LD Ms 2016 Users

GUÍA DE USUARIO
Ivanti
Endpoint Manager
2017
Guía de Usuario
1
IVANTI ENDPOINT MANAGER
Copyright Notice
This document contains information, which is the confidential information and/or proprietary property of
IVANTI Software, Inc. and its affiliates (referred to collectively as "IVANTI"), and may not be disclosed or
copied without prior written consent of IVANTI.
To the maximum extent permitted under applicable law, IVANTI assumes no liability whatsoever, and
disclaims any express or implied warranty, relating to the sale and/or use of IVANTI products including
liability or warranties relating to fitness for a particular purpose, merchantability, or infringement of any
patent, copyright or other intellectual property right, without limiting the rights under copyright.
IVANTI retains the right to make changes to this document or related product specifications and
descriptions, at anytime, without notice. IVANTI makes no warranty for the use of this document
and assumes no responsibility for any errors that can appear in the document nor does it make a
commitment to update the information contained herein. For the most current product information, please
visit www.Ivanti.com.
Copyright © 2003-2017, IVANTI Software, Inc. and its affiliates. All rights reserved. IVANTI and its logos
are registered trademarks ortrademarks of IVANTI Software, Inc. and its affiliates in the United States
and/or other countries. Other brands and names maybe claimed as the property of others
Last updated: 3/8/2017
2
GUÍA DE USUARIO
Contenidos
Contenidos................................................................................................................................................ 3
Bienvenido a la documentacion de IVANTI® Management and Security 2017......................................12
Fuentes de informacion adicionales .................................................................................................... 12
Consola.................................................................................................................................................... 13
Informacion general sobre la consola .................................................................................................. 13
Asistentes de instalacion de la consola ............................................................................................... 14
Iniciode la consola ............................................................................................................................... 16
Vista de red de la consola.................................................................................................................... 17
Dispositivos administrados .................................................................................................................. 29
Visualizar los diagnosticos y registros de dispositivos ......................................................................... 36
Herramientas y funciones de la consola .............................................................................................. 38
Integration de IVANTI Service Desk .................................................................................................... 45
Usodel Inspector .................................................................................................................................. 46
User management ................................................................................................................................... 54
Informacion general sobre la administration basada en roles ...........................................................54
Flujo de trabajo de la administracion basada en roles......................................................................... 55
Usuarios .............................................................................................................................................. 55
Autenticaciones ................................................................................................................................... 58
Roles y derechos ................................................................................................................................. 60
Ambitos ................................................................................................................................................ 73
Agrupaciones ....................................................................................................................................... 76
Restricciones del control remoto.......................................................................................................... 77
Core configuration ................................................................................................................................... 79
Ejecutarel programa de instalacion de IVANTI Endpoint Manager...................................................... 79
Instalacion de consolas de Endpoint Manager adicionales ................................................................. 80
Configuration de la consola Web ......................................................................................................... 81
Activation del servidor central .............................................................................................................. 83
Acerca de la utilidad Activacion del servidor central ............................................................................ 85
Activacion de un servidor central o verification de los datos de cuenta de nodos de forma manual 87
Configuracion de credenciales de servidor COM+ .............................................................................. 88
Configuracion del certificado del servidor de IVANTI Endpoint Manager 2017 ..................................88
Plataformas y funciones compatibles .................................................................................................. 90
Uso de los puertos de Endpoint Manager............................................................................................ 90
Centro de configuracion ....................................................................................................................... 91
Configuring core services ........................................................................................................................ 92
Configuracion de servicios ................................................................................................................... 92
Core synchronization ............................................................................................................................. 104
Sincronizacion de servidores centrales ............................................................................................ 104
Agregarservidores a la lista de sincronizacion del servidor central ................................................... 105
Sincronizarelementos a petition ......................................................................................................... 106
Sincronizacion automatica de elementos .......................................................................................... 107
Exportation e importation de elementos de sincronizacion del servidor central .................................109
Monitor del estadode sincronizacion del servidor central .................................................................. 110
Administracion de conflictos de sincronizacion del servidor central .................................................. 110
Cambiar la configuracion de sincronizacion automatica .................................................................... 110
Agent configuration ................................................................................................................................ 112
Configuracion de agentes de dispositivos ......................................................................................... 112
Operaciones con configuraciones de agentes ................................................................................... 113
Crear una configuracion de agente.................................................................................................... 114
3
Uso del agente de avance ................................................................................................................ 116

Crear una configuration del agente de avance ................................................................................. 118
Actualizar las preferencias de agentes en los dispositivos ............................................................... 119
Crear paquetes de configuracion de agente independientes .......................................................... 120
Seguridad del agente y certificados de confianza ............................................................................ 120
Servicios de subred de election automatica ..................................................................................... 124
Implementation de agentes que no persistentes VDI imagenes ...................................................... 125
Desinstalacion de agentes de dispositivos ........................................................................................ 126
Configuracion de agentes de dispositivos en Linux y UNIX ............................................................. 127
Ayuda de dispositivos administrados ................................................................................................. 127
Agent Watcher ....................................................................................................................................... 148
Information general sobre el Vigilante del agente............................................................................. 148
Supervisar servicios y archivos con el Vigilante del agente ............................................................. 148
Activar y configurar el Vigilante del agente ....................................................................................... 149
Desactivar el Vigilante del agente en dispositivos ............................................................................ 151
Generar informes del Vigilante del agente ........................................................................................ 152
Ayuda del Vigilante del agente .......................................................................................................... 152
Inventario ............................................................................................................................................... 155
Informacion general sobre el rastreo de inventario ........................................................................... 155
Optimization del rastreo de inventario ............................................................................................... 156
Verlos datos del inventario................................................................................................................. 157
Seguimientodecambios del inventario ............................................................................................... 160
Configurar los cambios de inventario ................................................................................................. 161
Visualization, impresion y exportation de los cambios de inventario ................................................ 162
Visualization del registrode los cambios en el inventario de un dispositivo ...................................... 162
Verdatos de bloqueo de la aplicacion y del SO ................................................................................ 163
Uso de formularios de datos personalizados ..................................................................................... 164
Crear un formulario de datos personalizados .................................................................................... 165
Crear ungrupode formularios ............................................................................................................. 166
Configuracion de dispositivos para recibir formularios de datos personalizados ............................. 168
Completarformularios en el dispositivo .............................................................................................. 169
Agregarelementos de software y datos a los rastreos de inventario ................................................ 170
Agregaro eliminar archivos en los rastreos de inventario ................................................................. 172
Agregarelementos personalizados de registro a los rastreos de inventario ..................................... 174
Agregarelementos personalizados de WMI a los rastreos de inventario .......................................... 175
Agregardirecciones URL a los rastreos de inventario ....................................................................... 177
Cambiarlos parametros de los rastreos de inventario ...................................................................... 178
Administrar la configuracion de lista de software.............................................................................. 180
Tareas adicionales de inventarios y resolution de problemas .......................................................... 183
Ayuda de Inventario ........................................................................................................................... 190
Queries/Directory manager .................................................................................................................... 196
Consultas de base de datos .............................................................................................................. 196
Grupos de consultas ......................................................................................................................... 196
Crear una consulta de base de datos ................................................................................................ 197
Ejecutar una consulta de base de datos ............................................................................................ 197
Importary exportar consultas ............................................................................................................. 197
Consultas LDAP................................................................................................................................. 198
Configuracion de directorios LDAP .................................................................................................... 198
Crear una consulta de directorio LDAP ............................................................................................. 199
Acerca de la vista Red de directorios ................................................................................................ 200
Acerca del Protocolo ligero de acceso a directorios (LDAP) ............................................................ 200
Acerca del cuadro de dialogo Consulta LDAP basica ....................................................................... 200
4
GUÍA DE USUARIO
Acerca del cuadro de dialogo consulta LDAP avanzada ................................................................... 201

Acerca del cuadro de dialogo Fuente del Active directory ................................................................. 201
Acerca del cuadro de dialogo Guardar consulta LDAP ..................................................................... 201
Acerca del cuadro de dialogo Nueva consulta................................................................................... 202
Auditing .................................................................................................................................................. 204
Bienvenido a auditorias ..................................................................................................................... 204
Configurarlas auditorias ..................................................................................................................... 204
Enviareventos de auditoria al Visor de eventos de Windows ...........................................................207
Vereventos de auditoria ..................................................................................................................... 209
Creacion de filtros para consultas de eventos de auditoria ...............................................................210
Archivary restaurar los datos de auditoria ......................................................................................... 211
Reports .................................................................................................................................................. 212
Usodelos informes ............................................................................................................................. 212
Derechos necesarios para utilizar informes ....................................................................................... 214
Crearun usuario con derechos de informes ....................................................................................... 216
Ejecucion de informes ........................................................................................................................ 216
Informes Ad hoc ................................................................................................................................. 225
Organizary compartir informes........................................................................................................... 228
Creacion de informes personalizados................................................................................................ 231
Uso de los informes [Consola Web] .................................................................................................. 241
Editor del tablero de resultados ......................................................................................................... 245
Acerca del cuadro de dialogo Programartarea .................................................................................. 246
Scheduling tasks.................................................................................................................................... 248
Programacion de tareas..................................................................................................................... 248
Administracion de secuencias de comandos ..................................................................................... 248
Programarunatarea ............................................................................................................................ 249
Uso de la ventana Tareas programadas ............................................................................................ 250
Vergraficos del estadodel programadorde tareas .............................................................................. 251
Verdispositivos y estados en los graficos del programadorde tareas ................................................252
Cambiar la configuracion predeterminada de tareas programadas ................................................... 252
Plantillas de tareas programadas ...................................................................................................... 253
Cancelarunatarea .............................................................................................................................. 253
Asignacion de destinos a una tarea ................................................................................................... 254
Seleccionardestinos mediante un directorio ...................................................................................... 255
Usarel conocimiento de la zona horaria con los destinos de las tareas ............................................256
Lo que se ve cuando se ejecutan las tareas .....................................................................................256
Supervision del estado de las tareas ................................................................................................ 257
Uso de las secuencias de comandos predeterminadas ................................................................... 258
Descripcion de las opciones de ancho de banda de las tareas .........................................................259
Ayuda de Tareas programadas ......................................................................................................... 260
Uso de la herramienta de diagnostico ............................................................................................... 267
Local scheduler...................................................................................................................................... 270
Acerca del programador local ............................................................................................................ 270
Instalacion del servicio de programador local en un dispositivo no administrado .............................270
Agregado de una tarea con LocalSch.exe ......................................................................................... 271
Crear un comando para el programador local ................................................................................... 272
Eliminacion de una tarea con LocalSch.exe ...................................................................................... 274
Parametros de lmea de comando de LocalSch.exe .......................................................................... 274
Analisis de caracteres y la lmea de comandos del programador local ..............................................275
Remote control ..................................................................................................................................... 277
Uso del visor de control remoto .........................................................................................................277
Conexion a Dispositivos remotos ...................................................................................................... 279
5
Uso de las herramientas de dibujo en los dispositivos remotos ........................................................279

Ajuste de la configuracion de control remoto .....................................................................................280
Uso de nombres alternativos ............................................................................................................. 281
Uso del controladorde reflejo ............................................................................................................. 281
Cambiar la configuracion de las teclas de acceso rapido del visor ...................................................281
Optimizacion del rendimiento del control remoto ...............................................................................282
Interactuarcon los usuarios de dispositivos a control remoto ............................................................283
Cambiar la seguridad de control remoto en los dispositivos ..............................................................285
Uso del historial de registro de control remoto ..................................................................................286
Personalizacion del visor y de los agentes de control remoto ...........................................................287
Solucion de problemas de sesiones de control remoto .....................................................................289
HTML remote control ............................................................................................................................ 290
Control remoto de HTML ................................................................................................................... 290
Inicio de una sesion de control remoto en HTML ..............................................................................292
Uso del portapapeles del control remoto de HTML para transferirtexto y archivos ...........................295
Control de dispositivos que tienen varios monitores con control remoto de HTML ...........................296
Configuracion de las opciones de control remoto de HTML ..............................................................296
Software distribution/Distribution packages/Delivery methods ..............................................................299
Acerca de la distribucion de software ................................................................................................299
Descripcion de los tipos de paquetes de distribucion ........................................................................300
Uso de agrupaciones de distribucion de software .............................................................................303
Descripcion de los tipos de tareas de entrega de distribucion disponibles ........................................304
Distribuir paquetes ............................................................................................................................. 305
Tabajarcon los propietarios y derechos de distribucion ..................................................................... 308
Acerca de la Descarga de archivos ...................................................................................................309
Actualizarel troceo de paquetes......................................................................................................... 309
Ejecutar paquetes de distribucion desde el servidorde origen ..........................................................310
Acerca del reinicio del punto de comprobacion del nivel de bytes y el limite de ancho de banda
dinamica............................................................................................................................................. 311
Usar la distribucion porenvio acelerado ............................................................................................. 311
Uso de la multidifusion autoorganizada con la distribucion de software............................................312
Acciones de paquetes de Windows ................................................................................................... 314
Uso de los paquetes de distribucion MSI ..........................................................................................315
Asignacion de codigos de retorno de distribucion ............................................................................. 318
Asignar codigos de retorno de distribucion ........................................................................................ 320
Exportar e importar plantillas de codigo de retorno de distribucion ...................................................321
Actualizarlas credenciales ejecutar como del paquete ...................................................................... 322
Distribuirsoftware a dispositivos Linux ............................................................................................... 322
Resolucion de errores de distribucion................................................................................................ 324
Procesamiento de las secuencias de comandos personalizadas para distribuirsoftware .................324
Descripcion de los codigos de error de distribucion de software .......................................................326
Conmutadores de la lmea de comandos de distribucion de software SDCLIENT.EXE ....................327
Ayuda sobre Distribucion de software ............................................................................................... 327
Portal Manager ...................................................................................................................................... 353
Acerca del Administradordel portal .................................................................................................... 353
Configuracion del Administradordel portal ......................................................................................... 354
Agregaraplicaciones al Administradordel portal ................................................................................. 355
Application policy management ............................................................................................................. 357
Acerca de la administracion basada en polrticas............................................................................... 357
Configuracion de politicas ................................................................................................................ 358
Crear una distribucion basada en politicas ....................................................................................... 359
Agregardestinos para las politicas .................................................................................................... 360
6
GUÍA DE USUARIO
Descripcion de la forma en que los ambitos afectan a la visibilidad del destino de las politicas ... 361
Software license monitoring ................................................................................................................. 362
Informacion general sobre la monitorizacion de licencias de software ............................................ 362
Uso del tablero de resultados ........................................................................................................... 367
Supervision del uso de software ....................................................................................................... 373
Supervision de la utilizacion de licencias ......................................................................................... 397
Crear un informe de datos del monitor de licencias de software ...................................................... 418
Definicion de grupos de equipos ...................................................................................................... 420
Ver los productos instalados en un grupo de equipos ...................................................................... 421
Unmanaged device discovery 422
Informacion general sobre la deteccion de dispositivos no administrados ....................................... 422
Despliegue de agentes de IVANTI en dispositivos no administrados .............................................. 423
Detectardispositivos no administrados con UDD ............................................................................. 424
Mantener registros de los dispositivos ARP detectados .................................................................. 426
Restaurar registros de cliente ............................................................................................................ 426
Descripcion del filtrado de direcciones IP con Extended Device Discovery (XDD) .......................... 427
Usar la deteccion extendida de dispositivos (con ARP y WAP) 428
Usarlos informes de deteccion extendida de dispositivos ................................................................ 430
Lo que sucede cuando se detecta un dispositivo .............................................................................. 431
Trabajarcon dispositivos detectados medianteXDD ......................................................................... 433
Deteccion de hosts VMWare ESXi virtuales ..................................................................................... 434
Resolucion de resultados inexactos de la version del SO ................................................................. 435
Ayuda de la deteccion de dispositivos no administrados ................................................................. 435
Provisioning 441
Provisioning overview ....................................................................................................................... 441
Steps for provisioning a device.......................................................................................................... 444
Creating templates . 445
Delete a provisioning template ......................................................................................................... 449
Configure a provisioning template ..................................................................................................... 449
Schedule a provisioning task . 450
Product to package mapping ............................................................................................................ 451
Provisioning bare metal devices ....................................................................................................... 452
About the Machine Mapping tool ...................................................................................................... 453
USB-based disconnected provisioning templates ............................................................................ 454
Sharing templates 454
Edit a template's XML code .............................................................................................................. 455
Using installation scripts in provisioning templates .......................................................................... 457
Import and export installation scripts 458
Provisioning device naming templates ............................................................................................. 459
Provisioning history _ 460
Provisioning template groups ........................................................................................................... 461
Define the image store location and tool .......................................................................................... 462
Changing the Windows PE image drivers and wallpaper .................................................................. 462
Re-branding the provisioning client interface .................................................................................... 462
Referencia de plantillas de aprovisionamiento .................................................................................. 463
Despliegue basado en PXE . 495
Hardware independent imaging ........................................................................................................... 499
Hardware-independent imaging overview ........................................................................................ 499
Creating a driver repository .............................................................................................................. 500
Disabling HII drivers . 501
Assigning HII drivers ......................................................................................................................... 501
Using hardware-independent imaging with provisioning templates .................................................. 502
7
IVANTI SmartVue 503

Bienvenido a IVANTI SmartVue ....................................................................................................... 503
Programarla recopilacion de datos SmartVue .................................................................................. 504
Configuracion de fuentes de datos de SmartVue .............................................................................. 505
Configurarubicaciones de SmartVue ................................................................................................ 505
Uso de la aplicacion iOS de SmartVue ............................................................................................ 506
Uso de la aplicacion web SmartVue ................................................................................................. 508
Arquitectura de SmartVue ................................................................................................................. 508
Modificar los widgets de SmartVue ................................................................................................... 509
Activarwidgets . . 511
Acerca del cuadro de dialogo Configuracion de SmartVue ............................................................... 512
Local accounts 514
Informacion general sobre cuentas locales ...................................................................................... 514
Administrargrupos de usuarios locales ............................................................................................. 514
Administrarusuarios locales .............................................................................................................. 515
Asignar usuarios a grupos ................................................................................................................ 516
Cambiar la contrasena de la cuenta local ........................................................................................ 517
Restablecer la contrasena de la cuenta local ................................................................................... 517
Utilizarla herramienta de cuentas locales en el servidor central ...................................................... 518
Ayuda de la administracion de cuentas locales ................................................................................ 518
Managing Macintosh devices ................................................................................................................ 521
Macintosh device management overview ......................................................................................... 521
Agent configuration for Macintosh devices ....................................................................................... 521
Connect to the core serverthrough the IVANTI Cloud Services Appliance ...................................... 527
Run an Inventario scan on Macintosh devices ................................................................................. 528
Remote control Macintosh devices ................................................................................................... 529
Deploy software packages to Macintosh devices ............................................................................. 530
Execute custom tasks with managed scripts .................................................................................... 534
Run scheduled tasks on Macintosh devices ..................................................................................... 534
Software license monitoring and reporting ....................................................................................... 535
Patch and compliance for Macintosh devices .................................................................................. 535
Enabling Mac OS X FileVault encryption .......................................................................................... 536
Operating system provisioning for Macintosh devices ..................................................................... 537
Accessing a Mac device with the remote control viewer ................................................................... 537
Applying Mac configuration profiles .................................................................................................. 540
IVANTI Mac Antivirus settings .......................................................................................................... 542
Introduction to IVANTI Security Suite .................................................................................................... 561
Bienvenido a IVANTI Security Suite ................................................................................................. 561
Herramientas y funciones de Security Suite ...................................................................................... 565
Herramientas comunes de IVANTI que se incluyen con Security Suite ............................................ 570
Network Access Control 574
Informacion general sobre IVANTI NAC ........................................................................................... 574
Descripcion de los componentes basicos de NAC ........................................................................... 575
Prerrequisitos de NAC y derechos de gestion de usuarios .............................................................. 577
Lista detareas de inicio rapidode IVANTI 802.1X NAC 578
Despliegue de la herramienta IVANTI 802.1X NAC . 582
Configuracion de un servidor de reparaciones ................................................................................. 599
Definicion de los criterios de seguridad de cumplimiento y publicacion de la configuracion de NAC 605
Administrarla seguridad de cumplimiento del NAC 802.1X .............................................................. 613
Patch and Compliance 619
Parches y cumplimiento ................................................................................................................... 619
Rollout projects 717
8
GUÍA DE USUARIO
Overview of rollout projects .............................................................................................................. 717

Security configurations ......................................................................................................................... 731
Informacion general sobre la configuracion del agente ..................................................................... 731
Creartareas para cambiarconfiguraciones ....................................................................................... 732
Crear una tarea para instalar o actualizar componentes de seguridad ............................................ 734
Crearunatarea para eliminar componentes de seguridad ................................................................ 737
Configurar las opciones de Windows Firewall .................................................................................. 739
Generar codigos de autorizacion de seguridad ................................................................................. 741
Ajustes adaptables 742
Ayuda de configuracion del agente ................................................................................................... 748
Security activity 890
Informacion general sobre Actividad de seguridad .......................................................................... 890
Configurar las opciones del umbral de actividad de seguridad ........................................................ 894
Purgar la actividad de seguridad ...................................................................................................... 895
Configurar alertas de seguridad ....................................................................................................... 896
Endpoint security 898
Informacion general sobre Endpoint Security ................................................................................... 898
Habilitary desplegar Endpoint Security . 899
Lo que sucede en los dispositivos con Endpoint Security ................................................................ 900
Ayuda de Endpoint Security 901
Control de aplicaciones 903
IVANTI Firewall . . 914
Control de dispositivos ..................................................................................................................... 920
IVANTI Antivirus 929
Informacion general de IVANTI Antivirus ......................................................................................... 929
Administracion basada en roles con IVANTI Antivirus ..................................................................... 932
Flujo de trabajo de las tareas de antivirus ........................................................................................ 933
Configurardispositivos para implementarla proteccion de Antivirus ................................................. 933
Eliminar IVANTI Antivirus de los dispositivos ................................................................................... 936
Actualizar los archivos de definiciones de virus ............................................................................... 937
Evaluarlos archivos de definiciones de virus con una prueba piloto ................................................ 941
Copia de seguridad de los archivos de definiciones de virus ........................................................... 942
Rastrear dispositivos en busca de virus ........................................................................................... 942
Habilitar la proteccion de antivirus en tiempo real (archivos, correo electronico) ............................ 945
Configurar las opciones de rastreo de antivirus con la configuracion de antivirus ........................... 947
Lo que sucede en un dispositivo durante un rastreo de antivirus .................................................... 953
Configurar alertas de antivirus .......................................................................................................... 955
Generar informes de antivirus .......................................................................................................... 956
IVANTI Antivirus heredado ................ 956
Configuracion de IVANTI Antivirus . 975
Ayuda de IVANTI Antivirus Action Center/ Licencias ...................................................................... 1011
Power management ............................................................................................................................ 1014
Informacion general sobre el Administradorde energia de IVANTI®............................................... 1014
Crear una politica de administracion de energia ............................................................................. 1016
Desplegar una politica de administracion de la energia ................................................................... 1017
Quitaruna politica de administracion de la energia .........................................................................1017
Programaruna activacion remota .. 1018
Administracion de las aplicaciones que esten en conflicto con las politicas de energia .................1019
Configurar las aplicaciones que no se deben apagar ......................................................................1020
Configurar las aplicaciones que se deben apagar ...........................................................................1021
Configurar las aplicaciones a ignoraren los registros de alertas ....................................................1021
9
Ver los informes de administracion de energia 1022

Ejecutarun informe sobre la administracion de energia ..................................................................1024
Utilizar los datos historicos para realizar informes sobre energia ...................................................1024
Recopilardatos de utilizacion de clientes . . 1025
Eliminar datos antiguos de utilizacion de clientes ...........................................................................1026
Configuracion personalizada del consumo de energia ...................................................................1026
Generar un archivo XML para realizar los calculos de utilizacion predeterminados ......................1028
Ver el registro de alertas de la administracion de energia . 1029
Configuracion del agente: Administracion de energia 1030
Configuracion del agente: Administracion de energia de Mac.........................................................1032
Credant Data Protection 1034
Informacion general sobre IVANTI Data Protection ........................................................................1034
Prerrequisitos de Proteccion de datos ............................................................................................1036
Uso de la herramienta de Proteccion de datos ...............................................................................1037
Desplegar el software del agente de Proteccion de datos a los dispositivos administrados ..........1039
Ver la informacion de Proteccion de datos en el inventario ....................................... 1039
Generar el informe de Proteccion de datos ....................................................................................1042
Acerca del Servidorde proteccion de datos: Pagina de propiedades del servidor ....................... 1043
Acerca del Servidorde proteccion de datos: Pagina de Conexion a la base de datos ................... 1045
Alerting 1046
Informacion general sobre las alertas y el monitor .......................................................................... 1046
Informacion general sobre el Monitor e inventario en tiempo real .................................................. 1048
Monitor de dispositivos para supervisar la conectividad de red ......................................................1048
Configurar las alertas del monitorde dispositivos ...........................................................................1049
Apagado del servicio ModemView ................. 1050
Uso de las alertas ........................................................................................................................... 1050
Reglamentos de alertas .................................................................................................................. 1057
Supervision del desempeno ............................................................................................................ 1072
Registros de alertas . - 1077
Supervision especifica de hardware ............................................................................................... 1083
Intel vPro 1094
Deteccion de dispositivos vPro .......................................................................................................1094
Aprovisionamiento de dispositivos Intel vPro .................................................................................. 1094
Aprovisionamiento basado en el host (aprovisionamiento automatico) ..........................................1096
aprovisionamiento remoto (aprovisionamiento sin intervencion) ....................................................1097
Funciones de administracion de Intel vPro ...................................................................................... 1099
Configurar el acceso KVM remoto ................................................................................................... 1099
Defensa del sistema con reparaciones ........................................................................................... 1100
Acceso de dispositivos conTLS ...................................................................................................... 1101
Administracion de energia y redireccion IDE .................................................................................. 1101
Configuracion de dispositivos Intel vPro .......................................................................................... 1102
Politicas de seguridad de red de Intel vPro .....................................................................................1105
Configuracion general de Intel vPro................................................................................................. 1107
Cambiar la contrasena de Intel vPro ............................................................................................... 1108
Modificacion de las cadenas de texto de notificacion al cliente de Intel vPro .................................1109
Uso de los identificadores de aprovisionamiento (aprovisionamiento de un toque) ....................... 1109
Importacion y exportacion de los identificadores de aprovisionamiento ......................................... 1112
Generarun lotede identificadores de aprovisionamiento de Intel vPro ........................................... 1114
Cambio de la contrasena en dispositivos Intel vPro ....................................................................... 1116
Compatibilidad inalambrica de Intel vPro......................................................................................... 1117
Rollup cores ......................................................................................................................................... 1119
Instalacion de un servidor central de resumen ............................................................................... 1119
10
GUÍA DE USUARIO
Configurarla replica del servidor SQL para los servidores de inscripcion centrales ...................... 1119
Solucion de errores de replica de resumen ..................................................................................... 1125
Preferred servers and content replication ............................................................................................ 1128
Informacion general sobre Servidores preferidos y replicacion de contenido ................................ 1128
Servidores preferidos ....................................................................................................................... 1129
Fuentes y duplicacion ...................................................................................................................... 1132
Replicadores .................................................................................................................................... 1134
Ayuda de la replica de archivos ....................................................................................................... 1137
Cloud Services Appliance .................................................................................................................... 1144
Configuration de IVANTI Cloud Services (Management Gateway) ................................................. 1144
Uso del registradorde actividad de los dispositivos Cloud Services ................................................ 1147
Tenant management ............................................................................................................................ 1149
Informacion general sobre la Administration de inquilinos ............................................................... 1149
Creation de un inquilino ................................................................................................................... 1149
Cree un inquilino .............................................................................................................................. 1150
Agregardispositivos de inquilinos..................................................................................................... 1151
Agregardispositivos de inquilinos..................................................................................................... 1151
Elimination de inquilinos y dispositivos del inquilino ........................................................................ 1152
Eliminar un inquilino o un dispositivo del inquilino ........................................................................... 1152
Administracion de dispositivos de un inquilino................................................................................. 1153
Application virtualization ...................................................................................................................... 1155
IVANTI Virtualization de aplicaciones .............................................................................................. 1155
Distribuiruna aplicacion virtualizada................................................................................................. 1155
Uso del inventario y la supervision de licencias de software con aplicaciones virtualizadas ......... 1157
Web Consola ....................................................................................................................................... 1158
La consola Web ............................................................................................................................... 1158
Ver la consola del Monitor e inventario en tiempo real [consola web] ............................................ 1175
El escritorio de mantenimiento......................................................................................................... 1182
Accesoremoto .................................................................................................................................. 1185
Distribution de software ................................................................................................................... 1193
Alertas y monitoreo .......................................................................................................................... 1210
Consultas ......................................................................................................................................... 1211
Administracion de inventarios .......................................................................................................... 1222
Mantenimiento e instalacion de la base de datos central ................................................................ 1226
Inventario Manager .............................................................................................................................. 1228
Administradorde inventario de IVANTI............................................................................................. 1228
11
Bienvenido a la documentacion de
IVANTI® Management and Security
2017
IVANTI® Management and Security 2017 consta de una amplia variedad de herramientas poderosas y
faciles de usar que puede utilizar para ayudarle a administrary proteger los dispositivos de Windows,
Macintosh, movil, Linuxy UNIX. Las herramientas de Management and Security 2017 mejoran la
productividad y la eficiencia del usuario final y del administrador de TI.
Para obtener informacion acerca de las novedades, consulte Novedades de.

Para consultar las notas de la version, las instrucciones de instalacion e informacion adicional
importante, no dude en visitar la pagina del anuncio de Management and Security 2017 en la comunidad
de IVANTI:
• https://community.Ivanti.com/support/docs/DOC-39935
Fuentes de informacion adicionales

Puede navegar a los temas de ayuda de del Centro de ayuda de IVANTI o realizar una busqueda de una
palabra clave espedfica o una frase para ubicar la informacion que desee.
La Comunidad de usuarios de IVANTI tiene foros de usuarios y los metodos mejor conocidos de todos
los productos y tecnologfas de IVANTI. Para tener acceso a este valioso recurso, vaya a:
• Pagina principal de la Comunidad de usuarios de IVANTI

La comunidad de usuarios es tambien su recurso principal para obtener informacion de despliegue e instalacion de
Management and Security 2017, como:
• Requisitos del sistema

• Instrucciones de instalacion
• Activacion del servidor central
• Puertos utilizados
• Actualizacion a partir de versiones anteriores
• Instalacion de productos complementarios
12
GUÍA DE USUARIO
Consola
Informacion general sobre la consola
La Consola del IVANTI Administrator le permite efectuartodas las funciones de administracion de la red
desde una sola ubicacion. Desde una unica consola, puede distribuir y actualizar el software o las
opciones de configuracion, diagnosticar problemas de hardware y software, implementar imagenes del
SO y migrar perfiles de usuario, utilizar la administracion basada en roles para controlar el acceso de los
usuarios a las funciones y a los dispositivos, utilizar las funciones de control remoto para orientar a los
usuarios finales o resolver problemas, y mas.
[pmaie Vartani Ajjjie

sarvoo
Cckcrvj
15 r
SLC £ * COR |C»3fc}.ar-<

|SLC
I | Utmo
010016227 085 CN44choiiV Joih Oll-St«ot OU-SLC DC-co«pD
ThooaOan 25/07/2009 8 4414
u Mn (fapotAxM
172027 003 0» oLANDE5K-4*62062\W««V Heneen CN-Adant 25/07/2009 9 07 *3
PanMNOinak 010016240000 Jonea.OU-LTS.OUMANOeak UM>I DC-U 28/07/2009 16 3) 16
M Adnnt4ieo6n da T odei 1M <4WK*4P-OI
010016240168 SYSTEM 25/07/2009 8 28 » MoowAWt
Hotfi veluaiei de $0
SLC 182168080 061 CN-eJaVv Aaaon OU-Coniiec»o*t OU-Stppwi 25/07/2009 920 12 MooidlWi
|JW. CffrjiaWr de cortrtot de
AARONNEAL 9
V SLCAFERUANDEZ 172 027004 082 0U-S CN-f emandeA Arrtabele.OU-Salei OU-SLC 29/07/2009 8 5526 MoonllW.
9 SLcecAftNEv6i 17202700)2» DC-<
CN-Ce neyV B«i OU-U«e*t 0U-G8R OC- 25/07/2009 8 *5
172027003 <opDC- 47
B SLC8NAHRW0LD50
'ft
172027 CN-N«hmald\ B.«r,OU-C«/»*:fc.tOU-€«oneei.
010016227144
003 MoowdWt
172027 003 097 MKKBOflWl
3LC«TOVEYT CN-ToveA BiedOU-Sele: OU-SLC OC-<op DC-
61 010016228158 CN-Wh/eV
* BiooieOU-Servacet OU-SLC DC-coap Mieaoiott Wi
SLC8WMTE6
1
SLCOJNTRACTOfi 172027003111 CN-V<KT, Tew*.0U-fr>ence0U-5LC.0C-c<»«> MceonftWa
SLC CORE 172 027000 026 CN^rock GiegOUHT OU-SLC DC-cotpDC-evoce McfosodWa
SLCCPU1NAM40 172027 00)011 CN.4>UnemV Chuck 0U-S»*eott 0U -SLC .0 C- MoowHW.
SLC CW1LS0N61 010016228018 cop Moo-.dlWi
CN-V/4aenV C<«g OU-€ngnee<ngOU-SLC
192168001 121 DC Mootoli We-
, 08 .r AT90
17202700231 MuoiOllWa
010016227162 MceoaoMW
9 SLC-OHUMPHRIES3
172027004 0» a
CN UiAoaV PereetOUôrHiecloai OU-
V SLCOSTAUTTER 172027 0» 178 CN-Si«iteA
CrianeeIM Ooug.OU-frunce OU-SLCOC-c<»p
010015006 036 CN-CecA* f o m ala i .OU-Loceto«boavDC-«ea»
>LC€3CLOf
l 172027024 099 DC-<eb CN-Rench**Y RechelOLI-foeace.OU-
172027029003
«5* CN*€e»\. H»*«d0U-L*Qd.0U-$LCDC-c&p.OC-
5LC.DC-w 29/07/2009 9 1 2
SLCINELS0N60
SLCM8AI661 172027 00)158 CN-Nett«n\ laecc OU-Selei OU-SLC DC- 17
29/07/2009 9 1 313
17202700136 coipDC-
SI PCTCRS0NTI CN-4>e»e..oA J«echClU-f»w«*.OU-SLCDC-<» 29/07/200991858
SLCJRAOZ1SZEW 172027 00)157 CN-Aedaueav*A JoiftueOU-Sacco* OU-SLC DC 25/07/2009 91242
S SLCJTAGGT61P 010016227 103 CN-TeggS *Ar».OU-{ngweeinaOU-SlC.OC-«ac. 25/07/2009 8 15 39
SLCKHAMSEN 172 02700)148 CN-HenaenV KoayOU-tngneacng OU-SLC DC- 25/07/2009 951 51
SLC *S TONE ST 172027029 002 co
28/07/2009 16 5216
CN-SionwV ».«en 0U-Sa(e«0U-SLCDC-copDC
500 SLC* THOMAS 010016227 061
CN-ThomMV LemOU-EngnaeiroOU-SLCDC-ca 29/07/2009 8 41
161 11
Qer/e kvtiro
L_J AnMto
— Egupot
Q Irtcxmei / MordoiiieaCc
^ y ccnpc4ic4n
^ CotmJawoa O C o'tl ^ Ackvaded de AdminofcecC Sin<icmac-> Iffl Adoetiakedoa Delecadn de I C onf«gjac«3n

Conartw de | TESTLeecAe
Ueuaao
A Barra de herramientas de la consola, B Menu de diseno, C Menu del servidor central, D Herramientas, E Grupos
de Herramientas, F Vista de red, G Lista de resultados, H Barra de busqueda, I Panel de herramientas, J Barra de
herramientas, KEtiquetas de herramientas, L Barra de estado
Los temas de ayuda de esta seccion describen como navegar y usar la consola para visualizar y
organizar los dispositivos, asf como la forma de tener acceso a las diferentes herramientas de
administracion.
13
Obtener una instalacion completa y al dla e informacion sobre la configuracion
Puede disponer de varios servidores y bases de datos para satisfacer sus necesidades especficas de
administracion de redes. Para obtener informacion sobre la instalacion del servidor de central y la consola
de IVANTI Endpoint Manager, sobre consolas adicionales, la consola Web y la administracion de multiples
servidores centrales y bases de datos, consulte la documentacion de la Comunidad de usuarios de IVANTI.
NOTE: La Comunidad de Usuarios de IVANTI

La Comunidad de usuarios de IVANTI tiene foros de usuarios y los metodos mejor conocidos de todos los
productos y tecnologfas de IVANTI. Para tener acceso a este valioso recurso, vaya a: Pagina principal de la
Comunidad de usuarios de IVANTI
Asistentes de instalacion de la consola

Los asistentes estan disponibles en varias areas de IVANTI Endpoint Manager. Estos asistentes proceden
a traves de una serie de instrucciones a medida que el usuario completa los pasos descritos.
Los asistentes aparecen automaticamente cuando hay una instalacion nueva y se puede tener acceso a
ellos en el menu de Ayuda en cualquier momento. Puede seguir los pasos del asistente para aprender
mas acerca de la funcion o funcion espedfica. O puede marcar la casilla de verificacion No volver a
mostrar este asistente para evitar que el asistente aparezca automaticamente.
Asistente para empezar
El asistente Introduction le ayudara a configurar IVANTI Endpoint Manager con el fin de realizar las
siguientes funciones:
• Programartareas en los dispositivos administrados

• Administrar dispositivos de Intel vProy de IPMI
• Dispositivos manejados a control remoto
• Ver usuarios de dominio en la Consola Web
14
GUÍA DE USUARIO
Deteccion e instalacion de los asistentes de agentes

El asistente de Deteccion e instalacion de agentes le ayuda al usuario a configurar IVANTI Endpoint
Manager para realizar las siguientes funciones:
• Deteccion: busca dispositivos en la red que IVANTI Endpoint Manager no conoce. Se pueden
especificar los intervalos de direcciones IP a rastrear en la red.
• Implementar un agente: instala al agente de Administracion de IVANTI en los dispositivos que se
van a administrar.
Asistente de actualizaciones de seguridad
El asistente Descargar actualizaciones de revisiones le ayuda al usuario a descargar y manejar los

archivos de las definiciones de vulnerabilidades de revisiones y seguridad que se encuentran en los
15
servidores de contenido de IVANTI El asistente ayuda a configurartareas para descargar actualizaciones,

iniciartareas y programar descargas futuras.
Asistente de Creacion de roles y grupos
El asistente Administration de usuarios le ayuda a realizar los pasos necesarios para administrar quien
puede tener acceso a los dispositivos de la red y que herramientas o funciones espedficas se pueden
utilizar en esos dispositivos. Lo lleva a traves del proceso de crear un ambito, un rol y un permiso de grupo
de usuarios.
Inicio de la consola
Para iniciar la consola
1. Haga clicen Inicio > Programas > IVANTI > Endpoint Manager. (El nombre real del programa
puede cambiar dependiendo del producto de IVANTI que se haya instaladoy de la licencia que se
uso para su activacion en el servidor central).
2. Escriba el nombre de usuario y la contrasena.
Si se va conectar a un servidor central remoto, siga las reglas habituales de Windows para el inicio
de sesion remoto (por ejemplo, si el usuario es local para el servidor central, escriba unicamente el
nombre de usuario; si se trata de un usuario de dominio, escriba el nombre de dominio o de
usuario).
3. Seleccione el servidor central al que desea conectarse. El usuario debe disponer de las
credenciales de autenticacion adecuadas para el servidor central.
4. Haga clic en Aceptar.
La consola se abre con la disposition (tamano, position, ventanas de herramientas abiertas, etc.) utilizada la
ultima vez que el usuario finalizo una sesion.
En las otras consolas, las credenciales que se utilicen para iniciar sesion en Endpoint Manager deben
coincidir con las credenciales que utilizo para asignar las unidades al servidor central. Caso contrario,
podna ver un error de "Conexiones multiples" en el cuadro de dialogo de la consola.
Acerca del cuadro de dialogo Inicio de sesion
Utilice este cuadro de dialogo para ejecutar la consola y conectarse a un servidor central.
• Nombre de usuario: identifica al usuario de IVANTI. puede ser un usuario administrador u otro tipo
de usuario con acceso restringido (consulte "Informacion general sobre la administracion basada en
roles" (54)). El usuario debe ser miembro de uno de los grupos de IVANTI en el servidor central.
Siga las normas habituales de Windows para iniciar sesion
remota (por ejemplo, si el usuario es local en ese servidor central, escriba unicamente el nombre de
usuario; si se trata de un usuario de dominio, escriba el nombre_de_dominio\nombre_de_ usuario).
• Contrasena: la contrasena de usuario. (NOTA: si un administrador de IVANTI cambia la contrasena

de otro usuario, por ejemplo la de un usuario de una consola adicional, la nueva contrasena no
16
GUÍA DE USUARIO
surtira efecto hasta que el usuario reinicie la consola. En ese momento, el usuario debe introducir la
contrasena nueva para iniciar una sesion en la consola).
• Servidor central: Especifica el servidor central al que desea conectarse. Esta lista es igual a la lista
del servidor central que esta disponible en la barra de herramientas de la consola.
Inicio de sesion unico en la consola de IVANTI
Con el inicio de sesion unico, el usuario puede iniciar sesion en la consola de IVANTI sin introducir un
nombre de usuario ni una contrasena. Si el usuario ya ha iniciado sesion, las credenciales de Windows
pasaran y la consola no solicitara al usuario la informacion de inicio de sesion.
Para habilitar el inicio de sesion unico
1. En el servidor central, haga clic en el icono Consola de administracion de IVANTI para abrir la
ventana IVANTI Endpoint Manager.
2. En el campo Nombre de usuario, introduzca el dominio\nombre de usuario.

3. En el campo Contrasena, escriba la contrasena.
4. Haga clic en Iniciar sesion para abrir la consola de IVANTI.
5. En la consola de IVANTI, haga clic en Configurar | Servicios para abrir la ventana Configurar los
servicios de software de IVANTI.
6. En la pestana General, del campo Inicio de sesion unico, seleccione Solo.

7. Haga clic en Aplicar.
Vista de red de la consola

Descripcion de la Vista de red
La Vista de red es la ventana principal de la consola yconstituye el punto de inicio de la mayona de las
tareas administrativas. Aqrn puede ver los datos de inventario de dispositivos, crear consultas para buscary
agrupar dispositivos, seleccionar dispositivos para efectuar control remoto, etcetera.
La ventana de la Vista de red se encuentra siempre abierta y contiene dos paneles. En el panel izquierdo
se muestra una vista jerarquica de arbol del servidor central y la base de datos a la cual se esta conectado
actualmente, asf como los grupos de Dispositivos, Consultas y Configuration correspondientes. Los
objetos del arbol se pueden expandir o contraer segun sea necesario. El panel derecho (B) de la Vista de
red muestra una lista detallada de los elementos del grupo seleccionado.
17
Panel de la Vista de red A, vista de la lista de los elementos seleccionados B
Puede cambiar el tamano de la ventana de la vista de red y de los paneles y columnas correspondientes,
aunque no se puede cerrar. Al contrario que las ventanas de herramientas, la ventana de la vista de red no
es acoplable.
NOTE: Administracion basada en rolesLos dispositivos que puede visualizary administrar en la Vista de red y
las herramientas que puede utilizar dependeran de los derechos de acceso y del ambito de los dispositivos que
le haya asignado el administrador. Para obtenermas informacion, consulte "Informacion general sobre la
administracion basada en roles" (54).
La Vista de red contiene los siguientes grupos y subgrupos:
Central
El objeto Central identifica el servidor central al que esta conectado actualmente. El objeto Central se
encuentra justo debajo de la rafz de Vista de la red y se puede contraery expandir.
Sintaxis del nombre del objeto central
La sintaxis para el nombre de objeto central es:
Nombre de servidor\Instancia de base de datos
18
GUÍA DE USUARIO
Dispositivos
El grupo Dispositivos incluye los siguientes subgrupos de dispositivos.
• Mis dispositivos: Muestra una lista de los dispositivos del usuario que ha iniciado sesion en funcion
del ambito de dicho usuario. El usuario puede crear subgrupos de dispositivos unicamente en Mis
dispositivos. Para agregar dispositivos al grupo Mis dispositivos o a uno de sus subgrupos, el
usuario debe copiarlos de los grupos Dispositivos publicos y Todos los dispositivos. Los
usuarios tambien pueden hacer clic y arrastrar los dispositivos de Dispositivos publicos y Todos
los dispositivos al grupo Mis dispositivos.
NOTE: Arrastrar y colocar elementos en la Vista de red

Al hacer clic en un elemento para arrastrarlo a otro grupo en la Vista de red, el cursor indica donde puede o no
colocar dicho elemento. Al mover el cursor sobre un objeto del grupo, el signo mas (+) indica que se puede
agregar el elemento al grupo y un "signo de tachado" (circulo con una linea inclinada) indica que no se puede
agregar. 1 2
• Dispositivos publicos: Muestra una lista de los dispositivos que ha agregado algun administrador
(un usuario con derecho de administrador de IVANTI) y que provienen del grupo Todos los
dispositivos. El administrador ve todos los dispositivos del grupo y los demas usuarios ven
solamente los dispositivos permitidos en su ambito. Asimismo, solo el administrador puede crear un
subgrupo en Dispositivos publicos.
2 Todos los dispositivos: Se muestra un listado no jerarquico (sin subgrupos) de todos los
dispositivos que puede ver el usuario que actualmente ha iniciado sesion en funcion del ambito de
dicho usuario. Para el administrador, Todos los dispositivos incluye la totalidad de los dispositivos
administrados que se han rastreado en la base de datos central. Los dispositivos configurados con
los agentes estandar de IVANTI aparecen automaticamente en el grupo Todos los dispositivos
cuando el rastreador de inventario los rastrea en la base de datos central.
Para los usuarios regulares, Todos los dispositivos es un compuesto de los grupos Mis dispositivos y
Dispositivos publicos del usuario.
Los administradores y usuarios pueden ejecutar informes de activos en los dispositivos de este grupo.
Tambien puede agregar de forma manual los equipos a la vista de red. Para ello, haga clic con el boton
derecho en el grupo Todos los dispositivos, seleccione y haga clic en Insertar nuevo equipo, llene la
informacion de dispositivo y de red, y haga clic en Aceptar. Estos equipos tambien aparecen en el
subgrupo Equipos agregados por el usuario bajo el grupo Configuracion.
Hosts de SO virtuales
El grupo Hosts de SO virtuales muestra los servidores virtuales de VMWare ESX. El grupo de Hosts de SO
virtuales incluye los siguientes grupos de configuracion:
• Mis hosts de SO virtuales: muestra una lista de Hosts de SO virtuales del usuario que ha iniciado
sesion, con base en el ambito de dicho usuario. El usuario solo puede crear subgrupos
19
de dispositivos en Mis hosts de SO virtuales.

Los usuarios pueden agregar dispositivos a su grupo de Mis hosts de SO virtuales, o cualquiera de
sus subgrupos. Para ello, se copian y pegan a partir de los grupos de hosts Publicos de SO virtuales
yTodos los hosts de SO virtuales. Los usuarios tambien pueden hacer clicy arrastrar hosts de SO
virtuales desde Hosts publicos de SO virtuales yTodos los hosts de SO virtuales al grupo de Mis
hosts de SO virtuales.
• Hosts publicos de SO virtuales: presenta una lista de dispositivos que algun administrador de
Endpoint Manager ha agregado desde el grupo Todos los hosts de SO virtuales. Los usuarios con
derechos de administrador de IVANTI ven todos los dispositivos del grupo, mientras que los demas
usuarios de Consola solamente ven los dispositivos permitidos en su ambito. Solo el administrador
puede crear un subgrupo bajo Hosts publicos de SO virtuales.
• Todos los hosts de SO virtuales: muestra un listado de todos los hosts de SO virtuales que
pueden ser vistos por el usuario en sesion, con base en su ambito, en forma de una lista "plana" (sin
subgrupos). Para el administrador, Todos los hosts de SO virtuales presenta una lista de todos los
hosts de SO virtuales administrados que se encuentran en la base de datos. Los hosts de SO
virtuales configurados mediante los Agentes de IVANTI estandar aparecen automaticamente en el
grupo o la carpeta de Todos los hosts de SO virtuales cuando el rastreador de inventario los rastrea
en la base de datos.
• Hosts de SO virtuales del usuario: presenta una lista de todos los hosts virtuales del sistema
operativo en la base de datos (organizado por subgrupos de usuario). A los subgrupos de usuario
se les asigna un nombre compuesto por los ID de inicio de sesion de usuario (por ejemplo, nombre
de equipo\cuenta de usuario o cuenta de dominio\usuario). Cada grupo de usuarios incluye los
hosts de SO que aparecen en el grupo Mis hosts de SO virtuales de ese usuario.
Consultas
El grupo Consultas incluye los siguientes subgrupos de consultas.
• Mis consultas: Muestra una lista de las consultas creadas por el usuario que ha iniciado una sesion
o de aquellas consultas agregadas al grupo Consultas de usuarios por un administrador. El
usuario puede crear, modificary eliminar grupos de consultas y consultas en el grupo Mis
consultas. Ademas, puede copiar consultas a este grupo desde el grupo
Consultas publicas.
Toda consulta ejecutada por un usuario esta limitada a la serie de dispositivos definida por el ambito del
usuario. Por ejemplo, si el ambito de un usuario es Todos los equipos, la consulta buscara todos los
dispositivos de la base de datos central, pero si el ambito del usuario se limita a 20 equipos, la consulta solo
buscara estos 20 equipos. Para obtener mas informacion sobre la creacion de consultas, consulte
"Consultas de base de datos" (196).
• Consultas publicas: muestra una lista de las consultas agregadas por un administrador o usuario
con derecho de Administracion de consultas publicas (PQM). Solo los usuarios con derechos de
administrador de IVANTI o derechos de PQM pueden agregar, modificar o eliminar grupos de
consultas o consultas en el grupo Consultas publicas. No obstante, todos los usuarios pueden ver
las consultas del grupo y pueden copiarlas en su propio grupo Mis
consultas.
20
GUÍA DE USUARIO
• Todas las consultas: Se muestra un listado no jerarquico (sin subgrupos) de todas las consultas
que puede ver el usuario que actualmente ha iniciado sesion en funcion del ambito de dicho
usuario. Todas las consultas es un compuesto de los grupos Mis consultas y Consultas
publicas del usuario.
Los administradores pueden utilizar este grupo para ejecutar las consultas de un usuario que quedan fuera
del ambito de dicho usuario, actuando como si fueran el propio usuario. De este modo, el administrador
puede obtener la vista previa exacta de los resultados que el usuario puede ver al ejecutar la consulta.
Ambitos
La Vista de red incluye un acceso directo para ver los ambitos existentes o para modificar o crear nuevos
ambitos. Tambien puede definir los campos que desee que aparezcan en la Vista de la red.
Para obtener detalles acerca de como crear y utilizar ambitos, consulte "Crear un ambito" (74).
Configuracion
El grupo Configuracion incluye los siguientes subgrupos de configuracion.
• Cola de espera de PXE: Se muestra un listado de las colas de espera de PXE y de los dispositivos
que estan esperando en estas.
• Servidor de estructura metalica: presenta una lista de los dispositivos de estructura metalica que
han sido creados para aprovisionar las tareas.
• Aprovisionamiento de PXE (Windows PE): presenta una lista de los dispositivos de destino de las
tareas de aprovisionamiento de Microsoft Windows PE.
• Representantes de dominio de multidifusion: Este elemento solo se aplica a dispositivos con
versiones de agentes posteriores a la 9.6. Muestra una lista de los representantes de dominio de
multidifusion que se pueden utilizar para el equilibrio de carga de la distribucion de software. Para
obtener mas informacion, consulte "Uso de la multidifusion autoorganizada con la distribucion de
software" (312).
• Representantes de PXE: Muestra una lista de los dispositivos configurados como representantes
de PXE que pueden implementar imagenes del SO en los dispositivos de su subred.
• Implementaciones de los clientes no administrados pendientes: Muestra un listado de
dispositivos que se han detectado con la herramienta de Deteccion de dispositivos no administrados
y que estan esperando una tarea de configuracion de agente. Para obtener mas informacion,
consulte "Informacion general sobre la deteccion de dispositivos no administrados" (422).
• Equipos agregados por los usuarios: (Administrador solamente) presenta una lista de los equipos
que se han agregado de forma manual a la Vista de red a traves del cuadro de dialogo Insertar
nuevo equipo (haga clic con el boton derecho en el grupo Todos los dispositivos).
21
Resultados del Inspector
Cuando se utiliza el Inspector de IVANTI para ver los datos, se puede hacer doble clic en un grafico de la
ventana del Inspectory ver los detalles en la ventana Resultados del Inspector.
Cuando se visualizan los resultados de esta manera, se puede hacer que los datos realicen acciones.
Porejemplo, en Inspector detareas programadas, un grafico puede mostrar cuantos dispositivos tuvieron
errores en una tarea. Si hace doble clic en el grafico, podra ver los dispositivos individuales que figuran en
la carpeta Resultados del Inspector. Se puede entonces aplicar una accion a los dispositivos (como reiniciar
la tarea) o ver un informe con los datos para hacer seguimiento.
Los datos de la carpeta Resultados del inspector cambian cada vez que se hace doble clic en un grafico de
una ventana del inspector.
Iconos de la Vista de red

Observe que en la Vista de red, aparece un icono junto a cada elemento de la lista de resultados, el cual
identifica el tipo de dispositivo. Dependiendo de si el agente esta instalado o no, del dispositivo conectado
actualmente, del estado de integridad, etcetera, puede que aparezca una imagen diminuta sobre el icono
del dispositivo o junto a el, luego de haber hecho clic en este icono.
El agente y la integridad se pueden actualizar para los dispositivos de uno en uno a medida que se
seleccionan en la vista de red o bien para todos los dispositivos visibles en la vista de red al mismo tiempo.
Asimismo, puede actualizar el estado de un dispositivo si lo selecciona y hace clic en el boton Actualizar de
la barra de herramientas. Para obtener informacion sobre como configurar la gestion de la deteccion de
agentes, consulte "Configurar la deteccion de agentes" (33).
NOTE: Resolucion de imagen de los iconos

Estos iconos de colores de alta densidad requieren como minimo una configuracion de color de 16 bits. Si los
iconos de la consola aparecen desenfocados, cambie la configuracion de color en Propiedades de pantalla de
Windows.
22
GUÍA DE USUARIO
Crear grupos en la Vista de red
Los grupos le ayudan a organizar los dispositivos y consultas en la Vista de red de la consola. Puede crear
grupos para organizar los dispositivos de red segun la funcion, ubicacion geografica, departamento,
atributos del dispositivo o cualquier otra categona que satisfaga sus necesidades. Puede crear, por
ejemplo, un grupo de mercadeo para todos los dispositivos del departamento de mercadeo o un grupo que
incluya todos los dispositivos que ejecutan un SO concreto.
Reglas para la creacion de grupos
• Mis dispositivos y Mis consultas: los administradores y todos los demas usuarios pueden crear
grupos en Mis dispositivos yen Mis consultas.
• Dispositivos publicos: Solo los administradores pueden crear grupos en Dispositivos publicos.
• Consultas publicas: unicamente los administradores o usuarios con derechos de "Administracion
de consultas publicas" pueden crear grupos en Consultas publicas.
• Todos los dispositivos y Todas las consultas: No existe ningun subgrupo en Todos los
dispositivos o Todas las consultas. Los usuarios, incluyendo los administradores, no pueden
crear grupos en Todos los dispositivos o Todas las consultas.
Para crear un grupo
1. En la vista de red de la consola, haga clic con el boton derecho sobre el grupo principal (como por
ejemplo Mis dispositivos) y, a continuacion, seleccione Nuevo grupo. O bien, seleccione el grupo
principal y luego haga clic en Modificar > Mis dispositivos > Nuevo grupo.
2. Escriba un nombre para el nuevo grupo y, a continuacion, pulse la tecla Intro.
23
Configuracion de la Vista de red con conjuntos de columnas

Los conjuntos de columnas permiten la personalizacion de los datos de inventario que se muestran en el
panel derecho de la vista de red, para las listas de dispositivos yde resultados de consultas. Cada columna
de un conjunto de columnas representa un atributo (o componente) unico del inventario rastreado. Por
ejemplo, el conjunto de columnas predeterminado que se muestra en la vista de red esta compuesto por los
atributos Nombre del dispositivo, el Tipo y el Nombre del SO.
Utilice la herramienta de Configuracion de conjuntos de columnas (Herramientas > Administration >

Configuracion de conjuntos de columnas) para creartantos conjuntos de columnas como desee. Luego,
para aplicar un conjunto de columnas, arrastrelo hasta un grupo de dispositivos o a un objeto de consulta
en la Vista de red en forma de arbol.
Herramienta de conjuntos de columnas
La ventana de Herramienta de conjuntos de columnas organiza los conjuntos de columnas en tres

categonas:
• Mis conjuntos de columnas: conjuntos de columnas creados por el usuario que ha iniciado la
sesion.
• Conjuntos de columnas publicos: conjuntos de columnas creados por un administrador, o
predefinidos en los conjuntos de columnas.
• Todos los conjuntos de columnas (solo visibles para el administrador): conjuntos de columnas
creados portodos los usuarios de IVANTI.
Los usuarios pueden copiar un conjunto de columnas del grupo Conjuntos de columnas publicos en su
propio grupo Mis conjuntos de columnas y luego modificar las propiedades de los conjuntos de columnas.
Puede crear subgrupos bajo el objeto Mis conjuntos de columnas para organizar los conjuntos de
columnas aun mas.
Crear conjuntos de columnas

Los conjuntos de columnas se crean en el cuadro de dialogo Configuracion de columnas. Cada columna
representa un atributo o componente de inventario unico que se ha rastreado en la base de datos central.
Las columnas aparecen de izquierda a derecha en la Vista de red. Se pueden especificar los atributos que
se desean incluir al momento de crear o redactar un conjunto de columnas.
24
GUÍA DE USUARIO
Para crear un conjunto de columnas
1. Haga clic en Herramientas > Administration > Configuration de conjuntos de columnas.

2. Seleccione el objeto Mis conjuntos de columnas (o el objeto Conjuntos de columnas
publicos) y luego haga clic en el boton Crear un nuevo conjunto de columnas de la barra de
herramientas.
3. En el cuadro de dialogo Configuracion de columnas, escriba un nombre para el nuevo conjunto

de columnas.
25
4. Seleccione los atributos de inventario de la lista y agreguelos a la lista de Columnas haciendo clic en
Agregar a las columnas. No olvide seleccionar los atributos que le ayudaran a identificar los
dispositivos de la lista de dispositivos devueltos por la consulta.
5. (Opcional) Puede personalizar como y cuando aparecen las columnas en la Vista de red mediante la
modificacion directa de los campos de encabezado, alias yorden de un componente; o mediante la
eliminacion o traslado del componente seleccionado hacia arriba o abajo en la lista haciendo uso de
los botones disponibles.
6. (Opcional) Puede especificar datos de calificacion mas precisos para los componentes de software.
Seleccione el componente, haga clic en el boton Calificary seleccione un valor clave principal en la
lista de valores disponibles. Para obtener mas informacion, consulte "Especificar la opcion de
calificacion con los componentes de software" (28).
26
GUÍA DE USUARIO
7. Haga clic en Aceptar para guardar el conjunto de columnas.

Visualizacion de las columnas
Si despues de definir ciertos atributos de inventario, decide que desea ocultar una columna o cambiar su
posicion en la Vista de red, puede utilizar el menu contextual para ver el dialogo Seleccionar columnas.
Para cambiar u ocultar columnas
1. Haga clic con el boton derecho en cualquier dispositivo de la lista de resultados de la Vista de red.
2. Seleccione Columnas...
3. Utilice los botones Agregar ->, <-Eliminar, Subir o Bajar para organizar las columnas.
Tambien puede volver a la configuracion original de visualizacion de columnas haciendo clic en

Predeterminada.
Aplicar conjuntos de columnas a grupos y consultas de dispositivos
Una vez que ha creado un conjunto de columnas, arrastrelo a un grupo o subgrupo de dispositivos o a un
objeto espedfico de consulta en un grupo o subgrupo de consultas. La lista de dispositivos, o de resultados
de consultas, muestra la informacion de inventario especificados por el conjunto de columnas seleccionado
en el panel derecho de la Vista de red.
Observe que para las listas de dispositivos, es persistente seleccionar distintos conjuntos de columnas aun
27
cuando se seleccionan varias vistas de consultas. No obstante, para los resultados de las consultas, el
conjunto de columnas debe reaplicarse cuando se alterna entre diversas consultas.
Tambien puede hacer clic con el boton derecho en el conjunto de columnas para acceder al menu
contextual para very ejecutartareas comunes, asfcomo para very modificar sus propiedades. El menu
contextual incluye las opciones siguientes:
• Agregar a nuevo grupo

• Agregar a grupo existente
• Pertenencia a grupos
• Establecer como configuracion predeterminada
• Ver como informe
• Exportar como CSV
• Copiar
• Eliminar
• Cambiar nombre
• Propiedades
• Informacion
• Exportar
• Copiar a otros servidores centrales
• Sincronizacion automatica
• Columnas
Especificar la opcion de calificacion con los componentes de software
Durante la creacion de los conjunto de columnas que incluyen componentes de software, puede especificar
un criterio calificador para los componentes mediante la eleccion de un valor clave principal que sea
especfico. El calificador de software permite la identificacion mas precisa de los datos que desee buscar
con una consulta y que desee mostrar en la columna de componentes de software. Por ejemplo, puede
configurar el conjunto de columnas para que muestre la informacion de una sola version de las
aplicaciones especficas. Para ello, seleccione el nombre del archivo ejecutable de la aplicacion como
calificador.
Para especificar un calificador de componentes de software, seleccione el componente en la lista de
Columnas, haga clic en el boton Calificary seleccione un valor en la lista de valores claves principales que
estan disponibles y haga clic Aceptar.
Acerca del cuadro de dialogo Configuracion de columnas
Este cuadro de dialogo contiene las opciones siguientes:
• Nombre: Identifica la configuracion de columnas.

• Atributos del inventario: Se enumeran todos los objetos y atributos del inventario rastreados en la
base de datos central. Expande o contrae los objetos al hacer clic en el cuadro que hay a la
28
GUÍA DE USUARIO
izquierda de cada objeto.

• Agregar a las columnas: Traslade el atributo de inventario seleccionado hasta la lista de
columnas. Si selecciona un componente de inventario completo, todos los atributos de directorio
que contiene dicho componente se agregaran a la lista de columnas.
• Columnas: Se enumeran los atributos de inventario en el orden en que apareceran, de izquierda a
derecha, en la Vista de red.
• Calificar: Permite especificar un calificador de datos preciso para el componente de software
seleccionado. Para obtener mas informacion, consulte "Especificar la opcion de calificacion con los
componentes de software" (28).
• Quitar: Elimina el atributo seleccionado de la lista.
• Subir: Desplaza el atributo seleccionado una posicion hacia arriba.
• Bajar: Desplaza el atributo seleccionado una posicion hacia abajo.
• Aceptar: Guarda la configuracion de columnas actual ycierra el cuadro de dialogo.
• Cancelar: cierra el cuadro de dialogo sin guardar ninguno de los cambios.
Dispositivos administrados
Ver los dispositivos administrados
Los dispositivos que ejecutan agentes de IVANTI aparecen automaticamente en el grupo Todos los
dispositivos cuando el rastreador de inventario los rastrea en la base de datos central. Generalmente,
este rastreo se realiza por primera vez durante la configuracion inicial de un agente de dispositivo.
Una vez que se rastrea un dispositivo ysu informe de inventario se envfa a la base de datos central, este se
considera un dispositivo administrado. En otras palabras, ese servidor central podra administrarlo ahora. Si
desea obtener mas informacion acerca de la configuracion de dispositivos, consulte "Configuracion de
agentes de dispositivos" (112).
29
Como el grupo Todos los dispositivos se rellena automaticamente mediante un rastreo de inventario, es
probable que nunca deba detectar a los dispositivos de forma manual. Para detectar a los dispositivos que
aun no se han rastreado en la base de datos central, puede realizar un sondeo de la red mediante la
herramienta de deteccion de dispositivos no administrados. Para obtener mas informacion, consulte
"Visualizacion de un inventario de resumen" (157).
Cuando se encuentra conectado con un servidor central espedfico, el administrador puede ver todos los
dispositivos administrados por ese servidor central. otros usuarios tienen restricciones y unicamente
pueden ver los dispositivos que residen dentro del ambito que tengan asignado (un ambito tiene como base
una consulta de base de datos o una ubicacion de directorio). Para obtener mas informacion, consulte
"Informacion general sobre la administracion basada en roles" (54).
Ver las propiedades del dispositivo

En la Vista de red de la consola, puede ver rapidamente la informacion acerca de algun dispositivo si hace
clic sobre este en la lista de dispositivos y selecciona Propiedades.
30
GUÍA DE USUARIO
Dialogo de Propiedades del dispositivo
Utilice este cuadro de dialogo para visualizar informacion util acerca del dispositivo seleccionado. El cuadro
de dialogo contiene tres pestanas: Inventario, Dispositivo y Agentes. Haga clic en cada una de ellas para
ver la informacion correspondiente.
Acerca de la pestana Inventario
La pestana Inventario contiene un resumen de los datos de inventario del dispositivo. Para obtener mas
informacion, consulte "Visualizacion de un inventario de resumen" (157).
Pestana de Dispositivo
La pestana Dispositivo contiene informacion basica acerca de un dispositivo, incluidas su ubicacion e

identidad en la red. Esta pestana tambien aparece al insertar manualmente un dispositivo (en el menu
contextual del grupo Todos los dispositivos, haga clic en Insertar equipo nuevo).
* Dispositivo:
• Nombre: El nombre que aparece en la base de datos central y en la vista de red del
dispositivo.
Si inserta un dispositivo de forma manual, puede asignarle un nombre facil de recordar.
Si no escribe un nombre, el nombre predeterminado del dispositivo sera el nombre del
equipo Windows.
31
• Tipo: El tipo de dispositivo, tal como Windows Server 2008 o XP Workstation.

