Asistente para agregar normas de firewall para crear uno de los siguientes tipos de normas:
Normas de aplicaciones Normas de hosts Norma que se basa en un determinado proceso en ejecucin que intenta utilizar recursos de red. Norma que se basa en los puntos finales de las conexiones de red.
Normas de servicios Norma que se basa en los protocolos que son utilizados por las conexiones de red.
Es posible que deba incluir dos o ms criterios para describir el trfico de red especfico, tal como un protocolo determinado que se origina en un host especfico. Es necesario configurar la norma despus de agregarla, porque el Asistente para agregar normas de firewall no configura nuevas normas con varios criterios. Cuando se familiarice con cmo se definen y se procesan las normas, puede agregar normas vacas y configurar los campos segn sea necesario. Una norma vaca permite todo el trfico. Ver "Agregar normas vacas" en la pgina 495. Para agregar normas con el Asistente para agregar normas de firewall
2 3 4 5 6
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, bajo la lista de normas, haga clic en Agregar norma. En el Asistente para agregar normas de firewall, haga clic en Siguiente. En el panel Seleccionar tipo de norma, seleccione uno de los tipos de normas. Haga clic en Siguiente.
Configuracin bsica de la proteccin contra amenazas de red Agregar normas heredadas de un grupo principal
499
7 8 9
Escriba los datos en cada panel para crear el tipo de norma que seleccion. Para las aplicaciones y los hosts, haga clic en Agregar ms para agregar aplicaciones y servicios adicionales. Cuando haya terminado, haga clic en Finalizar. para editar la norma.
10 En la lista de normas, haga clic con el botn secundario en cualquier campo 11 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Agregar normas heredadas de un grupo principal

Es posible agregar normas al heredar slo las normas de un grupo principal. Para heredar las normas de un grupo principal, la poltica del subgrupo debe ser una poltica no compartida. Nota: Si el grupo hereda todas las polticas de un grupo principal, esta opcin no est disponible. Las normas heredadas se habilitan automticamente. La poltica de subgrupo puede heredar solamente las normas de firewall que se habilitan en el grupo principal. Cuando haya heredado las normas, es posible deshabilitarlas, pero no es posible modificarlas. A medida que se agregan nuevas normas a la poltica del grupo principal, las nuevas normas se agregan automticamente a la poltica heredera. Cuando las normas heredadas aparecen en la lista de normas, se sombrean en prpura. Sobre la lnea azul, las normas heredadas se agregan sobre las normas que usted cre. Bajo la lnea azul, las normas heredadas se agregan sobre las normas que usted cre. Las polticas de firewall tambin heredan normas predeterminadas, as que las polticas de firewall del subgrupo pueden tener dos grupos de normas predeterminadas. Es posible eliminar un grupo de normas predeterminadas. Si desea quitar las normas heredadas, puede desheredarlas en lugar de optar por la eliminacin. Debe quitar todas las normas heredadas en lugar de las normas seleccionadas. Para agregar normas heredadas de un grupo principal
En la pgina Poltica de firewall, haga clic en Normas.
500
Configuracin bsica de la proteccin contra amenazas de red Importar y exportar normas
En la ficha Normas, sobre Lista de normas, marque Heredar normas de firewall del grupo principal. Para quitar las normas heredadas, desmarque Heredar normas de firewall del grupo principal.
Haga clic en Aceptar. Ver "Grupos, herencia, ubicaciones y polticas" en la pgina 355.
Importar y exportar normas

Es posible exportar e importar normas de firewall y configuracin de otra poltica de firewall de modo que usted no tenga que reconstruirlas. Por ejemplo, es posible importar un conjunto de normas parcial de una poltica a otra. Para importar normas, primero tiene que exportar las normas a un archivo .dat y tener acceso al archivo. Las normas se agregan en el mismo orden que estn enumeradas en la poltica principal con respecto a la lnea azul. Es posible entonces modificar el orden de procesamiento. Para exportar normas
2 3 4
En la pgina Poltica de firewall, haga clic en Normas. En la lista Normas, seleccione las normas que desea exportar, haga clic con el botn secundario y, despus, haga clic en Exportar. En el cuadro de dilogo Exportar poltica, seleccione un directorio para guardar el archivo .dat, escriba un nombre de archivo y haga clic en Exportar.
Para importar normas
2 3 4
En la pgina Poltica de firewall, haga clic en Normas. Haga clic con el botn secundario en la lista de normas y, despus, haga clic en Importar. En el cuadro de dilogo Importar poltica, busque el archivo .dat que contiene las normas de firewall que desea importar y haga clic en Importar.
Configuracin bsica de la proteccin contra amenazas de red Editar y eliminar normas
501
5 6
En el cuadro de dilogo de entrada, escriba un nuevo nombre para la poltica y haga clic en Aceptar. Haga clic en Aceptar.
Editar y eliminar normas

Es posible modificar las normas de firewall si no funcionan de la manera que desea. Modificar una norma es lo mismo que agregar una norma en blanco y despus editarla. Es posible eliminar cualquier norma de firewall, incluso una norma predeterminada. No es posible eliminar una norma en una poltica que se herede de una poltica principal. Para editar las normas
2 3 4
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, bajo la lista de normas, haga doble clic en cualquier columna de una norma para editar la norma. Edite cualquier columna en la tabla de la norma. Ver "Agregar normas vacas" en la pgina 495.
Haga clic en Aceptar para guardar los cambios.
Para borrar las normas
2 3 4 5
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione la norma que desea eliminar y, debajo de lista de normas, haga clic en Eliminar. Haga clic en S para confirmar que desea eliminar la norma. Haga clic en Aceptar.
Copiar y pegar normas

Puede copiar y pegar normas de la misma poltica o de otra poltica.
502
Configuracin bsica de la proteccin contra amenazas de red Alteracin del orden de las normas
Copiar y pegar normas
2 3 4 5
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, haga clic con el botn secundario en la norma que usted desea copiar y, despus, haga clic en Copiar norma. Haga clic con el botn secundario en la fila donde usted desea pegar la norma y, despus, haga clic en Pegar norma. Haga clic en Aceptar.
Alteracin del orden de las normas

El firewall procesa la lista de normas de firewall desde abajo hacia arriba. Es posible determinar cmo el firewall procesa las normas de firewall modificando su orden. Los cambios realizados en el orden slo afectan a la ubicacin seleccionada en ese momento. Para modificar el orden de las normas
2 3
En la pgina de Polticas de firewall, haga clic en Normas y seleccione la norma que usted desea mover. Realice una de las tareas siguientes:

Para procesar esta norma antes que la norma anterior, haga clic en Subir. Para procesar esta norma despus de la que est debajo de ella, haga clic en Bajar.
Habilitar e deshabilitar normas

Las normas se deben habilitar para que el firewall las procese. Puede deshabilitar una norma de firewall si necesita permitir el acceso especfico de un programa o equipo. La norma se deshabilita para todas las ubicaciones si es una poltica compartida y solamente para una ubicacin si es una poltica especfica para una ubicacin. La norma tambin se deshabilita para todas las polticas heredadas.
Configuracin bsica de la proteccin contra amenazas de red Habilitar el filtro de trfico inteligente
503
Para habilitar o deshabilitar normas
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione la norma que usted desea habilitar o deshabilitar y, despus, active o desactive la casilla de verificacin en la columna Habilitada. Haga clic en Aceptar.
Habilitar el filtro de trfico inteligente

Los filtros de trfico inteligente permiten la comunicacin entre ciertos servicios de red, de modo que usted no tenga que definir las normas que permiten explcitamente esos servicios. Es posible permitir que los filtros de trfico inteligentes admitan trfico DHCP, DNS y WINS en la mayora de las redes. Los filtros de trfico inteligentes admiten solicitudes salientes y respuestas entrantes para las conexiones de red que se configuraron para utilizar DHCP, DNS y WINS. Los filtros permiten que los clientes DHCP, DNS o WINS reciban una direccin IP de un servidor mientras protegen a los clientes contra ataques de la red.
Si el cliente enva una solicitud al servidor, el cliente espera cinco segundos para permitir una respuesta entrante. Si el cliente no enva una solicitud al servidor, los filtros no admiten el paquete.
Los filtros inteligentes admiten el paquete si efectu una solicitud. No bloquean los paquetes. Las normas de firewall admiten o bloquean los paquetes. Nota: Para configurar estas opciones en el control mixto, es necesario tambin habilitar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 130. Para habilitar los filtros de trfico inteligentes
2 3
En la pgina Poltica de firewall, haga clic en Filtros de trfico inteligentes. Si no estn marcadas, marque cualquiera de las siguientes casillas de verificacin:
504
Configuracin bsica de la proteccin contra amenazas de red Habilitar configuracin de trfico y de ocultacin
Habilitar Smart DHCP Habilitar Smart DNS Habilitar Smart WINS
Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
4 5
Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin. Ver "Asignar una poltica compartida" en la pgina 378.
Habilitar configuracin de trfico y de ocultacin

Es posible permitir que la configuracin del trfico detecte y bloquee el trfico que se comunica a travs de los controladores, de NetBIOS y de token rings. Es posible tambin configurar las opciones para detectar el trfico que utiliza ms ataques invisibles. Nota: Para configurar estas opciones en el control mixto, es necesario tambin habilitar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Ver "Acerca del control mixto" en la pgina 130. Para habilitar la configuracin de trfico y ocultacin
2 3
En la pgina Poltica de firewall, haga clic en Configuracin de trfico y modo de ocultacin. Si una casilla no est seleccionada an, active una de las siguientes:

Habilitar la proteccin de NetBIOS Permitir el trfico de token ring Habilitar bsqueda inversa de DNS Habilitar normas contra la falsificacin de MAC Habilitar exploracin Web en modo de ocultacin Habilitar nueva secuencia TCP Habilitar enmascaramiento de huella digital de SO
Configuracin bsica de la proteccin contra amenazas de red Configurar la autenticacin punto a punto
505
Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
4 5
Haga clic en Aceptar. Si se le pide, asigne la poltica a una ubicacin. Ver "Asignar una poltica compartida" en la pgina 378.
Configurar la autenticacin punto a punto

Es posible utilizar la autenticacin punto a punto para permitir que un equipo cliente remoto (par) se conecte a otro equipo cliente (autenticador) dentro de la misma red corporativa. El autenticador bloquea temporalmente el trfico TCP y UDP entrante desde el equipo remoto hasta que el equipo remoto pase la comprobacin de integridad del host. La comprobacin de integridad del host verifica las caractersticas siguientes del equipo remoto:
El equipo remoto tiene Symantec Endpoint Protection y Symantec Network Access Control instalados. El equipo remoto cumple los requisitos de poltica de integridad del host.
Si el equipo remoto pasa la comprobacin de integridad del host, el autenticador permite que el equipo remoto se conecte a l. Si el equipo remoto no pasa la comprobacin de integridad del host, el autenticador contina bloqueando el equipo remoto. Es posible especificar cunto tiempo el equipo remoto estar bloqueado antes de que pueda intentar conectarse con el autenticador de nuevo. Es posible tambin especificar ciertos equipos remotos que se permitirn siempre, incluso si no pasan la comprobacin de integridad del host. Si no habilita una poltica de integridad del host para el equipo remoto, el equipo remoto pasa la comprobacin de integridad del host. La informacin de autenticacin punto a punto se mustra en el registro de cliente Enforcer de cumplimiento y en el registro de trfico de proteccin contra amenazas de red. Nota: Trabajos de autenticacin punto a punto en control del servidor y control mixto, pero no en control del cliente.
Advertencia: No habilite la autenticacin punto a punto para los clientes que estn instalados en el mismo equipo que el servidor de administracin. Si no, el servidor de administracin no puede descargar polticas en el equipo remoto si el equipo remoto no pasa la comprobacin de integridad del host.
506
Configuracin bsica de la proteccin contra amenazas de red Configurar la autenticacin punto a punto
Para configurar la autenticacin punto a punto
2 3 4
En la pgina Poltica de firewall, haga clic en Configuracin de autenticacin Peer-to-Peer. En el panel Configuracin de la autenticacin punto a punto, marque Habilitar autenticacin punto a punto. Configure cada uno de los valores que se muestra en la pgina. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
Para permitir que los equipos remotos se conecten al equipo cliente sin ser autenticados, marque Excluir hosts de la autenticacin y haga clic en Hosts excluidos. El equipo cliente permite el trfico a los equipos que se muestran en la lista de hosts.
6 7 8 9
En el cuadro de dilogo Hosts excluidos, haga clic en Agregar para agregar los equipos remotos que no tienen que ser autenticados. En el cuadro de dilogo Host, defina el host segn la direccin IP, el intervalo de IP o la subred y despus haga clic en Aceptar. En el cuadro de dilogo Hosts excluidos, haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
10 Si se le pide, asigne la poltica a una ubicacin.

Captulo
33
Configurar la prevencin de intrusiones


Acerca del sistema de prevencin de intrusiones Configurar la prevencin de intrusiones Crear firmas personalizadas de IPS
Acerca del sistema de prevencin de intrusiones

El sistema de prevencin de intrusiones (IPS) es la segunda lnea de defensa del cliente Symantec Endpoint Protection despus del firewall. El sistema de prevencin de intrusiones es un sistema basado en redes que funciona en todos los equipos en que se instale el cliente y se habilite el sistema de IPS. Si se detecta un ataque conocido, una o ms tecnologas de prevencin de intrusiones pueden bloquearlo automticamente. El sistema de prevencin de intrusiones analiza cada paquete que entra y sale de los equipos de la red en busca de firmas de ataques. Las firmas de ataques son secuencias de paquetes que identifican el intento de un atacante de explotar una vulnerabilidad conocida del sistema operativo o del programa. Si la informacin coincide con un ataque conocido, IPS desecha automticamente el paquete. IPS puede tambin separar la conexin con el equipo que envi los datos por una cantidad de tiempo especificada. Esta funcin se llama respuesta activa y protege los equipos de la red. El cliente incluye los tipos siguientes de motores IPS que identifican firmas de ataques.
508
Configurar la prevencin de intrusiones Acerca del sistema de prevencin de intrusiones
Firmas IPS de Symantec
Las firmas IPS de Symantec utilizan un motor basado en secuencias que analiza varios paquetes. Las firmas IPS de Symantec interceptan datos de red en el nivel de las sesiones y capturan segmentos de los mensajes que pasan de un lado a otro entre una aplicacin y la pila de red. Las firmas IPS personalizadas utilizan un motor basado en paquetes que analiza cada paquete individualmente.
Firmas IPS personalizadas
El sistema de prevencin de intrusiones registra los ataques detectados en los registros de seguridad. Es posible permitir a las firmas personalizadas IPS que registren los ataques detectados en el registro Paquete.
Acerca de las firmas IPS de Symantec

El IPS de Symantec examina los paquetes de dos maneras. Analiza todos los paquetes de forma individual en busca de patrones que no se ajusten a las especificaciones y que puedan dejar fuera de servicio la pila TCP/IP. Tambin supervisa los paquetes como una secuencia de informacin. Supervisa en busca de los comandos dirigidos a un servicio determinado para explotar o bloquear el sistema. Adems, es capaz de recordar la lista de patrones o de patrones parciales de paquetes anteriores y aplicar esta informacin en inspecciones posteriores de paquetes. IPS se basa en una detallada lista de firmas de ataques para detectar y bloquear las actividades de red sospechosas. El equipo de Symantec Security Response suministra la lista de amenazas conocidas, que es posible actualizar en el cliente mediante Symantec LiveUpdate. Se descargan las firmas a la consola y despus se utiliza una poltica de contenido de LiveUpdate para descargarlas al cliente. El motor IPS de Symantec y el correspondiente grupo de firmas IPS se instalan en el cliente de forma predeterminada. Ver "Configurar una poltica de contenido de LiveUpdate" en la pgina 113. Es posible tambin modificar el comportamiento de las firmas IPS de Symantec. Ver "Modificar el comportamiento de firmas IPS de Symantec" en la pgina 511.
Acerca de las firmas IPS personalizadas

El cliente contiene un motor IPS adicional que admite firmas basadas en paquetes. Los motores basados en secuencias y en paquetes detectan firmas en los datos de red que atacan la pila TCP/IP, los componentes del sistema operativo y la capa de aplicacin. Sin embargo, las firmas basadas en paquetes pueden detectar ataques a la pila TCP/IP antes que las firmas basadas en secuencias.
Configurar la prevencin de intrusiones Configurar la prevencin de intrusiones
509
El motor basado en paquetes no detecta las firmas que abarcan varios paquetes. El motor IPS basado en paquetes es ms limitado porque no almacena coincidencias parciales y analiza solamente cargas de un solo paquete. Las firmas basadas en paquetes examinan un solo paquete que coincida con una norma. La norma especifica un protocolo, un puerto, una direccin IP de origen o destino, o una aplicacin. Ciertos ataques se inician comnmente contra aplicaciones especficas. Las firmas personalizadas utilizan normas basadas en aplicaciones, que se modifican dinmicamente para cada paquete. La norma se basa en varios criterios, tales como aplicacin, nmero de indicador de TCP, puerto y protocolo. Por ejemplo, una firma personalizada puede supervisar los paquetes de informacin que se reciben en busca de la cadena "phf" en GET / cgi-bin/phf? como indicador de un ataque de un programa CGI. Cada paquete se evala en busca de ese patrn especfico. Si el paquete de trfico coincide con la norma, el cliente permite o bloquea el paquete y registra opcionalmente el evento en el registro de paquetes. Las firmas pueden ocasionar falsos positivos porque se basan a menudo en coincidencias con expresiones regulares y cadenas. Las firmas personalizadas utilizan ambos criterios para buscar cadenas al buscar coincidencias con un paquete. De forma predeterminada, el cliente no incluye las firmas personalizadas. Usted crea firmas IPS personalizadas. Ver "Crear firmas personalizadas de IPS" en la pgina 515.
Configurar la prevencin de intrusiones

La configuracin predeterminada de IPS protege los equipos cliente contra una gran variedad de amenazas. Es posible personalizar las configuraciones predeterminadas para su red. Es posible personalizar la configuracin de IPS de una o ms de las maneras siguientes:

Habilitar la configuracin de prevencin de intrusiones. Modificar el comportamiento de firmas de ataques especficas. Excluir equipos especficos del anlisis. Bloquear un equipo atacante automticamente. Habilitar notificaciones de prevencin de intrusiones. Ver "Configurar notificaciones de proteccin contra amenazas de red" en la pgina 536. Crear firmas personalizadas de IPS. Ver "Crear firmas personalizadas de IPS" en la pgina 515.
510
Acerca del uso de Polticas de prevencin de intrusiones

A excepcin de las firmas IPS personalizadas y las notificaciones de prevencin de intrusiones, cuando usted configura la prevencin de intrusiones, se crea una poltica de prevencin de intrusiones. Para las firmas IPS personalizadas, usted crea una biblioteca IPS personalizada. Las polticas de prevencin de intrusiones se crean y editan de forma similar a otros tipos de polticas. Es posible asignar, retirar, sustituir, copiar, exportar, importar o eliminar una poltica de prevencin de intrusiones o una biblioteca personalizada de prevencin de intrusiones. Se asigna tpicamente una poltica a los grupos varios en su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Los pasos de este captulo asumen que usted est familiarizado con los fundamentos de la configuracin de polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 370.
Habilitar opciones de prevencin de intrusiones

Es posible bloquear ciertos tipos de ataques en el cliente, de acuerdo con la tecnologa de prevencin de intrusiones que seleccione. Es necesario habilitar las opciones de prevencin de intrusiones para habilitar el motor de firmas IPS de Symantec o el motor personalizado de firmas IPS. Si no se habilita esta configuracin, el cliente ignora las firmas de posibles ataques. Nota: Para configurar estas opciones en el control mixto, es necesario tambin habilitar estas opciones en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Ver "Configurar las opciones de proteccin contra amenazas de red para el control mixto" en la pgina 523. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda. Para habilitar opciones de prevencin de intrusiones
En la consola, abra una poltica de prevencin de intrusiones. Ver "Acerca de editar polticas" en la pgina 376.
2 3
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. En la pgina Configuracin, marque las casillas de verificacin siguientes que se apliquen:
511
Habilitar prevencin de intrusiones Habilitar la deteccin de negacin de servicio Habilitar la deteccin de anlisis de puertos
Cuando termine de configurar esta poltica, haga clic en Aceptar. Ver "Configurar una lista de equipos excluidos" en la pgina 513.
Modificar el comportamiento de firmas IPS de Symantec

Puede ser necesario modificar el comportamiento predeterminado de las firmas IPS de Symantec por los motivos siguientes:
Para reducir la posibilidad de un falso positivo. Hay algunos casos en los que una actividad de red benigna puede asemejarse a una firma de ataque. Si recibe repetidas advertencias acerca de posibles ataques y sabe que esos ataques se deben a un comportamiento seguro, puede excluir la firma de ataque que coincida con la actividad benigna. Para reducir el consumo de recursos reduciendo el nmero de firmas de ataques que el cliente comprueba. Sin embargo, debe estar seguro de que una firma de ataque no supone ninguna amenaza antes de excluirla del bloqueo.
Es posible modificar las medidas que el cliente toma cuando el IPS reconoce una firma de ataque. Es posible tambin modificar si el cliente registra el evento en el registro de seguridad. Nota: Para modificar el comportamiento de una firma IPS personalizada que usted cree o importe, se edita la firma directamente. Para modificar el comportamiento de firmas IPS de Symantec
2 3 4
En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones. En la pgina Excepciones, haga clic en Agregar. En el cuadro de dilogo Agregar excepciones de prevencin de intrusiones, realice una de las siguientes acciones para filtrar las firmas:
Para visualizar las firmas de una categora determinada, seleccione una opcin de la lista desplegable Mostrar categora. Para visualizar las firmas clasificadas con una gravedad determinada, seleccione una opcin de la lista desplegable Mostrar gravedad.
512
Seleccione una o ms firmas IPS. Para hacer que el comportamiento de todas las firmas sea igual, haga clic en Seleccionar todos.
6 7 8
Haga clic en Siguiente. En el cuadro de dilogo Accin de la firma, modifique la accin de Bloquear a Permitir o de Permitir a Bloquear. Opcionalmente, modifique la accin de registro de una de las siguientes maneras:

Cambie Registrar el trfico a No registrar el trfico. Cambie No registrar el trfico a Registrar el trfico.
Haga clic en Aceptar. Si desea quitar la excepcin y recuperar el comportamiento de la firma original, seleccione la firma y haga clic en Eliminar.
10 Haga clic en Aceptar. 11 Si desea modificar el comportamiento de otras firmas, repita los pasos 3 a
10.
12 Cuando termine de configurar esta poltica, haga clic en Aceptar.

Ver "Ver y modificar la poltica de contenido de LiveUpdate que se aplica a un grupo" en la pgina 115. Para quitar la excepcin
2 3 4
En la pgina Poltica de prevencin de intrusiones, haga clic en Excepciones. En el panel Excepciones, seleccione la excepcin que desea quitar y haga clic en Eliminar. Cuando se le solicite que confirme la eliminacin, haga clic en S.
Bloquear un equipo atacante

Cuando el cliente de Symantec Endpoint Protection detecta un ataque de red, puede bloquear automticamente la conexin para asegurarse de que el equipo cliente est seguro. El cliente activa una respuesta activa, que bloquea automticamente toda la comunicacin hacia el equipo atacante y desde l por un tiempo determinado. La direccin IP del equipo atacante se bloquea para una sola ubicacin.
513
La direccin IP del atacante se inscribe en el registro de seguridad. En control de clientes, los usuarios pueden desbloquear un ataque deteniendo la respuesta activa en los registros de seguridad. Si configura el cliente al control mixto, es posible especificar si la configuracin est disponible o no en el cliente para que el usuario la habilite. Si no est disponible, es necesario habilitarla en el cuadro de dilogo Configuracin del control mixto de la interfaz de usuario del cliente. Ver "Configurar las opciones de proteccin contra amenazas de red para el control mixto" en la pgina 523. Las firmas de IPS actualizadas, las firmas actualizadas de negacin de servicio, los anlisis de puertos y la falsificacin de MAC tambin inician una respuesta activa. Para bloquear un equipo atacante
2 3 4
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. En la pgina Configuracin, seleccione Bloquear automticamente la direccin IP de un atacante. En el cuadro de texto Nmero de segundos durante los que se bloquea la direccin IP: ... segundos, especifique el nmero de segundos que se deben bloquear los atacantes potenciales. Escriba un nmero entre 1 y 999 999 segundos.
Cuando termine de configurar esta poltica, haga clic en Aceptar.
Configurar una lista de equipos excluidos

El cliente de Symantec Endpoint Protection puede definir algunas actividades normales de Internet, como ataques. Por ejemplo, las que realizan algunos proveedores de servicios de Internet al analizar los puertos de los equipos para asegurarse de que se cumplen los acuerdos de servicio. Tambin es posible configurar algunos equipos en su red interna que usted desee para propsitos de prueba. Es posible configurar una lista de equipos para los cuales el cliente no busque coincidencias con firmas de ataque ni busque anlisis de puertos o ataques de negacin de servicio. El cliente permite todo el trfico saliente y entrante de estos hosts, sin importar la configuracin y las normas de firewall o las firmas de IPS.
514
Nota: Es posible tambin configurar una lista de equipos que permita todo el trfico saliente y entrante a menos que una firma de IPS detecte un ataque. En este caso, se crea una norma de firewall que permita todos los hosts. Para configurar una lista de equipos excluidos
2 3 4 5
En la pgina Poltica de prevencin de intrusiones, haga clic en Configuracin. Si no est seleccionada, seleccione la opcin Habilitar hosts excluidos y, despus, haga clic en Hosts excluidos. En el cuadro de dilogo Hosts excluidos, haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable, seleccione uno de los siguientes tipos de hosts:

Dominio DNS Host DNS Direccin IP Intervalo de IP Direccin MAC Subred
Escriba la informacin apropiada que se asocia al tipo de hosts que usted seleccion. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
7 8 9
Haga clic en Aceptar. Repita los pasos 4 y 7 para agregar los dispositivos y los equipos adicionales a la lista de equipos excluidos. Para editar o eliminar los hosts excluidos, seleccione una fila y haga clic en Editar o Eliminar.
10 Haga clic en Aceptar. 11 Cuando termine de configurar esta poltica, haga clic en Aceptar.
Configurar la prevencin de intrusiones Crear firmas personalizadas de IPS
515
Crear firmas personalizadas de IPS

Puede escribir sus propias firmas para identificar una intrusin especfica y reducir la posibilidad de firmas que causen un falso positivo. Mientras ms informacin agregue a una firma personalizada, ms eficaz ser sta. Cuando se crea una biblioteca personalizada, es posible organizar firmas en grupos de firmas para administrarlas ms fcilmente. Es necesario agregar, por lo menos, un grupo de firmas a una biblioteca de firmas personalizadas antes de agregar las firmas al grupo. Es posible copiar y pegar firmas entre grupos y entre bibliotecas. Advertencia: Es necesario est familiarizado con los protocolos TCP, UDP o ICMP antes de desarrollar firmas de prevencin de intrusiones. Una firma incorrectamente creada puede daar la biblioteca IPS personalizada y la integridad de los clientes. Para crear firmas IPS personalizadas, es necesario realizar los pasos siguientes:

Cree una biblioteca IPS personalizada. Agregue una firma.
Para crear una biblioteca IPS personalizada
1 2 3
En la consola, haga clic en Polticas y en Prevencin de intrusiones. Bajo Tareas, haga clic en Agregar firmas de prevencin de intrusiones personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, escriba un nombre y una descripcin opcional para la biblioteca. El Grupo NetBIOS es un grupo de firmas de muestra con una firma de ejemplo. Es posible editar el grupo existente o agregar un nuevo grupo.
4 5
Para agregar un nuevo grupo, en la ficha Firmas de la lista Grupos de firmas, haga clic en Agregar. En el cuadro de dilogo Grupo de firmas de prevencin de intrusiones, escriba un nombre de grupo y una descripcin opcional, y haga clic en Aceptar. El grupo est habilitado de forma predeterminada. Si el grupo de firmas est habilitado, todas las firmas del grupo se habilitan automticamente. Para conservar el grupo como referencia pero deshabilitado, desactive la opcin Habilitar este grupo.
Agregue una firma personalizada.
516
Para agregar una firma personalizada
1 2 3 4
Agregue una biblioteca IPS personalizada. En la ficha Firmas, bajo Firmas para este grupo, haga clic en Agregar. En el cuadro de dilogo Agregar firma, escriba un nombre y una descripcin opcional para la firma. En la lista desplegable Gravedad, seleccione un nivel de gravedad. Los eventos que coinciden con las condiciones de la firma se registran con esta gravedad.
5 6
En la lista desplegable Direccin, especifique la direccin del trfico que desea que la firma controle. En el campo Contenido, escriba la sintaxis de la firma. Para obtener ms informacin sobre la sintaxis, haga clic en Ayuda.
7 8
Si desea que una aplicacin active la firma, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba el nombre de archivo y una descripcin opcional para la aplicacin. Por ejemplo, para agregar la aplicacin Microsoft Internet Explorer, escriba el nombre de archivo de las siguientes formas: iexplore o iexplore.exe. Si no especifica un nombre de archivo, cualquier aplicacin puede activar la firma.
Haga clic en Aceptar. La aplicacin agregada queda habilitada de forma predeterminada. Si desea deshabilitar la aplicacin hasta un momento posterior, desactive la casilla de verificacin en la columna Activada.
10 En el grupo del cuadro Accin, seleccione la accin que desea que el cliente
tome cuando la firma detecta el evento:
Bloquear Identifica y bloquea el evento o el ataque y lo registra en el registro de seguridad. Identifica y permite el evento o el ataque y lo registra en el registro de seguridad.
Permitir
Escribir en el registro de Registra el evento o el ataque en el registro de paquetes. paquetes
517

La firma agregada queda habilitada de forma predeterminada. Si desea deshabilitar la firma hasta un momento posterior, desactive la casilla de verificacin en la columna Activada.
12 Para agregar firmas adicionales al grupo, repita los pasos del 2 al 11.
Para editar o eliminar una firma, seleccinela y haga clic en Editar o en Eliminar.
13 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 14 Si se le solicita asignar firmas IPS personalizadas a un grupo, haga clic en S. 15 En el cuadro de dilogo Asignar poltica de prevencin de intrusiones,
seleccione los grupos a los que desea asignar la poltica.
16 Haga clic en Asignar y, despus, en S.
Asignar varias bibliotecas IPS personalizadas a un grupo

Despus de crear una biblioteca IPS personalizada, usted la asigna a un grupo en lugar de a una ubicacin individual. Luego, es posible asignar bibliotecas IPS personalizadas adicionales al grupo. Para asignar varias bibliotecas IPS personalizadas a un grupo
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo al cual desee asignar las firmas personalizadas. En la ficha Polticas, en Configuracin y polticas independientes de la ubicacin, haga clic en Prevencin de intrusiones personalizada. En el cuadro de dilogo Prevencin de intrusiones personalizada para nombre de grupo, marque la casilla de la columna Habilitada para cada biblioteca IPS personalizada que desee asignar a ese grupo. Haga clic en Aceptar.
Modificar el orden de las firmas

El motor IPS para las firmas personalizadas comprueba las firmas en el orden en que estn enumeradas en la lista de firmas. Solamente se puede activar una firma por paquete. Cuando una firma coincide con un paquete de trfico entrante o saliente, el motor IPS deja de verificar otras firmas. Para que el motor IPS ejecute las firmas en el orden correcto, es posible modificar el orden de las firmas en la lista de firmas. Si coinciden varias firmas, desplace las firmas de mayor prioridad a la parte superior.
518
Por ejemplo, si usted agrega un grupo de firmas para bloquear el trfico TCP en ambas direcciones en el puerto de destino 80, es posible que tenga que agregar las firmas siguientes:

Bloquear todo el trfico en el puerto 80 Permitir todo el trfico en el puerto 80
Si la firma Bloquear todo el trfico se enumera primero, la firma Permitir todo el trfico nunca se aplica. Si la firma Permitir todo el trfico se enumera primero, la firma Bloquear todo el trfico nunca se aplica y todo el trfico HTTP se permite siempre. Para modificar el orden de las firmas
1 2
Abra una biblioteca IPS personalizada. Agregue o edite una firma. Ver "Para agregar una firma personalizada" en la pgina 516.
En la ficha Firmas, en la tabla Firmas para este grupo, seleccione la firma que desea mover y realice una de las siguientes acciones:
Para procesar esta firma antes que la firma que est sobre ella, haga clic en Subir. Para procesar esta firma despus de la firma que est debajo de ella, haga clic en Bajar.
Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
Copiar y pegar firmas

Es posible copiar y pegar firmas dentro del mismo grupo de firmas, entre grupos de firmas o entre bibliotecas de firmas. Por ejemplo, podra notar que agreg una firma en el grupo de firmas incorrecto. O es posible que haya dos firmas que son casi idnticas. Para copiar y pegar firmas
1 2
Abra una biblioteca IPS personalizada. Agregue o edite una firma. Ver "Para agregar una firma personalizada" en la pgina 516.
En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, en la ficha Firmas, en la tabla Firmas para este grupo, haga clic con el botn secundario en la firma que desea copiar y, a continuacin, haga clic en Copiar.
519
4 5
Haga clic con el botn secundario en la lista de firmas y, despus, haga clic en Pegar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
Definir variables para las firmas

Cuando se agrega una firma IPS personalizada, es posible utilizar variables para representar los datos modificables en las firmas. Si los datos cambian, es posible editar la variable en vez de editar las firmas en la biblioteca. Antes de que pueda utilizar las variables de la firma, es necesario definirlas. Las variables que usted defina en la biblioteca personalizada de firmas se pueden utilizar en cualquier firma de esa biblioteca. Es posible copiar y pegar el contenido de la variable de ejemplo existente para utilizar como base para crear contenido. Para definir variables
1 2 3 4 5
Cree una biblioteca IPS personalizada. En el cuadro de dilogo Firmas de prevencin de intrusiones personalizada, haga clic en la ficha Variables. Haga clic en Agregar. En el cuadro de dilogo Agregar variable, escriba un nombre y una descripcin opcional para la variable. Agregue una cadena de contenido para el valor variable, de hasta 255 caracteres. Cuando escriba la cadena variable de contenido, siga las mismas guas de sintaxis que se utilizan para escribir valores en el contenido de la firma.
Haga clic en Aceptar. Despus de agregar la variable a la tabla, es posible utilizar la variable en cualquier firma de la biblioteca personalizada.
Para utilizar variables en firmas
En la ficha Firmas, agregue o edite una firma. Ver "Para agregar una firma personalizada" en la pgina 516.
En el cuadro de dilogo Agregar firma o Editar firma, en el campo Contenido, escriba el nombre de la variable con un signo de dlar ($) delante de ella. Por ejemplo, si usted crea una variable llamada HTTP para especificar puertos HTTP, escriba lo siguiente: $HTTP
520
3 4
Haga clic en Aceptar. Cuando termine de configurar esta biblioteca, haga clic en Aceptar.
Captulo
34
Personalizar la proteccin contra amenazas de red


Habilitar e deshabilitar Proteccin contra amenazas de red Configurar las opciones de proteccin contra amenazas de red para el control mixto Agregar hosts y grupos de hosts Editar y eliminar grupos de hosts Agregar hosts y grupos de hosts a una norma Agregar servicios de red Editar y eliminar servicios de red personalizados Agregar servicios de red a una norma Habilitar el uso compartido de archivos e impresoras en la red Agregar adaptadores de red Agregar adaptadores de red a una norma Editar y eliminar adaptadores de red personalizados Agregar aplicaciones a una norma Agregar programaciones a una norma Configurar notificaciones de proteccin contra amenazas de red Configurar la supervisin de aplicaciones de red
522
Personalizar la proteccin contra amenazas de red Habilitar e deshabilitar Proteccin contra amenazas de red
Habilitar e deshabilitar Proteccin contra amenazas de red

De forma predeterminada, la proteccin contra amenazas de red est habilitada. Es posible deshabilitar la proteccin contra amenazas de red en equipos seleccionados. Por ejemplo, puede ser necesario instalar un parche en los equipos cliente que haran que el firewall bloquee la instalacin. Si deshabilita la proteccin contra amenazas de red, sta se habilitar automticamente cuando suceda lo siguiente:

El usuario cierra y reinicia el equipo cliente. La ubicacin del cliente cambia de control del servidor a control del cliente. Se configur el cliente para habilitar la proteccin despus de cierto perodo. Se descarga en el cliente una nueva poltica de seguridad que habilita la proteccin.
Es posible tambin habilitar manualmente la proteccin contra amenazas de red desde los registros de estado del equipo. Ver "Ejecutar comandos y acciones de registros" en la pgina 221. Puede tambin otorgar al usuario del equipo cliente permisos para habilitar o deshabilitar la proteccin. Sin embargo, es posible anular la configuracin del cliente. O es posible deshabilitar la proteccin en el cliente, incluso si los usuarios la han habilitado. Se puede habilitar la proteccin incluso si los usuarios la han deshabilitado. Ver "Configurar opciones de la interfaz de usuario" en la pgina 131. Para habilitar e deshabilitar la proteccin contra amenazas de red para un grupo
1 2 3
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo para el cual desee habilitar o deshabilitar la proteccin. Realice una de las acciones siguientes:
Para todos los equipos y usuarios del grupo, haga clic con el botn secundario en el grupo, haga clic en Ejecutar comando en el grupo y despus en Habilitar proteccin contra amenazas de red o Inhabilitar proteccin contra amenazas de red. Para los usuarios o equipos seleccionados dentro de un grupo, en la ficha Clientes, seleccione los usuarios o equipos. A continuacin, haga clic con el botn secundario en la seleccin y haga clic en Ejecutar comando en
Personalizar la proteccin contra amenazas de red Configurar las opciones de proteccin contra amenazas de red para el control mixto
523
los clientes > Habilitar proteccin contra amenazas de red o Inhabilitar proteccin contra amenazas de red.
4 5
Para confirmar la accin, haga clic en S. Haga clic en Aceptar.
Configurar las opciones de proteccin contra amenazas de red para el control mixto
Es posible configurar el cliente de modo que los usuarios no tengan ningn control, tengan pleno control o tengan control limitado sobre las opciones de Proteccin contra amenazas de red que pueden configurar. Cuando configure el cliente, utilice las pautas siguientes:
Si configura el cliente para que sea controlado por el servidor, el usuario no podr crear ninguna norma de firewall ni habilitar opciones de firewall y de prevencin de intrusiones. Si configura el cliente para que sea controlado por el cliente, el usuario puede crear normas de firewall y habilitar todas las opciones de firewall y de prevencin de intrusiones. Si configura el cliente para que tenga un control mixto, el usuario puede crear normas de firewall y usted decide qu opciones de firewall y de prevencin de intrusiones puede habilitar el usuario.
Ver "Configurar opciones de la interfaz de usuario" en la pgina 131. Para configurar las opciones de proteccin contra amenazas de red para el control mixto
1 2 3 4 5 6
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione el grupo con el nivel de control de usuario que desee modificar. En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin, bajo una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin del modo de control, haga clic en Control mixto y despus haga clic en Personalizar. En la ficha Configuracin de control de clientes y servidores, bajo la categora de Poltica de firewall y Poltica de prevencin de intrusiones, realice una de las siguientes acciones:
524
Personalizar la proteccin contra amenazas de red Agregar hosts y grupos de hosts
Para hacer que una opcin del cliente est disponible para que los usuarios la configuren, haga clic en Cliente. Para configurar una opcin del cliente, haga clic en Servidor.
7 8
Haga clic en Aceptar. Para cada opcin de firewall y de prevencin de intrusiones que usted establezca en Servidor, habilite o deshabilite la opcin en la poltica de firewall o de prevencin de intrusiones. Ver "Habilitar el filtro de trfico inteligente" en la pgina 503. Ver "Habilitar configuracin de trfico y de ocultacin" en la pgina 504. Ver "Configurar la prevencin de intrusiones" en la pgina 509.
Agregar hosts y grupos de hosts

Un grupo de hosts es una coleccin de nombres de dominio DNS, nombres de host DNS, direcciones IP, intervalos de IP, direcciones MAC o subredes que se agrupan bajo un nombre. El propsito de los grupos de hosts es eliminar la necesidad de volver a escribir direcciones y nombres de hosts. Por ejemplo, es posible agregar varias direcciones IP una por vez a una norma de firewall. O es posible agregar varias direcciones IP a un grupo de hosts y, despus, agregar el grupo a la norma de firewall. A medida que se incorporan grupos de hosts, es necesario describir dnde se utilizan los grupos. Si decide posteriormente eliminar un grupo de hosts, antes ser necesario eliminar el grupo de hosts de todas las normas que hagan referencia a l. Cuando se agrega un grupo de hosts, ste aparece en la parte inferior de la lista Hosts. Es posible acceder a la lista Hosts desde el campo Host de una norma de firewall. Ver "Acerca de los activadores de hosts" en la pgina 487. Para crear grupos de hosts
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Grupos de hosts. Bajo Tareas, haga clic en Agregar un grupo de hosts. En el cuadro de dilogo Grupo de hosts, escriba un nombre y haga clic en Agregar. En el cuadro de dilogo Host, en la lista desplegable Tipo, seleccione uno de los siguientes tipos de hosts:
Personalizar la proteccin contra amenazas de red Editar y eliminar grupos de hosts
525
Dominio DNS Host DNS Direccin IP Intervalo de IP Direccin MAC Subred
5 6 7 8
Escriba la informacin apropiada para cada tipo de host. Haga clic en Aceptar. Agregue hosts adicionales, si es necesario. Haga clic en Aceptar.
Editar y eliminar grupos de hosts

Es posible editar o eliminar cualquier grupo de hosts personalizado que usted haya agregado. No es posible editar o eliminar un grupo de hosts predeterminado. Antes de que pueda eliminar un grupo de hosts personalizado, es necesario quitar el grupo de hosts de todas las normas que se refieren al grupo. La configuracin que usted edita se cambia en todas las normas que se refieren al grupo. Para editar los grupos de hosts
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Grupos de hosts. En el panel Grupos de hosts, seleccione el grupo de hosts que desea editar. Bajo Tareas, haga clic en Editar el grupo de hosts. En el cuadro de dilogo Grupo de hosts, edite el nombre del grupo (opcional), seleccione un host y, a continuacin, haga clic en Editar. Para quitar el host del grupo, haga clic en Eliminar y, luego, en S.
5 6 7
En el cuadro de dilogo Host, modifique el tipo de hosts o edite la configuracin de hosts. Haga clic en Aceptar. Haga clic en Aceptar.
526
Personalizar la proteccin contra amenazas de red Agregar hosts y grupos de hosts a una norma
Para eliminar los grupos de hosts
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Grupos de hosts. En el panel Grupos de hosts, seleccione el grupo de hosts que desea eliminar. Bajo Tareas, haga clic en Eliminar el grupo de hosts. Cuando se le solicite confirmacin, haga clic en Eliminar.
Agregar hosts y grupos de hosts a una norma

Para bloquear trfico hacia un servidor especfico, o desde l, bloquee el trfico mediante la direccin IP en lugar de por nombre de dominio o nombre del host. Si no, el usuario puede acceder al equivalente de la direccin IP del nombre de host. Para agregar hosts y grupos de hosts a una norma
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Host y despus haga clic en Editar. En el cuadro de dilogo Lista de hosts, realice una de las siguientes acciones:

Haga clic en Origen o destino. Haga clic en Local o remoto.
En las tablas Origen y Destino o Local y remota, realice una de las siguientes tareas:
Para habilitar un grupo de hosts que se haya agregado a travs de la lista Componentes de polticas, vaya al paso 10. Ver "Agregar hosts y grupos de hosts" en la pgina 524. Para agregar un host para la norma seleccionada solamente, haga clic en Agregar.
En el cuadro de dilogo Host, seleccione un tipo de host de la lista desplegable Tipo y escriba la informacin apropiada para cada tipo de host. Para obtener informacin ms detallada sobre cada opcin en este cuadro de dilogo, haga clic en Ayuda.
Personalizar la proteccin contra amenazas de red Agregar servicios de red
527
8 9
Agregue hosts adicionales, si es necesario. En el cuadro de dilogo Lista de hosts, para cada host o grupo de hosts que desee que active la norma de firewall, asegrese de que la casilla Habilitada est marcada en la columna.
10 Haga clic en Aceptar para volver a la lista Normas.
Agregar servicios de red

Los servicios de red permiten que los equipos conectados enven y reciban mensajes, compartan archivos e impriman. Un servicio de red utiliza uno o ms protocolos o puertos para transmitir un tipo de trfico especfico. Por ejemplo, el servicio HTTP utiliza los puertos 80 y 443 en el protocolo TCP. Es posible crear una norma de firewall que permita o bloquee los servicios de red. La lista de servicios de red elimina la necesidad de volver a escribir un protocolo y un puerto para cada norma que usted cree. Es posible seleccionar un servicio de red de una lista predeterminada de servicios de red de uso general. Es posible entonces agregar el servicio de red a la norma de firewall. Es posible tambin agregar servicios de red a la lista predeterminada. Nota: IPv4 e IPv6 son los dos protocolos de nivel de red que se utilizan en Internet. El firewall bloquea los ataques que viajan con IPv4, pero no con IPv6. Si instala el cliente en los equipos que ejecutan Microsoft Vista, la lista Normas incluye varias normas predeterminadas que bloquean el tipo de protocolo Ethernet IPv6. Si quita las normas predeterminadas, deber crear una norma que bloquee IPv6. Si desea permitir o bloquear un servicio de red que no est en la lista predeterminada, es posible agregarlo. Es necesario estar familiarizado con el tipo de protocolo y los puertos que el servicio utiliza. Para agregar un servicio de red personalizado que sea accesible desde cualquier norma de firewall, usted debe agregarlo mediante la lista Componentes de polticas. Para agregar un servicio de red personalizado a la lista predeterminada
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Servicios de red. Bajo Tareas, haga clic en Agregar un servicio de red. Haga clic en Agregar un servicio. En el cuadro de dilogo Servicio de red, escriba un nombre para el servicio y haga clic en Agregar. De la lista desplegable Protocolo, seleccione uno de los siguientes protocolos:
528
Personalizar la proteccin contra amenazas de red Editar y eliminar servicios de red personalizados
TCP UDP ICMP IP Ethernet
Las opciones se modifican de acuerdo con el protocolo que usted selecciona. Para obtener ms informacin, haga clic en Ayuda.
6 7 8
Complete los campos apropiados y haga clic en Aceptar. Agregue uno o ms protocolos adicionales, segn sea necesario. Haga clic en Aceptar. Es posible agregar el servicio a cualquier norma de firewall.
Editar y eliminar servicios de red personalizados

Es posible editar o eliminar cualquier servicio de red personalizado que usted haya agregado. No es posible editar o eliminar un servicio de red predeterminado. Antes de eliminar un servicio de red personalizado, es necesario quitarlo de todas las normas que hacen referencia a l. Para editar servicios de red personalizados
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Servicios de red. En el panel Servicios de red, seleccione el servicio que desea editar. Bajo Tareas, haga clic en Editar el servicio de red. En el cuadro de dilogo Servicio de red, modifique el nombre del servicio o seleccione el protocolo y haga clic en Editar. Modifique la configuracin del protocolo. Para obtener informacin acerca de las opciones en este cuadro de dilogo, haga clic en Ayuda.
6 7
Haga clic en Aceptar. Haga clic en Aceptar.
Personalizar la proteccin contra amenazas de red Agregar servicios de red a una norma
529
Para eliminar servicios de red personalizados
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Servicios de red. En el panel Servicios de red, seleccione el servicio que desea eliminar. Bajo Tareas, haga clic en Eliminar el servicio de red. Cuando se le solicite confirmacin, haga clic en S.
Agregar servicios de red a una norma

Es posible agregar un servicio de red personalizado mediante una norma de firewall. Sin embargo, el servicio de red no se agrega a la lista predeterminada. No es posible acceder al adaptador personalizado desde ninguna otra norma. Para agregar servicios de red a una norma
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Servicio y despus haga clic en Editar. En el cuadro de dilogo Lista de servicios, marque la casilla de verificacin de Habilitar para cada servicio que desee que active la norma. Para agregar un servicio adicional solamente para la norma seleccionada, haga clic en Agregar. En el cuadro de dilogo Protocolo, seleccione un protocolo de la lista desplegable Protocolo. Complete los campos apropiados. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
4 5 6 7
8 9
Habilitar el uso compartido de archivos e impresoras en la red

Es posible habilitar el cliente para que comparta sus archivos o para que busque archivos e impresoras compartidos en la red local. Para impedir ataques basados
530
Personalizar la proteccin contra amenazas de red Habilitar el uso compartido de archivos e impresoras en la red
en la red, es posible deshabilitar el uso compartido de archivos e impresoras en la red. Se habilita el uso compartido de archivos e impresoras en la red agregando normas de firewall. Las normas de firewall permiten que el acceso a los puertos para buscar y compartir archivos e impresoras. Se crea una norma de firewall de modo que el cliente pueda compartir sus archivos. Se crea una segunda norma de firewall de modo que el cliente pueda buscar otros archivos e impresoras. Si el cliente est en control de cliente o control mixto, los usuarios del cliente pueden habilitar estas opciones automticamente configurndolas en la proteccin contra amenazas de red. En control mixto, una norma de firewall del servidor que especifica este tipo de trfico puede anular esta configuracin. En control de servidor, esta configuracin no est disponible en el cliente. Para obtener ms informacin, consulte la Gua del cliente para Symantec Endpoint Protection y Symantec Network Access Control. Para permitir que los clientes busquen archivos e impresoras
2 3
En la pgina Poltica de firewall, haga clic en Normas. Agregue una norma en blanco y en la columna Nombre, escribe un nombre para la norma. Ver "Agregar normas vacas" en la pgina 495.
4 5 6 7 8 9
Haga clic con el botn secundario en el campo Servicio y, despus, haga clic en Editar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic en TCP y despus haga clic en Local o remoto. En la lista desplegable Puerto remoto, escriba 88, 135, 139, 445 Haga clic en Aceptar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. en UDP.
10 En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic 11 En la lista desplegable Puerto local, escriba 137, 138 12 En la lista desplegable Puerto remoto, escriba 88 13 Haga clic en Aceptar.
Personalizar la proteccin contra amenazas de red Habilitar el uso compartido de archivos e impresoras en la red
531
14 En el cuadro de dilogo Lista de servicios, asegrese de que los dos servicios

estn habilitados y despus haga clic en Aceptar.
15 En la ficha Normas, asegrese de que el campo Accin est configurado en

Permitir.
16 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 17 Si se le pide, asigne la poltica a una ubicacin.
Ver "Asignar una poltica compartida" en la pgina 378. Para permitir que otros equipos busquen archivos en el cliente
2 3
En la pgina Poltica de firewall, haga clic en Normas. Agregue una norma en blanco y en la columna Nombre, escribe un nombre para la norma. Ver "Agregar normas vacas" en la pgina 495.
4 5 6 7 8 9
Haga clic con el botn secundario en el campo Servicio y, despus, haga clic en Editar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic en TCP y despus haga clic en Local o remoto. En la lista desplegable Puerto locales, escriba 88, 135, 139, 445 Haga clic en Aceptar. En el cuadro de dilogo Lista de servicios, haga clic en Agregar. en UDP.
10 En el cuadro de dilogo Protocolo, en la lista desplegable Protocolo, haga clic 11 En la lista desplegable Puerto local, escriba 88, 137, 138 12 Haga clic en Aceptar. 13 En el cuadro de dilogo Lista de servicios, asegrese de que los dos servicios
estn habilitados y despus haga clic en Aceptar.
14 En la ficha Normas, asegrese de que el campo Accin est configurado en

Permitir.
15 Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. 16 Si se le pide, asigne la poltica a una ubicacin.
532
Personalizar la proteccin contra amenazas de red Agregar adaptadores de red
Agregar adaptadores de red

Es posible aplicar una norma de firewall separada a cada adaptador de red. Por ejemplo, es posible bloquear trfico con una VPN en una ubicacin de la oficina, pero no en una ubicacin domstica. Es posible seleccionar un adaptador de red de una lista predeterminada que est compartida por varias normas y polticas de firewall. Los adaptadores ms comunes se incluyen en la lista predeterminada de la lista Componentes de polticas. Los adaptadores comunes incluyen adaptadores de VPN, Ethernet, inalmbricos, Cisco, Nortel y Enterasys. Utilice la lista predeterminada de modo que no sea necesario volver a escribir cada adaptador de red para cada norma que cree. Nota: El cliente no filtra ni detecta trfico de red de los dispositivos PDA (ayudante personal digital). Para agregar un adaptador de red personalizado a la lista predeterminada
1 2 3 4 5
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. Bajo Tareas, haga clic en Agregar un adaptador de red. En el cuadro de dilogo Adaptador de red, en la lista desplegable Tipo de adaptador, seleccione un adaptador. En el campo Nombre del adaptador, escriba opcionalmente una descripcin. En el cuadro de texto Identificacin del adaptador, escriba la marca del adaptador, con diferenciacin entre maysculas y minsculas. Para encontrar la marca del adaptador, abra una lnea de comandos en el cliente y escriba el texto siguiente:
ipconfig/all
Haga clic en Aceptar. Es posible entonces agregar el adaptador a cualquier norma de firewall.
Agregar adaptadores de red a una norma

Es posible agregar un adaptador de red personalizado desde una norma de firewall. Sin embargo, ese adaptador no se agrega a la lista compartida. No es posible acceder al adaptador personalizado desde ninguna otra norma.
Personalizar la proteccin contra amenazas de red Editar y eliminar adaptadores de red personalizados
533
Para agregar un adaptador de red a una norma
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Adaptador y despus haga clic en Ms adaptadores. En el cuadro de dilogo Adaptador, realice una de las siguientes acciones:
Para activar la norma para cualquier adaptador, incluso si no est en la lista, haga clic en Aplicar la norma a todos los adaptadores y despus vaya al paso 8. Para activar la norma para los adaptadores seleccionados, haga clic en Aplicar la norma a los siguientes adaptadores y despus marque la casilla de verificacin Habilitado para cada adaptador que desee que active la norma.
5 6
Para agregar un adaptador personalizado para la norma seleccionada solamente, haga clic en Agregar. En el cuadro de dilogo Adaptador de red, seleccione el tipo de adaptador y escriba la marca del adaptador en el campo de texto Identificacin del adaptador. Haga clic en Aceptar. Haga clic en Aceptar.
7 8
Editar y eliminar adaptadores de red personalizados

Es posible editar o eliminar cualquier adaptador de red personalizado que usted haya agregado. No es posible editar o eliminar un adaptador de red predeterminado. Antes de eliminar un adaptador personalizado, es necesario quitarlo de todas las normas que se refieren al adaptador. La configuracin que usted edita se cambia en todas las normas que se refieren al adaptador. Para editar un adaptador de red personalizado
1 2 3
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. En el panel Adaptadores de red, seleccione el adaptador personalizado que desea editar. Bajo Tareas, haga clic en Editar el adaptador de red.
534
Personalizar la proteccin contra amenazas de red Agregar aplicaciones a una norma
4 5
En el cuadro de dilogo Adaptadores de red, modifique el tipo, el nombre o el texto de identificacin del adaptador. Haga clic en Aceptar.
Para eliminar un adaptador de red personalizado
1 2 3 4
En la consola, haga clic en Polticas > Componentes de polticas > Adaptadores de red. En el panel Adaptadores de red, seleccione el adaptador personalizado que desea eliminar. Bajo Tareas, haga clic en Eliminar el adaptador de red. Cuando se le solicite confirmacin, haga clic en S.
Agregar aplicaciones a una norma

Es posible definir informacin sobre las aplicaciones que los clientes ejecutan e incluir esta informacin en una norma de firewall. Por ejemplo, es posible que desee permitir versiones anteriores de Microsoft Word. Es posible definir aplicaciones de las siguientes maneras:
Es posible definir las caractersticas de una aplicacin escribiendo la informacin manualmente. Si no tiene suficiente informacin, puede buscarla en la lista de aplicaciones incorporadas. Es posible definir las caractersticas de una aplicacin buscando en la lista de aplicaciones incorporadas. Las aplicaciones de la lista de aplicaciones incorporadas son las aplicaciones que los equipos cliente de su red ejecutan.
Para definir aplicaciones
2 3 4 5
En la pgina Polticas de firewall, haga clic en Normas. En la ficha Normas, en la lista Normas, haga clic con el botn secundario en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar. En el cuadro de dilogo Agregar aplicacin, escriba uno o varios de los campos siguientes:

Ruta y nombre de archivo Descripcin
Personalizar la proteccin contra amenazas de red Agregar programaciones a una norma
535
Tamao, en bytes Fecha en que la aplicacin fue modificada por ltima vez Huella digital de archivos
6 7
Para buscar aplicaciones en la lista de aplicaciones incorporadas
1 2 3 4
En la pgina Polticas de firewall, haga clic en Normas. En la ficha Normas, seleccione una norma, haga clic con el botn secundario en el campo Aplicacin y despus haga clic en Editar. En el cuadro de dilogo Lista de aplicaciones, haga clic en Agregar desde. En el cuadro de dilogo Buscar aplicaciones, busque una aplicacin. Ver "Buscar aplicaciones" en la pgina 396.
Bajo la tabla de Resultados de la consulta, para agregar la aplicacin a la lista Aplicaciones, seleccione la aplicacin, haga clic en Agregar y, a continuacin, en Aceptar. Haga clic en Cerrar. Haga clic en Aceptar.
6 7
Agregar programaciones a una norma

Es posible configurar un plazo en el que una norma est activa o inactiva. Para agregar programaciones a una norma
2 3 4 5 6 7
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione la norma que desea editar, haga clic con el botn secundario en el campo Hora y despus haga clic en Editar. En la Lista de programacin, haga clic en Agregar. En el cuadro de dilogo Agregar programacin, configure el momento de inicio y finalizacin durante el que la norma estar activa o inactiva. En la lista desplegable Mes, seleccione Todos o un mes especfico. Marque una de las siguientes casillas de verificacin:
Todos los das
536
Personalizar la proteccin contra amenazas de red Configurar notificaciones de proteccin contra amenazas de red
Fines de semana Das de semana Especificar das Si marca Especificar das, elija uno o varios de los das mencionados.
8 9
Haga clic en Aceptar. En la Lista de programacin, realice una de las siguientes acciones:
Para mantener la norma activa durante este tiempo, desmarque la casilla en la columna Cualquier momento excepto. Para que la norma quede inactiva durante este tiempo, marque la casilla de verificacin en la columna Cualquier momento excepto.
Configurar notificaciones de proteccin contra amenazas de red

De forma predeterminada, aparecen notificaciones en los equipos cliente cuando el cliente detecta varios eventos de proteccin contra amenazas de red. Es posible habilitar algunas de estas notificaciones. Las notificaciones habilitadas muestran un mensaje estndar. Es posible agregar texto personalizado al mensaje estndar. La Tabla 34-1 muestra los tipos de eventos que usted puede habilitar y configurar. Tabla 34-1 Notificaciones de proteccin contra amenazas de red Tipo de notificacin Descripcin
Una norma de firewall en el cliente bloquea una aplicacin. Es posible habilitar o deshabilitar esta notificacin y agregarle texto adicional. Las aplicaciones del cliente intentan acceder a la red. Esta notificacin est siempre habilitada y no puede deshabilitarse.
Tipo de notificacin
Mostrar notificacin en el Firewall equipo cuando el cliente bloquea una aplicacin
Texto adicional que se Firewall mostrar si la accin para una norma de firewall es Preguntar
Mostrar notificaciones de Prevencin de El cliente detecta un ataque de prevencin de prevencin de intrusiones intrusiones intrusiones. Es posible habilitar o deshabilitar esta notificacin en el control del servidor o mixto.
Personalizar la proteccin contra amenazas de red Configurar notificaciones de proteccin contra amenazas de red
537
Para configurar notificaciones de firewall
2 3 4
En la pgina de Poltica de firewall, haga clic en Normas y despus haga clic en Notificaciones. En la ficha Notificaciones, marque Mostrar notificacin en el equipo cuando el cliente bloquea una aplicacin. Para agregar texto personalizado al mensaje estndar que aparece cuando la accin de una norma es Preguntar, marque Texto adicional que se mostrar si la accin para una norma de firewall es Preguntar. Para cualquier notificacin, haga clic en Establecer texto adicional. En el cuadro de dilogo Introducir texto adicional, escriba el texto adicional que desea mostrar en la notificacin y despus haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
5 6 7
Para configurar notificaciones de prevencin de intrusiones
1 2 3 4
En la consola, haga clic en Clientes y bajo Ver clientes, seleccione un grupo. En la ficha Polticas, bajo Configuracin y polticas especficas de la ubicacin, bajo una ubicacin, expanda Configuracin especfica de la ubicacin. A la derecha de Configuracin de los controles de la interfaz de usuario del cliente, haga clic en Tareas > Editar configuracin. En el cuadro de dilogo Configuracin de los controles de la interfaz del usuario del cliente para nombre de grupo, haga clic en Control mixto o Control de servidores. Al lado de Control mixto o de Control de servidores, haga clic en Personalizar. Si hizo clic en Control mixto, en la ficha Configuracin del control de clientes y servidores, al lado de Mostrar/ocultar notificaciones de prevencin de intrusiones, haga clic en Servidor. A continuacin, haga clic en la ficha Configuracin de la interfaz de usuario del cliente.
6 7 8
En el cuadro de dilogo o la ficha Configuracin de la interfaz de usuario del cliente, haga clic en Mostrar notificaciones de prevencin de intrusiones. Para habilitar una seal sonora cuando aparece la notificacin, haga clic en Usar sonido al notificar a los usuarios. En el campo de texto Nmero de segundos que se deben mostrar las notificaciones, escriba el nmero de segundos durante los que usted quisiera que la notificacin apareciera.
538
Personalizar la proteccin contra amenazas de red Configurar la supervisin de aplicaciones de red
Para agregar texto a la notificacin estndar que aparece, haga clic en Texto adicional. mostrar en la notificacin y despus haga clic en Aceptar.
10 En el cuadro de dilogo Texto adicional, escriba el texto adicional que desea 11 Haga clic en Aceptar. 12 Haga clic en Aceptar.
Configurar mensajes de correo electrnico para eventos de trfico

Es posible configurar Symantec Endpoint Protection Manager para que enve un mensaje de correo electrnico cada vez que el firewall detecta una violacin de norma, un ataque o un evento. Por ejemplo, es posible saber cundo un cliente bloquea el trfico proveniente de una direccin IP determinada. Para configurar los mensajes de correo electrnico para los eventos de trfico
2 3
En la pgina Poltica de firewall, haga clic en Normas. En la ficha Normas, seleccione una norma, haga clic con el botn secundario en el campo Registro y haga lo siguiente:
Para enviar un mensaje de correo electrnico cuando se activa una norma de firewall, marque Enviar alerta de correo electrnico. Para generar un evento de registro cuando se activa una norma de firewall, marque Escribir en el registro de trfico y Escribir en el registro de paquetes.
4 5
Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar. Configure una alerta de seguridad. Ver "Crear notificaciones de administrador" en la pgina 231.
Configure un servidor de correo. Ver "Establecer comunicacin entre Symantec Endpoint Protection Manager y servidores de correo electrnico" en la pgina 286.
Configurar la supervisin de aplicaciones de red

Es posible configurar el cliente para que detecte y supervise cualquier aplicacin que se ejecute en el equipo cliente y que est conectada. Las aplicaciones de red
539
envan y reciben trfico. El cliente detecta si el contenido de una aplicacin se modifica. El contenido de una aplicacin se modifica por los motivos siguientes:

Un caballo de Troya atac la aplicacin. La aplicacin fue actualizada con una nueva versin o una actualizacin.
Si sospecha que un caballo de Troya ha atacado una aplicacin, es posible utilizar la supervisin de aplicaciones de red a fin de configurar el cliente para que bloquee la aplicacin. Es posible tambin configurar el cliente para que pregunte a los usuarios si desean permitir o bloquear la aplicacin. La supervisin de aplicaciones de red sigue el comportamiento de una aplicacin en el Registro de seguridad. Si el contenido de una aplicacin se modifica con demasiada frecuencia, es probable que un caballo de Troya haya atacado la aplicacin y que el equipo cliente no sea seguro. Si el contenido de una aplicacin se modifica con menor frecuencia, es probable que se haya instalado un parche y que el equipo cliente sea seguro. Es posible utilizar esta informacin para crear una norma de firewall que permita o bloquee una aplicacin. Es posible agregar aplicaciones a una lista, de modo que el cliente no las supervise. Puede excluir las aplicaciones que usted piense que estn a salvo de un ataque de caballo de Troya, pero que tengan actualizaciones frecuentes y automticas de parches. Es posible deshabilitar la supervisin de aplicaciones de red si usted confa en que los equipos cliente reciben proteccin adecuada contra virus y software espa. Puede tambin querer reducir al mnimo el nmero de notificaciones que solicitan a los usuarios que permitan o bloqueen una aplicacin de red. Para configurar la supervisin de aplicaciones de red
1 2 3 4 5
En la consola, haga clic en Clientes. Bajo Ver clientes, seleccione un grupo y haga clic en Polticas. En la ficha Polticas, bajo Configuracin y polticas independientes de la ubicacin, haga clic en Supervisin de aplicaciones de red. En el cuadro de dilogo Supervisin de aplicaciones de red para nombre de grupo, haga clic en Habilitar supervisin de aplicaciones de red. En la lista desplegable Cuando se detecta un cambio en una aplicacin, seleccione la accin que el firewall realizar sobre la aplicacin que se ejecuta en el cliente:
Preguntar Pregunta al usuario si desea permitir o bloquear la aplicacin. Bloquear trfico
540
Bloquea la ejecucin de la aplicacin.
Permitir y registrar Permite que se ejecute la aplicacin y registra la informacin en el Registro de seguridad. El firewall toma esta medida solamente sobre las aplicaciones que se han modificado.
6 7 8
Si seleccion Preguntar, haga clic en Texto adicional. En el cuadro de dilogo Texto adicional, escriba el texto que desea mostrar bajo el mensaje estndar y despus haga clic en Aceptar. Para excluir una aplicacin de la supervisin, bajo Lista de aplicaciones sin supervisin, realice una de las siguientes acciones:
Para definir una aplicacin manualmente, haga clic en Agregar, complete uno o ms campos y despus haga clic en Aceptar. Para definir una aplicacin desde una lista de aplicaciones incorporadas, haga clic en Agregar desde. Ver "Buscar aplicaciones" en la pgina 396. La funcin de incorporacin de aplicaciones debe estar habilitada. Ver "Habilitar aplicaciones aprendidas" en la pgina 394.
La lista de aplicaciones incorporadas supervisa las aplicaciones de red y las que no estn conectadas. Es necesario seleccionar aplicaciones de red solamente de la lista de aplicaciones incorporadas. Despus de agregar aplicaciones a la Lista de aplicaciones sin supervisin, es posible habilitarlas, deshabilitarlas, editarlas o eliminarlas.
Para habilitar o deshabilitar una aplicacin, marque la casilla la columna Habilitada.
Seccin
Configurar la proteccin proactiva contra amenazas
Configurar anlisis de amenazas proactivos TruScan Configurar Control de aplicaciones y dispositivos Configurar dispositivos de hardware Personalizar polticas de control de aplicaciones y dispositivos
542
Captulo
35
Configurar anlisis de amenazas proactivos TruScan


Acerca de los anlisis de amenazas proactivos TruScan Acerca del uso de la configuracin predeterminada de Symantec Acerca de los procesos que detectan los anlisis de amenazas proactivos TruScan Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan Acerca de los procesos que los anlisis de amenazas proactivos TruScan omiten Cmo funcionan los anlisis de amenazas proactivos TruScan con la Cuarentena Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas Informacin sobre las detecciones de amenazas proactivas de TruScan Configurar la frecuencia del anlisis de amenazas proactivo TruScan Configurar notificaciones para anlisis de amenazas proactivos TruScan
544
Configurar anlisis de amenazas proactivos TruScan Acerca de los anlisis de amenazas proactivos TruScan
Acerca de los anlisis de amenazas proactivos TruScan

Los anlisis de amenazas proactivos de TruScan proporcionan un nivel adicional de proteccin para su equipo. El anlisis de amenazas proactivo complementa sus tecnologas antivirus, de software espa, de prevencin de intrusiones y de proteccin del firewall existentes. Nota: TruScan es el nuevo nombre del anlisis de amenazas proactivo y es posible que aparezca en la interfaz de usuario. El significado es el mismo. Los anlisis antivirus y de software espa dependen sobre todo de firmas para detectar amenazas conocidas. Los anlisis de amenazas proactivos utilizan la heurstica para detectar amenazas desconocidas. Los anlisis de procesos heursticos analizan el comportamiento de una aplicacin o un proceso. El anlisis determina si el proceso exhibe caractersticas de amenazas, tales como caballos de Troya, gusanos o registradores de pulsaciones. Este tipo de proteccin se denomina a veces proteccin contra ataques de da cero. Nota: Auto-Protect tambin utiliza un tipo de heurstica llamada Bloodhound para detectar comportamientos sospechosos en archivos. Los anlisis de amenazas proactivos detectan comportamientos sospechosos en procesos activos. Se incluye la configuracin sobre anlisis de amenazas proactivos como parte de una poltica antivirus y contra software espa. Muchas de las opciones de configuracin pueden ser bloqueadas de modo que los usuarios en los equipos cliente no puedan modificar la configuracin. Es posible configurar las siguientes opciones:

Qu tipos de amenazas debe buscar el anlisis Con qu frecuencia ejecutar anlisis de amenazas proactivos Independientemente de si las notificaciones deben aparecer en el equipo cliente cuando ocurre una deteccin de una amenaza proactiva
Se habilitan los anlisis de amenazas proactivos TruScan cuando se habilitan las opciones Analizar en busca de caballos de Troya y gusanos, o Analizar en busca de registradores de pulsaciones. Si se deshabilita cualquier opcin, la pgina de estado en el cliente de Symantec Endpoint Protection muestra la proteccin proactiva contra amenazas como deshabilitada. El anlisis de amenazas proactivo est habilitado de forma predeterminada.
Configurar anlisis de amenazas proactivos TruScan Acerca del uso de la configuracin predeterminada de Symantec
545
Nota: Puesto que los anlisis de amenazas proactivos analizan aplicaciones y procesos en busca de anomalas en el comportamiento, pueden afectar el rendimiento de su equipo.
Acerca del uso de la configuracin predeterminada de Symantec