• Red:
• Nombre de IP: El nombre del equipo Windows del dispositivo.
• Direction IP: La direccion IPasignada al dispositivo.
• Memoria fisica: Direccion ffsica del dispositivo.
Acerca de la pestana Agentes
La pestana Agentes contiene informacion acerca del estado actual de los agentes y la configuracion del
control remoto del dispositivo.
• Estado del Agente de base comun: Indica si el agente de IVANTI estandar (Agente de base
comun) esta cargado en el dispositivo.
• Estado de monitor e Inventario en tiempo real: indica si el agente de monitor e inventario en
tiempo real esta cargado en el dispositivo.
• Estado del agente de control remoto: Indica si el agente de control remoto esta cargado en el
dispositivo. Si este agente no esta cargado en el dispositivo, las operaciones de control remoto
(como por ejemplo la transferencia de archivos y la conversacion) no estaran disponibles.
• Tipo de seguridad: Indica el modelo de seguridad de control remoto utilizado para el dispositivo.
Entre las opciones se incluyen: Plantilla local, Seguridad de Windows NT/plantilla local y Basada en
certificado/plantilla local.
• Permitir: Muestra las operaciones de control remoto que se permiten en el dispositivo. Estas
operaciones se habilitaron en la configuracion del agente de dispositivo.
• Configuracion: Indica el modo en que funciona el control remoto cuando intenta interactuar con el
dispositivo.
Datos de inventario
Los datos de inventario proveen informacion mas detallada sobre el dispositivo. Puede ver informacion
ampliada sobre el inventario haciendo doble clic en el nombre de dispositivo del panel de resultados de la
Vista de la red.
32
GUÍA DE USUARIO
Configurar la deteccion de agentes

La deteccion de agentes es el proceso utilizado para encontrar dispositivos administrados que tienen
instalados los agentes estandar o de control remoto de IVANTI. Estos dos agentes proporcionan la
siguiente capacidad:
• Agente estandar de IVANTI: Activa el PDS (Servicio de deteccion de ping). Si el agente estandar
de IVANTI esta instalado en algun dispositivo, puede programar las distribuciones de software y las
configuraciones del dispositivo.
• Control remoto: Permitetener acceso a un dispositivo ycontrolarlo de modo remoto.
La deteccion de agentes utiliza TCP/IP para comprobar los agentes que se ejecutan en los dispositivos.
Se utilizan las direcciones IPcomo criterio de busqueda para llevar a cabo una deteccion de agentes
estandar de IVANTI que tengan TCP/IP. busca los agentes estandar y de control remoto de IVANTI en los
dispositivos en un ambito espedfico de direcciones IP. Este ambito de direcciones dependera de la
direccion de red IP que se proporcione.
33
Si no designa direcciones de red de subred cuando realiza la busqueda en TCP/IP, la deteccion se realiza
unicamente en el segmento de red en el que reside la consola que inicia la deteccion. Por ejemplo, si ha
instalado cuatro consolas y cada una reside en un segmento de red diferente, debera iniciar cuatro rastreos,
uno desde cada una de las cuatro consolas.
En los segmentos de red en los que no existen consolas, debe utilizar direcciones de red de subredes para
tener acceso a la informacion de ese segmento de red.
NOTE: Si dispone de uno o mas servidores de seguridad en la red, la deteccion de agentes no se puede utilizar
para buscar fuera de los servidores de seguridad, ya que estos generalmente limitan el flujo del trafico de
paquetes a los puertos designados.
La deteccion de agentes predeterminada esta configurada para realizar deteccion en el dispositivo

seleccionado solamente. Puede ajustar las opciones de deteccion siguiendo los pasos a continuacion.
Para configurar las opciones de deteccion de agentes
1. Haga clic en Configurar > Opciones de deteccion del agente.

2. Seleccione la opcion de deteccion y actualizacion que desee. Para obtener mas informacion,
consulte la seccion siguiente.
Configurar las alertas del monitor de dispositivos

Si desea que el monitor de dispositivos le notifique cuando los dispositivos administrados esten en lfnea o
queden fuera de lfnea, debe configurar primero un reglamento de alertas que efectue acciones adicionales
(como recibir un correo electronico cuando se envfe la alerta).
Para configurar la alerta de supervision de dispositivos
1. Haga clicen Herramientas > Configuration > Alertas.

2. En el arbol de Alertas, amplfe el elemento Reglamentos de alertas.
3. Haga clic con el boton derecho en Reglamentos de alertas del servidor central y haga clic en
Modificar.
4. A la izquierda del panel de Reglamento de alertas de la ventana de Reglamento, haga clic en

Alertas.
5. En el panel de Alertas, bajo la carpeta Estandar, haga clic en Monitor de dispositivos.
6. En el panel derecho, haga clic en Reglas > Agregar.
7. Arrastre la alerta Conectividad del sistema de monitor de dispositivos al pozo de Alertas de
la parte inferior de la pagina.
34
GUÍA DE USUARIO

Acciones y arrastre cualquier accion adicional que desee al pozo de Acciones. La configuracion
predeterminada del administrador de registros de alertas del servidor central es la accion. Puede
seleccionar enviar un correo electronico o una captura de SNMP, o ejecutar un archivo ejecutable
en el servidor central cuando se reciba la alerta. (Debe definir cada accion, como especificar a
donde enviar las alertas por correo electronico.)
9. A la izquierda del panel de Reglamento de alertas de la ventana de Reglamento, hacer clic en
Tiempo y arrastrar Siempre hasta el pozo de Tiempo.
10. Haga clic en el boton Aceptar situado junto a los pozos.
11. En el panel de Acciones a la derecha, haga clic en Publicar.
12. En el panel de Reglamento de alertas a la derecha, haga clic en Resumen de reglas y haga
doble clic en la regla que se creo.
13. En el dialogo que aparece, marcar la caja de Integridad si se quiere que el estado de salud de un
dispositivo de la consola cambie cuando se esta conectado o desconectado, luego hacer clic en
Aceptar para cerrar el dialogo.
14. Hacer clic en Publicar para publicar cualquier cambio que se haya hecho en el dialogo y cerrar la
ventana de Reglamento.
NOTE: Cuando se configuran las alertas, la configuracion se aplica a todos los dispositivos que se esten
supervisando.
Monitor de dispositivos para ver la conectividad de red

El monitor de dispositivos permite supervisar con regularidad la conectividad de todos los dispositivos
administrados.
La configuracion del ping es espedfica del dispositivo que ha seleccionado. Cuando un dispositivo deja de
responder a un ping (cuando queda fuera de lfnea), se agrega una notificacion de alerta en el registro del
servidor central. Si desea ser notificado con otra accion de alerta, como recibir un correo electronico cuando
un dispositivo quede fuera de lfnea, puede configurar una alerta en el reglamento de alertas del servidor
central.
Para supervisar la conectividad de los dispositivos administrados
1. Haga clic en Configurar > Monitor de dispositivos.

2. Haga clic en Agregar. Seleccione uno o varios dispositivos de los que desea supervisar y luego
haga clic en Agregar.
3. Especifique la configuracion de Frecuencia de Ping, el numero de reintentos y el lfmite de tiempo
de espera.
Acerca del cuadro de dialogo Configurar supervision del dispositivo
Utilice este cuadro de dialogo para configurar las opciones de supervision del dispositivo siguientes.
35
• Supervisar estos dispositivos: Muestra una lista de los dispositivos que se estan supervisando
actualmente.
• Agregar: Abre el cuadro de dialogo Agregar dispositivos supervisados desde donde puede
buscary seleccionar los dispositivos administrados que desee supervisar.
• Quitar: Elimina el dispositivo seleccionado de la lista.

• Frecuencia de ping: Controla cuando y como ocurre la operacion de ping. Esta configuracion se
puede aplicar a todos los dispositivos individualmente.
• Enviar ping cada: Programa un ping periodico en el intervalo de minutos especificado.

• Programar diariamente a: Programa un ping diario a la hora especificada.
• Reintentos: Especifica el numero de intentos de envfo de ping.
• Tiempo de espera: Especifica el numero de segundos del tiempo de espera de los intentos
de envfo de ping.
• Aceptar: guarda los cambios y cierra el cuadro de dialogo.

• Cancelar: cierra el cuadro de dialogo sin guardar los cambios.
Visualizar los diagnosticos y registros de dispositivos

IVANTI® Endpoint Manager 9.6 SP1 ha agregado un nuevo visor de diagnosticos y registros de
dispositivos. Puede acceder haciendo clic con el boton derecho sobre un dispositivo y haciendo clic en
Tareas programadas y diagnosticos.
La ventana Diagnosticos y registros cuenta con las siguientes funciones:
• Registros de cliente individuales (tiempo real) que se muestran en el visor del registro
• Obtenga todos los registros de clientes y carguelos en el servidor central o en la consola adicional
como archivo zip.
• Ver los registros del servidor central

• Exportacion CSV de los dispositivos.
36
GUÍA DE USUARIO
• Deteccion de ping PDS en tiempo real (las diferencias se muestran en rojo)

• Inventario
• Control remoto HTML5
• Visualizador de eventos remoto
• Sistema de archivos remoto
• Sincronizar polrticas
• Buscar la web en busca de contenido de registro resaltado o del codigo de retorno actual
• Buscar en cualquier columna
Visualizacion de registros del dispositivo

El visor de registros integrado cuenta con las siguientes funciones:
• Visor de registros integrado (permite un maximo de 50K de informacion de registro, existe la opcion
de utilizar un editor externo)
• Muestra automaticamente el registro de errores, si esta disponible para la tarea seleccionada
• Resaltar sintaxis
• Buscar (max. 200 coincidencias)
• Ver tareas del programador local de clientes (tiempo real)
• Ver historial de tareas de cliente (tiempo real)
• Ver historial de modificaciones del inventario de cliente (tiempo real)
• Opcion de buscar la web en busca de texto resaltado
• Desplazamiento automatico hasta el final del registro
Puede ver los siguientes registros de cliente:
• Instalar agente
• AC (instalar, Ldav, Ldav_scan y Ldav_update)
• Descargas actuales
• Recopilar productos
• Programador local
• Sincronizacion de polfticas
• Host del proxy
• Host de servicio
• Reiniciar
• Instalador de software (sdclient)
• Dialogo de estado
• Escaner de vulnerabilidades (vulscan)
Puede ver los siguientes registros centrales:
37
• Consola
• LDAP (schedldapresolver)
• Controladordetareas de poiftica
• Aprovisionamiento
• Consuitas (schedquery)
• Servidor central de vuinerabilidades
Herramientas y funciones de la consola

Acceso a las herramientas de la consola
Las herramientas de la consola estan disponibles tanto a traves del menu de Herramientas (A) como del
Cuadro de herramientas (B). Para habilitar el Cuadro de herramientas, haga clic en Ver > Cuadro de
herramientas. Sin embargo, para guardar espacio en la consola, puede escoger no activar el Cuadro de
herramientas y solamente seleccionarlas en el menu de Herramientas.
A Menu de Herramientas, B Panel de Herramientas
El administrador de Endpoint Manager ve todas las herramientas tanto del menu de Herramientas como
del Cuadro de herramientas. Los usuarios de Endpoint Manager vera unicamente las herramientas y
funciones que les esten permitidas en funcion de los derechos quetengan asignados. Las herramientas que
dependen de los derechos que no se le han concedido a un usuario no apareceran en el menu de
Herramientas ni en el Cuadro de herramientas cuando dicho usuario inicie una sesion en la consola. Por
ejemplo, si un usuario no tiene derechos de "Administracion de energfa", la herramienta de "Administracion
de energfa" no aparecera en el menu de Herramientas ni en el Cuadro de herramientas.
Cuando se hace clic sobre el nombre de una herramienta, se abre la ventana de dicha herramienta en la
consola, debajo de la Vista de la red.
38
GUÍA DE USUARIO
Las ventanas de las herramientas se pueden cambiar de tamano, acoplar, hacer flotar, ocultary cerrar.
Puede tener varias ventanas de herramientas abiertas al mismo tiempo, ya sean acopladas o flotantes.
Para obtener mas informacion, consulte "Mover y cambiar el tamano de las ventanas de herramientas" (39).
Favoritos
Si encuentra que utiliza ciertas herramientas mas a menudo que otras, puede establecer rapidamente una
caja de herramientas de Favoritos haciendo clic con el boton derecho en cualquier herramienta del cuadro
de herramientas y seleccionando "Mostrar en Favoritos". De esta forma de puede tener acceso a Favoritos
mediante el boton de Favoritos de la parte inferior del panel Herramientas.
Mostrar/Ocultar imagen
Mover y cambiar el tamano de las ventanas de herramientas

La consola permite abrirtantas herramientas como deseey moverlas dentro yfuera de la ventana principal de la
consola.
NOTE: Puede guardar las disposiciones de consola disenadas y preferidas para determinadas tareas de
administracion, y restaurar una disposicion guardada siempre que sea necesario. Para obtener mas informacion,
consulte "Guardar la disposicion de la consola" (43).
Cuando abre varias ventanas de herramientas, estas aparecen como pestanas en una unica ventana. La ventana
de herramienta activa se muestra en la parte superior, con una pestana para cada herramienta abierta en un lado
o en la parte inferior de la misma. Haga clic sobre una pestana para visualizar la ventana de herramientas.
39
Acoplar las ventanas de herramientas
Se puede "acoplar" una ventana de herramientas arrastrandola a alguno de los bordes de la consola. Se dice que
la ventana se encuentra acoplada cuando esta adjunta a un vertice de la consola. Puede acoplar las ventanas en
sentido horizontal o vertical en la consola.
Para acoplar una ventana de herramientas
1. Haga clic en la barra de trtulo de la ventana yarrastre la ventana a algun borde de la consola
2. Cuando aparezca el rectangulo de acoplamiento (contorno atenuado de la ventana) que indica que la
ventana se va a acoplar, suelte el boton del raton. La ventana se adjuntara a ese vertice de la consola.
Hacer flotantes las ventanas de herramientas
Tambien se puede desacoplar la ventana de herramientas yarrastrarla (tomandola por la barra de trtulo) de
manera que pueda "flotar" a otra ubicacion dentro o fuera de la consola. Las ventanas de herramientas flotantes
se pueden arrastrar o cambiar de tamano para quitarlas temporalmentey dar mas espacio para trabajar en otras
tareas. Cuando se arrastra la ventana de herramientas, las etiquetas de cualquier herramienta abierta en ese
momento tambien flotaran con ella. Para regresar la herramienta a su ubicacion acoplada o predefinida,
simplemente haga doble clic en ella. O puede arrastrarla de regreso a su posicion y soltarla cuando aparezca el
rectangulo gris de acoplamiento en la ubicacion correcta
Observe que unicamente las ventanas de herramientas (aquellas a las que se puede tener acceso desde el menu
Herramientas o el Cuadro de herramientas) pueden existir como ventanas acopladas, flotantes o con pestanas. Se
puede cambiar el tamano de la ventana de vista de red, pero no puede organizar con pestanas junto con otras
ventanas, convertir en una ventana flotante fuera de la consola o cerrar.
Si minimiza y, a continuation, restaura la ventana principal de la consola, todas las ventanas acopladas y flotantes,
incluidas las ventanas con pestanas, tambien se minimizan y restauran.
40
GUÍA DE USUARIO
Ocultar automaticamente las ventanas de herramientas
Las ventanas de herramientas tambien admiten la funcion Ocultar automaticamente. Ocultar automaticamente es
un boton en forma de chincheta en la esquina superior derecha de una ventana que permite mantener una
ventana en su lugar u ocultarla.
Cuando la chincheta esta clavada (por ejemplo, la imagen de la chincheta apunta hacia abajo), la ventana
permanecera fija en ese lugary la funcion de Ocultar automaticamente estara temporalmente deshabilitada.
Cuando la chincheta esta desclavada (por ejemplo, la imagen de la chincheta apunta hacia la izquierda) la
ventana entra en el modo Ocultar automaticamente cuando el cursor se desplaza fuera de ella. Mediante la
funcion Ocultar automaticamente se minimiza y acopla la ventana en uno de los vertices de la consola y, en su
lugar, se muestra una pestana.
El Panel de herramientas tambien admiten la funcion de ocultar automaticamente.
Buscar elementos utilizando la barra Buscar

La barra de Busqueda aparece en una barra de herramientas cuando tenga sentido que el usuario busque algun
elemento espedfico en alguna lista relacionada. Por ejemplo, cada vez que una lista de elementos aparece en la
parte superior o inferior de la consola, se incluye la barra de Busqueda en esta vista para facilitar localizar algun
elemento especfico en la lista correspondiente.
Un ejemplo puede ser util. Considere una organization quetiene 10000 nodos en la base de datos. Un usuario pide
ayuda, y el miembro de asistencia tecnica tiene que encontrar el dispositivo en la consola. El miembro de
asistencia tecnica puede pedir el nombre de acceso del usuario o el nombre de equipo, o cualquier otra
information especfica de usuario y dispositivo y buscar el registro exacto entre las 10000 entradas en un Segundo
o dos.
1. Seleccione el grupo Todos los dispositivos. La barra Buscar aparece al principio de la lista.
2. En el cuadro de texto Buscar, escriba el texto que desea buscar.
3. En la lista En la columna, seleccione la columna en la cual desea buscar
Paso 2 Buscar cuadro de texto, 3 En la lista de columna, 4 Boton de busqueda
Para buscar un elemento con la barra Buscar
1. Haga clic en el boton de la barra de herramientas Buscar.
La lista resultante muestra solo los elementos que coinciden con los criterios de busqueda.
41
Opciones de la barra de herramientas

La consola incluye una barra de herramientas que proporciona acceso mediante un solo clic a las
operaciones mas comunes de la vista de red asf como a algunas opciones basicas de configuracion de la
consola. Los botones de la barra de herramientas aparecen atenuados cuando se selecciona un elemento
de la Vista de red que no admite esa operacion.
Botones de la barra de herramientas de la consola
• Cottar: Quita elementos de la Vista de red y los almacena temporalmente en el portapapeles. Si

corta un elemento por error, utilice el comando pegar para restaurarlo. Se debe restaurar el
elemento eliminado antes de ejecutar cualquier otro comando.
• Copiar: Copia elementos de una ubicacion de la Vista de red a otra diferente.
• Pegar: Pega elementos que se han cortado o copiado.
• Eliminar: Elimina el elemento de modo permanente. No se pueden restaurar elementos que se
hayan eliminado de la Vista de red.
• Actualizar: Actualiza el grupo o elemento seleccionado en la Vista de red. Ademas, puede
contraery expandir un grupo para actualizar sus elementos. Tambien puede hacer clic en Ver >
Actualizar para actualizar el elemento seleccionado actualmente en la Vista de red.
• Actualizar ambito: Actualiza el grupo o elemento seleccionado en la vista de red, en funcion del
ambito del usuario que ha iniciado la sesion (tal como se define en la herramienta Usuarios). Los
ambitos se actualizan cuando los usuarios inician sesion o cuando algun usuario de consola con
privilegios administrativos haga clic en este boton.
• Disposition: Muestra un listado de las disposiciones de ventana que tenga guardadas. Seleccione
una disposicion de la lista desplegable para restaurar la consola a esa disposicion. Si desea
guardar la disposicion actual, haga clic en el boton Guardar la disposicion actual.
• Servidor central: Muestra un lista de los servidores centrales a los cuales se ha conectado antes
(lo cual hace que figuren en la lista). Puede seleccionar un servidor central de la lista o bien escribir
el nombre de unoy pulsar Escribir. Se busca el servidor central en la red y si se encuentra, se le
solicita que inicie sesion con un nombre de usuario y una contrasena validos.
Barra de estado
La barra de estado de la parte inferior de la consola muestra la siguiente informacion (de izquierda a
derecha):
5/48 elementos seleccionados Estado de agente: ciclo finalizado Usuario: TESTAcecilia A\
Elementos de la barra de estado
• Numero de elementos seleccionados en un listado

• Nombreyestado de la tarea actual
• Nombre del usuario que actualmente ha iniciado sesion
42
GUÍA DE USUARIO
Temas de la consola
La consola tiene varios temas de colores que puede seleccionar. Seleccione un tema de la lista
desplegable Tema situada en la barra de herramientas de la consola. El valor predeterminado es
"Expression Dark". Pruebe alguna de las otras opciones si desea un tema diferente.
Solo puede seleccionar un tema de la lista de temas disponibles. No es posible personalizar un tema existente ni
crear uno propio.
Theme: Expression Dark v
Silver Pearl
Black Pearl
Blue Glow
Silver Glow
Charcoal Grey
Retro
Embers
Modern Blue
Modern Green
Modern Orange
Steel
Guardar la disposicion de la consola

Las disposiciones son configuraciones guardadas de la consola e incluyen la posicion y el tamano de la
Vista de red, el Cuadro de herramientas y todas las ventanas de herramientas abiertas. Se pueden utilizar
para guardary restaurar configuraciones de consola personalizadas que resulten particularmente utiles
para determinadas tareas o usuarios.
Para cambiar la disposicion de la consola, seleccione una disposicion guardada en la lista Disposicion de
la barra de herramientas principal.
Para guardar la disposicion actual
1. Configure la interfaz de consola del modo que desee.

2. Haga clic en el boton Disco situado junto a la lista Disposicion de la barra de herramientas.
3. Escriba un nombre exclusivo para la disposicion.
43
Acerca del cuadro de dialogo Administrar disposiciones de ventanas
Utilice este cuadro de dialogo para administrar disposiciones de ventanas guardadas y para
restablecer la ventana de la consola a la disposicion anterior.
• Disposiciones guardadas: Muestra una lista detodas las disposiciones guardadas.

• Restablecer: Devuelve la ventana de la consola a la disposicion anterior.
• Eliminar: Elimina la disposicion seleccionada.
• Cambiar nombre: Permite cambiar el nombre de la disposicion seleccionada.
Cambiar la conexion al servidor central

La consola le permite very administrar el contenido de cualquier base de datos asociada a un servidor
central al que se puede conectar en la red. Esto permite crear bases de datos para diferentes sitios,
unidades organizativas o redes internas logicas.
Unicamente se puede conectar a un servidor central a la vez.

Para cambiar las conexiones al servidor central
1. Seleccione un servidor central en la lista desplegable Central que esta ubicada en la parte
derecha de la barra de herramientas de la consola. O bien, introduzca el nombre de algun
servidor central en el cuadro de texto Central y pulsar Intro.
Se busca el servidor en la red. Si lo encuentra, se le solicitara que inicie sesion en el cuadro de

dialogo estandar Inicio de sesion.
2. Escriba el nombre de usuario y la contrasena.

Siga las normas habituales de Windows para iniciar sesion remota (por ejemplo, si el usuario es local en
ese servidor central, escriba unicamente el nombre de usuario; si se trata de un usuario de dominio, escriba
44
GUÍA DE USUARIO
el nombre_de_dominio\nombre_de_usuario).
Una vez conectado al servidor central, el nombre de este se agrega automaticamente a la lista Central de
la barra de herramientas.
Tambien puede iniciar sesion rapidamente como otro usuario en el servidor central actual haciendo clic en
la lista desplegable Servidor central y, sin cambiar el nombre del Servidor central, presionando la tecla
Intro.
Integracion de IVANTI Service Desk

Si IVANTI Service Desk esta instalado en el entorno, puede configurar la consola de Endpoint Manager
para iniciarlo desde el menu contextual del objeto Vista de red. Los elementos del menu contextual de
Service Desk estan deshabilitados de forma predeterminada. Para activarlos, es necesario editar el archivo
de configuracion XML. Despues de editar este archivoy de reiniciar la consola, apareceran los elementos
del menu de Service Desk.
Al hacer clic con el boton derecho en un usuario o dispositivo en Vista de red, aparecen las siguientes opciones
del menu contextual de Service Desk:
• Gestion de incidencias
• Gestion de cambios
• Gestion de problemas
• Gestion de solicitudes
La seleccion de cualquiera de estas opciones inicia una sesion de Service Desk en el navegador
predeterminado del dispositivo o usuario que seleccione. Dependiendo de la configuracion de Service
Desk, puede que le solicite que inicie sesion. La URL de la sesion se basa en los datos del archivo de
configuracion XML. Si la sesion de Service Desk no se inicia correctamente, compruebe la configuracion.
Para habilitar la integracion de Service Desk
1. En el servidor principal donde se va a integrar Service Desk, abra el archivo C:\Program

Files\IVANTI\ManagementSuite\ServiceDeskUrl.xml en el editor de texto.
2. Cambie <Enable>false</Enable> por <Enable>true</Enable>.

3. En la URL de cada elemento, reemplace <SDhostname> con el nombre de host del servidor
Service Desk.
4. Guarde los cambios y reinicie la consola de administracion.
45
Uso del Inspector

Visualizacion de datos utilizando el inspector
El inspector de IVANTI Endpoint Manager muestra los detalles acerca de los elementos de la consola
IVANTI. Utilice el inspector para encontrar rapidamente informacion sobre los dispositivos administrados,
los grupos, las consultas, las configuraciones de seguridad y muchos elementos mas.
Los Inspectores estan definidos para muchos elementos estandar. Por ejemplo, puede inspeccionar los
dispositivos administrados, las tareas programadas, las vulnerabilidades y el servidor central.
Derechos de usuario necesarios para visualizar el inspector
Para visualizar el inspector, el usuario debe tener los derechos correctos asignados en la administracion
basada en roles. El derecho de Inspectortiene una sola opcion, Visualizar, que se puede habilitar para un
usuario. Si un usuario no tiene este derecho, el inspector automatico y la opcion del menu contextual del
inspector no son visibles.
Para obtener informacion acerca de la administracion basada en roles, consulte "Informacion general
sobre la administracion basada en roles" (54).
Abrir una ventana del inspector
Hay dos maneras de ver los datos de una ventana del inspector:
• Encender el inspector automatico (haga clic en Ver > Inspection automatical Se abrira una
ventana que muestra los datos en cualquier momento que se haga clic en un elemento. Cada vez
que haga clic en otro elemento, los datos de ese elemento apareceran en la ventana del Inspector
automatico.
• Haga clic con el boton derecho en un elemento yseleccione Inspeccionar. Se abrira una nueva ventana
del inspector con los datos de ese elemento.
Las ventanas del inspector se abren aparte de la consola.
46
GUÍA DE USUARIO
Visualizacion de los datos del inspector
Las ventanas del inspector contienen diferentes fichas y datos. Los elementos se muestran con base en
el archivo XML que se definio para ese elemento. Por ejemplo, se proporciona un inspector
predeterminado para los dispositivos administrados. Cuando se hace clic en un dispositivo administrado,
vera las siguientes fichas en la ventana del inspector:
47
Puede cambiar el tamano de la ventana para ver los datos. Puede actuar sobre algunos elementos, como
la lista de procesos que se ejecutan en un dispositivo administrado. En la ventana de inspector, puede
hacer clic en la ficha Procesos, hacer clic con el boton derecho en un proceso de la lista y cerrar el
proceso.
48
GUÍA DE USUARIO
Del mismo modo, se pueden detener o iniciar servicios que se ejecutan en un dispositivo haciendo clic en
la ficha Servicios y haciendo clic con el boton derecho en un servicio de la lista.
Visualizacion de los resultados del inspector
Algunos elementos de datos de la ventana de inspector se muestran como graficos. Para ver los detalles
de un grafico, haga doble clic en este. Los detalles de los datos se muestran en la vista de red de la lista
de Resultados del inspector.
Cada grafico muestra un resumen de los datos cuando se senala a una parte de la tabla.
49
Haga doble clic en el grafico para ver los datos asociados en formato de lista.
Cuando se visualizan los resultados de esta manera, se puede hacer que los datos realicen acciones. Porejemplo,
50
GUÍA DE USUARIO
en Inspector detareas programadas, un grafico puede mostrar cuantos dispositivos tuvieron errores en una tarea.
Si hace doble clic en el grafico, podra ver los dispositivos individuals que figuran en la carpeta Resultados del
inspector. Se puede entonces aplicar una accion a los dispositivos (como reiniciar la tarea) o ver un informe con
los datos para hacer seguimiento.
Los datos de la carpeta Resultados del inspector cambian cada vez que se hace doble clic en un grafico de una
ventana del inspector. En el ejemplo anterior, podna hacer clic en la seccion "Sin antivirus" de un grafico para ver
una lista de los dispositivos que no tienen una aplicacion de antivirus. Si hace clic en la seccion "Antivirus
instalado" del grafico, la lista cambiara para mostrar los dispositivos que tienen una aplicacion de antivirus.
Datos en tiempo real de los inspectores
Algunos datos del inspector se pueden actualizar en tiempo real. Esto solo puede suceder si se desplego un
agente de dispositivos que inclufa el componente de inventarioy supervision en tiempo real.
Para comprobar si el dispositivo tiene el agente de inventario y supervision en tiempo real
1. En la vista de red, haga clic con el boton derecho en el dispositivo y seleccione Propiedades.
2. Haga clic en la ficha Agentes.
Inspectores predeterminados
Los siguientes inspectores predefinidos se incluyen al instalar el complemento del inspector:
• Conjuntos de columnas
• Consultas de equipos
• Usuarios de la consola
• Grupos de usuarios de la consola
• Servidores centrales
• Metodos de entrega
• Paquetes de distribucion
• Consultas
• Roles
• Tareas programadas
• Ambitos
• Secuencias de comandos
• Agrupaciones
• Vulnerabilidades
51
Creacion de inspectores personalizados
Puede crear un archivo XML que defina los parametros del inspector de los elementos de la consola de IVANTI
Management. Para ello, tendra que estar familiarizado con las convenciones de XMLy comprender como se
administran los datos en la base de datos que utiliza el servidor central.
Para obtener instrucciones sobre la creacion de un inspector personalizado, consulte el documento "Crear un
inspector personalizado" de la Comunidad de usuarios de IVANTI.
NOTE: Ayuda sobre el inspector en la Comunidad de usuarios de IVANTI

La Comunidad de usuarios de IVANTI tiene documentos tecnicos y foros de usuarios acerca del inspector. Para
acceder a la comunidad, vaya a: https://community.Ivanti.com
Elementos de inspeccion automatica

Utilice la funcion de Inspeccion automatica para mostrar informacion detallada acerca de cualquier elemento en el
cual se haga clic. Cada vez que haga clic en un elemento nuevo, el contenido de la ventana del inspector
cambiara para mostrar este elemento.
1. Haga clic en Ver > Inspector automatico.

2. Haga clic en un elemento de la lista, como en un dispositivo administrado, una tarea programada o una
vulnerabilidad.
Desvincular una ventana del inspector automatico
Si desea mantener los datos en una ventana del inspector automatico, desvincule al inspector.
1. Haga clic en el boton Desvincular

Esto mantiene los datos actuales en una ventana del inspector, y luego se puede hacer clic en otros
elementos que se abriran en una nueva ventana del inspector automatico.
Por ejemplo, puede desvincular los datos si desea comparar mas de un elemento de forma paralela.
Tendna que desvincular la primera ventana de datos y luego hacer clic en un elemento nuevo para abrir
una segunda ventana del inspector.
Inspeccionar elementos manualmente

Si no utiliza Autoinspeccion, puede inspeccionar cualquier elemento haciendo clic con el boton derecho en
el mismo. Cada vez que inspeccione manualmente un elemento, se abrira una nueva ventana de inspector
con los nuevos datos.
1. Haga clic con el boton derecho en un elemento de la lista (como un dispositivo administrado).
2. Seleccione Inspeccionar.
52
GUÍA DE USUARIO
Desvincular contenido dinamico

Los datos de la ventana del inspector pueden ser dinamicos. Algunos elementos de datos se actualizara de
forma periodica (si el dispositivo tiene el componente de inventario en tiempo real).
Para mantener los datos que aparecen actualmente en un inspector
1. Haga clicen el boton Desvincular
Actualizacion de los datos en una ventana desvinculada
Despues de desvincular una ventana del inspector, no se pueden volver a enlazar los datos para que sean
dinamicos. Los datos en la ventana permaneceran igual, a menos que se cambie la configuracion de
actualizacion.
Para actualizar los datos en un inspector
1. Haga die en el boton Cambiar la frecuencia de actualizacion

O Actualizar automaticamente desactivado
2. El texto al lado del boton indica el valor de la actualizacion actual. Haga clic de nuevo en el
boton para cambiar la configuracion, la cual puede ser de 10 segundos, 30 segundos o 10
minutos.
53
User management
Informacion general sobre la administracion basada en
roles
IVANTI Endpoint Manager le permite administrar usuarios de consola mediante un conjunto amplio de
funciones de administracion basadas en roles. Se puede:
• Asignar permisos de grupo con base en funciones granulares

• Asignar permisos facilmente a usuarios multiples mediante grupos de usuario locales o de
LDAP
• Sincronizar configuraciones de usuarios de consola a traves de servidores central multiples
Puede crear roles para los usuarios segun sus responsabilidades, las tareas de administracion que desea
que realicen y los dispositivos a los que desea que tengan acceso, vean y administren. El acceso a los
dispositivos se puede limitar a una ubicacion geografica como un pafs, region, estado, ciudad o incluso una
sola oficina o departamento. El acceso tambien se puede limitar a una plataforma de dispositivo, tipo de
procesador o cualquier otro atributo de hardware o software determinado del dispositivo. Con la
administracion basada en roles, puede elegir cuantos roles desea crear, que usuarios pueden actuar en
dichos roles y que tan grande o pequeno es el ambito de acceso al dispositivo. Por ejemplo, puede haber
uno o mas usuarios cuyo rol sea la de administrador de distribucion de software, otro usuario responsable
de las operaciones de control remoto, un usuario que ejecute informes, etc.
Si no tiene demasiados usuarios de consola o no quiere limitar la cantidad de usuarios de consola que
tiene, puede evitar completamente la administracion basada en roles y solamente agregar los usuarios al
grupo local de Administradores de IVANTI del servidor central. Los miembros de este grupo tienen acceso
pleno a la consola y pueden administrar todos los dispositivos. Como valor predeterminado, la cuenta que
se utiliza para instalar Endpoint Manager se coloca en el grupo de Administradores de IVANTI.
La administracion basada en roles es lo suficientemente flexible para permitirle crear tantos roles
personalizados como sea necesario. Puede asignar los mismos permisos a varios usuarios, aunque debera
restringir el acceso de ellos a una serie limitada de dispositivos con un ambito reducido. Se puede limitar
incluso el ambito de un administrador, sobre todo si pasa a ser administrador de un area geografica o un
tipo de dispositivo administrado espedficos. El modo en que aproveche las ventajas de la administracion
basada en rolesdepende tanto de los recursos de red y personal como de sus necesidades concretas.
NOTE: Si ha actualizado a partir de Endpoint Manager 8, la instalacion crea un archivo de registro llamado
..\IVANTI\Endpoint Manager\RBAUpgradeReport.txt. Este archivo contiene informacion para ayudarle a asignar
roles de 8.x a 9.x.
Para obtener mas informacion sobre la utilizacion de roles, ver las siguientes secciones:
54
GUÍA DE USUARIO
• "Usuarios" (55)
• "Autenticaciones" (58)
• "Roles y derechos" (60)
• "Descripcion de derechos y estados" (63)
• "Ambitos" (73)
• "Uso de agrupaciones" (77)
Flujo de trabajo de la administracion basada en roles

El siguiente es el proceso basico para usar la administracion basada en roles:
1. Crear roles para los usuarios de consola.

2. Utilizar la herramienta de Usuarios y de grupos locales de Windows para agregar usuarios de
consola a los grupos de Windows IVANTI apropiados.
3. Crear autenticaciones para cada Active directory que se usara para designar usuarios de consola.
4. Opcionalmente, usar ambitos para limitar la lista de dispositivos que los usuarios de consola pueden
administrar.
5. Opcionalmente, se pueden usar grupos para tambien clasificar en categonas a los usuarios de
consola.
Usuarios
Adicion de usuarios de la consola Endpoint Manager
Los usuarios de Endpoint Manager pueden iniciar una sesion en la consola yrealizartareas concretas en
determinados dispositivos de la red. El usuario que inicio sesion en el servidor durante la instalacion de
Endpoint Manager se coloca automaticamente en el Grupos de usuarios de Administradores de IVANTI
de Windows, lo cual les otorga permisos plenos de administrador. Este individuo es responsable de agregar
usuarios de grupo adicionales a la consola yasignar permisos y ambitos. Una vez que se han creado los
demas administradores, estos pueden realizar las mismas tareas administrativas.
La instalacion de Endpoint Manager crea varios grupos locales de Windows en el servidor central. Estos
grupos controlan los permisos del sistema de archivos en las carpetas del programa de Endpoint Manager
del servidor central. Debe agregar manualmente los usuarios de consola a uno de estos grupos locales de
Windows:
• IVANTI Endpoint Manager: este grupo permite tener acceso basico al servidor central. Las
carpetas de Endpoint Manager son de solo lectura. Los usuarios en este grupo no pueden escribir
en el directorio de secuencias de comandos, por lo tanto no podran administrar las secuencias de
comandos. La correccion de vulnerabilidades mediante revisiones y el aprovisionamient del SO no
trabajaran correctamente para los usuarios de este grupo porque estas dos funciones usan
secuencias de comandos.
• Administradores de IVANTI: este es el grupo a prueba de error para tener acceso a la consola.
Algun miembro de este grupo tiene derechos completos en la consola, incluyendo la escritura de
55
secuencia de comandos. Como valor predeterminado, la cuenta de usuario que instalo Endpoint
Manager se agrega a este grupo. Si no tiene demasiados usuarios de consola o no quiere limitar la
cantidad de usuarios de consola que tiene, puede evitar completamente la administracion basada en
roles ysolamente agregar los usuarios a este grupo.
Cuando agregue administradores plenos a la consola, puede agregarlos bien sea al grupo local de
Administradores de IVANTI del servidor central o puede agregarlos a un grupo diferente que tenga
derechos de "Administrador" IVANTI. La unica diferencia es que los usuarios del grupo de Administradores
de IVANTI en Windows no se pueden eliminar de la consola hasta que se eliminen del grupo de
Administradores de IVANTI.
El arbol de Usuarios y grupos de las Herramientas de usuarios muestra la lista de usuarios de consola
autorizados. Se puede ver la ultima vez que un usuario de consola inicio sesion, su grupo, rol, ambito,
estado de restriccion de tiempo de control remotoy equipo. Tambien puede utilizar este arbol para ver si los
usuarios estan en los grupos Windows locales de IVANTI. Los usuarios no podran iniciar sesion hasta que
se hayan agregado a uno de los grupos de IVANTI que se describen en esta seccion.
Los usuarios se almacenan en la base de datos mediante identificadores de seguridad unicos (SID). Si un
usuario de Active Directory cambia el nombre de cuenta, por ejemplo, si se casa, su SID debe seguir siendo
el mismo y sus permisos de Endpoint Manager se seguiran aplicando.
IMPORTANT: Las consolas adicionales y el servidor central deben ser miembros del mismo dominio o * grupo
de trabajo. Los usuarios de consola no se podran autenticar con un servidor central que este en un dominio o grupo
de trabajo diferente.
Agregar usuarios a la consola de Endpoint Manager

Los usuarios de Endpoint Manager pueden iniciar una sesion en la consola yrealizartareas concretas en
determinados dispositivos de la red. El usuario que inicio sesion en el servidor durante la instalacion de
Endpoint Manager se coloca automaticamente en el Grupos de usuarios de Administradores de IVANTI
de Windows, lo cual les otorga permisos plenos de administrador. Este individuo es responsable de agregar
usuarios de grupo adicionales a la consola yasignar permisos y ambitos. Una vez que se han creado los
demas administradores, estos pueden realizar las mismas tareas administrativas.
Para agregar usuarios a un grupo IVANTI desde el cuadro de dialogo de Windows Computer Management
1. En el servidor, desplacese hasta la utilidad Herramientas administrativas > Administracion de

equipos > Usuarios locales y grupos > Grupos.
2. Haga clic con el boton derecho en el grupo de IVANTI que desee y luego haga clic en Agregar a
grupo.
3. En el cuadro de dialogo Propiedades del grupo, haga clic en Agregar.
4. En el cuadro de dialogo Seleccionar usuarios y grupos, seleccione los usuarios (y grupos) de la
lista que desee y haga clic en Agregar.
Para agregar un usuario o grupo de la consola de Endpoint Manager
56
GUÍA DE USUARIO
1. Haga clicen Herramientas > Administracion > Administracion de usuarios.

2. En el arbol Usuarios y grupos, haga clic en la fuente de autenticacion que contiene el usuario o
grupo que desee y haga clic en Nuevo usuario o grupo.
3. En el directorio de la fuente de autenticacion, seleccione el usuario o grupo que desee agregar y
haga clic en Agregar. Si desea seleccionar usuarios individuales dentro de un grupo, haga clic con
el boton derecho en el grupo y haga clic en Seleccionar usuarios para agregar. A continuacion,
puede seleccionar los usuarios que desee y hacer clic en Agregar usuarios seleccionados.
4. En el cuadro de dialogo que le recuerda agregar manualmente el usuario o grupo seleccionado al
grupo correspondiente de Windows de IVANTI local, haga clic en Aceptar.
5. Haga clic en Cerrar.
6. Si no lo ha hecho, utilice la herramienta Usuarios y grupos locales de Windows para agregar el
nuevo usuario o grupo al grupo correspondiente de Windows de IVANTI local como se describio
anteriormente en esta seccion.
7. Asignar roles yambitos al nuevo usuario o grupo.
Eliminar usuarios
Tambien puede utilizar el arbol de Usuarios y grupos para eliminar usuarios o grupos de la consola.
Cuando se elimina un usuario o grupo, se le solicitara que decida como quiere manejar los elementos de
consola de los cuales el usuario era propietario, como consultas, tareas programadas, etcetera. Puede
hacer que la consola automaticamente elimine los elementos que esta tenga o puede hacer que la consola
los reasigne a otro usuario o grupo que usted seleccione. Observe que la eliminacion de un usuario solo
elimina a dicho usuario de la base de datos de usuarios de Endpoint Manager. Tambien tendra que quitar
manualmente al usuario o grupo de los grupos de Windows de IVANTI locales de los cuales son miembros.
Si no hace esto, el usuario eliminado de todas maneras podra iniciar sesion en la consola.
Para eliminar un usuario de consola

2. En el arbol de Administracion de usuarios, haga clic en Usuarios y grupos.
3. Seleccione al usuario o grupo que desee eliminary presione la tecla Suprimir.
4. Si desea eliminar objetos asociados con el usuario, haga clic en Aceptar.
5. Si desea reasignar objetos asociados con el usuario de consola, seleccione Asignar objetos al
usuario/grupo o la agrupacion siguientes y haga clic en al usuario, equipo o agrupacion que
desee que reciba los objetos y haga clic en Aceptar.
6. Elimine el usuario del grupo local de Windows de IVANTI o del grupo de Active Directory que les
concede acceso a la consola.
Visualizacion de las propiedades de usuario o grupo
En el arbol de Usuarios y grupos, puede hacer clic con el boton derecho en un usuario o grupo en el panel
derecho y hacer clic en Propiedades. Este cuadro de dialogo de propiedades muestra todas las
propiedades y derechos efectivos de ese usuario. El cuadro de dialogo Propiedades contiene las siguientes
paginas:
57
• Resumen: resume los roles, ambitos, equipos, la pertenencia al grupo y los derechos efectivos de
ese usuario o grupo.
• Derechos efectivos: muestra una vista mas detallada de los derechos efectivos de ese usuario o
grupo.
• Roles: muestra los roles explfcitos y heredados. Puede seleccionar que roles explfcitos se aplican a
ese usuario o grupo.
• Ambitos: muestra los ambitos explfcitos y heredados. Puede seleccionar que ambitos explfcitos se
aplican a ese usuario o grupo.
• Agrupaciones: muestra las agrupaciones explfcitas y heredadas. Puede seleccionar que
agrupaciones explfcitas se aplican a ese usuario o grupo.
• Restricciones de tiempo del control remoto: le permite aplicar y modificar las restricciones de
tiempo RC. Para obtener mas informacion, consulte "Restricciones del control remoto" (77).
• Pertenencia a grupos: muestra los grupos a los cuales pertenece ese usuario.
• Miembros de grupo: si se selecciona un grupo, muestra los miembros del grupo. Si se selecciona
un usuario, muestra el grupo del cual el usuario es miembro.
Si se realizan cambios en las paginas que se pueden modificar, debe hacer clic en Aceptar para aplicar los
cambios. A continuacion, puede volver a abrir el cuadro de dialogo Propiedades si es necesario.
Autenticaciones
Manejo de autenticaciones
Utilice la herramienta de Administracion de usuarios para definir las credenciales de los grupos de Active
directory que tendran acceso a la consola. Estas credenciales solo tienen que permitir que Endpoint
Manager enumere el directorio. Tendra que proporcionarle credenciales a cada Active directoryque
contenga usuarios que se desee quetengan acceso a la consola. Las autenticaciones que proporcione
determinaran que grupos de usuario se pueden seleccionar para asignarles permisos de grupo de consola.
La autenticacion de consola esta basada en la pertenencia al grupo local de Windows o al grupo de Active
directory. Cuando un administrador de IVANTI asigna permisos de grupo a un grupo local o de Active
directory, los usuarios que son miembros de ese grupo pueden iniciar sesion en Windows o la Consolas
Web y compartir los permisos asignados a ese grupo.
Debe tener en cuenta los aspectos siguientes al administrar los Directorios activos que se utilizan con
Endpoint Manager:
• Active Directory esta totalmente integrado con DNS y se requiere TCP/ IP (DNS). Para que sea
completamente funcional, el servidor DNS debe ser compatible con los registros de recursos SRV o
registros de servicios.
• El uso de Active Directory para agregarle algun usuario a un grupo que se esta utilizando en la
consola no habilitara al usuario para que inicie sesion en la consola aunque Endpoint Manager le
hayan asignado permiso al usuario. Para iniciar sesion en la consola, el usuario debe pertenecer a
los grupos locales de IVANTI del servidor central. Para obtener mas informacion, consulte
58
GUÍA DE USUARIO
"Usuarios" (55).
• Para que los Directorios activos funcionen debidamente con la administracion basada en roles,
debe configurar las credenciales del servidor COM+ en el servidor central. Esto permite que el
servidor central utilice una cuenta en uno de los grupos locales de IVANTI del servidor central que
tenga los permisos necesarios para enumerar los miembros del dominio Windows, tal como la
cuenta de administrador. Para obtener instrucciones sobre como realizar la configuracion, consulte
"Configuracion de credenciales de servidor COM+" (88).
Si la contrasena de cuenta de una autenticacion cambia, tendra que iniciar sesion en la consola y cambiar
la contrasena por la nueva contrasena en el cuadro de dialogo de autenticacion. Se puede hacer lo anterior
iniciando sesion en un grupo local. Los usuarios se autentican cuando inician sesion, por lo cual cualquier
sesion existente seguira funcionando. A los usuarios del dominio al cual se le cambio la contrasena no se
les permitira iniciar sesion hasta que el cambio de la contrasena haya sido corregido en la herramienta de
Usuarios.
Establecer derechos con Active Directory
Las siguientes reglas aplican al utilizar Active Directory con RBA:
• Si un usuario es miembro de un grupo de Active Directory, el usuario hereda los derechos de RBA
de ese grupo.
• Si un usuario es miembro de un grupo de Active Directory, el cual es un miembro de un grupo de
nivel mas alto, el usuario hereda los derechos RBA del grupo del nivel superior.
• Los grupos se pueden anidar, y heredan los derechos correspondientes de acuerdo con las reglas
de Active Directory habituales.
Agregar una autenticacion de Active directory

Utilice la herramienta de Administracion de usuarios para definir las credenciales de los grupos de Active
directory que tendran acceso a la consola. Estas credenciales solo tienen que permitir que Endpoint
Manager enumere el directorio. Tendra que proporcionarle credenciales a cada Active directoryque
contenga usuarios que se desee quetengan acceso a la consola. Las autenticaciones que proporcione
determinaran de que grupos de usuarios se puede seleccionar cuando se asignen permisos de grupo en la
consola.
Para agregar una autenticacion
1. En la herramienta de Administracion de usuarios, haga clic con el boton derecho en Usuarios y

grupos y haga clic en Nueva fuente de autenticacion.
2. En el cuadro de dialogo Fuente de autenticacion, introduzca las credenciales que dan acceso a
Active Directory.
Ajuste de la frecuencia de consulta del directorio
En LMDS 9 SP2, existe una funcion llamada Resolveusergroups.exe. Esta funcion se ejecuta
59
periodicamente (cada 20 minutos) para actualizar la lista de usuarios de IVANTI Endpoint Manager.
Una vez que se realiza la lista de usuarios, se coloca en la memoria cache y se utiliza hasta que se vuelva
a ejecutar Resolveusergroups.exe. En algunos entornos de Active directory, si los valores de TTL son
demasiado pequenos, puede que algunas de las cuentas de usuario que han sido determinadas crucen el
umbral de TTL antes de que todas las cuentas hayan sido determinadas. Esto provoca que la memoria
cache se actualice una y otra vez, y la consola carga muy lentamente.
Si esto sucede en su entorno, cambiar los valores de TTL de la configuracion predeterminada de

Resolveusergroups.exe. Puede ejecutar Resolveusergroups.exe/? Para ver como se utiliza. El los valores
de TTL son en segundos. Este es un ejemplo concreto que establece los valores de TTL en el maximo:
Resolveusergroups.exe /verbose /TTL 600 /LDTTL 60
Cualquier cambio en los valores de TTL se escriben en la tabla KeyValue de la base de datos
(GroupResolutionTTLy LocalLDGroupResolutionTTL), de modo que sean persistentes.
Roles y derechos
Administracion de roles
Use el arbol de Roles para definir y mantener roles administrativos y sus derechos de consola asociados.
Los derechos de consola estan basados en las funciones de Endpoint Manager. Por ejemplo, usted puede
crear un rol de asistencia tecnica ydarle el derecho de control remoto.
Podra introducirtantos roles adicionales como desee. Los nuevos roles no se asignan automaticamente a
ningun usuario ni grupo. Una vez que cree un rol, asocielo con un grupo o usuario del arbol de Permisos de
grupo.
Puesto que se pueden asignar varios roles a grupos o usuarios, decida como desea asignar los derechos.
Usted puede asignar derechos basados en una descripcion del trabajo, como "asistencia tecnica," o puede
asignar derechos basados en la funcion de consola, como "control remoto." Segun el numero y la variedad
de usuarios de consola que su organizacion tenga, un modo puede trabajar mejor que el otro.
Puede asignarle varios roles a un usuario o grupo de Active Directory. Si hay derechos en conflicto entre los
roles seleccionados, el permiso de grupo sera la suma de los roles yambitos combinados. Por ejemplo, si
uno de los roles incluidos permite el control remotoyotro rol incluido lo niega, el permiso de grupo resultante
permitira el control remoto. Puede consultar los derechos efectivos de un usuario o grupo abriendo sus
propiedades y viendo la pagina Derechos efectivos.
En general, debe evitar asignar un rol a los grupos locales predeterminados: IVANTI Endpoint Manager y
Administrador de IVANTI. La asignacion de roles a un grupo afecta a cada uno de sus miembros. Puesto
que todos los usuarios de consola deben ser miembros de uno de estos tres grupos, se podna restringir
involuntariamente el acceso de todos los miembros a las funciones de consola. El grupo de administradores
IVANTI ya cuenta con un rol predeterminado de Administrador, el cual no se puede restringir mas.
Los cambios en los derechos del usuario que inicio sesion no tendran efecto hasta la proxima vez que inicie
sesion.
60
GUÍA DE USUARIO
Para obtener mas informacion, consulte "Descripcion de derechos y estados" (63) y "Descripcion de los
roles predeterminados" (62).
Crear y asignar un rol
Utilice los roles para definir y mantener roles administrativos y sus derechos de consola asociados.
Para crear y asignar un rol
1. En la herramienta de Administracion de usuarios, haga clic con el boton derecho en Roles y haga
clic en Nuevo rol.
2. En el cuadro de dialogo propiedades de rol, introduzca un Nombre de rol.

3. Active o desactive los derechos que desee haciendo clic en el sfmbolo de la columna apropiada.
Cada clic alterna el estado del derecho.
4. En el arbol, haga clic en Usuarios y grupos y seleccione los usuarios y grupos que tendra el nuevo
rol.
Para asignar un rol existente a los usuarios y grupos
1. En la herramienta de Administracion de usuarios, haga clic con el boton derecho en Roles y haga
clic en Propiedades. Tambien puede hacer doble clic en un rol para modificar sus propiedades.
2. En la pagina Usuarios y grupos, seleccione los grupos que desee que tenga ese rol.
61
Descripcion de los roles predeterminados
Hay varios roles predeterminados bajo el arbol de Roles. Puede modificar o eliminar cualquiera de estos
roles predeterminados, a excepcion del rol de Administrador de IVANTI.
• Configuracion de la auditona
• Auditor
• Visor del inspector
• Asistencia tecnica de TI
• Administrador de IVANTI
• Gestion de parches
• Administracion de la energfa
• Seguridad
• Distribucion de software
• Licencias de software
IMPORTANT: Los administradores de IVANTI tienen plenos derechos

Los Administradores de IVANTI tienen derechos completos en todos los ambitos y derechos. Tambien tienen
acceso completo a la herramienta de Usuarios y pueden hacer cualquier cambio que deseen.
Ademas, solo los usuarios con derechos de Administrador pueden configurar los servicios de IVANTI * que
se ejecutan en el servidor central.
Descripcion de derechos y estados

Un usuario puede tener cuatro tipos de derechos:
• Ver: le permite a los usuarios tener acceso a alguna herramienta de consola.
• Editar: le permite a los usuarios hacer cambios en la herramienta de consola asociada. Incluye el
derecho de Ver.
• Desplegar: le permite a los usuarios crear, modificar o eliminar cualquier tarea programada
asociada con la correspondiente herramienta de consola asociada.
• Modificar publico: le permite a los usuarios crear, modificar o eliminar elementos en alguna
carpeta Publica de la herramienta de consola.
No todos los derechos admiten todos los tipos. Por ejemplo, el derecho de "Administracion de consultas
publicas" solo puede tener el tipo "Modificar publico". No tendna sentido tener tambien los tipos "Ver",
"Modificar" o "Implementar".
Un derecho puede tener tres estados:

. Una marca de verificacion: S . Una X: X
62
GUÍA DE USUARIO
. Un simbolo de No aplica:
Al hacer clic en un Marca de verificacion o una X, se alternara su estado.

Si los usuarios no tienen ningun derecho para utilizar alguna herramienta, no veran la herramienta cuando
inicien sesion en la consola. La herramienta no aparecera en el Cuadro de herramientas o en el menu de
Herramientas.
La herramienta Tareas programadas solo puede ser vista por los usuarios que tengan el derecho de
"Implementar" y, en ese caso, solo pueden trabajar con las tareas asociadas con la herramienta para la
cual se desplegaron los derechos. Todas las otras tareas son de solo lectura.
Descripcion del derecho "Modificar publico"

El grupo publico de una herramienta puede ser visto portodos los usuarios. Los elementos en el grupo
publico son de solo lectura, a menos que usted tenga el derecho "Modificar publico". Los usuarios que
tienen el derecho "Modificar publico" en alguna funcion, solo puede modificar elementos publicos de esa
funcion. Otros elementos publicos seran de solo lectura. Los elementos de solo lectura de todas maneras
son utiles, ya que los usuarios pueden copiar dichos elementos al grupo de arbol "Mi..." y modificarlos alif.
El grupo publico de la herramienta de Tareas programadas funciona un poco diferente. Todas las tareas
en el grupo Publico pueden ser vistas por los usuarios con el derecho "implementar", incluyendo las tareas
de funciones a las cuales no tienen acceso los usuarios. Sin embargo, solo las tareas para las cuales los
usuarios tienen el derecho "Implementar" se pueden modificar. El resto son de solo lectura.
Si usted tiene los tipos de derecho de "Modificar publico" e "Implementar", usted puede crear nuevas tareas
en el grupo Publico asf como agregar o eliminartareas en el.
Referencia sobre los derechos de consola

Los derechos de consola proporcionan acceso a las herramientas y funciones de Endpoint Manager. Los
usuarios deben tener los derechos necesarios para realizar las tareas correspondientes. Por ejemplo, para
controlar los dispositivos de forma remota en su ambito, el usuario debe pertenecer a un grupo que tenga
derechos de control remoto.
La administracion basada en roles incluye los siguientes permisos:
• Administrador
• Configuracion de agentes
• Alertas
• Consola Web basica
• Replicacion de Contenido
• Sincronizacion de servidores centrales
• Formularios de datos personalizados
• Administracion de dispositivos
• Agregar o eliminar dispositivos
63
• Supervision de dispositivos
• Control de energfa de dispositivos
• Administrar usuarios y grupos locales
• Administrar grupos de dispositivo publicos
• Deteccion de dispositivos no administrados
• Inspector
• Administracion devfnculos
• Aprovisionamiento del SO
• Administracion de energfa
• Administracion de consultas publicas
• Actualizar ambitos
• Herramientas de control remoto
. Conversacion
• Ejecutar programas
• Reiniciar
• Control remoto
• Transferir archivos
• Elaboracion de informes
• Disenador de informes
• Informes
• Seguridad
• Control de acceso a la red
• Revisiones y cumplimiento
• Configuraciones de seguridad
• Metodos de entrega
• Administracion de directorios
• Administracion devfnculos
• Administrar secuencias de comandos
• Monitor de licencias de software
• Administracion de usuarios
• vPro
Consulte las descripciones de abajo si desea obtener mas informacion sobre cada permiso ycomos se
pueden utilizar estos permisos para crear roles administrativos.
64
GUÍA DE USUARIO
NOTE: El ambito controla el acceso a los dispositivos

Recuerde que al utilizar las funciones permitidas por estos permisos, los usuarios siempre estaran limitados por
su ambito (los dispositivos que pueden ver y manipular). 3 4
• IMPORTANTE: Realizar TODAS las tareas de Endpoint Manager permitidas por el resto de los
derechos
Configuracion de agentes
• Sin derechos: No se puede ver la herramienta.
• Ver: Puede ver esta herramienta y puede ver todo. No se puede cambiar nada.
• Editar: Se puede very cambiar todo. No se puede implementar un trabajo de configuracion de
agente.
• Desplegar: Se puede ver todo. No se puede cambiar nada. Se puede programar cualquiertarea de
configuracion de agente que todos puedan ver (incluyendo publicos).
• Modificar publico: Se pueden asignar configuraciones al publico. Se puede modificar
configuraciones publicas.
Alertas
• Editar: Se puede very cambiar todo. No se puede implementar.
• Desplegar: Se puede vertodo. No se puede cambiar nada. Se puede implementar.
Consola Web basica
• Sin derechos: No se puede iniciar sesion en la Consola Web.
• Ver: No aplica.
• Editar: Puede iniciar sesion en la consola Web y ver lo mas basico.
• Desplegar: No aplica.
Replicacion de Contenido
• Editar: Se puede very cambiar todo.
Administrador de Endpoint Manager
El permiso de administrador de Endpoint Manager proporciona acceso completo a todas las herramientas
de aplicacion (no obstante, el uso de estas herramientas esta limitado a los dispositivos incluidos en el
ambito del administrador).
El permiso de administrador de Endpoint Manager le confiere a los usuarios capacidad para:
• Administrar usuarios con la herramienta de Usuarios.

4 Veryconfigurar licencias de productos en el menu Configurar.
• Configurar servicios de IVANTI.
65
Sincronizacion de servidores centrales

• Sin derechos: Sin ninguna herramienta de sincronizacion de servidor central. No se tienen las
opciones al hacer clic con el boton derecho de Sincronizacion automatica o Copiar en el servidor
central. Aun se muestran las opciones de importacion y exportacion. (Estas vienen con el derecho
de "Modificar" de la herramienta que tiene estas opciones.)
• Ver: Se puede ver la herramienta, pero no se puede hacer ningun cambio. Tampoco tiene opciones
de sincronizacion en los menus de contexto como en la anterior.
• Editar: Se puede hacer todo. Agregar/eliminar servidores centrales de destino, encender o apagar
componentes, y habilitar la sincronizacion automatica en las instancias y la sincronizacion manual.
Formularios de datos personalizados

. Ver: Puede ver esta herramienta y puede ver todo. No se puede cambiar nada.
• Editar: Se puede very cambiar todo. No se puede implementar.
• Desplegar: Se puede vertodo. No se puede cambiar nada. Se puede implementar.
Administracion de dispositivos
Agregar o eliminar dispositivos
• Sin derechos:
• No se puede ver la opcion Insertar nuevo equipo en el menu de contexto cuando se
visualizan Todos los dispositivos en la Vista de red.
• No se puede ver la opcion Eliminar en el menu de contexto cuando se selecciona un
dispositivo en la Vista de red.
• No se puede ver el nodo de Vista de red > Configuration > Equipos agregados por el
usuario.
• Ver: No aplica.
• Editar:
• Se puede ver y usar la opcion Insertar nuevo equipo en el menu de contexto cuando se
visualizan Todos los dispositivos en la Vista de red.
• Se puede very usar la opcion Eliminar en el menu de contexto cuando se selecciona un
dispositivo en la Vista de red.
• Se puede ver el nodo de arbol de Vista de red > Configuracion > Equipos agregados por
el usuario.
Supervision de dispositivos
• Sin derechos: No se puede ver Monitor de dispositivos en el menu de Configurar.

• Ver: Se pueden ver las herramientas de Alertas y de Registros. Se puede ver la informacion en la
herramienta del monitor de Dispositivos. No se le puede modificar.
• Editar: Se pueden ver las herramientas de Alertas y de Registros. Se puede ver y modificar la
informacion en la herramienta del monitor de Dispositivos.
Control de energia de dispositivos
66
GUÍA DE USUARIO
• Editar: Se pueden very usar las opciones Despertar, ReiniciaryApagaren el menu de contexto
cuando se selecciona un dispositivo.
Administrar usuarios y grupos locales
• Editar: Se puede ver y usar Administrar a usuarios locales y grupos en el menu de contexto
cuando se selecciona un dispositivo.
Administrar grupos de dispositivo publicos
. Sin derechos: No se puede cambiar nada en Dispositivos publicos.
. Ver: No aplica.
• Editar: No aplica.
• Modificar publico: Pueden crear, eliminary cambiar grupos de dispositivos en Dispositivos
publicos. Se puede mover un grupo de dispositivos en Dispositivos publicos.
Deteccion de dispositivos no administrados

• Sin derechos: No se puede ver la herramienta UDD.
• Ver: Se puede abrir la herramienta UDD y ver cualquier elemento. No se puede crear, eliminar o
modificar nada.
• Editar: Se puede abrir la herramienta UDD y ver cualquier elemento. Se puede crear, eliminar o
modificar todo.
• Desplegar: Se puede abrir la herramienta UDD y ver cualquier elemento. No se puede crear,
eliminar o modificar nada. Se puede programar una tarea UDD.
Inspector
• Sin derechos: No se ve la herramienta Inspector.
• Ver: Se puede abrir la herramienta Inspectory ver cualquier elemento.
Aprovisionamiento del SO
• Sin derechos: No se puede ver la herramienta de aprovisionamiento del SO.
• Ver: Se puede ver la herramienta. No se puede cambiar nada.
• Editar: Se pueden crear, modificar y eliminar elementos. No es posible programar tareas.
• Desplegar: Se pueden programar tareas de los elementos que se pueden ver (incluyendo publicos).
No se pueden crear, modificar ni eliminar elementos.
• Modificar publico: Se pueden mover elementos a la carpeta Publica. Se pueden crear, modificar o
eliminar elementos en la carpeta Publica.
Administracion de energia
• Sin derechos: No se puede ver la herramienta de Administracion de energfa.
• Editar: Se pueden crear, modificar y eliminar elementos. No es posible programar tareas.
67
Administracion de consultas publicas
• Sin derechos: Comportamiento regular.
• Ver: No aplica.
• Modificar publico: Se pueden mover consultas a la carpeta Publica. Se pueden crear, modificar o
eliminar consultas en la carpeta Publica.
Actualizar ambitos
• Sin derechos: El boton de la barra de herramientas Actualizar ambitos de la Vista de red no hace
nada.
• Editar: El boton de la barra de herramientas Actualizar ambitos de la Vista de red actualiza todos
los ambitos. Utilfcelo cuando haya agregado dispositivos a un ambito o haya cambiado el ambito de
un usuario y desea permitir que ese usuario vea el nuevo ambito. De lo contrario la actualizacion del
ambito puede tardar hasta una hora antes de que suceda automaticamente.
Herramientas de control remoto
Conversacion
• Editar: Se puede ver la opcion Control remoto > Charlar y se puede usar. La opcion Charlar se
habilita en la ventana de Control remoto.
Ejecutar programas
• Editar: Se puede ver la opcion Control remoto > Ejecutar programa y se puede usar. La opcion
Ejecutar programa se habilita en la ventana de Control remoto.
Reiniciar
• Editar: Se puede ver la opcion Control remoto > Reiniciar yse puede usar. La opcion Reiniciar se
habilita en la ventana de Control remoto.
Control remoto
• Sin derechos: No se puede ver la opcion Control remoto > Control remoto en el menu de
contexto.
• Ver: Se puede ver la opcion Control remoto > Control remoto yse puede controlar remotamente
un dispositivo. No se puede tomar el control del dispositivo (solo verlo).
• Editar: Se puede ver la opcion Control remoto > Control remoto, y se puede controlar
remotamente y tomar control de un dispositivo.
Transferir archivos
• Editar: Se puede ver la opcion Control remoto > Transferir archivos yse puede usar. La opcion
Transferir archivos se habilita en la ventana de Control remoto.
68
GUÍA DE USUARIO
Elaboracion de informes
Disenador de informes
. Sin derechos: no se puede abrir el disenador.

• Ver: No aplica.
• Editar: se puede abrir el disenador y crear o modificar informes.
• Modificar publico: No aplica.
Informes
• Sin derechos: no se puede ver la herramienta.

• Ver: Puede ver esta herramienta y ver los informes. Puede ejecutar informes. No se puede cambiar
nada.
• Editar: puede ver los informes y cambiar sus propiedades. Este derecho solo no permite acceso al
disenador, se necesita el derecho para modificar al Disenador de informes para tener acceso a el.
• Desplegar: Puede programary publicar informes.
• Modificar publico: puede mover informes al grupo Publico.
Seguridad
Control de acceso a la red

• Ver: Se puede ver esta herramienta yse puede vertodo (tal como la configuracion 802.1x). No se
puede cambiar nada.
• Editar: Se puede very cambiar todo, incluso la publicacion de la configuracion de NAC.
Revisiones y cumplimiento
• Sin derechos: No se puede ver la herramienta. No se pueden ver las tareas programadas o las
polfticas de distribucion de software que se hayan creado a partir de la herramienta.
• Ver: Se puede ver la herramienta. Se puede ver todo lo de adentro. No se puede descargar el
contenido, crear/modificar/eliminar configuraciones, ni cambiar nada. El acceso es de solo lectura.
• Editar: Se puede ver la herramienta. Se puede ver todo lo de adentro. Se puede modificar todo. No
se puede programar nada, incluyendo: descargas de contenido, funciones de rastreo, funciones de
reparacion, recopilar historicos, etc.
• Desplegar: Se puede ver la herramienta. Se puede vertodo lo de adentro. No se puede modificar
nada, pero se puede crear una tarea o poiftica usando la informacion de allF correspondiente a
elementos que se pueden ver (incluyendo publicos).
Configuraciones de seguridad
. Sin derechos: No se puede ver la herramienta. No se pueden ver las tareas programadas o las
polfticas de la ventana de tareas Programadas que se hayan creado a partir de la herramienta.
• Ver: Se puede ver esta herramienta y la herramienta de Actividades de seguridad. Se puede mirar,
69
pero no cambiar ninguna configuracion ni crear ninguna tarea.

• Editar: Se puede ver la herramienta y la herramienta de Actividades de seguridad. Se puede ver
todo lo de adentro. Se puede modificartodo. No se puede programar nada.
• Desplegar: Se puede ver la herramienta y la herramienta de Actividades de seguridad. Se puede ver
todo lo de adentro. No se puede modificar nada, pero se puede crear una tarea o polftica para
implementarla en un cliente o cambiar su configuracion correspondiente a elementos que se pueden
ver (incluyendo publicos).
Distribucion de software
Metodos de entrega
• Ver: Se puede ver la herramienta y todo su interior.

• Editar: Se pueden crear, eliminar o modificar los metodos.
Administracion de directorios
• Ver: Puede ver la herramienta y todo su interior (asumiendo que alguien ya se haya autenticado).
• Editar: Se puede autenticar en un nuevo directorioy se puede ver todo, yse pueden
crear/modificar/eliminar consultas.
Paquetes de distribucion
• Ver: Se puede ver la herramienta y todo su interior.

• Editar: Se pueden crear, eliminar o modificar paquetes.
• Desplegar:
• Puede desplegar un paquete con la herramienta de paquete de distribucion.
• Se puede usar el boton Crear tarea de distribucion de software en la herramienta de
tareas programadas.
• Se puede usar el boton Crear tarea de secuencia de comandos personalizada en la
herramienta de tareas programadas.
• Esto aplica a todos los elementos que se pueden ver (incluyendo publicos).
Administracion de vinculos
• Sin derechos: No se puede ver la herramienta de Administracion de enlaces.
• Editar: Se pueden crear, modificar y eliminar elementos. No se puede programar una tarea o
70
GUÍA DE USUARIO
polftica.
• Desplegar: No se pueden crear, modificar ni eliminar elementos. Se puede programar una tarea o
polftica.
Administrar secuencias de comandos

• Editar: Se puede very cambiar todo. No se puede programar ninguna tarea.
Monitor de licencias de software

• Sin derechos: No se puede ver la herramienta de monitorizacion de licencias de Software.
• Ver: Se puede vertodo. No se puede cambiar nada.
• Editar: Se puede ver y modificar todo.
Administracion de usuarios
• Sin derechos: No se puede ver la herramienta de Usuarios.
• Ver: Se puede vertodo. No se puede cambiar nada.
vPro
• Sin derechos: No se puede ver o cambiar la informacion y configuracion de vPro.
• Ver: No aplica.
• Editar: Se puede very cambiar la informacion y configuracion de vPro.
Informacion adicional acerca de las tareas programadas
• Las personas que tengan derechos para "Desplegar" correspondientes a las herramientas que
utilizan tareas que se pueden programar, podran ver la herramienta de tareas programadas.
• Si alguien tiene derechos para "Desplegar", entonces tienen derechos para modificar cualquier parte
del tipo de tarea para la cual tienen derechos para "Desplegar" (por ejemplo, configuracion de
agente, distribucion de software, Revisiones, etcetera).
• Si alguien tiene derechos para "Desplegar", solo puede cambiar los paneles de Destino yde
Programardeuna tarea Publica.
• Si alguien tiene derechos para "Desplegar" y para "Modificar publicos", pueden hacer cualquier
cambio en las tareas Publicas y las pueden mover a, y desde, la carpeta Publica.
• Si alguien tiene derechos para "Modificar publicos", pero no para "Desplegar", ellos no pueden
modificar ninguna tarea de ese tipo, incluyendo tareas Publicas.
71
Ambitos
Creadon de ambitos
El ambito define los dispositivos que el usuario de Endpoint Manager puede visualizary administrar.
El ambito puede tener una dimension tan amplia o reducida como deseey abarcar asftodos los dispositivos
administrados que se rastrean en la base de datos central o bien un solo dispositivo. Esta flexibilidad,
combinada con el acceso a las herramientas modulares, es lo que hace que la administracion basada en
roles sea una funcion de administracion tan versatil.
Ambitos predeterminados
La administracion basada en roles de Endpoint Manager incluye un ambito predeterminado: "Todas los
equipos." Este ambito incluye todos los dispositivos administrados de la base de datos. El ambito
predeterminado no se puede modificar ni quitar.
Ambitos personalizados
Existen tres de ambitos personalizados que puede creary asignar a los usuarios:
• Consulta de LDMS: controla el acceso a solo aquellos dispositivos que coinciden con una
busqueda de consultas personalizadas. Puede seleccionar una consulta existente o crear consultas
nuevas en el cuadro de dialogo Propiedades de ambito, para definir un ambito.
Tenga en cuenta que tambien puede copiar las consultas de los grupos de Consultas de la vista de
red directamente en el grupo Ambitos. Para obtener mas informacion sobre la creacion de
consultas, consulte "Consultas de base de datos" (196).
LDAP: controla el acceso solamente a los dispositivos recopilados por el rastreador de inventario
que se encuentran en una estructura de directorio compatible con LDAP. Seleccione las
ubicaciones de directorios en el cuadro de dialogo Seleccionar dispositivos visibles para definir
un ambito. Este tipo de ambito basado en directorios admite las ubicaciones de directorios
personalizadas (si introdujo rutas de directorio personalizadas como parte de la configuracion de
agentes). Los directorios personalizados disponibles aparecen en el cuadro de dialogo Seleccionar
dispositivos visibles. Utilice directorios personalizados para definir un ambito si no se dispone de
una estructura de directorios compatible con LDAP, o si desea limitar el acceso a los dispositivos
por un detalle espedfico de organizacion, como la ubicacion geografica o el departamento.
• Grupo de dispositivos: controla solamente el acceso a los dispositivos que pertenecen a un grupo
de dispositivos espeofico en la vista de red.
72
GUÍA DE USUARIO
A un usuario de Endpoint Manager se le puede asignar uno o mas ambitos al mismo tiempo. Ademas, un
ambito puede asociarse a varios usuarios.
Funcionamiento de los ambitos multiples
Se le puede asignar mas de un ambito a cualquiera de los usuarios de Endpoint Manager. Cuando se
asignan varios ambitos a un usuario, el usuario tiene derechos a todos los equipos de todos los ambitos
asignados. La lista acumulativa de equipos de todos los ambitos asignados es el ambito efectivo del
usuario.
El ambito efectivo de un usuario se puede personalizar agregando y eliminando ambitos en cualquier

momento. Se pueden utilizar ambitos y tipos de ambitos juntos.
Los derechos de un usuario y los ambitos se pueden modificar en cualquier momento. Si modifica los
derechos o ambitos de un usuario, dichos cambios tendran efecto la proxima vez que el usuario inicie
sesion en la consola o cuando el administrador de consola haga clic en el boton de la barra de
herramientas Actualizar ambito en la Consola (en la parte superior de la ventana).
Crear un ambito
El ambito define los dispositivos que el usuario de Endpoint Manager puede visualizary administrar.
El ambito puede tener una dimension tan amplia o reducida como deseey abarcar asftodos los dispositivos
administrados que se rastrean en la base de datos central o bien un solo dispositivo.
Para crear un ambito
1. Haga clicen Herramientas > Administracion > Administration de usuarios.

2. Haga clic con el boton derecho en Ambitos y haga clic en Ambito nuevo.
3. En el cuadro de dialogo Propiedades de ambito, escriba un nombre para el nuevo ambito.
4. Especifique el tipo de ambito que desee crear (consulta LDMS, directorio LDAP o personalizado, o
grupo de dispositivos) haciendo clic en el tipo de ambito en la lista desplegable y luego haciendo clic
en Nuevo.
5. Si esta creando un ambito basado en una consulta LDMS, defina la consulta en el cuadro de dialogo
Nueva consulta de ambitoy haga clic en Aceptar.
6. Si va a crear un ambito de aplicacion basado en un directorio, seleccione las ubicaciones (directorio

LDAPo personalizado) en la lista de Seleccionardispositivos visibles (puede ver el directorio
haciendo clic en Explorar directorios), y luego haga clic en Aceptar.
Haga clic en los signos mas (+) y menos (-) para expandir y contraer los nodos del arbol de directorios. En
el ambito se incluiran todos los nodos del nodo principal seleccionado.
Las ubicaciones de directorio LDAP se determinan mediante la ubicacion del servicio de directorio del
dispositivo. Las ubicaciones de directorio personalizado se determinan mediante el atributo de ubicacion de
equipo del dispositivo en la base de datos del inventario. Este atributo se define durante la configuracion del
agente de dispositivo.
73
7. Si esta creando un ambito basado en un grupo de dispositivos, seleccione un grupo en la lista de

grupos de dispositivos disponibles y haga clic en Aceptar.
8. Vuelva a hacer clic en Aceptar para guardar el ambito y cierre el cuadro de dialogo.
Para crear un ambito con base en una consulta existente
1. Haga clic con el boton derecho en Ambitos y haga clic en Nuevo ambito a partir de la consulta.
2. Seleccione las consultas que desee y haga clic en Aceptar.

3. Se hara una copia de la consulta y aparecera un nuevo ambito en el arbol con un nombre basado en
el nombre de la consulta de origen.
NOTE: Puede crear rapidamente un ambito a partir de una consulta existente arrastrando una consulta desde la
vista de red al arbol de ambitos.
NOTE: Los ambitos utilizan una copia de la consulta en la cual se basan. Los cambios en la consulta de origen
de la Vista de red no afectaran a los ambitos existentes.
Acerca del cuadro de dialogo Propiedades de ambitos

Utilice este cuadro de dialogo para crear o modificar un ambito. Puede tener acceso a este cuadro de
dialogo seleccionando un ambito y haciendo clic en el boton Modificar ambito de la barra de herramientas
o haciendo clic con el boton derecho en el ambito y seleccionando Propiedades.
• Nombre del ambito: identifica el ambito.

* Seleccione un tipo de ambito:
• Consulta de LDMS: crea un ambito cuya serie de dispositivos se determina mediante una
consulta personalizada. Cuando este tipo de ambito esta seleccionado yse hace clic en
Nuevo, se abre el cuadro de dialogo Nueva consulta en el cual puede definiry guardar una
consulta. Este es el mismo cuadro de dialogo que se utiliza cuando se crea una consulta de
base de datos en la vista de red. (Tenga en cuenta que tambien puede copiar las consultas
de los grupos de Consultas de la vista de red directamente en el grupo Ambitos).
• LDAP: crea un ambito cuya serie de dispositivos se determina mediante la ubicacion de los
dispositivos (directorio LDAPy/o uno personalizado) Cuando este tipo de ambito esta
seleccionado y se hace clic en Nuevo, se abre el cuadro de dialogo Seleccionar
dispositivos visibles en el cual puede seleccionar ubicaciones a partir de los datos de
inventario. Haga clic en los signos mas (+) y menos (-) para expandir y contraer los nodos
del arbol de directorios. Para seleccionar varias ubicaciones a la vez, utilice Ctrl+clic. En el
ambito se incluiran todos los nodos del nodo principal seleccionado. Si hace clic en Explorar
directorios, puede ubicary seleccionar los dispositivos en el arbol del directorio LDAP actual
para los directorios que se configuraron.
• Grupo de dispositivos: crea un ambito cuya gama de dispositivos es determinada por un
grupo de dispositivos existente contenido bajo el objeto Dispositivos de la vista de red.
Cuando este tipo de ambito esta seleccionado y se hace clic en Nuevo, se abre el cuadro de
74
GUÍA DE USUARIO
dialogo Filtro de consulta en el cual puede seleccionar un grupo de dispositivos.

• Definition actual de ambito: muestra las instrucciones de consulta de un ambito basado en una
consulta, las rutas de ubicacion de un ambito basado en un directorio o el nombre de grupo de un
ambito basado en un grupo de dispositivos.
• Editar: abre el cuadro de dialogo correspondiente al ambito en el cual puede modificar los
parametros e instrucciones de la consulta.
Agrupaciones
Crear una agrupacion
Una agrupacion de administracion basada en roles es un grupo de usuarios que pueden very
compartir la propiedad de las tareas y configuraciones que pertenecen a la agrupacion.
Para crear una agrupacion
1. En la herramienta de Administracion de usuarios, haga clic con el boton derecho en

Agrupaciones yhaga clicen Nueva agrupacion.
2. Introduzca un Nombre de agrupacion.
3. Seleccione los usuarios y grupos que desee en el equipo.
4. Haga clic en Aceptar
75
Uso de agrupaciones
Una agrupacion de administracion basada en roles es un grupo de usuarios que pueden very compartir la
propiedad de las tareas y configuraciones que pertenecen a la agrupacion. Por ejemplo, si usted tiene
varios departamentos que quieren compartir consultas o tareas, puede reunir los departamentos en una
agrupacion. Las tareas y las configuraciones de una agrupacion aparecen en un grupo especial que tiene el
mismo nombre de la agrupacion de la vista de arbol de la herramienta. Por ejemplo, si hubiera una
agrupacion llamada "Salt Lake" del cual usted es miembro, vena un subgrupo de "Dispositivos de Salt
Lake" bajo el grupo Dispositivos en la Vista de red. La gente puede pertenecer a varias agrupaciones.
La gente que no esta en ninguna agrupacion no vera que ese grupo en ninguna parte de la consola.
La gente con derechos de administrador puede vertodas las agrupaciones y el contenido de ellas. Aunque
puede usar carpetas publicas para compartir el contenido de la consola, el contenido de la carpeta publica
puede ser vista portodos los quetienen derechos a una herramienta. La ventaja de las agrupaciones
consiste en que solo los miembros de la agrupacion ven su contenido, haciendo potencialmente el
contenido mas organizadoyaccesible a los miembros de la agrupacion.
Las agrupaciones consisten de uno o varios permisos de grupo. Incluso puede crear agrupaciones con
solamente 1 o 2 personas. Por ejemplo, si una persona esta enferma, se puede agregar su sustituto a la
misma agrupacion. O, si hay dos personas que comparten responsabilidades, se pueden colocar en la
misma agrupacion.
Los administradores y los miembros de la agrupacion pueden cambiar la propiedad de los elementos de
arbol haciendo clic con el boton derecho en ellos y haciendo clic en Information. Los cuadros de dialogo de
informacion tienen una lista desplegable de Propietarios en la cual puede seleccionar al propietario del
elemento.
Restricciones del control remoto

Utilizacion de las restricciones de tiempo de control remoto
Las restricciones de tiempo limitan las horas y los dfas en los cuales los usuarios de consola pueden iniciar
sesiones de control remoto. Se pueden especificar los dfas de la semana y la hora inicial y final (en formato
UTC) en las cuales se desea permitir el control remoto.
Note que la hora inicial esta en formato UTC (Tiempo universal coordinado u Hora del meridiano de
Greenwich). El servidor central determina el tiempo inicial comparando con la hora UTC que informa el
sistema operativo del servidor central. El servidor central no se ajusta a la zona de la hora local de los
usuarios de consola. Cuando introduzca el valor del tiempo inicial, debe compensar la diferencia entre el
tiempo UTCy el huso horario local de los operadores de consola y usar el tiempo ajustado resultante.
De forma predeterminada, no hay ninguna restriccion de tiempo de control remoto activada.

Tenga en cuenta que los derechos de RBA son acumulativos. Si algun usuario es miembro de varios roles,
sin querer se podna permitir el control remoto cuando se tema la intencion de restringirlo.
Por ejemplo, si un usuario es miembro de un rol con control remoto que incluye restricciones de tiempoy
ese usuario es tambien miembro de un rol de seguridad que no incluye restricciones de tiempo, el usuario
76
GUÍA DE USUARIO
no tendra ninguna restriccion de tiempo de control remoto.
Para asegurarse de que las restricciones de tiempo de control remoto se apliquen en la forma en que se
desee, se recomienda asegurarse de que solo se les haya aplicado un rol a los usuarios con restricciones
de tiempo.
Asignar restricciones de tiempo al control remoto

Las restricciones de tiempo limitan las horas y los dfas en los cuales los usuarios de consola pueden iniciar
sesiones de control remoto.
Para utilizar las restricciones de tiempo de control remoto
1. En la herramienta de administracion de usuarios (Herramientas > Administration >

Administration de usuarios), haga clic con el boton derecho en un usuario o grupo en el arbol
Grupos y usuarios y haga clic en Propiedades.
2. En el panel izquierdo, haga clic en Restricciones de tiempo de control remoto.
3. Marque la casilla Usar restricciones de tiempo.
4. Marque los dfas que desea activar.
5. Introduzca el intervalo de tiempo UTC durante el cual desea permitir el control remoto.
6. Haga clic en Aceptar cuando termine.
77
Core configuration
Ejecutar el programa de instalacion de IVANTI
Endpoint Manager
Antes de instalar Endpoint Manager, asegurese que el servidor que ha seleccionado cumpla con los
requisitos del sistema que se describieron en esta seccion. Los pasos siguientes instalan Endpoint Manager
con la base de datos predeterminada de Microsoft SQL Express. Si planea utilizar una de las otras bases
de datos admitidas, debe instalary configurar esa base de datos antes de ejecutar la instalacion de
Endpoint Manager. Para obtener instrucciones detalladas sobre como hacer esto y la instalacion de,
consulte IVANTI User Community en http://support.Ivanti.com.
Para consultar las notas de la version, las instrucciones de instalacion e informacion adicional importante,
no dude en visitar la pagina del anuncio de IVANTI Endpoint Manager 2017 en la comunidad de IVANTI:
Para obtener mas informacion sobre las plataformas compatibles, consulte este documento en la
Comunidad de usuarios de IVANTI:
• https://community.Ivanti.com/support/docs/DOC-7478.
Se debe desactivar el servicio de indexacion y el servicio de busqueda de Windows antes de instalar
IVANTI Endpoint Manager; si no se desactivan estos servicios, podna fallar la instalacion.
Ademas, asegurese de que el servidor en el cual se esta instalando no tenga Microsoft Windows Server
Update Service instalado en el. Si el servicio esta activo, tendra problemas para iniciar sesion en la consola.
Como cada entorno tiene necesidades diferentes, le recomendamos que se comunique con IVANTI
Professional Services, su distribuidor o un Expert Solution Provider (ESP) para obtener informacion acerca
de Certified IVANTI Deployment.
Para obtener mas informacion visite el sitio Web siguiente:

• http://www.Ivanti.com/professional-services/
El instalador de Endpoint Manager abrira puertos en la barrera de seguridad de Windows en el servidor
central. Normalmente, el instalador de Endpoint Manager y el agente de configuracion configuraran estos
puertos de forma automatica. Si esta usando una barrera de seguridad diferente, tendra que configurar los
puertos manualmente. Para obtener mas informacion sobre el uso de los puertos de Endpoint Manager,
consulte la siguiente URL:
• Puertos que utiliza IVANTI Endpoint Manager - lista completa:

https://community.Ivanti.com/support/docs/DOC-1591
Para instalar IVANTI Endpoint Manager
1. En el medio de instalacion, ejecute Setup.exe.

2. En la pantalla de bienvenida principal, seleccione el idioma de instalacion y luego haga clic en
78
GUÍA DE USUARIO
Continuar.
3. Acepte el contrato de licencia y luego haga clic en Continuar.
4. En la pagina Que desea instalar, asegurese de que Servidor central este seleccionado y luego
haga clicen Continuar.
5. En la pagina de Prerrequisitos, asegurese que el servidor pase la verificacion de prerrequisitos. Si
no pasa, instale los prerrequisitos faltantes y haga clic en Continuar.
6. En la pagina Como debe IVANTI configurar la base de datos, haga clic en Configurar una
nueva base de datos 10.0 y luego haga clicen Continuar.
7. En la pagina Aplicacion de la base de datos, seleccione SQL Express (paquete) y luego haga
clic en Continuar.
8. En la pagina Donde desea instalar, haga clic en Continuar para aceptar la ruta de instalacion
predeterminada (C:\Archivos de programa\IVANTI\ManagementSuite\).
9. En la pagina Secure Client Management, haga clic en Hbilitar la seguridad basada en los
certificados de cliente si es la primera vez que se ha instalado Endpoint Manager en el entorno. Si
no, lea Seguridad basada en los certificados de clientes.
10. En la pagina Listo para instalar, haga clic en Instalar.
11. Cuando la instalacion termine haga clic en Reiniciar ahora.
12. Despues deque reinicie, esperecinco minutos para quetodos los servicios se inicien.
13. Active su servidor central como se describio en "Activacion del servidor central" (83).
14. Inicie la consola e inicie sesion con las credenciales de Windows del usuario que inicio sesion
durante la instalacion de Endpoint Manager. (Durante la instalacion, automaticamente se le dan
al usuario derechos de administrador completos en la consola.)
Cuando inicie la consola, se abrira un asistente para ayudarle a configurar Endpoint Manager. Es
importante que siga los pasos del asistente. Despues de hacer esto, consulte "Configuracion de agentes de
dispositivos" (112) y IVANTI User Community en https://community.Ivanti.com para obtener mas
informacion sobre el despliegue de agentes.
Instalacion de consolas de Endpoint Manager adicionales

La consola de Endpoint Manager se instala automaticamente en el servidor central. Esta consola se debe
instalar en los equipos del administrador de IVANTI que necesiten todas las funciones o acceso a todas las
herramientas de Endpoint Manager. La consola se utiliza para interactuar con varias de las funciones de
Endpoint Manager; por ejemplo, para distribuir software, controlar remotamente dispositivos administrados,
ver informacion de inventario y efectuar otras funciones de administracion.
Para usar herramientas yfunciones adicionales, las consolas se pueden instalar a lo largo de toda la red.
(IVANTI Software no cobra nada extra portener consolas adicionales.)
Para obtener mas informacion sobre las plataformas soportadas, consulte el siguiente documento en la
Comunidad de usuarios de IVANTI: https://community.Ivanti.com/support/docs/DOC-7478.
Para instalar una consola adicional
79
1. En el medio de instalacion, ejecute Setup.exe.

2. En la pantalla de bienvenida principal, seleccione el idioma de instalacion y luego haga clic en
Continuar.
3. Acepte el contrato de licencia y luego haga clic en Continuar.
4. En la pagina Que desea instalar, asegurese de que Servidor central este seleccionado y luego
haga clicen Continuar.
5. Siga las indicaciones de instalacion que queden.
Configuracion de la consola Web

La consola Web proporciona un subconjunto de funciones de consola de Endpoint Manager como
consecuencia de la presencia de un explorador Web. Una vez instalado en un servidor Web, los usuarios
designados pueden tener acceso a la consola Web a traves de Microsoft Internet Explorer u otros
exploradores Web compatibles. Este sistema (instalado de forma predeterminada en el servidor central)
permite a los usuarios acceso a traves de la consola Web sin necesidad de efectuar instalaciones
adicionales en sus equipos locales.
De forma predeterminada, el programa de configuracion ubica los archivos de la Consola Web en la carpeta
\Inetpub\wwwroot\remote
La instalacion tambien crea archivos compartidos de consola Web con los permisos necesarios en el
servidor central.
Comparacion de funciones entre la Consola y la consola Web

La siguiente tabla presenta una lista de las capacidades de la consola de Endpoint Manager y la consola
Web de Endpoint Manager.
Capacidad Consola Notas
Consola
Web
Configuracion del Si Minima
agente Los Despliegues de agente programados y las Tareas de actualizacion
pueden ser vistos y controlados por los usuarios de la consola Web que
tengan derechos a la Configuracion de agente.
Alertas Si Si
Antivirus Si No
80
GUÍA DE USUARIO

Consola
Web
Si Si
Configuracion de
En el acceso de la Consola Web bajo Preferencias en la pestana de
conjuntos de
Columnas personalizadas.
columnas
Si No
Configuracion de
servicios
Si Minima
Los despliegues programados pueden ser vistos y controlados por los
Administradorde
usuarios de la consola Web con derechos de Administrador de control de
control de conexiones
conexiones.
Si No
Formularios de datos
personalizados
Si Si La pestana localizada bajo Distribucion en la consola Web.

Metodos de entrega
Si Si
Clic con el boton
Comportamiento muy diferente - la unica funcion comun es ejecutar un
derecho en el
rastreo de inventario (en “Rastrear dispositivo” de Web).
dispositivo
Si Si
Administradorde
directorios
Si No
Administradorde
pantalla
Si Si
Paquetes de
distribucion
Si No
Prevencion de
intrusion de host
Si Minima
Los despliegues programados de LaunchPad Link pueden ser vistos y
Gerente de vrnculos
controlados por los usuarios de la consola Web con derechos de
de LaunchPad
Distribucion de software.
Registros Si No
Si Parcial En Secuencias de comandos, se pueden programar y agrupar las
Administrar
secuencias de comandos existentes.
secuencias de
comandos
Si Minima
Las tareas programadas de polfticas de energfa pueden ser
Administracion de la
potencialmente vistas y controladas por los usuarios de la
energfa
Consola Web.
Aprovisionamiento Si No
Si No
Menu de inicio de
PXE
81

Consola
Web
Capacidad de Si Parcial
La consola Web permite el uso de una funcion de Conteo que no esta en la
consulta
consola Windows. Las consultas no se pueden ver como informes en la
consola Web.
Control remoto Si Si
Informes Si Si
La consola de informes se inicia en una ventana de explorador aparte.
Si Si
Tareas
programadas
Ambitos Si Parcial
Los ambitos existentes se le pueden agregar a un usuario, pero no se
pueden crear nuevos ambitos.
Si Minima
Administradorde Los rastreos programados y las tareas de reparacion pueden ser vistas y
seguridad y controladas por los usuarios de la consola Web que tengan derechos de
revisiones Gerente de Revisiones.
Monitor de licencias Si Parcial
de software No son visibles los datos de utilizacion de producto en la consola Web, no
estan disponibles los informes de cumplimiento de los productos
individuales y de grupo, y no se pueden ignorar o agrupar productos.
Deteccion de Si Minima
dispositivos no Los Rastreos programados de deteccion de dispositivos no administrados
administrados pueden ser vistos y controlados por los usuarios de la consola Web con
derechos de Deteccion de dispositivos no administrados.
Usuarios Si No
Si No
Configuracion de
agente de
Windows CE
Si No
Creador de CAB de
Windows CE
Activacion del servidor central

IVANTI Software, Inc. utiliza un servidor de licencias central que le ayuda a administrar las licencias de
productoy de nodos del servidor central. Para utilizar los productos de IVANTI, debe obtener de IVANTI un
nombre de usuario y una contrasena que activara el servidor central con un certificado autorizado. Es
necesario activar cada servidor central para poder utilizar los productos de IVANTI en dicho servidor. Puede
activar el servidor central ya sea automaticamente a traves de Internet o manualmente a traves de correo
electronico. Si se cambia considerablemente la configuracion de hardware de un servidor central, es
probable que sea necesaria la reactivacion.
De forma periodica, el componente de activacion de cada servidor genera datos pertinentes a:

• La cantidad precisa de nodos que se utilizan
82
GUÍA DE USUARIO
• La configuracion de hardware codificada que no es personal

• Los programas de IVANTI Software espedficos que se utilizan (de forma colectiva, los "datos de la
cantidad de nodos")
• Estadfsticas generales de utilizacion de funciones

La activacion no recopila ni genera ningun otro tipo de datos. El codigo de clave de hardware se genera en
el servidor central haciendo uso de factores de configuracion de hardware no personales, tales como el
tamano de la unidad de disco duro, la velocidad de procesamiento del equipo, etc. El codigo de clave de
hardware se envia a IVANTI en formato codificado y la clave privada de la codificacion reside solamente en
el servidor central. utiliza el codigo de clave de hardware para crear una porcion del certificado autorizado.
Despues de instalarel servidor central, utilice la utilidad de activacion del servidor central (Inicio > Todos los
programas > IVANTI > Activacion del servidor central) para activarlo con una cuenta de IVANTI asociada a
las licencias adquiridas o con una licencia de evaluacion de 45 dias. La licencia de evaluacion de 45 dias es
valida para 100 nodos. El periodo de evaluacion de 45 dias comienza cuando se activa el producto
porprimera vez en el servidor central. Si se instalan otros productos de IVANTI para evaluarlos en el
servidor central despues del periodo de 45 dias, dicho periodo no se extiende. Todos los productos de
IVANTI de un mismo servidor central comparten la misma licencia de evaluacion y el mismo periodo de
evaluacion de 45 dias.
Puede instalar productos de IVANTI adicionales bajo la licencia de evaluacion de 45 dias con el programa
de ejecucion automatica del CD de instalacion. Instale el producto que desee desde la ejecucion automatica
y seleccione la opcion Modificar durante la instalacion. Luego podra agregar productos de IVANTI al
servidor central o quitarlos de este.
Para cambiar de una evaluacion de 45 dias a una licencia pagada en cualquier momento, ejecute la utilidad
Activacion del servidor central y escriba el nombrede usuarioy la contrasenadeIVANTI.
Existen dos tipos de licencia: cliente y servidor. Cada vez que se instalan agentes de Endpoint Manager en
un sistema operativo de servidor, tales como Windows 2000 Server o Windows 2003 Server, la instalacion
consume una licencia de Endpoint Manager correspondiente a un servidor. Los servidores centrales de
resumen no necesitan activarse.
Cada vez que se generan datos de cuenta de nodos en un servidor central mediante el software de
activacion, debe enviar los datos de cuenta de nodos a IVANTI, ya sea automaticamente a traves de
Internet o manualmente a traves de correo electronico. Si no envia los datos de cuenta de nodos dentro del
periodo de gracia de 30 dias a partirdel intento inicial de verificacion de la cuenta de nodos, es probable que
el servidor central dejedefuncionarhastaque envie los datos a IVANTI. Una vez que envia los datos de
cuenta de nodos, IVANTI le proporcionara un certificado autorizado que permitira que el servidor central
funcione normalmente.
Una vez que haya activado un servidor central, utilice el dialogo Configurar > Licencias de productos de la
consola de Endpoint Manager, para ver los productos y la cantidad de nodos autorizados adquiridos para la
cuenta en la cual se autentica el servidor central. Tambien puede ver la fecha en que el servidor central
verificara los datos de cuenta de nodos con el servidor de licencias central. El servidor central no le limita a
la cantidad de nodos autorizados adquiridos.
Participacion en el programa de Mejora de la experiencia del cliente de IVANTI
IVANTI se compromete a utilizar los datos del programa de Mejora de la experiencia del cliente para
mejorar el software de IVANTI para sus clientes. Puede participar el el programa de Mejora de la
83
experiencia del cliente de IVANTI para contribuir con su experiencia personal a la interaccion general que
afecte al desarrollo de los productos de software de IVANTI. La participacion en el programa de Mejora de
la experiencia del cliente es totalmente voluntaria.
Para obtener mas informacion sobre este programa, consulte el documento PDF siguiente:
• http://rs.Ivanti.com/documents/customer-experience-improvement-program.pdf
La opcion de participacion se encuentra en la utilidad de activacion. Puede cambiar el estado de
participacion desde ah, aunqueya haya activado el producto.
Para cambiar el estado de participacion
1. Inicie la utilidad de activacion haciendo clicen Inicio > IVANTI > Activacion del servidor central.
2. En la pestana Activacion, marque o desmarque Participar en el programa de Mejora de la
experiencia del cliente de IVANTI.
3. Haga clic en Activar. Puede tardar varios minutos para que el proceso de activacion se complete.
Acerca de la utilidad Activacion del servidor central

Utilice la utilidad Activacion del servidor central para:
• Activar un servidor nuevo por primera vez
• Actualizar un servidor central existente o cambiar de una licencia de evaluacion a una licencia
completa
• Activar un servidor nuevo con una licencia de evaluacion de 45 dfas
Para iniciar la utilidad, haga clic en Inicio > Todos los programas > IVANTI > Activacion del servidor
central. Si el servidor central no tiene una conexion a Internet, consulte "Activacion de un servidor central o
verificacion de los datos de cuenta de nodos de forma manual" (87).
Cada servidor central debe tener un certificado autorizado unico. Varios servidores centrales no pueden
compartir el mismo certificado de autorizacion, aunque pueden verificar las cuentas de nodos de la misma
cuenta de IVANTI.
De forma periodica, el servidor central genera informacion de verificacion de cuenta de nodos en el archivo
"\Archivos de programa\IVANTI\Authorization Files\.usage". Este archivo se envâ de forma periodica al
servidor de licencias de IVANTI. Este archivo esta en formato XMLy se firma y codifica de forma digital. Si
se cambia este archivo de forma manual, se anula su contenidoy el informe de uso siguiente que se envfa
al servidor de licencias de IVANTI.
El servidor central se comunica con el servidor de licencias de IVANTI a traves de HTTP. Si utiliza un
servidor proxy, haga clic en la pestana Proxy y escriba la informacion de proxy. Si el servidor central tiene
conexion a Internet, la comunicacion con el servidor de licencias es automatica y no requiere su
intervencion.
Tenga en cuenta que la utilidad Activacion del servidor central no inicia una conexion a Internet de acceso
telefonico de forma automatica, pero si usted la inicia manualmente y ejecuta la utilidad de activacion, esta
84
GUÍA DE USUARIO
puede utilizar la conexion para enviar los datos de uso.
Si el servidor central no tiene conexion a Internet, verifiquey envfe la cuenta de nodos manualmente, tal
como se describe mas adelante en esta seccion.
Activacion de un servidor con la cuenta de
Antes de activar un servidor nuevo con una licencia completa, debe configurar una cuenta con IVANTI, la
cual le otorga licencia para los productos de IVANTIy la cantidad de nodos que haya adquirido. Necesita la
informacion de la cuenta (nombre de contacto y contrasena) a fin de activar el servidor. Si no tiene dicha
informacion, comurnquese con el representante de ventas de IVANTI.
Para activar un servidor
1. Haga clicen Inicio > Todos los programas > IVANTI > Activacion del servidor central.
2. Haga clic en Activar este servidor central haciendo uso de su nombre de contacto y
contrasena de IVANTI.
3. Escriba el Nombre de contacto y la Contrasena que desea para el servidor central.

4. Haga clic en Activar.
Activacion de un servidor con una licencia de evaluacion
La licencia de evaluacion de 45 dfas activa el servidor con el servidor de licencias de IVANTI. Una vez que
caduca el penodo de evaluacion de 45 dfas, no podra iniciar una sesion en el servidor central y este dejara
de aceptar rastreos de inventario. No obstante, no se perderan los datos existentes en el software y la base
de datos. Mientras utiliza la licencia de evaluacion de 45 dfas o despues que esta expire, puede volver a
ejecutar la utilidad Activacion del servidor central y cambiar a la activacion completa que utiliza una cuenta
de IVANTI. Si ha caducado la licencia de evaluacion, al cambiar a la licencia completa se reactiva el
servidor central.
Para activar la evaluacion de 45 dias
2. Haga clic en Activar este servidor central para la evaluacion de 45 dias.
Actualizacion de una cuenta existente
La opcion de actualizacion envfa la informacion de uso al servidor de licencias de IVANTI. Los datos de uso
se envfan automaticamente si tiene conexion a Internet, de modo que no necesitara utilizar esta opcion
para enviar la verificacion de la cuenta de nodos. Tambien puede utilizar esta opcion para cambiar la
cuenta de IVANTI a la que pertenece el servidor central. Esta opcion tambien puede cambiar un servidor
central de una licencia de evaluacion a una licencia completa.
Para actualizar una cuenta existente
85
2. Haga clic en Actualizar el servidor central que esta utilizando su nombre de contacto y
contrasena de IVANTI.
3. Escriba el Nombre de contacto y la Contrasena que desea para el servidor central. Si escribe un
nombre y una contrasena distintos a los utilizados originalmente para activar el servidor central, el
servidor cambia a la nueva cuenta.
Activacion de un servidor central o verificacion de los

datos de cuenta de nodos de forma manual
Si el servidor central no tiene conexion a Internet, la utilidad Activacion del servidor central no podra enviar
los datos de cuenta de nodos. Se muestra un mensaje, el cual le indica que envfe los datos de activacion y
de verificacion de cuenta de nodos de forma manual a traves de correo electronico. La activacion por correo
electronico es un proceso sencillo y rapido. Si aparece el mensaje de activacion manual en el servidor
central o si utiliza la utilidad Activacion del servidor central y aparece el mensaje, siga estas pasos.
Para activar un servidor central o verificar los datos de cuenta de nodos de forma manual
1. Cuando el servidor central le solicita que verifique los datos de cuenta de nodos de forma manual,
este crea un archivo de datos llamado {languagecode}-activate.{datestring}.txt en la carpeta
"\Archivos de programa\IVANTI\Authorization Files". Adjunte el archivo a un mensaje de correo
electronico y envfelo a licensing@Ivanti.com Puede utilizar cualquier asunto o cuerpo en el
mensaje.
2. IVANTI procesa el archivo adjunto al mensaje y le responde a la direccion de correo electronico
desde la cual se envio. El mensaje de IVANTI brinda instrucciones y un nuevo archivo de
autorizacion.
3. Guarde el archivo de autorizacion adjunto en la carpeta \Archivos de programa\IVANTI\Authorization
Files. El servidor central procesa inmediatamente el archivo y actualiza el estado de activacion.
Si la activacion manual falla o el servidor central no puede procesar el archivo de activacion adjunto, se
cambia el nombre del mismo con la extension .rejected y la utilidad registra el suceso con mas detalles en
el registro de aplicaciones del visor de sucesos de Windows.
Configuracion de credenciales de servidor COM+

Cuando utilice un servidor de consola Web que no se encuentra en el servidor central o si desea utilizar
grupos de dominio dentro del grupo de IVANTI Endpoint Manager en el servidor central, hay una
configuracion adicional de servidor que debe realizar para que funcione correctamente la autenticacion de
Endpoint Manager. Los servidores de la consola Web deben obtener la informacion de conexion de la base
de datos y la informacion del servidor central, pero debido a que los servidores de consola Web utilizan las
credenciales Web sin personalizar en IIS, no se pueden comunicar de forma directa con el servidor central.
Para resolver este problema, el servidor de la consola Web y el servidor central utilizan una aplicacion
COM+ para comunicarse mediante HTTPS, lo que permite al servidor de la consola Web obtener la
86
GUÍA DE USUARIO
informacion de usuario y la base de datos del servidor central. Necesita configurar esta aplicacion COM+ en
el servidor de la consola Web para utilizar una cuenta que tenga los derechos necesarios, como la cuenta
del administrador de dominio. La cuenta que proporcione debe pertenecer al grupo de IVANTI Endpoint
Manager del servidor central (esto le permite el acceso a la informacion de conexion de base de datos del
servidor central) y necesita tener derechos para enumerar miembros de dominio de Windows.
Si utiliza grupos de dominio dentro del grupo de IVANTI Endpoint Manager del servidor central, Endpoint
Manager tambien necesita tener la capacidad de enumerar los miembros de dominio de Windows. En este
caso, tambien debe proporcionar una cuenta para la aplicacion IVANTI1 COM + del servidor central.
Para configurar la aplicacion IVANTI1 COM+ en un servidor central o de consola Web remota
1. Vaya al servidor Web o al servidor central que desea configurar.

2. En las Herramientas administrativas del panel de control de Windows, abra Servicios de
componentes.
3. Haga clic en Servicios de componentes > Equipos > Mi equipo > Aplicaciones COM+.
4. Haga clic con el boton derecho en la aplicacion IVANTI1 COM+ y seleccione Propiedades.
5. En la pestana Identidad, introduzca las credenciales que desea utilizar.
Configuracion del certificado del servidor de IVANTI

Endpoint Manager 2017
Este tema incluye informacion acerca de la configuracion de las Autoridades del certificado de rafz de
confianza.
87
El problema
Para que Microsoft Internet Information Services (IIS) maneje correctamente la autenticacion basada en
certificados, es importante que los certificados de "Autoridades del certificado de ^z de confianza" esten
configurados correctamente. Los certificados de este contenedor deberan ser certificados autofirmados. Si
hay certificados no autofirmados instalados en este contenedor, puede hacer que la autenticacion basada
en certificados para IIS con error403 de HTTP. Para obtener una descripcion de los errores 403.16y403.7
de HTTP, consulte este sitio web:
• https://support.microsoft.com/en-us/kb/2802568
Resolucion
Parte 1: Elimine los certificados no autofirmados de Autoridades del certificado de raiz de confianza
Este problema se puede solucionar eliminando todos los certificados no autofirmados de Autoridades del
certificado de rafz de confianza en Gestor de certificados (certmgr.msc) y moverlos a la ubicacion
adecuada, como Autoridades de certificacion intermedia. Este cambio puede afectar a otro software, asf
que se debe tener cuidado y probar el software para asegurarse de que sigue funcionando correctamente.
Parte 2: Cambie la Configuracion SCHANNEL del Registro de Windows.
En algunos sistemas puede ser necesario cambiar las siguientes claves de registro que afectan al
modo de confianza de los certificados:
1. Ajuste HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL, Nombre del valor:
ClientAuthTrustMode, Tipo del valor: REG_DWORD, datos del valor: 2
2. Ajuste HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL Nombre del valor:
SendTrustedlssuerList Tipo del valor: REG_DWORD Datos del valor: 0 (Falso, o elimine totalmente
esta clave)
Para obtener informacion acerca de la clave de registro SCHANNELy sus usos, consulte estos sitios web:
• http://stackoverflow.com/questions/27232340/iis-8-5-mutual-certificates-authentication-fails-
with-error-403-16
• http://blogs.technet.com/b/configurationmgr/archive/2013/08/13/support-tip-a-configmgr-
2012-management-point-enabled-for-ssl-fails-with-403-forbidden.aspx
• http://configmgrblog.com/2014/02/23/configmgr-2012-r2-internet-facing-mp-windows-server-
2012-r2-note/
88
GUÍA DE USUARIO
Plataformas y funciones compatibles

Para obtener mas informacion sobre las versiones del sistema operativo y los idiomas que Endpoint
Manager admite (en el servidor central, los dispositivos administrados y las herramientas y funciones de
IVANTI), consulte los siguientes documentos Comunidad de usuarios de IVANTI:
• Plataformas compatibles y Matriz de compatibilidad de IVANTI Endpoint Manager
• Compatibilidad con idiomas de cliente de IVANTI Endpoint Manager 9.0
Uso de los puertos de Endpoint Manager

Al utilizar Endpoint Manager en un entorno que incluya barreras de seguridad (o enrutadores que filtran el
trafico), es crucial tener la informacion sobre los puertos que deben abrirse en las barreras de seguridad
(firewalls).
Los siguientes documentos de la Comunidad de usuarios de IVANTI identifican los puertos que Endpoint
Manager utiliza en el servidor central y los dispositivos administrados.
• Puertos que utiliza IVANTI Endpoint Manager - Lista completa:

IMPORTANT: Normalmente, durante el proceso de instalacion, la configuracion del agente y la instalacion de

IVANTI Endpoint Manager configuraran estos puertos de forma automatica en la barrera de seguridad Windows
Firewall. Sin embargo, si esta usando una barrera de seguridad diferente, tendra que configurar los puertos
manualmente.
89
Centro de configuracion
Utilice el sitio web del Centro de configuracion para administrar las instancias y la integracion de IVANTI
Service Desky IVANTI Workspaces. Si no utiliza estos productos, no necesita utilizar el Centro de
configuracion.
Para obtener mas informacion acerca de la configuracion de Service Desk, consulte la ayuda en lfnea de
Service Desk aqu:
• https://help.Ivanti.com/docs/help/en_https://help.Ivanti.com/docs/help/en_
US/LDSD/10.0/Default.htm#../Subsystems/Setup/Content/ConsolaSetup/ConfiqCenterLoqOn.h
tm
Para obtener mas informacion acerca de la configuracion de Workspaces, consulte el Contenido

presentado de los documentos de la comunidad de IVANTI aqm:
• https://community.Ivanti.com/support/community/systems/workspaces
90
GUÍA DE USUARIO
Configuring core services

Configuracion de servicios
Muchas de las funciones mas integrales y fundamentals proporcionadas por los componentes de IVANTI,
tales como el servidor de inventario y el servicio programador, pueden y deben configurarse a fin de
optimizar el rendimiento del entorno de red particular. Para hacer esto, utilice el subprograma Configurar
los servicios de IVANTIque puede ejecutar en el grupo de programas del menu Inicio de IVANTI (o en la
consola de administracion, haga clic en Configura> Servicios).
NOTE: La configuracion de servicios esta restringida solamente a los administradores de IVANTI

Solamente los usuarios con derechos de administrador de IVANTI pueden modificar la configuracion de los
servicios. Ademas, la opcion Configuracion de servicios esta disponible unicamente en la consola principal y
no en las consolas adicionales que se configuren.
Consulte esta seccion para obtener informacion sobre:
• "Seleccion de un servidor yuna base de datos centrales" (92)

• "Configuracion del servicio de Inventario" (93)
• "Resolucion de registros de dispositivo duplicados en la base de datos" (97)
• "Configuracion del servicio programador" (98)
• "Configuracion del Servicio detrabajos personalizados" (101)
• "Configuracion del servicio de multidifusion (solo en agentes anteriores a 9.6)" (103)
• "Configuracion de credenciales de virtualizacion del SO" (103)
Seleccion de un servidor y una base de datos centrales
Antes de configurar un servicio, utilice la pestana General para especificar el servidor y la base de datos
centrales para los que desea configurar el servicio.
O NOTE: Todos los cambios en la configuracion de un servicio que realice para un servidor y una base de
datos centrales no tendran efecto hasta que reinicie el servicio en el servidor central.
Acerca de la pestana General
Utilice esta pestana para seleccionar el servidor y la base de datos centrales para los cuales desea
configurar un servicio espedfico. A continuacion, seleccione cualquiera de las otras pestanas de servicios
yespecifique la configuracion para ese servicio.
Las Credenciales de usuario de la base de datos de informes le permiten conectarse a la base de datos
mediante una cuenta de usuario diferente cuando utilice la Herramienta de informes. Por ejemplo, puede
crear una cuenta de usuario para la base de datos con derechos de solo lectura, y a continuacion utilizar
esa cuenta para que los usuarios de informes puedan leer, pero no modificar, la base de datos.
91
• Nombre del servidor: muestra el nombre del servidor central al que esta actualmente conectado.
• Servidor: le permite escribir el nombre de un servidor central diferente y el directorio de la base de
datos del mismo.
• Base de datos: le permite escribir el nombre de la base de datos central.
• Nombre de usuario: Identifica un usuario con credenciales de autenticacion a la base de datos
central (especificada durante la configuracion).
• Contrasena: identifica la contrasena de usuario que se requiere para tener acceso a la base de
datos central (que se especifico durante la instalacion).
• Base de datos Oracle: Indica que la base de datos central especificada anteriormente es de
Oracle.
• Usuario de la base de datos de informes: Especifique el nombre de usuario y la contrasena de
cuenta con los cuales desea que la herramienta de informes tenga acceso a la base de datos. Se
debe haber creado esta cuenta previamente con los derechos espedficos de acceso a la base de
datos.
• Configuracion de la consola Web: muestra la direccion IPo el nombre del servidor en los cuales
se puede ejecutar la consola Web. Cuando desee tener acceso a la consola Web desde otro
dispositivo, escriba este nombre o direccion, seguida de /remote, en un explorador de Web.
• FIPS 140-2: Habilita el FIPS 140-2, un estandar de seguridad del gobierno de los Estados Unidos
que define un conjunto de funciones de criptograffa permitidas. Para obtener mas informacion,
consulte Acerca de la asistencia de FIPS 140-2.
• Inicio de sesion sencillo: Permite al usuario iniciar sesion en la consola de IVANTI sin introducir un
nombre de usuario ni una contrasena. Para obtener mas informacion, consulte Inicio de sesion
unico en la consola de IVANTI.
• Actualizar configuracion: Restaura la configuracion que existfa cuando se abrio el cuadro de
dialogo.
Al especificar los nombres de usuario y las contrasenas de una base de datos, el nombre de usuario y la
contrasena no pueden contener un apostrofe ('), un puntoycoma (;) o un signo de igual (=).
Configuracion del servicio de Inventario
Utilice la pestana Inventario para configurar el servicio de Inventario para el servidor y la base de datos
centrales que se seleccionaron con la pestana General.
Si desea reiniciar el servicio de Inventario en un servidor central agrupado, debe hacerlo mediante Windows
Service Control Manager. El boton Reiniciar servicios en la pestana de Inventario de IVANTI Software
Services no puede reiniciar el servicio de Inventario en un servidor central agrupado.
Acerca de la pestana Inventario
Utilice esta pestana para especificar las opciones de inventario siguientes:

• Nombre del servidor: muestra el nombre del servidor central al que esta actualmente conectado.
• Registrar estadisticas: Mantiene un registro de las acciones y estad^sticas de la base de datos
central. Puede ver los datos de registro en el registro de Aplicacion del Visor de eventos de
92
GUÍA DE USUARIO
Windows.
• Transporte de datos cifrados: habilita el rastreador de inventario para enviar los datos de
inventario del dispositivo rastreado de regreso al servidor central como datos cifrados a traves
deSSL.
• Rastrear el servidor en: Especifica la hora en que se rastreara el servidor central.
• Realizar el mantenimiento en: Especifica la hora en que se realizara el mantenimiento estandar de
la base de datos central.
• Dâs que conservar los rastreos de inventario: Define el numero de dfas anteriores a la
eliminacion del registro de rastreo de inventario.
• Inicios de sesion del propietario primario: establece el numero de veces que el rastreador de
inventario realiza un seguimiento de los inicios de sesion para determinar el propietario principal de
un dispositivo. El propietario principal es el usuario que ha iniciado sesion la mayona de las veces
dentro de este numero especificado de inicios de sesion. El valor predeterminado es 5 y los valores
mfnimo y maximo son 1 y 16 respectivamente. Si todos los inicios de sesion son exclusivos, el
ultimo usuario que ha iniciado una sesion se considera el propietario principal. Un dispositivo solo
puede tener un propietario principal asociado cada vez. Los datos de inicio de sesion del usuario
principal incluyen el nombre completo del usuario en formato ADS, NDS, nombre de dominio o
nombre local (en este orden), asf como tambien la fecha del ultimo inicio de sesion.
• Configuracion avanzada: Muestra el cuadro de dialogo Configuracion avanzada. Aqui puede
cambiar la configuracion avanzada pertinente al inventario. Al hacer clic en cada uno de los
elementos, el texto de ayuda aparece en la parte inferior del cuadro dialogo y explica cada opcion.
Los valores predeterminados deben ser adecuados para la mayona de las instalaciones. Para
cambiar un valor, haga clic en el, cambie el Valory haga clic en Establecer. Al finalizar, reinicie el
servicio de inventario.
• Elementos desconocidos: abre el cuadro de dialogo Elementos de inventario desconocidos,
el cual muestra una lista de todos los objetos que se han encontrado durante los rastreos, pero que
todavfa no estan en la base de datos. Esto le da control sobre que nuevos elementos se agregan a
la base de datos de manera que usted pueda eliminar problemas potenciales de los datos. Puede
seleccionar permitir que los datos se agreguen a la base de datos, simplemente elimine los datos de
esta lista o ignore el elemento en todos los rastreos futuros.
• Software: Muestra el cuadro de dialogo Configuracion del rastreo de software. Especifique en que
momento se ejecuta el rastreo de software y por cuanto tiempo se guarda el historial de inventario.
• Atributos: abre el cuadro de dialogo Seleccionar atributos a guardar, en el cual puede seleccionar
los atributos de rastreo de inventario que se almacenan en la base de datos. Esto puede reducir el
tamano de la base de datos yacelerar el tiempo de insercion del rastreo.
• Administrar duplicados: Dispositivos: Abre el cuadro de dialogo Dispositivos duplicados, en
el cual puede configurar la forma en que se manejan los dispositivos duplicados.
• Administrar duplicados: ID de dispositivo: Abre el cuadro de dialogo ID de dispositivos
duplicados, en el cual se pueden seleccionar atributos que identifican de modo exclusivo a los
dispositivos. Puede utilizar esta opcion para evitar rastrear ID de dispositivos duplicados en la base
de datos central (vease "Resolucion de registros de dispositivo duplicados en la base de datos"
93
(97)).
• Estado del servicio de inventario: Indica si el servicio se inicia o se detiene en la base de datos
central.
• Inicio: Inicia el servicio en el servidor central.
• Detener: Detiene el servicio en el servidor central.
• Reiniciar: reinicia el servicio en el servidor central.
Acerca del dialogo Elementos de inventario desconocidos
El cuadro de dialogo Elementos de inventario desconocidos (Configurar > Servicios > Pestana de
Inventario > Boton de Dispositivos desconocidos) le permite controlar que elementos nuevos se
agregan a la base de datos del inventario. Cuando el rastreo de inventario se ejecuta, puede encontrar
objetos que no estan identificados en la base de datos. Como puede haber datos corruptos u otros
problemas en un dispositivo administrado, puede no ser conveniente que los nuevos datos se agreguen a la
base de datos. Este cuadro de dialogo presenta una lista de todos los elementos que se han encontrado y
le da la opcion de agregar los elementos nuevos a la base de datos, eliminarlos o bloquearlos para que
nunca se agreguen a la base de datos.
• Bloquear elementos de inventario desconocidos: Cuando esta casilla es seleccionada, todos los
elementos desconocidos apareceran en una lista aqrn hasta que usted seleccione como disponer
de ellos.
• Elementos bloqueados: presenta una lista de todos los objetos de inventario que no estan
actualmente en la base de datos. Haga clic en uno o varios elementos para seleccionarlos y aplicar
alguna accion.
• Permitir: seleccione los elementos y haga clic en Permitir para agregar los datos a la base de
datos. Los elementos se agregaran a la base de datos y se permitira que se procesen en futuros
rastreos de inventario.
• Eliminar: seleccione los elementos y haga clic en Eliminar para eliminarlos unicamente de esta
lista. Si el elemento se vuelve a encontrar, aparecera de nuevo en la lista. Tpicamente, se eliminan
los elementos que son el resultado de datos corruptos y que probablemente nunca se volveran a
encontrar en un rastreo.
• Ignorar: seleccione los elementos y haga clic en Ignorar para bloquear permanentemente que se
agreguen a la base de datos. Por motivos de rendimiento, la lista Ignorar debe conservarse tan
corta como sea posible. Note que los elementos de esta lista no se ignoran permanentemente; el
unico modo de eliminarlos de la lista es eliminarlos manualmente de la tabla META_IGNORE de la
base de datos de inventario y reiniciar el servicio de inventario.
• Aceptar/Cancelar: En este cuadro de dialogo, los botones de Aceptary Cancelar solo se aplican a
la casilla de verificacion Bloquear elementos de inventario desconocidos, no a las acciones
sobre los elementos bloqueados.
Acerca del cuadro de dialogo Configuracion de rastreo de software
Utilice este cuadro de dialogo (Configurar > Servicios > Pestana de Inventario > Boton de Software)
para configurar la frecuencia de los rastreos de software. El hardware de un dispositivo se rastrea cada vez
94
GUÍA DE USUARIO
que el rastreador de inventario se ejecuta en el dispositivo y, por el contrario, el software del dispositivo se
rastrea unicamente en el intervalo de tiempo que se especifique aqm.
• Cada inicio de sesion: rastrea todo el software instalado en el dispositivo cada vez que el usuario
inicia sesion.
• Una vez cada âs): rastrea el software del dispositivo unicamente en el intervalo diario
especificado, como un rastreo automatico.
• Guardar historial (en dâs): especifica el periodo de tiempo durante el que se guarda el historial
de inventario del dispositivo. Desmarque la casilla de verificacion para que no guarde el historial de
inventario.
Configuracion de los atributos de rastreo de inventario que se almacenan en la base de datos
El administrador de inventario busca cientos de elementos de inventario. Si no necesita toda la informacion

de rastreo en la base de datos, puede acelerar el tiempo de insercion del rastreo y reducir el tamano de la
base de datos mediante la limitacion de la cantidad de atributos de rastreo que se almacenan en la base de
datos. Al hacerlo, los dispositivos administrados aun envfan rastreos de inventario completos, pero el
servicio de inventario del servidor central solamente almacena los atributos que especifique en la base de
datos.
De forma predeterminada, el servicio de inventario inserta todos los atributos de rastreo en la base de
datos. Los cambios que realice en el filtro de atributos no tendran efecto en los datos que ya se encuentran
en la base de datos. A fin de limitar los datos que se almacenan, realice los pasos siguientes.
Para configurar el filtro de datos de rastreo de inventario
1. Haga clicen la pestana de Configurar > Servicios > Inventario > boton de Atributos.
2. Los atributos de la columna Atributos seleccionados de la derecha se insertan en la base de
datos. Coloque los atributos que no desee incluir en la base de datos en la columna Atributos
disponibles de la izquierda. Cuando haya finalizado, haga clic en Aceptar.
3. Para reiniciar el servicio de inventario, haga clic en Reiniciar en la pestana Inventario.

95
Resolucion de registros de dispositivo duplicados en la base de datos
En algunos entornos se utilizan las imagenes de SO con regularidad yfrecuencia para configurar
dispositivos. Debido a esto, aumenta la posibilidad de que existan ID de dispositivo duplicados entre los
dispositivos. Para evitar este problema, especifique otros atributos de dispositivo que, junto con el Id. del
dispositivo, creen un identificador unico para los dispositivos. Ejemplos de estos y otros atributos son el
nombre del dispositivo, el nombre de dominio, el BIOS, el bus, el coprocesador, etc.
La funcion de ID duplicado le permite seleccionar los atributos de dispositivo que se pueden utilizar para
identificar al dispositivo de modo exclusivo. Especifique los atributos y la cantidad de atributos que deben
faltar para que el dispositivo se designe como duplicado de otro. Si el rastreador de inventario detecta un
dispositivo duplicado, escribe un evento en el registro de eventos de la aplicacion para indicar el Id. del
dispositivo duplicado.
Ademas de los ID de dispositivo duplicados, tambien es probable que existan nombres de dispositivo o
direcciones MAC duplicados que se hayan acumulado en la base de datos. Si se presentan problemas
frecuentes con dispositivos duplicados (y desea evitar que futuros registros de dispositivo duplicados sean
explorados en su base de datos), tambien puede especificar que se eliminen los nombres de dispositivo
duplicados que se encuentren en la base de datos. La funcion complementaria de resolucion de dispositivos
duplicados se incluye en el procedimiento a continuacion.
De manera predeterminada, si se detecta una direccion MAC duplicada cinco o seis veces mas, se agrega
automaticamente a la lista de ignorar durante el mantenimiento de la base de datos. Puede cambiar este
umbral haciendo clic en Configurar > Servicios > pestana Inventario > Configuration avanzada >
Umbral de MAC duplicadas.
Para configurar la resolucion de dispositivos duplicados
1. Haga clic en Configurar > Servicios > Inventario > Identificadores de dispositivo.
2. Seleccione los atributos de la Lista de atributos que desee utilizar para identificar de modo
exclusivo a un dispositivo y, a continuacion, haga clic en el boton >> para agregar el atributo a la
lista de Atributos de identidad. Podra introducir tantos atributos como desee.
3. Seleccione el numero de atributos de identidad (y de hardware) que deben no coincidir en un

dispositivo para que este se considere un duplicado de otro dispositivo.
4. Si desea que el rastreador de inventario rechace los identificadores de dispositivos duplicados,

seleccione la casilla de verificacion Rechazar identidades duplicadas.
5. Haga clic en Aceptar para guardar la configuracion y regresar al cuadro de dialogo

Configuracion de inventario.
6. (Opcional) Si tambien desea resolver los dispositivos duplicados por nombre y/o direccion, haga clic
en Dispositivos para abrir el cuadro de dialogo Dispositivos duplicados, en el cual puede
especificar las condiciones cuando se eliminan dispositivos duplicados, como por ejemplo, cuando
coinciden los nombres de los dispositivos, las direcciones MAC o cuando coinciden ambos.
Acerca del cuadro de dialogo ID de dispositivos duplicados
96
GUÍA DE USUARIO
Utilice este dialogo (haga clic en la pestana de Configurar > Servicios > Pestana de Inventario > Boton
de ID de dispositivos) para configurar el manejo de ID de dispositivos duplicados.
• Lista de atributos: muestra una lista de atributos que puede elegir para identificar de modo
exclusivo a un dispositivo.
• Atributos de identidad: muestra los atributos que ha seleccionado para identificar exclusivamente
a un dispositivo.
• Registrar como ID de dispositivo duplicado cuando: identifica el numero de atributos que deben
ser distintos en un dispositivo para que este se considere un duplicado de otro.
• Rechazar identidades duplicadas: hace que el rastreador de inventario registre el Id. del
dispositivo duplicado y rechace todos los intentos posteriores de rastrear el ID de ese dispositivo. A
continuacion, el rastreador de inventario genera un nuevo ID de dispositivo.
Acerca del cuadro de dialogo Dispositivos duplicados
Utilice este cuadro de dialogo (haga clic en la pestana de Configurar > Servicios > Inventario >
Boton de Dispositivos) para especificar las condiciones de nombre y direccion cuando se eliminan
dispositivos duplicados de la base de datos. Si se marca una de las opciones de eliminacion de duplicados,
se permiten duplicados en la base de datos pero los mismos se eliminan la siguiente vez que se realiza el
mantenimiento de la base de datos.
• Eliminar duplicados si:
• Los nombres de dispositivo coinciden: quita el registro mas antiguo cuando dos o mas
nombres de dispositivos coinciden en la base de datos.
• Las direcciones MAC coinciden: quita el registro mas antiguo cuando dos o mas
direcciones MAC coinciden en la base de datos.
• Los nombres de dispositivo y las direcciones MAC coinciden: Elimina el registro mas
antiguo solo si coinciden dos o mas nombres de dispositivo y direcciones MAC (en el mismo
registro).
• Restaurar ID originales: restaura el ID del dispositivo original proveniente del registro anterior del
dispositivo rastreado siempre que haya dos registros de ese dispositivo en la base de datos y al
menos se selecciona una de las opciones de eliminar de arriba y sus criterios se cumplen. El ID del
dispositivo original se restaurara cuando se ejecute el siguiente rastreo de mantenimiento de
inventario. Esta opcion no tiene vigor a menos que se seleccione una de las opciones de eliminacion
anteriores.
Configuracion del servicio programador
Utilice la pestana Programador para configurar el servicio programador (Herramientas >

Distribution > Tareas programadas) para el servidor y la base de datos centrales que se seleccionaron
mediante la pestana General.
Debe tener los derechos apropiados para llevar a cabo estas tareas, incluidos los privilegios de
97
administrador completos para los dispositivos Windows de la red y permitirles recibir distribuciones de
paquetes desde el servidor central. Para especificar varias credenciales de inicio de sesion que puedan
utilizarse en los dispositivos, haga clic en Cambiar inicio de sesion.
Una configuracion adicional que puede establecer manualmente es la frecuencia de actualizacion de la

ventana Tareas programadas. De forma predeterminada, la ventana Tareas programadas comprueba la
base de datos central cada dos minutos para determinar si se ha actualizado alguno de los elementos
visibles. Si desea cambiar la frecuencia de actualizacion, desplacese hasta esta clave del registro:
. HKEY_CURRENT_USER\Software\IVANTI\ManagementSuite\WinConsola
Configure "TaskRefreshlntervalSeconds" con el numero de segundos entre actualizaciones de una tarea
activa. Configure "TaskAutoRefreshlntervalSeconds" con el intervalo de actualizacion de toda la ventana
Tareas programadas.
Acerca de la pestana Programado
Utilice esta pestana para ver el nombre del servidor y la base de datos centrales que se seleccionaron
previamente asf como para especificar las opciones de tareas programadas siguientes:
• Nombre de usuario: el nombre de usuario con el cual se ejecutara el servicio de tareas

programadas. Este se puede cambiar haciendo clic en el boton Cambiar inicio de sesion.
• Numero de segundos entre reintentos: Cuando una tarea programada se configura con varios
reintentos, esta configuracion controla el numero de segundos que el programador esperara antes
de reintentar la tarea.
• Numero de segundos para intentar la activacion: cuando se configura una tarea programada
para que utilice Wake On LAN, esta configuracion controla el numero de segundos que el servicio
de tareas programadas esperara para que se active un dispositivo.
• Intervalo entre las evaluaciones de las consultas: Numero que indica el periodo de tiempo entre
las evaluaciones de las consultas y la unidad de medida del numero (minutos, horas, dfas o
semanas).
• Configuracion de la activacion Wake On LAN: El Puerto IP que utilizara el paquete Wake On LAN
configurado por las tareas programadas para activar los dispositivos.
• Estado del servicio de programador: indica si el servicio de programador se inicia o se detiene en
• Inicio: Inicia el servicio en el servidor central.
• Detener: Detiene el servicio en el servidor central.
• Reiniciar: reinicia el servicio en el servidor central.
98
GUÍA DE USUARIO
* Avanzada: Muestra el cuadro de dialogo Configuration avanzada del programador. Aqui puede
cambiar otros valores de configuracion pertinentes al programador. Al hacer clic en cada uno de los
elementos, el texto de ayuda aparece en la parte inferior del cuadro dialogo y explica cada opcion.
Los valores predeterminados deben ser adecuados para la mayoria de las instalaciones. Para
cambiar una configuracion, haga clic en ella, luego en modificar, introduzca un valor nuevo y por
ultimo haga clic en Aceptar. Al finalizar, reinicie el servicio de programacion.
Acerca del cuadro de dialogo Cambiar Inicio de sesion
Utilice el cuadro de dialogo Cambiar inicio de sesion (haga clic en Configurar >Servicios > pestana
Programador) para cambiar el inicio de sesion predeterminado del programador. Tambien puede
especificar credenciales alternativas que el servicio programador puede intentar cuando necesite ejecutar
una tarea en dispositivos no administrados.
Para instalar agentes de IVANTI en dispositivos no administrados, el servicio programador debe poder
conectarse con los dispositivos mediante una cuenta administrativa. La cuenta predeterminada que utiliza
el servicio programador es LocalSystem. Por lo general, las credenciales de LocalSystem funcionan en
dispositivos que no se encuentran en un dominio. Si los dispositivos estan en un dominio, especifique una
cuenta de administrador de dominio.
Si desea cambiar las credenciales de inicio de sesion del servicio programador, puede especificar otra
cuenta administrativa a nivel de dominio para utilizarla en los dispositivos. Si administra dispositivos a
traves de varios dominios, puede agregar credenciales adicionales para el programador. Si desea utilizar
una cuenta diferente a LocalSystem para el servicio programador o si desea proveer credenciales
alternativas, debe especificar un servicio de inicio de sesion primario para el programador que posea
derechos administrativos en el servidor central. Las credenciales alternativas no requieren derechos
administrativos en el servidor central, pero si en los dispositivos.
El servicio programador intenta las credenciales predeterminadas y utiliza cada credencial especificada en
la lista Credenciales alternativas hasta que tiene exito o se terminan las credenciales. Las credenciales
especificadas se codifican y almacenan de forma segura en el registro del servidor central.
NOTE: Los servidores centrales de Resumen usan las credenciales de servicio del programador para
autenticar la sincronizacion. En servidores centrales de resumen, estas credenciales de servicio del
programador deben pertenecer a un grupo con privilegios de administrador de consola en los servidores
centrales de origen. Si las credenciales no tienen estos privilegios, el Resumen fallara y usted vera errores
en el manejador de tareas en el registro de sincronizacion del servidor central de origen. 5 6
• Agregar: Haga clic para agregar un nuevo nombre de usuario y una contrasena a la lista de
Credenciales alternas.
Defina las opciones siguientes para las credenciales predeterminada del programador:
• Nombre de usuario: escriba el dominio\nombre de usuario o el nombre de usuario predeterminado

que el programador va a utilizar.
• Contrasena: introduzca la contrasena del nombre de usuario especificado.
6 Confirmar contrasena: vuelva a escribir la contrasena para confirmarla.
Defina las opciones siguientes para las credenciales adicionales del programador:
99
• Quitar: haga clic para quitar las credenciales seleccionadas de la lista.