Es posible decidir cmo desea administrar las detecciones de amenazas proactivas. Es posible utilizar la configuracin predeterminada de Symantec o especificar el nivel de sensibilidad y la accin de deteccin. Si elige permitir que Symantec administre las detecciones, el software de cliente determina la accin y el nivel de sensibilidad. El motor de anlisis que se ejecuta en el equipo cliente determina la configuracin predeterminada. Si elige administrar las detecciones personalmente, puede configurar una sola accin de deteccin y un nivel de sensibilidad especfico. Para reducir al mnimo las detecciones positivas falsas, Symantec recomienda utilizar la configuracin predeterminada de Symantec inicialmente. Despus de cierto tiempo, es posible observar el nmero de falsos positivos que los clientes detectan. Si el nmero es bajo, se puede ajustar la configuracin del anlisis de amenazas proactivo gradualmente. Por ejemplo, para la deteccin de caballos de Troya y gusanos, es posible mover el control deslizante para aumentar levemente la sensibilidad predeterminada. Es posible observar los resultados de los anlisis de amenazas proactivos que se ejecutan despus de establecer la nueva configuracin. Ver "Informacin sobre las detecciones de amenazas proactivas de TruScan" en la pgina 553. Ver "Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones" en la pgina 555.
Acerca de los procesos que detectan los anlisis de amenazas proactivos TruScan
Los anlisis de amenazas proactivos detectan los procesos que se comportan como caballos de Troya, gusanos o registradores de pulsaciones. Los procesos exhiben tpicamente un tipo de comportamiento que una amenaza puede explotar, por ejemplo, la apertura de un puerto en el equipo de un usuario. Es posible configurar las opciones para algunos tipos de detecciones de amenazas proactivas. Es posible habilitar o deshabilitar la deteccin de procesos que se
546
Configurar anlisis de amenazas proactivos TruScan Acerca de los procesos que detectan los anlisis de amenazas proactivos TruScan
comporten como caballos de Troya, gusanos o registradores de pulsaciones. Por ejemplo, es posible que necesite detectar los procesos que se comportan como caballos de Troya y gusanos, pero no los procesos que se comportan como aplicaciones de registradores de pulsaciones. Symantec mantiene una lista de aplicaciones comerciales que se podran utilizar para propsitos maliciosos. La lista incluye las aplicaciones comerciales que registran las pulsaciones del teclado del usuario. Tambin incluye las aplicaciones que controlan un equipo cliente de forma remota. Es posible que desee saber si estos tipos de aplicaciones estn instaladas en los equipos cliente. De forma predeterminada, los anlisis de amenazas proactivos detectan estas aplicaciones y registran el evento. Es posible especificar diversas acciones de reparacin. Es posible configurar el tipo de correccin que el cliente efecta cuando detecta tipos determinados de aplicaciones comerciales. Las detecciones incluyen las aplicaciones comerciales que supervisan o registran las pulsaciones del teclado de un usuario o que controlan el equipo de un usuario remotamente. Si un anlisis detecta un registrador de pulsaciones comercial o un programa de control remoto comercial, el cliente utiliza la accin configurada en la poltica. Es posible tambin permitir que el usuario controle las acciones. Los anlisis de amenazas proactivos tambin detectan los procesos que se comportan como aplicaciones de publicidad no deseada y software espa. No es posible configurar cmo los anlisis de amenazas proactivos manejan estos tipos de detecciones. Si los anlisis de amenazas proactivos detectan publicidad no deseada o software espa que usted desea permitir en sus equipos cliente, debe crear una excepcin centralizada. Ver "Configurar una poltica de excepciones centralizada" en la pgina 603. La Tabla 35-1 describe los procesos que los anlisis de amenazas proactivos detectan. Tabla 35-1 Procesos detectados por los anlisis de amenazas proactivos TruScan Descripcin
Procesos que exhiben caractersticas de caballos de Troya o de gusanos. Los anlisis de amenazas proactivos utilizan la heurstica para buscar los procesos que se comportan como caballos de Troya o gusanos. Estos procesos pueden ser amenazas o no.
Tipo de procesos
Caballos de Troya y gusanos
Configurar anlisis de amenazas proactivos TruScan Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan
547
Tipo de procesos
Registradores de pulsaciones
Descripcin
Procesos con caractersticas de registradores de pulsaciones. Los anlisis de amenazas proactivos detectan registradores de pulsaciones comerciales, pero tambin detectan todos los procesos desconocidos que exhiben comportamiento de registrador de pulsaciones. Los registradores de pulsaciones son aplicaciones de registro de las pulsaciones del teclado que capturan la actividad de los usuarios. Estas aplicaciones se pueden utilizar para recopilar informacin sobre contraseas y otra informacin vital. Pueden ser amenazas o no.
Aplicaciones comerciales Aplicaciones comerciales conocidas que se pueden utilizar con propsitos maliciosos. Los anlisis de amenazas proactivos detectan varios tipos de aplicaciones comerciales. Es posible configurar acciones para dos tipos: registradores de pulsaciones y aplicaciones de control remoto. Publicidad no deseada y Procesos que exhiben caractersticas de publicidad no deseada software espa y de software espa. Los anlisis de amenazas proactivos utilizan la heurstica para detectar procesos desconocidos que se comportan como publicidad no deseada y software espa. Estos procesos pueden ser riesgos o no.
Es posible configurar si el software de cliente enva informacin sobre detecciones de amenazas proactivas a Symantec. Se incluye esta opcin como parte de una poltica antivirus y contra software espa. Ver "Enviar informacin sobre anlisis a Symantec" en la pgina 442.
Acerca de la administracin de falsos positivos detectados por los anlisis de amenazas proactivos TruScan
Los anlisis de amenazas proactivos TruScan a veces devuelven falsos positivos. Estos anlisis buscan aplicaciones y procesos con comportamiento sospechoso en lugar de virus o riesgos de seguridad conocidos. Por su naturaleza, estos anlisis sealan tpicamente elementos que podra no ser necesario detectar. Para la deteccin de caballos de Troya, gusanos o registradores de pulsaciones, es posible elegir utilizar la accin y los niveles de sensibilidad predeterminados
548
que Symantec especifica. O es posible elegir administrar las acciones y los niveles de sensibilidad de la deteccin usted mismo. Si administra las opciones usted mismo, se arriesga a la deteccin de muchos falsos positivos. Si desea administrar las acciones y los niveles de sensibilidad, debe tener en cuenta el impacto sobre su red de seguridad. Nota: Si modifica el nivel de sensibilidad, modifica el nmero total de detecciones. Si modifica el nivel de sensibilidad, es posible que se reduzca el nmero de falsos positivos que los anlisis de amenazas proactivos producen. Symantec recomienda que si usted modifica los niveles de sensibilidad, los modifique gradualmente y supervise los resultados. Si un anlisis de amenazas proactivo detecta un proceso que usted determina que no es un problema, es posible crear una excepcin. Una excepcin garantiza que los anlisis futuros no sealen el proceso. Los usuarios de los equipos cliente pueden tambin crear excepciones. Si hay un conflicto entre una excepcin definida por el usuario y una excepcin definida por el administrador, la excepcin definida por el administrador toma precedencia. Ver "Configurar una poltica de excepciones centralizada" en la pgina 603. La Tabla 35-2 indica las tareas para crear un plan para administrar falsos positivos.
549
Tabla 35-2 Tarea
Plan para administrar falsos positivos Descripcin

Las polticas antivirus y contra software espa incluyen opciones administradas por Symantec. Estas opciones estn habilitadas de forma predeterminada. Cuando se habilita esta configuracin, Symantec determina las medidas que se toman para las detecciones de estos tipos de procesos. Symantec tambin determina el nivel de sensibilidad que se utiliza para el anlisis. Cuando Symantec administra las detecciones, los anlisis de amenazas proactivos realizan una accin basada en la forma en que el anlisis interpreta la deteccin. El anlisis aplica una de las siguientes acciones a la deteccin: Cuarentena el anlisis utiliza esta accin para las detecciones que probablemente sean amenazas verdaderas. Slo registrar el anlisis utiliza esta accin para las detecciones que probablemente sean falsos positivos.
Asegrese de que Symantec administre las detecciones de caballos de Troya, gusanos y registradores de pulsaciones.
Nota: Si elige administrar la accin de la deteccin, debe elegir

una accin. Esa accin se utilizar siempre para ese tipo de deteccin. Si establece la accin en Cuarentena, el cliente pone en cuarentena todas las detecciones de ese tipo. Asegrese de que el Verifique que los equipos que producen falsos positivos tengan contenido de Symantec el ltimo contenido de Symantec. El contenido ms actualizado est actualizado. incluye informacin sobre procesos que Symantec ha determinado como falsos positivos conocidos. Estos falsos positivos conocidos son excluidos de la deteccin del anlisis de amenazas proactivo. Es posible ejecutar un informe en la consola para comprobar qu equipos estn ejecutando la ltima versin del contenido. Ver "Acerca del uso de Supervisin e Informes para asegurar la red" en la pgina 237. Es posible actualizar el contenido haciendo cualquiera de las siguientes acciones: Aplique una poltica de LiveUpdate. Ver "Configurar polticas de LiveUpdate" en la pgina 111. Ejecute el comando Actualizar para los equipos seleccionados incluidos en la ficha Clientes. Ejecute el comando Actualizar en los equipos seleccionados que se enumeran en el registro de riesgos o estados del equipo.
550
Configurar anlisis de amenazas proactivos TruScan Acerca de los procesos que los anlisis de amenazas proactivos TruScan omiten
Tarea
Asegrese de que los envos estn habilitados.
Descripcin
Las opciones de envos estn incluidas en la poltica antivirus y contra software espa. Asegrese de que los equipos cliente estn configurados para enviar informacin automticamente a Symantec Security Response sobre los procesos detectados por los anlisis de amenazas proactivos. Estas opciones estn habilitadas de forma predeterminada. Ver "Enviar informacin sobre anlisis a Symantec" en la pgina 442.
Cree excepciones para Es posible crear una poltica que incluya excepciones para los los falsos positivos que falsos positivos que usted detecta. Por ejemplo, es posible que usted detecta. tenga que ejecutar un determinado proceso o aplicacin en su red de seguridad. Sabe que es seguro ejecutar el proceso en su entorno. Si los anlisis de amenazas proactivos TruScan detectan el proceso, se puede crear una excepcin de modo que los anlisis futuros no detecten el proceso. Ver "Configurar una poltica de excepciones centralizada" en la pgina 603.
Acerca de los procesos que los anlisis de amenazas proactivos TruScan omiten
Los anlisis de amenazas proactivos TruScan permiten ciertos procesos y los eximen de los anlisis. Symantec mantiene esta lista de procesos. Symantec generalmente rellena la lista con las aplicaciones que son falsos positivos conocidos. Los equipos cliente de su red de seguridad reciben peridicamente actualizaciones para la lista cuando descargan nuevo contenido. Los equipos cliente pueden descargar el contenido de varias maneras. El servidor de administracin puede enviar el contenido actualizado. Usted o los usuarios pueden tambin ejecutar LiveUpdate en los equipos cliente. Los anlisis de amenazas proactivos TruScan omiten algunos procesos. Estos procesos pueden incluir las aplicaciones para las cuales Symantec no tiene suficiente informacin o las aplicaciones que cargan otros mdulos. Es posible tambin especificar que los anlisis de amenazas proactivos TruScan omitan ciertos procesos. Usted especifica que los anlisis de amenazas proactivos omitan ciertos procesos creando una excepcin centralizada. Los usuarios de los equipos cliente pueden tambin crear excepciones para los anlisis de amenazas proactivos. Si una excepcin definida por el administrador
Configurar anlisis de amenazas proactivos TruScan Cmo funcionan los anlisis de amenazas proactivos TruScan con la Cuarentena
551
est en conflicto con una excepcin definida por el usuario, los anlisis de amenazas proactivos aplican solamente la excepcin definida por el administrador. El anlisis omite la excepcin de usuario. Ver "Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas" en la pgina 551.
Cmo funcionan los anlisis de amenazas proactivos TruScan con la Cuarentena

Es posible configurar los anlisis de amenazas proactivos para que pongan en cuarentena las detecciones. Los usuarios de los equipos cliente pueden restaurar los elementos en cuarentena. El cliente de Symantec Endpoint Protection puede tambin restaurar automticamente los elementos de la cuarentena. Cuando un cliente recibe nuevas definiciones, el cliente vuelve a analizar los elementos en cuarentena. Si los elementos en cuarentena se consideran maliciosos, el cliente registra el evento. Peridicamente, los equipos cliente reciben actualizaciones para las listas definidas por Symantec de procesos y aplicaciones conocidos. Cuando las nuevas listas estn disponibles en los equipos cliente, se comparan los elementos en cuarentena con las ltimas listas. Si las ltimas listas permiten algunos de los elementos en cuarentena, el cliente restaura automticamente los elementos. Adems, los administradores o los usuarios pueden crear excepciones para las detecciones de amenazas proactivas. Cuando las ltimas excepciones permiten los elementos en cuarentena, el cliente restaura los elementos. Los usuarios pueden ver los elementos en cuarentena en la pgina Ver Cuarentena en el cliente. El cliente no enva a un servidor de cuarentena central los elementos que los anlisis de amenazas proactivos ponen en cuarentena. Los usuarios pueden enviar automticamente o manualmente elementos de la cuarentena local a Symantec Security Response. Ver "Enviar elementos en cuarentena a Symantec" en la pgina 448.
Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas
Es posible crear listas de excepciones propias para que el cliente de Symantec Endpoint Protection compruebe cuando ejecuta anlisis de amenazas proactivo. Se crean estas listas mediante excepciones. Las excepciones especifican el proceso
552
Configurar anlisis de amenazas proactivos TruScan Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas
y la accin que se debe tomar cuando un anlisis de amenazas proactivo detecta un proceso especificado. Es posible crear solamente excepciones para los procesos que no se incluyen en la lista definida por Symantec de procesos y aplicaciones conocidos. Por ejemplo, es posible que desee crear una excepcin para realizar una de las siguientes acciones:

Omitir cierto registrador de pulsaciones comercial Poner en cuarentena una aplicacin determinada que usted no desee ejecutar en los equipos cliente Permitir que se ejecute una aplicacin de control remoto especfica
Para evitar conflictos entre excepciones, los anlisis de amenazas proactivos utilizan el orden de precedencia siguiente:

Excepciones definidas por Symantec Excepciones definidas por el administrador Excepciones definidas por el usuario
La lista definida por Symantec toma siempre precedencia sobre excepciones definidas por el administrador. Las excepciones definidas por el administrador siempre toman precedencia sobre las excepciones definidas por el usuario. Es posible utilizar una poltica de excepciones centralizada para especificar que los procesos detectados conocidos se permiten configurando la accin de deteccin Omitir. Es posible tambin crear una excepcin centralizada para especificar que ciertos procesos no se permiten configurando la accin Poner en cuarentena o Terminar. Los administradores pueden forzar detecciones de amenazas proactivas creando una excepcin centralizada que especifique un nombre de archivo que deben detectar los anlisis de amenazas proactivos. Cuando el anlisis de amenazas proactivo detecta el archivo, el cliente registra el caso. Dado que los nombres de archivo no son exclusivos, es posible que varios procesos utilicen el mismo nombre de archivo. Es posible utilizar detecciones forzadas para ayudarlo a crear excepciones para omitir, poner en cuarentena o terminar un proceso determinado. Cuando un anlisis de amenazas proactivo en el equipo cliente registra la deteccin, sta se convierte en parte de una lista de procesos conocidos. Es posible seleccionar un elemento de la lista cuando usted crea una excepcin para anlisis de amenazas proactivos. Puede configurar una accin determinada para la deteccin. Es posible tambin utilizar el registro de deteccin proactiva bajo la ficha Supervisin en la consola para crear la excepcin. Ver "Configurar una poltica de excepciones centralizada" en la pgina 603.
Configurar anlisis de amenazas proactivos TruScan Informacin sobre las detecciones de amenazas proactivas de TruScan
553
Ver "Ver registros" en la pgina 215. Los usuarios pueden crear excepciones en el equipo cliente con uno de los siguientes mtodos:

La lista Ver Cuarentena El cuadro de dilogo de resultados del anlisis Excepciones centralizadas
Un administrador puede bloquear una lista de excepciones de modo que un usuario no pueda crear ninguna excepcin. Si un usuario cre excepciones antes de que el administrador bloqueara la lista, se deshabilitan las excepciones creadas por el usuario.
Informacin sobre las detecciones de amenazas proactivas de TruScan

Cuando un anlisis de amenazas proactivo TruScan detecta procesos que seala como potencialmente maliciosos, por lo general, algunos de los procesos son legtimos. Algunas detecciones no proporcionan suficiente informacin para ser categorizadas como amenaza o falso positivo; estos procesos se consideran desconocidos. Un anlisis de amenazas proactivo observa el comportamiento de los procesos activos en el momento en que se ejecuta el anlisis. El motor de anlisis busca comportamiento tal como la apertura de puertos o la captura de pulsaciones del teclado. Si un proceso implica una cantidad suficiente de este tipo de comportamiento, el anlisis seala el proceso como amenaza potencial. El anlisis no seala el proceso si ste no exhibe comportamiento sospechoso durante el anlisis. De forma predeterminada, los anlisis de amenazas proactivos detectan los procesos que se comportan como caballos de Troya y gusanos, o los procesos que se comportan como registradores de pulsaciones. Es posible habilitar o deshabilitar estos tipos de detecciones en una poltica antivirus y contra software espa. Nota: La configuracin del anlisis de amenazas proactivo no tiene ningn efecto sobre los anlisis antivirus y de software espa, que utilizan firmas para detectar riesgos conocidos. El cliente detecta riesgos conocidos primero. El cliente utiliza la configuracin predeterminada de Symantec para determinar qu accin tomar sobre los elementos detectados. Si el motor de anlisis determina que el elemento no necesita ser reparado, el cliente registra la deteccin. Si el
554
motor de anlisis determina que el elemento debe ser reparado, el cliente pone en cuarentena el elemento. Nota: Las opciones Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones no se admiten actualmente en los sistemas operativos de servidor Windows. Es posible modificar las opciones en la poltica antivirus y contra software espa para los clientes que se ejecutan en sistemas operativos de servidor, pero los anlisis no se ejecutan. En la interfaz de usuario del cliente de los sistemas operativos de servidor, las opciones de anlisis no aparecen disponibles. Si habilita las opciones de anlisis en la poltica, estas opciones aparecen marcadas y no disponibles. La configuracin predeterminada de Symantec tambin se utiliza para determinar la sensibilidad del anlisis de amenazas proactivo. Cuando el nivel de sensibilidad es mayor, se sealan ms procesos. Cuando el nivel de sensibilidad es ms bajo, se sealan menos procesos. El nivel de sensibilidad no indica el nivel de certeza sobre la deteccin. Tampoco afecta el ndice de detecciones positivas falsas. Mientras mayor sea el nivel de sensibilidad, ms falsos positivos y positivos verdaderos detectar el anlisis. Es necesario utilizar la configuracin predeterminada de Symantec para ayudar a reducir al mnimo el nmero de falsos positivos que se detectan. Es posible deshabilitar la configuracin predeterminada definida por Symantec. Cuando se deshabilita la configuracin predeterminada de Symantec, es posible configurar las acciones y el nivel de sensibilidad para la deteccin de caballos de Troya, gusanos o registradores de pulsaciones. En la interfaz de usuario del cliente, las opciones predeterminadas que aparecen no reflejan la configuracin predeterminada de Symantec. Reflejan las opciones predeterminadas que se utilizan cuando se administran las detecciones manualmente. Para las aplicaciones comerciales, es posible especificar las medidas que el cliente toma cuando un anlisis de amenazas proactivo hace una deteccin. Es posible especificar acciones separadas para la deteccin de un registrador de pulsaciones comercial y la deteccin de una aplicacin de control remoto comercial. Nota: Los usuarios de los equipos cliente pueden modificar las opciones del anlisis de amenazas proactivo si estn desbloqueadas en la poltica antivirus y contra software espa. En el equipo cliente, las opciones del anlisis de amenazas proactivo TruScan aparecen bajo Proteccin proactiva contra amenazas.
555
Especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan
De forma predeterminada, los anlisis de amenazas proactivos TruScan detectan caballos de Troya, gusanos y registradores de pulsaciones. Es posible deshabilitar la deteccin de caballos de Troya y gusanos, o de registradores de pulsaciones. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones de tipo de proceso del anlisis. Para especificar los tipos de procesos que detectan los anlisis de amenazas proactivos TruScan
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Detalles del anlisis, bajo Anlisis, marque o deje sin marcar Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones. Haga clic en Aceptar.
Especificar las acciones y los niveles de sensibilidad para detectar caballos de Troya, gusanos y registradores de pulsaciones
Los anlisis de amenazas proactivos TruScan se diferencian de los anlisis antivirus y de software espa. Los anlisis antivirus y de software espa buscan riesgos conocidos. Los anlisis de amenazas proactivos buscan riesgos desconocidos basados en el comportamiento de ciertos tipos de procesos o de aplicaciones. Los anlisis detectan cualquier comportamiento que sea similar al comportamiento de caballos de Troya, de gusanos o registradores de pulsaciones. Cuando se permite que Symantec administre las detecciones, la accin de deteccin es poner en cuarentena positivos verdaderos y slo registrar los falsos positivos. Cuando administra las detecciones usted mismo, es posible configurar la accin de deteccin. Esa accin se utiliza siempre que los anlisis de amenazas proactivos hacen una deteccin. Por ejemplo, es posible que tenga que especificar que el cliente de Symantec Endpoint Protection registre la deteccin de procesos que se comporten como caballos de Troya y gusanos. Cuando el cliente realiza una deteccin, no pone en cuarentena el proceso; slo registra el evento. Es posible configurar el nivel de sensibilidad. Los anlisis de amenazas proactivos hacen ms detecciones (verdaderos y falsos positivos) cuando configura el nivel de sensibilidad superior.
556
Nota: Si habilita esta configuracin, se arriesga a detectar muchos falsos positivos. Es necesario tener en cuenta los tipos de procesos que se ejecuten en su red de seguridad. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones de acciones y sensibilidad de los anlisis. Para especificar la accin y la sensibilidad para los caballos de Troya, los gusanos o los registradores de pulsaciones
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Detalles del anlisis, bajo Analizando, asegrese de seleccionar Analizar en busca de caballos de Troya y gusanos y Analizar en busca de registradores de pulsaciones. Para cualquier tipo de riesgo, desactive Usar los valores definidos por Symantec. Para cualquier tipo de riesgo, configure la accin en Registrar, Terminar o Cuarentena. Se envan notificaciones si una accin se configura en Poner en cuarentena o Terminar, y se han habilitado notificaciones. (Las notificaciones estn habilitadas de forma predeterminada). Utilice la accin Terminar con precaucin. En algunos casos, es posible que una aplicacin pierda funcionalidad.
3 4
Mueva el control deslizante a la izquierda o a la derecha para disminuir o aumentar la sensibilidad respectivamente. Haga clic en Bajo o Alto.
Especificar acciones para las detecciones de aplicaciones comerciales

Es posible modificar las acciones que se efecten cuando un anlisis de amenazas proactivo TruScan hace una deteccin. Si establece la accin Omitir, los anlisis de amenazas proactivos ignoran las aplicaciones comerciales. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos.
Configurar anlisis de amenazas proactivos TruScan Configurar la frecuencia del anlisis de amenazas proactivo TruScan
557
Para especificar acciones para las detecciones de aplicaciones comerciales
1 2 3
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Detalles del anlisis, bajo Deteccin de aplicaciones comerciales, establezca la accin en Omitir, Registrar, Finalizar o Cuarentena. Haga clic en Aceptar.
Configurar la frecuencia del anlisis de amenazas proactivo TruScan

Es posible configurar cuntas veces se ejecutan los anlisis de amenazas proactivos TruScan incluida la opcin correspondiente en una poltica antivirus y contra software espa. Nota: Si modifica la frecuencia de los anlisis de amenazas proactivos, puede verse afectado el rendimiento de los equipos cliente. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones de frecuencia del anlisis. Para configurar la frecuencia del anlisis de amenazas proactivo
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Frecuencia del anlisis, bajo Frecuencia del anlisis, seleccione una de las siguientes opciones:
Con la frecuencia de anlisis predeterminada El software del motor de anlisis determina la frecuencia del anlisis. sta es la opcin predeterminada. Con una frecuencia personalizada de anlisis Si habilita esta opcin, es posible especificar que el cliente analice los nuevos procesos inmediatamente cuando los detecta. Es posible tambin configurar la frecuencia del anlisis.
558
Configurar anlisis de amenazas proactivos TruScan Configurar notificaciones para anlisis de amenazas proactivos TruScan
Configurar notificaciones para anlisis de amenazas proactivos TruScan

De forma predeterminada, se envan notificaciones a los equipos cliente siempre que haya una deteccin del anlisis de amenazas proactivo TruScan. Es posible deshabilitar notificaciones si usted no desea que se notifique al usuario. Las notificaciones advierten al usuario que un anlisis de amenazas proactivo hizo una deteccin que debe repararse. El usuario puede utilizar el cuadro de dilogo de la notificacin para reparar la deteccin. Para las detecciones de anlisis de amenazas proactivos que no necesitan reparacin, el cliente de Symantec Endpoint Protection registra la deteccin pero no enva una notificacin. Nota: Si se utiliza la configuracin predeterminada de Symantec para las detecciones, se envan notificaciones solamente si el cliente recomienda una reparacin para el proceso. Los usuarios pueden tambin reparar detecciones viendo el registro de amenazas y seleccionando una accin. Es posible crear una excepcin centralizada para excluir un proceso de la deteccin. Los usuarios de los equipos cliente pueden tambin crear excepciones. Ver "Acerca de las polticas de excepciones centralizadas" en la pgina 599. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones de notificacin del anlisis. Para configurar notificaciones para anlisis de amenazas proactivos TruScan
1 2
En la pgina Poltica antivirus y contra software espa, haga clic en Anlisis de amenazas proactivos TruScan. En la ficha Notificaciones, marque o desmarque cualquiera de las siguientes opciones:

Mostrar un mensaje cuando se produzca una deteccin. Avisar antes de terminar un proceso Avisar antes de detener un servicio.
Captulo
36
Configurar Control de aplicaciones y dispositivos


Acerca del control de aplicaciones y dispositivos Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos Acerca del control de aplicaciones Acerca del control de dispositivos Acerca de trabajar con polticas de control de aplicaciones y dispositivos Habilitar un conjunto predeterminado de normas de control de aplicaciones Crear una poltica de control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos
Acerca del control de aplicaciones y dispositivos

Puede ser recomendable utilizar el control de aplicaciones y dispositivos por los siguientes motivos:

Para impedir que software malicioso secuestre aplicaciones en equipos cliente Para impedir la eliminacin por error de datos de los equipos cliente Para restringir las aplicaciones que puedan ejecutarse en un equipo cliente
560
Configurar Control de aplicaciones y dispositivos Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos
Para reducir al mnimo la posibilidad de que un equipo se infecte con amenazas de seguridad de un dispositivo perifrico
El control de aplicaciones y dispositivos se implementa en equipos cliente usando una poltica de control de aplicaciones y dispositivos. Una poltica de control de aplicaciones y dispositivos ofrece los siguientes tipos de proteccin para los equipos cliente:
Control de aplicaciones supervisa las llamadas de la API de Windows hechas en equipos cliente y controla el acceso a los archivos, a las carpetas, a las claves del Registro y a los procesos de los clientes Protege recursos del sistema de las aplicaciones. Control de dispositivos para administrar los dispositivos perifricos que pueden asociarse a los equipos.
Es posible definir cada uno de estos dos tipos de proteccin cuando se crea una nueva poltica de control de aplicaciones y dispositivos. Tambin tiene la opcin de primero agregar el control de aplicaciones o dispositivos y luego el otro tipo de proteccin. Es posible aplicar solamente una Poltica de control de aplicaciones y dispositivos a cada ubicacin dentro de un grupo. Es necesario definir el control de la aplicacin y el del dispositivo en la misma poltica si desea implementar ambos tipos de proteccin. Nota: La informacin de este captulo se aplica solamente a los equipos cliente de 32 bits. Las Polticas de control de aplicaciones y dispositivos no funcionan en los equipos cliente de 64 bits.
Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos

La seccin de control de aplicaciones de una Poltica de control de aplicaciones y dispositivos puede contener varios conjuntos de normas y cada conjunto de normas contiene una o ms normas. Es posible configurar las propiedades de un conjunto de normas y las propiedades, las condiciones y las acciones de cada norma. El control de normas intenta acceder a entidades de equipos, como archivos o claves del Registro, que supervisa Symantec Endpoint Protection. Se configuran estos diferentes tipos de intentos como condiciones. Para cada condicin, es posible configurar las acciones que se deben tomar cuando se cumplen las condiciones. Se configuran normas para aplicarlas solamente a ciertas aplicaciones y es posible configurarlas opcionalmente a fin de excluir su aplicacin en otras aplicaciones.
Configurar Control de aplicaciones y dispositivos Acerca de la estructura de una Poltica de control de aplicaciones y dispositivos
561
Ver "Acerca de las propiedades de la norma de control de aplicaciones " en la pgina 563. Ver "Acerca de las condiciones de normas de control de aplicaciones" en la pgina 564. Ver "Acerca de las propiedades de la condicin de normas de control de la aplicacin " en la pgina 565. Ver "Acerca de las acciones de condicin de normas de control de aplicaciones" en la pgina 565. El control de dispositivos incluye una lista de dispositivos bloqueados y una lista de dispositivos que se excluyen del bloqueo. Es posible agregar estas dos listas y administrar sus contenidos. La Figura 36-1 ilustra los componentes del control de aplicaciones y dispositivos y cmo se relacionan entre ellos. Figura 36-1 Estructura de la Poltica de control de aplicaciones y dispositivos
562
Configurar Control de aplicaciones y dispositivos Acerca del control de aplicaciones
Acerca del control de aplicaciones

El control de aplicaciones permite supervisar y controlar el comportamiento de las aplicaciones. Es posible bloquear o permitir el acceso a claves del Registro, los archivos y las carpetas especificados. Es posible tambin bloquear o permitir aplicaciones que inicien o terminen otros procesos. Es posible definir qu aplicaciones pueden ejecutarse y qu aplicaciones no pueden terminarse mediante procesos irregulares. Es posible definir qu aplicaciones pueden llamar bibliotecas de vnculos dinmicos (DLL). Advertencia: El control de aplicaciones es una caracterstica de seguridad avanzada que solamente los administradores experimentados deben configurar. El control de aplicaciones se implementa usando conjuntos de normas que definen cmo desea controlar las aplicaciones. El control de aplicaciones es un conjunto de controles que permiten o bloquean una accin. Es posible crear tantos conjuntos de normas como se necesiten en una poltica. Es posible tambin configurar qu conjuntos de normas estn activos en un momento dado usando la opcin de activacin para cada conjunto de normas. Se utiliza el control de aplicaciones para proteger los equipos cliente de las siguientes maneras:

Proteger claves de registro y valores especficos. Proteger directorios tales como \WINDOWS\system. Evitar que los usuarios alteren los archivos de configuracin. Proteger los archivos de programa importantes, tales como el directorio principal de Symantec donde se instala el cliente. Proteger procesos especficos o excluir procesos de la proteccin. Controlar el acceso a DLL.
Acerca del modo de prueba

Cuando se crea un conjunto de normas de control de aplicaciones, se crea en el modo predeterminado, es decir, modo de prueba (slo registrar). El modo de prueba le permite probar sus normas antes de que las habilite. En modo de prueba, no se aplica ninguna accin; se registran las acciones que se han configurado como si hubieran sido aplicadas. Al usar el modo de prueba, es posible asignar la poltica a los grupos y a las ubicaciones, y generar un registro de control de clientes. Examine los registros de control de clientes en busca de errores y haga correcciones a la norma, si es necesario. Cuando la poltica funciona como desea, es posible
563
cambiar al modo de produccin para implementar el conjunto de normas de control de aplicaciones. Se recomienda ejecutar todos los conjuntos de normas en el modo Prueba por un tiempo antes de pasar al modo Produccin. Esta prctica reduce el potenciales problemas que pueden ocurrir cuando usted no anticipa todas las ramificaciones posibles de una norma. Ver "Modificar el modo de un conjunto de normas de control de aplicaciones" en la pgina 579.
Acerca de normas y conjuntos de normas de control de aplicaciones

Los conjuntos de normas incluyen normas y sus condiciones. Una norma es un conjunto de condiciones y las acciones que se aplican a uno o ms procesos especficos. Se recomienda crear un conjunto de normas que incluya todas las acciones que permitan, bloqueen y supervisen una tarea dada. Siga este principio para ayudar a mantener las normas ordenadas. Por ejemplo, suponga que desee bloquear intentos de escritura para todas las unidades extrables y desea bloquear aplicaciones para que no manipulen una aplicacin determinada. Para conseguir estos objetivos, es necesario crear dos conjuntos de normas diferentes. No es necesario crear todas las normas necesarias para conseguir estos dos objetivos con un conjunto de normas. Se aplica una norma a una o ms aplicaciones para definir las aplicaciones que se supervisan. Las normas contienen condiciones. Estas condiciones supervisan las operaciones especificadas en la aplicacin o las aplicaciones que se definen en la norma. Las condiciones definen lo que desea permitir que las aplicaciones hagan o no hagan. Las condiciones contienen las acciones que se deben realizar cuando se observa la operacin que se especifica en la condicin. Nota: Recuerde que las acciones se aplican siempre al proceso que se define en la norma. No se aplican a los procesos que se definen en la condicin.
Acerca de las propiedades de la norma de control de aplicaciones

Es posible configurar las propiedades siguientes para una norma:

Nombre Descripcin (opcional) Si la norma est habilitada o deshabilitada Una lista de las aplicaciones a las que se les debe aplicar la norma
564
Una lista de las aplicaciones a las que no se les debe aplicar la norma (opcional)
Acerca de las condiciones de normas de control de aplicaciones

Las condiciones son las operaciones que se pueden permitir o negar para las aplicaciones. La Tabla 36-1 describe las condiciones de la norma de control de aplicaciones que es posible configurar para una norma. Tabla 36-1 Condicin Tipos de condiciones de la norma Descripcin
Intentos de acceso al registro Permite o bloquea el acceso a los valores del registro de un equipo cliente. Es posible permitir o bloquear el acceso a claves del Registro, a valores y a datos especficos. Intentos de acceso a archivos Permitir o bloquear el acceso a archivos o carpetas y carpetas especificados en un equipo cliente. Es posible restringir la supervisin de archivos y carpetas a tipos de unidades especficos. Intentos de iniciar procesos Permitir o bloquear la capacidad de iniciar un proceso en un equipo cliente. Permite o bloquea la capacidad de terminar un proceso en un equipo cliente. Por ejemplo, es posible bloquear la detencin de una aplicacin determinada. Esta condicin busca las aplicaciones que intentan cerrar una aplicacin especificada.
Intentos de terminar procesos
Nota: Esta condicin impide que otras aplicaciones o

procedimientos terminen el proceso. No impide el cierre de aplicaciones mediante los mtodos comunes para salir de una aplicacin, como hacer clic en Salir en el men Archivo. Intentos de cargar DLL Permitir o bloquear la capacidad de cargar una DLL en un equipo cliente. Es posible definir los archivos DLL que desee impedir o permitir que se carguen en una aplicacin. Es posible utilizar nombres de archivo, caracteres comodn, listas de huellas digitales y expresiones regulares especficos. Es posible tambin limitar la supervisin de DLL a las que se inician desde un tipo de unidad determinado.
565
Acerca de las propiedades de la condicin de normas de control de la aplicacin

Es posible configurar las propiedades siguientes para una condicin de norma:

Nombre Descripcin (opcional) Si la condicin de la norma est habilitada o deshabilitada Una lista de las entidades del equipo que deben ser supervisadas para la condicin Una lista de las entidades del equipo que deben ser excluidas de supervisar la condicin (opcional)
Acerca de las acciones de condicin de normas de control de aplicaciones

Es posible configurar ciertas acciones que se tomarn cuando se cumpla una condicin. Las acciones siguientes pueden ser configuradas cuando ocurre un intento de aplicacin:

Continuar procesando otras normas. Permita que la aplicacin acceda a la entidad. Bloquee el acceso de la aplicacin a la entidad. Finalizar el proceso de la aplicacin.
Por ejemplo, es posible configurar un conjunto de acciones que se deben realizar cuando un proceso intenta leer una entidad supervisada. Es posible configurar un conjunto de acciones diferente que se deben realizar cuando el mismo proceso intenta crear, eliminar o escribir una entidad supervisada. Es posible configurar una accin en cada caso para tantos procesos como desee. Es posible tambin configurar el control de aplicaciones para registrar los intentos y para mostrar un mensaje personalizado al usuario cuando se produzca un intento. Advertencia: Utilice la accin Terminar proceso cuidadosamente porque puede no tener el efecto que se espera cuando lo utiliza en una norma. Termina el proceso que realiza la accin configurada, no el proceso que el usuario est iniciando actualmente. Por ejemplo, suponga que desee terminar Winword.exe cuando cualquier proceso inicie Winword.exe. Decide crear una norma y la configura con la condicin
566
Configurar Control de aplicaciones y dispositivos Acerca del control de dispositivos
Intentos de iniciar procesos y la accin Terminar proceso. Se aplica la condicin a Winword.exe y la norma a todos los procesos. Uno puede esperar que esta norma termine Winword.exe, pero eso no es lo que lo hace una norma con esta configuracin. Si intenta iniciar Winword.exe desde Windows Explorer, una norma con esta configuracin termina Explorer.exe, no Winword.exe.
Acerca del control de dispositivos