• Modificar: haga clic para cambiar las credenciales seleccionadas.
Cuando agregue credenciales alternativas, especifique lo siguiente:
• Nombre de usuario: Introduzca el nombre de usuario que desee que el programador utilice.
• Dominio: Introduzca el dominio del nombre de usuario que se especifico.
• Contrasena: escriba la contrasena para las credenciales especificadas.
• Confirmar contrasena: vuelva a escribir la contrasena para confirmarla.
Configuracion del Servicio de trabajos personalizados
Utilice la pestana Tareas personalizadas para configurar el servicio de tareas personalizadas para el
servidory la base de datos centrales que se seleccionaron mediante la pestana General. Algunos ejemplos
de tareas personalizadas son los rastreos de inventarios, los despliegues de dispositivos y las
distribuciones de software.
Los trabajos se pueden ejecutar con cualquiera de los dos protocolos de ejecucion remota, TCP o el
protocolo de agente estandar IVANTI, CBA. Cuando deshabilita TCP como protocolo de ejecucion remota,
los trabajos personalizados utilizan el protocolo del agente IVANTI estandar de forma predeterminada, ya
este marcado como inhabilitado o no. Asimismo, si estan habilitadas la ejecucion remota TCPy el agente
IVANTI estandar, el servicio de trabajos personalizados trata de utilizar la ejecucion remota TCP en primer
lugary, si no esta presente, utiliza el IVANTI estandar.
La pestana Tareas personalizadas tambien permite elegir las opciones de la deteccion de dispositivos.
Para que un servicio de tareas personalizadas pueda procesar una tarea, debe detectar cada direccion IP
actual de los dispositivos. Esta pestana permite configurar el modo en que el servicio se comunicara con
los dispositivos.
Acerca del cuadro de dialogo Configuracion de servicios IVANTI: Pestana de Tareas personalizadas
Utilice esta pestana para configurar las opciones siguientes de Trabajos personalizados:
Opciones de ejecucion remota

• Deshabilitar ejecucion por TCP: inhabilita TCP como protocolo de ejecucion remota y utiliza el
protocolo de agente IVANTI estandar de forma predeterminada.
• Inhabilitar ejecucion/transferencia de archivos por CBA: Deshabilita el agente IVANTI estandar

como protocolo de ejecucion remota. Cuando el agente IVANTI estandar esta deshabilitadoy el
protocolo TCP no se encuentra en el dispositivo, la ejecucion remota fallara.
100
GUÍA DE USUARIO
• Habilitar tiempo de espera de ejecucion remota: Habilita un tiempo de espera de ejecucion

remota y especifica el numero de segundos que deben transcurrir hasta que finalice el tiempo de
espera. Los tiempos de espera de ejecucion remota se activan cuando el dispositivo envfa
transacciones de control pero la tarea en el dispositivo esta bloqueada o en un bucle. Esta
configuracion se aplica a los dos protocolos (TCP o agente IVANTI estandar). El valor se puede
establecer entre 300 segundos (5 minutos) y 86.400 segundos (1 dfa).
• Habilitar tiempo de espera del cliente: habilita un tiempo de espera del dispositivo y especifica el
numero de segundos que deben transcurrir hasta que finalice el tiempo de espera. De forma
predeterminada, la ejecucion remota por TCP envfa una transaccion de control desde el dispositivo
al servidor a intervalos de 45 segundos hasta que la ejecucion remota se completa o finaliza el
tiempo de espera. Los tiempos de espera del dispositivo se activan cuando el dispositivo no envfa
una transaccion de control al servidor.
• Puerto de ejecucion remota: Especifica el puerto a traves del cual tiene lugar la ejecucion remota
porTCP. El predeterminado es 12174. Si se cambia este puerto, se debera cambiar asimismo en la
configuracion del dispositivo.
Opciones de distribucion
• Distribuir a <nn> equipos simultaneamente: especifica el numero maximo de dispositivos a los
que se distribuira el trabajo personalizado simultaneamente.
Opciones de deteccion
• UDP: selecciona UDP para que utilice un ping agente IVANTI a traves de UDP. La mayona de los
componentes de dispositivo de IVANTI dependen del agente IVANTI estandar, de modo que los
dispositivos administrados deben tener instalado el agente IVANTI estandar. Constituye el metodo
de deteccion predeterminado y el mas rapido. Con UDP, tambien puede seleccionar la cantidad de
Reintentos y Tiempo de espera del ping de UDP.
• TCP: seleccione el TCP para utilizar una conexion HTTP al servidor en el puerto 9595. Este metodo
de deteccion tiene la ventaja de que es capaz de funcionar a traves de un servidor de seguridad si
se abre el puerto 9595. No obstante, esta sujeto a los tiempos de espera de conexion HTTP si no
se encuentran los dispositivos. Dichos tiempos de espera pueden ser de 20 segundos o mas. Si
muchos de los dispositivos de destino no responden a la conexion TCP, la tarea tardara mucho en
iniciarse.
• Ambos: seleccione Ambos para que el servicio intente la deteccion primero con UDP, luego con
TCPyfinalmente con DNS/WINS, si esta seleccionado.
• Desactivar la difusion de subred: si se selecciona, se desactiva la deteccion a traves de una
difusion de subred. Si se selecciona, se envfa una difusion dirigida a subredes mediante UDPy
PDS.
• Desactivar busqueda de DNS/WINS: si se selecciona, se desactiva la busqueda del servicio de
nombre para cada dispositivo, si falla el metodo de deteccion TCP/UDP seleccionado.
101
Configuracion del servicio de multidifusion (solo en agentes anteriores a 9.6)

La multidifusion se ha mejorado en Endpoint Manager 9.6 y las opciones de esta pestana solo se aplican si
lleva a cabo la multidifuscion en dispositivos con otras versiones mas antiguas del agente.
Utilice la pestana de Multidifusion para configurar las opciones de deteccion del representante de dominio
de multidifusion del servidory la base de datos centrales que haya seleccionado mediante la pestana
General.
Acerca de la pestana Multidifusion
Utilice esta pestana para establecer las opciones de multidifusion siguientes:

• Utilizar representante de dominio de multidifusion: utiliza la lista de representantes de dominio
de multidifusion almacenadosa en el grupo Configuracion > Dominio de multidifusion,, en la
vista de red.
• Usar archivo guardado en cache: Consulta todos los dominios de Multidifusion para averiguar
quien podna tener este archivo y, por lo tanto, no es necesario descargar el archivo a un
representante.
• Usar archivo de cache antes del representante de dominio preferido: Cambia el orden de
deteccion de modo que Usar archivo guardado en cache sea la primera opcion que se intente.
• Usar difusion: envfa una difusion dirigida por subred para encontrar los dispositivos de esa subred
que podnan ser representantes de dominio de multidifusion.
• Registrar penodo de descarte: especifica el numero de dfas que se mantendran las entradas en
el registro antes de eliminarse.
Configuracion de credenciales de virtualizacion del SO

Use la pestana Virtualizacion del SO introducir las credenciales predeterminadas para administrar
servidores de VMware ESX que esten configurados como hosts de SO virtuales. Los hosts de SO virtuales
que se hayan detectados apareceran en la vista de red en una carpeta Hosts de SO virtuales aparte.
• Nombre de usuario: escriba el nombre de usuario predeterminado

• Contrasena/Confirmar contrasena: escriba y confirme la contrasena que se va a usar, luego haga
clic en Aplicar o Aceptar para establecer las credenciales.
102
GUÍA DE USUARIO
Core synchronization
Sincronizacion de servidores centrales
La sincronizacion del servidor central permite copiar las configuraciones y tareas de servidor
central a servidor central, manual o automaticamente. Puede usar esta funcion para mantener varios
servidores centrales sincronizados con un servidor central maestro.
Se pueden sincronizar los siguientes elementos:
. Configuraciones de agentes . Alertas

. Conjuntos de columnas . Metodos de entrega
• Configuracion de administracion de eneâ
• Consultas y configuracion de columnas de consultas
• Secuencias de comandos
• Configuracion del agente (NOTA: Anteriormente conocida como la configuracion de
seguridad y parches)
• Tareas ypolfticas
Hay tres formas de configurar elementos:
• A peticion
• Automaticamente
• Importar/exportar
Cuando usted exporta o sincroniza tareas o configuraciones del paquete de distribucion de

software, los datos de exportacion o sincronizacion contendran consultas asociadas y elementos
relacionados. Note que los datos de exportacion o sincronizacion solo contienen informacion
provenientes de la base de datos de Endpoint Manager. Por ejemplo, los archivos de exportacion de
distribucion de software no contendran el paquete real que se esta distribuyendo.
Relacionado con esto, cuando trabaje con tareas programadas de exportacion o sincronizacion,
asegurese que cualquier ruta de acceso de paquete sea la misma en los servidores de origen y
destino. De lo contrario, cuando se importe o sincronice la tarea y se ejecute, la tarea fallara porque
el servidor de destino no puede encontrar el paquete.
Cuando usted copia o sincroniza automaticamente un elemento, sucede lo siguiente:
1. El servidor central de origen crea un archivo de exportacion XML.ldms que contiene la

informacion necesaria para recrear el elemento de origen y cualquier elemento referido por el
elemento de origen.
103
2. El servidor central de origen se conecta vfa HTTPS al servicio Web seguro del servidor
central de destinoy transmite el archivo .ldms.
3. El servicio Web seguro del servidor central de destino copia el archivo .ldms recibido a su
carpeta C:\Archivos de programa\IVANTI\ManagementSuite\exportablequeue.
4. El servicio de sincronizacion de servidor central revisa con regularidad esta carpeta para
buscar nuevos archivos. Este encuentra el archivo exportado proveniente del servidor
central de origen y lo importa, eliminando el archivo de la carpeta.
O NOTE: El aprovisionamiento del SO y las herramientas del supervisor de licencias de software no son
compatibles con la sincronizacion de servidor central.
Agregar servidores a la lista de sincronizacion del servidor

central
Antes de poder usar la sincronizacion, debe configurar la lista de servidores con los cuales desea
sincronizar. Los servidores centrales se comunican vfa HTTPS yautentican con el nombre de
usuarioy la contrasena que usted le asigne a cada uno.
104
GUÍA DE USUARIO
Para agregar un servidor central a la lista de sincronizacion
1. Haga clicen Herramientas > Administration > Sincronizacion de servidor central.

2. Haga clic con el boton derecho en el elemento de arbol de Servidores centrales y haga clic en
Agregar servidor central de destino.
3. Introduzca el Nombre del servidor central.
4. Seleccione Sincronizar este servidor central para habilitar la sincronizacion con el servidor
central cuando salga del cuadro de dialogo. Usted puede marcar o desmarcar esta opcion
mas tarde para activar o desactivar selectivamente la sincronizacion de ese servidor central.
5. Escriba una Description.

6. Introduzca el nombre del dominio completo de la cuenta de usuario a usar cuando se
sincronice (dominio\nombre de usuario). Esta cuenta debe tener privilegios de consola
completos y debe ser un miembro de uno de los grupos de usuarios de IVANTI locales del
servidor central de destino.
7. Introduzca y confirme la Contrasena de la cuenta usted suministro.

8. Haga clic en Prueba para confirmar su configuration.
IMPORTANT: Los servidores centrales de Resumen usan las credenciales de servicio del programador para
autenticar la sincronizacion. En servidores centrales de resumen, estas credenciales de servicio del programador
deben pertenecer a un grupo con privilegios de administrador de consola en los servidores j centrales de origen. Si
las credenciales no tienen estos privilegios, usted vera errores en el manejador de tareas en el registro de
sincronizacion del servidor central de origen. Para obtener information sobre como cambiar las credenciales de
servicio del programador, consulte "Acerca del cuadro de dialogo Cambiar Inicio de sesion" (100).
Sincronizar elementos a peticion

Utilice la sincronizacion del servidor central para sincronizar un elemento a peticion haciendo clic
con el boton derecho en el y en Copiar a otros servidores centrales. Cuando usted hace esto, puede
seleccionar los servidores en los cuales desea recibir la copia. Al hacer clic en Copiar contenido
inmediatamente se inicia la operation de copia. La copia solo se hace una vez, y el elemento que
usted copio queda disponible en los servidores centrales remotos inmediatamente. Observe que
tiene que actualizar manualmente la vista de la consola del servidor remoto presionando F5 para
que el elemento aparezca. Las copias remotas tienen el mismo nombre yubicacion de la original y
se pueden modificar. Cualquier grupo o subgrupo que contenga el elemento sera creado
automaticamente.
105
Sincronizacion automatica de elementos

Antes de usar la sincronizacion automatica, configure que componentes de Endpoint Manager
desea sincronizar.
Configurar sincronizacion automatica
Usted puede habilitar la sincronizacion automatica en elementos individuals, pero si el componente

de un elemento no tiene habilitada la sincronizacion, dicho elemento no se sincronizara. Desactivar
la sincronizacion en un componente no cambia la senal de sincronizacion automatica en los
elementos senalados, de modo que si usted desactiva la sincronizacion y mas tarde la activa, se
reanudaran la sincronizacion automatica de los elementos para los cuales habilito originalmente la
sincronizacion.
Para seleccionar los componentes de sincronizacion automatica que usted desea activar

2. Haga clic con el boton derecho en el elemento del arbol de Componentes y haga clic en
Modificar componentes con sincronizacion automatica.
3. Mueva los componentes que desee sincronizar a la lista Componentes con sincronizacion
automatica.
106
GUÍA DE USUARIO

Tambien puede activar o desactivar la sincronizacion automatica haciendo clic con el boton
derecho en un componenteyen Sincronizacion automatica.
Cuando usted selecciona un componente del arbol de Componentes, puede ver la actividad de
sincronizacion de ese componente.
Activar la sincronizacion automatica de un elemento

Sincronice un elemento automaticamente haciendo clic con el boton derecho en este elemento en la
vista de arbol del componente y haciendo clic en Sincronizacion automatica. Si el componente de
sincronizacion del elemento no esta habilitado, se le solicitara que habilite ese componente. La
sincronizacion de este elemento se efectuara en el siguiente intervalo de sincronizacion. Si hace
clic con el boton derecho en ese elemento nuevamente, vera un visto bueno al lado de
Sincronizacion automatica en el menu.
Al igual que con la sincronizacion a peticion, los elementos de sincronizacion automatica aparecen
en la misma ubicacion de la consola. Sin embargo, los elementos de sincronizacion automatica son
de solo lectura en los servidores centrales de destino y no se pueden modificar o eliminar. Cada vez
que usted cambie un elemento de sincronizacion automatica en el servidor central de origen, el
elemento se sincronizara en los servidores centrales de destino. Si desea que los usuarios de la
consola puedan eliminar un elemento de sincronizacion automatica, solo tiene que apagar la
sincronizacion automatica. Esto no eliminara el elemento de los servidores centrales de destinos,
pero dichos elementos se podran modificar.
Sincronizar tareas programadas

Los datos de la tarea programada que han sido sincronizados no incluyen la hora de inicio de la
tarea. Si sincroniza una tarea programada, la unica manera de ejecutarla en el servidor de destino es
hacer clic con el boton derecho en ella y hacer clic en Iniciar ahora. Puesto que los elementos
sincronizados son de solo lectura, no se pueden modificar en el servidor central de destino ni
agregarles una nueva hora de inicio. Como solucion alternativa, puede utilizar la funcion Copiar en
el servidor principal. La tarea de todos modos no incluira una hora de inicio en el servidor central de
destino, pero de esta manera la tarea se podra modificar allf.
107
Exportacion e importacion de elementos de sincronizacion

del servidor central
Los elementos que usted pueda sincronizar tambien se podran exportar e importar. La exportacion
de un elemento crea un archivo .ldms en formato XML, el cual contiene los datos necesarios para
recrear dicho elemento y los elementos a los cuales este haga referencia. Usted puede entonces
llevar este archivo a otro servidor central, por ejemplo, e importarlo de nuevo.
Cuando este importando, se le solicitara hacer una de estas tres cosas:
• Actualizar: Insertar o actualizar los elementos coincidentes, manteniendo la jerarqma de

grupo especificada en el archivo .ldms. Conserva los identificadores del archivo. Esto
sobrescribira cualquier cambio en el elemento existente.
• Insertar elementos en un grupo o propietario seleccionado: Insertar todos los elementos y

asignarle nuevos identificadores a cada uno. Solo se agrega al grupo si el tipo coincide.
Actualizar el propietario de cada elemento importado.
• Insertar elementos en los grupos especificados en el archivo .ldms: Insertar nuevos

elementos, manteniendo la jerarqma de grupo especificada en el archivo .ldms. Se asignan
nuevos identificadores a cada elemento.
Para obtener mas informacion sobre como funciona el manejo de conflictos, consulte
"Administracion de conflictos de sincronizacion del servidor central" (110).
Para exportar un elemento
1. En la Vista de red o la vista del arbol de herramientas, haga clic con el boton derecho en el
elemento que desea exportary haga clic en Exportar. Si un elemento es exportable, tendra un
comando para Exportar.
2. Introduzca un nombre de archivo ynavegue a la ruta de acceso que desee.

3. Haga clic en Guardar.
Para importar un elemento
1. En la Vista de red o la vista del arbol de herramientas, vaya a la ubicacion en la cual desea
que el elemento importado aparezca.
2. Haga clic con el boton derecho y seleccione Importar.

3. Haga clic en la opcion de importar que desee.
4. Haga clic en Importar.
108
GUÍA DE USUARIO
Monitor del estado de sincronizacion del servidor central

Cuando se selecciona algun Servidor central o Componente en la vista de arbol de la herramienta de
Sincronizacion del servidor central, podra ver un registro de sincronizaciones y el estado de
sincronizacion en tiempo real. Vaya a la derecha para ver las columnas de estado que esten
disponibles. Si selecciona el nodo de rafz de los Servidores centrales, puede ver un estado de
sincronizacion de alto nivel de los servidores centrales de destino. Estos datos incluyen el conteo
pendiente, el cual, si es alto o esta atascado, puede indicar que hay un problema al sincronizar a ese
servidor central.
Los elementos de sincronizacion pueden tener uno de los siguientes estados:
• Pendientes: El elemento esta esperando a ser enviado.

• Enviado: El elemento se envio.
• Procesando: El servidor central de destino esta procesando el elemento.
• Finalizado satisfactoriamente: El elemento se sincronizo satisfactoriamente.
• Error: El elemento no se sincronizo satisfactoriamente.
Administracion de conflictos de sincronizacion del servidor

central
Los elementos exportables tienen un ID unico que le ayuda a Endpoint Manager a detectar si los
elementos son el mismo o no. Esto le ayuda a la sincronizacion a administrar conflictos en los
elementos de sincronizacion. Si copia o sincroniza un elemento en un servidor y ese mismo
elemento existe en el servidor de destino, dicho elemento solo se sobrescribira si los elementos
comparten un ID unico. Ese ID unico consiste del nombre del servidor central y el numero de la fila
de la base de datos que contiene dicho elemento. Usted puede ver el ID unico de un elemento y el
numero de revision en el dialogo de informacion del elemento (haga clic con el boton derecho en el
elemento y haga clic en Information).
Si dos elementos con el mismo nombre tienen un ID diferente, la sincronizacion ignorara el original
en el destino yagregara un %1 al nombre del archivo del elemento de sincronizacion. La
sincronizacion seguira creando nuevas entradas en los conflictos de sincronizacion siguientes e
incremental este numero por cada uno hasta que se alcance el lfmite de 99.
Cambiar la configuracion de sincronizacion automatica

Usted puede configurar la frecuencia de sincronizacion automatica del servidor central. La
frecuencia predeterminada es dos minutos. Cuando el intervalo que selecciono ha pasado, el
servidor central busca cambios en los elementos de sincronizacion automatica. Si alguno ha
cambiado, el servidor central envfa esos cambios a los servidores centrales de destino que usted
especifico. Dependiendo de la cantidad de datos sincronizados, si se baja ligeramente este
intervalo, aumenta la carga del procesador del servidor central de origen.
El cuadro de dialogo de configuracion de Sincronizacion automatica cuenta con las siguientes
109
opciones:
• Frecuencia de sincronizacion: la frecuencia de sincronizacion que desee. La frecuencia

predeterminada es dos minutos.
• Cantidad maxima de reintentos: el numero de veces que este servidor central tratara de
conectarse a los servidores centrales de destino. El valor predeterminado es cinco. Una vez
que se alcance este tfmite, el servidor central de origen no intentara sincronizar mas ese
elemento.
• Comprimir los datos cuando se envên: los servidores centrales se sincronizan vfa HTTPS.
Cuando se marca, esta opcion tambien comprime el flujo de datos. Esta opcion se encuentra
marcada de forma predeterminada.
• Mostrar advertencias de "solo lectura" cuando el usuario intente modificar elementos que se
sincronizaron automaticamente: Esta opcion solo se aplica al servidor en el cual usted
efectuo este cambio, y se refiere a los elementos de sincronizacion automatica que este
servidor reciba, no que se originen. Usted puede desactivar esta opcion si no desea que los
usuarios de la consola vean una advertencia adicional cuando traten de hacer cambios en un
elemento que se sincronizo automaticamente en este servidor. Esta desactivacion solo
deshabilita la advertencia adicional. Los usuarios de la consola de todos modos no podran
cambiar los elementos que se sincronizaron automaticamente en el servidor que los recibe.
Para cambiar la configuracion de sincronizacion automatica
1. Haga clicen Herramientas > Administracion > Sincronizacion de servidor central.

2. En la barra de herramientas de la herramienta de Sincronizacion de servidor central, haga
clic en el boton Modificar la configuracion del servicio de sincronizacion.
3. Introduzca la frecuencia de sincronizacion que desee.

4. Cambie las otras opciones si es necesario.
Para reiniciar la sincronizacion de un elemento que ha excedido el limite de reintentos
1. Haga clicen Herramientas > Administracion > Sincronizacion de servidor central.

2. Bajo Servidores centrales, haga clic en el servidor en el cual desea reiniciar la
sincronizacion.
3. En el registro, haga clic con el boton derecho en el elemento que no se pudo sincronizar y
haga clic en Sincronizar de nuevo.
110
GUÍA DE USUARIO
Agent configuration
Configuracion de agentes de dispositivos
Los dispositivos necesitan disponer de agentes de Endpoint Manager para que se puedan
administrar por completo.
• "Operaciones con configuraciones de agentes" (113)

• "Crear una configuracion de agente" (114)
• "Uso del agente de avance" (116)
• "Actualizar las preferencias de agentes en los dispositivos" (119)
• "Crear paquetes de configuracion de agente independientes" (120)
• "Seguridad del agente ycertificados de confianza" (120)
• "Desinstalacion de agentes de dispositivos" (126)
La ventana Configuracion de agentes permite crear nuevas configuraciones de agente para los
dispositivos de Windows, Linux y Macintosh. Las configuraciones de agente creadas se instalan
automaticamente en los clientes mediante la ventana Tareas programadas de la consola.
NOTE: Implementation de agentes en dispositivos con Windows 95/98/NT

Endpoint Manager ya no incluye agentes que admitan dispositivos Windows 95, Windows 98 o Windows NT.
Puede comunicarse con el Servicio de atencion al cliente de IVANTI si necesita el agente heredado que funciona
con estos dispositivos.
NOTE: Creacion de configuraciones de dispositivo en dispositivos con Windows no habilitados para que
sean administrados
Si tiene dispositivos con Windows que forman parte de un dominio de Windows, puede enviar una configuracion
a dichos dispositivos aunque no esten presentes el agente IVANTI estandary el agente de control remoto. Para
obtener mas informacion, consulte la documentacion sobre despliegue de IVANTI community en
https://community.Ivanti.com.
NOTE: Configuracion de agente en entornos con varios idiomas

Cuando cree configuraciones de agente en entornos con varios idiomas, asegurese que el nombre de la
configuracion de agente utilice solo caracteres ASCII (juego de caracteres en ingles). Un servidor central en
ingles es compatible con todos los idiomas permitidos. Sin embargo, si el nombre de la configuracion de agente
contiene caracteres que no son ASCII, como japones, chino o ruso, la configuracion de agente se debe crear en
un servidor central o consola en ese mismo idioma y solo funcionara en dispositivos que tengan el mismo
idioma. Por ejemplo, una configuracion de agente que contenga caracteres en japones se debe crear en un
servidor central en japones y se debe desplegar en un cliente en japones.
111
Operaciones con configuraciones de agentes

Endpoint Manager utiliza las configuraciones de agente creadas para implementar agentes y
preferencias de agentes para dispositivos administrados. Cuando los dispositivos cuenten con los
agentes de Endpoint Manager, podra utilizar las configuraciones del agente para actualizar
facilmente las preferencias de configuracion sin necesidad de reinstalar el agente. Para obtener mas
informacion, consulte "Informacion general sobre la configuracion del agente" (888).
Puede utilizar la herramienta Configuracion de agentes para creary actualizar las configuraciones de
agente de dispositivo y servidor (por ejemplo, que agentes estan instalados en los dispositivos y
que protocolos de red utilizan los agentes). Se pueden crear diferentes configuraciones para las
necesidades espedficas de los departamentos o grupos. Por ejemplo, se pueden crear
configuraciones para los dispositivos del departamento de contabilidad o para dispositivos que
utilicen un Sistema operativo determinado. Solo puede haber una configuracion predeterminada
para cada tipo de configuracion. La configuracion predeterminada no se puede eliminar, pero sf se
puede modificar. Es recomendable no tener demasiadas configuraciones diferentes, puesto que
hace el soporte de servicio y la solucion de problemas mas complejos y demorados.
Antes de instalar algun software de agente es necesario crear una configuracion de agente (o usar
la predeterminada). Esto involucra bastante planificacion y pruebas. Es mejor implementar la
configuracion correcta la primera vez, aunque el agente se puede volver a configurary desplegar
nuevamente si es necesario.
Una organizacion puede necesitar varias configuraciones de agente. Por ejemplo, un sistema
portatil podna necesitar una configuracion diferente a un sistema de escritorio. Para evitar
implementar un agente equivocado en el sistema incorrecto, es importante adoptar una convencion
razonable para nombrar cada configuracion de agente.
112
GUÍA DE USUARIO
El agente del rastreador de seguridad y revisiones se instala de forma predeterminada con el agente
de IVANTI estandar. Puede configurar los rastreos de seguridad para determinar la manera y el
momento en que el rastreador de seguridad se ejecuta en los dispositivos administrados y si
muestra o no el progreso y las opciones interactivas al usuario final. (El rastreador de seguridad
permite buscar las actualizaciones del software de IVANTI en los dispositivos y los servidores
centrales aunque no setenga una suscripcion al contenido de IVANTI Security Suite. Con una
suscripcion a Security Suite se pueden aprovechar al maximo las capacidades del rastreador para
encontrar y corregir vulnerabilidades conocidas, spyware, aplicaciones no autorizadas, virus yotros
posibles riesgos de seguridad).
Antes de implementar los agentes, asegurese de consultar los mejores metodos conocidos para
desplegar agentes en el sitio web de la Comunidad de usuarios de IVANTI en
https://community.Ivanti.com/support/docs/DOC-23482.
IMPORTANT: Cuando cree configuraciones de agente en entornos con varios idiomas, asegurese que el nombre
de la configuracion de agente utilice solo caracteres ASCII (juego de caracteres en ingles). Un servidor central
en ingles es compatible con clientes que utilicen todos los idiomas permitidos.
Sin embargo, si el nombre de la configuracion de agente contiene caracteres que no son ASCII, como japones,
chino o ruso, la configuracion de agente se debe crear en un servidor central o consola en ese mismo idioma y
solo funcionara en dispositivos que tengan el mismo idioma. Por ejemplo, una configuracion de agente que
contenga caracteres en japones se debe crear en un servidor central en japones y se debe desplegar en un
cliente en japones.
En los siguientes capftulos encontrara los temas siguientes:

• "Crear una configuracion de agente" (114)
• "Uso del agente de avance" (116)
• "Actualizar las preferencias de agentes en los dispositivos" (119)
Crear una configuracion de agente

Utilice la ventana Configuracion de agentes para crear y actualizar las configuraciones de agente de
dispositivo y servidor (por ejemplo, que agentes estan instalados en los dispositivos y que
protocolos de red utilizan los agentes).
Se pueden crear diferentes configuraciones para las necesidades espedficas de los grupos. Por
ejemplo, pueden crear configuraciones para los dispositivos en su departamento de contabilidad, o
bien, para dispositivos que utilicen un sistema operativo determinado.
113
Para instalar automaticamente una configuracion en los dispositivos, debe realizar lo siguiente:
• Crear una configuracion de agente: Permite establecer configuraciones espedficas en los

dispositivos. Por lo general, una "configuracion de agente de avance" es la mejor opcion.
Para obtener mas informacion, consulte la seccion siguiente, "Uso del agente de avance"
(116).
• Programar la configuracion de dispositivo: instale automaticamente la configuracion en los

dispositivos quetienen instalado el agentes de IVANTI estandar. Los usuarios quetienen
derechos administrativos tambien pueden instalar la configuracion predeterminada del
agente ejecutando wscfg32.exe o IPSETUP.BAT desde el recurso compartido LDLogon del
servidor central.
Para crear una configuracion de agente
1. En la consola, haga clic en Herramientas > Configuracion > Configuracion de agentes.

2. En el arbol Configuracion de agente, haga clic en la categona de configuraciones que desee.
3. Haga clic en el boton Nuevo Windows, Nuevo Windows Server, Nuevo Macintosh o New
114
GUÍA DE USUARIO
Linux de la barra de herramientas.

4. Introduzca un Nombre de configuration.
5. En la ventana Configuracion de agentes de la pagina Inicio, seleccione los agentes que
desea implementar.
6. Utilice el arbol para navegar a traves de los dialogos pertinentes a las opciones
seleccionadas. Personalice las opciones que ha seleccionado, como sea necesario. Haga
clic en Ayuda para obtener mas informacion sobre una pagina determinada.
8. Si desea que la configuracion sea la predeterminada, (se instalara el
archivoldlogon\wscfg32.exe o ldlogon\IPSETUP.BAT de la configuracion), en el menu de
acceso directo de la configuracion, haga clic en Configuracion predeterminada.
Uso del agente de avance

El agente de avance es el metodo preferido para implementar el agente en la mayona de entornos.
El agente de avance se creo para aprovechar la tecnologfa de amplitud de banda de ancho de
IVANTI durante el despliegue de agentes. Puede reducir la cantidad de ancho de banda de red que
utiliza la configuracion de agentes basados en Windows. El agente de avance utiliza un metodo de
despliegue de dos etapas. El agente de Avance es un archivo MSI que se despliega antes del
agente completo. El MSI se instala y luego inicia la descarga e instalacion del paquete ejecutable
del agente completo.
115
El agente de avance funciona bien en la mayona de los dispositivos, incluso en los equipos
portatiles con conexiones de red intermitentes o lentas. Sin embargo, no es compatible con PDAy
otros dispositivos de mano.
El agente de avance es un pequeno paquete de MSI de 500 KB. Si se ejecuta el paquete en un

dispositivo administrado, se descarga un completo paquete asociado de configuracion de agentes,
el cual puedetener un tamano de hasta 15 MB, segun los agentes que haya seleccionado. En el
cuadro de dialogo Ajustes de Agente avanzados puede configurar las opciones de distribucion de
bajo ancho de banda que MSI utiliza en la descarga de la configuracion completa de agentes.
El agente de avance funciona de forma independiente del servidor central una vez que inicia la
descarga de la configuracion completa de agentes. Si el dispositivo se desconecta de la red antes
de que finalice la descarga de la configuracion de agentes, el agente de avance reanuda la descarga
116
GUÍA DE USUARIO
de forma automatica una vez que el dispositivo se conecta de nuevo a la red.
Al crear una configuracion de agente de avance, la consola toma unos segundos para crear un
paquete de configuracion completa de agentes. La consola coloca el paquete de agente de avance
(<nombre de configuracion>.msi) y el paquete de configuracion completa de agentes recientemente
creado (<nombre de configuracion>.exe) en la carpeta LDLogon\AdvanceAgent del servidor central.
Los nombres de los archivos se basan en el nombre de la configuracion de agentes.
Una vez que ha creado un paquete de configuracion de agentes, debe ejecutar la porcion MSI en los
dispositivos mediante uno de los metodos siguientes:
• Programe la porcion MSI pequena para una distribucion automatica.

• Ejecute MSI de forma manual en cada dispositivo.
• Configure MSI de forma manual para que se ejecute a traves de una secuencia de comandos
de inicio de sesion.
Una vez que implemente el agente de avance en los dispositivos, este empieza la descarga de la
configuracion asociada de agentes. El agente se ejecuta de forma silenciosa en el dispositivo
administrado, sin mostrar ningun dialogo o informacion de estado. El agente de avance utiliza las
preferencias de ancho de banda que ha especificado en el cuadro de dialogo Ajustes de Agente
avanzados, tales como la descarga entre iguales y el lfmite de ancho de banda dinamico.
Una vez que se instala MSI y se configuran los agentes de forma satisfactoria en un dispositivo, se
elimina el paquete de configuracion completa de agentes. La porcion MSI permanece en el
dispositivo y si se ejecuta el mismo MSI de nuevo no vuelve a instalar los agentes.
Crear una configuracion del agente de avance

Para crear una configuracion del agente de avance
1. Cree una configuracion de agente basada en Windows (Herramientas > Configuracion >
Configuracion del Agente).
2. En el menu contextual de la configuracion, haga clic en Agente de avance.

3. Seleccione las opciones que desee.
4. Si selecciona Descarga de iguales, debe asegurarse de que el agente de avance de un
archivo .msi y el paquete .exe de configuracion de agente completo esten en el cache de
distribucion de software de un dispositivo en el dominio de difusion. Si selecciona Descarga
de iguales y no hace esto antes de implementar la configuracion del agente de avance, la
implementacion fallara debido a que los caches o los iguales que se encuentran en el
dominio de difusion no cuentan con los archivos necesarios.
5. Si cambia la ubicacion del paquete de configuracion de agentes asociado (el archivo .exe),
cambie la ruta del paquete de configuracion de agentes para que coincida con la nueva
ubicacion.
7. De ser necesario, copie el archivo .exe asociado de la carpeta LDLogon\AdvanceAgent al
117
servidor de distribucion. Asegurese de que la ruta al archivo ejecutable de la configuracion

de agentes coincida con la ruta especificada en el cuadro de dialogo Configuracion del
Agente de avance. Debe dejar el paquete MSI en la ubicacion predeterminada del servidor
central. Caso contrario, el paquete no estara visible para la tarea de distribucion automatica
del agente de avance que se describe a continuacion.
Para configurar la distribucion automatica del agente de avance
1. En la ventana de Configuracion de Agente (Herramientas > Configuracion > Configuracion

del Agente), haga clic en el boton Programar envio de una configuracion de agente de
avance.
2. El cuadro de dialogo Configuraciones del Agente de avance muestra las configuraciones de
agente de la carpeta LDLogon\AdvanceAgent. Haga clic en la configuracion que desee
distribuiry haga clicen Aceptar.
3. Se abre la ventana Tareas programadas con la tarea de agente de avance que ha creado
seleccionada. El nombre de la tarea es "Agente de avance <nombre de la configuracion>".
4. Para agregar dispositivos de destino a la tarea, arrastrelos desde la vista de red y sueltelos
en la tarea de la ventana Tareas programadas.
5. En el menu contextual de la tarea, haga clic en Propiedades para programarla. Puede
observar el progreso de la distribucion de la porcion MSI en la ventana Tareas programadas.
No se muestra informacion del estado de la configuracion de agentes completa una vez que
finaliza la distribucion de MSI.
Actualizar las preferencias de agentes en los dispositivos

Si desea actualizar las preferencias de agentes en los dispositivos, como la peticion de permisos
para el control remoto, no es necesario implementar una configuracion de agente completa. Se
pueden realizar los cambios que se deseen en la ventana Configuracion de agentes, y desde el
menu contextual de dicha configuracion, haga clic en Programar actualizacion. Esta accion abre la
ventana Tareas programadas y crea una tarea de actualizacion y un paquete para la configuracion
que se programo desde el formulario de actualizacion. El tamano de este paquete es de unos pocos
cientos de kilobytes.
La actualizacion de las preferencias no instalara ni desinstalara agentes en los dispositivos. Si la
actualizacion contiene preferencias para agentes que no se encuentren en un dispositivo, las
preferencias que no se aplican se ignoraran.
IMPORTANT: El Vigilante del agente no permite cambios de preferencias mediante actualizaciones '
programadas. Si desea cambiar las preferencias del Vigilante del agente, haga clic con el boton derecho en el
dispositivo que desee en la vista de red y haga clic en Actualizar configuracion del Vigilante del agente.
Actualizacion de preferencias de agentes en los dispositivos
1. Haga clicen Herramientas > Configuracion > Configuracion de agentes.

2. Personalice la configuracion que desee utilizar.
3. Una vez que haya finalizado, desde el menu contextual de la configuracion, haga clic en
118
GUÍA DE USUARIO
Programar actualizacion de la configuracion de agente. Esta accion abre la ventana Tareas

programadas.
4. Seleccione los dispositivos de destino que se deseen actualizar y programe la tarea.
Crear paquetes de configuracion de agente independientes

Generalmente, la utilidad de configuracion del cliente, wscfg32.exe, se encarga de la configuracion
de los clientes. Si desea, puede hacer que una ventana Configuracion de agentes cree un archivo de
ejecucion automatica que instale la configuracion de agente en el dispositivo que se este
ejecutando. Esto resulta util cuando se desea instalar agentes desde una unidad de CD o de USB
portatil, o si se desea ejecutar una multidifusion de una configuracion de agente.
Para crear una configuracion de agente independiente

2. Personalice la configuracion que desee utilizar.
3. Una vez que haya finalizado, desde el menu contextual de la configuracion, seleccione Crear
un paquete de instalacion de cliente auto contenido..
4. Seleccione la ruta donde desee que se almacene el paquete. Asegurese que el nombre de
archivo solo contenga caracteres ASCI I (a-z, A-Z, 0-9).
5. Espere que Endpoint Manager cree el paquete. Esta operacion puede demorar algunos
minutos.
Seguridad del agente y certificados de confianza

Seguridad del agente y certificados de confianza
Endpoint Manager utiliza un sistema de autenticacion basado en certificados. Los agentes de
dispositivo se autentican en servidores centrales autorizados, con lo cual se evita que los
servidores centrales no autorizados tengan acceso a los clientes. Cada servidor central tiene una
clave privada y un certificado exclusivos que el programa de instalacion de Endpoint Manager crea
al instalar el servidor central o el servidor central de resumen por primera vez.
Estas son las claves privadas y los archivos de certificado:

• <nombredeclave>.key: el archivo .key es la clave privada del servidor central y solo reside en
dicho servidor. Si esta clave no es confidencial, las comunicaciones entre el dispositivo y
servidor central no seran seguras. No de a conocer esta clave. Por ejemplo, no la incluya en
ningun correo electronico.
• <nombredeclave>.crt: el archivo .crt contiene la clave publica del servidor central. El archivo
.crt es una version de facil visualizacion de la clave publica que puede consultar para ver
mas informacion acerca de la clave.
• <hash>.0: el archivo .0 es un archivo de certificado de confianza y su contenido es identico al

del archivo .crt. Sin embargo, se le ha dado un nombre que permite al equipo encontrar
rapidamente el archivo de certificado que se esta buscando en una carpeta que contiene
119
muchos certificados diferentes. El nombre es un valor hash (suma comprobacion) de la

informacion del asunto del certificado. Para determinar el nombre de archivo hash para un
certificado concreto, consulte el archivo <nombredeclave>.CRT. Hay una seccion de archivo
.ini [LDMS] en el archivo. El par hash=value indica el valor <hash>.
Otro metodo alternativo para obtener el valor hash es utilizar la aplicacion openssl, la cual esta
almacenada en la carpeta \Archivos de programa\IVANTI\Shared Files\Keys. Se mostrara el valor
hash asociado al certificado mediante la siguiente lfnea de comandos:
openssl.exe x509 -in <nombredeclave>.crt -hash -noout
Todas las claves se almacenan en el servidor central en \Archivos de programa\IVANTI\Shared

Files\Keys. La clave publica <hash>.0tambien se incluye en el directorio ldlogon yes necesario que
permanezca alif de forma predeterminada. <nombredeclave> es el nombre del certificado que
suministro durante la instalacion de Endpoint Manager. En dicho proceso, resulta util ofrecer un
nombre de clave descriptivo, como el nombre del servidor central (o incluso su nombre completo) y
el de la clave (ejemplo: ldcore o ldcore.org.com). De este modo, se facilitara la identificacion de los
archivos de certificado/clave privada en un entorno de varios servidores.
Se debe colocar una copia de seguridad del contenido de la carpeta de Claves del servidor central
en un lugar seguro. Si por alguna razon debe reinstalar o reemplazar el servidor central, no podra
administrar los dispositivos de dicho servidor si no agrega los certificados del servidor central
original al nuevo servidor.
Certificados de dispositivos administrados
Con IVANTI Endpoint Manager version 2017, la instalacion del agente genera automaticamente un
certificado en cada dispositivo administrado. Estos certificados no son validos en el servidor
central hasta que hayan sido aprobados (Configurar > Acceso de clientes). Los dispositivos no
aprobados no podran comunicarse mediante un Dispositivo de Cloud Services.
IVANTI Endpoint Manager version 2017tambien introduce un nuevo modelo de seguridad basado
en certificados para dispositivos de Windows. Cuando este modelo de seguridad esta activo, solo
los dispositivos con certificados validos pueden descifrar los datos del servidor central seguro.
Debido a que este modelo de seguridad no es valido con agentes de versiones de Endpoint Manager
anteriores (9.x), no esta habilitado de manera predeterminada. No obstante, IVANTI recomienda
fervientemente que habilite este modelo de seguridad en cuanto los dispositivos administrados
esten utilizando la version 2916 o posteriores de los agentes. Para obtener mas informacion,
consulte Seguridad basada en los certificados de clientes.
En dispositivos administrados, los certificados se guardan en:
• C:\Program Files (x86)\Ivanti\Shared Files\cbaroot\broker Existen tres archivos:

• broker.key: clave privada. Debe protegerse. Solo los administradores tienen derechos para
tratar con ella.
• broker.csr: Solicitud de firma de certificado que se envfa al servidor central para que se
firme.
• broker.crt: Clave publica con formato de certificado X509.
120
GUÍA DE USUARIO
Uso compartido de claves entre los servidores centrales

Los dispositivos solo se comunicaran con los servidores central y central de resumen para los que
tienen un archivo de certificado de confianza que coincide. Por ejemplo, digamos que tiene tres
servidores centrales, administrando 5.000 dispositivos cada uno. Tambien tiene un servidor central
de resumen administrando los 15 000 dispositivos. Cada servidor central tendra su propio
certificado y claves privadas, y de forma predeterminada, los agentes de dispositivo que se
implementen desde ellos solo hablaran con aquel desde el que se implemento el software de
dispositivo.
Principalmente, hay dos formas de compartir las claves entre los servidores centrales y centrales de
resumen:
1. Distribucion del certificado de confianza de cada servidor central (el archivo <hash>.0) a los
dispositivos ysus respectivos servidores centrales. Es el metodo mas seguro.
2. Copiando la clave privada y los certificados en cada servidor central. No requiere realizar
ninguna accion en los dispositivos, pero, dado que se tiene que copiar la clave privada,
supone algo mas de riesgo.
En nuestro ejemplo, si desea que el servidor central de resumen y la consola Web puedan
administrar dispositivos de los tres servidores centrales, necesitara distribuir el archivo de
certificado de confianza del servidor central de resumen (el <hash>.0) a todos los dispositivos,
ademas de copiar el mismo archivo en la carpeta ldlogon de cada servidor central. Para obtener mas
informacion, consulte la seccion siguiente. Otra opcion es copiar los archivos de certificado/clave
privada desde cada servidor central al servidor central de resumen. De este modo, cada dispositivo
podra buscar la clave privada coincidente para su servidor central en el servidor central de
resumen. Para obtener mas informacion, consulte "Copiar archivos de certificado/clave privada
entre los servidores centrales" (124).
Si desea que un servidor central pueda administrar dispositivos de otro servidor central, puede
realizar el mismo proceso, distribuyendo el certificado de confianza a los dispositivos o copiando
los archivos de certificado/clave privada entre los servidores centrales.
Si copia certificados entre servidores centrales independientes (no en servidores centrales de
resumen), existe un factor adicional. El servidor central no podra administrar los dispositivos de
otro servidor central a menos que el primero tenga un rastreo de inventario de esos dispositivos. Un
modo de llevar los rastreos de inventario a otro servidor central es mediante la programacion de
una tarea de rastreo de inventario con una lmea de comandos personalizada que envfe el rastreo al
servidor central nuevo. Si se utilizan varios servidores centrales, el uso de un servidor central de
resumen y una consola Web provee un modo mas sencillo de administrar dispositivos a traves de
los servidores centrales. Los servidores centrales de resumen obtienen los datos de rastreo de
inventario automaticamente de todos los dispositivos en los servidores centrales que se resumen
en ellos.
Distribucion de certificados de confianza a los dispositivos

Hay dos maneras de implementar los certificados de confianza en los dispositivos:
1. Implementar una configuracion de dispositivo que incluya los certificados de confianza del
121
servidor central que desee.

2. Utilizar un trabajo de distribucion de software para copiar directamente los archivos de
certificado de confianza en cada dispositivo.
Cada certificado de confianza adicional del servidor central (<hash>.0) que desee que utilicen los
dispositivos se debe copiar en la carpeta ldlogon de dicho servidor. Una vez que este certificado
este en esta carpeta, podra seleccionarlo en la pagina Agente de base comun del cuadro de dialogo
de configuracion de dispositivos. El programa de configuracion de dispositivos copia las claves en
este directorio en los siguientes dispositivos:
• Dispositivos con Windows:\Archivos de programa\IVANTI\Shared Files\cbaroot\certs
• Dispositivos con Mac OS X: /usr/IVANTI/common/cbaroot/certs
Si desea agregar un certificado del servidor central a un dispositivo, y no desea volver a

implementar agentes de dispositivo mediante el programa de configuracion de dispositivos, cree un
trabajo de distribucion de software que copie <hash>.0 en la carpeta especificada anteriormente en
el dispositivo. Entonces podra utilizar la ventana Tareas programadas para implementar la
secuencia de comandos de distribucion de certificados que haya creado.
A continuacion se muestra un ejemplo de una secuencia de comandos personalizada que se puede

utilizar para copiar un certificado de confianza desde la carpeta ldlogon del servidor central en un
dispositivo. Para utilizarla, sustituya "d960e680" por el valor hash del certificado de confianza que
desee implementar.
; Copie un certificado de confianza desde el directorio ldlogon del servidor central
; al directorio del certificado de confianza del cliente
[MACHINES]
REMCOPY0=%DTMDIR%\ldlogon\d960e680.0, %TRUSTED_CERT_PATH%\d960e680
122
GUÍA DE USUARIO
Copiar archivos de certificado/clave privada entre los servidores centrales

Otra manera de implementar certificados (<hash>.0) en los dispositivos es copiar los conjuntos de
certificados/claves privadas entre los servidores centrales. Estos servidores pueden contener varios
archivos de certificado/clave privada. Siempre que un dispositivo pueda autenticarse con una de las
claves en un servidor central, podra comunicarse con dicho servidor.
NOTE: Cuando se utiliza el control remoto basado en certificados, los dispositivos de destino deben
encontrarse en la base de datos central.
Si utiliza seguridad por control remoto basada en certificados en los dispositivos, solamente podra controlar de
forma remota los dispositivos que tienen un registro de inventario en la base de datos central con la cual tiene
conexion. Antes de comunicarse con un nodo a fin de iniciar el control remoto, el servidor central busca en la
base de datos y verifica que el solicitante tiene derechos para ver el dispositivo. Si el dispositivo no se
encuentra en la base de datos, el servidor central deniega la solicitud.
Para copiar un conjunto de certificados/claves privadas de un servidor central a otro
1. En el servidor central de origen, diryase a la carpeta \Archivos de programa\IVANTI\Shared

Files\Keys.
2. Copie los archivos <nombredeclave>.key, <nombredeclave>.crt y <hash>.0 del servidor de
origen en un disquete o en otro lugar que sea seguro.
3. En el servidor central de destino, copie los archivos desde el servidor central de origen a la
misma carpeta (\Archivos de programa\IVANTI\Shared Files\Keys). Las claves surtiran efecto
de inmediato.
Es muy importante asegurarse de que la clave privada <nombredeclave>.key es confidencial. El

servidor central utiliza este archivo para autenticar los dispositivos, y cualquier equipo con el
archivo <nombredeclave>.key puede realizar ejecuciones remotas ytransferencia de archivos en un
dispositivo de Endpoint Manager.
Servicios de subred de eleccion automatica

IVANTI Endpoint Manager 2017 introduce una nueva funcion denominada Servicios de subred de
eleccion automatica (SESS, por sus siglas en ingles). Con SESS, los dispositivos administrados:
• Se organizan en la misma subred para proporcionar servicios, lo que permite la conmutacion

por error automatica y evitar la repeticion de servicios.
• Utilizan un proceso de eleccion inteligente que clasifique los dispositivos disponibles por
configuracion y capacidad para proporcionar el servicio.
• Confan unos en otros si informan al mismo servidor central.
• Utilizan mensajes firmados por motivos de seguridad de SESS, para evitar la suplantacion.
• Utilizan los mismos certificados de cliente que se utilizan para el acceso de CSA.
123
Con Endpoint Manager 2017, SESS se utiliza para la herramienta de deteccion de dispositivos no
administrados y para el servicio de multidifusion. Otros servicios tendran compatibilidad en el
futuro.
Configuracion de SESS en configuracion del agente

Gestione SESS desde la Configuracion del agente de conectividad del cliente. Por defecto, esta
activado en los dispositivos Windows. Como parte de la configuracion del agente, puede configurar
los ajustes de deteccion del ARP (protocolo de resolucion de direcciones) y del WAP (punto de
acceso inalambrico)
Administracion de los servicios de subred de eleccion automatica

Como los dispositivos elegidos con SESS informan al servidor central, este crea una lista de
subredes que detecta y el estado de deteccion de dispositivos ARPy WAP en esas subredes. Esta
informacion esta disponible en la herramienta de Servicios de subred de eleccion automatica
(Herramientas > Configuracion > Servicios de subred de eleccion automatica).
Utilice esta herramienta para:
• Ver subredes detectadas.
• Habilitar/deshabilitar la deteccion ARP/WAP en una subred.

• Ver el dispositivo elegido para cada subred.
• Seleccionar el estado de deteccion predeterminado del dispositivo de las nuevas redes (si la
deteccion ARPy WAP debe estar seleccionada).
Implementacion de agentes que no persistentes VDI

imagenes
Cuando se desplieguen agentes a las imagenes de disco de la Interfaz de escritorio virtual (VDI) que
no son persistentes, hay algunos pasos adicionales que se deben tomar.
El proceso de ajustes de agente agrega identificadores unicos y entradas de registro del

seguimiento del historial de inicios de sesion de ese dispositivo. En un entorno no-persistente, los
datos se perderan cuando se restablezca la imagen.
Si desea asegurarse de que Endpoint Manager haga seguimiento a cada equipo individual del fondo
de VDI, debe eliminar estas claves de registro de la imagen de base. Esto permite que las claves de
registro se puedan volver a crear cuando cada equipo del fondo de VDI se inicialice la primera vez y
se carguen los agentes.
Estas son las claves de registro de identificadores unicos y seguimiento de inicios de sesion que se
deben eliminar de la imagen de base VDI.
124
GUÍA DE USUARIO
Para imagenes VDI de 64 bits:
HKLM\SOFTWARE\Wow6432Node\Intel\IVANTI\CommonApi\UniqueID
HKLM\SOFTWARE\Wow6432Node\IVANTI\CommonApi\UniqueID
HKLM\SOFTWARE\Wow6432Node\IVANTI\Inventario\LogonHistory\Logons
Para imagenes VDI de 32 bits:

HKLM\SOFTWARE\Intel\IVANTI\CommonApi\UniqueID
HKLM\SOFTWARE\IVANTI\CommonApi\UniqueID
HKLM\SOFTWARE\IVANTI\Inventario\LogonHistory\Logons
Si usa el monitor de utilizacion de software, tambien debe establecer una ruta de acceso UNC en la
cual se almacenaran los archivos de datos del monitor de software. Si no establece una ruta de
acceso, el supervisor de licencias de software almacenara los datos de la supervision en el registro.
En un entorno no-persistente, los datos se perderan cuando se restablezca la imagen.
Para registrar las estadisticas de utilizacion de software en una ubicacion de red
1. Haga clic en Herramientas > Configuration de agentes.

2. Haga doble clic en ajustes de agente que usted utilizara en la imagen de VDI.
3. Haga clic en Agente estandar de IVANTI > Monitor de utilizacion de software.
4. Seleccione Usar el monitor de software.
5. Seleccione Registrar las estad^sticas de utilizacion de software en una ubicacion de red.
6. Introduzca la information de la ruta de acceso UNC y las credenciales que los agentes de la
imagen de VDI debe utilizar para tener acceso a esa ruta de acceso UNC.
7. Guarde los cambios.

8. Desplegar la configuracion de agente a la imagen de base VDI.
9. Elimine las claves de registro del identificador unico y de seguimiento de inicios de sesion
que se mencionaron en esta seccion.
10. Guarde los cambios en la imagen de base VDI.
Desinstalacion de agentes de dispositivos

Antes de Endpoint Manager 8.5, cualquier usuario podfa instalar los agentes de Endpoint Manager
mediante la ejecucion de wscfg32.exe con el parametro /u. Debido a que wscfg32.exe se encontraba
en el recurso compartido LDLogon, al cual teman acceso los dispositivos administrados, era
relativamente facil que los usuarios desinstalaran los agentes de Endpoint Manager.
Con Endpoint Manager 8.5 y posteriores, se ha eliminado el parametro/u de wscfg32.exe. Existe una
utilidad nueva denominada UninstallWinClient.exe en el recurso compartido LDMain, el cual
constituye la carpeta principal del programa Endpoint Manager. Solamente los administradores
tienen acceso a dicho recurso compartido. Este programa desinstala los agentes de Endpoint
Manager o Server Manager de todos los dispositivos en los cuales se ejecutan. Puede moverlo a
cualquier carpeta que desee o agregarlo a la secuencia de comandos de inicio de sesion. Es una
aplicacion de Windows que se ejecuta en segundo plano sin mostrar una interfaz.
125
La ejecucion de este programa no elimina los dispositivos de la base de datos central. Si vuelve a
implementar agentes en un dispositivo en el que se ejecuto el programa, se almacenara en la base
de datos como un dispositivo nuevo.
Configuracion de agentes de dispositivos en Linux y UNIX

Puede utilizar IVANTI Endpoint Manager Endpoint Manager para administrar distribuciones de
Linux/UNIX compatibles. Para obtener mas informacion sobre las versiones compatibles de
Linux/UNIX e instrucciones de instalacion, consulte la pagina de inicio de IVANTI Linux\UNIX en la
comunidad de usuarios de IVANTI https://community.Ivanti.com/support/community/systems/nix.
Ayuda de dispositivos administrados

La configuracion de los agentes de los dispositivos se personaliza en la ventana Configuracion de
agentes (Herramientas > Configuracion > Configuracion de agentes). Utilice el cuadro de dialogo
Configuracion de agentes para especificar los agentes que desea instalary sus opciones. Puede
crear tantas configuraciones como desee. Unicamente una de ellas puede ser la predeterminada. En
esta ventana puede crear configuraciones de agente para Windows, Macintosh, Linux yservidores.
Para crear una configuracion

2. Haga clic en el boton Nuevo para seleccionar la plataforma de configuracion.
3. Complete el cuadro de dialogo Configuracion de agentes como se describe en las secciones
siguientes. Para obtener mas informacion, haga clic en Ayuda en cualquier pagina.
NOTE: Si utiliza el cuadro de dialogo Configuracion de agentes para crear una nueva configuracion
predeterminada, tenga en cuenta quetodos los dispositivos configurados porWSCFG32 utilizando secuencias de
comandos de inicio de sesion, se volveran a configurar automaticamente con los nuevos valores
predeterminados la siguiente vez que se inicie sesion, aunque la configuracion actual coincida con la nueva. 7 8
Las siguientes secciones describen las paginas del cuadro de dialogo Configuracion de agentes.
Acerca de la pagina Inicio
La pagina Inicio del cuadro de dialogo Configuracion de agentes contiene las siguientes opciones:
• Nombre de la configuracion: esta opcion aparece en la parte superior de todas las paginas
del cuadro de dialogo. Escriba un nombre que describa la configuracion en la que esta
trabajando. Puede ser un nombre de configuracion existente o uno nuevo. Este nombre
aparece en la ventana Configuracion de agentes.
8 Configuracion predeterminada: cuando se selecciona, hace que esta sea la
configuracion predeterminada que se instala cuando no se especifica ninguna otra
configuracion.
Componentes de agente que se instalaran (estandar):
126
GUÍA DE USUARIO
• Agente estandar deIVANTI: instala el agente estandar de IVANTI, el cual es la base de la

comunicacion entre los dispositivos y el servidor central. Es obligatorio rellenar esta opcion.
No podra deshabilitarla pero podra personalizar los componentes que estan asociados con
ella. (Observe que el analizador de seguridad se instala automaticamente con el agente
estandar de IVANTI, pero lo configura con las opciones de la pagina de analisis de parches y
seguridad que se encuentra a continuacion).
• Formularios de datos personalizados: presenta un formulario a los usuarios para que lo

rellenen. Puede consultar en la base de datos central los datos que introduzcan los usuarios.
Utilice esta opcion para recuperar directamente informacion personalizada de los usuarios.
• Control remoto: permite controlar un dispositivo o servidor a traves de la red. Reduce el

tiempo que se tarda en resolver los problemas de clientes desde un centro de atencion
centralizado. Esta opcion se puede utilizar para administrar dispositivos de forma remota a
traves de redes LAN/WAN.
Administracion de energfa:
• Administracion de eneiâ: permite controlar el consumo de energfa de los equipos

administrados desde una ubicacion central. Puede crear e implementar con facilidad
directivas de administracion de energfa y generar informes para evaluar los ahorros
energeticos y economicos. Usted controla las condiciones bajo las cuales los equipos y
monitores permanecen en espera, hibernan o se apagan. Sin embargo, los usuarios pueden
retrasar las acciones espedficas de administracion de energfa usando una interfaz de
usuario en el cliente para asegurar que se protejan los datos que aun no se hayan guardado.
Distribucion:
• Distribucion de software: Automatiza el proceso de instalacion de aplicaciones de software o

de distribucion de archivos en dispositivos. Se puede utilizar para instalar aplicaciones de
forma simultanea en varios dispositivos o para actualizar archivos o controladores en
distintos dispositivos. Es obligatorio rellenar esta opcion. No podra deshabilitarla pero podra
personalizar los componentes que estan asociados con ella.
Seguridad:
• IVANTI Antivirus: Instala el agente del antivirus en los dispositivos administrados. El

antivirus utiliza el analizador de seguridad (instalado con el agente de IVANTI estandar) para
buscar e identificar virus en los dispositivos administrados y para brindar opciones de
manejo de los archivos y las carpetas infectados. Los administradores descargan las
actualizaciones de definiciones de virus yconfiguran los analisis de virus en la consola,
incluida la forma en que el cliente del antivirus aparece en los dispositivos administrados y
las opciones disponibles para el usuario final. En primer lugar, seleccione la casilla del
agente del antivirus en la pagina Inicio de Configuracion de agentes para configurar la pagina
de Antivirus bajo Seguridad.
• Seguridad de terminales: instala el agente de Seguridad de terminales en los dispositivos
administrados. La Seguridad de terminales protege los dispositivos administrados de
ataques de dfa cero, intrusiones en el firewall yconexiones de dispositivos no autorizadas.
Los servicios de Seguridad de terminales contienen tres componentes, independientes y
127
complementarios: HIPS, LAN DESK Firewall y Device Control
Supervision e inventario en tiempo real:

ofrece varios metodos para supervisar el estado de los dispositivos. Aunque las reglas de alertas se
definen en la Consola del servidor central y se implementan en varios dispositivos, en los
dispositivos individuales se pueden definir contadores de supervision del rendimiento para vigilar
problemas de rendimiento espedficos.
• Componentes basicos: instala a un agente que supervisa el hardware del sistema, como la
velocidad del ventilador, el espacio de disco y la temperatura total del dispositivo.
• Componentes ampliados: instala un agente que supervisa el proceso, los servicios y el
rendimiento global del sistema.
Otras opciones:
• Instalacion de .NET: cuando el agente este instalado, si lo desea, seleccione la instalacion de
Microsoft .NET 4.0 en el dispositivo. Es util para dos nuevas opciones que pueden instalarse
en los dispositivos: Administrador del portal (la version nueva de Desktop Manager) y
Deteccion de la ubicacion (en Configuracion del inventario). Ambas necesitan .NET 4.0. Si
incluye alguna de estas opciones en las configuraciones de agente, seleccione una de las
siguientes opciones de empaquetamiento.
• Incluir .NET en el paquete de instalacion del agente: el paquete de agente contiene el
instalador de .NET y este siempre se instala.
• Si .NET no esta instalado, descargar e instalar: .NET no se instala automaticamente.
Despues de instalar el agente, comprueba si el dispositivo administrado ya tiene .NET
4.0. Si no lo encuentra, utiliza Vulscan.exe para descargar e instalar .NET. (Esta
instalacion no afecta a las versiones anteriores de .NET.)
• Incluir software en el analisis de inventario durante la instalacion: despues de instalar esta
configuracion en los clientes, efectue un analisis completo de inventario (hardware y
software). Los analisis de software pueden durar un rato pero puede habilitar esto si no
desea esperar a que el analisis de inventario lleve a cabo un analisis propio. De manera
predeterminada, el analisis de inventario lleva a cabo un analisis de software al dfa.
• Mostrar el menu de inicio en el dispositivo del usuario final: cuando se activa, crea entradas
en el menu Inicio de Windows para los agentes instalados que tienen una interfaz de usuario.
Si se borra esta opcion, los agentes se instalan pero no se crean entradas en el menu Inicio.
• Directorio temporal de instalacion: especifica la carpeta temporal que se utiliza en los
dispositivos administrados durante la instalacion de agentes. Para que el agente se instale
correctamente, la carpeta debe permitir la escritura.
Despliegue del agente de IVANTI estandar
Todos Endpoint Manager los componentes requieren el agente estandar IVANTI, que se instala de
forma predeterminada en todas las instalaciones de dispositivos. Entre otras cosas, el agente de
IVANTI estandar detecta dispositivos yadministra la comunicacion entre el servidor central y el
dispositivo.
De manera predeterminada, el agente estandar incluye el analizador de seguridad de IVANTI
128
GUÍA DE USUARIO
Security Suite.
Para configurarlo, utilice las paginas del agente de IVANTI estandar que cuenta con los siguientes
componentes yconfiguraciones:
• Conectividad del cliente

• Configuracion del inventario
• Alertas
• Configuracion de reinicio
Configuracion global del agente IVANTI estandar
La pagina del agente IVANTI estandar cuenta con dos configuraciones globales que puede ajustar:
• No reiniciar nunca: deshabilite todos los reinicios relacionados con el producto. Esta opcion
sobrescribe cualquier configuracion de reinicio de la instalacion del agente que haya
especificado.
• Nunca reparar automaticamente: Deshabilite la reparacion automatica de las vulnerabilidades

de seguridad.
Esta configuracion global sobrescribe cualquier configuracion de reinicio y de reparacion

automatica que lleve a cabo en cualquier otra seccion del producto. Considere la posibilidad de
utilizar esta configuracion en dispositivos crfticos en los que desee administrar manualmente los
reinicios y la reparacion automatica.
Acerca de la pagina Conectividad del cliente (en Agente de IVANTI estandar)
Utilice la pagina Conectividad del cliente para seleccionary aplicar una coleccion de Ajustes del
agente de conectividad del cliente que se haya seleccionado y guardado con un unico identificador
o para crear una nueva coleccion de Ajustes del agente de conectividad del cliente. Las
configuraciones del agente requieren valores de conectividad del cliente.
• Conectividad del cliente: Lista las colecciones de ajustes disponibles. Haga clic en un
identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos ajustes a la
configuracion del agente.
• Editar... Abre el cuadro de dialogo de Ajustes de conectividad del cliente, donde podra
cambiar los ajustes de una coleccion existente.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de conectividad del cliente. Este
dialogo enumera las colecciones de Ajustes de conectividad del cliente que haya
configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes de conectividad del cliente, donde
podra crear una nueva coleccion de ajustes.
• Editar...: Abre el cuadro de dialogo de Ajustes de conectividad del cliente, donde
podra cambiar los ajustes de la coleccion especificada.
• Copiar...: crea una copia de la coleccion de ajustes seleccionada y abre el cuadro de
dialogo Ajustes de conectividad del cliente. Esto es util cuando se desea crear una
nueva coleccion de ajustes similares a una coleccion que ya se ha configurado.
129
Modifique la copia de ajustes seleccionada y, a continuacion, modifique el nombre de

la coleccion de ajustes con un identificador unico.
• Usar seleccionado: Aplica la configuracion seleccionada en la configuracion del
agente.
Acerca de la pagina Ajustes de inventario (en Agente de IVANTI estandar)
Utilice la pagina Ajustes de inventario para seleccionary aplicar una coleccion de Ajustes de
inventario que se haya especificadoy guardado con un unico identificador o para crear una nueva
coleccion de Ajustes de inventario.
• Configuracion del inventario: Lista las colecciones de ajustes disponibles. Haga clic en
un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos
ajustes a la configuracion del agente.
• Editar...: Abre el cuadro de dialogo de Ajustes de inventario, donde podra cambiar los ajustes
de una coleccion existente.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de inventario. Este dialogo
enumera las colecciones de Ajustes de inventario que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes de inventario, donde podra crear una
nueva coleccion de ajustes.
• Editar...: Abre el cuadro de dialogo de Ajustes de inventario, donde podra cambiar los
ajustes de una coleccion especificada.
dialogo Ajustes de inventario. Esto es util cuando se desea crear una nueva coleccion
de ajustes similares a una coleccion que ya se ha configurado.
agente.
Acerca de la pagina de Alertas (bajo el Agente de IVANTI estandar)
Las reglas de alertas definen que eventos requieren una accion inmediata o deben registrarse para
su revision. Una regla contiene un grupo de reglas de alerta, cada una de las cuales cuenta con una
accion de alerta correspondiente. Al definir una regla de alertas, puede implementarlo a uno o mas
dispositivos, a fin de supervisar los elementos que son relevantes para ese tipo de dispositivo.
Puede implementar una de las reglas predefinidas o puede implementar reglas que haya creado
dentro de la herramienta de alerta.
La pagina de alerta contiene las siguientes funciones:
• Agregar: haga clic para anadir una regla existente a la lista Reglas de alerta seleccionadas.
Las reglas de esta lista se implementaran en los dispositivos que reciban esta configuracion
de agente.
• Quitar: Haga clic en una regla y luego en Quitar para eliminarlo de la lista Reglas de alerta
seleccionadas.
Acerca de la pagina Opciones de Reinicio (en Agente de IVANTI estandar)
Utilice la pagina Opciones de reinicio de dispositivo para seleccionary aplicar una coleccion de
Ajustes de reinicio que se haya especificadoy guardado con un unico identificador o para crear una
130
GUÍA DE USUARIO
nueva coleccion de Ajustes.

• Configuracion de reinicio: Lista las colecciones de ajustes disponibles. Haga clic en un
• Editar...: Abre el cuadro de dialogo de Configuracion de reinicio, donde podra cambiar los
ajustes de una coleccion existente.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de reinicio. Este dialogo enumera
las colecciones de Ajustes de reinicio de dispositivo que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes de reinicio, donde podra crear una
• Editar...: Abre el cuadro de dialogo de Ajustes de reinicio, donde podra cambiar los
ajustes de una coleccion especificada.
dialogo Ajustes de reinicio. Esto es util cuando se desea crear una nueva coleccion de
ajustes similares a una coleccion que ya se ha configurado.
agente.
Desplegar formularios de datos personalizados
Se pueden crear ydistribuir formularios de datos personalizados para recopilar informacion de

dispositivos que complementara la informacion estandar disponible en la base de datos central. Los
formularios que se crearon con el disenador de formularios se pueden distribuir mediante un
servicio de despliegue de dispositivos o mediante el cuadro de dialogo Configuracion de agentes.
El Disenador de formularios permite personalizar los formularios que se distribuyen a los
dispositivos del dominio de administracion. Para obtener mas informacion, consulte "Uso de
formularios de datos personalizados" (164).
Acerca de la pagina Formularios de datos personalizados
La seccion de formularios de datos personalizados consta de dos paginas. La pagina Formularios

de datos personalizados incluye las siguientes funciones:
• Formularios de actualizacion manual: los formularios seleccionados se envfan a cada
dispositivo. Si los formularios cambian o se agregan nuevos, debe volver a enviarlos
manualmente a los dispositivos remotos.
• Actualizacion automatica: los dispositivos remotos comprueban el servidor central para
consultar los formularios actualizados siempre que se ejecuta el analizador de inventario,
como por ejemplo al inicio. Cada dispositivo debe tener una unidad asignada en el directorio
ldlogon del servidor central para tener acceso a los formularios actualizados.
• Mostrar formularios a usuarios finales: seleccione el modo de acceso de los dispositivos
remotos a los formularios personalizados:
• Al iniciar: los formularios seleccionados se ejecutan automaticamente al inicio en
cada dispositivo.
131
• Cuando se ejecute el Analizador de inventario: los formularios seleccionados solo se

ejecutan cuando el analizador de inventario se ejecuta en cada dispositivo. El
analizador de inventario se ejecuta automaticamente al inicio y los dispositivos
pueden ejecutarlo de forma manual en cualquier momento.
• Cuando se inicia desde la carpeta del programa IVANTI: los formularios seleccionados
aparecen como elementos en la carpeta de IVANTI del dispositivo. No se ejecutan de
forma automatica.
Acerca de la pagina Formularios enviados con el agente (bajo Formularios de datos personalizados)
La pagina de Formularios enviados con el agente muestra una lista de todos los formularios de
datos personalizados que se han definido. Seleccione que formularios estaran disponibles en los
dispositivos que reciban esta tarea de configuracion. Tendra que crear los formularios
(Herramientas > Configuracion > Formularios de datos personalizados) para que aparezcan en esta
lista.
Despliegue de la distribucion de software
La distribucion de software automatiza el proceso de instalacion de aplicaciones de software y de

distribucion de archivos en los dispositivos. Utilice este agente para instalar aplicaciones de forma
simultanea en varios dispositivos o para actualizar archivos o controladores en distintos
dispositivos.
La distribucion de software utiliza un servidor de archivos o Web para almacenar los paquetes. Los
dispositivos acceden a este servidor de paquetes al descargar un paquete. Necesitara configurar un
servidor de paquetes, tal como se describe en la seccion sobre distribucion de software. El agente
de distribucion de software se puede implementar en los dispositivos antes de configurar un
servidor de paquetes. Para obtener mas informacion, consulte "Acerca de la distribucion de
software" (299).
Acerca de la pagina de Distribucion y revision
Utilice la pagina Distribucion y revision para seleccionary aplicar una coleccion de Ajustes
distribucion y revision que se haya especificadoy guardado con un unico identificador o para crear
una nueva coleccion de Ajustes.
• Ajustes de distribucion y revision: Lista las colecciones de ajustes disponibles. Haga clic en
un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos ajustes a
la configuracion del agente.
• Editar...: Abre el cuadro de dialogo de Ajustes de distribucion y revision, donde podra
cambiar los ajustes de una coleccion especificada.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de distribucion y revision. Este
dialogo enumera las colecciones de Ajustes de distribucion y revision que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes de distribucion y revision, donde podra
crear una nueva coleccion de ajustes.
• Editar...: Abre el cuadro de dialogo de Ajustes de distribucion y revision, donde podra
cambiar los ajustes de una coleccion especificada.
132
GUÍA DE USUARIO

dialogo Ajustes de distribucion y revision. Esto es util cuando se desea crear una
agente.
Acerca de la pagina Administrador del portal (en Distribucion y parches)
Utilice la pagina Administrador del portal para seleccionary aplicar una coleccion de Ajustes del
administrador del portal que se haya especificado y guardado con un unico identificador o para
crear una nueva coleccion de Ajustes. Las opciones de esta pagina se habilitan si se selecciona
Utilizar el Administrador del portal en la pagina Distribucion de software de Configuracion de
agentes.
• Ajustes del administrador del portal: Lista las colecciones de ajustes disponibles. Haga clic
en un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos
ajustes a la configuracion del agente.
• Editar...: Abre el cuadro de dialogo de Ajustes del administrador del portal, donde podra
cambiar los ajustes de la coleccion especificada.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes del administrador del portal. Este
dialogo enumera las colecciones de Ajustes del administrador del portal que haya
configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes del administrador del portal, donde
• Editar...: Abre el cuadro de dialogo de Ajustes del administrador del portal, donde
podra cambiar los ajustes de la coleccion especificada.
dialogo Ajustes del administrador del portal. Esto es util cuando se desea crear una
agente.
• Configuracion de accesos directos: Seleccione las ubicaciones donde desea agregar
accesos directos al Administrador del portal en el dispositivo administrado.
• Iniciar/apagar opciones: se utiliza para que el Administrador del portal se abra siempre que
un usuario final inicia sesion. Garantiza que las tareas de directivas requeridas se ejecuten
con regularidad.
Acerca de la pagina IVANTI Workspaces (en Distribucion y parches)
Utilice la pagina IVANTI Workspaces para agregar un acceso directo de IVANTI Workspaces al grupo
de programas de IVANTI. Para obtener mas informacion sobre Workspaces, consulte IVANTI
Workspaces.
Desplegar servicios de IVANTI security
El analizador de seguridad (el analizador de parches ycumplimiento) se instala de forma

predeterminada con el agente de IVANTI estandar. No obstante, al crear configuraciones de agentes
133
de dispositivos es necesario utilizar las opciones de las paginas espedficas de Analisis de

seguridad ycumplimiento para configurar ciertos aspectos de comoycuando se ejecuta el analisis
de seguridad en los dispositivos administrados. Tambien puede habilitary configurar los valores de
reemplazo de la variable personalizada, los analisis de seguridad frecuentes, el spyware en tiempo
real y el bloqueo de aplicaciones.
El analizador de seguridad permite el analisis de dispositivos administrados en busca de

vulnerabilidades conocidas de las aplicaciones y del SO y otros riesgos a la seguridad tales como
spyware, virus, aplicaciones no autorizadas, actualizaciones de software y de controlador,
amenazas a la seguridad de la configuracion de sistema, definiciones de seguridad personalizadas,
etc. El contenido del analisis de seguridad depende de la suscripcion al contenido de Security Suite
yde que definiciones de tipo de seguridad ha descargado. Tambien puede reparar los problemas
detectados a traves de la correccion automatica y las tareas y directivas de reparacion. Para obtener
mas informacion sobre estos procedimientos, consulte "Parches ycumplimiento" (619).
Acerca de la pagina Variables personalizadas
Utilice esta pagina para asignar una configuracion de reemplazo de variable personalizada a los
dispositivos que tengan esta configuracion de agente. El analizador de seguridad puede utilizar
variables personalizadas (valores modificables incluidos en ciertas definiciones de tipos de
seguridad) para detectary modificar opciones espedficas de configuracion y para implementar
opciones estandar de configuracion del sistema en los dispositivos administrados. Puede cambiar
el valor de una configuracion y seleccionar si desea reemplazar el valor actual con uno nuevo y
luego utilizar esta configuracion de agente para aplicarla en los dispositivos de destino. Es posible
que en algunos casos desee ignorar la configuracion de variables personalizadas o, en otras
palabras, crear una excepcion a la regla. La configuracion del reemplazo de variables
personalizadas le permite decidir que variables personalizadas se van a pasar por alto durante el
analisis de los dispositivos para que no se las detecte como vulnerables ni se las repare aunque
cumplan con las condiciones reales de las reglas de deteccion de una definicion.
Esta pagina contiene las siguientes opciones:
• Aplicar ajustes variables personalizados a esta configuracion: Habilita las variables

personalizadas y le permite seleccionar opciones de la lista de ajustes variables
personalizados.
• Configuration de variables personalizadas: Lista las colecciones de ajustes disponibles.
Haga clic en un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar
esos ajustes a la configuracion del agente. Los ajustes de reemplazar variables
personalizadas se utilizara en dispositivos de destino cuando son analizados en busca de
definiciones de seguridad que incluyen variables personalizadas (como amenazas a la
seguridad y virus). La configuracion de reemplazo de variables personalizadas le permite
especificar los valores de configuracion que desea ignorar u omitir durante un analisis de
seguridad. Esto es muy util en aquellas situaciones en las que usted no desea que un
dispositivo analizado sea identificado como vulnerable de acuerdo con la configuracion de
variables personalizadas predeterminada de una definicion.
• Editar...: Abre el cuadro de dialogo de Ajustes de variables personalizadas, donde podra
134
GUÍA DE USUARIO

• Configurar...: Abre el cuadro de dialogo Configurar ajustes de variables personalizadas. Este
dialogo enumera las colecciones de Ajustes del variables personalizadas del portal que haya
configurado.
• Nuevo...: abre el cuadro de dialogo de Ajustes de variables personalizadas, donde
• Editar...: abre el cuadro de dialogo de Ajustes de variables personalizadas, donde
podra cambiar los ajustes de una coleccion existente.
dialogo Ajustes de variables personalizadas. Esto es util cuando se desea crear una
nueva coleccion de ajustes similares a una coleccion que ya se ha configurado. Esto
es util cuando se desea crear una nueva coleccion de ajustes similares a una
coleccion que ya se ha configurado.
agente.
Acerca de la pagina IVANTI Antivirus
Utilice esta pagina para seleccionar una configuracion de antivirus para los dispositivos con esta
configuracion de agente y para seleccionar si se deben quitar o no los antivirus existentes en
dichos dispositivos cuando se configuren.
Para seleccionar una configuracion de antivirus, primero debe seleccionar la casilla de verificacion
del agente Antivirus de IVANTI Antivirus en la pagina Inicio.
La configuracion de antivirus le permite controlar la forma en que opera el analizador de antivirus en
los dispositivos de destino. Puede definir parametros de analisis de antivirus tales como archivos y
carpetas para analizar o excluir, analisis manuales, analisis en tiempo real, analisis programados,
opciones de cuarentena y copia de seguridad, opciones de actualizacion de archivos de patrones de
virus y las opciones de informacion e interactiva que se muestran en la pantalla de los dispositivos
del usuario final durante el analisis de antivirus.
Si hay instalado otro producto de antivirus en los dispositivos de destino, se eliminaran
automaticamente durante la configuracion del agente de IVANTI Antivirus.
• Configuration de IVANTI Antivirus: La configuracion del antivirus determina si el icono de
Antivirus aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones
interactivas para los usuarios finales, la habilitacion del analisis de correo electronico y de la
proteccion en tiempo real, los tipos de archivo a analizar, los archivos y carpetas a excluir, la
cuarentena y la copia de seguridad de los archivos infectados, los analisis programados del
antivirus y las actualizaciones programadas de los archivos de definiciones de virus.
Seleccione una configuracion de la lista. Haga clic en Configurar para abrir el cuadro de
dialogo Configuracion de IVANTI Antivirus, donde podra crear un nuevo ajuste.
• Configuracion de reinicio: Lista las colecciones de ajustes disponibles. Haga clic en un

135
Configuracion del paquete de agente o del agente push
Utilice estas opciones para configurar el modo en que IVANTI Antivirus se instalara en los
dispositivos administrados. La opcion que elija afectara al tamano de la descarga del paquete de
instalacion de antivirus. Puede seleccionar las siguientes opciones:
• Incluir los archivos de instalacion de antivirus de 32-bit y de 64-bit

• Incluir solo los archivos de instalacion de antivirus de 32-bit
• Incluir solo los archivos de instalacion de antivirus de 64-bit
• Excluir los archivos de instalacion del antivirus
• Incluir las definiciones de virus mas recientes aprobadas para su distribucion
Acerca de la pagina de Windows Firewall
Utilice esta pagina para habilitary configurar el servidor de seguridad de Windows en dispositivos
administrados con esta configuracion de agente. Puede habilitar o deshabilitar el firewall, asf como
configurar sus valores, incluyendo excepciones, reglas de entrada y reglas de salida (de
dispositivos, puertos y programas).
• Configuracion del Firewall de Windows: Permite la configuracion automatica del servidor de

seguridad de Windows en dispositivos con esta configuracion de agente.
• Ajustes del Firewall de Windows: Especifica las opciones de configuracion del Firewall de
Windows implementadas en los dispositivos de destino con esta configuracion de agente.
Seleccione una configuracion de la lista para aplicarla a la configuracion que creo.
136
GUÍA DE USUARIO
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de variables personalizadas. Este

dialogo enumera las colecciones de Ajustes de Windows Firewall que haya configurado.
• Nuevo...: abre el cuadro de dialogo de Ajustes de Windows Firewall, donde podra crear
una nueva coleccion de ajustes.
dialogo Ajustes de Windows Firewall. Esto es util cuando se desea crear una nueva
coleccion de ajustes similares a una coleccion que ya se ha configurado. Esto es util
cuando se desea crear una nueva coleccion de ajustes similares a una coleccion que
ya se ha configurado.
agente.
Acerca de la pagina Endpoint Security
Utilice esta pagina para seleccionar una configuracion de Endpoint Security en los dispositivos
administrados con esta configuracion de agente. Endpoint Security incluyetres componentes: HIPS,
IVANTI Firewall y Device Control
Para seleccionar una configuracion Seguridad de terminales, en primer lugar debe seleccionar la
casilla de verificacion del agente de Seguridad de terminales en la pagina Inicio.
• Configuracion del equipo: especifica la configuracion de Endpoint Security en los

dispositivos administrados con esta configuracion de agente. La configuracion de Endpoint
Security determina la operacion general de la misma (por ejemplo, el reconocimiento de
ubicaciones, la contrasena de administrador, la opcion de interrupcion del usuario final y la
aparicion de mensajes), asf como que directivas de seguridad se implementan en HIPS,
IVANTI Firewall y Control de dispositivos.
• Editar...: Abre el cuadro de dialogo de Configuracion de Endpoint Security, donde podra
• Configurar...: Abre el cuadro de dialogo Configuracion de Endpoint Security. Este dialogo
enumera las colecciones de Configuracion de Endpoint Security que haya configurado.
• Nuevo...: abre el cuadro de dialogo deConfiguracion de Endpoint Security, donde
• Editar...: abre el cuadro de dialogo de Configuracion de Endpoint Security, donde
podra cambiar los ajustes de una coleccion existente.
dialogo Configuracion de Endpoint Security. Esto es util cuando se desea crear una
nueva coleccion de ajustes similares a una coleccion que ya se ha configurado. Esto
es util cuando se desea crear una nueva coleccion de ajustes similares a una
coleccion que ya se ha configurado.
agente.
137
Acerca de la pagina Vigilante del agente
Utilice esta pagina para habilitary configurar el servicio del vigilante del agente de IVANTI en los
dispositivos con esta configuracion de agente.
El vigilante del agente le permite supervisar activamente los servicios y los archivos del agente de
IVANTI seleccionados en los dispositivos. El vigilante del agente reinicia los servicios del agente
que se han detenido y restablece los tipos de inicio de los servicios que se han establecido como
automaticos. Ademas, el servicio quita los archivos del agente supervisado de las listas de archivos
que se eliminaran durante el arranque, a fin de impedir su eliminacion. De forma adicional, el
Vigilante del agente le avisa cuando no se pueden reiniciar los servicios del agente, cuando se han
eliminado los archivos del agente y cuando estos se han programado para ser eliminados durante el
reinicio.
• Usar Vigilante del agente: habilita el servicio del Vigilante del agente en los dispositivos con
esta configuracion de agente.
• Configuracion del Vigilante del agente: especifica las opciones de configuracion del Vigilante
del agente se desplieguen a los dispositivos de destino con esta configuracion de agente. La
configuracion del vigilante del agente determina que servicios y archivos se supervisan y
con que frecuencia, asf como tambien si el servicio permanece residente en el dispositivo.
Seleccione una configuracion de la lista.
• Configurar...: Abre el cuadro de dialogo Lista de ajustes. Este dialogo enumera las
colecciones de Configurar vigilante del agente que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Configurar vigilante del agente, donde podra
• Editar...: abre el cuadro de dialogo de Configurar vigilante del agente, donde podra
dialogo Configurar vigilante del agente. Esto es util cuando se desea crear una nueva
coleccion de ajustes similares a una coleccion que ya se ha configurado.
agente.
Acerca de la pagina Otros ajustes de seguridad
Utilice esta pagina para habilitary configurar otros ajustes de seguridad en dispositivos
administrados con esta configuracion de agente. Otros ajustes de seguridad incluyen los
bloqueadores de aplicaciones en tiempo real para aplicaciones no autorizadas y bloqueo de
spyware en tiempo real.
• Aplicar otros ajustes de seguridad a esta configuracion: Si se selecciona esta opcion, podra
seleccionar un perfil Otros ajustes de seguridad.
138
GUÍA DE USUARIO
• Otros ajustes de seguridad: Lista las colecciones de ajustes disponibles. Haga clic en un
• Editar...: Abre el cuadro de dialogo de Otros ajustes de seguridad, donde podra cambiar los
• Configurar...: Abre el cuadro de dialogo Configurar otros ajustes de seguridad. Este dialogo
enumera las colecciones de Otros ajustes de seguridad que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Otros ajustes de seguridad, donde podra crear
• Editar...: abre el cuadro de dialogo de Otros ajustes de seguridad, donde podra
dialogo Otros ajustes de seguridad. Esto es util cuando se desea crear una nueva
coleccion de ajustes similares a una coleccion que ya se ha configurado.
agente.
Acerca de la pagina Control remoto

Utilizar la pagina Control remoto para seleccionary configurar los perfiles de ajustes de control
remoto. Tambien puede cambiar aquf la configuracion del controlador.
• Configuracion de control remoto: Lista las colecciones de ajustes disponibles. Haga clic en
un identificador de la lista y, a continuacion, haga clic en Guardar para aplicar esos ajustes a
la configuracion del agente.
• Configurar...: abre el cuadro de dialogo Configurar los ajustes de control remoto. Este
dialogo enumera las colecciones de Ajustes de control remoto que haya configurado.
• Nuevo...: abre el cuadro de dialogo deAjustes de control remoto, donde podra crear
• Editar...: abre el cuadro de dialogo de Ajustes de control remoto, donde podra cambiar
los ajustes de una coleccion existente.
dialogo Ajustes de control remoto. Esto es util cuando se desea crear una nueva
coleccion de ajustes similares a una coleccion que ya se ha configurado. Esto es util
cuando se desea crear una nueva coleccion de ajustes similares a una coleccion que
ya se ha configurado.
agente.
139
* Configuration del agente:

• Usar el controlador de imagen: esta opcion, que se encuentra seleccionada de
forma predeterminada, utiliza el controlador de imagen de control remoto en los
dispositivos para que el control remoto funcione mas rapidamente.
• Utilizar el controlador de pantalla vatia: esta opcion, que esta seleccionada de forma
predeterminada, utiliza un controlador especial que puede informar a la pantalla del
dispositivo de destino que apague el monitor. Cuando este controlador se encuentra
activo, filtra los comandos que se dirigen al controlador de pantalla real para evitar
que vuelvan a encender el monitor. Los operadores de control remoto pueden activar
o desactivar la opcion de pantalla vada desde la aplicacion del visor del control
remoto. Si se presentan problemas de compatibilidad con este controlador, puede
desactivar la casilla de verificacion para utilizar un modo de pantalla vada mas
compatible, pero probablemente menos eficaz. Si no utiliza el controlador de pantalla
vada, el modo de pantalla vada alternativo puede hacer parpadear la pantalla del
dispositivo de destino mientras se controla en remoto. Esta opcion requiere el
controlador espejo.
Acerca de la pagina de Deteccion extendida de dispositivos
La deteccion extendida de dispositivos es una extension de la herramienta de deteccion de

dispositivos no administrados. Busca dispositivos de la red que no han enviado un analisis de
inventario a la base de datos central. Con la deteccion extendida de dispositivos, puede utilizar uno
o ambos metodos de deteccion que se encuentran a continuacion: Deteccion ARP (Protocolo de
resolucion de direcciones) y deteccion WAP (punto de acceso inalambrico).
Utilice esta pagina para habilitary configurar la deteccion extendida de dispositivos en dispositivos
administrados con esta configuracion de agente.
Con la deteccion ARP, el agente de deteccion extendida de dispositivos escucha las difusiones
ARP de red. Luego el agente verifica los dispositivos detectados ARP para ver si tienen instalado el
agente de IVANTI estandar. Si el agente de IVANTI no responde, el dispositivo detectado ARPse
muestra en la lista Equipos. La deteccion extendida de dispositivos es ideal en situaciones donde
los servidores de seguridad evitan que los dispositivos respondan a los metodos de deteccion UDD
normales basados en ping.
Recuerde que no necesita implementar el agente de deteccion extendida de dispositivos a cada

dispositivo administrado en su red, aunque lo puede hacer si quiere. El despliegue de este agente
en varios dispositivos de cada subred debe brindar una cobertura suficiente.
• Utilice el Protocolo de resolucion de direcciones (ARP): Habilita al agente de deteccion

extendida usando el metodo de deteccion protocolo de resolucion de direcciones (ARP) en
140
GUÍA DE USUARIO
dispositivos con esta configuracion de agentes.

* Ajustes de deteccion ARP:
. Seleccionar una configuration de deteccion ARP: Especifica la configuracion ARP que
controla al agente de deteccion extendida de dispositivos al ejecutar la deteccion ARP
en su red. Las configuraciones ARPdeterminan la frecuencia del analisis y del registro
de la deteccion. Seleccione una configuracion de la lista para aplicarla a la
configuracion que creo.
• Configurar...: Abre el cuadro de dialogo Ajustes de deteccion ARP. Este dialogo
enumera las colecciones de Ajustes de deteccion ARP que haya configurado.
• Nuevo...: abre el cuadro de dialogo de Ajustes de deteccion ARP, donde podra
• Editar...: abre el cuadro de dialogo de Ajustes de deteccion ARP, donde podra
• Copiar...: crea una copia de la coleccion de ajustes seleccionada y abre el
cuadro de dialogo Ajustes de deteccion ARP. Esto es util cuando se desea
crear una nueva coleccion de ajustes similares a una coleccion que ya se ha
configurado. Esto es util cuando se desea crear una nueva coleccion de ajustes
similares a una coleccion que ya se ha configurado.
• Usar seleccionado: Aplica la configuracion seleccionada en la configuracion
del agente.
• Utilization de deteccion Punto de acceso inalambrico (WAP): Habilita al agente de deteccion
extendida usando el metodo de deteccion protocolo de aplicacion inalambrica (WAP) en
dispositivos con esta configuracion de agentes.
141
* Ajustes de deteccion WAP:

• Seleccionar una configuracion de deteccion WAP: Especifica la configuracion WAP
que controla al agente de deteccion extendida de dispositivos al ejecutar la deteccion
WAP en su red. Las configuraciones WAPdeterminan la frecuencia de analisis yde
registro de la deteccion. Seleccione una configuracion de la lista desplegable para
aplicarla a la configuracion queesta creando. Tambien puede hacerclicen Configurar
para creary aplicar una nueva configuracion o para modificar una existente.
• Configurar...: Abre el cuadro de dialogo Ajustes de deteccion WAP. Este dialogo
enumera las colecciones de Ajustes de deteccion WAP que haya configurado.
• Nuevo...: abre el cuadro de dialogo de Configurar ajustes de deteccion WAP,
donde podra crear una nueva coleccion de ajustes.
• Editar...: abre el cuadro de dialogo de Configurar ajustes de deteccion WAP,
donde podra cambiar los ajustes de una coleccion existente.
cuadro de dialogo Configurar ajustes de deteccion WAP. Esto es util cuando se
desea crear una nueva coleccion de ajustes similares a una coleccion que ya se
ha configurado. Esto es util cuando se desea crear una nueva coleccion de
agente.
• Frecuencia de descarga de la configuracion (en minutos): Frecuencia con que los
dispositivos administrados que tienen el agente de deteccion extendida de dispositivos
instalado buscan una configuracion actualizada de la deteccion extendida de dispositivos en
el servidor central.
El agente siempre actualiza su configuracion desde el servidor central cuando se carga por
primera vez. El valor predeterminado es 720 minutos (12 horas). Si determina este valor muy
alto, los cambios de configuracion tardaran mucho en propagarse a los dispositivos. Si lo
establece demasiado bajo, habra mas carga en el servidor central y en la red.
Acerca de la pagina Administracion de energla
Las funciones de Administracion de energfa de IVANTI permiten que los administradores controlen
centralmente el consumo de energfa de los terminales mediante la creacion, evaluacion financiera y
despliegue de directivas de administracion de energfa.
Use la pagina Administracion de energfa para seleccionar la directiva de energfa que se va a
distribuir al dispositivo del cliente. Aunque los administradores controlan centralmente las
condiciones en las cuales los equipos y los monitores quedan en espera, hibernan o se apagan, los
usuarios pueden impedir ciertas acciones de Administracion de energfa desde el lado del cliente de
ser necesario. Ademas, hay una opcion de apagado mediante "software" que protege los datos de
usuario que no se hayan guardado. Se efectua una comparacion entre una base de datos que tiene
valores de consumo de energfa en vatios OEM y los datos de inventario de hardware actuales.
Ademas, la configuracion personalizada del consumo de energfa permite lograr altos niveles de
142
GUÍA DE USUARIO
precision en la valoracion de ahorros financieros y energeticos.

La ventana Administracion de la eneâ contiene las siguientes funciones:
• Utilizar la directiva de energia en los clientes: habilita la administracion de energfa en esta

configuracion de agentes.
• Configuracion de directivas de eneâ: selecciona una directiva de energfa que ha sido
creada y configurada para usarse en los dispositivos administrados.
• Seleccionar una directiva de eneâ: especifica la directiva de energfa que se enviara
con la configuracion de agente. Como valor predeterminado, hay una directiva de
energfa disponible o no hay ninguna.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes de administracion de
energfa. Este dialogo enumera las colecciones de Ajustes de administracion de
energfa que haya configurado.
• Nuevo...: abre el cuadro de dialogo deAjustes de administracion de enenâ,
donde podra crear una nueva coleccion de ajustes.
• Editar...: abre el cuadro de dialogo de Ajustes de administracion de energfa,
donde podra cambiar los ajustes de una coleccion existente.
cuadro de dialogo Ajustes de administracion de enerqfa. Esto es util cuando se
desea crear una nueva coleccion de ajustes similares a una coleccion que ya se
ha configurado. Esto es util cuando se desea crear una nueva coleccion de
agente.
Recopilar la information de utilization del cliente: recopila la utilizacion de eneâ a partir de la
utilizacion de cada cliente. Esta informacion se utiliza para crear informes mas exactos de la
utilizacion de energfa y determinar las demandas de energfa exactas de los dispositivos
administrados y de los monitores que estan conectados a ellos.
Acerca de la pagina Inquilinos
Utilice esta pagina para administrar los inquilinos asociados a una configuracion de agente. La
administracion de inquilinos es un complemento a IVANTI Endpoint Manager que se puede comprar
por separado. La Administracion de inquilinos le permite dividir en secciones los dispositivos
administrados y las configuraciones de la compama. Para obtener mas informacion, consulte
"Informacion general sobre la Administracion de inquilinos" (1149).
• Asignar un inquilino a esta configuracion: seleccione esta opcion si desea asignar un

inquilino.
• Elegir un inquilino: seleccione el inquilino que quiera de la lista de inquilinos que ha
configurado.
143
Acerca de la pagina Ajustes adaptables

Utilice esta pagina para administrar los ajustes adaptables. Los ajustes adaptables permiten que las
configuraciones de agente cambien de forma dinamica en los dispositivos en funcion de la
ubicacion (geolimitacion) o de la direccion IP.. Para obtener mas informacion, consulte "Ajustes
adaptables" (742).
• Aplicar ajustes adaptables a esta configuracion:
• Ajustes adaptables: Lista las colecciones de ajustes disponibles. Haga clic en un

• Editar...: Abre el cuadro de dialogo de Ajustes adaptables, donde podra cambiar los ajustes
de una coleccion existente.
• Configurar...: Abre el cuadro de dialogo Configurar ajustes adaptables. Este dialogo enumera
las colecciones de Ajustes adaptables que haya configurado.
• Nuevo...: Abre el cuadro de dialogo de Ajustes adaptables, donde podra crear una
• Editar...: abre el cuadro de dialogo de Ajustes adaptables,donde podra cambiar los
dialogo Ajustes adaptables. Esto es util cuando se desea crear una nueva coleccion
de ajustes similares a una coleccion que ya se ha configurado.
agente.
Desplegar configuraciones de agente en servidores Linux y UNIX

Puede utilizar la herramienta de configuracion de agentes de la consola para implementar agentes
en sistemas operativos Linux y UNIX compatibles. Para obtener mas informacion sobre la
implementacion de agentes en Linux, consulte "Configuracion de agentes de dispositivos en Linuxy
UNIX" (127).
Acerca de la pagina de Inicio (bajo Configuracion de agentes Linux/UNIX)
La pagina de Inicio de Configuracion de agentes Linux contiene las siguientes opciones:
• Nombre de la configuracion: Escriba un nombre que describa la configuracion en la que esta

trabajando. Puede ser un nombre de configuracion existente o uno nuevo. Este nombre
aparece en la ventana Configuracion de agentes.
• Agente de IVANTIestandar, Control remoto y Distribution de software: estas opciones se
instalan de forma predeterminada y no se pueden deshabilitar.
• LAN DESK rastreador de vulnerabilidades: instala la version Linux del analizadorde
vulnerabilidades. El analizador solamente informa sobre los problemas y no los repara.
144
GUÍA DE USUARIO
• Supervisor e inventario en tiempo real: instala un agente que soporta el inventario y

supervisor en tiempo real desde la consola de Administracion IVANTI.
• Valores predeterminados: restablece las opciones a los valores predeterminados (deshabilita

la opcion Analizador de vulnerabilidades de IVANTI).
Acerca de la pagina Agente estandar de IVANTI (bajo Configuracion de agentes Linux/UNIX)
La pagina Agente estandar de IVANTI del cuadro de dialogo Configuracion de agentes Linux
contiene las siguientes opciones:
• Certificados de confianza para autenticar agentes: los certificados controlan que servidores
centrales pueden administrar dispositivos. Marque los certificados del servidor central que
desee que se instalen con esta configuracion. Para obtener mas informacion, consulte
"Seguridad del agente y certificados de confianza" (120).
• NOTA: Las otras opciones de esta pagina se encuentran atenuadas y no se aplican a las
configuraciones de agentes de Linux.
Acerca de la pagina Ajustes de inventario (en Configuracion de agentes en Linux/UNIX)
La pagina Analizador de inventario de configuraciones de agentes Linux contiene las siguientes

opciones:
• Iniciar analisis de inventario: puede seleccionar diario, semanal o mensual. La opcion que
seleccione agrega un comando al archivo cron.daily, cron.weekly o cron.monthly del servidor
que ejecuta el analizador de inventario.
Acerca del cuadro de dialogo Opciones de estado del agente
Utilice el cuadro de dialogo Opciones de estado del agente (Configurar > Opciones de estado del
agente) para configurar las siguientes opciones de deteccion del agente.
• Obtener estado del agente:

• Nunca: nunca recopila el estado del agente. Utilice esta opcion si tiene muchos
dispositivos inestables o una conexion lenta a la red.
• Solo para los elemento seleccionados que son visibles: especifica que el estado del
agente de un dispositivo se actualice cuando el dispositivo esta seleccionado en la
vista de red. Considere la posibilidad de utilizar esta opcion y desactivar la
actualizacion automatica si la relacion de dispositivos disponibles a no disponible es
de alrededor de 50/50. Tambien se recomienda utilizar esta opcion y desactivar la
actualizacion automatica cuando se desea reducir la cantidad de trafico de red que la
consola genera.
• Para todos los elementos visibles: especifica que se actualizara el estado del agente
de todos los dispositivos visibles en la vista de red segun la frecuencia de
actualizacion. Cuando nuevos dispositivos se hacen visibles se actualiza su estado
del agente (e integridad). Esta opcion genera el mayor trafico de red.
• Actualizar cada < > minutes: indica si el estado del agente se actualiza automaticamente
dentro del intervalo que se selecciono. Para activar esta opcion, seleccione la casilla de al
145
lado de Actualizar. Esta opcion esta desactivada de forma predeterminada, y el intervalo de

actualizacion solo se aplica si la casilla de la opcion esta marcada. Si la activa, considere
utilizar el intervalo de 5 minutos predeterminada o uno mayor para reducir la cantidad de
trafico de red.
146
GUÍA DE USUARIO
Agent Watcher
Informacion general sobre el Vigilante del agente
El vigilante del agente de IVANTI es una herramienta que permite supervisar de forma proactiva el
estado de los servicios y los archivos seleccionados del agente de IVANTI Endpoint Manager para
garantizar su integridad y preservar el funcionamiento adecuado en los dispositivos administrados.
Se puede habilitar el Vigilante del agente e implementar su configuracion asociada mediante una
configuracion inicial de agente en el dispositivo. Tambien se puede actualizar en cualquier
momento sin tener que configurar un agente completo.
El vigilante del agente no solo supervisa los servicios y archivos cnticos, sino que tambien puede
reiniciar servicios finalizados, restablecer servicios programados para iniciarse automaticamente,
restaurar archivos que estan pendientes de eliminar durante el reinicio e informarle sobre
evidencias de manipulacion de archivos al servidor central.
El vigilante del agente de IVANTI Endpoint Manager supervisa los servicios y archivos
especificados por la configuracion del Vigilante del agente de un dispositivo.
La configuracion del Vigilante del agente tambien determina la frecuencia con la que se debe
verificar el estado de los servicios y archivos del agente, si permanece residente el Vigilante del
agente en los dispositivos y si se deben buscar cambios en la configuracion aplicada.
De forma predeterminada, el Vigilante del agente se encuentra apagado. Puede habilitar el Vigilante
del agente mediante una configuracion de agente o hacerlo luego mediante una tarea aparte para
Actualizar la configuracion del Vigilante del agente. En otras palabras, no es necesario que habilite
el Vigilante del agente durante la configuracion inicial de un dispositivo. Puede hacerlo en cualquier
momento directamente desde la consola en uno o mas dispositivos administrados.
Supervisar servicios y archivos con el Vigilante del agente

Puede utilizar el Vigilante del agente de IVANTI para supervisar los siguientes servicios y archivos.
Monitor de servicios
Se pueden monitorizar los siguientes servicios del agente:
• Programador local . IVANTI
Antivirus
• IVANTI Policy Invoker
• Control remoto
• Monitoreo de licencia de software
• Multidifusion dirigida
147
CAUTION: No se deben seleccionar servicios que no se van a implementar para que el vigilante del
agente los supervise
Cuando configure el Vigilante del agente, no seleccione servicios que no piense instalar en los dispositivos de
destino. De lo contrario, el servidor central recibira alertas para servicios no instalados que no se instalaron a
proposito. Sin embargo, tenga en cuenta que aunque se seleccione un servicio no instalado para supervisarlo,
no se envian alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse.
Cuando se monitorizan servicios del agente, el Vigilante del agente:

• Reinicia los servicios cuando estos se apagan (una vez)
• Cambia el tipo de inicio del servicio de regreso a automatico cuando este se modifica
• Envia alertas al servidor central cuando los servicios no estan instalados
• Envia alertas al servidor central cuando los servicios no se pueden reiniciar
• Envia alertas al servidor central cuando un tipo de inicio de servicio no se puede cambiar a
automatico
Monitor de archivos
Los siguientes archivos se pueden monitorizar:
• Ldiscn32.exe
• Vulscan.dll
• Vulscan.exe
• Sdclient.exe
Cuando se supervisan archivos, el Vigilante del agente:

• Quita del registro los archivos que estan programados para eliminarse cuando se reinicie
• Envia alertas al servidor central cuando los archivos estan programados para eliminarse en
el reinicio
• Envia alertas al servidor central cuando los archivos se han eliminado
Activary configurarel Vigilante del agente

La herramienta del Vigilante del agente se instala con el agente de Endpoint Manager estandar, pero
se encuentra apagado de forma predeterminada.
El Vigilante del agente puede activarse a traves de la configuracion inicial del agente del dispositivo
o luego a traves de una tarea para Actualizar la configuracion del Vigilante del agente.
148
GUÍA DE USUARIO
Habilitar el Vigilante del agente en dispositivos
Para habilitar el Vigilante del agente durante la configuracion del agente

2. Haga clic en el boton Nueva configuracion de agente de Windows de la barra de
herramientas.
3. Despues de especificar la configuracion que desea para el agente, haga clic en el grupo de
Seguridad y conformidad y luego haga clic en Vigilante del agente para abrir esa pagina en el
dialogo.
4. Active Usar Vigilante del agente.
5. Seleccione una de las configuraciones de la lista disponibleyaptfquela a la configuracion de
agente que esta creando. Usted puede crear una nueva configuracion o modificar una
existente. La configuracion que se aplique determina que servicios y archivos se supervisan
y con que frecuencia, y si el ejecutable del Vigilante del agente permanece residente en la
memoria de los dispositivos supervisados.
6. Termine de especificar la configuracion del agente y luego haga clic en Guardar.
Si desea activar el Vigilante del agente (o actualizar su configuracion) mas adelante, puede hacerlo
directamente desde la consola para uno o mas de los dispositivos administrados.
Para habilitar el Vigilante del agente (o actualizar su configuracion) como una tarea aparte
1. En la consola, haga clic con el boton derecho en uno o mas dispositivos y luego haga clic en
Actualizar la configuracion del Vigilante del agente.
2. Active Usar Vigilante del agente.
3. Seleccione una de las configuraciones de la lista disponibleyaplfquela a la configuracion de
agente que esta creando. Usted puede crear una nueva configuracion o modificar una
existente. La configuracion que se aplique determina que servicios y archivos se supervisan
y con que frecuencia, y si el ejecutable del Vigilante del agente permanece residente en la
memoria de los dispositivos supervisados.
Al hacer clic en el boton Aceptar, todos los dispositivos de destino seleccionados se actualizan con
la nueva configuracion yaparece un mensaje de estado.
Configuracion el vigilante del agente
Utilice la configuracion del Vigilante del agente (haga clic en Herramientas > Configuracion >
Configuracion del agente > Nuevo agente de Windows > Seguridad y cumplimiento> Vigilante del
agente) para determinar que servicios y archivos se supervisan, con que frecuencia se verifica el
estado de los servicios y archivos, si el Vigilante del agente permanece residente en el dispositivo y
si se buscan de cambios en la configuracion que se aplique.
149
Desactivar el Vigilante del agente en dispositivos

Tambien puede deshabilitar el vigilante del agente en uno o mas dispositivos con la tarea Actualizar
vigilante del agente.
Para deshabilitar el Vigilante del agente
1. En la consola, haga clic con el boton derecho en uno o mas dispositivos y luego haga clic en
Actualizar la configuration del Vigilante del agente.
150
GUÍA DE USUARIO
2. Asegurese de desactivar la casilla de verificacion Usar el Vigilante del agente.

Generar informes del Vigilante del agente

La informacion del Vigilante del agente y de las alertas se puede ver mediante el uso de varios
informes de la herramienta de Informes.
Todos los informes del Vigilante del agente incluyen el nombre del equipo de escritorio, el servicio o
archivo que se monitorea, el estado de la alerta (encontrada o resuelta) y la fecha de deteccion del
evento.
El Vigilante del agente guarda el estado de las alertas para que el servidor central reciba solo una
cuando se encuentre la condicion y otra cuando esta se resuelva. Pueden haber varias alertas al
reiniciar el Vigilante del agente para reiniciar el sistema, o cuando se envfa o se extrae una
configuracion nueva del equipo de escritorio.
Tambien pueden generarse informes para una categona determinada con base en distintos
intervalos de tiempo, tales como hoy, la semana pasada, los ultimos 30 dfas u otros periodos.
IMPORTANT: Informacion sobre alertas del Vigilante del agente eliminadas automaticamente al cabo de
90 dias
Todas las alertas del vigilante del agente que tienen mas de 90 dfas se eliminan automaticamente de la base de
datos. La informacion de alertas se utiliza para generar informes del vigilante del agente.
IMPORTANT: Derechosy roles necesarios para poder usar la herramienta de Informes

Para tener acceso a la herramienta de Informes, y poder generar y ver los mismos, los usuarios de deben tener
derechos de administrador de IVANTI (lo que implica derechos absolutos) y los roles de Informes espedficos.
Para obtener mas informacion sobre la utilizacion de la herramienta de Informes, consulte "Uso de
los informes" (212).
Ayuda del Vigilante del agente

Esta seccion contiene los siguientes temas de ayuda, los cuales describen los cuadros de dialogo
del Vigilante del agente.
Acerca del cuadro de dialogo Lista de ajustes
Utilice este cuadro de dialogo para administrar su configuracion. Cuando ya este configurado,
puede aplicar dicha configuracion a los dispositivos administrados a traves de una tarea de
configuracion de agente o de cambio de configuracion.
El Vigilante del agente permite crear varias opciones de configuracion que pueden aplicarse a los
dispositivos o a los grupos de dispositivos.
151
Este cuadro de dialogo contiene las siguientes paginas:
. Nuevo: abre el cuadro de dialogo de configuracion en el cual se pueden configurar las

opciones.
• Editar: abre el cuadro de dialogo de configuracion en el cual se puede modificar la
configuracion seleccionada.
• Copiar: abre una copia de la configuracion seleccionada en forma de plantilla, la cual se
puede entonces modificar yrenombrar.
• Eliminar: quita la configuracion seleccionada de la base de datos.
• Usar seleccionado: Cierra el cuadro de dialogo y convierte en predeterminado el ajuste

seleccionado para esa configuracion del agente.
• Cerrar: cierra el cuadro de dialogo sin aplicar ninguna configuracion a la tarea.
Acerca del cuadro de dialogo Configurar Vigilante del agente
Utilice este cuadro de dialogo para creary modificar la configuracion del Vigilante del agente.
La configuracion del vigilante del agente determina que servicios y archivos se supervisan y con
que
frecuencia, asf como tambien si la utilidad permanece residente en el dispositivo.
• Nombre: identifica la configuracion con un nombre unico.

• El Vigilante del agente permanece residente: indica si LDRegwatch.exe (el ejecutable del
Vigilante del agente) permanece residente en la memoria todo el tiempo. Si no selecciona
esta opcion, LDRegwatch.exe permanecera en la memoria solamente el tiempo necesario
para verificar los servicios y archivos seleccionados en los tiempos programados.
• Supervisar estos servicios: especifica que servicios crfticos se van a supervisar con la
configuracion del Vigilante del agente.
• Supervisar estos archivos: especifica que archivos crfticos se van a supervisar con la
• Intervalo de muestreo: especifica la frecuencia con la que el Vigilante del agente va a
supervisar los servicios y archivos seleccionados. El valor mmimo de este intervalo es 30
segundos.
• Buscar cambios a esta configuracion en el servidor central: compara automaticamente la
version actual de la configuracion del vigilante del agente seleccionada con la que se
implemento en los dispositivos de destino (en el intervalo de tiempo especificado a
continuacion). Si la configuracion se modifica durante dicho penodo, se implementa la nueva
configuracion yse reinicia el Vigilante del agente con estos nuevos ajustes.
• Intervalo de verification: especifica el penodo de tiempo de la comparacion periodica de
la configuracion del Vigilante del Agente.
152
GUÍA DE USUARIO
IMPORTANT: No se deben seleccionar servicios que no se van a implementar para que el vigilante
del

Cuando configure el Vigilante del agente, no seleccione servicios que no piense instalar en los dispositivos de
destino. De lo contrario, el servidor central recibira alertas para servicios no instalados que no se instalaron a
no se envian alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse 9 10
Acerca del cuadro de dialogo Actualizar la configuracion del Vigilante del agente
Utilice este cuadro de dialogo para actualizar la configuracion del Vigilante del agente en los
dispositivos de destino y para habilitar o deshabilitar la herramienta del Vigilante del agente en los
dispositivos de destino.
Si el vigilante del agente no se encuentra activo en los equipos de escritorio seleccionados,

seleccione la casilla de verificacion Usar vigilante del agente, configure el vigilante del agente y
luego haga clic en Aceptar. El vigilante del agente se activara cuando se envie la configuracion a los
dispositivos seleccionados. Para cambiar los archivos o servicios que se van a supervisar, haga clic
en el boton
Configurar para mostrar el cuadro de dialogo Configuracion del vigilante del agente.
Mediante el cuadro de dialogo Actualizar la configuracion del vigilante del agente tambien puede
desactivar el vigilante del agente desmarcando la casilla de verificacion Usar vigilante del agente y
haciendo clic en Aceptar.
• Usar el Vigilante del agente: habilita el servicio del Vigilante del agente en los dispositivos de
destino.
Puede ver los datos de inventario y utilizarlos para:
• personalizar las columnas de vista de red para mostrar atributos espedficos del inventario
• Consultar la base de datos central acerca de los dispositivos con atributos espedficos del
inventario
• Agrupar dispositivos para acelerartareas de administracion, como la distribucion de software
153
Inventario
Informacion general sobre el rastreo de inventario
Recopila datos del hardware y software ylo introduce en la base de datos central. Al configurar un
dispositivo con la herramienta de configuracion de agentes, el rastreador de inventario es uno de
los componentes del agente Endpoint Manager estandar que se instala en el dispositivo. El
rastreador de inventario se ejecuta automaticamente cuando el dispositivo se configura por primera
vez. Un dispositivo se considera administrado una vez que envfa un rastreo de inventario a la base
de datos central. El archivo ejecutable del rastreador tiene el nombre ldiscn32.exe.
Existen dos tipos de rastreos de inventario:

• Rastreo de hardware: rastrea los datos de hardware en los dispositivos administrados. Los
rastreos de hardware se ejecutan rapidamente. Puede configurar el intervalo de rastreo de
hardware en una configuracion de agente (Herramientas > Configuracion > Configuracion de
agentes) para implementarla en los dispositivos administrados. De forma predeterminada, los
rastreos de hardware se ejecutan cada vez que se inicia el dispositivo.
• Rastreo de software: rastrea el software instalado en los dispositivos administrados. Estos

rastreos toman mas tiempo que los rastreos de hardware. Los rastreos de software podnan
tomar algunos minutos, segun la cantidad de archivos del dispositivo administrado. De forma
predeterminada, el rastreo de software se ejecuta una vez al dfa, independientemente de la
frecuencia con que se ejecuta el rastreador de inventario en el dispositivo. Puede configurar
el intervalo de rastreo de software en la pestana Configurar > Servicios > Inventario.
Para rastrear un dispositivo a peticion, localfcelo en la vista de red, haga clic con el boton derecho y
haga clic en Rastreo de Inventario.
NOTE: Un dispositivo agregado a la base de datos central mediante la funcion de deteccion aun no ha rastreado
los datos de su inventario en dicha base de datos. Debera ejecutar un rastreo de inventario en cada dispositivo
para que aparezcan todos los datos de dicho dispositivo. 11
11 Generar informes especializados segun los atributos del inventario
Puede utilizar rastreos de inventario para realizar un seguimiento de los cambios de hardware y
software en los dispositivos, asf como para generar alertas o entradas en el archivo de registro
cuando dichos cambios se produzcan. Para obtener mas informacion, consulte "Seguimiento de
cambios del inventario" (160).
154
GUÍA DE USUARIO
Optimizacion del rastreo de inventario

La siguiente informacion describen algunas de las opciones disponibles para optimizar los rastreos
de inventario.
Rastreo delta
Tras el rastreo completo inicial en un dispositivo, el rastreador de inventario solo captura los
cambios delta y los envfa a la base de datos central. Al enviar solamente los datos cambiados, se
minimiza el tiempo de trafico de red y de procesamiento de datos.
Rastreo completo obligatorio
Si desea forzar un rastreo completo de los datos de hardware o software de un dispositivo,

elimine el archivo de rastreo delta existente y cambie una opcion en el subprograma
Configuracion de servicios de IVANTI Software (Configurar > Servicios).
1. Elimine el archivo invdelta.dat del dispositivo. Se almacenara de forma local una copia del
ultimo rastreo de inventario en un archivo oculto denominado invdelta.dat. La variable de
entorno LDMS_LOCAL_DIR define la ubicacion de dicho archivo. De forma predeterminada
se ubica en C:\Archivos de programa\IVANTI\LDClient\Informacion.
2. Agregue la opcion /sync a la lmea de comandos de la utilidad de rastreo de inventario. Para

modificar la lfnea de comandos, haga clic en Inicio > Todos los programas > IVANTI
Management, haga clic con el boton derecho en el icono de acceso directo Rastreo de
inventario yseleccione Propiedades > Acceso directo y, a continuacion, modifique la ruta de
Destino.
3. En el servidor central, haga clic en Inicio > Todos los programas > IVANTI > Configuracion de
servicios de IVANTI.
4. Haga clic en la pestana Inventario y luego en Configuracion avanzada.

5. Haga clic en la opcion Crear delta. En el cuadro Valor escriba 0.
6. Haga clic en Aceptar dos veces y haga clic en S^ cuando se presente el indicador a fin de
reiniciar el servicio.
Compresion del rastreo
De forma predeterminada, los rastreos de inventario realizados por el rastreador de inventario de

Windows (ldiscn32.exe) se comprimen. El rastreador comprime los rastreos completos y delta,
utilizando una tasa de compresion de 8:1. En primer lugar, los rastreos se generan completamente
en memoria; a continuacion, se comprimen yse envfan al servidor central utilizando un tamano de
paquete mayor. por lo que requiere un menor numero de paquetes y se reduce el uso del ancho de
banda.
Cifrado del rastreo
De manera predeterminada, los rastreos de inventario se cifran (solo los rastreos de TCP/IP). Para
desactivar el cifrado del rastreo de inventario, cambie una opcion en el subprograma Configuracion
de servicios de IVANTI Software (Configurar > Servicios).
155
1. En el servidor central, haga clicen Inicio > Todos los programas > IVANTI > Configuracion de
servicios de IVANTI.

3. Haga clic en la opcion Deshabilitar cifrado. En el cuadro Valor escriba 1.
4. Haga clic en Establecery luego en Aceptar.
5. Haga clic en Aceptary haga clic en S^ cuando se presente el indicador a fin de reiniciar el
servicio.
Transporte de datos cifrados
En la pestana Configurar > Servicios > Inventario, existe la opcion Transporte de datos cifrados.
Esta opcion ocasiona que los rastreos de dispositivos se envfen al servidor central mediante SSL.
Debido a que los archivos se envfan a traves del servicio Web y no de la interfaz del servicio de
inventario, no se anexa una direccion NAT al archivo de rastreo, aunque dicha opcion este activada
en el registro.
Ver los datos del inventario

Una vez que se haya rastreado un dispositivo mediante el rastreador de inventario, puede visualizar
la informacion del sistema en la consola.
Los datos de inventario de dispositivos se almacenan en la base de datos central, e incluyen

hardware, controladores de dispositivos, software, memoria e informacion del entorno. Puede
utilizar este inventario para ayudar a administrary configurar dispositivos, asf como para identificar
rapidamente problemas del sistema.
Puede ver los datos de inventario, ya sea como un resumen o como un inventario completo de
dispositivo. Puede ademas visualizar datos de inventario en los informes que genere. Para obtener
mas informacion, consulte "Uso de los informes" (212).
Visualizacion de un inventario de resumen
El inventario resumen se encuentra en la pagina de propiedades del dispositivo y proporciona una

vista rapida de la informacion del sistema y la configuracion basica del sistema operativo en el
dispositivo. El resumen tambien muestra la fecha y hora del ultimo rastreo de inventario, de modo
que podra saber si los datos son actuales.
NOTE: Si ha agregado un dispositivo a la base de datos central utilizando la herramienta de deteccion, los datos
de su inventario aun no se han rastreado en la base de datos central. Debe ejecutar un rastreo de inventario en
el dispositivo para que aparezca su inventario.
Para ver el inventario resumen
1. En la vista de red de la consola, haga clic con el boton derecho del raton en un dispositivo.
2. Haga clic en la pestana Propiedades > Inventario.
156
GUÍA DE USUARIO
Visualizacion de un inventario completo
Un inventario completo proporciona una lista entera de los componentes detallados de hardware y
software de un dispositivo. Dicha lista contiene objetos y atributos de objeto. El campo de
busqueda busca texto en ambos paneles, incluidos los valores. La busqueda no distingue entre
mayusculas y minusculas y puede utilizar F3 para acceder a la siguiente coincidencia.
Para ver un inventario completo
2. Haga clic en Inventario.
157
Para obtener informacion detallada, consulte "Ayuda de Inventario" (190).
Visualizacion de las propiedades de los atributos
En la lista de inventario, puede ver las propiedades de los atributos de los objetos de inventario de
un dispositivo. Estas propiedades le informaran de las caractensticas y valores de un objeto de
inventario. Puede ademas crear atributos personalizados y modificar otros definidos por el usuario.
Para ver las propiedades de un atributo, haga doble clic en el.
Para obtener mas informacion, consulte "Acerca del cuadro de dialogo Propiedades de atributos de
inventario" (192).
158
GUÍA DE USUARIO
Seguimiento de cambios del inventario

IVANTI puede detectary registrar cambios en el hardware y software del dispositivo. Con el
seguimiento de los cambios en el inventario, podra controlar los activos de red. La configuracion de
dichos cambios le permite seleccionar los tipos de cambios que desea guardary con que nivel de
gravedad. Los cambios seleccionados se pueden guardar en un registro del historial de inventario,
el registro de eventos de Windows del servidor central o se pueden enviar como una alerta AMS.
Puede ver e imprimir el historial de un dispositivo con los cambios del inventario. Asimismo, puede
exportar los cambios del inventario a un archivo con formato CSV para analizarlo utilizando sus
propias herramientas de informe.
Para realizar un seguimiento y utilizar los cambios del inventario, primero debe configurarlos. Podra
realizar las demas tareas del historial de cambios de inventario:
• "Configurar los cambios de inventario" (161)

• "Visualizacion, impresion y exportacion de los cambios de inventario" (162)
159
Configurar los cambios de inventario

NOTE: en primer lugar, debe realizar esta configuracion si desea ver, imprimir o exportar los cambios en un
inventario de cualquier dispositivo de la red.
Para configurar los cambios de inventario

1. Haga clic en Configurar > Historial de inventario.
2. En el cuadro de dialogo Configuracion de cambios de inventario, expanda el objeto Equipo
de la lista Inventario actual y seleccione el componente del sistema del que desea realizar un
seguimiento.
3. En la lista Registrar los eventos en, seleccione el atributo del componente del que desea
realizar un seguimiento.
4. Seleccione la casilla de verificacion adecuada para especificar en donde registrar un cambio
en dicho atributo. Los cambios de inventario se pueden registrar en el registro de historial
correspondiente, el registro del visor de eventos de Windows NT o como una alerta AMS.
160
GUÍA DE USUARIO
5. Elija un nivel de gravedad en la lista desplegable Registro/gravedad de alertas. Entre los

niveles de gravedad, se encuentran: Ninguno, Informacion, Advertencia yCntico.
Para obtener mas informacion, consulte "Acerca del cuadro de dialogo Configuracion de cambios
del inventario" (192).
Visualizacion, impresion y exportacion de los cambios de

inventario
Para ver, imprimir y exportar los cambios de inventario
2. Haga clic en Historial de inventario.
3. Haga clic en Imprimir, para imprimir el historial de cambios de inventario.
4. Haga clic en Exportar para guardar el historial de cambios de inventario como un archivo
CSV.
Para obtener mas informacion, consulte "Acerca del cuadro de dialogo Historial de cambios del
inventario" (193).
Visualizacion del registro de los cambios en el inventario

de un dispositivo
Cuando se ejecuta el rastreador de inventario, este crea un archivo delta que contiene los cambios
del ultimo rastreo. El rastreador envfa este archivo delta al servidor central. El rastreador tambien
utiliza este archivo delta para crear un registro de cambios en cada dispositivo administrado. El
archivo de cambios esta en formato XMLy se guarda en el dispositivo administrado, en el archivo
LDCLient\Data\changeslog.xml.
El registro de cambios se mantiene en el dispositivo. Si desea verlo, debera acceder remotamente al
dispositivo para acceder directamente al archivo changesog.xml.
De manera predeterminada, el registro de cambios guarda 90 dfas de datos. Puede modificar esto en
la configuracion del agente del inventario.
Para modificar el periodo de datos registrados
1. Haga clicen Herramientas > Configuracion > Configuracion del agente.

2. En Configuracion del inventario, haga doble clic en los ajustes del inventario que quiera
modificar.
3. Haga clic en Configuracion del rastreadory ajuste la opcion Cambiar el almacenamiento del
historial âs) con el valor que desee.
El registro de cambios guarda esta informacion:
161
• Fecha de ultima exploracion de hardware . Memoria: ffsica: bytes

disponibles
• Memoria: archivo de pagina: disponible
• Fecha del ultimo rastreo de software
• SO: info de NT: hora del ultimo arranque
• SO: hora del ultimo inicio
• Procesador: velocidad
• Tarea programada: ultima ejecucion
• Tarea programada: siguiente ejecucion
• Almacenamiento en masa: unidad logica: almacenamiento disponible
• SO: controladores y servicios: servicio12
A continuacion se muestra un registro de ejemplo:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Inventariochanges>
<changes timestamp="2014-04-30T09:43:08-7:00">
<change timestamp="2014-04-30T09:43:08-7:00" bnf="Network - TCPIP - Subnet Mask" oldvalue=""
newvalue="255.255.224.000"/>
</changes>
</Inventariochanges>
Ver datos de bloqueo de la aplicacion y del SO

El escaner del inventario recupera los datos de bloqueo de la aplicacion de los dispositivos de
Windows administrados. Estos datos provienen de los registros de eventos de Windows. Puede ver
esta informacion en el inventario del dispositivo, en Datos de diagnostico.
• Fecha y hora del ultimo bloqueo.

• Nombre, version y fecha de la aplicacion
• Nombre, version yfecha del modulo
• Codigo de la ultima excepcion
12 Numero detelefono del usuario
La mejor forma de obtener esta informacion es directamente de los usuarios con formularios de
datos personalizados.
Estos formularios incluyen dos componentes principales: Form Designer, que sirve para crear
formularios que los usuarios pueden rellenar; y Visor de formularios, con el que los usuarios
rellenan los formularios.
Los formularios se pueden almacenar de forma central o local. En el primer caso, todos los
usuarios reciben acceso automatico a los formularios mas recientes, puesto que todos ven el
mismo desde la misma ubicacion. Si los formularios se almacenan localmente, debe asegurarse
de que los usuarios reciben los mas recientes.
162
GUÍA DE USUARIO
• 30 dfas de bloqueos para esta aplicacion

• 90 dfas de bloqueos para esta aplicacion
Los datos de bloqueo del SO provienen de los minivolcados de Windows. Los minivolcados deben
estar habilitados para que esto funcione. Estos datos incluyen:
• Fecha del ultimo bloqueo

• 30dfas
• 90dfas
Uso de formularios de datos personalizados
IVANTI incluye una herramienta para formularios de datos personalizados (Herramientas >
Formularios de datos personalizados) que puede utilizar para creary administrar formularios. Estos
formularios proporcionan una forma para recopilar informacion de los usuarios y agregarla a la
base de datos central.
Mostrar/Ocultar imagen 13 •
NOTE: Los formularios de datos personalizados no se admiten en IVANTI Security Suite

Los formularios de datos personalizados no estan disponibles con la licencia que solamente incluye IVANTI
Security Suite. Debe poseer un licencia completa de IVANTI Endpoint Manager para poder utilizar la funcion de
formularios de datos personalizados.
Una vez que un usuario ha finalizado un formulario, el visor de formularios almacena los resultados
localmente en C:\Program Files\IVANTI\LDClient\ldcstm.dat. Este archivo contiene los resultados de
todos los formularios a los que el usuario ha respondido. Si el usuario necesita alguna vez rellenar
el mismo formulario de nuevo (por ejemplo, si se revisa el original), el visor de formularios lo rellena
con los datos introducidos anteriormente.
El rastreador de inventario toma la informacion del archivo ldcstm.dat de cada dispositivo y lo

agrega a la base de datos central.
El rastreador de inventario no puede reunir determinado tipo de informacion personalizada

espedfica del usuario, como por ejemplo:
• Ubicacion del escritorio de algun usuario

• Numero de activo de un equipo
163
NOTE: Las bases de datos Oracle distinguen entre mayusculas y minusculas

Cuando cree campos personalizados con formularios de datos personalizados (o cualquier otra funcion) en una
base de datos Oracle, asegurese siempre de iniciar con mayusculas los nombres de campos. Por ejemplo, los
datos asociados con la "Ubicacion del cubo" se guardan en una ubicacion distinta de la base de datos que los
datos asociados con "Ubicacion del Cubo".
Ademas, asegurese de que los campos personalizados reciben nombres unicos, independientemente de las
mayusculas. Es probable que no se recuperen los datos de inventario correctos si existen dos campos
personalizados con el mismo nombre, independientemente de las mayusculas.
Crear un formulario de datos personalizados

Estos formularios proporcionan una forma para recopilar informacion de los usuarios y agregarla a
la base de datos central. Realice los siguientes pasos, a fin de crear un formulario de datos
personalizados.
Para crear un formulario de datos personalizados
1. Haga clicen Herramientas > Configuration > Formularios de datos personalizados.

2. En la ventana del mismo nombre, haga doble clic en Agregar nuevo formulario.
3. Escriba un nombre para el formulario.
4. Escriba una descripcion para el formulario. (La descripcion que se introduzca aparecera
como una sugerencia de ayuda cuando el usuario pulse F1 en el campo durante el llenado
del formulario.)
5. Haga clic en Agregar para abrir el cuadro de dialogo Agregar pregunta.

6. En el cuadro de dialogo Agregar pregunta, escriba el Texto de la pregunta, el Nombre del
inventario yla Descripcion.
7. Seleccione el Tipo de control.

8. Seleccione si desea que este campo sea obligatorio.
9. Si ha elegido el tipo de control Edition, haga clic en Finalizar para cerrar el cuadro de dialogo
Agregar pregunta. Este tipo de control permite que los usuarios escriban sus propias
respuestas en un cuadro de texto editable. Puede agregar mas preguntas o continuar con el
paso 12.
164
GUÍA DE USUARIO
10. Si ha seleccionado alguno de los tipos de control de cuadro combinado, haga clic en
Siguiente para abrir el cuadro de dialogo Agregar elementos. Este tipo de control permite
que los usuarios seleccionen sus respuestas en una lista desplegable de elementos
predefinidos.
11. En el cuadro de dialogo Agregar elementos, introduzca el nombre de un elementoy haga clic
en Insertar para colocarlo en la lista Elementos. Dichos elementos aparecen en una lista
desplegable para la pregunta correspondiente del formulario. Puede agregartantos
elementos como desee y, a continuacion, hacer clic en Finalizar.
12. Una vez que haya agregado las preguntas, haga clic en Cerrar para guardar el formulario.
Puede hacer clic con el boton derecho del raton en un formulario, a fin de programarlo para su
distribucion a dispositivos.
Crear un grupo de formularios

Si cuenta con varios formularios que desea enviar a dispositivos, puede organizarlos en un grupo. A
continuacion, tan solo tiene que programar el grupo de formularios para su distribucion.
Si programa un grupo de formularios para su distribucion, el programador local leera el contenido
del mismo cuando llegue el momento de distribuirlo. Esto quiere decir que podra cambiar el
contenido del grupo incluso despues de programado (siempre que el trabajo no se haya producido).
165
NOTE: Si un formulario que forma parte de un grupo se modifica o elimina posteriormente, el grupo reflejara
dichos cambios automaticamente.
Para crear un grupo de formularios
1. En la ventana Formularios de datos personalizados, haga clic en el boton Varios formularios

de la barra de herramientas.
2. Escriba un nombre para el grupo.
3. Elija los formularios que desea agregar al grupo en la lista de formularios disponibles.
Una vez que haya creado un grupo de formularios, puede hacer clic con el boton derecho en el
grupo para programarlo para efectuar distribucion a los dispositivos.
166
GUÍA DE USUARIO
Configuracion de dispositivos para recibir formularios de

datos personalizados
Cuando configure dispositivos, puede hacer que reciban formularios de datos personalizados.
Debe elegir instalar el componente de formularios de datos personalizados, asf como especificar
opciones de los mismos en el cuadro de dialogo de la configuracion del agente. Para obtener mas
informacion, consulte "Desplegar formularios de datos personalizados" (132).
En el cuadro de dialogo Configuracion de agentes, debera especificar la forma en que desea

actualizar los formularios en el dispositivo:
• Actualization automatica: si todos los formularios se almacenan de forma centralizada

(actualizaciones automaticas), los usuarios buscaran los nuevos formularios en una unica
ubicacion. De este modo, siempre que un nuevo formulario se encuentre disponible, todos
los dispositivos que realicen una busqueda obtendran acceso inmediato al mismo. La
desventaja consiste en que los usuarios encontraran formularios que no les corresponden.
• Actualizacion manual: si los formularios se almacenan de forma local (actualizaciones

manuales), debera distribuirlos a los usuarios quetengan que rellenarlos. Se producira
menor carga de la red, puesto que cada dispositivo contara con una copia propia del
formulario. La ventaja de los formularios locales consiste en que se puede limitar los
formularios que los usuarios ven a solo aquellos que les corresponden. Los formularios se
copian a los dispositivos durante la configuracion de estos o con la herramienta Tareas
programadas.
Asimismo, necesitara especificar el momento en que los formularios se mostraran en el dispositivo:
• Al iniciar: el visor de formularios del dispositivo busca formularios nuevos o modificados

cada vez que se inicia el dispositivo. El visor de formularios se abre una vez que se carga el
sistema operativo. La proxima vez que se ejecute el rastreador de inventario, enviara
formularios rellenados a la base de datos central.
• Cuando se ejecute el Rastreador de inventario: el rastreador de inventario inicia el visor de

formularios, que busca formularios nuevos o modificados. Una vez que los usuarios han
finalizado el formulario y cierran el visor de formularios, el rastreador se cierra y los datos se
introducen en la base de datos central.
• Cuando se inicia desde la carpeta del programa IVANTI: el visor de formularios se puede
abrir de forma manual desde el grupo de programas Endpoint Manager. La proxima vez que
se ejecute el rastreador de inventario, enviara formularios rellenados a la base de datos
central.
Tambien puede utilizar la ventana Tareas programadas para ejecutar el visor de formularios en
dispositivos en un momento predefinido. Para ello, utilice la ventana Tareas programadas para que
primero distribuya los formularios a los dispositivos. Asegurese de que le proporciona tiempo
suficiente a esta distribucion antes de utilizar la funcion de trabajos realizables en secuencia de
tareas programadas para ejecutar el visor de formularios.
167
Completar formularios en el dispositivo
IMPORTANT: Puede programar formularios de datos personalizados (o grupos de formularios) para

desplegarlos a dispositivos utilizando la herramienta de Tareas programadas (Distribucion > Tareas
programadas). Para que los formularios aparezcan en el dispositivo, tambien es necesario activar la
presentacion de formularios en la herramienta de Configuracion del agente (Configuracion >
Configuracion del agente > (haga doble clic en la configuracion de la lista) > Formularios de
datospersonalizados > seleccione la opcion de visualizacion que desee utilizar). 14 15
Cuando se ejecuta el visor de formularios de datos personalizados en el dispositivo, se muestra

una lista de formularios con el estado de cada uno:
• Nuevo: indica que el usuario nunca ha rellenado el formulario.