Utilice el control de dispositivos para administrar el acceso de dispositivos perifricos a los equipos cliente. Es posible implementar el control de dispositivos construyendo listas de control de dispositivos de hardware. Es posible construir una lista de los dispositivos cuyo acceso a los equipos se debe bloquear y una lista de dispositivos cuyo acceso se debe permitir. Aunque un dispositivo pueda estar conectado fsicamente a un equipo, an se le puede negar el acceso a ese equipo. Es posible bloquear o permitir dispositivos USB, infrarrojo, FireWire y SCSI, adems de puertos serie y paralelos. El control de dispositivos otorga a los administradores un nivel de control ms fino respecto de los dispositivos que pueden acceder a los equipos. Los administradores pueden personalizar el control de dispositivos para bloquear el acceso de ciertos tipos de dispositivos, como dispositivos USB. Sin embargo, el administrador puede tambin permitir que otros tipos de dispositivo, tales como un disco duro USB, sean excluidos del bloqueo. El administrador puede adems elegir si desea definir el control de dispositivos usando el GUID de Windows GUID o el lD del dispositivo. La Tabla 36-2 muestra combinaciones de configuracin de puertos y dispositivos de ejemplo y el efecto que cada combinacin tiene en el dispositivo que intenta acceder al equipo cliente. Tabla 36-2 Configuracin
Puerto bloqueado + dispositivo excluido Puerto excluido + dispositivo bloqueado
Combinaciones de configuracin de puertos y dispositivos Resultado

El dispositivo funciona El dispositivo no funciona
Nota: Nunca se debe bloquear un teclado. Por ejemplo, puede decidir bloquear todos los puertos, pero excluir un mouse USB de modo que pueda conectarse a un equipo cliente. En esta situacin, el mouse USB funciona en el equipo cliente aunque ese puerto est bloqueado.
Configurar Control de aplicaciones y dispositivos Acerca de trabajar con polticas de control de aplicaciones y dispositivos
567
Acerca de trabajar con polticas de control de aplicaciones y dispositivos

Se crean y editan polticas de control de aplicaciones y dispositivos de manera semejante mientras se crean y modifican otros tipos de polticas de Symantec Endpoint Protection. Es posible asignar, retirar, sustituir, copiar, exportar, importar o eliminar una poltica de control de aplicaciones y dispositivos. Si la poltica de control de aplicaciones y dispositivos predeterminada no proporciona la proteccin que se necesita, tiene las siguientes opciones:

Editar la poltica predeterminada. Crear una poltica personalizada.
Ver "Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos" en la pgina 569. Advertencia: Una poltica de control de aplicaciones y dispositivos es una herramienta de gran alcance que le permite crear polticas personalizadas de aplicacin para su entorno. Sin embargo, los errores de configuracin pueden deshabilitar un equipo o un servidor. El equipo cliente puede fallar o su comunicacin con Symantec Endpoint Protection Manager puede ser bloqueada, cuando se aplica una Poltica de control de aplicaciones y dispositivos. Si ocurre este tipo de error, no es posible configurar el equipo cliente de forma remota. Su nica opcin puede ser restaurar el equipo cliente localmente. Symantec le recomienda primero utilizar una poltica en modo de prueba antes de implementarla. Es posible buscar errores en el registro de control. Los eventos de control de aplicaciones y dispositivos se incluyen en el registro de control de clientes. Es posible verlos en la consola en el registro de control de aplicaciones y el registro de control de dispositivos. Se asigna tpicamente una poltica a los diferentes grupos de su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Nota: Los pasos de este captulo asumen que usted est familiarizado con los fundamentos de la configuracin de polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 370.
568
Configurar Control de aplicaciones y dispositivos Habilitar un conjunto predeterminado de normas de control de aplicaciones
Habilitar un conjunto predeterminado de normas de control de aplicaciones

La parte de control de aplicaciones de una poltica de control de aplicaciones y dispositivos se compone de los conjuntos de normas de control de aplicaciones. Cada conjunto de normas de control de aplicaciones se compone de una o ms normas. Los conjuntos predeterminados de normas de control de aplicaciones se instalan con Symantec Endpoint Protection Manager. Los conjuntos predeterminados de normas se deshabilitan en la instalacin. Nota: No edite estos conjuntos de normas de control de aplicaciones predeterminados. Si los conjuntos predeterminados de normas y los controles no cumplen sus requisitos, cree un nuevo conjunto de normas de control de aplicaciones que los cumpla. Si desea utilizar los conjuntos de normas predeterminados en una poltica de control de aplicaciones y dispositivos, debe habilitarlos. Para habilitar un conjunto predeterminado de normas de control de aplicaciones
En Polticas de control de aplicaciones y dispositivos, haga clic en la poltica a la que desea agregar un conjunto predeterminado de norma de control de aplicaciones. Bajo Tareas, haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Para revisar la configuracin en un conjunto predeterminado de normas de control de aplicaciones, haga clic en el nombre que est debajo de Conjunto de normas y haga clic en Editar. Asegrese de no realizar cambios.
2 3 4
5 6 7
Cuando haya finalizado de revisar las normas y la configuracin de condiciones, haga clic en Cancelar. Active la casilla de verificacin que est al lado de cada conjunto de normas que desea habilitar. Haga clic en Aceptar.
Configurar Control de aplicaciones y dispositivos Crear una poltica de control de aplicaciones y dispositivos
569
Crear una poltica de control de aplicaciones y dispositivos

Es posible crear una nueva poltica de control de aplicaciones y dispositivos. Una vez que cree una nueva poltica, es posible crear uno o ms conjuntos de normas de control de aplicaciones o listas de control de dispositivos de hardware, o ambas. No es necesario crear una poltica que contenga solamente control de dispositivos y una que contenga solamente control de aplicaciones. Una poltica de control de aplicaciones y dispositivos debe tener control de aplicaciones y control de dispositivos si desea implementar ambos. Es posible asignar solamente una poltica de control de aplicaciones y dispositivos al mismo tiempo a un grupo o a una ubicacin. Para crear y asignar una poltica de control de aplicaciones y dispositivos
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. Bajo Tareas, haga clic en Agregar una poltica de control de aplicaciones y dispositivos. En el panel Descripcin general, en el campo Nombre de la poltica, escriba el nombre de la nueva poltica de control de aplicaciones y dispositivos. El nombre predeterminado para una nueva poltica es Nueva poltica de control de aplicaciones y dispositivos.
En el campo Descripcin, escriba una descripcin de la nueva poltica. Esta informacin es opcional; se utiliza como referencia solamente.
Si no desea aplicar la poltica de forma inmediata, desmarque Habilitar esta poltica. Las nuevas polticas estn, de forma predeterminada, habilitadas.
Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos

Para configurar el control de aplicaciones, es necesario realizar las siguientes tareas:
Crear un nuevo conjunto de normas de control de aplicaciones.
570
Configurar Control de aplicaciones y dispositivos Configurar el control de la aplicacin para una Poltica de control de aplicaciones y dispositivos
Agregar una o ms normas al conjunto de normas. Agregar una o ms condiciones a las normas. Configurar las acciones que se tomarn cuando se cumplan las condiciones. Aplicar las condiciones a las entidades. Opcionalmente, excluir las entidades de la aplicacin de las condiciones. Aplicar las normas a los procesos. Opcionalmente, excluir los procesos de la aplicacin de las normas. Habilitar las normas. Habilitar el conjunto de normas.
Crear un nuevo conjunto de normas de control de aplicaciones y agregar una nueva regla al conjunto
Un nuevo conjunto de normas de aplicaciones contiene una o ms normas definidas por el administrador. Cada conjunto de normas y cada norma tiene propiedades. Cada norma puede, adems, contener una o ms condiciones para supervisar aplicaciones y su acceso a los archivos, las carpetas, las claves del Registro y los procesos especificados. Es posible crear varias normas y agregarlas a un solo conjunto de normas de control de aplicaciones. Cree tantas normas y tantos conjuntos de normas como sea necesario para implementar la proteccin que desee. Es posible eliminar normas de la lista y modificar su posicin en la jerarqua del conjunto de normas si es necesario. Es posible tambin habilitar y deshabilitar los conjuntos de normas o las normas individuales de un conjunto. El orden en el cual las normas se enumeran es importante para el funcionamiento del control de aplicaciones. Las normas del control de aplicaciones funcionan de manera similar a la mayora de las normas de firewall basadas en redes, ya que ambas utilizan la funcin de coincidencia de la primera norma. Cuando hay varias normas en las que las condiciones son verdaderas, la norma principal es la nica que se aplica a menos que la accin configurada para la norma sea continuar procesando otras normas. Debe considerar el orden de las normas y sus condiciones cuando las configura para evitar consecuencias inesperadas. Considere la situacin siguiente: Suponga que un administrador desea impedir que todos los usuarios muevan, copien y creen archivos en las unidades USB. El administrador tiene una norma existente con una condicin que permite el acceso de escritura en un archivo llamado Test.doc. El administrador agrega una segunda condicin a este conjunto de normas existente para bloquear todas las escrituras del USB. En esta situacin,
571
los usuarios an pueden crear y modificar un archivo Test.doc en unidades USB. Como la condicin de permitir la escritura en Test.doc est antes de bloquear todas las escrituras en el USB, bloquear todas las escrituras en el USB no se procesa cuando la condicin que la precede en la lista es verdadera. Es posible revisar la estructura de los conjuntos de normas predeterminados para ver cmo se construyen. Advertencia: Solamente los administradores avanzados deben crear los conjuntos de normas de control de aplicaciones. Los errores de configuracin en los conjuntos de normas que se utilizan en una poltica de control y aplicaciones pueden deshabilitar un equipo o un servidor. El equipo cliente puede fallar o su comunicacin con Symantec Endpoint Protection Manager puede ser bloqueada. Para crear un nuevo conjunto de normas y agregar normas a ella
1 2 3 4 5 6 7 8
En el cuadro de dilogo Control de aplicaciones, haga clic en Agregar. Debido a que el registro est habilitado de forma predeterminada, desmarque Habilitar registro si no desea registrar eventos sobre este conjunto de normas. En el cuadro de texto de nombre del conjunto de normas, modifique el nombre predeterminado del conjunto de normas. En el campo Descripcin, escriba una descripcin. Modifique el nombre predeterminado de la norma en el cuadro de texto del nombre de la norma y escriba una descripcin. Si no desea de forma inmediata habilitar esta nueva norma, desmarque Habilitar esta norma. Para agregar una segunda norma, haga clic en Agregar y, despus, haga clic en Agregar norma. Haga clic en Aceptar. Una vez que cree un conjunto de normas y una norma, es necesario definir las aplicaciones a las cuales la norma debe aplicarse. Si es necesario, se debe adems definir cualquier aplicacin que deba excluirse del cumplimiento de la norma. Es posible agregar condiciones a la norma y configurar las acciones que se tomarn si se cumplen las condiciones.
Agregar condiciones a una norma

Una vez que aplique una norma a una aplicacin, por lo menos, es posible agregar y configurar las condiciones para la norma. Las condiciones tienen propiedades
572
y acciones. Las propiedades de una condicin especifican lo que busca la condicin. Sus acciones definen qu sucede cuando se cumple la condicin. Para agregar una condicin a una norma
1 2 3 4
En el panel Control de aplicaciones, haga clic en el conjunto de normas que cre y haga clic en Editar. En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en la norma a la cual desea agregar una condicin. Bajo Lista de normas, haga clic en Agregar y, despus, en Agregar condicin. Seleccione una de las condiciones siguientes:

Intentos de acceso al registro Intentos de acceso a archivos y carpetas Intentos de iniciar procesos Intentos de terminar procesos Intentos de cargar DLL
Es posible agregar, configurar y eliminar condiciones de una norma si es necesario.
Configurar propiedades de condicin para una norma

Las propiedades de condicin incluyen el nombre, la descripcin y el estado habilitado o deshabilitado de la condicin. Las propiedades de condicin adems incluyen la aplicacin de la condicin a las entidades y, opcionalmente, la exclusin de algunas entidades para la aplicacin de la condicin. Nota: Cuando se aplica una condicin a todas las entidades de una carpeta determinada, se recomienda utilizar nombre_carpeta\* o nombre_carpeta\*\*. Un asterisco incluye todos los archivos y carpetas en la carpeta indicada. Utilice nombre_carpeta\*\* para incluir cada archivo y carpeta de carpeta indicada, adems de cada archivo y carpeta en cada subcarpeta. Para configurar propiedades de condicin
1 2
En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en la condicin que desea aplicar. Si lo desea, modifique el nombre predeterminado en el cuadro de texto Nombre y agregue opcionalmente una descripcin.
573
3 4 5
Si desea habilitar de forma inmediata esta condicin, active Habilitar esta condicin. A la derecha de Aplicar a los siguientes entidad, donde entidad representa procesos, claves de registro, archivos y carpetas o DLL, haga clic en Agregar. En el cuadro de dilogo Agregar definicin de entidad, configure uno de los siguientes conjuntos de opciones:
Para Intentos de acceso al registro, escriba el nombre de la clave de registro y el nombre y los datos del valor. Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida. Para Intentos de acceso a archivos y carpetas, escriba el nombre del archivo o la carpeta. Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida. Si lo desea, marque los tipos de unidad especficos en los cuales buscar coincidencias con archivos y carpetas. Si lo desea, marque Slo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID. Para Intentos de iniciar procesos, escriba el nombre del proceso. Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida. Si lo desea, marque los tipos de unidad especficos con los cuales debe coincidir el proceso. Si lo desea, marque Slo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID. Si lo desea, haga clic en Opciones para que coincidan los procesos basados en huellas digitales de archivos y para que coincidan solamente los procesos que tienen un argumento designado. Es posible optar por que coincidan los argumentos exactamente o mediante expresiones regulares. Para Intentos de terminar procesos o Intentos de acceso a DLL, escriba el nombre del proceso.
574
Haga clic en Usar un comodn que coincida (se pueden usar * y ?) o Usar una expresin comn que coincida. Si lo desea, marque los tipos de unidad especficos con los cuales debe coincidir el proceso. Si lo desea, marque Slo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID. Si lo desea, haga clic en Opciones para buscar coincidencias con los procesos segn la huella digital de archivo.
6 7
Haga clic en Aceptar. A la derecha del panel No aplicar esta norma a los siguientes procesos, haga clic en Agregar y repita la configuracin segn lo deseado. Tiene las mismas opciones para las exclusiones que para las inclusiones.
8 9
Haga clic en los controles adecuados para hacer sus selecciones y escriba la informacin obligatoria en los cuadros de texto. Haga clic en Aceptar. Una vez configuradas las propiedades para la condicin, es necesario configurar las medidas que se toman cuando se cumple la condicin.
Configurar las acciones que se deben tomar cuando se cumple una condicin
Las acciones siguientes estn disponibles para todas las condiciones:
Continuar procesando otras normas Permite que se registre solamente el evento y seguir procesando otras normas en la lista Para el resto de las acciones, el equipo cliente detiene el procesamiento de normas despus de que el primer criterio coincide Permitir acceso Bloquear acceso Terminar proceso Permite que la operacin contine Impide que se realice la operacin Cierra la aplicacin que ha hecho la solicitud
575
Nota: Se recomienda utilizar la accin de bloqueo de acceso para impedir una condicin en lugar de utilizar la accin Terminar proceso. La accin Terminar proceso se debe utilizar solamente en configuraciones avanzadas. Para configurar las acciones que se deben tomar cuando se cumple una condicin
1 2
En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en la condicin para la que desea configurar acciones. En la ficha Acciones, realice una de las siguientes acciones:
Para las condiciones Intentos de iniciar proceso y Intentos de terminar procesos, haga clic en una de las siguientes opcioones: Continuar que procesa otras normas, Permitir el acceso, Bloquear el acceso o Terminar proceso. Para la condicin Intentos de acceso a DLL, haga clic en una de las siguientes opciones: Continuar que procesa otras normas, Permitir el acceso, Bloquear el acceso o Terminar proceso. Para la condicin Intentos de acceso al registro e Intentos de acceso a archivos y carpetas, puede configurar dos conjuntos de acciones. Un conjunto se aplica cuando hay un intento de lectura; el otro conjunto se aplica cuando hay un intento de creacin, eliminacin o escritura. Bajo Intento de lectura, haga clic en una de las siguientes opciones: Continuar que procesa otras normas, Permitir el acceso, Bloquear el acceso o Terminar proceso.
3 4 5 6
Si lo desea, marque Habilitar el registro y seleccione un nivel de gravedad para asignar a las entradas que se registran. Si lo desea, marque Notificar al usuario y escriba el texto que desea que el usuario vea. Repita los pasos del 2 al 4 para configurar las mismas opciones para los intentos de creacin, eliminacin o escritura. Haga clic en Aceptar.
Aplicar una norma a aplicaciones especficas y excluir aplicaciones de una norma

Es posible aplicar una norma a las aplicaciones y es posible excluir aplicaciones de las acciones de una norma. Se especifica una lista que contenga las aplicaciones a las cuales se aplica la norma (inclusiones). Se especifica otra lista que contenga las aplicaciones a las cuales no se aplica la norma (exclusiones). Para asociar una
576
norma a una aplicacin especfica, se define esa aplicacin en el campo de texto Aplicar esta norma a los siguientes procesos. Si desea relacionar la norma a todas las aplicaciones a excepcin de un conjunto dado de aplicaciones, es posible utilizar la configuracin siguiente:
En el cuadro de texto Aplicar esta norma a los siguientes procesos, defina un carcter comodn para todos los procesos (*). En el cuadro de texto de No aplicar esta norma a los siguientes procesos, incluya las aplicaciones que necesitan una excepcin.
Es posible definir tantas aplicaciones como desee para cada lista. Nota: Cada norma debe tener, por lo menos, una aplicacin enumerada en el cuadro de texto Aplicar esta norma a los siguientes procesos. Cuando se agregan aplicaciones a una norma, es posible utilizar las maneras siguientes de especificar la aplicacin:

El nombre del proceso Caracteres comodn Expresiones regulares Huellas digitales de archivos Los tipos de unidad desde donde la aplicacin fue iniciada ID de dispositivo
Para aplicar una norma a aplicaciones especficas
1 2 3
En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en la norma que desea aplicar. Si desea configurar una aplicacin para aplicar la normaa, a la derecha de Aplicar esta norma a los siguientes procesos, haga clic en Agregar. En el cuadro de dilogo Agregar definicin de proceso, configure los puntos siguientes:

Escriba el nombre de la aplicacin con la que debe coincidir la norma. Haga clic en Usar un comodn que coincida (se admiten * y ?) o Usar una expresin comn que coincida para que coincida el nombre. Si lo desea, marque los tipos de unidad especficos con los cuales debe coincidir el proceso. Si lo desea, marque Slo buscar coincidencias con procesos que se ejecuten en el siguiente tipo de ID de dispositivo y escriba un tipo de ID
577
de dispositivo en el campo de texto o haga clic en Seleccionar para seleccionar un tipo de ID de dispositivo de la lista del cuadro de dilogo Seleccin de dispositivos para que coincidan solamente los procesos que se ejecutan en los dispositivos de ese tipo de ID.
Si lo desea, haga clic en Opciones para que coincidan los procesos basados en huellas digitales de archivos y para que coincidan solamente los procesos que tienen un argumento designado. Es posible optar por que coincidan los argumentos exactamente o mediante expresiones regulares.
Haga clic en Aceptar. Es posible repetir los pasos del 4 al 2 para agregar tantas aplicaciones como desee.
Si desea configurar una o ms aplicaciones que se deben excluir de la norma, a la derecha del campo de texto No aplicar esta norma a los siguientes procesos, haga clic en Agregar. Repita la configuracin de las aplicaciones que se deben excluir, segn lo desee. Tiene las mismas opciones cuando se define una aplicacin para excluir que cuando se aplica la norma a una aplicacin.
Cuando haya finalizado de definir las aplicaciones, haga clic en Aceptar.
Modificar el orden en el cual se aplican los conjuntos de normas de control de aplicaciones

Es posible controlar el orden en el cual se aplican los conjuntos de normas de control de aplicaciones. Es posible tambin controlar el orden en el cual las normas individuales dentro de un conjunto de normas se aplican. Para modificar el orden en el cual se aplican los conjuntos de normas de control de aplicaciones
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. En el panel Ver polticas, haga clic en Control de aplicaciones y dispositivos. Haga clic en la poltica que desee editar. Bajo Tareas, haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Haga clic en conjunto de normas de control de aplicaciones que desee mover. Haga clic en Subir o Bajar para modificar su prioridad dentro de la lista.
578
8 9
Repita los dos pasos anteriores para cada conjunto de normas que desee repriorizar. Haga clic en Aceptar.
Deshabilitar los conjuntos de normas de control de aplicaciones y las normas individuales en una Poltica de control de aplicaciones y dispositivos
Es posible que sea necesario deshabilitar un conjunto determinado de normas del control de aplicaciones en una Poltica de control de aplicaciones y dispositivos sin retirar ni eliminar la poltica entera. Para deshabilitar un conjunto de normas de control de aplicaciones en una Poltica de control de aplicaciones y dispositivos
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. Haga clic en la poltica que contiene el conjunto de normas que desee deshabilitar. Bajo Tareas, haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Desmarque la casilla que se encuentra junto al conjunto de normas que desee deshabilitar. Haga clic en Aceptar. Ha deshabilitado un nico conjunto de normas sin deshabilitar la poltica entera.
Para deshabilitar una norma individual en una Poltica de control de aplicaciones y dispositivos
1 2 3 4 5 6 7
En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. Haga clic en la poltica que contiene la norma que desee deshabilitar. Bajo Tareas, haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Haga clic en conjunto de normas que contiene la norma que desee deshabilitar y haga clic en Editar. Bajo Normas, en la lista de normas, haga clic en la norma que desee deshabilitar.
Configurar Control de aplicaciones y dispositivos Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos
579
8 9
En la ficha Propiedades, desmarque Habilitar esta norma. En el cuadro de dilogo Editar conjunto de normas de control de aplicaciones, haga clic en Aceptar.

Ahora habr deshabilitado una sola norma subordinada sin deshabilitar la poltica entera ni el conjunto de polticas.
Modificar el modo de un conjunto de normas de control de aplicaciones

Cuando crea por primera vez un conjunto de normas de control de aplicaciones, lo crea en modo de prueba. Despus de probar el conjunto de normas de una poltica, es posible modificar el modo al modo de produccin. Para modificar el modo de un conjunto de normas de control de aplicaciones
1 2 3 4 5 6 7 8 9
En la consola, haga clic en Polticas. Bajo Ver polticas, haga clic en Control de aplicaciones y dispositivos. Haga clic en la poltica que contiene al conjunto de normas del control de aplicaciones que desee modificar. Haga clic en Editar la poltica. Haga clic en Control de aplicaciones. Haga clic en conjunto de normas que desee modificar. Bajo Prueba o produccin, haga clic en la flecha correspondiente de la lista desplegable para visualizar la lista de modos. Haga clic en el nuevo modo. Haga clic en Aceptar.
Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos

Utilice un control de dispositivos para administrar los dispositivos de hardware. Es posible modificar esta lista en cualquier momento. Ver "Acerca de los dispositivos de hardware" en la pgina 581.
580
Configurar Control de aplicaciones y dispositivos Configurar el control de dispositivos para una Poltica de control de aplicaciones y dispositivos
Para agregar el control de dispositivos a una poltica de control de aplicaciones y dispositivos
1 2 3 4 5 6 7
En el panel Poltica de control de aplicaciones y dispositivos, seleccione Control de dispositivos. Bajo Dispositivos bloqueados, haga clic en Agregar. Revise la lista de dispositivos de hardware y haga clic en cualquier dispositivo cuyo acceso al equipo cliente desee bloquear. Haga clic en Aceptar. Bajo Dispositivos excluidos del bloqueo, haga clic en Agregar. Revise la lista de dispositivos de hardware y haga clic para seleccionar el dispositivo que desea excluir del bloqueo cuando acceden al equipo cliente. Si no desea que se registre la informacin de control de dispositivos, desmarque Registrar los dispositivos bloqueados. La informacin se registra de forma predeterminada.
Si desea que se notifiquen los usuarios, marque Notificar a los usuarios cuando los dispositivos estn bloqueados. Si habilit la notificacin, haga clic en Especificar texto del mensaje y escriba el texto que los usuarios deben ver.
Captulo
37
Configurar dispositivos de hardware


Acerca de los dispositivos de hardware Obtener un ID de dispositivo desde el Panel de control Agregar un dispositivo de hardware Editar un dispositivo de hardware Eliminar un dispositivo de hardware
Acerca de los dispositivos de hardware

Utilice la lista predeterminada de dispositivos de hardware para agregar un dispositivo a una poltica de control de aplicaciones y dispositivos. La lista Dispositivos de hardware elimina la necesidad de volver a escribir a estos dispositivos cada vez que usted desea agregar uno de una norma. Dos valores numricos identifican los dispositivos: ID del dispositivo e ID de clase. Es posible utilizar cualquiera de estos dos valores para identificar los dispositivos en la lista Dispositivos de hardware. La consola de Symantec Endpoint Protection Manager incluye las listas de los dispositivos que se pueden bloquear y de los dispositivos que pueden ser excluidos del bloqueo, segn lo que fuera necesario. Un administrador puede agregar, eliminar o editar dispositivos de la lista. Nota: No es posible editar ni eliminar los dispositivos predeterminados.
582
Configurar dispositivos de hardware Obtener un ID de dispositivo desde el Panel de control
Acerca de los ID de clase

El ID de clase se refiere a la GUID de Windows. Cada tipo de dispositivo tiene un elemento de clase Class y ClassGuid asociado. ClassGuid es un valor hexadecimal con el formato siguiente: {00000000-0000-0000-0000-000000000000}
Obtener un ID de dispositivo desde el Panel de control

Un ID de dispositivo es el ID ms especfico de un dispositivo. Los dispositivos pueden tener un ID especfico o uno genrico. Por ejemplo, es posible especificar todos los dispositivos USB que utilicen un ID de dispositivo o puede elegir una unidad de disco USB extrable especfica. Es necesario utilizar los ID de los dispositivos que desee agregar. Es posible utilizar la herramienta Symantec DevViewer o el Administrador de dispositivos de Windows para obtener los ID de dispositivo. Lo que sigue es un ID de dispositivo de muestra: {IDE\CDROMHL-DT-ST_RW/DVD_GCC-4242N_______________0201____\5&3CCF215&0&0.0.0} No es necesario escribir la cadena entera. Es posible utilizar caracteres comodn para buscar ID de dispositivo. Por ejemplo, es posible utilizar la cadena siguiente en una bsqueda: *IDE\CDROM*. Para obtener un ID de dispositivo desde el Panel de control
1 2 3 4
En la barra de tareas de Windows, haga clic en Inicio > Configuracin > Panel de control > Sistema. En la ficha Hardware, haga clic en Administrador de dispositivos. En la lista Administrador de dispositivos, haga doble clic en el dispositivo. En el cuadro de dilogo Propiedades del dispositivo, en la ficha Detalles, seleccione el ID del dispositivo. De forma predeterminada, el ID de dispositivo es el primer valor que se muestra.
5 6
Presione Control+C para copiar la cadena del ID. Haga clic en Aceptar o Cancelar. Ver "Agregar un dispositivo de hardware" en la pgina 582.
Agregar un dispositivo de hardware

Los dispositivos se muestran cuando se selecciona Dispositivos de hardware en la ficha Polticas. Esta lista puede ser utilizada cuando se desarrollan las polticas
Configurar dispositivos de hardware Editar un dispositivo de hardware
583
de proteccin de acceso que implican el control de acceso en el nivel de los dispositivos. Para agregar dispositivos de hardware a la lista
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Componentes de polticas, haga clic en Dispositivos de hardware. Bajo Tareas, haga clic en Agregar un dispositivo de hardware. Escriba el nombre del dispositivo que desea agregar y su ID de clase o ID de Dispositivo. Los ID de clase y de Dispositivo se incluyen entre llaves por convencin.
Haga clic en Aceptar. El nuevo dispositivo se visualiza en la lista Nombre del dispositivo. Tambin puede agregar un dispositivo si hace clic con el botn secundario en la lista de dispositivos de hardware de la derecha y, luego, hace clic en Agregar.
Editar un dispositivo de hardware

Es posible editar cualquier dispositivo de hardware que usted haya agregado a la lista. Los dispositivos predeterminados de la lista no pueden ser editados. Para editar un dispositivo de hardware
1 2 3 4 5 6
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Componentes de polticas, haga clic en Dispositivos de hardware. En la lista Dispositivos de hardware, haga clic en el dispositivo de hardware que desea editar. Haga clic en Eliminar el dispositivo de hardware. Edite el nombre del dispositivo, el ID de clase o el ID del dispositivo. Haga clic en Aceptar. La informacin actualizada del dispositivo se visualiza en la lista Identificacin.
Eliminar un dispositivo de hardware

Es posible eliminar cualquier dispositivo de hardware que usted haya agregado a la lista. Los dispositivos predeterminados de la lista no pueden ser eliminados.
584
Configurar dispositivos de hardware Eliminar un dispositivo de hardware
Para eliminar un dispositivo de hardware
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Componentes de polticas, haga clic en Dispositivos de hardware. En la lista Dispositivos de hardware, haga clic en el dispositivo de hardware que desea eliminar. Haga clic en Eliminar el dispositivo de hardware. En el cuadro de dilogo Eliminar dispositivo de hardware, haga clic en S. El dispositivo de hardware se quita de la lista Dispositivos de hardware.
Captulo
38
Personalizar polticas de control de aplicaciones y dispositivos


Acerca de la autorizacin del uso de aplicaciones, parches y utilidades Crear e importar una lista de huellas digitales de archivos Acerca del bloqueo del sistema Configurar el bloqueo del sistema
Acerca de la autorizacin del uso de aplicaciones, parches y utilidades

Symantec Endpoint Protection Manager brinda la posibilidad de proteger los equipos cliente contra ataques de aplicaciones no aprobadas. Ofrece esta capacidad de dos maneras. Primero, permite utilizar huellas digitales de archivos para identificar aplicaciones aprobadas, parches y utilidades que pueden ejecutarse en los equipos cliente. A continuacin, le permite decidir que la accin se ejecutar cuando las aplicaciones no aprobadas intentan acceder a los equipos cliente. Si habilita bloqueo del sistema, es posible despus configurar Symantec Endpoint Protection Manager para que solamente registre las aplicaciones no aprobadas o utilizar el bloqueo del sistema para proteger los equipos cliente atacados por programas no autorizados. Para utilizar el bloqueo del sistema, primero cree una lista de huellas digitales de archivos para cada tipo de cliente del entorno. Una lista de huellas digitales de
586
Personalizar polticas de control de aplicaciones y dispositivos Crear e importar una lista de huellas digitales de archivos
archivo es una lista de aplicaciones aprobadas para ese equipo cliente. A continuacin, agregue cada una de las huellas digitales de archivos a una lista de huellas digitales en Symantec Endpoint Protection Manager. Por ltimo, configure la accin que se realizar sobre el cliente cuando una aplicacin no aprobada intente acceder a ese equipo. Por ejemplo, cree una lista de huellas digitales de archivos para cada tipo de cliente del entorno. Asuma que el entorno contiene Windows Vista de 32 bits, Windows Vista de 64 bits y clientes de Windows XP SP2. Ejecute el archivo Checksum.exe en una imagen de cada uno de estos tres tipos de clientes que existan en su entorno. Checksum.exe genera huellas digitales de archivos para todas las aplicaciones de cada tipo de cliente y las coloca en una lista de huellas digitales de archivos. En este ejemplo, obtendr tres listas de huellas digitales de archivos: una para cada imagen. A continuacin, utilice Symantec Endpoint Protection para crear una lista de huellas digitales de archivos a la cual se agregarn las tres listas de huellas digitales de archivos que usted gener: una lista de huellas digitales de archivos para cada tipo de cliente. A continuacin, defina qu accin realiza Symantec Endpoint Protection cuando una aplicacin no aprobada intenta acceder a un equipo cliente. Es posible deshabilitar el bloqueo del sistema y permitir el acceso de la aplicacin. Es posible optar por solamente registrar las aplicaciones no aprobadas. Para obtener mayor proteccin, es posible habilitar el bloqueo del sistema en el equipo cliente al cual la aplicacin no autorizada est intentando acceder.
Crear e importar una lista de huellas digitales de archivos

Una lista de huellas digitales de archivos para una imagen del equipo cliente consiste en una lista de sumas de comprobacin para cada aplicacin en ese equipo cliente junto con las rutas del archivo completo de esas aplicaciones. Puede verificar que cada imagen contenga todos los archivos ejecutables para los que se autorice el uso en su compaa. Para crear una lista de huellas digitales de archivos, puede utilizar la utilidad Checksum.exe que se instala junto con Symantec Endpoint Protection en el equipo cliente. Puede ejecutar este comando en cada imagen del equipo en su entorno para crear una lista de huellas digitales de archivos para esas imgenes. El archivo Checksum.exe se encuentra en la siguiente ubicacin: C:\Program Files\Symantec\Symantec Endpoint Protection Es posible ejecutar esta herramienta desde la lnea de comandos. Checksum.exe crea un archivo de texto que contiene una lista de todos los archivos ejecutables en ese equipo y sus sumas de comprobacin correspondientes.
587
Es posible utilizar Symantec Endpoint Protection Manager para importar las listas de huellas digitales de archivos para cada tipo de equipo cliente en una lista de huellas digitales de archivos principal. Es posible administrar la lista de huellas digitales de archivos usando Symantec Endpoint Protection Manager. La lista de huellas digitales de archivos contiene los archivos aprobados para todos los equipos cliente. Es posible tambin agregar las huellas digitales para los archivos individuales que usted desea autorizar.
Crear una lista de huellas digitales de archivos

Es posible utilizar Checksum.exe para crear una lista de huellas digitales de archivos. La lista de huellas digitales de archivos incluye el nombre de todos los archivos y la suma de comprobacin correspondiente que reside en la imagen del equipo cliente. Esta herramienta se proporciona con Symantec Endpoint Protection en el cliente. Para crear una lista de huellas digitales de archivos
Vaya al equipo que contiene la imagen para la que desea crear una lista de huellas digitales de archivos. El equipo debe tener el software de cliente Symantec Endpoint Protection instalado. Abra una ventana de la lnea de comandos. Desplcese hasta el directorio que contiene el archivo Checksum.exe. De forma predeterminada, este archivo se encuentra en la siguiente ubicacin: C:\Program Files\Symantec\Symantec Endpoint Protection
2 3
Escriba el comando siguiente:

checksum.exe outputfile unidad
donde outputfile es el nombre del archivo de texto que contiene las sumas de comprobacin para todos los archivos ejecutables que se encuentran en la unidad especificada. El archivo de salida es un archivo de texto (outputfile.txt). Lo que sigue es un ejemplo de la sintaxis que utiliza:
checksum.exe cdrive.txt c:\
Este comando crea un archivo que se llama cdrive.txt. Contiene las sumas de comprobacin y las rutas de los archivos de todos los archivos ejecutables y DLL que se encontraron en la unidad de C del equipo cliente en el que se ejecut.
Ejemplo de salida de Checksum.exe

A continuacin, se incluye un ejemplo de un archivo de salida de Checksum.exe que fue ejecutado en una imagen del equipo. El formato de cada lnea es
588
suma_de_comprobacin_del_archivo espacio nombre_de_ruta_completo_del_archivo_exe_o_DLL.
0bb018fad1b244b6020a40d7c4eb58b7 35162d98c2b445199fef95e838feae4b 77e4ff0b73bc0aeaaf39bf0c8104231f f59ed5a43b988a18ef582bb07b2327a7 60e1604729a15ef4a3b05f298427b3b1 4f3ef8d2183f927300ac864d63dd1532 dcd15d648779f59808b50f1a9cc3698d eeaea6514ba7c9d273b5e87c4e1aab30 0a7782b5f8bf65d12e50f506cad6d840 9a6d7bb226861f6e9b151d22b977750d d97e4c330e3c940ee42f6a95aec41147
c:\dell\openmanage\remind.exe c:\dell\pnp\m\co\HSFCI008.dll c:\dell\pnp\m\co\HSFHWBS2.sys c:\dell\pnp\m\co\HSF_CNXT.sys c:\dell\pnp\m\co\HSF_DP.sys c:\dell\pnp\m\co\HXFSetup.exe c:\dell\pnp\m\co\MdmXSdk.dll c:\dell\pnp\m\co\MDMXSDK.sys c:\dell\pnp\mgmt\drac2wdm.sys c:\dell\pnp\mgmt\racser.sys c:\dell\pnp\n\bc\b57xp32.sys
Editar una lista de huellas digitales de archivos

No es posible editar directamente una lista de huellas digitales de archivos existente. Primero, puede utilizar Checksum.exe para crear una nueva lista de huellas digitales de archivos mediante una imagen diferente del equipo. Es posible entonces combinar la lista de huellas digitales de archivos de Symantec Endpoint Protection Manager con la nueva lista de huellas digitales de archivos de la imagen del cliente. Para editar una lista de huellas digitales de archivos
1 2 3 4 5 6 7 8
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Ver polticas, expanda Componentes de polticas y despus haga clic en Lista de huellas digitales de archivos. En el panel Listas de huellas digitales de archivos, haga clic con el botn secundario en la lista de huellas digitales que desee editar. Haga clic en Editar. En el Asistente para editar huellas digitales de archivos, haga clic en Siguiente. Elija Agregar un archivo de huella digital a esta huella digital de archivo para agregar un nuevo archivo al archivo existente y haga clic en Siguiente. Haga clic en Examinar para localizar el archivo o escriba la ruta completa de la lista de huellas digitales de archivos en el cuadro de texto. Haga clic en Siguiente.
589
Haga clic en Cerrar.
Importacin de una lista de huellas digitales de archivos en una poltica compartida

Es posible agregar listas de huellas digitales de archivos a una poltica compartida mediante la importacin de un archivo. Es necesario haber creado la lista previamente. Ver "Crear una lista de huellas digitales de archivos" en la pgina 587. Para importar una lista de huellas digitales de archivos en una poltica compartida
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Ver polticas, expanda Componentes de polticas y despus haga clic en Lista de huellas digitales de archivos. Bajo Tareas, haga clic en Agregar una lista de huellas digitales de archivos. En el panel Bienvenido al Asistente para agregar huellas digitales de archivos, haga clic en Siguiente. En el panel Informacin acerca de la nueva huella digital de archivo, en el cuadro de texto Nombre, escriba el nombre de la lista de huellas digitales que desea agregar. En el panel Informacin acerca de la nueva huella digital de archivo, en el cuadro de texto Descripcin, escriba una descripcin para la lista de huellas digitales que desea agregar. Este paso es opcional.
7 8 9
Haga clic en Siguiente. En el panel Crear una huella digital de archivo, haga clic en Crear la huella digital de archivo importando un archivo de huella digital de archivo. Haga clic en Siguiente. la lista de huellas digitales de archivos en el cuadro de texto.
10 Haga clic en Examinar para localizar el archivo o escriba la ruta completa de 11 Haga clic en Siguiente. 12 Haga clic en Cerrar. 13 Haga clic en Finalizar.
La nueva lista aparece a la derecha en Listas de huellas digitales de archivos.
590
Combinacin de listas de huellas digitales de archivos en una poltica compartida

Es posible combinar varias listas de huellas digitales de archivos de una poltica compartida. Es necesario haber agregado ya las listas que se desea combinar antes de iniciar esta tarea. Ver "Importacin de una lista de huellas digitales de archivos en una poltica compartida" en la pgina 589. Para combinar listas de huellas digitales de archivos en una poltica compartida
1 2 3 4
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Ver polticas, expanda Componentes de polticas y despus haga clic en Lista de huellas digitales de archivos. En el panel Bienvenido al Asistente para agregar huellas digitales de archivos, haga clic en Siguiente. En el panel Informacin acerca de la nueva huella digital de archivo, en el cuadro de texto Nombre, escriba el nombre de la lista de huellas digitales combinadas que desea agregar. En el panel Informacin acerca de la nueva huella digital de archivo, en el cuadro de texto Descripcin, escriba una descripcin para la lista de huellas digitales combinadas que desea agregar. Este paso es opcional.
6 7
Haga clic en Siguiente. En el panel Crear una huella digital de archivos, haga clic en Crear la huella digital de archivo combinando varias huellas digitales de archivos existentes. Esta opcin est disponible solamente si hay listas de huellas digitales de archivos en la poltica compartida.
8 9
Haga clic en Siguiente. Seleccione la listas de huellas digitales que desea combinar.
10 Haga clic en Siguiente. 11 Haga clic en Cerrar. 12 Haga clic en Finalizar.