• Completado: indica que el usuario ha abierto el formulario y ha rellenado los campos
obligatorios como mfnimo.
15 Hacer de nuevo: indica que el usuario ha rellenado este formulario anteriormente, pero que
este ha cambiado desde entonces. El usuario necesita consultarlo de nuevo y realizar los
cambios necesarios. Una vez realizada esta tarea, el estado del formulario pasa a ser
Completado.
Una vez que los usuarios seleccionan un formulario para llenary hacen clic en Abrir, aparece un
asistente de formulario sencillo. Este incluye una lista de preguntas y campos para las respuestas.
Si hay mas preguntas que no caben en una pagina, utilice los botones Atras/Siguiente. Los
usuarios pueden hacer clic en Ayuda (o presionar la tecla F1), mientras que el cursor se encuentra
en algun campo, para mostrar un mensaje de ayuda generado por el campo Descripcion del
disenador de formularios.
168
GUÍA DE USUARIO
Es necesario responder a todas las preguntas obligatorias antes de pasar a la pagina siguiente o de
salir del formulario. Las preguntas obligatorias tienen un punto rojojunto a ellas.
La ultima pagina del asistente de formularios incluye el boton Finalizar, haga clic en el cuando haya
terminado de rellenar el formulario. Al hacer clic en este boton, se regresara al cuadro de dialogo
Selection de formularios y se actualizara el mensaje de estado que aparece junto al nombre de los
formularios.
Agregar elementos de software y datos a los rastreos de

inventario
Gestionar la herramienta Administrar la lista de software para configurar el software y los datos que
desee incluir en los rastreos de inventario. Las opciones que se seleccionan con esta herramienta
definen que elementos se rastrearan cuando se ejecute el rastreador de inventario.
Administrar la lista de software
Ol
tano | Nombre de atributo ^ 1 Clave I Gave 1 Valor
x c Datos personalizados Custom Data - DirectX - Version HKCU
d...
Software\Microsoft\DirectX InstalledVer...
Bementos de
\ y registro
Bemento de WMI a Custom Data - Image - Image Time Stamp
Custom Data - Image - Image Version
HKLM
HKLM
system \setup
system \setup
donetag
oemduplicat...
Achivos a Custom Data - Internet Explorer - Version HKLM Software\Microsoft\lntemet Explore Version
m - Por rastrear
Oasificar a
Custom Data - LAN Desk - Deferred Repair
T...
Custom Data - LAN Desk - Inventario Scan
HKLM
HKLM
Softw are MandeskVManagement suit
e\WinQient\...
Def erred
Tas...
Softw are \Mi crosoft\Wind ows\CurrentVersion\Run IvantiSc...
o
a) "Q
d a Co...
Exduir
a Custom Data - MDAC - Version HKLM Softw are \Mi crosoft \Data Access Full Install Ver
j"ij Inverr Bementos de URL monitoriz

a Custom Data - Network - DNSSearchOrder
Custom Data - Novell - NovellTree
HKLM
HKLM
S YSTEMNCurrentControl Set\Services\Tcpip\Pa.. . Search List
SOFTWARE\Novell\NWGINA\Login Screen DefaultNDS...
$ i a Custom Data - Security Scan - Pending File HKLM SYSTEM\CurTentControlSet\Control\Session M... Pending File...
a R...
Custom Data - Windows - Offline Files Status HKLM Softw are\Mi crosoft XWindowsNCunent Version Enabled
a \N...
169
El rastreador de inventario utiliza los elementos de datos que se especifiquen para identificar los
archivos de software y los elementos de datos personalizados, tales como valores de registro,
datos de WMI y direcciones URL. Puede especificar los siguientes elementos:
• Archivos: Los archivos que se incluyen en el rastreo de software se incluyen en la lista

Para rastrear. Los archivos de la lista Para excluir no se incluyen en los rastreos de
software. Los archivos de la lista Para ubicar se han detectadoyse deben trasladara
alguna de las otras listas.
• Elementos de registro: El rastreador de inventario puede identificar elementos del registro de

Windows en los dispositivos administrados. Estos elementos apareceran en la seccion de la
lista de inventario que se especifique.
• Elementos de WMI: El rastreador de inventario puede rastrear en busca de elementos de

datos de WMI (Windows Management Instrumentation) y los resultados apareceran en la
seccion de la lista de inventario que se especifique.
• Direcciones URL: El rastreador de inventario puede rastrear en busca de direcciones URL, lo

cual es util para hacer seguimiento del uso de las aplicaciones basadas en Web y del
software como servicio (SaaS).
IMPORTANT: Endpoint Manager 9.6y posteriorya no utiliza el archivo ldappl3.template. La configuracion migra
los datos de este archivo a la base de datos central. Para cambiar la configuracion que solia j encontrarse en este
archivo, utilice la herramienta Administrar lista de software (Herramientas > Configuracion > Informes/Monitor) o la
configuracion del inventario configuracion del agente
(Herramientas > Configuracion > Configuracion del agente).
Consulte las siguientes secciones para obtener informacion acerca de como cambiar los elementos
que se incluyen en los rastreos de inventario:
• "Agregar o eliminar archivos en los rastreos de inventario" (172)

• "Agregar elementos personalizados de registro a los rastreos de inventario" (174)
• "Agregar elementos personalizados de WMI a los rastreos de inventario" (175)
• "Agregar direcciones URL a los rastreos de inventario" (177)
Poner a disposicion de los clientes los cambios a los rastreos de inventario
Cuando se realizan cambios en la herramienta Administrar lista de software, se deben desplegar los
cambios a los dispositivos administrados para cambiar la forma en que se ejecutan los rastreos de
inventario. Los cambios se aplicaran si se utiliza el parametro de linea de comandos /i del
rastreador en los dispositivos administrados.
Para desplegar los cambios en los rastreos a los dispositivos administrados
1. En la consola, haga clic en Herramientas > Informes/Monitor > Lista de manejo de software.
2. Realice los cambios.
170
GUÍA DE USUARIO
3. Haga clic en el boton de la barra de herramientas Poner a disposicion de los clientes para
poner los cambios mas recientes a disposicion de los dispositivos la proxima vez que estos
realicen un rastreo de inventario.
Agregar o eliminar archivos en los rastreos de inventario

Puede modificar los archivos de la herramienta Lista de manejo de software para determinar que
archivos se incluyen en los rastreos o se excluyen de ellos.
NOTE: Despues de cambiar algun elemento en la Lista de manejo de software del servidor central, debe hacer
clic en el boton Poner a disposicion de los clientes para actualizar los archivos de definicion de producto que
utiliza el rastreador de inventario. La proxima vez que los dispositivos realicen un rastreo de inventario, el
rastreador descarga los archivos de definicion de producto actualizados desde el servidor central y aplica los
cambios.
Archivos de software en los rastreos de inventario

El escaner reconoce las aplicaciones de software de tres modos:
• Nombre de archivo
• Nombre ytamano de archivo
• Informacion incluida en un archivo ejecutable de la aplicacion
Utilice la vista de arbol de la Lista de manejo de software para especificar que archivos se deben
rastrear y cuales se deben excluir del rastreo de inventario. El elemento de Archivo en el arbol
muestra tres categories que le ayudaran a organizar los archivos:
• Para explorar: los archivos que el rastreador identificara en los dispositivos. Esta lista
contiene descripciones de varios miles de aplicaciones, lo que proporciona una lmea base
de ejecutables que los dispositivos probablemente tengan instalados. Puede agregar
archivos a esta lista o excluirlos de ella.
• Para clasificar: A medida que el rastreador de inventario agrega datos de software a la base
de datos, este encuentra muchos archivos de software que no reconoce; estos archivos se
agregan a esta lista. Puede mover los archivos de esta lista a cualquiera de las otras dos
listas.
• Para excluir: el rastreador ignora todas las existencias de cada archivo que se muevan aquL
Si elimina un archivo de Para excluir, este aparece en la categoria Para clasificar.
De forma predeterminada, el rastreador de inventario solo rastrea los archivos enumerados en la
lista de Administrar la lista de software. Los archivos que se especifican como rastreados o
excluidos se guardan en la herramienta de la lista Administrar software (Herramientas >
Configuration > Informes / Monitor).
Luego del rastreo inicial, el rastreador de inventario envfa solo rastreos delta, que seran muchos
mas pequenos.
171
Rastrear o excluir archivos de software

Realice las siguientes tareas para determinar que archivos de software estan incluidos en el los
rastreos de inventario.
Para incluir un archivoen los rastreos de inventario
1. Busque el archivo mediante la busqueda en la lista Por clasificar.

2. Arrastre el archivo a la lista Por rastrear.
Para excluir un archivoen los rastreos de inventario
1. Busque el archivo mediante la busqueda en la lista Por clasificar.

2. Arrastre el archivo a la lista Para excluir.
Para excluir un archivo que no se encuentra en la lista Por clasificar
1. Haga clicpara en Para excluiryluego haga clicen el boton Agregar en la barra de

herramientas.
2. Introduzca el nombre del archivo que se va a excluir yluego haga clic en Aceptar.
Para cambiar el estado de un archivo de rastreado a excluido
1. Ubique el archivo realizando una busqueda a la lista Por rastrear.

2. Arrastre el archivo a la lista Para excluir.
Tambien puede mover los archivos de la lista de excluidos a la lista de rastreados.

Rastreo de archivos de aplicaciones que notienen extensiones .exe
La lista predeterminada Por rastrear contiene descripciones de ejecutables, pero solo con las
extensiones de archivo .exe. Si desea que el rastreador identifique tambien otros tipos de archivos
de aplicaciones (.dll, .com, .sys, etcetera), consulte "Agregar elementos de software y datos a los
rastreos de inventario" (170).
Acerca del cuadro de dialogo de Propiedades de archivo
Utilice este cuadro de dialogo para agregar archivos a Lista de manejo de software. Un nombre de
archivo es el unico campo obligatorio. En caso necesario, puede expandir el dialogo para que
proporcione mas informacion.
• Nombre del archivo: Escriba un nombre de archivo. Es campo tiene un archivo comodfn de
manera predeterminada.
• Tamano (en bytes): introduzca el tamano del archivo en bytes. No utilice comas u otros
separadores entre los dfgitos. Si especifica un tamano de archivo de 1, cualquier archivo con
dicho nombre coincidira.
• Nombre del producto: Introduzca el nombre del producto al que pertenece el archivo.
• Proveedor: introduzca el nombre del proveedor del producto que utiliza el archivo.
• Version: introduzca el nombre de la version del archivo.
172
GUÍA DE USUARIO
. Action o estado: seleccione la accion que desea realizar con el archivo:

• Para explorar: agregue el archivo a esta categona para que el rastreador de inventario
lo busque en los dispositivos.
• Para clasificar: agregue el archivo a esta categona para decidir mas tarde lo que desea
hacer con el.
Agregar elementos personalizados de registro a los

rastreos de inventario
El rastreador de inventario permite rastrear las claves de registro especificadas y agregar sus
valores a la base de datos central. Esto puede resultar util en el caso del software personalizado, la
informacion de activos u otro tipo de informacion almacenada en el registro que se desee incluir en
La herramienta de Administracion de software le permite especificar las claves de registro que debe
agregar al rastreo de inventario. Los resultados apareceran en la seccion del inventario que se
especifique.
Varios elementos de registro se suministran con Endpoint Manager. Puede consultar las
propiedades de estos elementos para ver un ejemplo de como crear elementos del registro. Para ver
las propiedades de un elemento, haga cliccon el boton derecho en estey seleccione Propiedades.
Para agregar una clave de registro al rastreo de inventario
1. Haga clic en Herramientas > Informes / Monitor > Lista de manejo de software.
2. Amplie Datos personalizados yhaga clicen Elementos del registro.
3. Haga clic en el boton Agregar de la barra de herramientas.
4. Seleccione e introduzca los datos que se describen a continuacion.
Los elementos de rastreo del registro incluyen los siguientes datos:
• Root key: Seleccione el tipo de clave de registro que desea rastrear.
HKLM =
HKEY_LOCAL_MACHINE HKCC
= HKEY_CURRENT_CONFIG
HKCR =
HKEY_CLASSES_ROOT HKU =
HKEY_USERS HKCU =
HKEY_CURRENT_USER
• Clave: La ruta de acceso del registro que define la ubicacion de la clave. Los elementos
deben estar separados por una barra inversa ( \), y cada elemento entre barras inversas
173
representa un nivel en la jerarqrna de arbol del registro (como se ve en el editor de

registros).
• Valor: El valor de busqueda del rastreador de inventario.
• Nombre del atributo: La descripcion del lugar en el cual se mostraran los datos en el
inventario arbol. Los elementos se presentan en orden jerarquicoy deben estar separados
por" -" (espacio guion espacio) pare que aparezcan de forma precisa en el inventario. El
primer elemento que se escribe aqm es el nombre del arbol de inventario que contendra los
datos, como "Datos personalizados".
Por ejemplo, el nombre del atributo Datos personalizados - MDAC - Version aparecera en
el resumen de inventario del dispositivo de la siguiente manera:
cambios.
Agregar elementos personalizados de WMI a los rastreos

de inventario
El rastreador de inventario permite buscary leer los elementos de datos de WMI (Windows
Management Instrumentation) y agregar sus valores a la base de datos central. Estos datos
apareceran en el resumen del inventario.
Utilice esta opcion si hay elementos de inventario correspondientes a dispositivos de Windows que
no se encuentran en el resumen de inventario estandar que viene con Endpoint Manager.
Para agregar elementos a la busqueda de inventario de WMI, tendra que estar familiarizado con las
clases e instancia de WMI, y necesitara saber de que espacio de nombre es parte una clase. Utilice
una herramienta como Microsoft CIM Studio o PowerShell (en Windows 7) para explorar las clases
174
GUÍA DE USUARIO
de WMI.
En cada clase, puede buscar una o mas propiedades y devolver esos valores al arbol de inventario.
Por ejemplo, la siguiente es una clase de WMI de un conector de puerto de medios. Contiene tres
propiedades. El espacio de nombres, la clase y la ruta de acceso de la pantalla de inventario
aparecen en la seccion superior del cuadro de dialogo. Las propiedades se agregan
individualmentey se enumeran en el cuadro de Propiedades de la parte central del cuadro de
dialogo.
Despues de que este elemento de datos personalizado se defina y se ponga a disposicion de los
dispositivos administrados (haciendo clic en el boton Poner a disposicion de los clientes de la barra
de herramientas), cualquier dispositivo administrado que tenga un conector de puerto de medios
incluira este elemento en el resumen del inventario. En el arbol de inventario, el elemento se
presenta en la lista bajo Almacenamiento masivo > Cambiador de medios. Mostrara tres elementos
de datos: Nombre del adaptador, Nombre del disco y Tipo de chasis.
Para agregar una elemento de WMI al rastreo de inventario
2. Amplie Datos personalizados y haga clic en Elementos de WMI.
175

4. Introduzca los datos de Objeto tal como se describe a continuacion.
5. Para agregaruna propiedad, haga clicen Agregar. Introduzca el Nombrede la propiedad y
Nombre en pantalla como se describe a continuacion. Haga clic en Aplicar para agregar la
propiedad.
6. Cuando todos los datos esten completos, haga clic en Guardar.
Los elementos de WMI incluyen los siguientes datos:
• Espacio de nombre: El espacio del nombre de WMI. Normalmente este es root\\ciMV2,

pero puede ser otro espacio de nombre.
• Nombre de la clase: El nombre de la clase de WMI.

• Mostrar objeto: La descripcion del lugar en el cual se mostraran los datos en el inventario
arbol. Los elementos se presentan en orden jerarquicoy deben estar separados por" -"
(espacio guion espacio) pare que aparezcan de forma precisa en el inventario. El primer
elemento que se escribe aqm es el nombre del arbol de inventario que contendra los datos,
como "Datos personalizados".
Cada elemento puede tener una o mas propiedades para que el busque el rastreador.
• Nombre de la propiedad: El nombre que identifica la propiedad de WMI.

• Nombre en pantalla: El nombre que se utiliza en el arbol de inventario para identificar la
propiedad de WMI. Este nombre aparece un nivel por debajo de Mostrar objeto del arbol de
inventario.
clic en el boton Poner a disposition de los clientes para actualizar los archivos de definicion de producto que
cambios.
Agregar direcciones URL a los rastreos de inventario

El rastreador de inventario puede rastrear en busca de direcciones URL, lo cual es util para hacer
seguimiento del uso de las aplicaciones basadas en Web y del software como servicio (SaaS). Por
ejemplo, si su empresa utiliza Salesforce para realizar el seguimiento de las ventas y del servicio de
atencion al cliente, debera agregar una URL supervisada que coincida con la URL que utiliza para
iniciar sesion en Salesforce.
Por cada URL que se agregue, el rastreador de inventario guardara datos tales como:
• La frecuencia con la cual se visita la URL

• La cantidad de tiempo dedicado a ver paginas de la direccion URL
• La ultima fecha y hora en la cual se reinicio el dispositivo
176
GUÍA DE USUARIO
Para agregarle una direccion URL al rastreode inventario
2. Haga clic elementos del URL supervisados.
4. Introduzca un nombre de dominio en el cuadro de URL.
Puede introducir un nombre de dominio con subdominios, separados por puntos, pero no se
pueden incluir rutas de acceso espedficas. El nombre de dominio no puede incluir caracteres no
validos. Si introducir una ruta de acceso o caracteres que no son validos, aparecera un mensaje de
error y se debera corregir la direccion URL.
Puede incluir hasta 10 niveles de subdominios con un maximo de 60 caracteres por nivel. Puede
utilizar un maximo de 260 caracteres en total en el nombre de dominio.
cambios.
Cambiar los parametros de los rastreos de inventario

Esta seccion describe las distintas maneras de cambiar los parametros de los rastreos de
inventario. Incluye la siguiente informacion:
• "Rastreo de informacion personalizada" (178)

• "Especificacion del intervalo e historial de rastreo de software" (179)
• "Parametros de lfnea de comando del rastreador" (179)
Rastreo de informacion personalizada

La herramienta del rastreador de inventario de Windows rastrea automaticamente el registro del
dispositivo en busca de informacion personalizada. Al configurar un dispositivo, se instalan las
claves siguientes en el registro:
• HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\IVANTI\INVENTARIO\CUSTOM FIELDS
El rastreador de inventario siempre rastrea el registro en busca de la clave de los campos
Personalizado/a y obtiene la informacion que esta contiene. A continuacion, especifica la
informacion personalizada en los campos Personalizado/a de la base de datos central. La
informacion de las claves en los Campos personalizados puede ser lo que se necesite. En la
consola, los datos aparecen debajo de los campos Personalizado/a.
El rastreador de inventario lee dos tipos de datos:
177
. REG_SZ . REG DWORD
NOTE: Subclaves de los Campos personalizados

El rastreador de inventario no busca ninguna subclave debajo de los Campos personalizados.
NOTE: Longitud de cadena de los Campos personalizados

Las cadenas de caracteres ASCII no deben superar los 255 caracteres. La longitud de las cadenas de conjunto de caracteres
de multiples bytes (MBCS) debe ser de entre 127y 255 caracteres.
Especificacion del intervalo e historial de rastreo de software

Puede especificar el momento en el que desea rastrear el software de los dispositivos y cuanto
tiempo se debe guardar el registro del historial de cambios del inventario en el servidor central.
Estos intervalos se aplican a todos los dispositivos.
O NOTE: El hardware de cualquier dispositivo se rastrea siempre que este se inicia y se conecta a la red.
Para especificar la configuracion de rastreo de software
1. En la vista de red de la consola, haga clic en Configurar > Servicios > Inventario > Software.
2. Especifique la frecuencia del rastreo de software.
3. Especifique el numero de dfas que desea guardar el historial.
NOTE: Rastreo de servidor central y software
O Esta funcion solo se aplica a los dispositivos. No afecta al servidor central, que se rastrea diariamente.
Parametros de lmea de comando del rastreador
Puede agregar parametros de lmea de comandos a las propiedades de acceso directo del rastreador
de inventario (ldiscn32.exe) para controlar su funcionamiento.
Al ejecutar ldiscn32 /? se muestran los parametros de la lmea de comandos del rastreador:
178
GUÍA DE USUARIO
Administrar la configuracion de lista de software

La herramienta Administrar la lista de software (Herramientas > Informes / Monitor > Administrar
lista de software) cuenta con una rama de configuracion donde puede ajustar el comportamiento del
rastreo del inventario.
Si utilizo Endpoint Manager antes de la version 9.6, es posible que reconozca muchos de estos
ajustes del archivo ldappl3.template. Endpoint Manager 9.6traslado los ajustes de ese archivo a la
base de datos, y la Administrar lista de software es el lugar en el que ahora los puede modificar.
CfgFiles
Agregue los archivos de texto que desee que el escaner del inventario recopile de los dispositivos
administrados y los guarde en la base de datos. Si se empieza la ruta del archivo de texto con una
barra diagonal inversa el escaner del inventario buscara el archivo en cada unidad local. Si solo
quiere buscar en una unidad espedfica, incluya la letra de la unidad en la ruta.
Estos archivos seran visibles en el inventario del dispositivo, en Archivos de configuracion, que se
encuentra en la rafz del arbol de inventario. El escaner tambien recopila la fecha, tamano y ruta del
archivo. Si hace doble clic en Datos de archivo, se muestra el cuadro de dialogo Propiedades del
atributo, y si se hace clic en la pestana Valor ampliado, se muestra el contenido del archivo.
El contenido del archivo de texto no se puede consultar.

DataFileExtensions
DataFileExtensions es una lista de extensiones que se rastrearan para incluirlas en un informe de
179
software del equipo. Esta informacion se puede encontrar en el atributo Software.Data Files de la
base de datos e incluira el nombre del archivo, la ruta, la fecha y el tamano.
ScanExtensions
ScanExtensions muestra una lista de extensiones que se buscaran. Independientemente de los

datos que se introduzcan en la seccion Aplicaciones, si la extension del archivo no aparece en la
lista, la aplicacion no se encontrara.
MultimediaExtensions
MultimediaExtensions es una lista de extensiones que se rastrearan para incluirlas en un informe de

software del equipo. Esta informacion se puede encontrar en el atributo Multimedia de la base de
datos e incluira el total de archivos multimedia, las extensiones localizadas y el espacio del disco
duro que se utilice para los archivos multimedia.
MAC ignoradas
Las MAC ignoradas son una lista con un espacio limitado de hasta 40 direcciones MAC, que el
rastreador no tendra en cuenta como candidato cuando escoja una direccion para utilizarla en la
identificacion. Esta es la direccion asignada a una "Red: direccion NIC" y se utiliza en el servidor
central para identificar Id. de dispositivos duplicadas. Las direcciones de esta lista deben coincidir
EXACTAMENTE con las direcciones que se encuentran en la seccion "Adaptadores enlazados" de
un archivo de rastreo. Por este motivo, es mejor copiar estas direcciones desde un archivo de
rastreo.
Una direccion a ignorardpica es aquella que es coherente entre maquinas para el cliente VPN.
Este ejemplo es para un cliente VPN Cisco de 64 bits.
MAC ignoradas=00059A3C7a00
Archivos de utilizacion
Si la lista de Archivos de utilizacion esta vada (por defecto), los datos de uso se enviaran a todos
los productos monitorizados. Si agrega archivos a esta lista, los datos de utilizacion solo se
incluiran en un informe para aquellos archivos.
MacScanExtensions
MacScanExtensions es una lista de extensiones recopiladas mediante el inventario. Si la

extension del archivo no aparece en esta lista, este no se encontrara, independientemente de lo
que aparezca en la seccion de aplicaciones.
MacMultimediaExtensions
MultimediaExtensions es una lista de extensiones que se rastrearan para incluirlas en un informe de

software de un equipo macintosh. Esto es diferente de la seccion anterior, ya que esta es especfica
para plataformas de Apple OS X. Nota: las extensiones distinguen entre mayusculas y minusculas, y
no se recopilaran si no se utiliza la letra correcta.
MacSearchFolders
MacSearchFolders es una lista de carpetas adicionales para rastrear en Macs.
180
GUÍA DE USUARIO
De manera predeterminada, el rastreador busca las carpetas /Library/Applications /System /User. El

rastreador solo buscar carpetas de la lista de la seccion MacSearchFolders, en busca de archivos
especificados en la seccion MacScanExtensions. Tenga en cuenta que esto solo afecta a la seccion
MacScanExtensions y no afectara al rastreo de aplicaciones.
Ejemplo: MacSearchFolders=/johndoe
MIFPATH
MIFPATH es el directorio que buscaran los rastreadores para encontrar archivos MIF.
MIFPATH=C:\DMI\DOS\MIFS
Excluir carpetas
Excluye las carpetas del rastreo. Estas carpetas se incluyen por defecto:
• ExcludeDir=\recycled\
• ExcludeDir=\recycler\
• ExcludeDir=%USERPROFILE%\LOCALSETTINGS\TEMP\
• ExcludeDir=%USERPROFILE%\LOCALSETTINGS\TEMPORARY INTERNET FILES\
• ExcludeDir=%USERPROFILE%\Application Data\Thinstall\
• ExcludeDir=%windir%\$ntservicepackuninstall$\
• ExcludeDir=%windir%\installer\
• ExcludeDir=%windir%\lastgood*\
• ExcludeDir=%windir%\driver cache\
• ExcludeDir=%windir%\registeredpackages\
• ExcludeDir=%windir%\temp\
• ExcludeDir=%windir%\system32\dllcache\
• ExcludeDir=%windir%\$NtUninstall*\
• ExcludeDir=%windir%\ServicePackFiles\i386\
• ExcludeDir=%windir%\i386\
• ExcludeDir=\i386\
• ExcludeDir=\$LDCFG$\
• ExcludeDir=\SYSTEM VOLUME INFORMATION\
• ExcludeDir=\SP3\
• ExcludeDir=\SP4\
• ExcludeDir=\Library\
• ExcludeDir=\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCALSETTINGS\TEMP\
. ExcludeDir=\DOCUMENTSANDSETTINGS\LOCALSERVICE\LOCALSETTINGS\TEMPORARY
INTERNET FILES\
. ExcludeDir=%ProgramFiles%\IVANTI\lddient\bkupcfg\
. ExcludeDir=%ProgramFiles%\IVANTI\ldclient\cache\
181
• ExcludeDir=%ProgramFiles%\IVANTI\ldclient\data\
. ExcludeDir=%ProgramFiles%\IVANTI\ldclient\sdmcache\
• ExcludeDir=%ProgramFiles%\IVANTI\SHARED FILES\
• ExcludeDir=%ProgramFiles%\COMMON FILES\MICROSOFT SHARED\
• ExcludeDir=\LDClient\Temp\
• ExcludeDir=\LDCLIENT\SDMCACHE\
Ignorar SMBIOS
Incluya, en esta seccion, las cadenas que desee inventariar para ignorarlas del rastreador de
SMBIOS. Los cuatros valores que se muestran en el ejemplo siguiente se incluyen, de manera
predeterminada, y no es necesario volver a incluirlos.
• Desconocida
• N/D
• Nodisponible
• Ninguno
Tareas adicionales de inventarios y resolucion de

problemas
Este capftulo ofrece informacion adicional sobre el rastreo de inventario, asf como una serie de
sugerencias para la solucion de problemas. Incluye la siguiente informacion:
• "Iniciar el rastreador de inventario" (183)

• "Programacion de una tarea de rastreo de inventario" (184)
• "Rastrear dispositivos independientes" (184)
• "Agregar registros de inventario a la base de datos central" (185)
• "Creacion de archivos MIF" (185)
• "Rastreo en busca de datos personalizados en dispositivos Macintosh" (185)
• "Solucion de problemas relativos al rastreador de inventario" (189)
Iniciar el rastreador de inventario
Al iniciar LDISCN32.EXE directamente, sin parametros, activa una lfnea de comando predeterminada
que equivale a:
LDISCN32.EXE /NTT={server} /S={server} /I=HTTP://{server}/ldlogon/ldappl3.ldz
Para deshabilitar esta lfnea de comando predeterminada, utilice /L-
182
GUÍA DE USUARIO
Para rastrear solo en un archivo de salida, utilice:

LDISCN32.EXE /L- /v /o=output.txt
Programacion de una tarea de rastreo de inventario

Si el dispositivo ejecuta los agentes de Endpoint Manager, puede programar una secuencia de
comandos que inicie un rastreo de inventario en el dispositivo.
Para programar un rastreo de inventario
1.
2.
Haga clic en Herramientas > Distribution > Tareas programadas.
3.
En la barra de herramientas, haga clic en el boton Programar un rastreo de inventario
En la ventana Tareas programadas se pueden configurar los destinos de las tareas y el tiempo de
inicio.
La secuencia de comandos del rastreador de inventario se encuentra en el directorio \Archivos de

programa\IVANTI\ManagementSuite\Secuencias de comandos. Setrata de un archivo.ini de Windows
que se puede modificar en un editor de texto cualquiera. Si necesita cambiar las opciones o los
parametros de la secuencia de comandos, abrala y siga las instrucciones que contiene.
Rastrear dispositivos independientes

Para explorar un dispositivo independiente
1. Copie la utilidad de rastreo del inventario, un archivo de descripcion de software (que suele
ser LdAppl3.ini), y los archivos siguientes en una unidad o en otra ubicacion accesible:
ldiscn32.exe, elogapi.dll, loc32vc0.dll y processrunner.dll.
2. Ejecute el rastreo con el parametro /O= y especifique la ruta y el nombre del archivo de
salida.
3. En el sfmbolo del sistema de la lmea de comandos, escriba un nombre unico para el
dispositivo. Este nombre aparece en el campo Descripcion de la base de datos central. Por
ejemplo:
LDISCN32.EXE /F /V /L- /C=c:\%computername%.scn
4. Copie el archivo de analisis resultante a la carpeta ..\ ManagementSuite\ldscan del servidor

central para que se agregue a la base de datos.
Para escanear un dispositivo que tenga acceso de red al servidor central
1. Asigne una unidad (N: por ejemplo) al directorio ldlogon del servidor central en el cual desea
que aparezca el rastreo.
2. Haga clic en Inicio > Ejecutary pegue este comando despues de sustituir el nombre del
servidor central donde sea necesario:
183
N:\LDISCN32.EXE /NTT=CORESERVERNAME:5007 /S="CORESERVERNAME"

/I=HTTP://CORESERVERNAME/ldlogon/ldappl3.ldz /F /V /L- /SYNC
Agregar registros de inventario a la base de datos central

Puede agregar informacion de inventario desde un dispositivo o desde archivos de inventario
independientes ejecutando el rastreador de inventario en la lmea de comandos del sistema
operativo.
Para agregar registros de inventario desde un archivo a la base de datos central
• Ejecute el servicio de rastreo con los parametros/S=,/T= y/NTT=.
Creacion de archivos MIF

Si necesita un archivo MIF que almacene la informacion de inventario de un dispositivo
determinado, puede crear uno ejecutando el rastreador adecuado en la lmea de comandos.
Para crear un archivo MIF Unicode, utilice la opcion /MUNI. Para crear un archivo MIF no Unicode,
utilice la opcion /M.
Para crear archivos MIF
• Escriba lo siguiente en el indicador de DOS:

LDISCN32 /MUNI /V
Rastreo en busca de datos personalizados en dispositivos Macintosh

Puede recopilar datos personalizados provenientes de dispositivos que ejecuten el agente de
IVANTI en Macintosh ytransformarlo en inventario. La informacion se guarda en archivos XML
dentro de un directorio espedfico en el dispositivo del cliente. Use la siguiente informacion para
crear archivos XML con datos personalizados en la ubicacion correcta para que sean enviados al
inventario.
Para obtener informacion sobre una solucion alterna de datos personalizados en Macintosh,
descargue los datos personalizados de las notas tecnicas de Macintosh de
NOTE: La implementacion de datos personalizados mediante el agente IVANTI en Macintosh no utiliza

formularios de datos personalizados. Las tareas del formulario de datos personalizadas no se pueden desplegar
satisfactoriamente en dispositivos que ejecuten el agente IVANTI en Macintosh.
Archivo XML de datos personalizados
Antes de que pueda agregar datos personalizados a un rastreo de inventario de un dispositivo que
ejecute el agente IVANTI en Macintosh, primero debe crear un Archivo XMLde datos personalizados
en el formato apropiado. Esta seccion describe el formato correcto para permitir que un archivo
XML de datos personalizados sea tratado sin errores.
Reglas del archivo XML de datos personalizados
184
GUÍA DE USUARIO
Los archivos XML usados para almacenar datos personalizados deben cumplir con las siguientes
reglas. Los archivos XML con datos personalizados que no cumplan con todas las reglas no se
enviaran al inventario.
• Los archivos XML de datos personalizados pueden tener cualquier nombre, pero deben
terminar con la extension .xml. Por ejemplo:
Numeros de telefono.xml
• El primer renglon de un archivo XML de datos personalizados debe ser una declaracion XML.
Por ejemplo:
<?xml version="1.0" encoding="UTF-8"?>
• Todas las pestanas de inicio dentro del archivo XML de datos personalizados deben tener su
correspondiente pestana de fin. Por ejemplo:
<Home>(123) 456-7 890</Home>
• Todas las pestanas dentro de un archivo XML de datos personalizados no deben tener
espacios. Por ejemplo:
<Phone Numbers></Phone Numbers>
• Todos los elementos dentro de un archivo XML de datos personalizados que representen un
renglon individual de informacion deben estar encerrados entre elementos principales. Por
ejemplo:
<Phone_Numbers><Home>(123) 456-7890</Home></Phone_Numbers>
• En caso de que no haya ningun contenido en un elemento de un archivo XML de datos

personalizados, el nombre del elemento no aparecera como un elemento de datos
personalizados en el inventario. Por ejemplo:
<Home></Home>
• En caso de que no haya ningun contenido en alguno de los elementos anidados dentro de un
elemento principal de un archivo XML de datos personalizados, el nombre del elemento
principal no aparecera como nodo bajo los datos personalizados del inventario. Por ejemplo:
<Phone Numbers><Home></Home><Work></Work></Phone Numbers>
Archivo XML de datos personalizados con una sola entrada
Se pueden crear archivos XML de datos personalizados para que inserten una sola entrada en la
seccion de datos personalizados del inventario. Para hacer esto, las pestanas de cada elemento de
un archivo XML de datos personalizados deben ser llamadas con la cadena de texto que se va a
mostrar en el inventario. Por lo tanto, el conjunto de elementos se debe anidar entre elementos
principales mediante pestanas con nombres que representen la cadena que se va a mostrar bajo los
datos personalizados en la vista de arbol del inventario.
Por ejemplo, si un archivo XML de datos personalizados se va a usar para agrupar numeros de
telefono, el siguiente formato XML producina el registro de inventario que se presenta a
continuacion:
<Phone Numbers>
<Work>123-456-7 8 90</Work>
<Home>(123) 456-7 890</Home>
<Home>1234567890</Home>
<Other>N/A</Other>
<Preference>Work</Preference>
</Phone Numbers>
185
ArchivoXMLde datos personalizados con varias entradas
Se pueden crear archivos XML con datos personalizados para que inserten varias entradas en la
seccion de datos personalizados del inventario. Para hacer esto, las pestanas de cada elemento de
un archivo XML de datos personalizados deben ser llamadas con la cadena de texto que se va a
mostrar en el inventario. Por lo tanto, cada conjunto de elementos se debe anidar entre elementos
principales mediante pestanas con nombres que representen la cadena que se va a mostrar bajo los
datos personalizados en la vista de arbol del inventario.
Por ejemplo, si un archivo XML de datos personalizados se va a usar para agrupar informacion
sobre los empleados, el siguiente formato XML producina el registro de inventario que se presenta a
continuacion:
<Phone Numbers>
<Work>123-456-7 8 90</Work>
<Home>(123) 456-7 890</Home>
<Home>1234567890</Home>
<Other>N/A</Other>
<Preference>Work</Preference>
</Phone Numbers>
<Addresses>
<Work_Address_1>123 Maple St.</Work_Address_1>
<Work_Address_2>Suite 550</Work_Address_2>
<Work_City>St. Louis</Work_City>
<Work_State>MO</Work_State>
<Work_ZIP_Code>63102</Work_ZIP_Code>
<Home Address 1>456 Elm Way</Home Address 1>
<Work_City>St. Louis</Work_City>
<Home_State>MO</Home_State>
<Work_ZIP_Code>63102</Work_ZIP_Code>
<Addresses>
<Employee Information>
<Title>Sales Representative</Title>
<Employee_ID>4562</Employee_ID>
<Manager>Bob Smith</Manager>
<E-Mail>John.Doe@WidgetsNMore.com</E-Mail>
<Employee Information>
186
GUÍA DE USUARIO
Directoriode datos personalizados
Cada archivo XML con datos personalizados que se va a enviar al inventario se debe guardar en el
directorio de datos personalizado, que esta localizado en /Library/Application
Support/IVANTI/CustomData de cada dispositivo que ejecuta el agente IVANTI en Macintosh.
Despues de que un archivo XML con datos personalizados se envfe al inventario, el archivo
permanecera en el directorio CustomData. Esto permite efectuar rastreos completos posteriores (y
rastreos delta habilitados con Forzar rastreo de software) que incluyan la informacion de los
archivos XML con datos personalizados que se guardaron en el directorio de datos personalizados.
Inventario
Durante la parte de un rastreo de inventario correspondiente a software, se efectua una revision

del directorio de CustomData. Cualquier archivo XML del directorio CustomData se procesara
dentro de los datos personalizados y se incluira en el rastreo de inventario que se envfe al
servidor central.
Tipos de rastreo de inventario
Los archivos XML con datos personalizados que esten en el directorio CustomData se procesan
durante todos los rastreos completos, y tambien durante rastreos de delta que incluyan exploracion
de software.
Registro de inventario
La parte de un rastreo de inventario que busca y procesa archivos XML con datos personalizados
se registra en IVANTI.log como ldscan: Explorar en busca de datos personalizados. Si los archivos
XML con datos personalizados del directorio CustomData estan formateados correctamente, no
habra ninguna entrada adicional en IVANTI.log en cuanto a datos personalizados. Sin embargo, si
hay un error, este sera registrado en IVANTI.log como ldscan: Error al abrir o cargar el archivo
CustomData:filename.xml como XML.
Un error de procesamiento de un archivo XML con datos personalizados no evitara que sean
procesados otros archivos de este tipo que esten guardados en el directorio de datos
personalizados. De la misma manera, los errores de procesamiento de archivos XML con datos
personalizados no impediran que se efectue un rastreo de inventario o que se envfe al servidor
central.
187
Inventario en el servidor central
La informacion de datos personalizados del inventario, en un dispositivo que ejecute el agente

IVANTI en Macintosh, se actualizara cuando los archivos XML con datos personalizados que
contienen la informacion sean actualizados y un rastreo de inventario que actualice los datos
personalizados sea ejecutado en el cliente.
Tenga presente que la informacion sobre datos personalizados que se elimine de los archivos XML
con datos personalizados no se eliminara de los registros de inventario del servidor central. Para
eliminar informacion de datos personalizados no deseada de un registro de inventario del servidor
central, elimine el registro yenvfe un nuevo rastreo completo desde el dispositivo que el registro
representaba.
Solucion de problemas relativos al rastreador de inventario

En esta seccion se describen problemas del rastreador de inventario habituales y soluciones
posibles.
El rastreador de inventario no funciona correctamente
• Asegurese de que no incluye las opciones antiguas/DELLo/CPQen la lfnea de comandos. Ya

no se admiten estas opciones.
• Rastree un archivo con el parametro/O=. Puede dar lugar a un conflicto con la tarjeta de red o
la red.
El hardware de un dispositivo realiza correctamente los rastreos, pero el software asociado no
• Compruebe que la base de datos central se ha configurado para que realice un rastreo de
software ahora y utilice el parametro /f para forzar un rastreo de software.
• Rastree un archivo con el parametro /O=. Aparecera una lista de todo el software al final del
archivo.
La vista de red proporciona datos de inventario solo para determinados dispositivos
Para ver la informacion del dispositivo, asegurese de que los dispositivos se han rastreado en la
base de datos central. Los dispositivos que aparezcan sin informacion no se han rastreado en la
Para ver los datos de inventario del dispositivo en la vista de red
1. Configure el dispositivo.
2. Rastree el dispositivo en la base de datos central.
Especificacion del numero de dias que desea mantener los rastreos de inventario
De manera predeterminada, el servidor central mantiene los rastreos de inventario para los
dispositivos hasta que los elimine. El servidor central puede eliminar los rastreos de inventario para
los dispositivos si el dispositivo no ha enviado un rastreo durante el numero de dfas especificado.
Al hacer esto se pueden eliminar los dispositivos que no se encuentran mas en la red.
188
GUÍA DE USUARIO
Para especificar el numero de revisiones de archivo que desea mantener en la base de datos central
1. Haga clicen Configurar > Servicios > Inventario.

2. Especifique la cantidad de dâs que desea mantener los rastreos de inventario.
Ayuda de Inventario
Acerca de la ventana Inventario
Utilice la ventana Inventario para visualizartodo el inventario de un dispositivo, incluidos los

siguientes componentes:
• BIOS: Tipo, fecha, bytes de Id., fabricante, version de ROM, version de SMBIOS y el modelo
del sistema para el BIOS. El BIOS reside de forma permanente en la memoria de solo lectura
(ROM) del equipo y permite que la memoria de este, las unidades de disco y el monitor se
comuniquen. En la ventana Inventario aparece informacion adicional del BIOS como cadenas
de texto BIOS. Para very buscar las cadenas de texto BIOS, expanda el objeto BIOS,
seleccione Cadenas BIOS, haga clic con el boton derecho en el atributo de Datos y
seleccione Propiedades y, a continuacion, haga clic en Valores ampliados. Durante un
rastreo de inventario, se exportan las cadenas de texto disponibles en el BIOS a un archivo
de texto, LDBIOS.TXT. Puede configurar una consulta en el archivo LdAppl3.ini que extraiga
una o varias cadenas de texto del BIOS a la consola.
• Bus: el tipo de bus. El bus conecta el microprocesador, las unidades de disco, la memoria y
los puertos de entrada/salida. Los tipos de bus pueden ser ISA, EISA, bus local VESA, PCI y
USB.
• Coprocesador: el tipo de coprocesador, si existe. Aunque es distinto que el microprocesador
principal, puede encontrarse en la misma motherboard o incluso el mismo chip. El
coprocesador matematico evalua las operaciones de punto flotante para el microprocesador
principal.
• Datos personalizados: cualquier dato personalizado que se haya habilitado en el rastreador
de inventario.
• Base de datos: controlador e informacion de la version de la base de datos.
• Entorno: las ubicaciones de archivo, ruta de comando, indicador del sistema y demas
variables del entorno Windows.
• Estado de integridad: la integridad de dispositivo como lo haya determinado el agente de
IVANTI.
• Teclado: el tipo de teclado conectado al dispositivo. Actualmente, el tipo mas utilizado es el
teclado mejorado de IBM. El teclado utiliza el lenguaje de pagina de codigos.
• IVANTI Management: informacion sobre los agentes, el administrador de clientes y Alert
Management System (AMS). Asimismo, contiene informacion sobre el rastreador de
inventario y los archivos de inicializacion.
• Usuarios y grupos locales: los grupos locales de usuarios de Windows y membreda de
189
grupo.
• Almacenamiento masivo: los dispositivos de almacenamiento del equipo, incluidos los
discos duros, unidades de disquete, unidades logicas y de cinta y CD-ROM. Entre los objetos
de disco duro y unidad de disquete, se encuentran los atributos de almacenamiento total,
sector, numero ycabezal.
• Memoria: los atributos de memoria virtual, ffsica y archivo de paginacion. Todos estos
objetos de memoria incluyen atributos de bytes. El primer byte representa la cantidad de
memoria disponible. El segundo es la memoria total.
• Modems: Informacion del modem que incluye fabricante, modelo, numero y puerto.
• Placa base: informacion de la placa base, como la velocidad del bus y la informacion sobre la
ranura.
• Raton: el tipo de raton conectado al dispositivo. En los valores de tipo de raton, se
encuentran PS/2, serie e infrarrojos.
• Archivos de multimedia: el numero de archivos con extensiones que coincidan con los tipos
comunes de archivos multimedia (.jpg, .mp3, etc.) y la cantidad de espacio que utilizan estos
archivos.
• Red: el adaptador de red, direccion NICy la informacion de direccion del nodo del adaptador.
El objeto Red incluye informacion de cada protocolo
• Adaptadores de red: los atributos de cada adaptador de red instalado en el dispositivo.
• SO: el sistema operativo, controladores, servicios y puertos. Estos objetos y sus atributos
vanan en funcion de las configuraciones de los servicios y controladores cargados.
• Puertos: los objetos de cada puerto de salida del equipo (serie y paralelo). Cada puerto de
salida contiene atributos de direccion y nombre. El atributo de direccion incluye la direccion
de hardware del puerto.
• Administration de eneâ: Configuracion de la administracion de energfa en el dispositivo.
• Impresoras: los objetos de cada impresora conectada al equipo, ya sea directamente o en
red. Entre estos objetos, se incluyen atributos de puerto, numero, nombre ycontrolador. El
atributo de puerto contiene la cola de red o el puerto al que la impresora se encuentra
conectada.
• Procesador: los atributos de la CPU del dispositivo. Detecta procesadores Intel, Motorola
680x0 y PowerPC.
• Recursos: los objetos de cada recurso de hardware del equipo. Todos estos objetos
contienen atributos que describen el tipo del que se trata y los puertos o interrupciones que
utiliza.
• Seguridad: Software y version de antivirus.
• Software: los objetos de cada aplicacion de software instalada en la unidad de disco duro del
dispositivo. Cada objeto enumera los atributos que suelen contener el nombre del software,
la ubicacion yel numero de version.
• Sistema: informacion de placa base y chasis.
• Capacidad del sistema: Las tecnologfas miscelaneas de los sistemas, tales como la
190
GUÍA DE USUARIO
capacidad de ASIC o software de equipos virtuales.

• ThinkVantage Technologies: informacion de software de tecnologfas ThinkVantage de
Lenovo.
• V^deo: los objetos de cada adaptador de v^deo en el dispositivo. El objeto de adaptador de
vfdeo suele contener atributos que describen la resolucion y el numero de colores admitidos.
Acerca del cuadro de dialogo Propiedades de atributos de inventario
Utilice este cuadro de dialogo para ver las propiedades de un atributo. La pestana
Caracteristicas muestra la informacion siguiente. Es probable que no aparezcan todos los
campos, en funcion del atributo y de si esta agregando, editando o visualizando un atributo.
• Nombre: el nombre del atributo de la base de datos central, cuyas propiedades esta
visualizando.
• Valor: el valor asignado a este atributo de inventario.
• Definido por el usuario: indica si el usuario ha definido el atributo seleccionado o no. Esta
opcion no se puede modificar.
• Especificacion de formato (Solo numeros): anotacion que se utiliza para mostrar el valor de
la forma adecuada. Por ejemplo, %d MB muestra el valor del atributo sin valores decimales;
mientras que %,1f MB muestra el valor con el primer punto decimal flotante en unidades de
MB. Si no se introduce ningun valor de factor, esta especificacion de formato debe describir
valores numericos (%d). Si se introduce un valor de factor, esta especificacion de formato
debe describir valores de punto flotante (%f).
• Factor (Solo numeros enteros): valor numerico que se utiliza para dividir el atributo en
unidades. Si cambia el valor de este factor, debe introducir el codigo adecuado en el campo
especificador de formato. Por ejemplo, para ver la cantidad de megabytes si el atributo se ha
registrado en kilobytes, introduzca el valor 1000.
• Valor formateado: Texto de ejemplo que muestra el formato y el factor especificado.
Acerca del cuadro de dialogo Configuracion de cambios del inventario
Utilice este cuadro de dialogo para seleccionar los atributos de inventario que se registraran
siempre que se produzcan cambios en dispositivos individuales, asf como para determinar donde
se registran los mismos.
• Inventario actual: enumera todos los objetos almacenados en la base de datos central. Haga
clic en un objeto para mostrar sus atributos en la lista Registrar los eventos en. Expanda un
grupo de objetos para ver los objetos de datos incluidos.
• Registrar los eventos en: enumera los atributos del objeto de inventario seleccionado en la
lista de Inventario actual.
Para definir donde se registran los cambios de inventario, seleccione un atributo y active una
o varias opciones. Seleccione la opcion Inventario para registrar los cambios de inventario
en el cuadro de dialogo Historial de cambios del inventario del dispositivo. Seleccione la
opcion Registro de NT para registrar cambios de inventario en el registro de eventos de
Windows NT. Seleccione la opcion AMS para enviar los cambios de inventario como una
191
alerta a traves de AMS (configure estas alertas con la herramienta Configuracion de alertas.
• Gravedad de alertas/registro: enumera todas las opciones de prioridad de alertas. Esta
funcion se encontrara atenuada hasta que se seleccione un atributo. Puede seleccionar un
nivel de gravedad de Ninguno, Informacion, Advertencia o Crftico.
Acerca del cuadro de dialogo Historial de cambios del inventario
Utilice este cuadro de dialogo para ver los cambios en el inventario de un dispositivo. Desde este
cuadro de dialogo, puede tambien imprimiry exportar el historial de cambios.
• Nombre de dispositivo: muestra el nombre del dispositivo seleccionado en la vista de red de
la consola del cual se ha solicitado informacion sobre cambios de inventario.
• Componente: identifica el componente del sistema que ha cambiado. (Aqm solo pueden
aparecer los componentes seleccionados en el cuadro de dialogo Configuration de cambios
del inventario.)
• Atributo: identifica el atributo del componente espedfico que se esta registrando.
• Hora: indica el momento en que se ha producido el cambio.
• Valor nuevo: muestra el valor nuevo (modificado) para el atributo enumerado.
• Valor antiguo: muestra el valor antiguo (anterior) del atributo de la lista.
• Imprimir: abre un cuadro de dialogo de impresion estandar desde donde puede imprimir el
contenido del historial de cambios del inventario.
• Exportar: abre un cuadro de dialogo Guardar como en el cual puede elegir un nombre y
ubicacion para el archivo CSVexportado, el cual contiene el historial de cambios del
inventario.
NOTE: El cuadro de dialogo de Historial de cambios del inventario muestra el historial en orden cronologico.
Puede ordenar los datos haciendo clic en los encabezados de las columnas.
Acerca del cuadro de dialogo Crear/Modificar formulario de datos personalizados
Los formularios de datos personalizados no se admiten en IVANTI Security Suite

Los formularios de datos personalizados no estan disponibles con la licencia que solamente
incluye IVANTI Security Suite. Debe poseer un licencia completa de IVANTI Endpoint Manager a
fin de utilizar la funcion de formularios de datos personalizados.
Utilice este cuadro de dialogo para crear o modificar un formulario de datos personalizados.
• Nombre de formulario: identifica el formulario yaparece en el visor de formularios cuando un

usuario lo rellena.
• Description: proporciona informacion adicional a los usuarios sobre el formulario.
• Agregar: abre el cuadro de dialogo Agregar pregunta en el cual puede crear una pregunta
para el formulario.
• Editar: abre el cuadro de dialogo Modificar pregunta, en el cual puede modificar cualquiera de
las opciones de la pregunta.
• Eliminar: quita la pregunta del formulario.
192
GUÍA DE USUARIO
• Salto de pagina: controla el aspecto del formulario, ya que agrega saltos de pagina para
agrupar preguntas por paginas. Cuando se produce un salto de pagina, los usuarios deben
hacer clic en el boton Siguiente, para continuar con las preguntas de la pagina posterior.
NOTE: Cada pagina puede tener nueve preguntas como maximo.
• Vista previa: abre el formulario, de modo que puede ver el aspecto quetendra para los
usuarios. En este modo, no tiene que rellenar ningun dato y no se guardara nada de lo que
introduzca.
Acerca del cuadro de dialogo Agregar/Modificar pregunta
Utilice este cuadro de dialogo para crear o modificar preguntas que aparezcan en un formulario de
datos personalizados. Estos formularios contienen preguntas y un espacio para que los usuarios
introduzcan las respuestas. Primero, identifique la pregunta:
• Texto de la pregunta: descripcion en una lmea de lo que se pregunta. Este texto aparecejunto
al campo de datos.
• Nombre del inventario: nombre del campo de la base de datos central. Si desea consultar la
base de datos central en relacion con este elemento, debe hacerlo con la Id. de la etiqueta.
• Descripcion: informacion adicional que aparece cuando los usuarios hacen clic en Ayuda (o
pulsan F1 mientras se encuentran en este campo de datos de la pregunta).
Asimismo, necesita especificar que tipo de campo de datos (control) desea ver junto a cada
pregunta y si este es obligatorio. Los campos de datos disponibles son:
• Cuadro de modification: los usuarios escriben respuestas en un cuadro de texto modificable.

• Cuadro combinado (lista de edition): los usuarios seleccionan uno de los elementos de lista
predefinidos o escriben en uno nuevo propio.
• Cuadro combinado (lista fija): los usuarios seleccionan uno de los elementos de lista
predefinidos.
• Hacer que el campo sea obligatorio: obliga al usuario a responder la pregunta. El usuario no
podra finalizar un formulario ni desplazarse a la pagina siguiente mientras no responda los
campos obligatorios.
Acerca del cuadro de dialogo Agregar elementos
Utilice este cuadro de dialogo para agregar elementos a una lista desplegable que el usuario puede
elegir al responder a dicha pregunta en un formulario.
• Nombre de elemento: identifica el elemento. Dicho nombre aparecera en la lista de la

pregunta.
• Lista de elementos: enumera todos los elementos que aparecen en la lista de la pregunta.
• Insertar: incluye el elemento en la lista Elementos.
• Eliminar: quita el elemento de la lista Elementos.
193
Acerca del cuadro de dialogo Seleccionar varios formularios para su distribucion
Utilice este cuadro de dialogo para crear un grupo de formularios que muestre el nombre del mismo
y enumere los formularios disponibles que pueden formar parte de el.
• Nombre de grupo: identifica el grupo en la ventana Formularios de datos personalizados.

. Formularios disponibles: enumera todos los formularios disponibles que puede agregar al
grupo.
• Aceptar: guarda el grupo ycierra el cuadro de dialogo.
• Cancelar: cierra el cuadro de dialogo sin guardar el grupo.
194
GUÍA DE USUARIO
Queries/Directory manager
Consultas de base de datos
Las consultas son busquedas personalizadas realizadas en los dispositivos administrados. IVANTI
Endpoint Manager provee un metodo para consultar en busca de dispositivos que se han rastreado
en la base de datos central a traves de consultas a la base de datos, al igual que ofrece un metodo
para consultar en busca de dispositivos ubicados en otros directorios a traves de consultas de
LDAP. Las consultas de bases de datos seven, crean y organizan con los grupos de consultas de la
vista de red de la consola.
Las consultas facilitan la administracion de la red, ya que permiten buscary organizar dispositivos
de red, en la base de datos central, en funcion del sistema operativo y los criterios de busqueda
especificados por el usuario.
Por ejemplo, puede creary ejecutar una consulta que capture solo los dispositivos con una
velocidad de reloj de procesador inferior a 2 GHz o con menos de 1024 MB de RAM o un disco duro
inferior a 20 GB. Cree una o varias instrucciones de consulta que representen dichas condiciones y
relacione las instrucciones entre sf utilizando operadores logicos estandar. Al ejecutar las
consultas, puede imprimir los resultados de la consulta y accedery administrar los dispositivos que
coincidan.
Grupos de consultas
Las consultas se pueden organizar en grupos en la vista de red. Para crear consultas nuevas (y
grupos de consultas nuevos), haga clic con el boton derecho en el grupo Mis consultas
yseleccione Nueva consulta o Nuevo grupo, respectivamente.
El administrador de Endpoint Manager (usuario con derechos de administrador de Endpoint

Manager) puede ver el contenido de todos los grupos de consultas, que incluyen Mis consultas,
Consultas publicas yd Todas las consultas.
Si otros usuarios de Endpoint Manager inician una sesion en la consola, podran ver las consultas
en los grupos Mis consultas, Consultas publicas y Todas la consultas segun el ambito del
dispositivo.
Al mover una consulta a un grupo (haciendo clic con el boton derecho yseleccionando Agregar a
nuevo grupo o Agregar a grupo existente o al arrastrary colocar la consulta), se esta creando una
copia del consulta. Puede quitar la copia de cualquier grupo de consultas; la copia maestra de la
consulta (en el grupo Todas las consultas) no se vera afectada. Si desea eliminar la copia maestra,
puede hacerlo desde el grupo Todas las consultas.
195
Crear una consulta de base de datos

Utilice el cuadro de dialogo Nueva consulta para crear una consulta seleccionando atributos,
operadores relacionales y valores de atributo. Cree una instruccion de consulta seleccionando un
atributo de inventario y relacionandolo a un valor aceptable. Relacione de forma logica las
instrucciones de consulta entre sf para garantizar que se evaluan como grupo antes de relacionarlas
a otras instrucciones o grupos.
Para crear una consulta de base de datos
1. En la vista de red de la consola, haga clic con el boton derecho en el grupo Mis consultas (o
en Consultas publicas si tiene derechos de administracion de consultas publicas) y luego
haga clic
en Nueva consulta.
2. Introduzca un nombre exclusivo para la consulta.
3. Seleccione un componente de la lista de atributos de inventario.
4. Seleccione un operador relacional.
5. Seleccione un valor de la lista de valores. Puede modificar un valor.
6. Haga clic en Insertar para agregar la instruccion a la lista de consultas.
7. Para realizar una consulta de mas de un componente, haga clic en un operador logico (Y, O)
y repita los pasos del 2 al 5.
8. (Opcional) Para agrupar instrucciones de consulta para que se evaluen como grupo,
seleccione
dos o mas instrucciones de consulta y haga clic en Agrupar( ).
9. Una vez que haya finalizado de agregar instrucciones, haga clic en Guardar.
Ejecutar una consulta de base de datos

Para ejecutar una consulta
1. En la vista de red, expanda los grupos de consultas para localizar la consulta que desea
ejecutar.
2. Haga doble clic en la consulta. O bien, haga clic con el boton derecho del raton y seleccione
Ejecutar.
3. Los resultados (dispositivos coincidentes) se muestran en el panel derecho de la vista de
red.
Importar y exportar consultas

Puede utilizar la importacion y exportacion para transferir consultas de una base de datos central a
otra. Se puede importar:
• Endpoint Manager consultas exportadas de 8y9

• Consultas XML exportadas por la consola Web
Para importar una consulta
1. Haga clic con el boton derecho del raton en el grupo de consultas en el que desea situar la
196
GUÍA DE USUARIO
consulta importada.
2. Seleccione Importar en el menu contextual.

3. Vaya a la consulta que desea importary seleccionela.
4. Haga clic en Abrir para agregar la consulta al grupo seleccionado en la vista de red.
Para exportar una consulta
1. Haga clic con el boton derecho del raton en la consulta que desea exportar.
2. Seleccione Exportar en el menu contextual.
3. Vaya a la ubicacion en la que desea guardar la consulta (como archivo .ldms).
4. Escriba un nombre para la consulta.
5. Haga clic en Guardar para exportar la consulta.
Consultas LDAP
Ademas de permitir la consulta de la base de datos central, Endpoint Manager tambien proporciona
la herramienta de directorios, la cual permite ubicar, tener acceso y administrar dispositivos en
otros directorios a traves de LDAP (Protocolo ligero de acceso a directorios).
Se pueden realizar consultas en dispositivos en funcion de atributos espedficos, como el tipo de

procesador o el SO. Asimismo, puede realizar consultas en funcion de atributos de usuario
espedficos, como el identificador o el departamento del empleado.
Para obtener informacion sobre como creary ejecutar consultas de bases de datos a partir de los
grupos de consultas de la vista de red, vease "Consultas de base de datos" (196)
Configuracion de directorios LDAP

Utilice el cuadro de dialogo Fuente del Active Directory para administrar los directorios LDAP que
usa con IVANTI Endpoint Manager. El servidor, nombre de usuario y contrasena de LDAP que
introduzca se guardaran y usaran cuando explore o ejecute consultas en el directorio. Si cambia la
contrasena del usuario configurado en el directorio LDAP, tambien debe cambiar la contrasena en
este cuadro de dialogo.
NOTE: La cuenta que configure en el administrador de directorios debe poder leer los usuarios, equipos y
grupos que se utilizan en la administracion con LDMS.
Para configurar un directorio nuevo
1. Haga clic en Configurar > Administrar fuentes de Active Directory.

2. Haga clic en Agregar.
197
3. Introduzca el nombre DNS del servidor de directorio en el campo LDAP://.

4. Introduzca el Nombre de usuarioy la Contrasena.
O NOTE: Si esta usando Active Directory, introduzca el nombre como <nombre-de-dominio>\<nombre-de-

usuario-nt>. Si esta usando otro servicio de directorio, introduzca el nombre exclusivo de usuario.
5. Haga clic en Aceptar para guardar la informacion. La informacion que introduzca se verifica
contra el directorio antes de que se cierre el cuadro de dialogo.
Modificacion de una configuracion de directorio existente

2. Haga clic en el directorio que desee.
3. Haga clic en Modificar.
4. Modifique el servidor, nombre de usuario o contrasena como lo desee
5. Haga clic en Aceptar para guardar la informacion. La informacion se verifica contra el
directorio antes de que se cierre el cuadro de dialogo
Para eliminar una configuracion de un directorio existente

2. Haga clic en el directorio que desee.
3. Haga clic en Eliminar.
O NOTE: Cuando se quite el directorio, se eliminaran todas las consultas LDAP que lo esten usando.
Crear una consulta de directorio LDAP

La tarea de creacion de una consulta de un directorio ysu almacenamiento se divide en dos
procedimientos:
Para seleccionar un objeto en el directorio LDAP e iniciar una consulta nueva
1. Desde la vista Vista de red, haga clic en Directorio > (el directorio activo configurado) >
Explorar directorio.
2. Haga clic con el boton derecho en el directorio LDAPyen Nueva consulta. Creara una
consulta LDAP que devuelva resultados desde este punto en el arbol de directorio.
3. Aparece el cuadro de dialogo Consulta LDAP basica.
Para crear, probar y guardar la consulta
1. En el cuadro de dialogo Consulta LDAP basica, haga clic en el atributo que servira de criterio
para la consulta en la lista de atributos de directorio (ejemplo = departamento).
2. Haga clic en algun operador de comparacion de la consulta (=, <=, >=).
198
GUÍA DE USUARIO
3. Escriba un valor para el atributo (ejemplo departamento = ingeniena).

4. Para crear una consulta compleja que combine varios atributos, seleccione un operador de
combinacion (Y u O) y repita los pasos del 1 al 3 tantas veces como desee.
5. Tras crear la consulta, haga clic en Insertar.

6. Para probar la consulta completada, haga clic en Probar consulta.
7. Para guardar la consulta, haga clic en Guardar. La consulta guardada aparecera por nombre
en Consultas guardadas en el panel de directorios del administrador de directorios.
Acerca de la vista Red de directorios

Utilice la carpeta Directorios de la Vista de red para realizar las siguientes tareas:
• Administrar directorio: Abre el cuadro de dialogo Propiedades del directorio en el que se

identifica yse inicia una sesion en un directorio LDAP.
• Quitar directorio: Quita el directorio seleccionado del panel de vista previa y deja de
administrarlo.
• Actualizar vista: Vuelve a cargar la lista de directorios administrador y usuarios de destino.

• Iniciar la vista de organizacion
• Nueva consulta: Abre el cuadro de dialogo Consulta LDAP en el que podra crear y guardar un
consulta LDAP.
• Eliminar consulta: Elimina la consulta seleccionada.

• Propiedades: Consulte las propiedades del objeto seleccionado.
Puede arrastrar los grupos LDAPy las consultas LDAP guardadas convirtiendolas en destinos de
tareas.
Acerca del Protocolo ligero de acceso a directorios (LDAP)

Acerca del cuadro de dialogo Consulta LDAP basica
• Ra^z de consulta LDAP: Seleccione un objeto rafz en el directorio para esta consulta
(LDAP://ldap.xyzcompany.com/ou = America.o = xyzcompany). La consulta que cree
devolvera los resultados desde este punto en el arbol.
• Atributos de LDAP: Seleccione los atributos para los objetos de tipo de usuario.
• Operador: Seleccione el tipo de operacion que desea realizar en relacion un objeto LDAP,
sus atributos y los valores de atributo, incluidos igual a (=), menor o igual a (<=) mayor o
igual a (>=).
• Valor: Especifica el valor asignado al atributo de un objeto LDAP.
• AND/OR/NOT: Operadores booleanos que puede seleccionar para las condiciones de la

consulta.
• Probar consulta: Ejecuta una prueba de la consulta creada.
199
• Guardar: Guarda la consulta creada por nombre.

. Avanzada: Crea una consulta utilizando elementos de una consulta LDAP basica pero de
forma libre.
• Insertar: Inserta una lmea de criterios de consulta.
• Eliminar: Elimina la lmea de criterios seleccionada.
• Borrar todo: Borra todas las lmeas de criterios de busqueda.
Acerca del cuadro de dialogo consulta LDAP avanzada

En el cuadro de dialogo Consulta LDAP basica, haga clic en Avanzada para abrir el cuadro de
dialogo Consulta LDAP avanzada, que muestra lo siguiente:
• Ra^z de consulta LDAP: Le permite seleccionar un objeto rafz en el directorio de esta
consulta. La consulta que cree devolvera los resultados desde este punto en el arbol.
• Consulta LDAP: Le permite crear una consulta utilizando los elementos basicos de una
consulta LDAP, pero de una manera libre.
• Ejemplos: Muestra los ejemplos de consulta que se pueden utilizar como grna para crear una
consulta propia de forma libre.
• Probar consulta: Le permite ejecutar una prueba de la consulta creada.
Aparece el cuadro de dialogo Consulta LDAP avanzada cuando modifique una consulta que ya
estaba creada. Asimismo, si selecciona un grupo LDAP en el administrador de directorios y luego
crea una consulta de ese punto, aparece el cuadro de dialogo Consulta LDAP avanzada con una
consulta predeterminada que responde con los usuarios que son miembros del grupo. No puede
modificar la sintaxis de esta consulta predeterminada, solo guardarla.
Acerca del cuadro de dialogo Fuente del Active directory

Haga clic con el boton derecho sobre el elemento Directorio de la Vista de red y haga clic en
Administrar directorio para abrir el cuadro de dialogo Fuente de Active directory. Este cuadro de
dialogo permite iniciar la administracion de un directorio nuevo o ver las propiedades del directorio
administrado actual. Si hace clic en los botones Agregar o Editar, podra visualizar el cuadro de
dialogo Fuente de Active directory, donde podra introducir la informacion de Active directory.
• Ruta del directorio: Le permite especificar el directorio LDAP que se va a administrar. Un
ejemplo de directorio LDAPy la sintaxis correcta es ldap.<nombreempresa>.com. Por
ejemplo, puede escribir ldap.xyzcompany.com.
• Autenticacion: Le permite iniciar sesion como el usuario siguiente (es decir, se especifica
una ruta y nombre de usuario y la contrasena de usuario).
Acerca del cuadro de dialogo Guardar consulta LDAP

En el cuadro de dialogo Consulta LDAP basica, haga clic en Guardar para abrir el cuadro de dialogo
Guardar consulta LDAP, el cual muestra lo siguiente:
• Elegir un nombre para esta consulta: Le permite elegir un nombre para la consulta que creo.
200
GUÍA DE USUARIO
• Ra^z de consulta LDAP de detalles: Le permite crear una consulta utilizando los elementos
basicos de una consulta LDAP, pero de una manera libre.
• Consulta LDAP de detalles: Muestra los ejemplos de consulta que se pueden utilizar como
gma para crear una consulta propia de forma libre.
• Guardar: Le permite guardar la consulta creada por nombre. La consulta se guarda en
Consultas guardadas en la entrada del directorio LDAP en el panel de directorios del
administrador de directorios.
Acerca del cuadro de dialogo Nueva consulta

Este cuadro de dialogo permite crear una consulta nueva con las funciones siguientes:
• Nombre: Identifica la consulta en grupos de consulta.