La lista de huellas digitales combinadas aparece a la derecha en Listas de huellas digitales de archivos.
Personalizar polticas de control de aplicaciones y dispositivos Acerca del bloqueo del sistema
591
Eliminar una lista de huellas digitales de archivos

Es posible eliminar cualquier lista de huellas digitales de archivos que ya no se necesiten. Primero asegrese de que la lista de huellas digitales de archivos ya no se necesite en el nivel de grupo antes de eliminarla de una poltica compartida. Para eliminar una lista de huellas digitales de archivos
1 2 3 4 5
En la consola de Symantec Endpoint Protection Manager, haga clic en Polticas. Bajo Ver polticas, expanda Componentes de polticas y despus haga clic en Lista de huellas digitales de archivos. En el panel Listas de huellas digitales de archivos, haga clic en la lista de huellas digitales de archivos que desee eliminar. Bajo Tareas, haga clic en Eliminar la lista. Haga clic en S para confirmar. La lista de huellas digitales de archivos se elimina de Symantec Endpoint Protection Manager, pero queda en su equipo en la ubicacin desde la que se la import.
Acerca del bloqueo del sistema

El bloqueo del sistema es una opcin de proteccin que es posible utilizar para controlar las aplicaciones que pueden ejecutarse en el equipo cliente. Es posible crear una lista de huellas digitales de archivos que contenga sumas de comprobacin y las ubicaciones de todas las aplicaciones para las cuales se autoriz el uso en su compaa. El software de cliente incluye una herramienta denominada Checksum.exe que se puede utilizar para crear una lista de huellas digitales de archivos. La ventaja del bloqueo del sistema es que puede implementarse independientemente de si el usuario est conectado a la red. Puede utilizar el bloqueo del sistema para bloquear prcticamente cualquier caballo de Troya, software espa o software malicioso que intente ejecutarse o cargarse en una aplicacin existente. Por ejemplo, es posible evitar que estos archivos se carguen en Internet Explorer. El bloqueo del sistema garantiza el sistema se mantenga en un estado conocido y de confianza. Las aplicaciones que se ejecutan en el equipo cliente pueden incluir los archivos ejecutables siguientes:

.exe .com .dll
592
Personalizar polticas de control de aplicaciones y dispositivos Acerca del bloqueo del sistema
.ocx
Symantec recomienda que implemente el bloqueo del sistema en las siguientes fases:
Obtenga una imagen aprobada del software cree una imagen de software que incluya todas las aplicaciones que usted desea que los usuarios utilicen en sus equipos. Utilice esta imagen para crear una lista de huellas digitales de archivos. Habilite el bloqueo del sistema registrando las aplicaciones que no se incluyen en la lista de huellas digitales de archivos. Podr ajustar su huella digital de archivos para que incluya las aplicaciones necesarias de los usuarios. Es posible avisarles adecuadamente antes de bloquear las aplicaciones no aprobadas. Agregue los archivos ejecutables que desea permitir incluso si no estn en la lista de huellas digitales de archivos. refuerce el bloqueo del sistema y bloquee las aplicaciones no aprobadas.
Registre las aplicaciones no aprobadas
Agregue aplicaciones permitidas
Habilite el bloqueo del sistema
Tiene la opcin de definir un mensaje personalizado para mostrar a los usuarios que tienen aplicaciones bloqueadas.
Requisitos previos de bloqueo del sistema

Los siguientes requisitos previos se deben cumplir antes de que pueda habilitar el bloqueo del sistema:
Crear la lista de huellas digitales de archivos Es necesario haber creado una lista de huellas digitales de archivos que incluya las aplicaciones que se permiten. Esta lista se puede crear desde una imagen corporativa que se instale regularmente en los equipos de los usuarios. Esta lista se crea en un equipo que ejecute el cliente. Despus de que usted cree las listas de huellas digitales, debe agregarlas al administrador. Se pueden combinar varias listas de huellas digitales de archivos. Por ejemplo, es posible utilizar diferentes imgenes para diferentes grupos en su compaa.
Agregar una o ms listas de huellas digitales de archivos Combinar listas de huellas digitales de archivos
Personalizar polticas de control de aplicaciones y dispositivos Configurar el bloqueo del sistema
593
Debe implementar el bloqueo del sistema en las siguientes fases:

Configurar y probar el bloqueo del sistema Antes de bloquear los archivos ejecutables no aprobados, es posible agregar una o ms listas de huellas digitales de archivos. Agregue las aplicaciones que deben se deben permitir siempre y registre los resultados en el registro de control.
Consultar la lista de aplicaciones no Despus de algunos das de prueba del bloqueo del aprobadas sistema, es posible ver la lista de aplicaciones no aprobadas. Esta lista muestra las aplicaciones no aprobadas que ejecutan los usuarios del grupo. Es posible decidir si desea agregar ms aplicaciones a la huella digital de archivos o a la lista permitida. Habilitar el bloqueo del sistema Luego, puede habilitar el bloqueo del sistema para bloquear las aplicaciones que no se incluyen en las listas de huellas digitales de archivos.
Configurar el bloqueo del sistema

Para configurar el bloqueo del sistema, se sigue un proceso de dos etapas:
En el paso 1, se supervisan las aplicaciones que ejecutan los equipos cliente. En este paso, es posible realizar un seguimiento de estas aplicaciones en una lista de aplicaciones no aprobadas. La lista de aplicaciones no aprobadas incluye las aplicaciones que los clientes ejecutan pero que no se muestran en la lista de huellas digitales de archivos de aplicaciones aprobadas. El cliente no bloquea las aplicaciones no aprobadas. Es posible realizar un seguimiento de las aplicaciones que los clientes utilizan para propsitos informativos antes de bloquear esas aplicaciones. Es posible tambin probar si algunas aplicaciones aparecen en la lista de aplicaciones no aprobadas. Si se ejecuta una prueba, el estado indica cunto tiempo se ha estado ejecutando y si han ocurrido excepciones. Ejecute el bloqueo del sistema en el modo de prueba bastante tiempo para detectar qu aplicaciones no aprobadas ejecutan los equipos cliente. A continuacin habilite el bloqueo del sistema. En el paso 2, se habilita el bloqueo del sistema. Una vez que ejecute el bloqueo del sistema en el modo de prueba suficiente tiempo para ver qu aplicaciones no aprobadas se ejecutan, habilite las opciones siguientes:
Aprobar el uso de las aplicaciones adicionales Agregue aplicaciones a la lista de aplicaciones aprobadas o agregue las aplicaciones a la imagen donde usted cre la huella digital de archivo.
594
Notificar a los usuarios
Puede notificar a un usuario que no tiene ms acceso a un equipo. Tambin puede informar al usuario que las aplicaciones especificadas se pueden utilizar en una cierta fecha futura que usted indique. Es posible entonces proceder a habilitar el bloqueo del sistema en esa fecha. No se necesita ninguna accin adicional.
Seguir registrando el uso de aplicaciones no aprobadas
Nota: Es posible tambin crear normas de firewall para permitir las aplicaciones aprobadas en el cliente. Para configurar el bloqueo del sistema
1 2 3 4
En la consola, haga clic en Clientes. Bajo Ver clientes, localice al grupo para el que desea configurar el bloqueo del sistema. En la ficha Polticas, haga clic en Bloqueo del sistema. En el cuadro de dilogo Bloqueo del sistema para nombre de grupo, haga clic en Paso 1: Registrar slo aplicaciones no aprobadas si desea activar esta proteccin en modo de prueba. Esta opcin registra las aplicaciones de red no aprobadas que los clientes estn ejecutando actualmente.
Haga clic en Paso 2: Habilitar bloqueo del sistema si desea activar esta proteccin. Este paso bloquea las aplicaciones no aprobadas que los clientes intentan ejecutar. Bajo Aplicaciones aprobadas, seleccione la lista de huellas digitales de archivos que desea utilizar como lista de archivos ejecutables aprobados. Ver "Editar una lista de huellas digitales de archivos" en la pgina 588.
Si desea agregar listas de huellas digitales de archivos adicionales, haga clic en Agregar, haga clic en el nombre de la lista y despus haga clic en Aceptar para agregar listas de huellas digitales de archivos adicionales. Active Probar antes de quitar para las aplicaciones que desee probar antes de que el cliente bloquee las aplicaciones.
595
Para ver la lista de aplicaciones no aprobadas, haga clic en Ver aplicaciones no aprobadas. En el cuadro de dilogo Aplicaciones no aprobadas, revise las aplicaciones. Esta lista incluye la informacin sobre la hora en que la aplicacin fue ejecutada, el nombre de host del equipo, el nombre de usuario del cliente y el nombre del archivo ejecutable.
10 Determine cmo desea administrar las aplicaciones no aprobadas.

Es posible agregar los nombres de las aplicaciones que desea permitir a la lista de aplicaciones aprobadas. Puede agregar el archivo ejecutable en la imagen del equipo la prxima vez que cree una huella digital de archivo.
11 Haga clic en Cerrar. 12 Para especificar los archivos ejecutables que se permiten siempre incluso si
no se incluyen en la lista de huellas digitales de archivos, en la lista Nombre del archivo, haga clic en Agregar.
13 En el cuadro de dilogo Agregar definicin de archivo, especifique el nombre

de la ruta completa del archivo ejecutable (.exe o .dll). Los nombres se pueden especificar usando una sintaxis de cadena normal o de expresin regular. Los nombres pueden incluir caracteres comodines (* para cualquier carcter y ? para un carcter). El nombre puede adems incluir variables de entorno tales como %ProgramFiles% para representar la ubicacin del directorio Program Files o %windir% para el directorio de instalacin de Windows.
14 Deje la opcin Usar un comodn que coincida (se pueden usar * y ?) o

seleccionada de forma predeterminada o haga clic en Usar una expresin comn que coincida si utiliz expresiones regulares en el nombre de archivo.
15 Si desea permitir el archivo solamente cuando se ejecuta en un tipo de unidad

determinado, haga clic en Slo buscar coincidencias con archivos en los siguientes tipos de unidades. A continuacin anule la seleccin de los tipos de unidad que no desee incluir. De forma predeterminada, estn seleccionados todos los tipos de unidad.
16 Si desea buscar coincidencias por el tipo de ID del dispositivo, active Slo

buscar coincidencias con archivos del siguiente tipo de ID de dispositivo y despus haga clic en Seleccionar.
17 Haga clic en el dispositivo que desee en la lista y despus haga clic en Aceptar. 18 Haga clic en Aceptar. 19 Para visualizar un mensaje en el equipo cliente cuando el cliente bloquea una
aplicacin, active Notificar al usuario si se bloquea una aplicacin.
596
20 Para escribir un mensaje personalizado, haga clic en Notificacin, escriba el

mensaje y haga clic en Aceptar.
Seccin
Configurar excepciones centralizadas
Configurar polticas de excepciones centralizadas
598
Captulo
39
Configurar polticas de excepciones centralizadas


Acerca de las polticas de excepciones centralizadas Configurar una poltica de excepciones centralizada Configurar restricciones de clientes para las excepciones centralizadas Crear excepciones centralizadas de eventos de registro
Acerca de las polticas de excepciones centralizadas

Las polticas de excepciones centralizadas contienen excepciones para los siguientes tipos de anlisis:

Anlisis antivirus y de software espa Anlisis de amenazas proactivos TruScan Anlisis de Proteccin contra intervenciones
Nota: Los anlisis antivirus y de software espa incluyen todos los anlisis de Auto-Protect, anlisis programados, anlisis manuales o anlisis definidos por el usuario. Tpicamente, las excepciones son riesgos o procesos que usted desea que el software cliente excluya del anlisis. Si utiliza excepciones en equipos cliente, es posible que se reduzca el tiempo del anlisis. Si reduce el tiempo del anlisis, aumenta el rendimiento del sistema en los equipos cliente.
600
Configurar polticas de excepciones centralizadas Acerca de las polticas de excepciones centralizadas
Para los anlisis de amenazas proactivos TruScan, es posible que desee adems que el software de cliente detecte un proceso especfico que no se detecta de forma predeterminada. Es posible crear una excepcin para forzar la deteccin. Cuando la deteccin aparece en la lista de procesos detectados, puede crear otra excepcin para especificar una accin para la deteccin. Nota: Para los anlisis antivirus y de software espa, o de Proteccin contra intervenciones, se utilizan excepciones centralizadas para especificar elementos determinados que se deben excluir de los anlisis. Para los anlisis de amenazas proactivos, sin embargo, se utilizan excepciones centralizadas para especificar acciones para los procesos detectados o para forzar una deteccin. Cuando se crea una poltica de excepciones centralizada, las excepciones se aplican a todos los anlisis de ese tipo en el equipo cliente que utiliza la poltica. Es posible incluir todas las excepciones en la misma poltica. A diferencia de otras polticas, la consola de Symantec Endpoint Protection Manager no incluye una poltica de excepciones centralizada predeterminada. Es necesario crear una nueva poltica. Es posible crear polticas de excepciones centralizadas desde la pgina de polticas o puede crear polticas de excepciones centralizadas desde la pgina clientes en la consola de administracin. Puede agregar excepciones a una poltica de excepciones centralizada usando los registros de la consola de administracin. Es necesario crear una poltica de excepciones centralizada para poder utilizar este mtodo para crear excepciones. Ver "Crear excepciones centralizadas de eventos de registro" en la pgina 610.
Acerca de la utilizacin de polticas de excepciones centralizadas

Se crean y editan polticas de excepciones centralizadas de la misma forma en que se crean y modifican otros tipos de polticas. Puede asignar, quitar, reemplazar, copiar, exportar, importar o eliminar una poltica de excepciones centralizada. Se asigna tpicamente una poltica a los diferentes grupos de su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Para trabajar con polticas de excepciones centralizadas, debe estar familiarizado con los fundamentos de la configuracin de polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 370.
601
Acerca de las excepciones centralizadas para los anlisis antivirus y contra software espa
Es posible que desee excluir un riesgo de seguridad determinado de los anlisis antivirus y contra software espa. Es recomendable excluir ciertos archivos, carpetas o extensiones de archivo de los anlisis. Cuando se excluye un riesgo de seguridad, los anlisis ignoran el riesgo. Es posible configurar la excepcin de modo que los anlisis registren la deteccin. En cualquier caso, el software de cliente no notifica a los usuarios cuando detecta los riesgos de seguridad especificados. Cuando se excluyen archivos, carpetas o extensiones, los anlisis ignoran los archivos, las carpetas o las extensiones. Nota: Las excepciones centralizadas se aplican a todas los anlisis antivirus y contra software espa. No puede crear diferentes excepciones para distintos tipos de anlisis. Por ejemplo, puede crear una excepcin centralizada para excluir una extensin de archivo determinada. El software de cliente excluye la extensin de los anlisis de Auto-Protect y de todos los anlisis definidos por el administrador y por el usario. Los anlisis definidos por el administrador y los anlisis definidos por el usario incluyen anlisis programados y anlisis manuales.
Acerca de las excepciones centralizadas para los anlisis de amenazas proactivos TruScan
Es posible que desee excluir ciertos procesos de los anlisis de amenazas proactivos. Es necesario determinar que los procesos que desea excluir sean seguros de ejecutar en los equipos cliente en su red de seguridad. Para excluir un proceso detectado, configure la accin de deteccin en Omitir. Tambin puede crear una excepcin centralizada para especificar que ciertos procesos no estn permitidos. Para especificar que los procesos no estn permitidos, configure la accin de deteccin en Cuarentena o Finalizar. Es posible forzar una deteccin de la amenaza proactiva creando una excepcin centralizada que especifique un nombre de archivo. Cuando el anlisis de amenazas proactivo detecta el archivo, el cliente registra el evento. Dado que los nombres de archivo no son exclusivos, es posible que varios procesos utilicen el mismo nombre de archivo. Es posible utilizar una deteccin forzada para crear una excepcin para poner en cuarentena o para finalizar un proceso que se asocie al archivo. Ver "Cmo funcionan los anlisis de amenazas proactivos TruScan con excepciones centralizadas" en la pgina 551.
602
Acerca de las excepciones centralizadas para la proteccin contra intervenciones

La proteccin contra intervenciones protege los equipos cliente de los procesos que intervienen en los procesos de Symantec y los objetos internos. Cuando la proteccin contra intervenciones detecta un proceso que puede modificar las opciones de configuracin de Symantec o los valores del registro de Windows, bloquea el proceso. Es posible que deba permitir que una aplicacin modifique la configuracin de Symantec. Es posible que desee detener la proteccin contra intervenciones para ciertas reas del registro o para ciertos archivos del equipo cliente. En algunos casos, la proteccin contra intervenciones puede bloquear un programa de lectura de pantalla u otra aplicacin de tecnologa de asistencia. Es posible crear una excepcin centralizada de modo que la aplicacin pueda ejecutarse en los equipos cliente.
Acerca de la interaccin del cliente con excepciones centralizadas

Las excepciones definidas por el administrador siempre toman precedencia sobre las excepciones definidas por el usuario. En los equipos cliente, los usuarios pueden ver la lista de excepciones definidas por el administrador, pero no pueden modificarlas. Un usuario tambin puede ver cualquier excepcin que l cree. De forma predeterminada, los usuarios en los equipos cliente tienen derechos de configuracin limitados para las excepciones centralizadas. De forma predeterminada, los usuarios tienen las siguientes restricciones:
No pueden crear excepciones para forzar las detecciones para los anlisis de amenazas proactivos. No pueden hacer una seleccin de una lista de procesos detectados para crear una excepcin para los anlisis de amenazas proactivos. Sin embargo, pueden seleccionar un archivo del equipo cliente para crear una excepcin del anlisis de amenazas proactivo. Los usuarios no pueden crear ninguna excepcin para la proteccin contra intervenciones.
Puede restringir usuarios en los equipos cliente de modo que no puedan crear excepciones para los anlisis antivirus y contra software espa, o para los anlisis de amenazas proactivos. Ver "Configurar restricciones de clientes para las excepciones centralizadas" en la pgina 609.
Configurar polticas de excepciones centralizadas Configurar una poltica de excepciones centralizada
603
Configurar una poltica de excepciones centralizada

Se configura una poltica de excepciones centralizada de la misma forma en que se configuran otros tipos de polticas. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en los procedimientos. Para configurar una poltica de excepciones centralizada
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar y realice una de las siguientes acciones:
Haga clic en Excepciones de riesgos de seguridad y agregue una excepcin de riesgos de seguridad que usted desee incluir en la poltica. Ver "Configurar una excepcin centralizada para los anlisis antivirus y contra software espa" en la pgina 603. Haga clic en Excepciones de anlisis de amenazas proactivo TruScan y agregue una excepcin de anlisis de amenazas proactivo que desee incluir en la poltica. Ver "Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan" en la pgina 607. Haga clic en Excepcin de proteccin contra intervenciones y despus agregue una excepcin del anlisis de Proteccin contra intervenciones que quiera incluir en la poltica. Ver "Configurar una excepcin centralizada para la proteccin contra intervenciones" en la pgina 609.
3 4
Repita el paso 2 para agregar ms excepciones. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar una excepcin centralizada para los anlisis antivirus y contra software espa
Puede crear las excepciones para riesgos de seguridad conocidos, archivos, carpetas o extensiones de archivo. Las excepciones se aplican a todos los anlisis antivirus y contra software espa que se ejecuten en los equipos cliente que utilizan la poltica. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento.
604
Para configurar una excepcin centralizada para los anlisis antivirus y contra software espa
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad y, a continuacin, realice una de las siguientes acciones:
Haga clic en Riesgos conocidos y, luego, configure la excepcin. Ver "Configurar excepciones centralizadas para los riesgos de seguridad conocidos" en la pgina 604. Haga clic en Archivo y, luego, configure la excepcin. Ver "Configurar una excepcin centralizada para un archivo" en la pgina 605. Haga clic en Carpeta y, luego, configure la excepcin. Ver "Configurar una excepcin centralizada para una carpeta" en la pgina 605. Haga clic en Extensiones y, luego, configure la excepcin. Ver "Configurar una excepcin centralizada para una extensin de archivo" en la pgina 606.
3 4
Configurar excepciones centralizadas para los riesgos de seguridad conocidos

Los riesgos de seguridad que el software de cliente detecta aparecen en el cuadro de dilogo Excepciones de riesgos de seguridad conocidos. La lista de los riesgos de seguridad conocidos incluye la informacin sobre la gravedad del riesgo. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones de excepciones centralizadas para los riesgos de seguridad conocidos. Para configurar excepciones centralizadas para los riesgos de seguridad conocidos
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad > Riesgos conocidos.
605
En el cuadro de dilogo Excepciones de riesgos de seguridad conocidos, seleccione uno o ms riesgos de seguridad que desee excluir de los anlisis antivirus y contra software espa. Marque Registrar la deteccin del riesgo de seguridad si desea registrar la deteccin. Si no marca esta opcin, el cliente ignora el riesgo cuando detecta los riesgos seleccionados. Por lo tanto, el cliente no registra la deteccin.
5 6
Configurar una excepcin centralizada para un archivo

Las excepciones para archivos se agregan individualmente. Si desea crear excepciones para ms de un archivo, repita el procedimiento. Para configurar una excepcin centralizada para un archivo
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad > Archivo. Bajo Excepcin de archivos de riesgos de seguridad, en el cuadro desplegable Variable de prefijo, seleccione una ubicacin de archivo si desea restringir la excepcin. Haga clic en NINGUNO si desea que la excepcin se aplique al archivo en cualquier ubicacin en el equipo cliente.
En el cuadro de texto Archivo, escriba el nombre del archivo. Incluya la informacin de la ruta del archivo.
5 6
Configurar una excepcin centralizada para una carpeta

Las excepciones para las carpetas se agregan individualmente. Si desea crear excepciones para ms de una carpeta, repita el procedimiento.
606
Para configurar una excepcin centralizada para una carpeta
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad > Carpeta. Bajo Excepcin de carpeta de riesgos de seguridad, en el cuadro desplegable Variable de prefijo, seleccione una ubicacin de carpeta si desea restringir la excepcin. Haga clic en NINGUNO si desea que la excepcin se aplique al archivo en cualquier ubicacin en el equipo cliente.
En el cuadro de texto Carpeta, escriba el nombre del archivo. Incluya la informacin de la ruta de la carpeta.
5 6
Configurar una excepcin centralizada para una extensin de archivo

Es posible agregar varias extensiones de archivo a una excepcin. Despus de crear la excepcin, no es posible crear otra excepcin de extensiones para la misma poltica. Es necesario editar la excepcin existente. Nota: Es posible agregar solamente una extensin por vez. Si escribe varios nombres de extensin en el cuadro de texto Agregar, la poltica trata la entrada como un solo nombre de extensin. Para configurar una excepcin centralizada para una extensin de archivo
1 2 3 4 5 6
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Bajo Excepciones centralizadas, haga clic en Agregar > Excepciones de riesgos de seguridad > Extensin. En el cuadro de texto, escriba la extensin que desea excluir y despus haga clic en Agregar. Repita el paso 3 para agregar ms extensiones a la excepcin. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
607
Configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
Puede configurar excepciones para excluir procesos detectados de los anlisis de amenazas proactivos futuros. Tambin puede forzar un anlisis de amenazas proactivo para detectar un proceso determinado. Para configurar una excepcin centralizada para los anlisis de amenazas proactivos TruScan
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo TruScan y realice una de las siguientes acciones:
Haga clic en Procesos detectados. Ver "Configurar una excepcin centralizada para un proceso detectado" en la pgina 607. Haga clic en Procesar. Ver "Configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso" en la pgina 608.
3 4
Configurar una excepcin centralizada para un proceso detectado

Es posible crear una excepcin para un proceso que los anlisis de amenazas proactivos TruScan detecten. Cuando crea una excepcin para un proceso detectado, usted elige de una lista de detecciones. La consola de administracin llena la lista con las detecciones que el cliente registra en su red de seguridad. La lista de deteccin aparece vaca si los equipos cliente de su red an no han hecho ninguna deteccin. Es posible forzar anlisis de amenazas proactivos para detectar un proceso determinado. Cuando un anlisis de amenazas proactivo detecta el proceso y la consola de administracin recibe el evento, el proceso aparece en la lista de procesos detectados. Ver "Configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso" en la pgina 608.
608
Para configurar una excepcin centralizada para un proceso detectado
1 2 3 4 5 6
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo TruScan > Procesos detectados. Seleccione los procesos para los cuales desee crear una excepcin. En el cuadro desplegable Accin, seleccione Omitir, Finalizar, Cuarentena o Slo registrar. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso
Es posible configurar una excepcin para forzar anlisis de amenazas proactivos para detectar un proceso. Es posible que tenga que configurar este tipo de excepcin cuando los anlisis de amenazas proactivos no detectan un proceso determinado. Una vez que los anlisis se ejecutan y detectan el proceso especificado, es posible crear otra excepcin para manejar el proceso. Ver "Configurar una excepcin centralizada para un proceso detectado" en la pgina 607. Para configurar una excepcin para forzar a los anlisis de amenazas proactivos TruScan a detectar un proceso
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepciones de anlisis de amenazas proactivo TruScan > Proceso. En el cuadro de dilogo, escriba el nombre del proceso. Por ejemplo, es posible que tenga que escribir el nombre de un archivo ejecutable de la siguiente forma: foo.exe
4 5
Configurar polticas de excepciones centralizadas Configurar restricciones de clientes para las excepciones centralizadas
609
Configurar una excepcin centralizada para la proteccin contra intervenciones

Puede configurar las excepciones centralizadas para la proteccin contra intervenciones. Es necesario saber el nombre del archivo que se asocia a la aplicacin que desea permitir. Por ejemplo, la proteccin contra intervenciones puede bloquear una aplicacin de tecnologa de asistencia, tal como un programa de lectura de pantalla. Es necesario saber el nombre del archivo asociado a la aplicacin de tecnologa de asistencia. A continuacin, es posible crear una excepcin para permitir la ejecucin de la aplicacin. Para configurar una excepcin centralizada para la proteccin contra intervenciones
1 2 3
En la pgina Poltica de excepciones centralizada, haga clic en Excepciones centralizadas. Haga clic en Agregar > Excepcin de proteccin contra intervenciones. En el cuadro de dilogo Excepcin de proteccin contra intervenciones, en el cuadro desplegable Variable de prefijo, seleccione una ubicacin de archivo para restringir la excepcin. En el cuadro de texto Archivo, escriba el nombre del archivo. Incluya la informacin de la ruta del archivo.
5 6
Configurar restricciones de clientes para las excepciones centralizadas

Puede configurar restricciones para que los usuarios de los equipos cliente no puedan crear excepciones para los anlisis antivirus y contra software espa, o para los anlisis de amenazas proactivos TruScan. De forma predeterminada, los usuarios pueden configurar excepciones. Para los anlisis de amenazas proactivos, los usuarios tienen privilegios de configuracin limitados. Es posible hacer clic en Ayuda para obtener ms informacin sobre las opciones que se utilizan en el procedimiento. Nota: Los usuarios de los equipos cliente nunca pueden crear las excepciones para la proteccin contra intervenciones, sin importar la configuracin de la restriccin.
610
Configurar polticas de excepciones centralizadas Crear excepciones centralizadas de eventos de registro
Para configurar las restricciones de clientes para las excepciones centralizadas
1 2
En la pgina Poltica de excepciones centralizada, haga clic en Restricciones del cliente. Bajo Restricciones del cliente, marque o quite la marca de Excepciones de riesgos de seguridad y Excepciones de anlisis de amenazas proactivo TruScan. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Crear excepciones centralizadas de eventos de registro

Puede crear excepciones centralizadas de eventos de registro para los anlisis antivirus y contra software espa, o los anlisis de amenazas proactivos. No es posible crear excepciones de los eventos de registro para la proteccin contra intervenciones. Cuando se crean excepciones de eventos de registro, se agrega un riesgo, un archivo, una carpeta, una extensin o un proceso a la poltica de excepciones centralizada. Se especifica la poltica de excepciones centralizada cuando usted crea la excepcin. Ver "Acerca de los registros" en la pgina 205. Para crear excepciones centralizadas de eventos de registro
1 2
En la ficha Supervisin, haga clic en la ficha Registros. En la lista desplegable Tipo de registro, seleccione una de las siguientes opciones:

Riesgo Anlisis de amenazas proactivo TruScan Control de aplicaciones y dispositivos
Si seleccion Control de aplicaciones y dispositivos, seleccione Control de aplicaciones en la lista Contenido del registro.
611
4 5
Haga clic en Ver registro. Siga las instrucciones para agregar las excepciones centralizadas para el tipo de registro que seleccion. Ver "Agregar una excepcin centralizada para eventos de riesgo" en la pgina 611. Ver "Agregar una excepcin centralizada para eventos de anlisis de amenazas proactivos TruScan" en la pgina 612. Ver "Agregar una excepcin centralizada para eventos de Proteccin contra intervenciones" en la pgina 612.
Agregar una excepcin centralizada para eventos de riesgo

Es posible agregar una excepcin centralizada para eventos de riesgo. Para agregar una excepcin centralizada para eventos de riesgo
1 2
En la pgina Registros de riesgos, seleccione uno o ms eventos para los cuales desee agregar una excepcin centralizada. Al lado de Accin, seleccione una de las siguientes opciones:

Agregar riesgo a la poltica de excepciones centralizada Agregar archivo a la poltica de excepciones centralizada Agregar carpeta a la poltica de excepciones centralizada Agregar extensin a la poltica de excepciones centralizada
3 4
Haga clic en Iniciar. En el cuadro de dilogo, puede quitar cualquier riesgo, archivo, carpeta o extensin asociados al evento. Si quita elementos, no se los incluye en la excepcin. Si ningn elemento aparece en los riesgos, los archivos, las carpetas o las listas de extensiones, no es posible crear una excepcin.
5 6 7
Para los riesgos de seguridad, active Registrar la deteccin del riesgo de seguridad si desea que el software de cliente registre la deteccin. Seleccione todas las polticas de excepciones centralizadas que deban utilizar esta excepcin. Haga clic en Aceptar.
612
Agregar una excepcin centralizada para eventos de anlisis de amenazas proactivos TruScan
Es posible agregar una excepcin centralizada para eventos de anlisis de amenazas proactivos. Para agregar una excepcin centralizada para eventos de anlisis de amenazas proactivos TruScan
1 2 3 4
En la pgina Registros de anlisis de amenazas proactivos TruScan, seleccione uno o ms eventos para los cuales desee agregar una excepcin centralizada. Junto a Accin, seleccione Agregar proceso a la poltica de excepciones centralizada. Haga clic en Iniciar. En el cuadro de dilogo, en la lista desplegable Respuesta, seleccione la accin de deteccin para el proceso. Opcionalmente, es posible quitar cualquier proceso que usted no desee incluir en la excepcin.
5 6
Seleccione las polticas de excepciones centralizadas que debe incluir esta excepcin. Haga clic en Aceptar.
Agregar una excepcin centralizada para eventos de Proteccin contra intervenciones

Es posible agregar una excepcin centralizada para los eventos de Proteccin contra intervenciones. La funcin Proteccin contra intervenciones debe haber bloqueado ya la aplicacin que desea permitir. Despus de que Proteccin contra intervenciones bloquea la aplicacin, el equipo cliente registra el evento y lo enva al servidor de administracin. Es posible utilizar el evento del registro para crear la excepcin. Para agregar una excepcin centralizada para eventos de Proteccin contra intervenciones
En la pgina de registros de Control de aplicaciones y dispositivos, seleccione uno o ms eventos para los cuales usted desee agregar una excepcin centralizada. Por ejemplo, es posible que tenga que seleccionar uno o ms eventos que se aplican a las aplicaciones de tecnologa de asistencia que desea ejecutar.
Al lado de Accin, seleccione Agregar archivo a la poltica de excepciones centralizada.
613
3 4
Haga clic en Iniciar. Para quitar un archivo que usted no desee incluir en la excepcin, seleccione el archivo y haga clic en Quitar. Repita este paso para quitar ms archivos.
5 6
Seleccione las polticas de excepciones centralizadas que debe incluir esta excepcin. Haga clic en Aceptar.
614
Seccin
Configurar la integridad del host para el cumplimiento de polticas de puntos finales
Configuraciones de la integridad de host bsicas Adicin de requisitos personalizados
616
Captulo
40
Configuraciones de la integridad de host bsicas