• Componentes de maquina: Enumera los componentes y atributos de inventario que la
consulta puede explorar.
• Operadores relacionales: Enumera los operadores relacionales. Estos operadores
determinan los valores de descripcion para un componente determinado que satisfaga los
criterios de la consulta.
El operador Como es un operador relacional. Si el usuario no especifica ningun comodfn
(16) en la consulta, el operador Como agrega comodines a ambos extremos de la cadena. A
continuacion se muestran tres ejemplos de uso del operador Como:
Computer.Display Name COMO consultas de "Equipo de Juan" para: Equipo.Nombre de pantalla COMO
"%Equipo de Juan"
Equipo.Nombre de pantalla COMO consultas de "Equipo de Juan*" para: Equipo.Nombre de pantalla COMO
"Equipo de Juan%"
Equipo.Nombre de pantalla COMO consultas de "*Equipo de Juan" para: Computer.Display Name COMO
"%Equipo de Juan"
• Mostrar los valores rastreados: Enumera los valores aceptables para el atributo de inventario
seleccionado. Asimismo, puede introducir manualmente un valor adecuado o modificar un
valor seleccionado, con el campo Modificar valores. Si el operador relacional seleccionado
es Existe o No existe, no sera posible ningun valor de descripcion.
• Operador logico: Determina la relacion logica de las instrucciones de consulta entre sf:
• Y: El valor de la instruccion de consulta anterior y la instruccion que se introduzcan
16 Insertar: Inserta la instruccion nueva en la lista de consultas y la relaciona logicamente con

otras instrucciones en funcion del operador logico de la lista. Este boton no se puede
seleccionar hasta que haya creado una instruccion de consulta aceptable.
• Editar: Permite modificar la instruccion de consulta seleccionada. Cuando haya finalizado de
realizar los cambios, haga clic en el boton Actualizar.
NOTE: Las instrucciones se ejecutan en el orden mostrado
Si no se realizan agrupaciones, las instrucciones de consulta enumeradas en el cuadro de dialogo se
ejecutan en su totalidad. Asegurese de agrupar los elementos de consulta relacionados para que se evaluen
como grupo; de lo contrario, los resultados de la consulta pueden ser diferentes a los esperados.
201
deben sertrue para satisfacer la consulta.

• O: El valor de la instruccion de consulta anterior o la instruccion que se debe insertar
debe sertrue para satisfacer la consulta.
• Insercion multiple: Le permite insertar varios valores de un componente en la
consulta, en lugar de seleccionar valores de la lista e insertar uno a la vez. Pegue una
lista de valores en el cuadro y luego especifique el delimitador que separa los valores.
Haga clic en el boton Analizar para ver los valores analizados. Si los datos son
correctos, haga clic en Insertar para agregar los valores a la consulta.
• Eliminar: Elimina la instruccion seleccionada de la lista de consultas.
• Borrar todo: Elimina todas las instrucciones de la lista de consultas.
• Lista de consultas: Enumera las instrucciones insertadas en la consulta y su relacion logica
con el resto de instrucciones incluidas en la lista. Las instrucciones agrupadas estan
rodeados de parentesis.
• Grupo (): Agrupa las instrucciones seleccionadas para que se evaluen entre sf antes de que
lo hagan con otras instrucciones.
• Desagrupar: Desagrupa las instrucciones agrupadas seleccionadas.
• Filtros: Abre el cuadro de dialogo Filtro de consulta que muestra los grupos de dispositivos.
Al seleccionar grupos de dispositivos, limita la consulta a los dispositivos contenidos en los
grupos seleccionados. Si no selecciona ningun grupo, la consulta ignorara la pertenencia al
grupo.
• Seleccione las columnas: Permite agregar y quitar columnas que aparecen en la lista de
resultados de la consulta. Seleccione un componente y, a continuacion, haga clic con el
boton de flecha derecha para agregarlo a la lista de columnas. Puede modificar manualmente
el texto de alias yorden; los cambios realizados apareceran en la lista de resultados de
consultas.
• Calificador: El boton Calificador se utiliza para limitar los resultados de las relaciones de uno
a varios en la base de datos; sin el, el mismo equipo figura varias veces en la lista en el
conjunto de resultados. Por ejemplo, si desea consultar la version de Microsoft Word que se
encuentra instalada en cada dispositivo de la organizacion, inserte
Computer.Software.Package.Name = 'Microsoft Word' en el cuadro de consulta y seleccionar
Computer.Software.Package.Version en la lista Seleccionar columnas. No obstante, si
solamente se enumera la version de software, se mostrara cada version de cada programa de
software instalado en cada dispositivo, lo cual no es recomendable. La solucion consiste en
limitar (o calificar) la version a Microsoft Word solamente. Haga clic en el boton Calificar para
insertar Computer.Software.Package.Name = "Microsoft Word". Se devolveran solamente las
versiones de Microsoft Word.
• Guardar: Guarda la consulta actual. Al guardar una consulta antes de ejecutarla, la
consulta se almacena en la base de datos central y permanece en ella hasta que se elimine
de forma explfcita.
202
GUÍA DE USUARIO
Auditing
Bienvenido a auditorias
La herramienta de auditona examina la actividad del usuario de la consola y almacena la
informacion de auditona en la base de datos central y, opcionalmente, en el registro de eventos de
Windows.
La herramienta de auditona no esta habilitada ni es visible de forma predeterminada. Para poder

utilizar la herramienta de auditona, primero debe conceder derechos de configuracion de auditona a
algun usuario y luego configurar que actividades desea auditar.
Si no ha configurado ninguna auditona, solo se examinan los cambios de configuracion de

auditona, como dar o quitar derechos de auditona.
Para obtener mas informacion, consulte las siguiente secciones adicionales:
• "Configurar las auditonas" (204)

• "Enviar eventos de auditona al Visor de eventos de Windows" (207)
• "Ver eventos de auditona" (209)
• "Creacion de filtros para consultas de eventos de auditona" (210)
Configurar las auditorias

La herramienta de auditona no esta habilitada ni es visible de forma predeterminada. Para poder ver
la herramienta de auditona o hacer cambios de configuracion en las auditonas, un administrador
debe asignarle el rol de auditor o de configuracion de auditonas.
Hay dos roles de auditonas:
• Configuracion de auditorias: Los usuarios con este rol pueden configurar lo que se va a
auditar. Este rol tambien incluye los derechos del rol de auditor, de manera que los usuarios
con esta funcion tambien pueden consultar la herramienta de auditona y ver datos de
auditona.
• Auditor: Los usuarios con esta funcion pueden ver datos de auditona y crear consultas
personalizadas de auditona, pero no pueden cambiar lo que se audita.
Existen tres pasos principales para configurar las auditonas:

1. Conceder a un usuario el rol de configuracion de auditona
203
2. Configurar lo que se audita

3. Asignar el rol de auditor a usuarios adicionales si fuera necesario
Para conceder a un usuario el rol de configuracion de auditona
1. Haga clicen Herramientas > Administracion > Administration de usuarios.

2. En el arbol de Roles, haga doble clic en Configuracion de auditorias.
3. En la pagina Usuarios y grupos, seleccione a los usuarios que tendran el rol de configuracion
de auditona.

5. Haga que el usuario de la consola a quien se le dio el rol de auditona reinicie la consola para
que pueda ver la herramienta de auditona. Los derechos y roles de usuario se cargan una vez
que la consola se inicie, lo cual hace que sea necesario reiniciar la consola.
204
GUÍA DE USUARIO
Para configurar lo que se va a auditar
1. Haga clic en Herramientas > Configuration de servicios.

2. En el cuadro de dialogo Configurar servicios de software de IVANTI, haga clic en la ficha
Configuracion de auditonas. Si no ve esta ficha, asegurese de tener el rol de configuracion
de auditonas y de que se haya reiniciado la consola despues de haber recibido ese rol.
3. Seleccione las funciones o subfunciones de la consola que desee

auditar.
205

5. Haga clic en Herramientas > Administracion > Auditona para ver los datos de auditona.
O NOTE: Puede tomar hasta dos minutos para que los cambios en la opcion Escribir eventos de auditoria en
el registro de eventos surta efecto. Puede reiniciar la consola si no desea esperar.
Para asignarles roles de auditoria a otros usuarios

2. En el arbol de Roles, haga doble clic en Auditor.
3. En la pagina Usuarios y grupos, seleccione a los usuarios que tendran el rol de auditor.
5. Haga que esos usuarios reinicien la consola de manera que puedan ver la herramienta de
auditona.
Enviar eventos de auditoria al Visor de eventos de

Windows
IVANTI Endpoint Manager almacena los eventos de auditona en la base de datos central.
Opcionalmente, tambien puede enviar eventos de auditona a la aplicacion del Visor de eventos de
Windows. Tenga en cuenta que cualquier usuario con derechos para ver el Visor de eventos podra
ver las entradas del registro de auditona. Si esto constituye un problema de seguridad en el
entorno, considere proteger las entradas del registro de auditona al Visor de eventos o no activar
esta opcion.
Endpoint Manager envfa los eventos de auditona en la siguiente ruta de acceso del Visor de
eventos:
• Registros de aplicaciones y servicios > IVANTI Software > IVANTIAuditing
206
GUÍA DE USUARIO
Para enviar eventos de auditoria al Visor de eventos de Windows
1. Haga clic en Herramientas > Configuracion de servicios.

2. En el cuadro de dialogo Configurar los servicios del software de IVANTI, haga clic en la ficha
Configuracion de la auditoria yseleccione Escribir eventos de auditoria en el registro de
eventos. Si no ve esta ficha, asegurese de tener el rol de configuracion de auditorias y de que
se haya reiniciado la consola despues de haber recibido ese rol. Cuando se habilita esta
opcion, vera emerger una ventana de DOS brevemente. Esto es normal.
Habilitar el registro del Visor de eventos solo afecta a los eventos que ocurran despues de ello.
NOTE: Puede tomar hasta dos minutos para que los cambios en la opcion Escribir eventos de auditoria en el
registro de eventos surta efecto. Puede reiniciar la consola si no desea esperar.
Ver eventos de auditoria
Los eventos de auditona se almacenan en la base de datos central en formato XML. Cuando se hace
207
doble clic en un evento de auditona para verlo, vera los elementos de XML registrados que estan
asociados a ese evento. Los elementos registrados dependen de los eventos de auditona.
Las consultas predeterminadas sobre eventos de auditona cubren estos penodos de tiempo:
• Ultimos 30 dfas
• Ultimos 7 dfas
• Ultimo dfa
Para ver eventos de auditoria mediante las consultas predeterminadas
1. Haga clicen Herramientas > Administration > Auditoria.

2. En el arbol Consultas predeterminadas, haga clic en la consulta que desee.
Tambien puede crear filtros personalizados para realizar las consultas de auditona. Para obtener
mas information, consulte "Creation de filtros para consultas de eventos de auditona" (210).
Identificar lo que ha cambiado en un evento de auditorla
Algunos eventos de auditona pueden implicar muchos cambios, tales como aquellos que implican
cambios en las configuraciones de agente. En estos casos, puede ser diffcil identificar en el XML lo
que cambio en el evento auditado.
208
GUÍA DE USUARIO
Para ayudar con esto, la herramienta de auditona es compatible con la herramienta diff que se elija,
la cual se puede utilizar para comparar el archivo XML de un evento auditado con el estado del
evento antes de se modificara.
Para configurar la compatibilidad con la herramienta diff de auditona
1. Haga clicen Herramientas > Administracion > Auditona.
2. En la barra de herramientas de auditona, haga clic en el boton Introducir la configuration de

la herramienta diff.
3. Introduzca la Ruta de acceso de la herramienta de comparacion al ejecutable de la
herramienta diff.
4. Personalice la lmea de comandos de la herramienta diff si es necesario. %1 corresponde a
los datos originales del XML del evento de auditona que se selecciono y %2 a los datos
actuales. Debe incluirtanto el parametro %1 como el %2 para que la herramienta diff
funcione.
5. Haga clic en el boton Guardar.
Para ver las diferencias en los datos del XML de un eventos de auditona
1. Haga doble clic en el evento de auditona en el cual desea verificar diferencias.
2. En el cuadro de dialogo Detalle de entrada de auditona, haga clic en el boton Diferencias.

3. Consulte las diferencias en la herramienta diff que configuro.
Creacion de filtros para consultas de eventos de auditona

El historial de eventos de auditona aparece dentro de la herramienta de auditona (Herramientas >
Administracion > Auditona). Para poderveresta herramienta en la consola, debetenerel rol de
Configuracion de auditona o el rol de Auditor.
Puede crear filtros para realizar consultas personalizadas de auditona. Puede elegir entre estos
filtros de eventos de auditona:
• Nombre de usuario: Mostrar los eventos de auditona del usuario especificado.
. Nombre de dispositivo: Mostrar los eventos de auditona del nombre de dispositivo
especificado.
• Fecha de modification: Mostrar los eventos de auditona dentro de un intervalo espedfico de

fechas o anteriores a una cantidad espedfica de dfas.
• Funciones: Mostrar los eventos de auditona de las funciones seleccionadas. Debe

seleccionar Funciones para poder ampliar el arbol de Eventos.
209
Si selecciona varios filtros, estos tendran las opciones de consulta AND. Por ejemplo, si selecciona
un
nombre de usuario y una funcion, los resultados solo mostraran los dispositivos que coincidan
tanto
con ese nombre de usuario como esa funcion.
Para crear una consulta personalizada de auditona
1. Haga clicen Herramientas > Administration > Auditona.

2. Haga clic en el elemento del arbol de Consultas personalizadas.
3. Haga clic en el boton de la barra de herramientas Nueva definition de consulta.
4. Modifique los filtros que desee.
5. Cuando haya finalizado, haga clic en Crear.
Archivary restaurar los datos de auditona

La herramienta de auditona permite archivary restaurar los datos de auditona.
• Archivar: en el modo de archivar, la herramienta guarda los datos de auditona en el archivo

especificado. Se especifica el numero de meses, a partir de ahora, de datos que se van a
dejar en la base de datos y el nombre del archivo. Todos los datos por fuera de ese penodo
de tiempo se guardaran en el archivoyse eliminara de la base de datos.
• Restaurar: en el modo de restaurar, la herramienta vuelve a insertar datos previamente

archivados que provienen del archivo que se especifico en la base de datos. El tiempo de
espera predeterminadoy el tamano del lote es de 500 segundos y 200 mil registros,
respectivamente. Utilice estos valores predeterminados como punto de referencia si es
necesario ajustar algun parametro. No se insertara ningun dato de auditona si la insercion de
la base de datos agota el tiempo de espera.
Para archivar datos de auditona
1. Haga clicen Herramientas > Administracion > Auditona.
2. En la barra de herramientas de la ventana Auditona, haga clic en los botones Archivar datos
§ o en Restaurar desde archivo.
3. Introduzca sus preferencias y, dependiendo del modo que elija, haga clic en Archivar o
Restaurar.
210
GUÍA DE USUARIO
Reports
Uso de los informes
La herramienta de elaboracion de informes se utiliza para generar informes detallados que brindan
informacion crftica sobre los dispositivos de la red. Esta herramienta aprovecha la utilidad de
rastreo de inventario de Endpoint Manager, la cual recopila y organiza los datos de hardware y
software, para producir informes utiles y actualizados.
Estan disponibles varios tipos de informes:
• Informes estandares (predefinidos): informes predeterminados que vienen con Endpoint

Manager.
• Informes personalizados: informes personalizados que definen un conjunto unico de

informacion para generar un informe. Tambien puede personalizar cualquiera de los informes
estandar utilizando el disenador integrado de informes de Data Dynamics.
• Informes Ad hoc: informes generados automaticamente que estan disponibles en varias

areas de Endpoint Manager. Por ejemplo, puede hacer clic con el boton derecho en una
consulta y hacer clic en Nuevo informe para generar un informe basado en esta consulta.
Se pueden programar informes de forma que puedan ejecutarse en intervalos regulares. Los
informes programados se pueden publicary guardar en alguna ubicacion compartida de archivos
que sea segura en el servidor central, en la cual cualquier usuario con las credenciales de inicio de
sesion debidas pueda tener acceso a los informes yverlos. Tambien puede programar los informes
publicados para que sean enviados por correo electronico a determinados destinatarios.
Para iniciar la herramienta de informes
Haga clic en Herramientas > Informacion / Monitor > Informes.
Para utilizar los informes en la consola Web
Haga clic en Informes en el grupo de Informes.
Grupos de informes
Abra la herramienta de Informes para tener acceso a los informes predefinidos.
211
Los informes estan organizados en una estructura de arbol, agrupados en las siguientes carpetas:
• Mis informes: los informes que el usuario actual ha creado o copiado de otra carpeta. Por lo
general son informes que ejecuta de forma regular y que ha organizado para su propio uso.
Se pueden organizar los informes en carpetas que usted haya creado. El administradortiene
acceso a los grupos de informes de cada usuario y puede agregary eliminar informes.
• Informes estandar: informes predefinidos que se instalan con Endpoint Manager. Los
informes se encuentran previamente formateados, contienen propiedades de consulta y
tipos de graficos asignados, y estan listos para utilizarse.
• Informes publicos: informes personalizados del servidor central que estan disponibles para
todos los usuarios.
• Todos los informes: todos los informes que puede utilizar el usuario actual. Esta vista
incluye un cuadro de Busqueda que filtra la lista de informes cuando se escribe una cadena
de busqueda yse selecciona una columna. (Por ejemplo, escriba "licencia" y seleccione la
columna "Descripcion" para ver los informes relacionados con licencias de software.)
Los administradores pueden ver el contenido de todos los grupos de informes. Los usuarios con
derecho de Informes tambien pueden ver, ejecutary publicar informes, pero solo en los dispositivos
incluidos en su ambito. Los usuarios que tienen el derecho de Disenador de informes pueden crear
informes personalizados.
Los informes se ejecutan de acuerdo con el ambito los derechos del usuario que ha iniciado sesion.
Si un usuario no tiene permisos para usar la herramienta, no puede ejecutar informes que incluyan
esa herramienta. Del mismo modo, los unicos dispositivos que aparecen en el informe son las que
se incluyen en el ambito del usuario.
Fuentes de informes
Los informes predefinidos recopilan datos de la base de datos de Endpoint Manager. Si crea un
informe personalizado, puede especificar otras fuentes de datos disponibles para que se incluyan
en el informe.
Formatos de informes
Cuando se publica un informe, se puede guarda el informe utilizando uno de los siguientes
212
GUÍA DE USUARIO
formatos:
• HTML: HTML estandar. Puede hacer clic en los graficos de los informes de HTML para ver
informacion detallada acerca de algun elemento.
• Imagen: Archivo de imagen bitmap
• PDF: Archivo PDF de Adobe

• XML: Archivo de texto en formato XML
• DOC: Microsoft Word
• XLS: Microsoft Excel
Al programar un informe en la Herramienta de informes, puede utilizar los siguientes formatos:
• PDF: Archivo PDF de Adobe
• XLS: Microsoft Excel

• DOC: Microsoft Word
• CSV: archivo de texto con valores separados por coma
Recursos adicionales para los informes

Para obtener mas informacion sobre la utilizacion de los informes de Endpoint Manager, vaya al
portal de informes de la Comunidad de usuarios de IVANTI en community.Ivanti.com/ldmsreports. El
portal de informes contiene documentacion adicional, preguntas de los clientes e informes que se
pueden descargar. Cualquier usuario de IVANTI puede presentar un informe personalizado para
compartirlo con la comunidad.
Para abrir rapidamente el portal de informes de la Comunidad de usuarios de IVANTI, tambien puede
hacer clic en Herramientas > Informes/ Monitor > Informes de la comunidad.
Derechos necesarios para utilizar informes

No todos los usuarios pueden ver, modificary distribuir informes. Los usuarios deben tener
asignados los derechos correctos en la Administracion basada en roles. Debido a que la
modificacion de informe involucra el acceso a la base de datos, cualquier usuario con derechos
para Modificar deben estar capacitado para modificar la base de datos. Tambien puede configurar
las credenciales de usuario con derechos de solo lectura de base de datos si hay usuarios que
necesitan ejecutar informes, pero no modificarlos.
Administracion basada en roles e informes

La administracion basada en roles incluye derechos de elaboracion de informes, los cuales
determinan que usuarios pueden ver, ejecutar, modificar, programar y crear informes. En la
Herramienta de administracion del usuario, cuando se crea o modifica un rol, se pueden activar o
desactivar los siguientes permisos de informes.
213
Modificar
Pernnisos Ver Modific Implemei
publico
Informes X
Disenador de informes 0 X 0 0
Informes
X X X X
. Sin derechos: no se puede abrir el disenador.
• Editar: se puede abrir el disenador y crear o modificar informes.
Informes
• Sin derechos: no se puede ver la herramienta.
• Ver: Puede ver esta herramienta y ver los informes. Puede ejecutar informes. No se puede
cambiar nada.
• Editar: puede ver los informes y cambiar sus propiedades. Este derecho solo no permite
acceso al disenador, se necesita el derecho para modificar al Disenador de informes para
tener acceso a el.
• Desplegar: Puede programary publicar informes.

• Modificar publico: puede mover informes al grupo Publico.
Derechos de usuarios de la base de datos para elaborar informes

El disenador de informes es una poderosa herramienta que debe usarse con discrecion. Los
usuarios que tienen derechos para modificar el disenador de informes pueden tener acceso a
cualquier parte de la base de datos y pueden ejecutar cualquier comando SQL con esos datos, por
lo que debe asegurarse que los usuarios con este derecho esten calificados para administrar la
base de datos. Se podnan perder o danar datos si algun usuario ejecuta comandos SQL que
modifiquen la informacion.
La Herramienta de informes tiene acceso a la base de datos con las credenciales de usuario que se
especificaron durante la instalacion del producto. Estas credenciales se pueden administrar en el
cuadro de dialogo Configurar servicios de software de IVANTI. Si prefiere configurar credenciales
diferentes para los usuarios que tienen derechos para elaborar informes, puede crear un segundo
conjunto de credenciales para tener acceso a la bases de datos de los informes.
Por ejemplo, si desea que los usuarios de informes tengan acceso de solo lectura a la base de
datos, puede crear una cuenta de usuario de base de datos con acceso de solo lectura. Tendna
entonces que introducir esa cuenta de usuario como el Usuario de la base de datos de informes en
el cuadro de dialogo Configurar servicios de software de IVANTI.
NOTE: Si esta utilizando una base de datos Oracle y crea un usuario de informes de solo lectura, tendra
que crear un sinonimo publico para cada tabla a la cual se hara referencia en los informes de dicho
usuario.
Temas relacionados
214
GUÍA DE USUARIO
"Crear un usuario con derechos de informes" (216)
Crear un usuario con derechos de informes

La Herramienta de informes tiene acceso a la base de datos con las credenciales de usuario que se
especificaron durante la instalacion del producto. Si prefiere configurar credenciales diferentes para
los usuarios que tienen derechos para elaborar informes, puede crear un segundo conjunto de
credenciales para tener acceso a la bases de datos de los informes.
Para especificar las credenciales de usuario de base de datos para elaborar informes
1. Cree una cuenta de usuario para la base de datos, asfgnele los derechos que desea utilizar.
2. En la consola de Endpoint Manager, haga clic en Configurar > Servicios.
3. En Usuario de la base de datos de informes, escriba el nombre de usuario y la contrasena de
esa cuenta.
Ejecucion de informes
Ejecucion de informes
Utilice la herramienta de informes para ejecutar informes, organizarlos y crear otros nuevos. Puede
programar los informes para que se ejecuten una vez o de manera recurrente. Tambien puede
importar y exportar informes para utilizarlos en otras consolas de Endpoint Manager.
La forma mas rapida de ver los datos del informe es ejecutandolos desde la consola. El visor de
informes muestra los datos como una vista previa de la pagina impresa o como datos continuos.
Puede cambiar las vistas y los formatos en el visor. Tambien puede cambiar los parametros del
informe para seleccionar un subconjunto de los datos.
Informes en la consola Web
Cuando se utiliza la consola Web, los informes que se encuentran en la consola Windows estaran
disponibles, pero hay pequenas diferencias en la manera de ver y seleccionar los parametros. No se
pueden modificar o crear informes personalizados en la consola web o mover informes entre
carpetas, pero sf se pueden ejecutar, imprimir y exportar informes.
215
Cambiar las propiedades del informe
Se puede hacer una copia de un informe predefinido y modificar sus elementos en el cuadro de
dialogo Propiedades del informe. Puede cambiar el tipo de grafico que aparece en el informe y
especificar otro campo como el elemento clave de la consulta. Tambien puede seleccionar una
consulta de LDMS para utilizarla como base del informe. Asf mismo puede cambiar el nombre y la
descripcion.
216
GUÍA DE USUARIO
Si desea hacer muchos mas cambios en el informe, tendra que abrir el disenador de informes.
"Creacion de informes personalizados" En la pagina 231 para obtener informacion sobre como
utilizar el disenador de informes.
Visor de informes
Cuando se ejecuta un informe, el visor de informes inicia y muestra el informe generado. El visor de
informes contiene controles que le permiten visualizar el informe segun sus preferencias de
visualizacion. Tambien puede exportar un informe a partir del visor de informes o guardarlo en un
formato diferente para su distribucion.
El visor de informes incluye una barra de herramientas y una barra lateral. La barra de herramientas
contiene los siguientes botones:
217
• Abrir: abrir en el visor un informe guardado.

• Exportar: guardar el informe como una imagen (en formato BMP, EMF, GIF, JPEG, TIFF o
PNG, o en formato HTML, PDF, XML, XLS o DOC).
• Copiar: copiar el contenido del informe de la pagina seleccionada.

• Vista previa de impresion: activar o desactiva el modo de vista previa de impresion (ver
pagina). Cuando no se selecciona, se muestra el informe como una sola pagina HTML.
• Configuracion de pagina: cambiar la configuracion de la marca de agua, la pagina y el

diseno.
• Imprimir: abrir el cuadro de dialogo de impresion estandar predeterminada.
• Panel de la barra lateral: Activar o desactivar el panel de la barra lateral, el cual muestra las
opciones de busqueda y de parametros, y la vista de miniaturas.
• Regreso al informe principal: si esta viendo un informe secundario, regrese al informe

principal que inicio el informe secundario.
• Ninguno: utilizar el movimiento estandar del raton para visualizar.

• Modo de desplazar: arrastrar el puntero de mano para desplazarse en cualquier direccion de
la pagina.
• Modo de seleccion: arrastrar el puntero para seleccionar una porcion de la pagina. Puede
pegar la seleccion en otra aplicacion que admita texto pegado.
• Modo de instantanea: arrastrar el puntero para seleccionar un rectangulo. Puede pegar el

rectangulo en otra aplicacion que soporte pegar imagenes.
• Acercar: aumenta el tamano del informe.

• Alejar: disminuye el tamano del informe.
• Porcentaje de acercamiento: selecciona el tamano de visualizacion del informe.
• Primera pagina: ver la primera pagina del informe.
• Pagina anterior: ver la pagina anterior en orden secuencial.
• Cuadro de pagina: inserte un numero de pagina determinado, que le lleve directamente a esa
pagina.
• Pagina siguiente: ver la pagina siguiente en orden secuencial.

• Ultima pagina: Ver la ultima pagina del informe.
• Cancelar: Detiene la ejecucion del informe. si la ejecucion del informe finalizo, este boton
aparece atenuado.
• Actualizar: volver a la vista inicial.

• Buscar: abre el panel de busqueda para ubicar una cadena de texto en los datos del informe.
La barra lateral incluye tres opciones, a las cuales se tiene acceso mediante los iconos de la parte
inferior:
218
GUÍA DE USUARIO
• Parametros: 1 cambiar los parametros del informe para seleccionar un subconjunto de datos y
ajustar los resultados en funcion de como se define el informe. Una vez que haya
seleccionado los diferentes parametros, haga clic en Ver informe para actualizar el informe
con los nuevos parametros.
• Resultados de la busqueda: ^ buscar una cadena en los resultados del informe. Especifique la
cadena y seleccione los criterios (como el caso de coincidencia), luego haga clic en Buscar.
Aparece una lista de las coincidences de la cadena. Haga clic en una de ellas para ir a esa
seccion del informe. La coincidencia aparece resaltada. Tambien puede hacer clic en la barra
verde de la parte derecha del informe para desplazare entre las ocurrencias.
Miniaturas de las paginas: ■—1 ver las miniaturas de las paginas del informe. Haga clic en
una miniatura para ira esa pagina.
Seleccion de parametros en una lista
Cuando la barra lateral incluya una lista de parametros, se pueden incluirtodos los elementos de la
lista en el informe seleccionando la casilla de verificacion Todos. Al hacer esto, las casillas de
verificacion de los elementos individuales no se marcan, pero se incluyen todos los elementos en el
informe.
Para seleccionar un subconjunto de los elementos, desactive la casilla de verificacion Todos ya

continuacion, seleccione la casilla de verificacion junto a cada elemento que desee incluir en el
informe.
Seleccion de dispositivos, grupos o ubicaciones
219
Los parametros vanan con cada informe. Sin embargo, todos los informes incluyen una opcion de
seleccion que especifica dispositivos individuals, consultas, grupos, ambito o ubicacion. Esto le
permite generar un informe que corresponda a una consulta, un grupo o un ambito que hayan sido
definidos en la vista de red o en una ubicacion en la red.
Seleccionar dispositivos por:
| Ingresar el nombre del dispositivo

3
Ingresar el nombre del dispositivo
Consulta
Agrupar
Ambito
Ubicacion
Por ejemplo, puede seleccionar dispositivos de una ubicacion con base en la ubicacion del
dispositivo en la red. Cuando seleccione Ubicacion, la lista mostrara las ubicaciones en la red
ordenadas por nombre de dominio.
Informes secundarios
En algunos informes se pueden abrir informes secundarios o subinformes. En la carpeta de

Seguridad, hay informes tipo tablero de control de virus y vulnerabilidades. Si se abre el informe de
tablero (o informe padre), puede hacer clic en una de los graficos para abrir el informe secundario
correspondiente (o informe hijo).
Por ejemplo, si se ejecuta el informe de tablero Antivirus, haga clic en el grafico "Estado del
rastreador en tiempo real" para abrir un informe separado con el estado de rastreo del dispositivo. A
continuacion, haga clic en el boton Volver al informe principal para volver al informe de tablero.
Ejecutar un informe
Cuando se ejecuta un informe, el visor de informes muestra los datos como una vista previa de la
pagina impresa o como datos continuos. Puede cambiar las vistas y los formatos en el visor.
Tambien puede cambiar los parametros del informe para seleccionar un subconjunto de los datos.
220
GUÍA DE USUARIO
1. En la herramienta de informes, seleccione una carpeta de la estructura de arbol de Informes y

ubique el informe que desee.
2. Haga doble clic en el informe.
Se abrira el cuadro de dialogo de la vista previa del informe. Algunos informes tienen
parametros configurables que le permiten seleccionar un subconjunto de datos para el
informe. Si no hay parametros predeterminados, es necesario introducir al menos uno
(por ejemplo, especificar un nombre de dispositivo) o no habra datos en el informe.
3. Si hay parametros para elegir, especifique los parametros que desee.

4. Haga clic en Ver informe.
5. Para ver los detalles de alguna parte de un grafico, haga clic en esa area del grafico. La vista
cambia a la seccion del informe y muestra los datos de esa area del grafico.
6. En las paginas de informe, haga clic en las flechas T de columna para ordenar los datos de
esa columna.
7. Utilice los botones de la barra de herramientas para buscar datos, exportar datos en un
formato diferente, imprimir el informe, etcetera.
8. Cuando haya terminado, cierre la ventana del navegador de vista previa.
NOTE: Cuando se seleccionan dispositivos utilizando el parametro de Dispositivos, no se utiliza comodin.

Escriba cualquier numero de caracteres que sean comunes a los nombres de los dispositivos que desea
seleccionar y haga clic en Ver informe. Todos los nombres de dispositivo con esa cadena de caracteres se
incluiran en el informe.
lista en el informe seleccionando la casilla de verificacion Todos. Al hacer esto, las casillas de
verificacion de los elementos individuales no se marcan, pero se incluyen todos los elementos en el
informe.
Para seleccionar un subconjunto de los elementos, desactive la casilla de verificacion Todos ya

continuacion, seleccione la casilla de verificacion junto a cada elemento que desee incluir en el
informe.
Guardar un informe en un archivo
Despues de ejecutar un informe, puede guardar los resultados en una ubicacion de archivos. El
informe se puede guardar como una imagen (en formato BMP, EMF, GIF, JPEG, TIFF o PNG, o en
formato HTML, PDF, XML, XLS o DOC).
1. Ejecute un informe.
2. En la barra de herramientas del visor, haga clic en el boton Exportar.
221
3. Haga clic en el formato de informes que desee utilizar.

4. En el cuadro de dialogo Exportar, cambie los parametros del informe. (Los parametros vanan
en funcion del formato seleccionado.)
5. Navegue hasta la ubicacion donde desea guardar el informe, escriba el nombre del informe y
haga clic en Guardar.
6. Seleccione Exportar.
NOTE: Si guarda un informe y planea enviarlo por correo electronico, utilice el formato PDF en lugar de la salida
HTML.
Programar informes
Si necesita algun informe con regularidad, puede programarlo para que se ejecute anticipadamente
o durante horas no laborables cuando la carga de la base de datos del servidor central se mas
ligera. Cuando se programa un informe, este se guarda en el recurso compartido de Informes
IVANTI (ldmain\reports) y tambien se envfa a los usuarios del servidor central que tengan derechos
de informes y tengan una direccion de correo electronico asociada con su nombre de usuario (en la
herramienta Administracion de usuarios). Para enviar informes por correo electronico se requiere
un servidor de correo SMTP.
Los informes que se guardan en el recurso compartido de Informes se basan en el ambito de la

persona que los programo. En el caso de informes enviados a otros destinatarios, estos utilizan el
ambito de cada destinatario para filtrar los datos.
Para programar un informe, el usuario debe tener el derecho Informes - Implementacion.
Si desea distribuir un informe que usted ejecuto, guarde el informe en el formato que desee y luego
adjunte el archivo a un mensaje de correo electronico. El informe utilizara su alcance. Los usuarios
con derechos al recurso compartido de Informes tambien pueden ver el informe de esa ubicacion
del archivo.
NOTE: Si guarda un informe y planea enviarlo por correo electronico, utilice el formato PDF en lugar de la salida
HTML.
NOTE: La ejecucion de informes con muchos datos puede consumir grandes cantidades de recursos del sistema
en el servidor central. Debido a esto, solo se puede programar un informe a la vez. Si un informe esta en
ejecucion y se programan otros informes al mismo tiempo, los informes que siguen se postergaran hasta que el
primer informe haya finalizado.
222
GUÍA DE USUARIO
Programar un informe
1. En la herramienta de informes, expanda el arbol y seleccione el informe que se va a

programar.
2. Haga clic en Programar en la barra de herramientas y seleccione el formato que desee
utilizar.
La herramienta Programar tareas se abre con el informe seleccionado.
3. Haga clic en el boton Propiedades de la barra de herramientas.

4. En el cuadro de dialogo Programar tarea, escriba o modifique la informacion de cada pagina.
Puede ver el progreso del informe en la herramienta Tareas programadas (haga clic en la carpeta
Mis
tareas).
Para obtener detalles sobre las opciones del cuadro de dialogo Programar tareas, consulte "Acerca
del cuadro de dialogo Programar tarea" (246).
Modificar las propiedades de un informe
1. En la herramienta de Informes, copie el informe en una carpeta.

2. Haga clic con el boton derecho en el reporte y seleccione Propiedades.
3. En el cuadro de dialogo Propiedades de informe, cambie las propiedades.
4. Haga clic en Vista previa para ver el informe personalizado en el visor de informes.
5. Haga clic en Aceptar para guardar el informe que se modifico.
Personalizar de una plantilla de informe

Todos los informes se basan en las plantillas que se suministran con IVANTI Endpoint Manager.
Si desea personalizar una plantilla de informes, es necesario abrir el archivo de la plantilla
maestra en el disenador de informes. Por ejemplo, es posible que desee anadir a la plantilla el
nombrey el logotipo de la empresa, o cambiar el diseno basico de la pagina, el tipo de letra u
otros elementos.
Haytres archivos de plantilla, uno con orientacion vertical, uno con orientacion horizontal yuno para
plantillas de tableros.
NOTE: Las plantillas de informes estan instaladas en cada dispositivo en el cual se instale una consola. Si
223
cambia de una plantilla del servidor central, esa plantilla se utiliza para ejecutar informes en el servidor central y en la
consola Web. Sin embargo, otras consolas utilizaran la plantilla que se instalaron en ellas. Si desea utilizar la plantilla
revisada en otras consolas, tendra que copiar el archivo de plantilla en cada consola adicional o crear un trabajo de
distribucion para desplegarlos.
224
GUÍA DE USUARIO
Para personalizar una plantilla de informes
1. En la herramienta de Informes, haga clic en el boton Modificar plantilla de la barra de

herramientas.
2. Seleccione la opcion de orientacion vertical, horizontal o de tablero de digital.
La plantilla se abre en el disenador de informes.
3. Realice los cambios en el disenador de informes. Cuando haya finalizado, haga clic en
Guardar.
Informes Ad hoc
Ejecutar informes Ad hoc
Hay informes sencillos disponibles para la mayona de los elementos de la consola de Windows.
Cualquier grupo o contenedor (como una consulta) tiene una opcion de menu contextual para
ejecutar un informe. El informe muestra los datos en la vista actual, organizados utilizando las
columnas de datos que aparecen en la consola.
Por ejemplo, un Informes ad hoc de un grupo de la vista de red muestra una lista de dispositivos de
ese grupo. Las columnas de la vista de red (como la direccion IP, propietario, etc.) se muestran en
el informe. Para cambiar la organizacion de los datos del informe, modifique el conjunto de
columnas (agregar o eliminar columnas o cambiar su orden) antes de ejecutar el informe.
Puede ejecutar informes sobre varias herramientas, y mostrar los elementos de una vista en
particular (por ejemplo, una lista de conjuntos de reglas de alertas en la herramienta de alertas).
Puede ejecutar un informe de cualquier consulta que cree o para cualquier grupo que haya creado
en la vista de red o en otra parte.
225
Existen tres maneras de crear informes rapidamente desde la consola:
• Ver como informe: Haga clic en un elementoy seleccione esta opcion para ver los datos en
un formato de informe estandar. Se abre una ventana de vista previa del informe, y puede
seleccionar diferentes opciones antes de imprimir, guardar o enviar el informe.
• Exportar como CSV: haga clic con el boton derecho y seleccione esta opcion para guardar
los datos en un archivo de valores separados por comas.
• Nuevo Informe: haga clic con el boton derecho en una consulta y seleccione esta opcion
para crear un nuevo informe basado en la consulta. Puede utilizar un formato estandar o
abrir el disenador de informes para personalizar aun mas el informe. El nuevo informe se
guarda en Mis informes.
226
GUÍA DE USUARIO
Ejecutar un informe ad hoc
Hay informes sencillos disponibles para la mayona de los elementos de la consola de Windows.
Cualquier grupo o contenedor (como una consulta) tiene una opcion de menu contextual para
ejecutar un informe. El informe muestra los datos en la vista actual, organizados utilizando las
columnas de datos que aparecen en la consola.
1. En la consola de Windows, haga clic con el boton derecho en un elemento del arbol, como
un grupo en la vista de red o en algun elemento de un panel de herramientas.
2. Si hay algun elemento en el menu Ver como informe, haga clic en el y seleccione el formato
de informes que desee.
Si no hay ningun elemento en el menu Ver como informe, el elemento en el que hizo clic con el
boton derecho no admite esta opcion.
Guardar un informe como un archivo CSV
Puede guardar los datos en un archivo CSV (valores separados por comas) para la mayona de los
elementos de la consola de Windows. Los elementos con esta funcion tienen una opcion de menu
contextual que guarda datos de informes en este formato.
1. En la consola de Windows, haga clic con el boton derecho en algun elemento del arbol,
como un grupo en la vista de red o un elemento en algun panel de herramientas
2. Haga clic en Exportar en formato CSVy especifique la ubicacion para guardar el archivo
CSV.
Si no hay ningun elemento en el menu Exportar como CSV, el elemento en el cual hizo clic con el
boton derecho no admite esta opcion.
Crear un informe a partir de una consulta
Puede ejecutar un informe para cualquier consulta que cree o para cualquier grupo que haya
creado en la vista de red o en otra parte.
1. Haga clic con el boton derecho en una consulta en la vista de red.
2. Seleccione el elemento del menu Nuevo informe.
3. Escriba un nombre y una descripcion para el informe y efectue cualquier otro cambio
personalizado que desee.
4. Haga clic en Aceptar para guardar el informe.
Si no hay ningun elemento en el menu Nuevo informe, el elemento en el cual hizo clic con el boton
derecho no admite esta opcion.
227
Organizary compartir informes

Organizar informes
A medida que use los informes estandar y cree informes personalizados, tendra que organizarlos y
modificarlos para satisfacer sus necesidades.
Copiar y modificar
Los informes estandar no se pueden eliminar, pero se puede copiar y pegar en otras carpetas. Por
ejemplo, puede crear una carpeta bajo Mis informes que contenga los informes que utiliza con mas
frecuencia.
Tambien puede copiar o modificar un informe estandar, yguardarlo como un informe unico. Esto
suele ser mas facil que crear un informe a partir de cero. Cada vez que se copia un informe, se
agrega un numero al nombre del informe para distinguirlo de otras copias. Cuando se modifica el
informe, puede darle un nombre unico.
NOTE: Debe hacer una copia separada de cada informe por cada revision que cree. Si ha copiado y modificado
un informe, y luego efectua cambios adicionales y los guardar de nuevo, se perderan sus modificaciones
anteriores. Le recomendamos que haga una nueva copia cada vez para asegurar que las consultas o los
parametros no se pierdan.
Compartir con otros servidores centrales
Los informes se ejecutan utilizando una base de datos del servidor central. Si tiene varios
servidores centrales, puede compartir informes entre ellos de manera que la presentacion de
informes este normalizada en su organizacion.
Compartir un informe una sola vez utilizando la opcion Copiar a otros servidores centrales. Guarda
una copia de un informe con la misma estructura de carpetas de la herramienta de generacion de
informes de otro servidor central.
Para compartir un informe de forma permanente, puede sincronizar informes entre servidores
centrales. Cada vez que un informe se modifica, una copia del informe modificado se guarda
automaticamente en los otros servidores centrales que se hayan seleccionado para sincronizar
contenido. Esta caractenstica es parte del nucleo herramienta de smcromzacion.
Importar y exportar
Puede importar y exportar informes, ya sea para guardar copias de los informes o intercambiar
informes y plantillas con los demas. Por ejemplo, si guarda copias exportada de los informes, y los
elimina, y mas tarde decide que desea recuperarlos, los puede volver a importar.
Los informes se almacenan en archivos XML de texto sin formato con una extension de archivo
.ldms en la ubicacion que se especifique. Estos archivos solo pueden ser lefdos por IVANTI
Endpoint Manager.
228
GUÍA DE USUARIO
Los nombres de las carpetas y los archivos de los informes exportados generalmente coinciden con
la forma en que aparecen en la herramienta de informes.
Copiar, mover y borrar informes
Puede copiar cualquier informe, modificarlo y guardarlo como un informe unico. Esto suele ser mas
facil que crear un informe a partir de cero. Cuando se copia un informe estandar, se agrega un
numero al nombre del informe para distinguirlo de otras copias. Cuando se modifica el informe,
puede darle un nombre unico.
NOTE: Debe hacer una copia separada de cada informe por cada revision que cree. Si ha copiado y modificado
un informe, y luego efectua cambios adicionales y los guardar de nuevo, se perderan sus modificaciones
anteriores. Le recomendamos que haga una nueva copia cada vez para asegurar que las consultas o los
parametros no se pierdan.
Para copiar y mover los informes
1. Haga clicen Herramientas > Informacion/Monitor > Informes.

2. Amplfe la estructura de arbol y ubique el informe que desea ejecutar.
3. Arrastre el informe a otra carpeta.
NOTE: Aunque puede copiar cualquier tipo de informe, solo los informes personalizados o copiados se pueden
cortary pegar. Para ello, haga clic con el boton derecho en el informe y haga clic en Cortar, luego abra la carpeta
de destino, haga clic con el boton derecho y haga clic en Pegar.
Para eliminar un informe
1. Haga clicen Herramientas > Informacion/Monitor > Informes.

2. Amplfe la estructura de arbol y ubique el informe que desea ejecutar.
3. Seleccione el informe y haga clic en el boton Eliminar en la barra de herramientas.
Solo se pueden eliminar los informes personalizados o copiados.
Sincronizar informes entre servidores centrales

Los informes se pueden sincronizar entre varios servidores centrales. Con la sincronizacion de
servidor central, puede copiar las configuraciones y tareas de servidor central a servidor central,
manual o automaticamente. La sincronizacion le permite copiar elementos de forma regular
ygarantizar que los diferentes servidores centrales utilicen las mismas herramientas y datos.

2. En Componentes, haga clic con el boton derecho en Informes y seleccione sincronizacion
automatica.
229
Para sincronizar un informe con otros servidores centrales, haga clic con el boton derecho en el
informe y haga clic en Sincronizacion automatica.
Temas relacionados
"Sincronizacion de servidores centrales" (104)
Copiar informes en otros servidores centrales

Sincronizar un informe a peticion con la opcion Copia en otros servidores centrales. Cuando usted
hace esto, puede seleccionar los servidores en los cuales desea recibir la copia. La copia solo se
hace una vez, y el elemento que usted copio queda disponible en los servidores centrales remotos
inmediatamente.
1. En la herramienta de informes, expanda el arbol y seleccione el informe que se va a copiar.

Para seleccionar varios informes, use Ctrl+clic o Mayus+clic.
2. Haga clic con el boton derecho en el informe y haga clic en Copiar en otros servidor
centrales.
3. Seleccione los servidores centrales que desea que reciban la copia.
4. Haga clic en Copiar contenido para iniciar inmediatamente la operacion de copia.
Observe que tiene que actualizar manualmente la vista de la consola del servidor remoto
presionando F5 para que el elemento aparezca. Las copias remotas tienen el mismo nombre y
ubicacion de la original y se pueden modificar. Cualquier grupo o subgrupo que contenga el informe
sera creado automaticamente.
Importar y exportar informes
Los informes exportados se almacenan en archivos XML de texto sin formato con una extension de
archivo .ldms en la ubicacion que se especifique. Estos archivos solo pueden ser lefdos por IVANTI
Endpoint Manager.
Los nombres de las carpetas y los archivos de los informes exportados generalmente coinciden con
la forma en que aparecen en la herramienta de informes.
Para exportar un informe
1. En la herramienta Informes, expanda el arbol y seleccione el informe que se va a exportar.

2. En la barra de herramientas, haga clic en el boton Exportar.
3. Vaya a la ubicacion a la cual desea exportar el informe y haga clic en Guardar.
Para importar un informe
1. En la herramienta de Informes, seleccione la carpeta en la cual desea guardar los informes

importados (Mis informes o informes Publicos).
2. En la barra de herramientas, haga clic en el boton Importar.

3. Vaya a la ubicacion del informe que desea importar, y haga clic en Abrir.
230
GUÍA DE USUARIO
4. En las del cuadro de dialogo Opciones de importation, seleccione una opcion de

importacion.
• Actualizar: agrega informes a los grupos especificados en el archivo .ldms y se
conserva el mismo identificador. Si el informe ya existe, este no se duplica.
• Insertar elementos en un grupo o propietario seleccionado: Agrega informes al grupo
seleccionado, se asigna un nuevo IDy se actualiza el propietario. Si el informe ya
existe, se guarda una segunda copia a la cual se le agrega un numero de version.
• Insertar elementos en los grupos especificados en el archivo .ldms: agrega informes a
los grupos especificados en el archivo .ldms y se asigna un nuevo identificador. Si el
informe ya existe, se guarda una segunda copia a la cual se le agrega un numero de
version.
5. Haga clic en el boton Importar.
Creacion de informes personalizados

La herramienta de informes incluye un disenador integrado de informes de Data Dynamics que le da
control total sobre todos los aspectos de los informes. En el disenador, se utilizan elementos de
diseno de paginas vinculadas a los objetos de datos para mostrar los datos seleccionados. Puede
personalizar la apariencia del informe, las consultas SQL subyacentes, los parametros disponibles
para los usuarios, etcetera.
Puede crear o modificar un informe mediante una de las siguientes acciones:
• Copiar un informe estandar, pegarlo en Mis informes y modificarlo.

• Crear una consulta en Endpoint Manager y utilizarla como base de un informe.
• Crear un informe completamente nuevo utilizando fuentes de datos, parametros, expresiones
SQL, elementos de diseno de paginas e imagenes.
Propiedades del informe
Al crear o modificar un informe, se especifican en primer lugar las propiedades del informe.
231
Si ha copiado un informe estandar, puede simplemente cambiar los elementos del cuadro de
dialogo Propiedades y guardar el nuevo informe. Pero probablemente es mas conveniente abrir el
disenador de informes y realizar cambios mas sustanciales.
En el cuadro de dialogo de propiedades del informe se puede abrir el disenador de informes. Esta
es una aplicacion independiente, Informes de Data Dynamics, que se integra con la herramienta de
informes y la base de datos.
232
GUÍA DE USUARIO
NOTE: Para abrir el disenador de informes, el usuario debe tener debe el derecho Disenador de informes - Modificar
El disenador de informes proporciona acceso completo a todos los aspectos de un informe.
• Diseno de pagina: el centro del disenador muestra el diseno de pagina del informe. Haga clic
en el boton Vista previa debajo del diseno para abrir el visor de informes y mirar como se
vera el informe cuando se ejecute.
• Herramientas: arrastre una herramienta en el diseno de pagina para colocar el objeto.

• Esquema del documento: vea un esquema del contenido del informe en la columna de la
izquierda (en lugar de la caja de herramientas).
• Fuentes de datos: Especificar las fuentes de datos que desea utilizar cuando se ejecute el
informe. Defina la fuente de datos y luego agregue los conjuntos de datos (consultas) y
parametros que utilizara en el informe.
• Parametros: defina los parametros que determinan los resultados del informe.
• Propiedades: la columna de la derecha muestra las propiedades del objeto seleccionado que
se pueden modificar.
• Asistente: haga clic en Abrir el asistente para ver todas las propiedades del objeto
seleccionado, organizado portipo de opcion.
Conceptos basicos de la creacion y modificacion de informes
El disenador de informes es una herramienta flexible y con muchas funciones que le da opciones
233
para consultary mostrar datos provenientes de una variedad de fuentes. Cuando se crea un informe,
se necesitan los siguientes elementos basicos:
• Una fuente de datos y conjuntos de datos definidos a partir de los cuales se llena el informe
• Un diseno de pagina para mostrar los datos visualmente
• Regiones de datos y otros elementos de los informes para el formatear datos
Fuentes de datos y conjuntos de datos
Los informes extraen informacion de la fuente de datos, una base de datos que utiliza un formato
estandar como SQL, ODBC, Oracle o XML. En combinacion con la fuente de datos, se definen las
consultas de los conjuntos de datos a las que se hace referencia en el informe. El explorador de datos
del lado izquierdo del disenador muestra las fuentes de datos y los conjuntos de datos en una vista
de arbol. En el ejemplo siguiente, LDMS es la fuente de datos (la base de datos de Endpoint
Manager) y Dispositivos de Windows es un conjunto de datos. El Nombre y la Version son los
nombres de los campos (tablas de base de datos) a los cuales se hace referencia en la consulta del
conjunto de datos.
La base de datos de Endpoint Manager aparece como una fuente de datos predeterminada cuando
se crea un nuevo informe. Usted puede anadir cualquier otra fuente, especificando el tipo de datos,
la cadena de conexion y las credenciales necesarias para tener acceso a los datos. Esto permite
que los datos se extraigan no solo de la base de datos de Endpoint Manager, sino de cualquier otra
fuente, al igual que cuando se crea un informe personalizado.
Los Parametros pasan informacion entre conjuntos de datos. En el visor de informes, los parametros
se pueden mostrar para permitir al usuario reducir la seleccion de los datos que aparecen.
Adicion de elementos de datos
El disenador de informes incluye asistentes para ayudarle a vincularse a las fuentes de datos y
definir los conjuntos de datos y parametros. Por ejemplo, cuando haga clic en una fuente de datos
(como LDMS), haga clic en el boton Agregary seleccione Conjunto de datos.
234
GUÍA DE USUARIO
El asistente del conjunto de datos aparece con las propiedades organizadas en seis grupos.
235
En la pagina de Consultas del asistente, por ejemplo, puede agregar una consulta SQL. Haga clic en
la marca de verificacion verde para comprobar la sintaxis y haga clic en el sfmbolo de funcion (fx)
para abrir el editor de expresiones.
236
GUÍA DE USUARIO
El editor de expresiones enumera todos los campos disponibles del elemento seleccionado y le
permite insertar estos elementos, como parametros y campos de conjuntos de datos, en una
expresion. Ademas de los campos relacionados con conjuntos de datos, hay valores que se utilizan
de forma global, operadores estandaryfunciones que se pueden insertar en una expresion.
Despues de anadir al menos un conjunto de datos, puede definir parametros con base en los
conjuntos de datos. Cuando un usuario ejecuta un informe, los parametros que usted agregue se
muestran en el visor de informes para que el usuario puede seleccionar que datos apareceran en el
informe.
En el ejemplo siguiente, se creo el conjunto de datos Suites, y hace referencia a la tabla de

productos que tiene los campos product_idn, titulo, y version. Se crea un parametro denominado
Suite. En la pagina General del cuadro de dialogo, se agrega el nombre y se especifica un texto de
mensaje (Seleccione una suite). Este es el mensaje que los usuarios veran en el visor de informes.
En la pagina de Valores disponible, se especifican los valores de la consulta. El campo de valor es
product_idn (un numero de identificacion unico de la base de datos) y el campo de etiqueta es
titulo, lo cual significa el titulo (nombre) de la suite que se le muestra al usuario.
237
Cuando se ejecuta el informe, este parametro se muestra al usuario con una lista que
permite la seleccion de una suite de productos:
La tercera pagina del cuadro de dialogo Parametros le permite especificar una

seleccion predeterminada del parametro.
238
GUÍA DE USUARIO
Representacion de las selecciones de parametros en una consulta
Cuando se le permite a los usuarios seleccionar un parametro, puede hacer referencia a tal
seleccion en una consulta mediante una instruccion SQL que sea unica en el editor de informes de
Data Dynamics: "in (?)". Esta instruccion utiliza el valor actual del parametro seleccionado cuando
se ejecuta el informe. Un ejemplo de esto se muestra en el siguiente ejemplo de codigo.
La consulta siguiente utiliza los campos de la tabla de productos y la tabla slm_productsuiteref para
seleccionar los productos que se incluyen en una suite de productos. En este caso, se incluyo una
sola suite de productos, identificada por su numero de ID (615).
select p.product idn, p.title, p.version from slm productsuiteref r
left outer join product p on p.product idn = r.product idn where r.productsuite idn = 615 order by
p.title
En lugar de especificar una suite, puede reemplazar la referencia espedfica del producto suite con
"in (?)" para incluir la suite que el usuario seleccione cuando se ejecuta el informe.
select p.product idn, p.title, p.version from slm productsuiteref r
left outer join product p on p.product idn = r.product idn where r.productsuite idn in (?) order by
p.title
Encontrara otros ejemplos de este uso en algunos de los informes estandar que requieren que el
usuario seleccione el valor de un parametro.
Diseno
Los disenos de informe definen el resultado de la pagina, usando medidas estandar de pagina.
Puede especificar el tamano de pagina, la orientacion, el encabezado y pie de pagina repetitivos y el
formato del cuerpo del informe.
Los informes estandar utilizan un encabezado con el logotipo de IVANTI, el cual se suprime en la
pagina 1. El diseno del cuerpo comienza con un logotipo mas grande que solo aparece una vez,
239
mientras que los datos debajo del este llena tantas paginas como sea necesario.
A medida quetrabaje en el diseno de la pagina, puede agregarformateoyelementos de region de

datos arrastrando herramientas de la caja de herramientas.
Arrastre algun elemento al diseno, a continuacion, muevalo y cambie su tamano. Defina el objeto en
detalle mediante el uso del panel de propiedades (en el lado derecho del editor) o haga clic en Abrir
el asistente para modificar las mismas propiedades en un formato de asistente, el cual tiene
elementos agrupados portipo de propiedad.
Regiones de datos
Los datos se formatean mediante regiones de datos, los cuales son elementos de formato estandar
que se definen para obtener ciertos tipos de pantallas. Las regiones de datos incluyen:
• Tabla: Filas y columnas, con un campo proveniente de datos establecidos para cada
columna. Tambien puede agrupar filas por campos, tales como agrupar datos por
dispositivos, donde se tiene una fila de encabezado para cada dispositivoy datos de soporte
agrupados bajo cada encabezado. (Consulte el informe de inventario de hardware para ver
un ejemplo de filas agrupadas.)
• Lista: los elementos se repiten en una lista por cada registro de la fuente de datos. Puede
utilizar cualquiertipo de formato para las presentar listas, y las agrupaciones complejas se
puede anidar en listas o poner una lista dentro de otra region de datos.
• Lista en bandas: es una coleccion de bandas (encabezado, detalle y pie de pagina) la cual los
datos se repiten en la banda de detalles. Las listas en bandas son utiles porque se puede
insertar elementos libremente sin verse limitado por formatos de listas o tablas.
240
GUÍA DE USUARIO
• Matriz: tambien tiene filas y columnas, pero formateadas con encabezados de filas y
columnas, como en una tabulacion cruzada o tabla dinamica.
Las regiones de datos se incluyen en la caja de herramientas. Se pueden combinar, anidar e incluir
en cualquier otro elemento de diseno.
Elementos de informes
Los elementos de la caja de herramientas se utilizan para dar formato al diseno de la pagina y
colocar datos en ella.
• Se utilizan Imeas para el formato visual.

• Los rectangulos son un elemento visual que contiene otros elementos.
• Los cuadros de texto se pueden utilizar para colocar texto de datos estatico o dinamico en
cualquier lugar de la pagina.
• Las imagenes se pueden colocar en cualquier lugar de la pagina.

• Los grupos resumen los datos seleccionados.
• Los codigos de barras pueden representar datos en 23 estilos de codigos de barras.
• Sparklines son pequenos graficos que resumen los datos y se pueden insertar en los
renglones de texto.
• Los calendarios se pueden agregar a una pagina y vincular a datos para mostrar los eventos
dentro de un intervalo de fechas.
Estos y otros elementos se pueden personalizar totalmente y combinar de muchas maneras para
agrupar y mostrar datos.
Para ver ideas sobre como puede definir sus propios informes, observe las propiedades de
cualquier informe estandar y haga clic en Disenador de informes para ver como se definio el
informe.
Ayuda adicional
Para obtener mas ayuda detallada sobre el disenador de informes, consulte el sitio Web de la
Comunidad de usuarios de IVANTI (community.Ivanti.com). Tambien hay informacion disponible
sobre los informes de Data Dynamics en el sitio Web (datadynamics.com).
Uso de los informes [Consola Web]

Cuando se utiliza la consola Web, todos los informes que se encuentran en la consola de Windows
estaran disponibles, pero hay pequenas diferencias en la manera de ver y seleccionar los
parametros. No se puede modificar o crear un informe personalizado en la consola web o mover
informes entre carpetas, pero sf se pueden ver, imprimir y exportar informes.
241
Cuando un usuario ejecuta un informe en la consola Web, se aplica el ambito del usuario al informe.
El informe contendra solo los datos de los dispositivos que estan dentro del ambito del usuario.
Para utilizar los informes en la consola Web, el usuario debe tener por lo menos el derecho Informes
- Ver.
Para ejecutar un informe desde la consola Web
1. En el cuadro de herramientas de la Consola Web, haga clic en Informes > Informes.

2. Amplfe la estructura de carpetas y ubique el informe que desea ejecutar.
3. Haga clic en el informe.
En una nueva ventana del navegador, se abrira el informe en el visor.
4. Seleccione los parametros que desee y haga clic en Ver informes.

5. Para ver los detalles de alguna parte de un grafico, haga clic en esa area del grafico. La vista
cambia a la seccion del informe y muestra los datos que se desean.
6. Utilice los botones de la barra de herramientas para buscar datos, exportar datos en un
formato diferente, imprimir el informe, etcetera.
7. Cuando haya terminado, cierre la ventana del navegador de vista previa.
Para guardar un informe en la consola Web
1. Ejecute un informe.
2. En la barra de herramientas del visor, seleccione el formato de informes que desee utilizar en
la lista de Seleccionar un formato, luego haga clic en el boton Exportar.
3. Guarde el archivo utilizando la configuracion de su navegador.
O NOTE: Si guarda un informe y planea enviarlo por correo electronico, utilice el formato PDF en lugar de la
salida HTML.
Visor de informes de la consola Web
El visor de informes de la consola Web le permite ver, imprimir y exportar informes. La barra de
herramientas contiene los siguientes botones:
• Imprimir: Abre el cuadro de dialogo de impresion asociado con el tipo de salida que se eligio.
. Vista previa de impresion: activar o desactiva el modo de vista previa de impresion (ver
pagina). Cuando no se selecciona, se muestra el informe como una sola pagina HTML.
• Modo de visor: ver el informe en formato HTML o PDF. Seleccione un formato de la lista y
haga clic en el boton de Modo de visor para cambiar el formato.
• Ir a la primera pagina: ver la primera pagina del informe.

• Atras: ver la pagina anterior en orden secuencial.
242
GUÍA DE USUARIO
• Cuadro de pagina: inserte un numero de pagina determinado, que le lleve directamente a esa
pagina.
• Avanzar: ver la pagina siguiente en orden secuencial.

• Ir a la ultima pagina: Ver la ultima pagina del informe.
• Seleccionar un formato: seleccionar el formato en que desea guardar el informe (archivo
PDF, HTML, DOC, XML, oXLS)
• Exportar: guardar el informe en el formato seleccionado.
La barra lateral incluye tres opciones, representadas con iconos. A medida que seleccione opciones
y sus parametros respectivos, el informe se actualiza en el visor.
243
Parametros: —Cambiar los parametros del informe, los cuales varian entre informes. Una vez
que haya seleccionado los diferentes parametros, haga clic en Ver informe para actualizar el
informe con los nuevos parametros.
Buscar: buscar una cadena de texto determinada en todos los datos del informe.
Especifique la cadena y seleccione los criterios (como el caso de coincidencia),
luego haga clic en Buscar. Aparece una lista de las coincidencias de la cadena. Haga clic en
una de ellas para ir a esa seccion del informe. La coincidencia aparece resaltada.
Mapa del documento: si se definio un mapa del documento para el informe, muestra un
esquema del contenido del informe. Esta opcion no aparece si no hay un mapa del
documento. Haga clic en un elemento de la lista para ir a ese punto del informe.
lista en el informe mediante la seleccion de (Todos). Al hacer esto, no se seleccionan los elementos
individuales de la lista, sino que se incluyen todos en el informe.
Para seleccionar un subconjunto de los elementos, seleccione las opciones que desee incluir en el
informe. Asegurese de que la opcion (Todos) no este activada. Use la tecla Ctrl+clic o Mayus+clic
para seleccionar varios elementos, luego haga clic en Ver informe.
Seleccion de dispositivos, grupos o ubicaciones
Los parametros vanan con cada informe. Sin embargo, todos los informes incluyen una opcion de
seleccion que especifica dispositivos individuales, consultas, grupos, ambito o ubicacion. Esto le
permite generar un informe que corresponda a una consulta, un grupo o un ambito que hayan sido
definidos en la vista de red o en una ubicacion en la red.
Seleccionar dispositivos por
1 Dispositivo
^Seleccionar un valor>
HOispositivo :
! Consulta
Agrupar
Ambito
Ubicacion
Por ejemplo, puede seleccionar dispositivos de una ubicacion con base en la ubicacion del
dispositivo en la red. Cuando seleccione Ubicacion, la lista mostrara las ubicaciones en la red
ordenadas por nombre de dominio.
244
GUÍA DE USUARIO
Selection ar disposittvos por

Ubicacion .d
Lists
M.
Ivanti.com/Aplicaciones ds
Ivanti.com/Ccmtmlador de
Ivanti.com/Equipos
Ivanti.com/3en/icios de LA
Editor del tablero de resultados

El editor del tablero de resultados permite administrar los graficos personalizados. Se puede utilizar
para ver graficos en ventanas separadas, cambiar las propiedades de los graficos, imprimirlos y
desglosarlos para ver la informacion detallada y ejecutar consultas. Tambien puede copiar graficos
en el porta papeles y luego pegarlos en otra aplicacion, como un correo electronico.
El editor del tablero de resultados muestra los tableros predefinidos de varias herramientas, como
Parches ycumplimiento. Es necesario que la herramienta se haya iniciado para que el tablero de
resultados aparezca en el editor de tableros de resultados. Tambien se pueden creartableros de
resultados nuevos.
Para abrir el Editor del tablero de resultados, haga clic en Herramientas > Informes/Monitor > Editor
del tablero de resultados. El Editor del tablero de resultados se abre en el panel inferior de la
consola. Desde la barra de herramientas del editor del tablero de resultados, puede acceder a las
siguientes funciones: Muchas de estas funciones estan tambien disponibles en el menu que
aparece cuando hace clic sobre un grafico con el boton derecho.
Nuevo tablero de resultados: ^ Si tiene seleccionada una carpeta de la consola, haga clic
17
sobre el boton Nuevo tablero de resultados para crear un tablero de resultados nuevo.
17 Agregar graficos...: ^ Si tiene seleccionado un tablero de resultados de la consola, haga clic

sobre el boton Agregar graficos...para agregar un grafico nuevo en el tablero de resultados.
Se puede agregar el mismo grafico varias veces a un tablero de resultados. Por ejemplo, es
posible que desee agregar el mismo grafico mas de una vez para aplicar las propiedades
personalizadas a cada grafico y luego verlos todos juntos. Para ver si ya ha incluido un
grafico en el tablero de resultados, busque el mensaje que se adjunta al tftulo que dice "en el
tablero de resultados n veces", donde n es 1 o mas. Para cambiar el orden de los graficos del
tablero de resultados, haga clicy arrastre el grafico a la ubicacion deseada.
245
/
• Propiedades: Haga clic para abrir el dialogo Propiedades del grafico seleccionado. El boton
1
Propiedades solo esta activo si es posible editar el grafico seleccionado. Tambien se puede
editar un grafico haciendo clic con el boton derecho sobre el grafico y haciendo clic en
Propiedades... Algunos graficos le permiten aplicar filtros, algunos tienen propiedades
editables y otros no tienen ninguna de estas opciones. Por ejemplo, con algunos graficos se
puede especificar una paleta de colores y otros graficos tienen colores no modificables que
se definen en el dialogo Propiedades. Las opciones del dialogo Propiedades vanan segun el
grafico.
• Eliminar elementos seleccionados:Haga clic para eliminar un grafico. El boton Eliminar
elementos seleccionados solo esta activo si es posible editar el grafico o tablero de
resultados seleccionado. No es posible eliminar definitivamente los tableros de resultados
predefinidos.
Actualizar: Actualiza los datos de los graficos del tablero de resultados. Los graficos de
otros tableros se sincronizaran automaticamente.
■ ■■
• Mostrar tablero en una ventana distinta: haga clic para que aparezca el tablero de
resultados en una ventana nueva. Cuando se visualiza un tablero de resultados en una
ventana separada, setiene acceso a funciones adicionales, que incluyen el filtrado portipo de
definicion, por ambito, aplicar filtros personalizados y personalizar la actualizacion
automatica. Se pueden ver varios tableros de resultados simultaneamente. Por ejemplo, es
posible que desee ver varios tableros de resultados de la misma herramienta pero que
utilicen filtros diferentes. Para obtener mas informacion acerca del uso de filtros, consulte
Personalizar las listas de elementos con filtros.
NOTE: Las ventanas de tableros de resultados separadas permanecen en la parte superior de la consola.
Si hace doble clic sobre un grafico para desglosarlo, es posible que deba recolocar el tablero de resultados
para ver la consulta que se haya generado con el grafico en la consola.
Acerca del cuadro de dialogo Programar tarea

Cuando programe un informe, se pueden configurar los siguientes artfculos. Algunos artfculos
son a tftulo informativo y no se pueden configurar.
Etiqueta de Informacion general

• Propietario: el ambito del informe coincide con el ambito de aplicacion del usuario que ejecute
el informe. Si desea cambiar a un usuario diferente, seleccione alguno de la lista.
246
GUÍA DE USUARIO
Etiqueta de Programar tarea

. Dejar sin programar: Agrega la tarea a la ventana Tareas programadas, pero no la programa.
Utilice esta opcion si desea preservar una tarea de configuracion pero no desea ejecutarla.
• Iniciar ahora: inicia la tarea tan pronto se cierra el cuadro de dialogo. Puede haber un retraso
de hasta un minuto antes de que la tarea se inicie realmente.
• Iniciar mas adelante: inicia la tarea en la fecha y horas especificadas.
• Fecha y hora: ejecuta una tarea en la fecha seleccionada. Indique la fecha utilizando el
formato MM/DD/AA, o bien, haga clic en la lista desplegable para seleccionar la fecha en un
calendario.
• Repetir cada: programa la tarea para que suceda periodicamente. Indique el dfa, la semana y
el mes en la lista para seleccionar con que frecuencia se repetira la tarea. Se repetira cuando
se indique.
Etiqueta de Destinatarios
• Recurso compartido de Informes LAN DESK: De forma predeterminada, todos los informes
se guardan en la carpeta ldmain\reports, la cual queda configurada como un recurso
compartido en el servidor central. Cualquier persona que tenga derechos a ese recurso
compartido puede abrir la carpeta y ver los informes. Si no desea que se guarde el informe
en el recurso compartido, desmarque esta casilla.
• Usuarios: seleccione la casilla de verificacion de cada usuario que desea que reciba el
informe. Para enviar un informe algun usuario, el usuario de las propiedades debe tener una
direccion de correo electronico especificada (esto se hace en la herramienta de
Administration de usuarios).
Etiqueta de Configuracion de SMTP

• Servidor del correo de salida: seleccione el servidor SMTP que desea utilizar para enviar
informes por correo electronico.
• Numero de puerto: especifique el numero de puerto que utiliza el servidor SMTP.
• Este servidor requiere una conexion segura: seleccione esta casilla si el servidor SMTP
requiere una conexion HTTPS.
• Mi servidor de salida requiere autenticacion: seleccione esta casilla de verificacion si el
servidor requiere credenciales. Puede utilizar la autenticacion NTLM o especificar un nombre
de usuario y contrasena.
• Probar correo electronico: Introduzca una direccion de correo electronico de prueba y haga
clic en Prueba para comprobar la configuracion de SMTPy asegurarse de que la
configuracion de SMTPes valida.
247
Scheduling tasks
Programacion de tareas
IVANTI Endpoint Manager incluye un potente sistema de tareas programadas. Tanto el servidor
central como los dispositivos administrados tienen servicios o agentes que admiten tareas
programadas. Las consolas de Endpoint Manager yconsolas Web pueden agregarle tareas al
programador.
Una tarea de distribucion de software consiste de un paquete de distribucion, un metodo de

entrega, dispositivos de destino y una hora programada. Las tareas de no distribucion consisten de
una secuencia de comandos, dispositivos destino y tiempo programado.
A continuacion se presentan algunas tareas que se pueden programar:
• Configuraciones de dispositivos
• Diversas secuencias de comandos personalizadas
• Implementaciones de formularios de datos personalizados
• Detecciones de dispositivos no administrados
• Rastreos de vulnerabilidad
• Ejecucion de software en dispositivos administrados
Administracion de secuencias de comandos

IVANTI Endpoint Manager utiliza secuencias de comandos para ejecutartareas personalizadas en los
dispositivos. Puede crear secuencias de comandos desde la ventana Administrar secuencias de
comandos (Herramientas Tools > Distribucion Tools > Administrar secuencias de comandos).
La ventana Administrar secuencias de comandos divide las secuencias en tres categories:
• Mis secuencias de comandos: secuencias de comandos creadas.