Cmo funciona la aplicacin de integridad del host Acerca del trabajo con plticas de integridad del host Acerca de la planificacin de requisitos de integridad del host Adicin de requisitos de integridad del host Editar y eliminar un requisito de integridad del host Habilitar y deshabilitar los requisitos de integridad del host Modificar la secuencia de requisitos de integridad del host Adicin de un requisito de integridad del host desde una plantilla Acerca de la configuracin para las comprobaciones de integridad del host Acerca de la correccin de integridad del host Especificar la cantidad de tiempo que el cliente espera para la reparacin Permitir que los usuarios pospongan o cancelen la correccin de Integridad del host
Cmo funciona la aplicacin de integridad del host

Configure las polticas de integridad del host para asegurarse de que los equipos cliente que se conectan a una red de la empresa ejecuten las aplicaciones y los archivos de datos necesarios. El cliente que ejecuta una comprobacin de integridad
618
Configuraciones de la integridad de host bsicas Cmo funciona la aplicacin de integridad del host
del host implementa las configuraciones de las polticas de integridad del host que usted configura. El cliente aplica estas polticas tomando medidas por su cuenta, como descargar un parche o iniciar un programa. Es posible tambin utilizar Enforcer para hacer cumpli estas polticas. Enforcer es una aplicacin de software o un dispositivo opcional de hardware que media la conectividad del cliente con la red. La mayora de los ejemplos que figuran aqu muestran el uso de Enforcer. Durante la comprobacin de integridad del host, el cliente sigue los requisitos que se configuran en la poltica de integridad del host. Examina las claves del Registro, las aplicaciones activas, la fecha y el tamao de un archivo, y otros parmetros posibles para determinar la existencia del software necesario. El cliente genera automticamente una entrada en los registros de seguridad siempre que encuentre que el software obligatorio no est instalado en el equipo. Si la notificacin de usuario se habilita en el cliente, aparece un mensaje en el equipo del usuario. Si el software necesario no est instalado en el equipo, el cliente se puede configurar para conectarse silenciosamente a un servidor de reparacin. Desde all puede descargar e instalar el software necesario. El software puede incluir una revisin del software, una correccin, una actualizacin de definiciones de virus y ms. El cliente puede dar al usuario la opcin de descargar inmediatamente o de posponer una descarga. El equipo no puede conectarse a la red de la empresa hasta que se instale el software. El cliente puede adems detectar si una aplicacin antivirus est desactualizada o no. Si una aplicacin antivirus es ms antigua que lo que un administrador del sistema ha especificado, es posible evitar que el cliente se conecte a la red de la empresa. Antes de que pueda conectarse, el cliente necesita una versin actualizada de la aplicacin antivirus. La poltica de integridad del host incluye las configuraciones que determinan la frecuencia con que el cliente debe ejecutar una comprobacin de integridad del host en el equipo cliente. El equipo cliente puede conectarse a la red con Symantec Enforcer. Es posible configurar la poltica de integridad del host de modo que el cliente ejecute la comprobacin de integridad del host solamente cuando Enforcer se lo solicita al cliente. Enforcer puede verificar lo siguiente: el cliente se est ejecutando, la poltica del cliente est actualizada y la comprobacin de integridad del host es aprobada antes de que se permita el acceso a la red. Cada vez que un cliente recibe una nueva poltica de seguridad, ejecuta inmediatamente una comprobacin de integridad del host. El cliente se puede configurar para descargar e instalar automticamente la ltima poltica de seguridad. Se genera una entrada en el registro de seguridad si la actualizacin de polticas falla. Si la notificacin de usuario se habilita en el cliente, aparece un mensaje en el equipo del usuario.
Configuraciones de la integridad de host bsicas Cmo funciona la aplicacin de integridad del host
619
Es posible considerar algunos de los ejemplos siguientes cuando se configuran los requisitos para el cumplimiento de la integridad del host:

El cliente ejecuta el software antivirus actualizado. Se realiza la comprobacin de integridad del host solamente cuando el cliente intenta conectarse a la red mediante Enforcer. La comprobacin activa las acciones que ocurren silenciosamente en el cliente.
Enforcer realiza automticamente las siguientes acciones:

Verifica que un cliente se haya instalado en el equipo de un usuario. Solicita a un cliente descargar polticas de seguridad actualizadas, si estn disponibles.
Enforcer solicita al cliente ejecutar la comprobacin de integridad del host. El cliente primero verifica que el software antivirus ms reciente est instalado y lo ejecuta. Si se ha instalado pero no se est ejecutando, el cliente inicia silenciosamente la aplicacin antivirus. Si no est instalado, el cliente descarga el software desde la URL que se especifica en el requisito de integridad del host. Despus, el cliente instala e inicia el software. A continuacin, el cliente verifica que los archivos de firmas del antivirus sean actuales. Si los archivos del antivirus no son actuales, el cliente extrae e instala silenciosamente los archivos actualizados. El cliente ejecuta la comprobacin de integridad del host de nuevo y la aprueba.. Enforcer recibe los resultados y concede el acceso del cliente a la red de la empresa. En este ejemplo, deben cumplirse los siguientes requisitos:
El servidor de archivos que se utiliza para las actualizaciones de integridad del host tiene los ltimos archivos instalados. El cliente obtiene aplicaciones actualizadas del servidor de archivos. Es posible configurar uno o ms servidores de reparacin que se conecten a la red de la empresa. Desde los servidores de reparacin, los usuarios pueden copiar o descargar automticamente las revisiones y las correcciones necesarias para cualquier aplicacin obligatoria. Si un servidor de reparacin falla, la reparacin de integridad del host tambin fallar. Si el cliente intenta conectarse mediante Enforcer, ste bloquea el cliente si la integridad del host falla. La consola incluye una funcin para pasar la comprobacin de integridad del host aunque el anlisis falle. En este caso, Enforcer no bloquea el cliente. La informacin sobre la comprobacin de integridad del host con fallas se asienta en el registro de seguridad del cliente. El servidor de administracin debe configurarse para enviar las actualizaciones de la poltica de seguridad automticamente a cualquier equipo que ejecute el cliente.
620
Configuraciones de la integridad de host bsicas Acerca del trabajo con plticas de integridad del host
Si los parmetros que se definen para las polticas de integridad del host no son correctas, Enforcer impide que el cliente se conecte a la red. El siguiente mensaje aparece en el cliente:
Symantec Enforcer ha bloqueado todo el trfico del cliente. norma: {nombre del requisito} fall.
Si Enforcer bloquea al cliente, el cliente intenta recuperarse. Si la poltica de integridad del host se configura para actualizar los archivos antes de que permita que el cliente se conecte a la red de la empresa, se notifica al usuario que se debe proporcionar una actualizacin. Un indicador de progreso para la actualizacin sigue a la actualizacin. Si el usuario se desconecta de la red de la empresa, el proceso se inicia de nuevo.
Acerca del trabajo con plticas de integridad del host

Se crean y editan polticas de integridad del host de la misma forma en que se crean y modifican otros tipos de polticas. Puede asignar, quitar, reemplazar, copiar, exportar, importar o eliminar polticas de integridad del host. Se asigna tpicamente una poltica a los diferentes grupos de su red de seguridad. Es posible crear una poltica especfica de una ubicacin no compartida si tiene requisitos especficos para una ubicacin determinada. Para trabajar con polticas de integridad del host, debe estar familiarizado con los fundamentos de la configuracin de polticas. Ver "Acerca de la utilizacin de polticas" en la pgina 370.
Acerca de la poltica de cuarentena

La poltica de cuarentena es una poltica para el cliente de Symantec Network Access Control que ejecuta la comprobacin de integridad del host. Si los requisitos de la poltica de integridad del host no se cumplen, el cliente intenta la reparacin. Si la reparacin falla, el cliente pasa automticamente a una poltica de seguridad de cuarentena. Una poltica de cuarentena puede ser una poltica antivirus y contra software espa, plticas de firewall, poltica de prevencin de intrusiones, poltica de LiveUpdate o poltica de control de aplicaciones y dispositivos. Es posible configurar y asignar una Poltica de cuarentena a una ubicacin.
Configuraciones de la integridad de host bsicas Acerca de la planificacin de requisitos de integridad del host
621
Acerca de la planificacin de requisitos de integridad del host

Cuando se planifican los requisitos de integridad del host, es necesario considerar los puntos siguientes:
Qu software (aplicaciones, archivos, parches y as sucesivamente) desea exigir para la seguridad empresarial? Qu ocurre si un requisito no se cumple? Por ejemplo:
El cliente puede conectarse a un servidor y restaurar el software para que se cumpla el requisito. La comprobacin de la integridad del host puede aprobarse aunque no se cumpla el requisito. La comprobacin de la integridad del host puede no aprobarse y el acceso de red puede ser bloqueado. Un mensaje emergente puede indicar al usuario qu hacer despus.
Considere las siguientes reas ms detalladamente:
Qu aplicaciones antivirus, aplicaciones contra software espa, aplicaciones de firewall, parches o actualizaciones son obligatorios en el equipo de cada usuario cuando se conecta a la red? Se crea generalmente un requisito separado para cada tipo de software. Los requisitos predefinidos de integridad del host le permiten fcilmente configurar estos requisitos de uso comn. Es posible dar a usuarios el derecho de seleccionar qu aplicaciones de firewall, contra software espa o antivirus desean ejecutar en sus equipos. Los requisitos predefinidos le permiten especificar una aplicacin especfica o una lista entera de aplicaciones compatibles aceptables. Es posible crear un requisito personalizado que incluya las aplicaciones que son aceptables en su compaa. Cmo manejar la restauracin del equipo de un usuario para cumplir los requisitos? Normalmente, es necesario configurar un servidor de reparacin con el software obligatorio. Cuando se configura el requisito, es necesario especificar la URL desde la cual el cliente puede descargar e instalar el software obligatorio. Algunos parches necesitan que el usuario reinicie el equipo. Las actualizaciones se terminan en un orden especfico para aplicar todas las actualizaciones antes de que un usuario tenga que reiniciar. Como parte de la poltica de integridad del host, es posible configurar el orden en el cual se activan los requisitos y se intenta la reparacin.
622
Configuraciones de la integridad de host bsicas Acerca de la planificacin de requisitos de integridad del host
Se debe, adems, considerar qu ocurre si un requisito falla y no puede ser restaurado. Para cada requisito, tiene la opcin de permitir que la comprobacin de integridad del host se apruebe aunque ese requisito no lo haga. Como parte de la poltica de integridad del host general, adems puede configurar mensajes emergentes. El cliente muestra estos mensajes emergentes al usuario si la comprobacin de integridad del host falla o si se aprueba despus de un fallo anterior. Quizs desee planificar instrucciones adicionales para el usuario en estos mensajes emergentes. Adems, es posible configurar una poltica de cuarentena que deba activarse si la integridad del host falla. Es posible simplificar la administracin de aplicaciones obligatorias si incluye aplicaciones similares en un requisito personalizado. Por ejemplo, es posible incluir navegadores de Internet, como Internet Explorer y Netscape Navigator, en un requisito. Como parte de un requisito personalizado, puede especificar si desea permitir que la comprobacin de integridad del host se apruebe si el requisito falla. Cuando usted planifique cuntas condiciones se deben comprobar en un script, recuerde que esta configuracin se aplica al script del requisito personalizado en conjunto. Este aspecto de la configuracin puede afectar si desea crear varios requisitos personalizados pequeos o uno ms largo que incluya varios pasos.
Es posible que encuentre til configurar una hoja de clculo que represente los requisitos de cumplimiento de integridad del host de su empresa.
Acerca de los requisitos de integridad del host

La poltica de integridad del host incluye los siguientes tipos de requisito:
Los requisitos predefinidos cubren los tipos ms comunes de comprobaciones de integridad del host y permiten elegir entre los siguientes tipos:

Requisito de antivirus Requisito de proteccin contra software espa Requisito de firewall Requisito de parche Requisito de Service Pack
Requisitos personalizados, que se definen usando el editor de requisitos personalizados. Ver "Escribir un script de requisito personalizado" en la pgina 648. Plantillas de requisitos de integridad del host, que se actualizan como parte del servicio de suscripcin en lnea de Symantec Enterprise Protection.
Configuraciones de la integridad de host bsicas Adicin de requisitos de integridad del host
623
Ver "Adicin de un requisito de integridad del host desde una plantilla" en la pgina 626. Cuando se agrega un nuevo requisito, es posible seleccionar uno de los tipos de requisitos predefinidos. Se muestra un cuadro de dilogo con el grupo de opciones predefinidas que usted puede configurar. Si la configuracin predefinida no cumple sus necesidades, es posible crear un requisito personalizado.
Adicin de requisitos de integridad del host

Una poltica de integridad del host configura los requisitos para los firewalls, antivirus, software espa, parches, Service Packs u otras aplicaciones obligatorias en los equipos cliente. Cada poltica de integridad del host incluye requisitos y una configuracin general. Los requisitos especifican los puntos siguientes:

Qu condiciones se deben comprobar. Qu acciones (como descargas e instalaciones) el cliente admite como respuesta a la condicin.
Cuando se especifican requisitos de integridad del host, es posible elegir entre los siguientes tipos: requisitos predefinidos, personalizados o de la plantilla. Los requisitos de la plantilla estn disponibles mediante el servicio de LiveUpdate de polticas de integridad del host. Es posible copiar y pegar, y exportar e importar requisitos entre polticas. La configuracin general le permite configurar cundo y cuntas veces el cliente ejecuta una comprobacin de integridad del host, opciones de correccin y notificaciones. Es posible crear una nueva poltica de integridad de host compartido o no compartido. Una vez que cree una nueva poltica, es posible agregar un requisito predefinido, un requisito personalizado o ambos. Para agregar un requisito de integridad del host
En la consola, abra una poltica de integridad del host. Ver "Acerca de editar polticas" en la pgina 376.
En la pgina Poltica de integridad del host, haga clic en Requisitos.
624
Configuraciones de la integridad de host bsicas Adicin de requisitos de integridad del host
En la pgina Requisitos, seleccione cundo las comprobaciones de integridad del host deben ejecutarse en el cliente entre una de las siguientes opciones:
Comprobar siempre la integridad del host Esta opcin es la predeterminada. Siempre se realiza una comprobacin de integridad del host en esta ubicacin en el intervalo de frecuencia que usted especifica. Se realiza una comprobacin de integridad del host en esta ubicacin solamente cuando el cliente se autentica mediante Gateway Enforcer o DHCP Enforcer. Se realiza una comprobacin de integridad del host en esta ubicacin solamente cuando el cliente est conectado a un servidor de administracin.
Comprobar la integridad del host slo a travs del Enforcer de DHCP o Gateway
Comprobar la integridad del host slo cuando est conectado al servidor de administracin
No comprobar nunca la integridad del Nunca se realiza una comprobacin de host integridad del host en esta ubicacin.
4 5
Haga clic en Agregar. En el cuadro de dilogo Agregar requisito, seleccione uno de los siguientes tipos de requisito:

Requisito de antivirus Requisito de proteccin contra software espa Requisito de firewall Requisito de parche Requisito de Service Pack Requisito personalizado
6 7
Haga clic en Aceptar. Configure las opciones para el requisito. Ver "Acerca de los requisitos de integridad del host" en la pgina 622.
En la pgina Configuracin avanzada, configure las opciones para la comprobacin, la correccin y las notificaciones de integridad del host. Para obtener ms informacin, haga clic en Ayuda. Ver "Acerca de la configuracin para las comprobaciones de integridad del host" en la pgina 627.
Configuraciones de la integridad de host bsicas Editar y eliminar un requisito de integridad del host
625
10 Asigne la poltica a grupos o ubicaciones.

Editar y eliminar un requisito de integridad del host

La ficha Requisitos del cuadro de dilogo Configuracin de la integridad del host contiene una tabla. Es posible utilizar esta tabla para agregar nuevos requisitos, o editar o eliminar requisitos existentes de una poltica de integridad del host. Es posible hacer doble clic en un requisito en la tabla Requisitos para abrirlo y editarlo. Es posible hacer clic con el botn secundario en la tabla Requisitos a fin de agregar, editar, eliminar, mover, importar, exportar, copiar o pegar requisitos. Es conveniente exportar una poltica a un archivo .dat antes de editar. Si la versin editada de la poltica no funciona correctamente, es posible restaurar su configuracin original importando el archivo .dat. Debe probar una nueva poltica o una poltica editada en un entorno seguro. Para editar y eliminar un requisito de integridad del host
2 3
En la pgina de integridad del host, haga clic en Requisitos. En la pgina Requisitos, seleccione un requisito y, a continuacin, realice una de las siguientes opciones:

Para editar un requisito seleccionado, haga clic en Editar. Para eliminar permanentemente un requisito seleccionado, haga clic en Eliminar y, despus, en S.
Habilitar y deshabilitar los requisitos de integridad del host

Cuando se crean requisitos para una poltica de integridad del host, es posible crear requisitos para uso futuro. Se debe deshabilitarlos para utilizarlos cuando sea necesario. Es posible deshabilitar un requisito temporalmente al probar una poltica de integridad del host.
626
Configuraciones de la integridad de host bsicas Modificar la secuencia de requisitos de integridad del host
Para habilitar y deshabilitar los requisitos de integridad del host
2 3
En la pgina Poltica de integridad del host, haga clic en Requisitos. En la pgina Requisitos, seleccione un requisito y, a continuacin, realice una de las siguientes las tareas:
Para habilitar un requisito, desactive la casilla de verificacin Habilitar para el requisito seleccionado. Para deshabilitar un requisito, active la casilla de verificacin Habilitar para el requisito seleccionado.
Modificar la secuencia de requisitos de integridad del host

Es posible modificar la posicin de los requisitos. Cuando modifica la posicin, usted determina en qu orden se ejecutan. La posicin puede ser importante cuando usted descarga software que necesite un reinicio despus de la instalacin. Configure el orden para asegurarse de que los requisitos que necesitan un reinicio para la reparacin se realicen en ltimo lugar. Para modificar la secuencia de requisitos de integridad del host
2 3 4
En la pgina de integridad del host, haga clic en Requisitos. En la pgina Requisitos, seleccione el requisito que desee mover y haga clic en Subir o Bajar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Adicin de un requisito de integridad del host desde una plantilla

El servicio de suscripcin en lnea proporciona plantillas de integridad del host. Es posible importar las ltimas plantillas y utilizarlas al desarrollar requisitos personalizados para una poltica de integridad del host. Es posible seleccionar la
Configuraciones de la integridad de host bsicas Acerca de la configuracin para las comprobaciones de integridad del host
627
cantidad de requisitos que desee. Puede seleccionar el requisito y usarlo como est o modificarlo segn sea necesario para su entorno. Si su suscripcin ha caducado, los requisitos importados previamente an pueden ser utilizados. Sin embargo, las ltimas actualizaciones ya no estn disponibles para importar. Si importa un requisito por segunda vez y existe un requisito con el mismo nombre, el requisito importado no sobrescribe el requisito existente. En cambio, el requisito importado se muestra con el nmero 2 al lado de su nombre en la tabla Requisitos. Para agregar un requisito de integridad del host desde una plantilla
2 3 4 5 6 7
En la pgina de integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Plantilla. En el cuadro de dilogo Actualizacin en lnea de la integridad del host, expanda Plantillas y seleccione una categora de plantilla. Al lado de cada plantilla que desee agregar, haga clic en Agregar. Haga clic en Importar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Acerca de la configuracin para las comprobaciones de integridad del host

Cuando se configuran polticas de integridad del host, es posible seleccionar entre varias opciones. Estas opciones se relacionan con la forma en que se realiza la comprobacin de integridad del host y cmo se manejan los resultados. Si modifica una poltica de integridad del host, sta se descarga al cliente en el siguiente latido. El cliente entonces ejecuta una comprobacin de integridad del host. Si el usuario cambia a una ubicacin con una poltica de integridad del host diferente mientras una comprobacin de integridad del host est en curso, el cliente detiene el anlisis. Se detienen tambin los intentos de reparacin, si los requiere la poltica. El usuario puede recibir un mensaje de tiempo de espera agotado si no hay una conexin de servidor de reparacin disponible en la nueva ubicacin. Cuando el anlisis se completa, el cliente rechaza los resultados. A continuacin, el cliente ejecuta inmediatamente una nueva comprobacin de integridad del host basada en la nueva poltica para la ubicacin.
628
Si la poltica es igual en la nueva ubicacin, el cliente mantiene cualquier configuracin del temporizador de integridad del host. El cliente ejecuta una nueva comprobacin de integridad del host solamente cuando lo requieren las opciones de la poltica. Tabla 40-1 muestra la configuracin para las comprobaciones de integridad del host. Tabla 40-1 Configuracin
Comprobar la integridad del host cada:
Configuracin de las comprobaciones de integridad del host Descripcin

Especifica la frecuencia de las comprobaciones de integridad del host. Configura la duracin para conservar los resultados de integridad del host. Es posible configurar la cantidad de tiempo que un cliente conserva el resultado de una comprobacin de integridad del host anterior. El cliente guarda el resultado incluso si el usuario toma medidas que normalmente daran lugar a una nueva comprobacin de integridad del host. Por ejemplo, el usuario puede descargar nuevo software o modificar una ubicacin.
Continuar comprobando los resultados durante
Continuar la comprobacin de requisitos Especifica que el cliente contine comprobando despus de un error los requisitos incluso si un requisito falla. El cliente detiene la comprobacin de integridad del host hasta que se restaure el requisito fallado. El cliente comprueba los requisitos de integridad del host en el orden que se especifica en la poltica de integridad del host. Si habilita esta opcin, la comprobacin de integridad del host falla, pero es posible intentar otras acciones de reparacin, si es necesario. Es posible permitir que la comprobacin de integridad del host se apruebe incluso si un requisito falla. Esta opcin se encuentra en el cuadro de dilogo Requisitos para cada tipo de requisito. Se aplica la opcin por separado para cada requisito.
629
Configurar el registro y las notificaciones para una comprobacin de integridad del host
Cuando el cliente ejecuta una comprobacin de integridad del host, registra el resultado de cada comprobacin de requisitos y muestra los resultados en el registro de seguridad del cliente. Aunque se necesite esta informacin al solucionar problemas, se recomienda que los usuarios no tengan acceso a la informacin detallada del registro. Por ejemplo, puede ocultar las claves de registro y la informacin del nombre de archivo. Se enumera cualquier requisito de integridad del host aprobado o con errores. Los detalles se incluyen en el registro y se pueden ver desde la ficha Supervisin del servidor de administracin. Es posible tambin configurar notificaciones para que aparezcan en el cliente cuando ocurren las condiciones siguientes:

Una comprobacin de integridad del host falla. Se aprueba una comprobacin de integridad del host despus de haber fallado. Por ejemplo, si la comprobacin de integridad del host falla y el cliente restaura el software necesario de forma que se apruebe la comprobacin de integridad del host, el siguiente mensaje puede aparecer cuando se aprueba el anlisis:
Comprobacin de integridad del host aprobada.
Otras notificaciones pueden aparecer en el equipo cliente en las situaciones siguientes:
Si permite que el usuario cancele la reparacin para un requisito, una notificacin dar al usuario la opcin de realizar la descarga de software inmediatamente o posponer la reparacin. Si se est ejecutando un mdulo de Enforcer y la comprobacin de integridad del host falla, es posible especificar si el cliente muestra una notificacin que indica al usuario que Enforcer ha bloqueado el acceso de red. Para habilitar o deshabilitar esta notificacin para el cliente y agregar texto, haga clic en la pgina Polticas, seleccione el grupo en el panel Ver polticas, haga clic en Configuracin general y a continuacin en Configuracin de seguridad.
Ver "Permitir que los usuarios pospongan o cancelen la correccin de Integridad del host" en la pgina 633. Para configurar el registro y las notificaciones de una comprobacin de integridad del host
En la pgina de integridad del host, haga clic en Configuracin avanzada.
630
En la pgina Configuracin avanzada, bajo Notificaciones, haga clic en cualquiera de las siguientes opciones:
Para visualizar la informacin detallada en el cliente, haga clic en Mostrar un registro detallado de la integridad del host. Mostrar un mensaje de notificacin cuando se produzca un error en la comprobacin de la integridad del host. Mostrarunmensajedenotificacincuandoseapruebeunacomprobacin de la integridad del host despus de haber presentado un error.
4 5
Para agregar un mensaje personalizado, haga clic en Establecer texto adicional y escriba hasta 512 caracteres de texto adicional. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Permitir que se apruebe la comprobacin de integridad del host si un requisito falla

Adems de habilitar o deshabilitar un requisito en su poltica de integridad del host para determinar si el cliente ejecuta el script de requisito, es posible hacer que el cliente ejecute el script de requisito y registre los resultados, pero ignore los resultados. Es posible permitir que se apruebe la comprobacin de integridad del host independientemente de si el requisito falla. Un requisito puede aprobarse incluso si no se cumple la condicin del requisito. La opcin Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla se habilita en el cuadro de dilogo para un requisito especfico. Si desea aplicar esta opcin a todos los requisitos, debe habilitar la opcin en cada requisito por separado. Esta opcin est deshabilitada de forma predeterminada. Si habilita la opcin para permitir que la comprobacin de integridad del host se apruebe incluso si el requisito falla, aparecer el siguiente mensaje en la ventana del cliente cuando ocurra el evento:
La integridad del host no se aprob, pero se registr como APROBADA
Para permitir que se apruebe la comprobacin de integridad del host si un requisito falla
2 3
En la pgina de integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido o un requisito personalizado y haga clic en Aceptar.
Configuraciones de la integridad de host bsicas Acerca de la correccin de integridad del host
631
4 5 6
En el cuadro de dilogo para el requisito, marque Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla. Haga clic en Aceptar. Cuando haya terminado la configuracin de esta poltica, haga clic en Aceptar.
Acerca de la correccin de integridad del host

Si la comprobacin de integridad del host del cliente muestra que los requisitos de integridad del host no se cumplen, el cliente puede intentar restaurar los archivos. El equipo cliente necesita pasar la comprobacin de integridad del host. El cliente descarga e instala archivos, o inicia las aplicaciones necesarias. Cuando se configuran polticas de integridad del host, es posible especificar qu sucede durante el proceso de reparacin. Es posible especificar no slo desde dnde descargar el cliente los archivos de reparacin, sino tambin cmo se ejecuta el proceso de reparacin. Es posible permitir que el usuario cancele una descarga de correccin. Es posible tambin configurar el nmero de veces que el usuario puede posponer una descarga y durante cunto tiempo. La configuracin se aplica a todos los tipos de requisitos de la poltica excepto aquellos en los cuales se ha deshabilitado la cancelacin de la correccin. Los usuarios pueden cancelar solamente requisitos predefinidos. De forma predeterminada, la correccin de integridad del host se ejecuta independientemente de que el usuario haya iniciado sesin. Esto permite que el equipo cliente se corrija con las actualizaciones del sistema operativo o el software de seguridad necesario en cualquier momento. Sin embargo, cuando la correccin ejecuta un programa local o descargado, los usuarios pueden abrir y ejecutar el programa antes de que hayan iniciado sesin. Por ejemplo, un paquete de instalacin podra iniciar Internet Explorer, desde el cual los usuarios pueden ejecutar la lnea de comandos u otro programa. Es posible solucionar este problema cuando se escribe un requisito personalizado que utilice la funcin Ejecutar un programa. No es posible solucionar este problema para los requisitos predefinidos. Ver "Ejecutar un programa" en la pgina 654.
Acerca de la restauracin de aplicaciones y archivos para integridad del host

Cuando se configura la reparacin para un requisito, se especifica la ubicacin de un paquete de instalacin o de los archivos que se descargarn e instalarn. Cuando se especifica la ubicacin del paquete de instalacin o del archivo que se descargar, es posible utilizar cualquiera de los siguientes formatos:
632
Configuraciones de la integridad de host bsicas Acerca de la correccin de integridad del host
UNC
\\nombredeservidor\nombrecompartido\nombredir\nombredearchivo La restauracin de UNC no funciona si la opcin Bsqueda de entorno de red est deshabilitada en el cliente de destino. Asegrese de que Bsqueda de entorno de red no fue deshabilitada si usted utiliza rutas UNC para la reparacin.
FTP HTTP
FTP://ftp.nuestroftp.nuestraempresa.com/carpeta/nombredearchivo HTTP://www.nuestrawww.nuestraempresa.com/carpeta/nombredearchivo
Los paquetes de instalacin o los archivos se descargan siempre al directorio temporal. Cualquier ruta relativa se refiere a este directorio. El directorio temporal se define en la variable de entorno TMP si existe, o en la variable de entorno TEMP, si existe. El directorio predeterminado est en el directorio de Windows. Para la ejecucin del archivo, el directorio de trabajo actual se establece siempre como el directorio temporal de Windows. Las variables de entorno se sustituyen antes de la ejecucin. La ruta de directorio de Windows sustituye el comando %windir%. Es posible utilizar %1 (la opcin predeterminada) para ejecutar el archivo que usted especific en el campo URL de descarga. La variable %1 representa el ltimo archivo descargado. Despus de la descarga, la instalacin o la ejecucin de un comando para restaurar un requisito, el cliente siempre reexamina el requisito. Adems, el cliente registra los resultados como aprobado o error.
Reparacin de integridad del host y configuracin de Enforcer

Cuando se configuran los requisitos de integridad del host, es posible especificar que, si no se cumplen los requisitos, el cliente debe actualizar el sistema del cliente con los elementos necesarios conectndose a un servidor de reparacin. Si aplica tales requisitos a los clientes que se conectan a la red mediante Enforcer, usted debe asegurarse de que el cliente, mientras est bloqueado su acceso de red regular, pueda acceder al servidor de reparacin. Si no, el cliente no podr restaurar la integridad del host y continuar sin aprobar el requisito de integridad del host. La forma en que se realiza esta tarea depende del tipo de Enforcer. La siguiente lista ofrece algunos ejemplos:
Para Gateway Enforcer, es posible configurar el mdulo de Gateway Enforcer para que reconozca el servidor de reparacin como una direccin IP interna de confianza. Para DHCP Enforcer, se establece la configuracin de red de cuarentena en el servidor DHCP para que permita el acceso al servidor de reparacin.
Configuraciones de la integridad de host bsicas Especificar la cantidad de tiempo que el cliente espera para la reparacin
633
Para LAN Enforcer, si se usa un conmutador con funcionalidad de VLAN dinmica, es posible configurar una VLAN con acceso al servidor de reparacin.
Especificar la cantidad de tiempo que el cliente espera para la reparacin

Es posible especificar la cantidad de tiempo que el cliente debe esperar antes de intentar instalar e iniciar la descarga de la reparacin de nuevo. Independientemente del tiempo que se especifica, siempre que se inicia una nueva comprobacin de integridad del host, el cliente intenta reparar el equipo cliente de nuevo. Para especificar la cantidad de tiempo que el cliente espera para la reparacin
2 3 4 5
En la pgina Poltica de integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido y despus haga clic en Aceptar. En el cuadro de dilogo de cada requisito predefinido, marque Instala nombre del requisito si no se instal en el cliente. Marque Descargar paquete de instalacin. Para el requisito Antivirus, marque Descargar el paquete de instalacin.
6 7 8
Marque Especificar el tiempo de espera para volver a intentar la descarga si hay errores. Especifique el tiempo de espera en minutos, horas o das. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Permitir que los usuarios pospongan o cancelen la correccin de Integridad del host
Si un requisito especifica una accin de reparacin, es posible permitir que el usuario cancele la reparacin. Tambin es posible permitir que el usuario posponga la reparacin hasta un momento ms conveniente. Entre los ejemplos de acciones de reparacin se incluyen la instalacin de una aplicacin o una actualizacin de un archivo de firmas. Es posible establecer un lmite de cuntas veces puede cancelarse una reparacin y durante cunto tiempo el usuario puede posponerla. Los lmites establecidos determinan las selecciones disponibles para el usuario
634
Configuraciones de la integridad de host bsicas Permitir que los usuarios pospongan o cancelen la correccin de Integridad del host
en la ventana emergente que el cliente ve cuando es necesaria una reparacin. Es posible tambin agregar el texto a la ventana emergente. Las opciones de tiempo mnimo y mximo determinan el intervalo de opciones disponibles en la ventana emergente. La ventana emergente se muestra al usuario cuando un requisito falla. El intervalo aparece como una lista al lado del icono Recordrmelo ms tarde en el mensaje emergente. Si el usuario selecciona un perodo para posponer ms breve que la frecuencia de comprobacin de integridad del host, se anula la seleccin del usuario. La ventana emergente no aparece de nuevo hasta que el cliente ejecute otra comprobacin de integridad del host. Si el usuario ha optado por recibir un recordatorio en 5 minutos, pero la comprobacin de integridad del host se ejecuta cada 30 minutos, la ventana emergente de la reparacin no aparece hasta que hayan pasado 30 minutos. Para que sea menos confuso para el usuario, es posible sincronizar la opcin de tiempo mnima con la opcin de la frecuencia de comprobacin de integridad del host. Si el usuario pospone la reparacin, el cliente registra el evento. El requisito no se cumple, y la integridad del host se mostrar como no aprobada. El usuario puede ejecutar manualmente una nueva comprobacin de integridad del host en cualquier momento desde la interfaz de usuario del cliente. Si el usuario ha pospuesto una accin de reparacin y, en el intervalo, el cliente recibe una poltica actualizada, la cantidad de tiempo disponible para la reparacin se reajusta al mximo especificado. Para permitir que los usuarios pospongan una reparacin de integridad del host
2 3
En la pgina de polticas de integridad del host, haga clic en Configuracin avanzada. En la pgina Configuracin avanzada, bajo Opciones del cuadro de dilogo de correccin, establezca un lmite de tiempo mnimo y el lmite de tiempo mximo por el cual un usuario puede posponer la reparacin. Escriba el nmero mximo de veces que el usuario puede cancelar la reparacin. Para agregar un mensaje personalizado en el equipo cliente, haga clic en Establecer texto adicional. El mensaje que usted escribe se muestra en la ventana emergente de reparacin del cliente si el usuario hace clic en la opcin Detalles. Si no especifica ningn texto adicional, el texto predeterminado de la ventana emergente se repite en el rea Detalles si el usuario hace clic en Detalles.
4 5
635
6 7
En el cuadro de dilogo Introducir texto adicional, escriba un mensaje personalizado de 512 caracteres cmo mximo y haga clic en Aceptar. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
Para permitir que los usuarios cancelen una reparacin de integridad del host
2 3 4 5
En la pgina Poltica de integridad del host, haga clic en Requisitos. En la pgina Requisitos, haga clic en Agregar, agregue un requisito predefinido y despus haga clic en Aceptar. En el cuadro de dilogo de cada requisito predefinido, marque Instalar nombre del requisito si no se instal en el cliente. Marque Descargar paquete de instalacin. Para el requisito Antivirus, marque Descargar el paquete de instalacin.
6 7
Marque Permitir al usuario cancelar la descarga para la correccin de la integridad del host. Cuando haya terminado la configuracin de la poltica, haga clic en Aceptar.
636
Captulo
41
Adicin de requisitos personalizados


Acerca de los requisitos personalizados Acerca de las condiciones Acerca de las funciones Acerca de la lgica de los requisitos personalizados Escribir un script de requisito personalizado Mostrar un cuadro de dilogo de mensaje Descargar un archivo Generar un mensaje de registro Ejecutar un programa Ejecutar un script Configurar la marca de hora de un archivo Especificar un tiempo de espera para el script
Acerca de los requisitos personalizados

Los requisitos personalizados buscan en un equipo cliente cualquier nmero de criterios definidos o seleccionados por el administrador. Es posible escribir requisitos personalizados para reparar cualquier problema de conformidad identificado.
638
Adicin de requisitos personalizados Acerca de las condiciones
Es posible crear un script de requisito complejo o simple usando selecciones y campos predefinidos. Los campos y las listas disponibles en los cuadros de dilogo predefinidos del requisito estn disponibles cuando se crean requisitos personalizados. Sin embargo, los requisitos personalizados ofrecen ms flexibilidad. En requisitos personalizados, es posible agregar aplicaciones que no se incluyen en las listas predefinidas de aplicaciones. Es posible crear subconjuntos de las listas predefinidas agregando cada aplicacin individualmente.
Acerca de las condiciones

Las condiciones son las comprobaciones que se pueden realizar dentro de un script de requisito personalizado para detectar problemas de cumplimiento. Es posible elegir una de las siguientes categoras de condiciones:

Comprobaciones de antivirus Comprobaciones contra software espa Comprobaciones de firewall Comprobaciones y operacin de archivos Comprobaciones y operaciones del registro Utilidades
Es posible especificar que las condiciones estn presentes o ausentes (NOT). Es posible incluir varias instrucciones de condicin usando AND u OR.
Acerca de las condiciones del antivirus

Para un requisito personalizado, es posible especificar aplicaciones antivirus e informacin del archivo de firmas que se comprobar como parte de su instruccin condicional IF-THEN. Es posible comprobar las siguientes condiciones:

Antivirus instalado Antivirus en funcionamiento La firma de antivirus est actualizada
Al comprobar aplicaciones y archivos de firmas como parte de un requisito personalizado, usted especifica la misma informacin que cuando crea un requisito predefinido. Los nombres de las opciones pueden ser levemente distintos.
639
Si selecciona la opcin de cualquier producto antivirus, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Es posible incluir un subconjunto de aplicaciones seleccionando cada una y usando la palabra clave O. Cuando se especifica informacin del archivo de firmas, es posible elegir una o ambas opciones para comprobar que el archivo de firmas est actualizado. Si selecciona ambas, las siguientes condiciones se deben satisfacer para cumplir el requisito:
Seleccione Comprobar si el archivo de firmas es menor que, y escriba un nmero de das. Un archivo con fecha anterior al nmero de das especificado est desactualizado. Seleccione Comprobar si la fecha del archivo de firmas es, y seleccione: antes de, despus de, igual a, o no es igual a, y especifique una fecha (mm/dd/aaaa). Opcionalmente, especifique una hora y minutos; la configuracin predeterminada es 00:00. La fecha de la ltima modificacin del archivo determina la antigedad del archivo de firmas.
Acerca de las condiciones de software espa

Para un requisito personalizado de integridad del host, es posible especificar aplicaciones de proteccin contra software espa e informacin del archivo de firmas que se comprobar como parte de su instruccin condicional IF-THEN. Es posible comprobar las siguientes condiciones:

Software de proteccin contra software espa instalado Software de proteccin contra software espa en funcionamiento La firma de proteccin contra software espa est actualizada
Al comprobar aplicaciones y archivos de firmas como parte de un requisito personalizado, usted puede especificar la misma informacin que cuando crea un requisito predefinido. Los nombres de las opciones pueden ser levemente distintos. Si selecciona la opcin de cualquier producto contra software espa, cualquiera de las aplicaciones de la lista desplegable cumple con el requisito. Cuando se especifica informacin del archivo de firmas, es posible elegir una o ambas opciones para comprobar que el archivo de firmas est actualizado. Si selecciona ambas opciones, deben darse las condiciones siguientes para cumplir el requisito:
Seleccione Comprobar si el archivo de firmas es menor que, y escriba un nmero de das. Un archivo con fecha anterior al nmero de das especificado est desactualizado.
640
Seleccione Comprobar si la fecha del archivo de firmas es, y seleccione: antes de, despus de, igual a, o no es igual a, y especifique una fecha (mm/dd/aaaa). Opcionalmente, especifique una hora y minutos; la configuracin predeterminada es 00:00. La fecha de la ltima modificacin del archivo determina la antigedad del archivo de firmas.
Acerca de condiciones del firewall

Para un requisito personalizado de integridad del host, es posible especificar aplicaciones de firewall que se comprobarn como parte de su instruccin condicional IF-THEN. Es posible comprobar las siguientes condiciones:

Firewall instalado Firewall en funcionamiento
Si desea seleccionar aplicaciones de la lista desplegable, es posible seleccionar la opcin de cualquier producto de firewall. Es posible incluir un subconjunto de aplicaciones seleccionando cada una y usando la palabra clave O.
Acerca de las condiciones de archivo

Para un requisito personalizado de integridad del host, es posible comprobar una aplicacin o un archivo como parte de su instruccin condicional IF-THEN. Es posible especificar las siguientes opciones para comprobar la informacin de archivo en un requisito personalizado de integridad del host:
Archivo: Comparar la antigedad del archivo Especifique un nmero de das o semanas con y seleccione: mayor que o menor que. Archivo: Comparar la fecha del archivo con Especifique una fecha en el formato mm/dd/aaaa. Opcionalmente, especifique una hora y minutos. La hora predeterminada es 00:00. Es posible seleccionar: igual a, no es igual a, antes o despus.
Archivo: Comparar el tamao del archivo con Especifique el nmero de bytes. Es posible seleccionar: igual a, no es igual, menor que o mayor que.
641
Archivo: Comparar la versin del archivo con Especifique una versin del archivo en el formato x.x.x.x donde x representa un nmero decimal a partir de 0 a 65535. Es posible seleccionar: igual a, no es igual, menor que o mayor que. Archivo: El archivo existe Especifique el nombre del archivo que se comprobar. Normalmente esta informacin se obtiene seleccionando una aplicacin mediante Buscar aplicaciones.
Archivo: La huella del archivo es igual a
Especificar un nmero hexadecimal (hasta 32 Cuando se selecciona una opcin, los dgitos) campos adicionales aparecen en el cuadro de dilogo. Para cada opcin, usted especifica el nombre de archivo y la ruta, y escribe la informacin adicional necesaria. Archivo: Finaliz la descarga del archivo Es posible descargar un archivo desde una ubicacin que usted especifique a un directorio que especifique. Si se requiere autenticacin para acceder a una ubicacin de archivo mediante HTTP, es posible especificar el nombre de usuario y la contrasea.
Es posible utilizar variables de sistema, valores del registro o una combinacin de ambos para especificar el nombre del archivo y la ruta. Cuando se selecciona una de las opciones de archivo, el cuadro de dilogo muestra ejemplos de maneras de escribir el nombre de archivo y la ruta. Es posible ubicar las aplicaciones que han sido registradas usando la funcin Buscar aplicaciones. Cuando se especifican opciones de archivo en el script de requisitos personalizados, la opcin Buscar aplicaciones proporciona acceso a la misma herramienta de bsqueda que la herramienta Buscar aplicaciones. Es posible buscar los grupos definidos en el servidor de administracin para filtrar las aplicaciones, escribir una consulta de bsqueda y exportar los resultados a un archivo. Para buscar usando variables de entorno del sistema o valores de registro:
642
Para utilizar la variable de entorno del sistema
Para especificar el archivo denominado cmd.exe situado bajo el directorio que se especifica en la variable de entorno WINDIR, escriba el siguiente comando: %WINDIR%\cmd.exe
Para utilizar el valor del registro
Para leer el valor H K E Y _ L O C A L _ M A C H I N E \ S o f t w a r e \ S y m a n t e c \ \ A p p P a t h como la ruta del archivo sem.exe, escriba el siguiente comando: #HKEY_LOCAL_MACHINE\ Software\Symantec\AppPath#\ sem.exe
Para utilizar la variable combinada del registro y el Utilice el siguiente ejemplo para entorno del sistema utilizar la variable combinada del valor del registro y el entorno del sistema: %SYSTEMDIR%\ #HKEY_LOCAL_MACHINE\ Software\Symantec\AppPath#.
Acerca de las condiciones del sistema operativo

Para un requisito personalizado de integridad del host, es posible especificar informacin del sistema operativo que se comprobar como parte de su instruccin condicional IF-THEN. Cuando se selecciona una opcin, los campos adicionales aparecen en el cuadro de dilogo.
Utilidad: El sistema operativo es Especifique un sistema operativo. Cuando desee actualizar un parche, deber seleccionar las versiones exactas que necesitan ese parche. Es posible utilizar la palabra clave O para especificar ms de un sistema operativo. La funcin detecta la versin de idioma del sistema operativo del cliente. Si la versin de idioma no est incluida en el cuadro de dilogo Requisito personalizado, es posible agregar idiomas escribiendo sus identificadores en el campo Identificadores de idioma. Para agregar varios identificadores, utilice una coma para separar cada ID, tal como 0405,0813. Consulte la tabla de Identificadores de idioma para conocer la lista de identificadores.
Utilidad: El idioma del sistema operativo es
643
Parche: Comparar Service Pack actual Escriba el nmero del Service Pack que desea con la versin especificada comprobar, por ejemplo 1a. El nmero se limita a dos caracteres. Es posible comprobar las siguientes condiciones: igual a, no es igual a, menor que o mayor que. Un nmero seguido por una letra se considera mayor que el nmero solo; por ejemplo, el Service Pack 6a se considera mayor que 6. Asegrese de aplicar los parches uno a la vez. Parche: Parche instalado Escriba el nombre del parche que desea comprobar. Por ejemplo: KB12345. Es posible escribir solamente nmeros y letras en este campo.
Asegrese de que el nmero de parche o Service Pack coincida con la versin correcta del sistema operativo. Si especifica un sistema operativo que no coincide con el parche o el Service Pack, el requisito falla.
Acerca de condiciones del Registro

Para un requisito personalizado de integridad del host, es posible especificar opciones de registro que se comprobarn como parte de su instruccin condicional IF-THEN. Es posible adems especificar maneras de modificar valores del registro. Los nicos valores de registro admitidos son HKEY_LOCAL_MACHINE, HKEY_CLASSES_ROOT y HKEY_CURRENT_CONFIG. Las siguientes selecciones estn disponibles para comprobar valores del registro.
Registro: La clave del registro existe Especifique un nombre de clave de registro para comprobar si existe.
Registro: El valor del Registro es igual Especifique un nombre de clave de registro y un a nombre de valor, y especifique con qu datos se comparar el valor. Registro: El valor del registro existe Especifique un nombre de clave de registro para comprobar si tiene el nombre de valor especificado.
644
Registro: Establecer el valor del Registro
Especifique un valor para asignarlo a la clave especificada; si la clave no existe, se crear. Esta seleccin sustituye un valor existente, independientemente de si es del mismo tipo; es decir, si el valor existente es un valor DWORD pero usted especifica un valor de cadena, se sustituye DWORD por el valor de la cadena.
Registro: Incrementar el valor DWORD Especifique un valor DWORD. Esta seleccin le del Registro permite realizar conteos, tales como permitir que un equipo sin parche cumpla el requisito no ms que n veces.
Cuando se especifican las claves del registro, recuerde las consideraciones siguientes:

El nombre de la clave se limita a 255 caracteres. Si la clave del registro tiene una barra invertida (\) en el final, se interpreta como una clave del registro. Por ejemplo: HKEY_LOCAL_MACHINE\SOFTWARE\ Si la clave del registro no tiene ninguna barra invertida en el final, se interpreta como un nombre de registro. Por ejemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
Cuando se especifican los valores del registro, recuerde las consideraciones siguientes:

El nombre del valor se limita a 255 caracteres. Es posible comprobar si hay valores como DWORD (decimal), binarios (hexadecimal) o cadenas. Para los valores DWORD, es posible comprobar si el valor es menor, igual, diferente o mayor que el valor especificado. Para los valores de cadena, es posible comprobar si los datos del valor son iguales a una cadena determinada o la contienen. Si desea que la comparacin de cadenas incluya la diferenciacin entre maysculas y minsculas, marque la casilla de Coincidir maysculas y minsculas. Para los valores binarios, es posible comprobar si los datos del valor son iguales a un fragmento determinado de datos binarios o lo contiene. Los bytes hexadecimales representan los datos. Si especifica el valor "contiene", es posible adems especificar el desplazamiento para estos datos. Si el desplazamiento se deja en blanco, se busca el valor de los datos binarios especificados. Los valores permitidos para el cuadro de edicin hexadecimal son nmeros del 0 al 9 y letras de la "a" a la "f".
Los siguientes son ejemplos de valores del registro:
Adicin de requisitos personalizados Acerca de las funciones
645
DWORD Archivo binario Cadena
12345 (en decimal) 31 AF BF 69 74 A3 69 (en hexadecimal ef4adf4a9d933b747361157b8ce7a22f
Acerca de las funciones

Las funciones se utilizan para definir las acciones que se realizan cuando una expresin condicional se evala como verdadera o falsa. Una condicin de requisito personalizado puede comprobar la instalacin de un producto antivirus determinado, pero no es posible configurarla para que instale el producto como accin de reparacin. Cuando se escriben requisitos personalizados, es necesario definir explcitamente las acciones de reparacin que deben realizarse mediante instrucciones de funcin. Las funciones aparecen dentro de las instrucciones THEN y ELSE, o pueden aparecer al final de un script de requisito personalizado. Para obtener un resultado de reparacin deseado, puede ser necesario especificar varias funciones. Cada funcin realiza una tarea muy especfica, por ejemplo, descargar un archivo o ejecutar un archivo. No se definen funciones individuales para proporcionar acciones de reparacin especficas, por ejemplo, para instalar un producto antivirus especfico. Para descargar un producto antivirus especfico, es necesario utilizar la funcin general de descarga. La Tabla 41-1 muestra las siguientes funciones en un script de requisito personalizado: Tabla 41-1 Funcin
Descargar un archivo
Funciones de requisito personalizado Descripcin

Descarga un archivo al que se hace referencia mediante una URL o UNC al equipo cliente. Si utiliza una URL, se admiten HTTP y FTP. Crea y, a continuacin, configura o incrementa un valor de registro dentro de una clave de registro especificada.
Establecer el valor del Registro Incrementar el valor DWORD del Registro Mensaje de registro
Especifica un mensaje personalizado que se agregar al registro de seguridad del cliente y al registro.
646
Adicin de requisitos personalizados Acerca de la lgica de los requisitos personalizados
Funcin
Ejecutar un programa
Descripcin
Ejecuta un programa que ya existe en el equipo cliente. El programa puede ser ejecutado bajo el contexto del sistema o el contexto del usuario conectado actualmente. Ejecuta un script personalizado en el equipo cliente. Es posible utilizar el programa de edicin de texto integrado para crear contenido de script. El script puede ser un archivo por lotes, un archivo INI o cualquier formato ejecutable reconocido por Windows. Adems, el script puede slo contener parmetros que sern proporcionados a otro programa. Marca un archivo especificado en el equipo cliente con la hora y la fecha actuales. Muestra una ventana de cuadro de dilogo de mensaje en el equipo cliente con un botn Aceptar. Puede especificarse un tiempo de espera predeterminado. Interrumpe momentneamente la ejecucin del script de requisito personalizado por un perodo especificado.
Ejecutar un script
Establecer marca de hora
Mostrar cuadro de dilogo del mensaje
Esperar
Acerca de la lgica de los requisitos personalizados

Para escribir los requisitos personalizados, se usa una lgica similar a la de script. Las normas utilizan la lgica IF... THEN... ELSE a partir de una lista de condiciones y acciones predefinidas.
Acerca de la instruccin RETURN

Es posible agregar una instruccin RETURN para especificar el resultado general de Integridad del host del requisito. La instruccin RETURN incluye la palabra clave PASS y la palabra clave FAIL. Todos los requisitos personalizados deben incluir una instruccin RETURN al final. A diferencia de un requisito predefinido, un requisito personalizado debe indicar explcitamente cul ser el resultado de la comprobacin de integridad del host. En algunos casos, la evaluacin de un conjunto de condiciones como verdaderas se debe interpretar como la aprobacin de la evaluacin de integridad del host del requisito personalizado. En otros casos, es posible interpretar la misma evaluacin como una falla en la evaluacin de integridad del host.
Adicin de requisitos personalizados Acerca de la lgica de los requisitos personalizados
647
Acerca de la instruccin IF, THEN y ENDIF

Es posible definir la estructura lgica principal de un requisito personalizado mediante una o ms declaraciones IF, THEN y ENDIF. Una instruccin IF, THEN y ENDIF define una estructura en la cual se comprueban las condiciones especficas (IF) y las medidas que se toman cuando esas condiciones se consideran verdaderas (THEN). Es posible jerarquizar las instrucciones IF, THEN y ENDIF para formar requisitos personalizados ms complejos. Es necesario jerarquizar las instrucciones IF, THEN y ENDIF siempre que una condicin deba ser verdadera antes de que otra condicin pueda ser evaluada.
Acerca de la instruccin ELSE

Una instruccin IF, THEN y ENDIF se limita a un conjunto de condiciones y a un conjunto de acciones que se ejecutan cuando las condiciones se evalan como verdaderas. En muchos casos, puede ser necesario especificar una o ms acciones que se tomarn para realizar una accin de reparacin deseada. Es posible agregar una instruccin ELSE para identificar las acciones que se tomarn siempre que las condiciones especificadas se consideren falsas.
Acerca de la palabra clave NOT

Es posible utilizar la palabra clave NOT para invertir la evaluacin lgica de una condicin determinada. Despus de agregar una condicin al script del requisito personalizado, es posible hacer clic con el botn secundario en la condicin y seleccionar Alternar NOT para invertir la lgica de la condicin. Utilizar la palabra clave NOT no modifica la evaluacin general como verdadera o falsa de la instruccin IF. Invierte solamente el estado verdadero y falso de una condicin determinada.
Acerca de las palabras clave AND y OR

Es posible especificar varias condiciones dentro de una instruccin IF, THEN o ENDIF; sin embargo, se deben agregar palabras clave adicionales para hacerlo. Dentro de cualquier instruccin IF, es posible agregar las palabras clave AND y OR para asociar lgicamente varias condiciones. La asociacin lgica de las condiciones afecta directamente la evaluacin verdadera o falsa total de la instruccin IF. Si utiliza la palabra clave AND en una instruccin IF, todas las condiciones de la instruccin IF se deben evaluar como verdaderas para que la instruccin IF sea verdadera. Si utiliza la palabra clave OR, slo una de las condiciones de la instruccin IF se debe evaluar para que la instruccin IF sea verdadera.
648
Adicin de requisitos personalizados Escribir un script de requisito personalizado
Cuando se especifican varias condiciones, es necesario interpretar la asociacin lgica de las condiciones para anticipar cual debe ser la evaluacin verdadera o falsa correcta. El script del requisito personalizado no muestra la expresin con un formato de parntesis, sino con palabras clave y nodos jerarquizados. La primera expresin comienza siempre con la primera condicin especificada y contina mientras se utilice la misma palabra clave de operador lgico. Por ejemplo, es posible utilizar la palabra clave OR para asociar tres condiciones diferentes. Mientras se utilice la palabra clave OR, todas las condiciones se incluyen dentro de la misma expresin lgica.
Escribir un script de requisito personalizado

Para crear un requisito personalizado, agregue una o ms instrucciones IF...THEN... al script. Cuando se ejecuta el script, la comprobacin de integridad del host busca la condicin que se muestra bajo el nodo IF. Dependiendo de la condicin, se ejecuta la accin mencionada bajo el nodo THEN. Se devuelve el resultado (aprobado o error). El script visualiza una estructura de rbol en el panel izquierdo y una lista desplegable de condiciones o funciones en el panel derecho. Como parte de un requisito personalizado, puede especificar si desea permitir que la comprobacin de integridad del host se apruebe si el requisito falla. Cuando usted planifique cuntas condiciones diferentes se deben comprobar en un script, recuerde que esta configuracin se aplica al script del requisito personalizado en conjunto. Esta opcin puede afectar si desea crear varios requisitos personalizados pequeos o uno ms amplio que incluya pasos varios. Para escribir un script de requisito personalizado
Agregar un requisito personalizado. Ver "Adicin de requisitos de integridad del host" en la pgina 623.
En el cuadro de dilogo Requisito personalizado, escriba un nombre para el requisito. El nombre del requisito puede aparecer en el equipo cliente. El nombre notifica al usuario que el requisito aprueb o fall, o solicita al usuario que descargue el software.
3 4
Para agregar una condicin, bajo Script del requisito personalizado, haga clic en Agregar y den IF..THEN... Con el punto culminante en la condicin vaca bajo el nodo IF, en el panel derecho, seleccione una condicin. La comprobacin de integridad del host busca la condicin en el equipo cliente.
649
5 6
Bajo la lista desplegable Seleccione una condicin, especifique la informacin adicional obligatoria. Bajo Script del requisito personalizado, haga clic en THEN y en Agregar. La instruccin THEN proporciona las medidas que deben ser tomadas si la condicin es verdadera.
Haga clic en cualquiera de las siguientes opciones:
IF.. THEN Utilice una instruccin IF.. THEN.. anidada para agregar condiciones y acciones. Ver "Agregar una instruccin IF THEN" en la pgina 649. Funcin Utilice una funcin para definir una accin de reparacin. Ver "Acerca de las funciones" en la pgina 645. Return Utilice una instruccin return para especificar si los resultados de la evaluacin de la condicin pasan o fallan. Cada requisito personalizado debe finalizar con una instruccin que pasa o falla. Comentario Utilice un comentario para explicar la funcionalidad de las condiciones, las funciones o las instrucciones que va a agregar. Ver "Agregar un comentario" en la pgina 651.
En el panel derecho, defina los criterios que agreg. Para obtener ms informacin sobre estas opciones, haga clic en Ayuda.
Para agregar ms condiciones, funciones o instrucciones anidadas, bajo Script del requisito personalizado, haga clic con el botn secundario en el nodo y, despus, haga clic en Agregar.
10 Repita los pasos del 7 al 8 segn sea necesario. 11 Para permitir que la comprobacin de integridad del host pase
independientemente del resultado, marque Permitir que se apruebe el control de la integridad del host aunque este requisito no se cumpla.
12 Cuando haya terminado la configuracin del requisito, haga clic en Aceptar.
Agregar una instruccin IF THEN

Una instruccin IF..THEN define una estructura en la cual se comprueban las condiciones especficas (IF) y las medidas que se toman cuando esas condiciones se consideran verdaderas (THEN).
650
Para agregar una instruccin IF THEN
Escriba un script del requisito personalizado. Ver "Escribir un script de requisito personalizado" en la pgina 648.
Bajo Script del requisito personalizado, seleccione una de las siguientes opciones:

Para agregar la primera instruccin IF THEN, seleccione el nodo principal. Para agregar una instruccin IF THEN en el mismo nivel que una existente, seleccione END IF. Para agregar una instruccin IF THEN anidada, seleccione la lnea bajo la cual desea agregarla.
3 4
Haga clic en Agregar. Haga clic en IF..THEN.
Alternar entre la instruccin IF e IF NOT

Es posible que sea necesario alternar entre comprobar la presencia o la ausencia de una condicin. Para alternar entre la instruccin IF e IF NOT
Haga clic con el botn secundario en la condicin y haga clic en Alternar NOT.
Adicin de una instruccin ELSE

Es posible agregar una instruccin ELSE para identificar las acciones que se tomarn siempre que las condiciones especificadas se consideren falsas. Para agregar una instruccin ELSE
2 3
Bajo Script del requisito personalizado, haga clic en THEN. Haga clic en Agregar y haga clic en ELSE.
651
Agregar un comentario
Cuando se agrega una instruccin, como una instruccin IF THEN, es posible agregar un comentario. Utilice el comentario para explicar la funcin esperada de esa parte del cdigo. Los comentarios tienen propsitos solamente informativos. Para agregar un comentario
2 3 4
Bajo Script del requisito personalizado, seleccione cualquier instruccin que haya agregado y, despus, haga clic en Agregar. Haga clic en Comentario. Haga clic en //Insertar instrucciones aqu y, en el panel derecho, en el campo de texto Comentario, escriba sus comentarios.
Copiar y pegar instrucciones IF, condiciones, funciones y comentarios

Es posible copiar y pegar instrucciones o nodos IF THEN enteros dentro de requisitos personalizados o entre ellos. Es conveniente copiar y pegar estos elementos si desea moverlos a otra parte del script o repetir las funciones. Para copiar y pegar una instruccin IF
2 3
Bajo Script del requisito personalizado, haga clic con el botn secundario en el elemento del script y despus haga clic en Copiar. Haga clic con el botn secundario en una lnea de instruccin vaca y, despus, clic en Pegar
Eliminar una instruccin, una condicin o una funcin

Es posible eliminar instrucciones, condiciones o funciones en cualquier momento. Si hay solamente una declaracin de condicin bajo un nodo IF, al eliminarla, se elimina la instruccin IF THEN completa. Para eliminar una instruccin, una condicin o una funcin
Bajo Script del requisito personalizado, seleccione el elemento del requisito que desee eliminar.
652
Adicin de requisitos personalizados Mostrar un cuadro de dilogo de mensaje
3 4
Haga clic en Eliminar. Si se le solicita confirmar la eliminacin, haga clic en S.
Mostrar un cuadro de dilogo de mensaje

En el requisito personalizado de integridad del host, es posible especificar una funcin o condicin que cree un cuadro de mensaje que el cliente mostrar al usuario. La funcin o condicin devuelve el valor verdadero si el usuario hace clic en Aceptar o S. Si no, devuelve un valor falso. Para visualizar un cuadro de dilogo de mensaje
2 3 4
En el cuadro de dilogo Requisito personalizado, bajo Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Mostrar cuadro de dilogo del mensaje. Para insertar una condicin, seleccione IFTHEN y seleccione la rama apropiada. A continuacin, seleccione Utilidad: El valor devuelto en el cuadro de dilogo del mensaje es igual a.
5 6 7
Escriba un ttulo para el cuadro de mensaje de hasta 64 caracteres. Escriba el texto para el cuadro de mensaje de hasta 480 caracteres. Seleccione uno de los siguientes iconos para visualizar: Informacin, Pregunta, Advertencia o Error. Aparecen el icono y el texto.
Seleccione al conjunto de botones que aparecen en el cuadro de dilogo:

Aceptar Aceptar y Cancelar S y No
Seleccione el botn predeterminado para cada conjunto de botones. de que pase un tiempo sin interaccin de usuario, active Accin que se efectuar para cerrar el cuadro de mensaje tras el tiempo mximo de espera y especifique el tiempo de espera. El valor de tiempo debe ser mayor que 0.
10 Para cerrar el cuadro de mensaje y restaurar un valor predeterminado despus
Adicin de requisitos personalizados Descargar un archivo
653
Descargar un archivo
Para un requisito personalizado, es posible especificar que un archivo se descargue en el equipo cliente. Para descargar un archivo
2 3 4 5
En el cuadro de dilogo Requisito personalizado, bajo Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Descargar un archivo. Escriba la direccin URL desde la que el archivo se descarga y la carpeta del equipo cliente en la que desea que el archivo se descargue. Es posible especificar la ubicacin mediante una URL o UNC. Si utiliza una URL, se admiten HTTP y FTP.
6 7
Marque Mostrar el cuadro de dilogo del proceso de descarga de modo que los usuarios puedan ver el archivo mientras se descarga en el equipo cliente. Si desea que el usuario pueda cancelar la descarga del archivo, marque Permitir al usuario cancelar la integridad del host para este requisito. Usuarios puede perder trabajos si el archivo se descarga en el momento incorrecto.
Generar un mensaje de registro

En el requisito personalizado de integridad del host, es posible especificar una funcin para registrar un mensaje sobre una accin. Esta funcin inserta la cadena de mensaje especificada en los registros de seguridad de los clientes. El mensaje aparece en el rea de detalles de los registros de seguridad. Para generar un mensaje de registro
2 3 4
En el cuadro de dilogo Requisito personalizado, bajo Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Mensaje de registro.
654
Adicin de requisitos personalizados Ejecutar un programa
5 6
En la lista desplegable Tipo de gravedad, seleccione uno de los siguientes tipos de la gravedad de registro: Informacin, Importante, Menor o Crtico. Escriba un mensaje de hasta 512 caracteres de largo.
Ejecutar un programa
Para un requisito personalizado de integridad del host, es posible especificar una funcin para hacer que el cliente inicie un programa. Para ejecutar un programa
2 3 4 5
En el cuadro de dilogo Requisito personalizado, bajo Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Ejecutar un programa. En el campo de texto Ejecutar el comando, escriba el comando para ejecutar el script. Las variables de entorno se sustituyen antes de la ejecucin. Por ejemplo, %windir% es sustituido por la ruta del directorio de Windows. Es posible utilizar la variable %1 para ejecutar el ltimo archivo descargado.
Bajo Ejecutar un programa, seleccione una de las siguientes opciones:

en el contexto del sistema en el contexto de un usuario conectado El comando Ejecutar debe incluir la ruta de archivo completa, mostrando el nombre del usuario que inicio sesin. Si no hay ningn usuario conectado, el resultado falla.
Para especificar la cantidad de tiempo que se debe permitir para que se complete la ejecucin del comando, seleccione uno de los siguientes opciones:
No esperar La accin devuelve un valor verdadero si la ejecucin se realiza correctamente, pero no espera hasta que se termine la ejecucin. Esperar hasta que finalice la ejecucin Escriba el tiempo mximo.
Adicin de requisitos personalizados Ejecutar un script
655
Escriba el tiempo en segundos. Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza la ejecucin del archivo.
Desactive opcionalmente Mostrar una nueva ventana de proceso.
Ejecutar un script
En el requisito personalizado de integridad del host, es posible especificar una funcin para hacer que el cliente ejecute un script. Es posible utilizar un lenguaje de programacin de scripts, tal como JScript o VBScript, que se puede ejecutar con Microsoft Windows Script Host. Para ejecutar un script
2 3 4 5 6 7
En el cuadro de dilogo Requisito personalizado, bajo Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Ejecutar un script. Escriba un nombre de archivo para el script, como miscript.js. Escriba el contenido del script. En el campo de texto Ejecutar el comando, escriba el comando para ejecutar el script. Utilice %F para especificar el nombre del archivo de script. El script se ejecuta en el contexto del sistema.
Para especificar la cantidad de tiempo que se debe permitir para que se complete la ejecucin del comando, seleccione uno de los siguientes opciones:
No esperar La accin devuelve un valor verdadero si la ejecucin se realiza correctamente, pero no espera hasta que se termine la ejecucin. Esperar hasta que finalice la ejecucin Escriba el tiempo mximo. Escriba el tiempo en segundos. Si el comando de ejecucin no se termina en el tiempo especificado, se finaliza la ejecucin del archivo.
656
Adicin de requisitos personalizados Configurar la marca de hora de un archivo
Desactive opcionalmente Eliminar el archivo temporal despus de haber finalizado o terminado la ejecucin. Esta opcin est deshabilitada y no disponible si se selecciona No esperar.
10 Desactive opcionalmente Mostrar una nueva ventana de proceso.
Configurar la marca de hora de un archivo

En el requisito personalizado, es posible especificar la funcin Establecer marca de hora para crear una configuracin de registro para almacenar la fecha actual y la hora. Es posible utilizar la condicin Establecer marca de hora para descubrir si ha transcurrido una cantidad de tiempo especificada desde que la marca de hora fue creada. Un ejemplo es si ha configurado la comprobacin de integridad del host para que se ejecute en un intervalo corto, como 2 minutos, y desea especificar una accin que ocurra en un intervalo ms largo, por ejemplo, una vez por da. En este caso, se quita el valor de tiempo almacenado cuando el cliente recibe un nuevo perfil o cuando el usuario ejecuta manualmente una comprobacin de integridad del host. Para configurar la marca de hora de un archivo
2 3 4 5
En el cuadro de dilogo Requisito personalizado, bajo Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Establecer marca de hora. Escriba un nombre de hasta 256 caracteres de largo para la opcin del registro que almacena la informacin sobre la fecha y la hora.
Para comparar la hora actual con el valor almacenado
2 3 4
En el cuadro de dilogo Requisito personalizado, bajo Script del requisito personalizado, seleccione el nodo donde desea agregar la condicin. Haga clic en Agregar y, despus, clic en IF..THEN... Haga clic en Utilidad: Comprobar marca de hora.
Adicin de requisitos personalizados Especificar un tiempo de espera para el script
657
5 6
Escriba el nombre que especific para la opcin de registro de hora almacenada. Especifique una cantidad de tiempo en minutos, horas, das o semanas. Si la cantidad de tiempo especificada fue aprobada, o si el valor de la opcin del registro est vaco, la funcin Establecer marca de hora devuelve un valor verdadero.
Especificar un tiempo de espera para el script

En el requisito personalizado de integridad del host, es posible especificar una funcin que haga que el script del requisito personalizado espere una cantidad de tiempo especificada para ejecutarse. Para especificar un tiempo de espera para el script
2 3 4 5
En el cuadro de dilogo Requisito personalizado, bajo Script del requisito personalizado, seleccione el nodo donde desea agregar la funcin. Haga clic en Agregar y haga clic en Funcin. Haga clic en Utilidad: Esperar. Escriba el nmero de segundos que se esperar.
658
Adicin de requisitos personalizados Especificar un tiempo de espera para el script
Apndice
Usar la interfaz de lnea de comandos

En este Apndice se incluyen los temas siguientes:
El servicio del cliente
El servicio del cliente

Es posible manipular el cliente directamente desde la lnea de comandos en el equipo cliente usando el comando smc para el servicio del cliente. Puede utilizar este comando en un script que ejecute los parmetros remotamente. Por ejemplo, si es necesario detener el cliente para instalar una aplicacin en varios clientes, es posible detener y reiniciar cada servicio de cliente. A excepcin de smc -start, el servicio del cliente debe estar en ejecucin para utilizar los parmetros de lnea de comandos. Los parmetros de lnea de comandos no diferencian entre maysculas y minsculas. La Tabla A-1 describe los parmetros que es posible ejecutar si los usuarios son miembros de cualquier grupo de usuarios de Windows. Tabla A-1 Parmetro
smc -checkinstallation
Parmetros que todos los miembros de Windows pueden utilizar Descripcin

Comprueba si el servicio de cliente smc est instalado. Devuelve 0, -3.
smc -checkrunning
Comprueba si el servicio de cliente smc est ejecutndose. Devuelve 0, -4.
660
Usar la interfaz de lnea de comandos El servicio del cliente
Parmetro
smc -dismissgui
Descripcin
Cierra la interfaz de usuario del cliente de Symantec Endpoint Protection o Symantec Network Access Control e incluye el icono del rea de notificacin. El cliente an se ejecuta y protege el equipo cliente. Devuelve 0.
smc -exportlog
Exporta todo el contenido de un registro a un archivo .txt. Para exportar un registro, utilice la siguiente sintaxis: smc -exportlog tipo_registro 0 -1 archivo_de_salida Donde: tipo_registro es:

0 = Registro del sistema 1 = Registro de seguridad 2 = Registro de trfico 3 = Registro de paquetes 4 = Registro de control Por ejemplo, podra escribir: smc -exportlog 2 0 -1 c:\temp\TrafficLog donde: 0 es el comienzo del archivo -1 es el fin del archivo Es posible exportar solamente los registros de control, de paquetes, de seguridad, del sistema y de trfico.
archivo_de_salida es el nombre de ruta y el nombre del archivo asignados al archivo exportado. Devuelve 0, -2, -5. smc -runhi Si Symantec Network Access Control est instalado, ejecuta una comprobacin de integridad del host. Devuelve 0. smc -showgui Muestra la interfaz de usuario del cliente de Symantec Endpoint Protection o Symantec Network Access Control. Devuelve 0.
661
Parmetro
smc -updateconfig
Descripcin
Comprueba si el archivo de polticas del servidor de administracin es ms reciente que el archivo de polticas del cliente. Si el archivo de polticas del cliente est desactualizado, updateconfig descarga el archivo de polticas ms reciente y sustituye el existente, que es serdef.dat. Devuelve 0.
Es posible ejecutar los parmetros en Tabla A-2 solamente si:
El cliente ejecuta Windows 2003/XP/Vista o Windows Server 2008 y los usuarios son miembros del grupo de administradores de Windows. El cliente ejecuta Windows 2003/XP y los usuarios son miembros del grupo de usuarios avanzados.
Si el cliente ejecuta Windows Vista y el control de cuentas de usuario est habilitado, el usuario pasa a ser automticamente un miembro del grupo de administradores y de usuarios. Para utilizar los siguientes parmetros, los usuarios deben ser miembros del grupo de administradores solamente. Tabla A-2 Parmetros que los miembros del grupo de administradores pueden utilizar Descripcin
Sustituye el contenido de un archivo de polticas por el contenido del archivo de polticas actual del cliente. Este comando no sustituye el contenido del archivo de polticas actual. Por lo tanto, es posible implementar el archivo de polticas ms actual sin tener que quitar la configuracin desactualizada de normas de firewall, anlisis antivirus, opciones de seguridad y opciones de la interfaz de usuario. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -importconfig C:\policy\OfficeRules.xml. Devuelve 0, -1, -5, -6.
Parmetro
smc -importconfig
662
Parmetro
smc -exportconfig
Descripcin
Exporta el archivo de polticas del cliente a un archivo .xml. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -exportconfig C:\policy\OfficeRules.xml Devuelve 0, -1, -5, -6.
smc -importadvrule
Sustituye las normas de firewall importadas a la lista del cliente de normas de firewall existentes. Estas normas no sobrescriben las normas existentes. El cliente enumera las normas existentes y las normas importadas, incluso si cada norma tiene el mismo nombre y los mismos parmetros. El cliente debe ejecutarse para importar el contenido del archivo de polticas. Las normas de firewall y del cliente se aplican solamente al cliente cuando se utiliza el control del cliente o el control mixto. El cliente ignora estas normas en el control del servidor. Para importar normas de firewall, usted importa un archivo .sar. Por ejemplo, es posible escribir el siguiente comando: smc -importadvrule C:\config\AllowExplorerRule.sar Se agrega una entrada al registro del sistema despus de importar normas. Devuelve 0, -1, -5, -6.
smc -exportadvrule
Exporta las normas de firewall del cliente a un archivo .sar. Las normas de clientes se aplican solamente al cliente cuando se utiliza el control del cliente o el control mixto. El cliente ignora estas normas en el control del servidor. Es necesario especificar el nombre de la ruta y el nombre de archivo. Por ejemplo, es posible escribir el siguiente comando: smc -exportadvrule C:\config\AllowExplorerRule.sar Devuelve 0, -1, -5, -6.
smc -start
Inicia el servicio del cliente de Symantec Endpoint Protection o Symantec Network Access Control. Devuelve 0, -1.
663
Parmetro
smc -stop
Descripcin
Detiene el servicio del cliente de Symantec Endpoint Protection o Symantec Network Access Control y lo descarga de la memoria. Devuelve 0, -1.
Cuando importe archivos de polticas y normas de firewall, recuerde que se aplican las siguientes normas:
No es posible importar archivos de polticas o de normas de firewall directamente desde una unidad de red asignada. El cliente no admite rutas UNC (convencin de nomenclatura universal).
Cdigos de error
La Tabla A-3 muestra los cdigos de error que el comando smc devuelve cuando los parmetros obligatorios faltan o no son vlidos. Tabla A-3 Cdigo de error
0 -1
Cdigos de error de smc Descripcin

El comando era correcto. El usuario no pertenece al grupo de administradores de Windows o al grupo de superusuarios de Windows. Si el cliente ejecuta Windows Vista, el usuario no es miembro del grupo de administradores de Windows. Parmetro no vlido. Pudo haber escrito el parmetro incorrectamente o haber agregado un conmutador incorrecto despus del parmetro.
-2
-3 -4 -5
El servicio del cliente smc no est instalado. El servicio del cliente smc no se est ejecutando. Archivo de entrada no vlido. Por ejemplo, los parmetros importconfig, exportconfig, updateconfig, importadv, exportadvrule y exportlog necesitan el nombre de ruta y el nombre de archivo correctos.
664
Cdigo de error
-6
Descripcin
El archivo de entrada no existe. Por ejemplo, los parmetros importconfig, updateconfig y importadvrule necesitan el nombre de ruta, el nombre de archivo de polticas (.xml) o el nombre de archivo de las normas de firewall (.sar) correctos.
Escribir un parmetro si el cliente est protegido con contrasea

Es posible proteger con contrasea el equipo cliente para los siguientes parmetros:
-stop El cliente pide una contrasea antes de que usted o el usuario detengan el cliente. El cliente pide una contrasea antes de que pueda importar el archivo de polticas. El cliente pide una contrasea antes de que pueda exportar el archivo de polticas.
-importconfig
-exportconfig
Ver "Proteger el cliente con contrasea" en la pgina 133. Nota: La contrasea se limita a 15 caracteres o menos. Para escribir un parmetro si el cliente est protegido con contrasea
1 2
En el equipo cliente, en la barra de tareas, haga clic en Inicio > Ejecutar. En el cuadro de dilogo Ejecutar, escriba cmd.
665
En el smbolo del sistema de MS-DOS de Windows, escriba una de las siguientes opciones:
smc -parmetro -p contrasea smc -p contrasea -parmetro
Donde: parmetro es -stop, -importconfig o -exportconfig. contrasea es la contrasea que usted especific en la consola. Por ejemplo, es posible escribir:
smc -exportconfig c:\perfil.xml -p contrasea o smc -p contrasea -exportconfig c:\perfil.xml
Cierre la lnea de comandos.
666
ndice
A
activadores adaptador de red 490 aplicacin 486 host 487 normas de firewall 486 servicio de red 489 activadores de hosts normas de firewall 487 activadores de la aplicacin normas de firewall 486 actualizacin de clientes 98 actualizacin de clientes en uno o ms grupos 100 adaptadores. Ver adaptadores de red adaptadores de red activadores 490 adicin a la lista predeterminada 532 adicin a una norma 532 edicin y eliminacin 533 adicin un administrador 85 Administrador adicin 85 administrador acerca de 84 cambiar contrasea 91 cambiar nombre 90 editar propiedades 87 quitar 91 tareas 85 administrador del sistema predeterminado 85 tareas 85 administradores tipos de 84 administradores del sistema acerca de 84 administradores limitados acerca de 84 administrar administradores acerca de 85
agregar un grupo 71 agrupacin 322 alternar de modo de cliente acerca de 75 amenazas 247, 482 Ver tambin Proteccin contra amenazas de red Ver tambin Proteccin proactiva contra amenazas combinadas 411 amenazas combinadas 411 Anlisis informes 187 registros 212 anlisis 420 Ver tambin anlisis programados acerca de 414 antivirus y contra software espa excepciones centralizadas para 601 antivirus y software espa 434 asignacin de acciones 427 Auto-Protect 415 detenido 477 ejecucin manual 475 exclusin de archivos en los anlisis 426 extensiones de archivo recomendadas 424 informes 250 interrumpido 477 opciones avanzadas para anlisis definidos por el administrador 478 opciones de progreso del anlisis 476 pospuesto 477 registros 250 seleccin de archivos y carpetas para analizar 422 visualizacin de mensaje de aviso en el cliente 440 anlisis de amenazas proactivo. Ver Anlisis de amenazas proactivos TruScan anlisis de amenazas proactivo TruScan registro 247 registros 211
668
ndice
anlisis de amenazas proactivos TruScan acciones 555 administracin de detecciones 553 aplicaciones comerciales 556 configuracin predeterminada 545 configuracin predeterminada de Symantec 545 Cuarentena 551 deteccin de procesos 545 deteccin forzada 552 excepciones centralizadas 552, 601, 607 falsos positivos 547 forzar una deteccin 608 frecuencia 557 nivel de sensibilidad 555 notificaciones 558 omitir procesos 550 procesos 555 anlisis definidos por el administrador 469 Ver tambin anlisis manuales Ver tambin anlisis programados anlisis manuales configuracin 474 ejecucin 475 opciones avanzadas 478 opciones de progreso del anlisis 476 anlisis programados 420 Ver tambin anlisis acerca de 420 agregar a una poltica 470 edicin, eliminacin o deshabilitacin 473 guardar como plantilla 470 opciones avanzadas 478 opciones cuando no se realiza 472 opciones de progreso del anlisis 476 aplicaciones 535 Ver tambin aplicaciones aprendidas adicin a una norma 534 autorizar 591 bsqueda 396, 535 definicin 534 opciones en requisitos de integridad del host 640 restauracin para integridad del host 631 supervisin de aplicaciones de red 538 aplicaciones aprendidas 535 Ver tambin aplicaciones acerca de 393 bsqueda 396 guardado de resultados de la bsqueda 398 habilitacin 394395
lista 535 aplicaciones de publicidad no deseada 412 archivo de almacn de claves JKS 295 archivo del almacn de claves PKCS12 296 archivos exclusin del anlisis 426 opciones en requisitos de integridad del host 640 restauracin para integridad del host 631 uso compartido 529 archivos de definiciones analizar despus de actualizar 422 configurar acciones ante nuevas definiciones 448 exhibicin de desactualizacin o ausencia 433 Archivos MSI 109 Archivos MSP 109 archivos sospechosos 408 Asistente para la configuracin del servidor de administracin 302 Asistente para normas de firewall 498 ataques bloqueo 482, 512 firmas 507 ataques de da cero 544 auditora informe 178 registro 208 autenticacin certificado 295 punto a punto 505 Autenticacin de SecurID configurar en el servidor de administracin 292 autenticacin punto a punto 505 autenticacin SecurID especificar para un administrador 293 Auto-Protect anlisis 415 anlisis y bloqueo de riesgos de seguridad 455 configuracin 451 configuracin de opciones de notificacin 461 configurar notificaciones de progreso 467 Lotus Notes 460 Microsoft Outlook 459 opciones avanzadas de anlisis y supervisin 455 para correo electrnico de Internet 457 para el sistema de archivos configuracin 453 habilitacin 452
ndice
669
tipos de 452 visualizar resultados en equipos infectados 463 Auto-Protect para correo electrnico de Internet 457 Auto-Protect para el sistema de archivos. Ver Auto-Protect
B
balanceo de carga 136 base de datos administracin 301 Asistente para la configuracin del servidor de administracin 302 cambio de los parmetros de tiempo de espera 329 copia de respaldo 303 automtica 312 copias de respaldo 305 edicin descripcin 315 nombre 315 errores 329 errores CGI 329 errores de proceso terminados 329 integrada convencin de nomenclatura 302 mantenimiento 327328 Microsoft SQL convenciones de nomenclatura 302 MS SQL archivo bcp.exe 317 programar copia de respaldo automtica 312 reconfiguracin 304 restaurar 304 paso 313 tamao 303 Utilidad Symantec Database Backup and Restore 302 volver a configurar integrada 318 MS SQL 316 Bases de conocimientos 404 bibliotecas. Ver firmas IPS bloquear equipos atacantes 512 bloqueo clientes de grupos 76 bloqueo del sistema habilitacin 593
bloqueos en polticas antivirus y contra software espa 408 bots 411 bots de Internet 411 Buscador de riesgos 456 bloquear direcciones IP 457 buscar grupos, usuarios y equipos 80 Buscar aplicaciones requisitos personalizados 641 bsqueda clientes 80
C
Caballos de Troya 411, 539 cambiar nombre grupo 72 un administrador 90 cambio de contrasea administrador 91 Cancelar reparacin de integridad del host 633 candados iconos de candado 126 carpetas anlisis de seleccin 436 categora de riesgo Otros 413 Centro de Seguridad de Windows 430 alertas 431 tiempo de caducidad para las definiciones 432 Centro de seguridad de Windows deshabilitacin 430 certificado actualizacin 296 archivo de almacn de claves JKS 295 archivo de claves privadas y certificado (formato DER y PEM) 296 archivo del almacn de claves PKCS12 296 digital 295 servidor 295 cifrado 295 ClassGuid 582 cliente 340 Ver tambin replicacin actualizaciones Intelligent Updater 117 comandos 659 definicin 68
670
ndice
desconectado 257 determinar la ubicacin de 68 eliminacin de paquetes de actualizacin 101 interfaz de usuario acceso a 125 configuracin 127, 131 configurar 126 normas 492 proteccin mediante contrasea 133 registro de control 567 replicacin de paquetes 340 riesgos herramientas de distribucin de otro fabricante 118 clientes buscar 80 clientes de versiones anteriores Polticas antivirus y contra software espa para 408 clientes desconectados 257 clientes no administrados distribucin de actualizaciones con herramientas de otro fabricante 122 clientes, tipos 68 comando smc acerca de 659 comandos cliente 659 ejecutar de registros 221 compartir archivos e impresoras 529 Comprobaciones de integridad del host cambio de polticas 627 forzar la aprobacin 630 notificaciones 629 registro de detalles 629 registro detallado 629 valores 627 comunicacin entre un servidor de directorios y Symantec Endpoint Protection Manager acerca de 69 condiciones del sistema operativo requisitos de integridad del host 642 configuracin dispositivos de hardware 581 configuracin administrada bloquear y desbloquear 126 configuracin de ocultacin 504 configuracin del servidor exportacin e importacin 273
conjunto de normas de control de aplicaciones configuracin de prioridades 577 modos 562, 579 conmutacin por error 136 consideraciones alternar de modo 75 consola aumentar tiempo de espera 264 consolas remotas concesin del acceso 271 contrasea tercero 270 Control de aplicaciones configuracin 570 control de aplicaciones y dispositivos informes 177, 239 normas 564 registros 208, 239, 567 control de clientes 128 control de nivel de aplicaciones 562 control de nivel de dispositivos control de aplicaciones y dispositivos 566 informes 177 control de servidores 128 control mixto 129 acerca de 130 configuracin de opciones de proteccin contra amenazas de red 523 Controlador de dominio de Active Directory exclusiones automticas 419 copia de respaldo base de datos 303 Base de datos de Microsoft SQL con el asistente MS SQL 307 base de datos de Microsoft SQL desde la consola de Symantec Endpoint Protection Manager 307 base de datos integrada desde la consola de Symantec Endpoint Protection Manager 312 Cuarentena acerca de 409 administrar elementos 409 borrar archivos 222 cuarentena directorio local 445 envo de elementos a Symantec 448 opciones 445 opciones de limpieza 446
ndice
671
remisin de elementos a la Cuarentena central 447 cumplimiento informes 178, 240 registros 209, 240
D
Declaracin de condicin IF 651 dispositivos de hardware configuracin 581 DispositivosEnforcer restauracin de integridad del host 632 distribucin de contenido de otro fabricante acerca de 118 en equipos cliente administrados 119 habilitar con una poltica de LiveUpdate 119 requisito de la clave del registro para no clientes no administrados 122 uso con clientes no administrados 122 dominios acerca de 65 adicin 70 administracin 70
E
Elaboracin de informes conceptos bsicos 149 elaboracin de informes Preferencias de la pgina principal 168 registros 205 Symantec Endpoint Protection pgina principal 155 Symantec Network Access Control pgina principal 165 eliminar grupo 71 eliminar usuarios y equipos acerca de 77 envo de informacin de amenazas a Symantec 442 envos 443 configuracin de opciones 444 envo al servidor de Cuarentena central 447 envo de elementos a Symantec 448 envo de informacin a Symantec 442 equipo cliente modos 69 equipos buscar 80
equipos infectados visualizar resultados de Auto-Protect en 463 equipos y usuarios acerca de 68 errores CGI base de datos 329 errores de proceso terminados base de datos 329 estado del equipo informes 179, 242 registros 210, 242 estructura de organizacin acerca de 64 eventos acerca de 151 agrupacin 322, 324 mantenimiento de la base de datos opciones 328 excepciones 511, 599 Ver tambin excepciones centralizadas firmas IPS 511 excepciones centralizadas 599 Ver tambin Polticas de excepciones centralizadas aplicaciones de tecnologa de asistencia 609, 612 archivos 605 carpetas 605 Eventos de anlisis de amenazas proactivos TruScan 612 Eventos de Proteccin contra intervenciones 612 extensiones 606 forzar una deteccin de TruScan 608 para anlisis antivirus y contra software espa 601 para anlisis de amenazas proactivos 552 para anlisis de amenazas proactivos TruScan 601, 607 para procesos detectados 607 Proteccin contra intervenciones 602, 609 riesgos de seguridad conocidos 604 sucesos de riesgos 611 excepciones de IPS 511 exclusiones. Ver excepciones centralizadas creado automticamente 417 exclusiones automticas acerca de 417 para el controlador de dominio de Active Directory 419
672
ndice
para los productos de Symantec 419 para Microsoft Exchange Server 418 exportacin lista de servidores de administracin 144 normas de firewall 500 paquetes de instalacin de clientes 96 polticas 382 extensiones anlisis de seleccin 435
G
global grupo 66 grupo agregar 71 agregar un equipo 74 bloqueo 76 cambiar nombre 72 eliminar 71 estructura 66 mover 72 raz 66 temporal 66 grupo principal. Ver herencia grupo temporal 66 grupos acerca de 6465 asignacin de lista de servidores de administracin 139 buscar 80 especificar una lista de servidores de administracin 137 grupos de hosts adicin a una norma 526 creacin 524 edicin 525 eliminacin 525 GUID como control de dispositivos 566 GUID de Windows ID de clase 582 gusanos 411
F
falsos positivos 509, 547 reduccin al mnimo 515 filtro configuracin 80 filtros 218 filtros de trfico inteligentes 503 firewall acerca de 482483 configuracin del trfico 504 notificaciones 537 requisitos de integridad del host 640 firmas. Ver firmas IPS firmas IPS personalizadas acerca de 508 asignacin de bibliotecas a un grupo 517 bibliotecas 515, 517 copiado y pegado 518 creacin 515 crear una biblioteca 515 modificar el orden 517 variables 519 Symantec acerca de 508 excepciones 511 modificacin del comportamiento 511 formato DER y PEM 296 funciones Descargar un archivo 653 Ejecutar un programa 654 Ejecutar un script 655 Esperar 657 Establecer marca de hora 656 Mensaje de registro 653 Mostrar cuadro de dilogo del mensaje 652
H
herencia habilitacin 358 normas de firewall 491, 499 poltica 357 anulacin 358 ubicacin anulacin 358 herencia de grupo. Ver herencia herencia de ubicacin 357 herramientas de piratera 412 hosts adicin a una norma 526 equipo local y remoto 487488 exclusin de la prevencin de intrusiones 513 origen y destino 487
ndice
673
hosts excluidos 513 huellas digitales de archivos 586
I
iconos candado 126 iconos de candado 126 ID de clase acerca de 581 ID del dispositivo acerca de 581 como control de dispositivos 566 importacin archivos de polticas limitaciones 663 informacin de usuario desde bsqueda del servidor de directorios LDAP 281 informacin de usuario desde un servidor LDAP 278 normas de firewall 500 limitaciones 663 polticas 383 requisitos de poltica de integridad del host plantillas y 626 unidades organizativas 282 importar grupos desde el servidor LDAP 69 informacin de usuario recopilar 95 Informes aspectos importantes 192 informes 200 Ver tambin informes programados almacenamiento 199 almacenamiento de las opciones de configuracin 198 Anlisis 187 anlisis 250 auditora 178, 240 configurar los filtros 150 control de aplicaciones 177 control de aplicaciones y dispositivos 239 control de dispositivos 177 cumplimiento 178, 240 descripcin general 149 eliminacin de las opciones de configuracin 198 estado del equipo 179, 242 filtro ltimas 24 horas 171
Impresin 199 Proteccin contra amenazas de red 182, 245 Proteccin proactiva contra amenazas 247 rpidos 176 Riesgo 184 Riesgos 249 Sistema 188, 251 tipos 149 Informes favoritos Symantec Endpoint Protection personalizacin 162 informes programados 200 Ver tambin informes acerca de 200 creacin 201 eliminacin 203 modificacin 201 informes rpidos configuracin bsica de filtro 194 creacin 197 inspeccin. Ver inspeccin de estado inspeccin de estado acerca de 494 creacin de normas de trfico 494 Instrucciones ELSE 650 instrucciones IF THEN 649 Integridad del host acerca de 60 interfaz de usuario acerca de 125 configuracin 127, 131 configurar 126 IPv4 527 IPv6 527
J
jerarqua del grupo ejemplo 66
L
lista de servidores de administracin acerca de 136 adicin 138 asignacin a grupo y ubicacin 139 copiado 144 edicin 141 eliminacin 145 especificacin para un grupo 137
674
ndice
exportacin e importacin 144 lista predeterminada 136 pegado 144 prioridad del servidor 142 reemplazo 143 visualizacin de grupos y ubicaciones asignados 140 LiveUpdate actualizar definiciones y contenido 103 Administrador de LiveUpdate 109 archivos MSI y MSP 109 arquitecturas distribucin de redes 104 configuracin de un sitio para descargar actualizaciones 109 configurar un proveedor de actualizaciones grupales 115 una poltica de configuracin 112 una poltica de contenido 113 firmas y definiciones 108 modificar las polticas de contenido aplicadas a los grupos 115 opciones avanzadas de distribucin 117 opciones de la distribucin de otro fabricante 106 polticas acerca de 111 configurar 112113 tipos de actualizaciones 108 usar con la replicacin 109 uso de las herramientas de distribucin de otro fabricante en lugar del 118
notificacin a otros usuarios 466 notificacin de remitentes 464 mensajes de notificacin para anlisis antivirus y de software espa 439 Microsoft SQL administrar base de datos 301 modo de equipo 69 Modo de produccin 562, 579 Modo de prueba 562, 579 modo de usuario 69 modo del equipo cliente predeterminado 69 modos 579 equipo cliente 69 motores IPS 507 basado en paquete 509 basado en secuencia 508 mover grupo 72 mover usuarios y equipos acerca de 77
N
niveles de control 127 niveles de control del usuario 127 normas. Ver normas de firewall normas de firewall acciones 486 acerca de 485, 492 activadores 486 activadores de adaptador de red 490 activadores de servicio de red 489 adaptadores de red adicin 532 edicin y eliminacin 533 adicin mediante el asistente 498 usar norma vaca 495 aplicaciones 486 adicin 534 cliente 492 condiciones 486 copiar 501 deshabilitacin 502 edicin 501 elementos 485 eliminacin 501 exportacin 500
M
manuales, anlisis. Ver anlisis manuales marcadores 412 mensaje de aviso adicin a mensaje de correo infectado 464 ejemplo 440 visualizacin en equipos infectados 440 mensajes de correo electrnico 457, 466 Ver tambin Auto-Protect para correo electrnico de Internet Ver tambin mensajes de correo electrnico infectados para normas de firewall 538 mensajes de correo electrnico infectados adicin de advertencia a 463
ndice
675
grupos de hosts adicin 526 creacin 524 edicin y eliminacin 525 habilitacin 502 herencia 491, 499 hosts 487 importacin 500 limitaciones 663 lista 491 mensajes de correo electrnico 538 modificar el orden 502 orden de procesamiento 490 modificacin 502 pegar 501 programaciones adicin 535 servicios de red adicin 527, 529 edicin y eliminacin 528 servidor 492 normas vacas 495 notificaciones anlisis de amenazas proactivo TruScan 558 opciones de Auto-Protect 461 Proteccin contra amenazas de red 536 registro 212
opciones de registro requisitos de integridad del host 643
P
pgina principal Symantec Endpoint Protection acerca de 155 personalizacin 162 utilizacin 156 vnculos de Security Response 164 Symantec Network Access Control acerca de 165 utilizacin 165 Paquetes de instalacin de clientes configuracin 94 paquetes de instalacin de clientes acerca de 93 adicin 98 adicin de actualizaciones 98 configuracin 9495 exportacin 96 recopilacin de informacin de usuarios 95 parmetros de tiempo de espera base de datos 329 PC-cillin 487 plan para ataques de virus 402 plantillas para anlisis programados 470 poltica acerca de 349, 370 adicin de polticas no compartidas desde exportado 376 pgina Clientes 373374 agregar compartida desde una carpeta compartida existente 375 pgina Poltica 371 asignar compartida 378 compartida 352 edicin de polticas compartidas pgina Clientes 377 pgina Polticas 376 edicin de polticas no compartidas pgina Clientes 377 ejemplo 355 eliminar compartida 380 eliminar no compartida 381 exportar compartida pgina Polticas 382
O
opciones firewall 484, 504 Proteccin contra amenazas de red 523 opciones administradas configurar en el cliente 125 opciones bloqueadas y desbloqueadas cliente 126 opciones contra software espa requisitos de integridad del host 639 opciones de antivirus requisitos de integridad del host 638 opciones de arquitectura de redes para la administracin de otro fabricante de actualizaciones 106 para LiveUpdate y la distribucin del contenido 104 opciones de comunicacin cliente y servidor 145 opciones de espera reparacin de integridad del host 633
676
ndice
herencia 357 importacin 383 importacin de archivos de polticas 663 LiveUpdate 111 no compartida 352 predeterminada 350 retirar 379 poltica compartida. Ver poltica poltica heredada mover un grupo con 73 poltica no compartida. Ver poltica poltica predeterminada 350 Polticas antivirus y contra software espa acerca de 406 trabajar con 410 polticas antivirus y contra software espa administrar la interaccin del cliente 429 anlisis programados 470 bloquear configuracin 408 clientes de versiones anteriores 408 configurar la gestin de registros 428 configurar opciones del Centro de Seguridad de Windows 430 opciones de envo 442 poltica de alto rendimiento 407 poltica de seguridad elevada 407 poltica predeterminada 407 Polticas de control de aplicaciones y dispositivos 60 creacin 569 estructura 560 normas deshabilitacin 578 prioridades 577 tipos de controles 560 trabajar con 567 Polticas de excepciones centralizadas 599 Ver tambin excepciones centralizadas configuracin 603 crear excepciones de eventos de registro 610 excepciones para los anlisis de amenazas proactivos TruScan 607 interaccin del cliente 602 para anlisis antivirus y contra software espa 603 restricciones de clientes 609 trabajar con 600 Polticas de firewall acerca de 483484
Polticas de integridad del host acerca de 623 aplicacin automtica 618 creacin 623 compartida 623 requisitos adicin 625 aprobacin incluso cuando una condicin no se cumple 630 definicin 622 edicin 625 ejemplo 619 eliminacin 625 habilitar e inhabilitar 625 planificacin 621 plantillas 626 secuencia 626 tipos 623 requisitos personalizados acerca de 637 condiciones contra software espa 639 condiciones del antivirus 638 condiciones del firewall 640 condiciones del sistema operativo 642 configure la marca de fecha 656 cuadro de mensaje 652 descargar un archivo 653 ejecutar un programa 654 ejecutar un script 655 escritura 648 mensaje de registro 653 opcin de espera 657 opciones de archivo 640 opciones de registro 643 restauracin de integridad del host 631, 633 configuracin de Enforcer 632 posposicin 633 trabajar con 620 preferencias elaboracin de informes 168 prevencin de intrusiones acerca de 482, 507 bloquear equipos atacantes 512 configuracin 509 deshabilitar en los equipos especificados 513 habilitacin 510 notificaciones 537
ndice
677
prioridades de normas Polticas de control de aplicaciones y dispositivos 577 Productos de Symantec exclusiones automticas 419 programa de lectura de pantalla aplicacin bloqueada por Proteccin contra intervenciones 602 programacin copia de respaldo automtica de base de datos 312 copia de respaldo cuando sea necesaria de la base de datos integrada 312 copia de respaldo manual de base de datos de Microsoft SQL 307 copia de respaldo manual de la base de datos con el Asistente para el mantenimiento de bases de datos Microsoft SQL 307 programaciones adicin a una norma 535 programas broma 413 programas de acceso remoto 413 propiedades grupo 73 propiedades del grupo visualizacin 73 propiedades del usuario y del equipo visualizacin 78 Proteccin antivirus y contra software espa bloquear y desbloquear funciones 126 conceptos bsicos 402 Proteccin contra amenazas de red configuracin para el control mixto 523 creacin de notificaciones 536 descripcin general 482 deshabilitacin 522 habilitacin 522 informes 182, 245 registros 211, 245 Proteccin contra intervenciones administracin 343 bloquear y desbloquear funciones 126 excepciones centralizadas 602, 609 mensajes 344 proteccin mediante contrasea anlisis de unidades asignadas 429 cambio de contrasea 429 cliente 133 parmetros 664
Proteccin proactiva contra amenazas acerca de 60 informes 247 proteccin proactiva contra amenazas 544 protocolo LDAP 278 protocolo HTTP 138 protocolo HTTPS 138 Protocolo LDAP 278 protocolos adicin 527 adicin a una norma 529 edicin y eliminacin 528 HTTP 138 HTTPS 138, 295 Proveedor de actualizaciones grupales configurar una poltica de configuracin 115 puertos y comunicaciones 115
Q
quitar un administrador 91
R
reconfiguracin base de datos 304 Base de datos de Microsoft SQL 316 base de datos integrada 318 recopilar informacin de usuario 95 registro externo 225 registros 205, 240 acceso remoto 217 acerca de 152 actualizacin 216 administracin 327 almacenamiento 319 Anlisis 212 anlisis 250 anlisis de amenazas proactivo TruScan 211, 247 auditora 208 borrar de base de datos 321 cliente configuracin de tamao 324 control de aplicaciones y dispositivos 208, 239 cumplimiento 209, 240 detalles de eventos 216 ejecutar comandos de 221
678
ndice
eliminacin opciones de configuracin 219 errores de la base de datos 215 estado del equipo 210, 242 exportacin de datos 225 filtrado 218 filtro ltimas 24 horas 218 guardar configuraciones de filtro 218 mantenimiento de la base de datos opciones 328 Notificaciones 212 Proteccin contra amenazas de red 211, 245 registro de control de clientes 567 replicar 217 riesgo eliminar archivos de Cuarentena 222 Riesgos 211, 249 servidor configuracin de tamao 322 Sistema 212, 251 tipos 206 ver remotamente 217 visualizacin 215 registros de eventos 215 filtro ltimas 24 horas 171, 218 registros e informes de firewall. Ver Proteccin contra amenazas de red reparacin Integridad del host 631 aplicaciones 631 archivos 631 posposicin 633 tiempo de espera 633 replicacin agregar asociado de replicacin 336 combinacin de datos 335 configuracin inicial 336 posterior a la instalacin 336 desconexin de asociado de replicacin 338 descripcin general 331 ejemplo 334 ejemplo ilustrado 333 frecuencia 339 LiveUpdate y 109 opciones de comunicacin 334 paquete de clientes 340 programacin manual 338 registros 341
requisitos personalizados acerca de 637 comentarios 651 condiciones 638 copiar instrucciones 651 eliminar instrucciones 651 escritura 648 funciones 645 instruccin ELSE 647, 650 instruccin IF, THEN, ENDIF 647 instruccin RETURN 646 palabra clave NOT 647 palabras clave AND, OR 647 respuesta activa configuracin 512 restauracin base de datos 304 retirar poltica 379 riesgo 410 Ver tambin riesgos de seguridad deteccin 410 eliminacin 253 informes 184, 249 registros 211, 249 eliminar archivos de Cuarentena 222 riesgos de seguridad 410 Ver tambin riesgo acciones 408 configuracin de acciones 438 omitir durante el anlisis 437 proceso que contina descargando 417 sobre las acciones para 427 rootkits 410 RSA SecurID requisitos previos de autenticacin 89
S
servicios adicin 527 adicin a una norma 529 edicin y eliminacin 528 servicios de red activadores 489 adicin a la lista predeterminada 527 adicin a una norma 529 edicin 528 eliminacin 528
ndice
679
servidor adicin de servidor de directorios 276 administracin 269 directorio 275 normas 492 Proxy FTP 287 Proxy HTTP 287 registros 322 Servidor de Active Directory importacin de la informacin de usuarios de 69 servidor de administracin edicin 141 servidor de directorios LDAP importacin de informacin de usuario al servidor de administracin 278 Servidor de Microsoft Exchange exclusiones automticas 418 Servidor LDAP importacin de grupos de 69 importacin de la informacin de usuarios de 69 servidor proxy FTP 287 HTTP 287 Servidor proxy FTP 287 Servidor proxy HTTP 287 servidor RSA configurar la autenticacin de SecurID 292 usar con Symantec Endpoint Protection Manager 291 servidores de directorios activos 275 adicin 276 LDAP 275 sincronizacin 277 servidores de directorios activos 275 filtro 276 servidores de directorios LDAP 275 bsqueda de usuarios 278 filtro 276 importacin informacin de usuario desde una bsqueda del servidor de directorios LDAP 281 unidades organizativas 282 sincronizacin informacin de usuario 69 servidores de directorios 277 unidades organizativas 283 Sistema informes 188, 251
registros 212, 251 Sitio Web de Security Response Symantec Endpoint Protection acceso desde pgina principal 164 software de seguimiento 414 software espa 413 supervisin de aplicaciones de red 538 Symantec Endpoint Protection Manager comienzo automtico del servicio 270 eliminacin instalaciones mltiples 273 Symantec Security Response 404 envos 443
T
tasas de deteccin envo de informacin a Symantec 442 tecnologa de asistencia crear excepciones centralizadas para 602, 609, 612 tercero contrasea 270 tipos de clientes 68 topologa de seguridad acerca de 64 trfico habilitar trfico inteligente 503 opciones 504 Trfico DHCP 503 Trfico DNS 503 Trfico ICMP 494 Trfico TCP 494 Trfico UDP 495 Trfico WINS 503 Trend Micro PC-cillin 487 TruScan envo de informacin a Symantec 442
U
unidad organizativa importacin 69 unidades organizativas importacin 282 sincronizacin 283 URL especificar la pgina principal del navegador 434 que aparece en notificaciones de error 433
680
ndice
uso compartido de impresoras 529 usuarios agregar a dominio 73 buscar 80 usuarios y equipos acerca de 68 filtrado 80 Utilidad Symantec Database Backup and Restore 302
V
variables en firmas 519 virus 410411 acciones 408 configuracin de acciones 438 sobre las acciones para 427 visualizar propiedades del usuario y del equipo 78
X
XML configuracin del servidor 273

Administration Guide PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Administration Guide PDF

Caricato da

Copyright:

Formati disponibili

Gua de administracin para Symantec Endpoint Protection y Symantec Network Access Control

Symantec Endpoint Protection y Symantec Network Access Control

Soluciones de Servicio y Soporte

Renovacin de la suscripcin de actualizaciones antivirus

Los sitios Web de Symantec:

Symantec Security Response:

Pgina de Servicio y Soporte Empresarial de Symantec:

Boletines de noticias de productos:

Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html

Servicio de Atencin al Cliente de Symantec

Para contactar el Servicio y Soporte mundial

Boletines de noticias de productos:

Italiano: http://www.symantec.com/region/it/techsupp/bulletin/index.html Amrica Latina / ingls: http://www.symantec.com/techsupp/bulletin/index.html

Servicio de Atencin al Cliente de Symantec Direccin postal

Sitio Web: http://www.service.symantec.com/mx Soporte Gold: 001880-232-4615 Resto de Amrica Latina

Sitio Web: http://www.symantec.co.kr MALASIA

Soluciones de Servicio y Soporte ..................................................................... 4

Tareas administrativas bsicas .......................... 39

Introduccin a la proteccin bsica ................................ 57

Configurar dominios, grupos y clientes .......................... 63

Trabajar con paquetes de instalacin de clientes ............................................................................ 93

Eliminar paquetes de actualizacin ................................................ 101

Actualizar definiciones y contenido ............................... 103

Limitar el acceso de usuarios a las funciones de clientes ........................................................................... 125

141 142 143 143 144 145 145

Fundamentos de la elaboracin de informes .............. 147

170 170 171 171

Ver y configurar informes ................................................ 173

Ver y configurar registros y notificaciones .................. 205

230 231 231 236

Usar Supervisin e Informes para asegurar la red ................................................................................... 237

Tareas administrativas avanzadas .................. 259

Administrar servidores ..................................................... 269

Administrar servidores de directorio ............................ 275

Administrar servidores de correo electrnico ............. 285

Administrar servidores proxy .......................................... 287

Administrar servidores RSA ............................................ 291

Administrar certificados de servidor ............................. 295

Administrar bases de datos ............................................. 301

325 325 325 327 327 329 329 330

Administrar Proteccin contra intervenciones ........... 343

Tareas generales de administracin de polticas ..................................................................... 347

Administrar las ubicaciones de un grupo ..................... 359

363 365 366 367 367

Trabajar con polticas ....................................................... 369

Configurar aplicaciones aprendidas .............................. 393

Configurar la proteccin antivirus y contra software espa ........................................................ 399

Configurar Auto-Protect ................................................... 451

Usar anlisis definidos por el administrador .............. 469

Configurar la proteccin contra amenazas de red .......................................................................... 479

Configurar la prevencin de intrusiones ...................... 507

Personalizar la proteccin contra amenazas de red ................................................................................... 521

Configurar la proteccin proactiva contra amenazas .................................................................. 541

551 553 555

555 556 557 558

Configurar Control de aplicaciones y dispositivos ................................................................... 559

578 579 579

Configurar dispositivos de hardware ............................ 581

Personalizar polticas de control de aplicaciones y dispositivos ................................................................... 585

Configurar excepciones centralizadas .......... 597

Adicin de requisitos personalizados ........................... 637

Usar la interfaz de lnea de comandos

ndice .................................................................................................................. 667