• Secuencias de comandos publicas: secuencias de comandos que han sido marcadas como
publicas por algun usuario que tiene el derecho de "Modificar publico" de Administrar
secuencias de comandos. Estas secuencias de comandos son de solo lectura para todos los
demas. Los usuarios pueden copiar secuencias de comandos publicas en su carpeta de Mis
secuencias de comandos para modificarlas.
• Todas las secuencias de comandos: todas las secuencias de comandos que se encuentran
en el servidor central.
Puede crear grupos en el elemento Mis secuencias de comandos para clasificar aun mas las
secuencias de comandos. Para crear una nueva secuencia de comandos, haga clic en el elemento
Mis secuencias de comandos o un grupo que haya creado, y luego haga clic en el tipo de secuencia
de comandos que desee crear.
Una vez creada la secuencia de comandos, puede hacer clic en Programar en el menu contextual de
la misma. Esta operacion inicia la ventana Tareas programadas (Herramientas > Distribucion >
248
GUÍA DE USUARIO
Tareas programadas), en la cual se pueden especificar los dispositivos sobre los que se ejecutara la
tarea y cuando se debera ejecutar. Para obtener mas informacion sobre la programacion de tareas,
consulte la siguiente seccion.
Debido a las capacidades espedficas admitidas en la consola de Windows, las secuencias de

comandos creadas en la consola de Windows no deben modificarse en la consola Web.
Programar una tarea

La ventana Tareas programadas muestra el estado de las mismas y si estas se realizaron con exito
o no. El Servicio programador puede comunicarse con los dispositivos de dos maneras distintas:
• A traves del agente de IVANTI estandar (ya debe estar instalado en los dispositivos).
• A traves de una cuenta del sistema a nivel de dominio. La cuenta que elija debe tener el inicio
de sesion como un privilegio del servicio. Para obtener mas informacion sobre la
configuracion de la cuenta Programador, consulte "Configuracion del servicio programador"
(98).
La consola incluye secuencias de comandos que se pueden programar para que realicen tareas de
mantenimiento de rutina; por ejemplo, ejecucion de rastreos de inventario en dispositivos
seleccionados. Puede programar estas secuencias de comandos desde Herramientas > Distribucion
> Administrar secuencias de comandos > Todas las secuencias.
Antes de programar tareas para un dispositivo, este debe contener el agente de IVANTI estandar y
encontrarse en la base de datos de inventario.
Para programar una tarea
1. En la ventana de Tareas programadas, haga clic en uno de los siguientes botones de la barra
de herramientas: Programar secuencias de comandos personalizadas, Formularios de datos
personalizados, Configuracion del agente o Programar rastreos de inventario.
2. Introduzca la informacion necesaria del tipo de tarea que selecciono.

3. Haga clic en el boton Programar. Se abre la ventana Tareas programadas y se agrega la
secuencia a ella, donde se convierte en una tarea.
4. En la vista de red, seleccione los dispositivos que desee que sean los destinos de las tareas,
y arrastrelos a la tarea en la ventana Tareas programadas.
5. En la ventana Tareas programadas, haga clic en Propiedades en el menu de acceso directo

de la tarea.
6. En la pagina Tarea programada, defina la hora de inicio de la tarea y haga clic en Guardar.
Puede agregar mas dispositivos a la tarea al arrastrarlos desde la vista de red y soltarlos en la tarea
que desee en la ventana Tareas programadas.
Uso de la ventana Tareas programadas
Utilice la ventana Tareas programadas para configurary programar las secuencias de comandos que
ha creado. Programe elementos para una unica entrega, o bien, programe una tarea recurrente
como, por ejemplo, una tarea de secuencia de comandos para buscar regularmente dispositivos no
249
administrados.
La ventana Tareas programadas se divide en dos partes. La mitad izquierda muestra el arbol de
tareas y las tareas, y la mitad derecha muestra la informacion espedfica a lo que usted selecciono
en el arbol.
Panel izquierdo
El panel izquierdo muestra los siguientes grupos de tareas:
• Mis tareas: tareas que se han programado. Solamente usted y los usuarios administrativos
de Endpoint Manager pueden ver estas tareas.
• Tareas publicas: tareas que los usuarios que tienen el derecho de "para Modificar publico"
han marcado como publicas.
• Todas las tareas: tanto las tareas personales y las tareas marcadas como comunes.
Puede arrastrar secuencias de comandos al panel izquierdo de la ventana Tareas programadas.

Cuando haya una secuencia de comandos en dicho panel, podra configurar sus destinos
arrastrando dispositivos, consultas o grupos al panel derecho.
Las tareas tienen tambien un menu contextual que puede utilizar. La opcion del boton derecho del
menu Iniciar ahora tiene las siguientes opciones:
• Todos: ejecuta la tarea en todos los dispositivos.

• Dispositivos que no ejecutaron la tarea: ejecuta la tarea solo en los dispositivos de destino
que intentaron realizar la tarea, pero no se llevaron a cabo satisfactoriamente.
• Dispositivos que no intentaron ejecutar la tarea: ejecuta la tarea solo en los dispositivos de
destino que no intentaron ejecutar la tarea, como los dispositivos que se encontraban
apagados o no estaban conectados a la red.
• Esperando o en ejecucion: ejecuta la tarea en los dispositivos que se encuentran en estado

de espera o trabajando actualmente. Esto es util cuando los dispositivos se bloquean en uno
de estos estados de tarea y se debe intentar realizar la tarea de nuevo.
250
GUÍA DE USUARIO
Ver graficos del estado del programador de tareas

IVANTI® Endpoint Manager 9.6 SP1 ha agregado graficos de estado del programador de tareas. En
la herramienta Tareas programadas (Herramientas > Distribution > Tareas programadas), haga clic
en el elemento Tareas programadas de rafz para ver los graficos, que proporcionan informacion
acerca de muchos elementos, como:
• Resumen de tareas: Configurable en dâs u horas. Los administradores pueden vertodas las
tareas, del ambito del propietario, de inicio, y otros.
• Resumen: Los administradores pueden ver todas las tareas, del ambito del propietario, de
inicio, y otros.
• Tareas por tipo: Muestra las tareas portipo de tarea (como un envfo con soporte de polfticas,
polftica o envfo). Los administradores pueden ver todas las tareas, del ambito del
propietario, de inicio, y otros.
• Tareas obsoletas: Configurable en dfas u horas. Muestra las tareas con los dispositivos que
no han respondido.
• Codigos de error principales: Muestra los siete codigos de error principales.

• Errores de tarea por fase: Muestra los errores por fase de tarea, como Iniciado, Iniciando,
Descargando o Instalando.
• Estado de clientes: Muestra el estado de los clientes en las tareas, como En progreso,
Descargando o Instalando.
• Propietarios de tareas principales: Muestra los siete propietarios de tareas principales.

• Tarea principal por usuario de ambito: Muestra los siete inicios de tareas principales.
• Tareas por componente: Muestra las tareas de los componentes de Endpoint Manager, como
Antivirus, Configuracion de cambios, Instalador, Revision, Aprovisionamiento, Reiniciar,
Distribucion de software o Desconocido.
Para los usuarios que no sean administradores de consola, todos los graficos entran en el ambito
de propietario, inicio o de equipo. El ambito no se aplica a los graficos en los propietarios de tareas
principales ni a las tareas principales del ambito de usuario.
Cada grafico tiene un barra de herramientas que le permite llevar a cabo lo siguiente:
• Actualizar los datos del grafico

• Copiar el grafico en el portapapeles como una imagen
• Imprimir el grafico
• Modificar la vista del grafico entre circular y de barras . Editar las propiedades del grafico, si
fuera posible
Para configurar que graficos del programador de tareas son visibles
1. Haga clicen Herramientas > Configuration > Tareas programadas.

2. En la barra de herramientas de la ventana de Tareas programadas, haga clic en el boton
251
Graficos “ .
3. Mueva los graficos que desee visualizar al cuadro de graficos seleccionado.
4. Seleccione un grafico y utilice las flechas de direction para modificar el orden de
visualization.
Ver dispositivos y estados en los graficos del programador

de tareas
IVANTI® Endpoint Manager 9.6 SP1 ha agregado graficos de estado del programador de tareas. En
la herramienta de Tareas programadas, haga clic en el elemento Tareas programadas de rafz para
ver los graficos. Cuando hace doble clic en la barra o sector de un grafico, puede obtener
information adicional sobre los dispositivos del elemento que ha clicado. Todos los graficos tienen
una o dos opciones de detalladas: fallos o estados. Los dispositivos de la vista detallada tienen las
mismas opciones del menu contextual que la Vista de red. Ademas, cuando selecciona un
dispositivo de la vista detallada, puede utilizar la barra de herramientas para acceder a estas
opciones:
• Detection en tiempo real: Detecta el nombre de dominio completo, direcciones IPy MAC del
dispositivo, y la ID de dispositivo de Endpoint Manager.
• Visualizador de eventos remoto: Inicia el Visualizador de eventos remoto de Windows con

los datos del dispositivo seleccionado.
• 1= Sistema de archivos remoto: Inicia el explorador de archivos de Windows y muestra los
recursos compartidos C$ del dispositivo.
Cambiar la configuracion predeterminada de tareas

programadas
Puede cambiar muchos de los ajustes predeterminados de tareas programadas. Estos ajustes
predeterminados se aplican cada vez que se programa una tarea. Puede cambiar los siguientes
elementos predeterminados:
• El numero de dispositivos con distribution acelerada a procesar simultaneamente

• El intervalo de limpieza de mantenimiento con polftica APM para destinos de la tabla de la
base de datos LD_LDAP_TARGETS
• El tipo de tarea (distribucion con soporte de polftica, polftica o distribucion)
• La frecuencia, como ejecutar una vez o cada hora
• Mas opciones de distribucion, como la distribucion acelerada o los dispositivos reactivados
• Las opciones de descarga, como ejecutar desde la fuente o precache
Para cambiar la configuracion predeterminada de tareas programadas
252
GUÍA DE USUARIO
1. Haga clicen Herramientas > Distribucion > Tareas programadas.

2. En la tarea de herramientas de tareas programadas, haga clic en el icono y haga clic en
3. Cambie la configuracion predeterminada y haga clic en Guardar.
Plantillas de tareas programadas

Las tareas tienen muchas opciones de configuracion. Si hay una configuracion de tareas que suele
utilizar a menudo, puede crear una plantilla de tarea. La siguiente vez que cree una nueva tarea,
podra crearla desde la plantilla y aplicar automaticamente la configuracion de la tarea de la plantilla.
Endpoint Manager se envfa con algunas plantillas de tareas predeterminadas con los ajustes
recomendados.
Para crear una nueva tarea programada basada en una plantilla existente

2. Desde el grupo Plantillas de tareas del arbol, abra el menu de acceso directo de la plantilla
que desee y haga clic en Crear tareas programadas.
3. El cuadro de dialogo Tarea programada se abre con la configuracion de la plantilla

preconfigurada. Personalice los ajustes como sea necesario y haga clic en Guardar.
Para crear una nueva tarea programada basada en una plantilla

2. Haga clic en el elemento del arbol Plantillas de tareas.
3. En la barra de herramientas, haga clic en Nueva > Plantilla de distribucion de software o en
Nueva > Plantilla de parche.
4. Configure los ajustes de la plantilla y haga clic en Guardar. La nueva plantilla aparecera en el
arbol, bajo Plantillas de tareas.
Cancelar una tarea

Se pueden cancelar las tareas en espera o activas. La forma en que se cancela la tarea depende del
tipo de tarea, tal como se describe a continuacion.
• Tareas de distribution de software: Utilice el boton Cancelar de la barra de herramientas. El
boton de la barra de herramientas solamente esta disponible para las tareas de distribucion
de software.
• Secuencias personalizadas de comandos: En el menu de acceso directo de la secuencia que

desee cancelar, haga clic en Estado actual. El cuadro de dialogo Estado de la tarea tiene los
253
botones Parar tarea y Cancelar tarea. Haga clic en el boton que desee.
• Tareas en espera: En el menu de acceso directo de la tarea que desee cancelar, haga clic en
Propiedades. En la pagina Tarea programada, haga clic en Dejar sin programar.
Asignacion de destinos a una tarea

Una vez agregada una cadena al panel de Tareas programadas, se convierte en una tarea a la que se
pueden asignar destinos arrastrandolos desde la vista de red a la tarea. Los destinos pueden incluir
los dispositivos individuales, grupos de dispositivos, objetos LDAP, consultas LDAPy consultas de
inventario. Las consultas y los grupos son unas opciones eficaces que permiten tener una lista
dinamica de dispositivos que se puede cambiar para las tareas recurrentes. Por ejemplo, como la
lista de dispositivos de destino de una consulta puede cambiar, cualquiertarea que utilice esa
consulta establecera automaticamente el destino de los nuevos dispositivos de la lista.
Si un dispositivo se define como destino mas de una vez, tal como cuando dos consultas de destino
tienen resultados que se traslapan, el servidor central detecta la duplicacion y no ejecuta la tarea
varias veces en el mismo dispositivo.
Al utilizar consultas para seleccionar destinos de tareas, la consulta no se ejecuta hasta que se
inicia la tarea. El cuadro de dialogo Propiedades de tarea programada muestra los dispositivos de
destino hasta que se ejecuta la tarea.
Tambien puede agregar destinos directamente desde las pagina Destinos de las propiedades de las
tareas. Asignar destinos desde esta pagina le proporciona un punto de acceso unico para todos los
tipos de destino disponibles y destinos posibles. Simplemente debera seleccionar el tipo de destino
que desee y hacer clic en Agregar.
Aplicacion de ambitos a las tareas
Varios usuarios de Endpoint Manager pueden agregar destinos a una tarea programada. Sin
embargo, en el panel Tareas programadas, cada usuario de Endpoint Manager solo vera los
destinos de su propio ambito. Si dos usuarios con ambitos que no se superponen entre sf agregan
20 destinos a una tarea, cada usuario vera solo estos 20 destinos que han agregado, pero la tarea se
ejecutara en los 40.
Seleccion de destinos para su tarea
Cada tarea necesita un juego de destinos en los que ejecutarla. Las tareas pueden tener dos tipos
de destinos: estaticos y dinamicos.
• Destinos estaticos: Una lista de usuarios o dispositivos espedficos que no cambia a menos
que lo modifique manualmente. Los destinos estaticos pueden ser usuarios o dispositivos
LDAP del Administrador de directorios o dispositivos de la vista de red de la consola.
• Destinos dinamicos: Una lista dinamica de dispositivos de destino que las tareas de
distribucion basadas en poifticas comprueban regularmente en busca de cambios. A medida
que haya dispositivos nuevos que cumplan los criterios de consulta, las tareas recurrentes
que utilicen dichas consultas se aplicaran a estos dispositivos. Entre las listas dinamicas se
254
GUÍA DE USUARIO
incluyen resultados de consultas y grupos/contenedores LDAP o grupos de vista de red.
Se pueden especificar los destinos estaticos de polfticas siguientes:
• Vista de red de los dispositivos: Conjunto estatico de dispositivos de la base de datos

central.
• Usuarios o dispositivos LDAP: Conjunto estatico de objetos de usuario y/o dispositivo.
Se pueden especificar los destinos dinamicos de polfticas siguientes:
• Vista de red del grupo: Conjunto dinamico de dispositivos de la base de datos central.
• Grupo/contenedor LDAP: Un conjunto dinamico de objetos de usuario, dispositivo u objetos
de grupo.
• Consulta de base de datos: Conjunto de dispositivos generado por una consulta realizada en
• Grupo de usuarios: Un grupo de usuarios seleccionado de un directorio compatible con

LDAP.
• Consulta LDAP: Un conjunto de usuarios, dispositivos o ambos, generado mediante una
consulta en un directorio compatible con LDAP.
Seleccionar destinos mediante un directorio

Para que los dispositivos reciban polfticas dirigidas a traves de Active Directory, estos deben estar
configurados para iniciar sesion en el directorio. Esto significa que deben tener instalado el
software de dispositivo correspondiente y que deben iniciar sesion en el directorio correcto para
que su nombre exclusivo coincida con el nombre de destino especificado mediante el
Administrador de directorios.
En cada dispositivo Windows, debe existir una cuenta de equipo en el controlador de dominio de
Active Directory. Esto significa que el equipo que se utiliza como dispositivo debe conectarse al
dominio en el que se encuentre Active Directory. No basta con asignar una unidad de red utilizando
un nombre de dominio completo de Windows. Esta polftica no se aplicara de este modo.
Para utilizar el Administrador de directorios para crear una consulta
1. Haga clicen Herramientas > Distribucion > Administrador de directorios.

2. Haga clic en el boton Administrar directorio de la barra de herramientas.
3. Introduzca la URLyla informacion deautenticacion del directorioyhaga clicen Aceptar.
4. Haga clic en el boton de la barra de herramientas Nueva consulta.
5. Cree la consulta. Para obtener mas informacion, ver "Consultas LDAP" (198).
255
Usar el conocimiento de la zona horaria con los destinos

de las tareas
IVANTI Endpoint Manager version 9.6 ha agregado el conocimiento de la zona horaria. Existen mas
de 30zonas horarias en el mundo, y si la suya es una empresa global, puede ser complicado
gestionar tareas con sensibilidad horaria que se deban destinar a dispositivos en varias zonas
horarias. Por ejemplo, si su empresa tiene una ventana de mantenimiento de 2 AM a 3 AM, y cuenta
con oficinas tanto en Europa como en America, sena interesante que no necesitase crear tareas
separadas para los dispositivos de las diferentes zonas horarias, de manera que la tarea se ejecute
durante esa ventana. Ahora puede hacertodo esto de manera sencilla con una unica tarea.
Entre los datos del inventario, Endpoint Manager mantiene para cada dispositivo administrado en la
zona horaria del lugar en que se encuentra. Si asf lo desea, el programador de tareas puede utilizar
estos datos para ejecutar automaticamente la tarea basandose en la zona horaria del dispositivo, en
lugar de utilizar la zona horaria del servidor central.
Para utilizar el conocimiento de la zona horaria en una tarea
1. Programe una tarea yanada destinos.

2. Haga clic con el boton derecho sobre la tarea y luego haga clic en Propiedades.
3. En la pagina Dispositivos de destino, revise la lista de Zonas horarias de destino para ver los
dispositivos de destino ordenados por zona horaria.
4. En la pagina Programar tarea, seleccione Destino con conocimiento de zona horaria, para
que la tarea se ejecute basandose en la zona horaria de destino.
5. Guarde los cambios y ejecute la tarea. Cuando la hora programada llegue a cada zona
horaria, los servidores centrales ejecutaran la tarea en los destinos de dicha zona horaria.
Lo que se ve cuando se ejecutan las tareas

La ventana Tareas programadas siempre muestra el estado del trabajo. Si esta programando
configuraciones de dispositivos o despliegues de SO, tambien vera el cuadro de dialogo Utilidad de
instalacion de cliente. A medida que avanza el servicio de programador a traves de la lista de
destinos, vera una lista de dispositivos a configurar, dispositivos que se estan configurando y
dispositivos ya configurados.
Si esta programando distribuciones de multidifusion dirigida, vera la ventana de Estado de la

distribution de software por multidifusion. Dicha ventana muestra el estado de la multidifusion.
Para obtener mas informacion, consulte "Acerca de la ventana Estado de la distribucion de software
de multidifusion" (346).
Si se encuentra programando secuencias personalizadas de comandos, vera la ventana

Procesamiento de trabajos personalizados en la que se muestran los dispositivos programados, en
funcionamiento y terminados, ademas del estado de la secuencia de comandos lmea por lmea a
medida que se ejecuta.
256
GUÍA DE USUARIO
Supervision del estado de las tareas

Cuando una tarea inicia el procesamiento, los dispositivos destino se mueven entre diversos
estados de tareas. Puede monitorear el estado de tarea en los dispositivos de destino haciendo clic
en una tarea activa de la ventana de Tareas programadas. Los dispositivos estaran dentro de una de
las siguientes categories:
• Todos los dispositivos: Todos los dispositivos para la tarea.

• Activo: Destinos en proceso.
• Pendientes: Destinos que todavfa no se procesan.
• Satisfactorio: Los destinos que completaron correctamente la tarea.
• Error: Destinos que dieron error en la tarea.
Estos son los estados que puede tener la tarea, y la categoria en la que son visibles:
• Esperando: Listo para procesar una tarea; (Pendiente) categona . Activo: Procesando la
257
tarea actual; (Activa) categona

• Finalizado: Tarea procesada correctamente; (Correcta) categona
• Ocupado: El dispositivo se encuentra procesando una tarea diferente y no pudo procesar la
tarea actual; (Error) categona
• Error: No finalizo de procesar la tarea por alguna razon; (Error) categona
• Desactivado: El dispositivo se encontraba desactivado o no estaba al alcance; (Error)
categona
• Cancelado: El usuario ha cancelado la tarea; (Error) categona
Cuando un dispositivo se encuentra procesando una tarea, se movera por estos estados (visibles
en la columna Estados):
• Iniciado desde servidor central

• Inicio
• Descarga
• Instalacion de
• Completado
Visualizacion de registros de tareas

Si un dispositivo no puede procesar una tarea, la ventana Tareas programadas guarda el registro de
la tarea. Los registros disponibles aparecen en la columna Archivo de registro proximo a un
dispositivo. En el archivo de registro se puede ver un comando de tarea con error.
Uso de las secuencias de comandos predeterminadas

Endpoint Manager incluye un conjunto predeterminado de secuencias, las cuales se enumeran a
continuacion. Puede utilizarlas para realizar algunas tareas de Endpoint Manager. Estas secuencias
de comandos se encuentran disponibles en el arbol Todas las secuencias de comandos en la
ventana de
Administrar secuencias de comandos (Herramientas > Distribution > Administrar secuencias de
comandos).
• am_verifyall: verifica todos los paquetes instalados en los clientes mediante polfticas.
• Crear certificado de cliente de Management Gateway: Crea un certificado de seguridad para
que un dispositivo puede usar Management Gateway.
• Data Analytics: importar y borrar usuarios: Ejecuta la regla de Servicios de traduccion
de datos para archivar los dispositivos de usuarios espedficos en Control de Activos, al
mismo tiempo que se eliminan los dispositivos de la base de datos de Endpoint
Manager.
• Desactivar el filtro de escritura de Windows: desactiva el filtro de escritura de Windows;
comienza un reinicio en el cliente.
• Activar el filtro de escritura ampliado de Windows: activa el filtro de escritura ampliado de
Windows; comienza un reinicio en el cliente.
• Activar el filtro de escritura basado en el archivo de Windows: activa el filtro de escritura con
base en archivo de Windows; comienza un reinicio en el cliente.
258
GUÍA DE USUARIO
• Inventarioscanner: ejecuta el rastreador de inventario en los dispositivos seleccionados.

• Despliegue del servicio MSI: implementa el servicio MSI necesario para un representante de
PXE.
• multicast_domain_discovery: realiza una deteccion de representante de dominio de
multidifusion dirigida.
• multicast_info: ejecuta una secuencia de comandos de solucion de problemas que muestra
que informacion pasara la ventana Tareas programadas a multidifusion dirigida, incluyendo
las direcciones IP del dispositivo de destinoy la informacion de subred. Crea un archivo
denominado c:\mcinfo.txt.
• Sincronizacion de paquete: ejecuta un chequeo de polfticas para ver si se necesita aplicar
alguna nueva polftica otenerla disponible.
• Restaurar registros de cliente: ejecuta un rastreo de inventario en los dispositivos
seleccionados y el rastreador informa al servidor central en el que se configuro el
dispositivo. Si es necesario restablecer la base de datos, esta tarea permite agregar
dispositivos de nuevo a la base de datos central correspondiente en un entorno con varios
servidores centrales.
• Desinstalar cliente de medicion: elimina el agente de medicion de software de los
dispositivos de destino. Este agente se utilizo en las versiones de Endpoint Manager
anteriores a la version
8.
Descripcion de las opciones de ancho de banda de las

tareas
Al configurar los comandos del programador local, puede especificar el criterio de ancho de banda
mfnimo necesario para que se ejecute la tarea. La prueba del ancho de banda consiste en
creartrafico de red en el dispositivo especificado. Cuando llega el momento de ejecutar la tarea,
cada dispositivo que ejecuta la tarea del programador local envfa una pequena cantidad de trafico
de red ICMP al dispositivo especificado y evalua el rendimiento de la transferencia. Si el dispositivo
de destino de prueba no esta disponible, la tarea no se ejecuta.
Las opciones de ancho de banda son:
• RAS: la tarea se ejecuta si la conexion de red del dispositivo al dispositivo de destino tiene al
259
menos una velocidad RAS o de acceso telefonico, tal como se detecta a traves del API de
red. Normalmente, si se selecciona esta opcion, la tarea siempre se va a ejecutar si el
dispositivo tiene una conexion de red de algun tipo.
• WAN: la tarea se ejecuta si la conexion del dispositivo al dispositivo de destino es al menos

una velocidad WAN. La velocidad WAN se define como una conexion no RAS que es mas
lenta que el umbral LAN.
• LAN: La tarea se ejecuta cuando la conexion del dispositivo al dispositivo de destino excede
la configuracion de velocidad LAN. La velocidad LAN se define como cualquier velocidad
mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la
configuracion del agente (pagina Herramientas > Configuracion > Agente > Configuracion >
Deteccion de ancho de banda). Los cambios que realice entran en efecto cuando se
implementa la configuracion actualizada en los dispositivos.
Ayuda de Tareas programadas

Acerca del cuadro de dialogo Programar tarea
A este cuadro de dialogo se accede desde la ventana de Tareas programadas (Herramientas >
Distribucion > Tareas programadas). En la ventana Tareas programadas, haga clic en el boton Crear
tarea de distribucion de software en la barra de tareas, o desde el menu contextual de la tarea que
desee configurar, haga clic en Propiedades.
Utilice este cuadro de dialogo para establecer el la hora de inicio de la tarea y si se desea su
repeticion, y con que frecuencia. Este cuadro de dialogo tambien muestra los destinos de la tarea.
Dependiendo del tipo de tarea que se este programando, tambien podra ver las opciones de entrega
y distribucion de los paquetes.
Acerca de la copia de tareas
Tambien puede crear grupos para que las tareas comunes los clasifiquen. Los demas usuarios
veran los grupos solo si su ambito RBA les permite ver una tarea en dicho grupo. Si trata de
eliminar un grupo que contenga tareas, no podra eliminar el grupo si contiene tareas que su ambito
no le permite ver.
Acerca de la pagina de Informacion general
Esta pagina permite elegir un propietario para la tarea y resume las opciones seleccionadas para el
cuadro de dialogo Tareas programadas. Si desea modificar alguna de las opciones, haga clic en
Cambiar, junto a esa tarea. Si desea que la tarea aparezca en el grupo Tareas comunes de la ventana
Tareas programadas, en lugar de en el grupo Mis tareas, haga clic en Mostrar en tareas comunes.
260
GUÍA DE USUARIO
Acerca de la pagina de paquetes de distribucion
Esta pagina permite seleccionar el paquete que se desea enviar. Una vez seleccionado el Tipo de
paquete, la lista Paquete de distribucion muestra los paquetes de ese tipo que se pueden distribuir.
Los paquetes de la lista corresponden a los paquetes que se pueden ver en ese tipo espedfico, en la
ventana Paquetes de distribucion para el usuario actual y el usuario publico. Haga clic en el Paquete
de distribucion deseado.
Acerca de la pagina de destino
Utilice esta pagina para ver los dispositivos de destino para la tarea que esta configurando. Puede
agregar destinos en esta pagina seleccionando un tipo de destino y haciendo clic en Agregar. Mas
adelante tambien se pueden agregar destinos arrastrandoy soltandolos en la tarea de la ventana
Tareas programadas. Los dispositivos de destino pueden incluirse en alguna de las categonas
siguientes:
• Dispositivos de destino
• Objetos LDAP de destino
• Consultas dirigidas
• Consultas LDAP dirigidas
• Grupos de dispositivos de destino
• Ambitos de destino
• Zonas horarias de destino
Acerca de la pagina Configuracion de tareas
Utilice esta pagina para configurar el tipo de tarea, frecuencia de ejecucion, opciones de envfo y
opciones de descarga.
Tipo de tarea:
• Distribucion compatible con la polftica: Se trata del modelo de distribucion y polftica por
envfo. Primero, la distribucion de software intenta instalar el paquete en todos los
dispositivos de la lista de destino. De este modo, se puede realizar una implementacion
inicial mediante la multidifusion dirigida. Segundo, los dispositivos que no recibieron el
paquete o que se agregan posteriormente a la lista de destino (en el caso de las listas de
destino dinamicas), reciben el paquete cuando lo solicite el agente de administracion basada
en poifticas del dispositivo. Generalmente, este es el metodo de entrega recomendado.
• Polftica: El servidor central pone los paquetes a la disposicion para su descarga. Cuando un
dispositivo administrado busca las polfticas disponibles, se devuelve el paquete. Segun el
tipo de polftica, los dispositivos podnan instalar el paquete de forma automatica o ponerlo a
la disposicion de los usuarios para que lo instalen cuando lo deseen.
• Por envfo: Los paquetes pueden multidifundirse a los dispositivos administrados. A
continuacion, el servidor central inicia la instalacion de los paquetes en los dispositivos
administrados.
• Ignorar las siguientes solicitudes en dispositivos de destino correctos: si la tarea se
completo correctamente en el dispositivo, no intente volver a llevarla a cabo.
. Tipo de accion: Que hacer con la tarea en el portal del cliente. Esta opcion muestra que hay
261
seleccionado en la pagina de Configuracion del portal.

• Frecuencia: El intervalo de ejecucion de la tarea. Puede ser una vez, cada hora, a diario,
semanal o mensualmente.
Opciones de envfo adicionales:
• Envio acelerado: Predeterminados a habilitados. La velocidad de procesamiento de tareas

mejora al no esperar a que los dispositivos completen tareas antes de acceder al siguiente
dispositivo. Para obtener mas informacion, consulte "Usar la distribucion por envfo
acelerado" (311).
• Usar la resolution DNS para la detection: Utiliza las consultas de DNS para encontrar las
direcciones IP de los dispositivos, en lugar de los datos del escaner de inventario de la base
de datos.
• Esperar a que cada equipo termine de procesar la tarea: Si selecciona esta opcion, forzara al
controlador de tareas para que maneje los dispositivos uno a uno, en lugar de por lotes.
• Reactivar dispositivos: Utiliza Reactivar en LAN para reactivar los dispositivos suspendidos
o desactivados.
• Activation acelerada (los destinos no se apagaran): Utiliza Wake on LAN para activar los
dispositivos en reposo o apagados, pero acelera el proceso omitiendo los pasos de
deteccion. Una vez completado el trabajo, los dispositivos no se apagaran. Esto puede ser
util si se van a enviar varias tareas a dispositivos.
Opciones de descarga:
• Ejecutar desde la fuente (ejecutar al compartir): Ejecuta la tarea sin descargar antes los
archivos del paquete.
• Descargar y ejecutar: Predeterminado. Descarga los archivos del paquete en el cache de
distribucion local antes de ejecutarlos.
• Pre-cache (descargar para una tarea futura o para una accion iniciada desde el portal):
Copia los archivos del paquete en el cache local y los deja ahf.
Acerca de la pagina Configuracion del portal (en la pagina Configuracion de tareas)
Utilice esta pagina para seleccionar el modo en que los portales del cliente manejaran esta tarea.
• Ejecutar automaticamente (no mostrar en el portal): esta es la opcion predeterminada. La

tarea se ejecuta cuando el dispositivo la recibe, omitiendo el portal del cliente.
• Recomendado (mostrar en el portal): Muestra la tarea en la seccion del portal recomendada.
Los usuarios inician la tarea desde el portal.
• Opcional (mostrar en el portal): Muestra la tarea en la seccion del portal opcional. Los
usuarios inician la tarea desde el portal.
Acerca de la pagina Configuracion del agente
Utilice esta pagina para reemplazar temporalmente la distribucion y los ajustes del agente de
revision o las del agente de reinicio en el trabajo actual. Puede seleccionar una configuracion
diferente haciendo clic en una configuracion de la columna Configuracion.
262
GUÍA DE USUARIO
Acerca de la pagina de mensajes personalizados
Utilice esta pagina si desea configurar un mensaje personalizado para que aparezca cuando se
ejecuta la tarea. El texto del mensaje del texto puede incluir codigos de formato HTML.
Acerca de la pagina Programartareas
Utilice esta pagina para configurar en que momento se ejecutara una tarea y la forma en que
funcionaran los reintentos:
• Dejar sin programar: Agrega la tarea a la ventana Tareas programadas, pero no la programa.
Utilice esta opcion si desea preservar una tarea de configuracion pero no desea ejecutarla.
• Iniciar ahora: inicia la tarea tan pronto se cierra el cuadro de dialogo. Puede haber un retraso
de hasta un minuto antes de que la tarea se inicie realmente.
• Iniciar mas adelante: inicia la tarea en la fecha y horas especificadas.

• Fecha y hora: ejecuta una tarea en la fecha seleccionada. Indique la fecha utilizando el
formato MM/DD/AA, o bien, haga clic en la lista desplegable para seleccionar la fecha en un
calendario.
• Conocimiento de la zona horaria de destino: Ajusta automaticamente la hora de inicio de la

tarea en dispositivos de zonas horarias diferentes. Por ejemplo, si esta opcion se activa y la
hora de inicio de la tarea es las 2:00 AM, los dispositivos en zonas horarias diferentes no
ejecutaran la tarea hasta que la hora local sea las 2:00 AM. Para obtener mas informacion,
consulte "Usar el conocimiento de la zona horaria con los destinos de las tareas" (256).
• Repetir cada: programa la tarea para que suceda periodicamente. Indique el dfa, la semana y
el mes en la lista para seleccionar con que frecuencia se repetira la tarea. Se repetira cuando
se indique.
• Reintentar tareas en dispositivos con fallo: Si una tarea falla en un dispositivo, permite
volver a intentar la tarea en dicho dispositivo. Puede especificar el numero de reintentos
permitidos.
• Programar estos dispositivos: la primera vez que se ejecuta una tarea, es recomendable que
utilice la opcion predeterminada Dispositivos que no ejecutaron la tarea. En las ejecuciones
subsiguientes, elija entre Todos, En estado de espera o trabajando actualmente o
Dispositivos que no ejecutaron la tarea. Estas opciones se explican en detalle a
continuacion.
Al reprogramar una tarea, puede limitar los dispositivos en los que se ejecuta. Es probable que
desee hacerlo si la tarea no se ejecuta en una gran cantidad de dispositivos y no cree que cambie el
estado de los dispositivos fallidos. El limitar la tarea de este modo podna ayudar a que esta termine
mas rapidamente debido a que el programador no continuara intentando en dispositivos que no
procesaran la tarea. Puede elegir ejecutar las tareas en dispositivos que tengan los siguientes
estados:
• Esperando o en ejecucion: opcion predeterminada que debe utilizarse al ejecutar la tarea por
primera vez. Si vuelve a ejecutar la tarea, esta opcion utiliza los dispositivos de destino que
ejecutaron la tarea la primera vez que se ejecuto.
. Todos: seleccione esta opcion si desea que la tarea se ejecute en todos los dispositivos,
263
independientemente del estado. Considere esta opcion si tiene una tarea, particularmente
una repetitiva, que necesite ejecutarse en la mayor cantidad de dispositivos posible.
• Dispositivos que no ejecutaron la tarea: seleccione esta opcion si desea que la tarea
solamente se ejecute en todos los dispositivos que no la completaron la primera vez. Esta
opcion excluye los dispositivos que tienen el estado Satisfactorio. La tarea se ejecutara en
los dispositivos con todos los demas estados, incluso Esperando o Activo. Considere esta
opcion si necesita ejecutar la tarea en la mayor cantidad posible de dispositivos que no la
ejecutaron, y solamente necesita ejecutarla una vez en cada dispositivo.
• Dispositivos que no intentaron ejecutar la tarea: seleccione esta opcion si desea que la tarea
solamente se ejecute en los dispositivos que no la ejecutaron pero que tampoco fallaron.
Esto excluye los dispositivos con el estado Apagado, Ocupado, Fallido o Cancelado.
Considere esta opcion si varios dispositivos de destino fallaron y no tienen importancia
como destino.
Acerca de la pagina Metodos de entrega (Legacy)
Esta pagina solo se aplica a equipos de destino que esten ejecutando agentes de Endpoint Manager
posteriores a la version 9.6. Utilice esta pagina para seleccionar el metodo de entrega que desee
utilizar para destinos de Legacy. Para equipos de destino 9.6 y mas recientes, estas opciones se
ajustan en la pagina Configuration de tareas.
Acerca de la pagina Secuencia personalizada de comandos
Utilice esta pagina cuando se ha programado una secuencias de comandos personalizada y desea
ver cual es su contenido. No se puede modificar el contenido de la secuencias de comandos
personalizada en esta pagina.
Acerca del cuadro de dialogo Programar
Varios agentes de Endpoint Manager tienen funciones que puede programar mediante el agente
programador local que se encuentra instalado en los dispositivos administrados. Utilice este cuadro
de dialogo para configurar dicha programacion.
Tambien puede utilizar el programador local para programar la ejecucion periodica de sus propias
tareas en los dispositivos. Una vez que cree una secuencia de comandos local o personalice la
programacion del agente de un dispositivo, puede implementar la misma en los dispositivos
mediante la ventana Tareas programadas.
Para configurar la tarea del programador local, en la ventana Secuencias de comando administradas
(Herramientas > Distribution > Secuencias de comando administradas), en el menu contextual Mis
Secuencias, haga clic en Nueva secuencia de comandos del Programador local.
Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de dialogo
que esta configurando. Por ejemplo, si configura una programacion que se repite todos los dfas
entre las 8
y las 9 en punto con un Estado del equipo de El equipo de escritorio debe bloquearse, la tarea solo
se ejecutara entre las 8y las 9 en punto y si el dispositivo esta bloqueado.
Estas opciones estan disponibles en el cuadro de dialogo Programacion:
264
GUÍA DE USUARIO
Seccion de eventos
La seccion de eventos esta atenuada a menos que este configurando una secuencia de comandos
del programador local desde la herramienta Administrar secuencias de comandos.
. Ejecutar cuando el usuario inicia sesion: seleccione esta opcion para ejecutar la tarea siempre
que un usuario inicie sesion. Cuando un usuario lo haga, el programador local ejecutara la
tarea directamente.
• Ejecutar siempre que cambie la direccion IP del equipo: seleccione esta opcion si desea
ejecutar la tarea si cambia la direccion IP del dispositivo o si se renueva a traves de DHCP.
Por ejemplo, puede usar esta opcion para iniciar un rastreo de inventario cuando cambie la
direccion IP, para mantener sincronizada la direccion IPde la base de datos de Endpoint
Manager.
Seccion de horarios
Use esta seccion para configurar los horarios de ejecucion de la tarea. Si ejecuto este cuadro de
dialogo desde la herramienta configuracion del agente, puede especificar un retraso aleatorio en la
pagina de configuracion del agente del cual viene. El intervalo de retraso aleatorio que especifique
es un rango horario en el que puede ejecutarse la tarea. Por ejemplo, si cuenta con una gran
cantidad de usuarios que inician sesion al mismo tiempo, este retraso permite que las tareas que se
ejecutan en el inicio de sesion no lo hagan todas a la vez, si se asume que su intervalo de retraso es
lo suficientemente extenso. El retraso predeterminado es de una hora.
• Inicio: marque esta opcion para mostrar un calendario en el que puede seleccionar el dfa de
inicio de la tarea. Despues de elegir un dfa, tambien puede introducir un horario. El valor
predeterminado de estas opciones es la fecha y hora actuales.
• Repetir despues de: si desea que la tarea se reitere, haga clic en el cuadro de lista y
seleccione minutos, horas o dâs. Despues, introduzca en el primer cuadro la extension
deseada del intervalo que selecciono (por ejemplo, 10 dfas).
• Rango horario: si desea que la tarea se ejecute dentro de cierto horario, seleccione las horas
de inicio y fin. Las horas estan en formato horario de 24 horas.
• Semanalmente entre: si desea que la tarea se ejecute entre ciertos dfas de la semana,
seleccione los dfas de inicio y fin.
• Mensualmente entre: si desea que la tarea se ejecute entre ciertas fechas del mes, seleccione
las fechas de inicio y fin.
Seccion de ejecutar filtros
Al configurar los comandos del programador local, puede especificar el criterio de ancho de banda
mfnimo necesario para que se ejecute la tarea. La prueba del ancho de banda consiste en
creartrafico de red en el dispositivo especificado. Cuando llega el momento de ejecutar la tarea,
cada dispositivo que ejecuta la tarea del programador local envfa una pequena cantidad de trafico
de red ICMP al dispositivo especificado y evalua el rendimiento de la transferencia. Si el dispositivo
de destino de prueba no esta disponible, la tarea no se ejecuta.
Al especificar criterios de ancho de banda para dispositivos que pueden conectarse al servidor
central a traves de IVANTI Management Gateway, se debe colocar la direccion IP de Management
265
Gateway en el campo para. Esto permite que finalice la prueba de ancho de banda y que la tarea
pueda ejecutarse a continuacion.
Las opciones de Ancho de banda mmimo son:
• RAS: la tarea se ejecuta si la conexion de red del dispositivo al dispositivo de destino tiene al
menos una velocidad RAS o de acceso telefonico, tal como se detecta a traves del API de
red. Normalmente, si se selecciona esta opcion, la tarea siempre se va a ejecutar si el
dispositivo tiene una conexion de red de algun tipo.
• WAN: la tarea se ejecuta si la conexion del dispositivo al dispositivo de destino es al menos

una velocidad WAN. La velocidad WAN se define como una conexion no RAS que es mas
lenta que el umbral LAN.
• LAN: La tarea se ejecuta cuando la conexion del dispositivo al dispositivo de destino excede
la configuracion de velocidad LAN. La velocidad LAN se define como cualquier velocidad
mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN en la
configuracion del agente (Pagina Herramientas > Configuracion > Agente de Configuracion >
Detection de ancho de banda). Los cambios que realice entran en efecto cuando se
implementa la configuracion actualizada en los dispositivos.
La seccion ejecutar filtros cuenta con estas opciones:
• Ancho de banda mmimo: Si desea que el criterio de ejecucion de tareas incluya el ancho de
banda disponible, seleccione el ancho de banda mmimo deseado e introduzca el nombre del
dispositivo o direccion IP de destino para la prueba de ancho de banda entre el destino y el
dispositivo.
• Estado del equipo: si desea que el criterio de ejecucion de tareas incluya un estado del
equipo, seleccione uno de los siguientes estados: Protector de pantalla o equipo de
escritorio bloqueado, El equipo de escritorio debe bloquearse, El equipo debe estar en
position neutral, El usuario debe estar en sesion o El usuario debe estar fuera de sesion. Los
criterios del estado El equipo debe estar en posicion neutral son: el SO esta bloqueado, el
protector de pantalla esta activo o el usuario esta fuera de sesion.
Otras opciones
• Retraso aleatorio adicional una vez que se superan todos los demas filtros: si desea un
retraso aleatorio adicional, utilice esta opcion. Si selecciona un retraso aleatorio que se
extienda mas alla de los lfmites horarios configurados para la tarea, esta puede no ejecutarse
si el valor aleatorio coloca a la tarea por fuera de los lfmites horarios configurados.
• Retraso de hasta: Seleccione el retraso aleatorio adicional que desee.

• Y de al menos: si desea que la tarea aguarde al menos cierta cantidad de minutos antes de
ejecutarse, seleccione esta opcion. Por ejemplo, si programa un rastreo de inventario, puede
introducir un 5 aqrn, de manera que el dispositivo tenga tiempo para terminar el inicio antes
de que comience el rastreo, con lo que se mejora la reaccion del dispositivo para el usuario.
266
GUÍA DE USUARIO
• Comando: escriba el programa que desea ejecutar de forma local. Incluya la ruta completa al
programa o cerciorese de que el programa este es una carpeta que forme parte de la ruta del
dispositivo. La ruta debe ser la misma en todos los dispositivos en los que se despliega el
archivo de comandos.
• Parametros: escriba los parametros de lfnea de comandos que desea pasar al programa.
Uso de la herramienta de diagnostico

La herramienta de diagnostico facilita la solucion de problemas de la distribucion de software y de
las tareas de revision, mediante un acceso util a la informacion crftica en tiempo real. Para acceder
a la herramienta de Diagnostico, haga clic con el boton derecho sobre un dispositivo de la vista de
red y luego en Diagnosticos. Tambien puede acceder al Panel de tareas programadas y hacer doble
clic sobre el grafico "Codigos de error principales". Tambien puede arrastrary soltar dispositivos
desde la vista de red a la herramienta de Diagnosticos, que se abre en una ventana separada.
La barra de herramientas de la herramienta Diagnosticos cuenta con las siguientes funciones:
267
• Registros: Desde este menu desplegable puede extraer registros en tiempo real desde el
cliente y el servidor central. Si selecciona los registros basandose en una tarea, la
herramienta extraera automaticamente los registros de la tarea resaltada. Desde el menu
Cliente, puede escoger descargar todos los registros del dispositivo en un archivo zip o en
informes SCAP. Los registros aparecen con la sintaxis resaltada y permiten realizar
busquedas. Puede ver una version truncada del registro en la herramienta Diagnosticos si el
archivo de registro es superior a 50 Kb o verlo en un visor externo. Todos los codigos de
retorno de sdclient estan vinculados con el contenido relacionado en el sitio web de la
comunidad de IVANTI, que es especialmente util para los registros que dieron error de
diagnostico. Si el area de visionado del registro tiene foco, al pulsar F5 se volvera a realizar
la ultima accion y le permitira ver las actualizaciones del registro del cliente en tiempo real.
• Detection en tiempo real: detecta el dispositivo en tiempo real y luego verifica que esta
disponible en la red y que IVANTI se puede comunicar con el.
• Inventario: ® abra una ventana de inventario para el dispositivo seleccionado.
Control remoto HTML5: 0 abre una ventana de control remoto HTML5 para el dispositivo
seleccionado.
Ver polftica del cliente de la tarea: — muestra los ajustes de la politica del cliente de la tarea
18
seleccionada, que es util para realizar depuraciones.
muestra las vulnerabilidades

detectadas.
18 Ver la Informacion de revisiones y seguridad:
268
GUÍA DE USUARIO
muestra los elementos descargados

Historial de cambios del inventario del cliente:
recientemente.
• Historial de tareas del cliente: ' ° muestra un historial detodas las tareas yde sus estados.
• Habilitar el acceso remoto al sistema de archivos: “ mientras trabaja con dispositivos que
utilizan Windows 8 y posterior, le permite evitar una ventana emergente que le solicite las
credenciales si el nombre de usuario y la contrasena son la misma. (versiones anteriores de
Windows no son compatibles con esta funcion).
• Visor de eventos remoto: muestra el Visor de eventos del dispositivo seleccionado para
solucionar mas facilmente los problemas con las credenciales del usuario que ha iniciado
sesion.
Ba
• Sistema de archivos remoto: abre el Explorador de Windows para el C$ compartido del
dispositivo seleccionado mediante las credenciales del usuario que ha iniciado sesion.
Sincronizar politicas: inicia manualmente una sincronizacion de polrticas en el

dispositivo.
Volver a ejecutar una
tarea en el dispositivo
&
seleccionado: ^ vuelve a ejecutar la tarea, reemplazando los ajustes especificados en el
programador local.
JL
Cancelar proceso: le permite cancelar un proceso en el dispositivo, introduciendo la Id.
de
un proceso y haciendo clic en Aceptar. Si esta visualizando los procesos en ejecucion de un
cliente, desde el visor puede resaltar y hacer clic con el boton derecho en las Id. de los
procesos y detenerlos.
Ver las tareas del programador local: ' ^ muestra las tareas del programador local del cliente.
Ver procesos en ejecucion: muestra los procesos que se estan ejecutando en el

dispositivo y resalta los procesos de IVANTI. Le permite resaltar la Id. del proceso ycancelarlo
con la opcion de boton derecho.
Ver servicios: ” muestra el estado actual de todos los dispositivos instalados en los clientes.
• Buscar el sitio web de la comunidad de IVANTI: toma el texto resaltado del archivo
de registroy busca la comunidad de IVANTI para ayudarle a encontrar mas informacion.
269
Local scheduler
Acerca del programador local
El programador local es un servicio que se ejecuta en los dispositivos. Es una parte del Agente de
base comun y se lo puede instalar mediante la instalacion del dispositivo. Normalmente, el
programador local maneja las tareas de Endpoint Manager, tal como la ejecucion del rastreador de
inventario de forma periodica. Las otras tareas programadas, tales como los aprovisionamientos de
software o de SO, son realizadas por el servidor central en lugar de por el programador local. Puede
utilizar el programador local para programar la ejecucion periodica de sus propias tareas en los
dispositivos. Una vez que crea un archivo de comandos del programador local, lo puede desplegar
en los dispositivos mediante la ventana Tareas programadas.
El programador local asigna un numero de identificacion a cada tarea. Las secuencias de comandos
del programador local tienen un intervalo de identificadores que difiere de las secuencias del
programador local predeterminado que utiliza Endpoint Manager. De forma predeterminada,
solamente puede haber un archivo activo de comandos del programador personalizado en cada
dispositivo. Si crea una secuencia de comandos nueva y la implementa en los dispositivos, se
reemplaza la secuencia de comandos anterior (cualquier secuencia de comandos en el intervalo de
identificadores del programador local personalizado) sin afectar las secuencias de comandos del
programador local, tal como la programacion de rastreo de inventario local.
Instalacion del servicio de programador local en un

dispositivo no administrado
El servicio de Programador local de IVANTI puede instalarse en un dispositivo no administrado.
Solo se necesitan dos archivos para la funcion del programador local:
• LocalSch.exe
• LTapi.dll
Para instalar el servicio de Programador local de IVANTI en un servidor o estacion de trabajo

nuevos, siga los pasos a continuacion.
1. Cree esta carpeta.

%ProgramFiles%\IVANTI\LDClient
2. Copie LocalSch.exe y LTapi.dll en esta carpeta.

3. Haga clic en Inicio > Ejecutary escriba el siguiente comando.
"%ProgramFiles%\IVANTI\LDClient\localsch.exe" /i
Desinstalacion del servicio del programador local
Para desinstalar el servicio de Programador local de IVANTI, siga los pasos a continuacion.
1. Haga clicen Inicio > Ejecuteyescriba el siguiente comando.
270
GUÍA DE USUARIO
"%ProgramFiles%\IVANTI\LDClient\localsch.exe" /i
2. Elimine los archivos y carpetas.
Agregado de una tarea con LocalSch.exe

El resto de los parametros de la lmea de comando se usa para agregartareas locales. Al agregar una
tarea local, se debe especificar el ejecutable mediante el parametro /exe. Si el usuario o proceso que
ejecuta la lmea de comando no tiene derechos de administrador, la tarea no se programara. Si el
usuario actual no tiene privilegios de administrador, la tarea no se creara.
Ademas de las opciones de lmea de comando detalladas a continuacion, puede usarse la opcion
/taskid para especificar una tarea.
/exe=<executable> -Aplicacion programada
Especifica la aplicacion que debe ejecutarse cuando se llega al tiempo programado. Si no se

proporciona este parametro, la tarea local no se creara.
/cmd=<command line> - Lmea de comando de aplicacion
Especifica la lmea de comando a utilizar cuando se ejecuta la aplicacion programada. Si no se

especifica este parametro, la aplicacion programada se ejecutara sin parametros de lmea de
comando.
/start="<date/time>" - Hora de inicio
Especifica la hora de inicio de la aplicacion. Si no se especifica este parametro, la aplicacion se

ejecutara tan pronto como sea posible. Si hay filtros especificados, los mismos deberan cumplirse
antes de la ejecucion de la aplicacion. La hora de inicio se define segun la hora del sistema local del
equipo, y tiene el siguiente formato:
/start="06 Nov 2001 17:39:47" /bw=WAN|miservidor.dominio.com
Este formato es una version resumida del formato utilizado por HTTP. El mes siempre se define
mediante una abreviatura ASCII de tres letras: Ene, Feb, Mar, Abr, May, Jun, Jul, Ago, Sep, Oct, Novo
Dic. Si el formato de la fecha se especifica de manera incorrecta, la tarea no se agregara.
/freq=xxx - Frecuencia
Especifica una frecuencia periodica. La frecuencia es la cantidad de segundos antes de que la tarea
se vuelva a ejecutar. Si este parametro no se especifica o es cero, la tarea se ejecutara solo una vez.
/user - Filtro de usuarios
Especifica que debe crearse un filtro de usuarios para la tarea. Un filtro de usuarios evitara que la
tarea se ejecute hasta que un usuario se conecte al sistema.
/bw=xxx|<network host> - Filtro por ancho de banda
Especifica el ancho de banda necesario para un host de red espedfico. El ancho de banda puede
especificarse como LAN, WAN o RAS. Si se usa otro valor de ancho de banda, el programador local
quedara en el valor predeterminado de ancho de banda RAS. No se ejecutara la tarea hasta que el
programador local detecte que el tipo de ancho de banda especificado esta disponible entre el
271
dispositivo y el host de red especificado.
Por ejemplo, el filtro siguiente especificana que no se ejecute la tarea hasta que haya disponible al
menos una conectividad WAN para el equipo myserver.domain.com.
/bw=WAN | myserver.domain. com
/tod=<begin>|<end> - Filtro por hora
Especifica un filtro por hora. La tarea no se ejecutara a menos que la hora se encuentre entre las
horas especificadas de inicioyfin. La hora del dfa se especifica desde la hora 0 a la hora 23. Por
ejemplo, el filtro a continuacion especificana la ejecucion de una tarea entre las 7 p.m.y las 10 p.m.
/tod=19|22
/dow=<begin>|<end> - Filtro por dia de la semana
Especifica un filtro por dfa de la semana. La tarea no se ejecutara a menos que el dfa de semana se
encuentre entre las horas especificadas de inicio y fin. Los dfas de la semana se especifican con
enteros, con 0 como el domingo. Por ejemplo, el filtro a continuacion especificana la ejecucion de
una tarea entre domingo yjueves.
/dow=0|4
/dom=<begin>|<end> - Filtro por dia del mes
Especifica un filtro por dfa del mes. La tarea no se ejecutara a menos que el dfa del mes se
encuentre entre los dfas especificados de inicioyfin. El filtro del dfa del mes se especifica mediante
un valor numerico entre 1 y 31. Por ejemplo, el filtro a continuacion especificana la ejecucion de una
tarea entre el 16 y 28 del mes.
/dom=16 | 28
/ipaddr - Filtro de cambio de direccion IP
Especifica que la tarea se debe ejecutar siempre que cambie la direccion IP del equipo.
Crear un comando para el programador local

Cuando seleccione las opciones de programacion no ponga demasiadas restricciones de modo que
el criterio se satisfaga con poca frecuencia, a menos que esa sea su intencion. Por ejemplo, si al
configurar una tarea selecciona el lunes como el dfa de la semana y 17 como el dfa del mes, la tarea
solamente se ejecutara en un lunes quetambien sea el dfa 17, lo cual sucede con poca frecuencia.
272
GUÍA DE USUARIO
Para crear un comando del programador local
1. En la ventana Secuencias de comando administradas (Herramientas > Distribution >

Secuencias de comando administradas), en el menu contextual de Mis Secuencias, haga clic
en
Nueva secuencia de comandos del programador Local.
2. Introduzcaun Nombre de secuencia.

3. Haga clic en Agregar para definir las opciones de la secuencia de comandos.
4. Configure las opciones del programador local tal como se lo describio anteriormente.
273
5. Haga clic en Guardar para guardar la secuencia de comandos.

6. Utilice la ventana Tareas programadas para desplegar el archivo de comandos creado en los
dispositivos.
Eliminacion de una tarea con LocalSch.exe

El programador local ofrece la posibilidad de eliminar una o mas tareas. Para esto se usan los
siguientes parametros.
/del - Eliminar tarea o tareas
Elimina la tarea especificada por medio del parametro/taskid, o elimina todas las tareas dentro de
los valores maximos y mmimos inclusive de /range. Los ID de tareas pueden determinarse ya sea
buscando las tareas que usan la opcion de lmea de comando /tasks o por medio de una /taskid
constante al agregar una tarea.
/removetasks - Quitar todas las tareas
Quita todas las tareas locales programadas actualmente.
/taskid - Especificacion del ID de tarea

Especifica el ID de la tarea que se eliminara. Los ID de tareas pueden determinarse por medio de la
consulta de las tareas programadas actualmente (ver/tasks citado mas arriba). El ID se define con un
valor entero.
/range=<min>|<max> - Rango de IDs de tareas
Especifica un valor mmimoy maximo de un rango de IDs de tareas. Puede usarse con el
comando/del para quitartodas las tareas con ID dentro del rango determinado.
Normalmente, cuando se genera una tarea, se asigna un identificador al azar, utilizando el valor de
la hora actual (time_t) como el identificador de la tarea. Una identificacion asignada al azar nunca
sera menos de 100000. Este parametro de la lmea de comandos se puede utilizar para especificar el
identificador de la tarea. Los valores 0 -1000 de ID de tarea se reservan para uso interno de IVANTI.
Los valores 1001 -2000 de ID de tarea se reservan para el uso por parte de la interfaz del
programador local de la consola de administracion.
Parametros de lmea de comando de LocalSch.exe

Ademas de supervisary ejecutar tareas locales, LocalSch.exe puede usarse para instalar o quitar el
servicio, agregar tareas nuevas yenumerar todas las tareas configuradas actualmente.
A continuacion se encuentran las opciones de lmea de comando compatibles con la aplicacion del
programador local.
LocalSch.exe [/i] [/r] [/d] [/tasks] [/isinstalled] [/del] [/removetasks]

[/exe=<executable>] [/cmd=<command line>] [/start="<date/time>"] [/freq=xxx]
[/user] [/bw=xxx|<server>] [/tod=<begin>|<end>] [/dow=<begin>|<end>]
[/dom=<begin>|<end>] [/ipaddr] [/taskid=<id>] [/range=<min>|<max>]
/i - Instalar el servicio
Instala el servicio del programador local en el dispositivo. Despues de instalado, debera iniciarse el
274
GUÍA DE USUARIO
programador local.
/r - Quitar el servicio
Quita del dispositivo el servicio del programador local. Antes de quitar el servicio debe detener el
servicio del programador local.
/d - Ejecutar en modo depuracion
Ejecuta el programador local en modo depuracion. Al ejecutarse en modo depuracion, el

programador local funciona como un proceso de Windows normal, en lugar de hacerlo como un
servicio o pseudo servicio. Este modo no produce ninguna salida de depuracion adicional.
/isinstalled - Verificacion de instalacion
Verifica si el servicio del programador local esta instalado en el equipo local. Si el programador local
esta instalado, este metodo informara S_OK o cero. Si el programador local no esta instalado, se
informara un valor distinto a cero.
/tasks - Enumerar tareas
Este comando muestra las tareas configuradas actualmente en stdout, pero solo pueden verse en
una interfaz de comandos si estan encaminadas hacia mas.
LocalSch.exe /tasks | mas
La salida puede redireccionarse hacia un archivo de texto, por ejemplo tasks.txt, mediante el uso de
la siguiente lmea de comandos:
LocalSch.exe /tasks > tasks.txt
Analisis de caracteres y la lmea de comandos del

programador local
El programador local usa un analisis estandar separado por espacios blancos para la lmea de
comando. Esto significa que si alguno de los parametros contiene un espacio blanco, debera estar
entre comillas. Ciertos parametros, como/start, siempre contienen un espacio blanco y por lo tanto
siempre deben estar entre comillas. Otros parametros, como /exe y/cmd, pueden o no contener
espacios blancos y pueden o no necesitar comillas.
El ejemplo a continuacion muestra una lmea de comando que no necesita comillas.

LocalSch.exe /exe=c:\windows\system32\cmd.exe
El ejemplo a continuacion muestra una lmea de comando que sf necesita comillas.

LocalSch.exe /exe="%ProgramFiles%\MyProgram\myprog.exe" /cmd="/apm /s /ro"
Entrecomillado de parametros que ya estan entre comillas
Si los parametros que se van a pasar a /cmd = ya estan entre comillas, entonces necesitan tres
comillas: unas para encerrartoda la cadena, otras para encerrar las comillas de los valores y las
terceras para encerrar los valores.
275
Por ejemplo, la lfnea de comando a continuacion muestra un ejemplo de los parametros que deben
encerrarse con tres comillas.
LocalSch.exe /exe="%ProgramFiles%\IVANTI\File Replicator\IVANTIFileReplicatorNoUI.exe"
/cmd="""%ProgramFiles%\IVANTI\File Replicator\LDHTTPCopyTaskConfig.xml""
""%ProgramFiles%\IVANTI\File Replicator\replicator.log"""
En el comando anterior, los dos parametros son rutas a archivos. Como ambas rutas estan en el
directorio "Archivos de programa", tienen espacios y deben colocarse entre comillas a fin de ser
parametros adecuados para IVANTIFileReplicatorNoUI.exe. De manera que cada parametro entre
comillas esta rodeado por un segundo conjunto de comillas, y la cadena completa esta a su vez
rodeada por comillas.
Entrecomillado de operadores de redireccionamiento
Las comillas deben rodeartambien a cualquier conmutador que contenga un operador de

redireccionamiento. Los operadores de redireccionamiento incluyen los siguientes sfmbolos: <, >, |.
El conmutador/bw usa un caracter | llamado barra vertical o barra. Es importante recordar que el
caracter | se usa en la interfaz de comandos para encaminar la salida hacia otra aplicacion. Para
evitar que este caracter sea analizado por la lfnea de comando, debe estar rodeado por comillas.
Por ejemplo, el comando a continuacion usa un parametro/bw con un caracter | y debe colocarse
entre comillas.
LocalSch.exe /exe=C:\ldclient\myprogram.exe /cmd="/apm /s /ro" /bw="LAN|server"
276
GUÍA DE USUARIO
Remote control
Uso del visor de control remoto
El Visor de control remoto permite el acceso a un dispositivo de forma remota. Solamente se pueden
controlar de forma remota los dispositivos que tienen el agente de control remoto instalado. Durante
una sesion de control remoto, el dispositivo remoto tiene en realidad dos usuarios: usted yel usuario
final. Se pueden hacertodas las operaciones que pueda realizar el usuario que se encuentra sentado
frente al dispositivo remoto.
Si el agente del dispositivo ha sido configurado para hacerlo asf (en la configuracion del agente del
dispositivo), tambien se le puede solicitar al usuario que conceda permiso cada vez que se inicie un
nueva sesion.
Una vez que se establece la conexion, el icono de estado Remoto aparece en la esquina de la parte
superior de la ventana del usuario.
Esto le indica al usuario que su equipo se esta controlando de manera remota. El usuario puede hacer
clic con el boton derecho en el icono para terminar la sesion en cualquier momento, para consultar si
todavfa esta activa, para saber quien esta controlando el equipo, etc.
Desde la ventana del visor, se puede hacer mas que solamente controlar un dispositivo en forma
remota. Una vez que el visor se conecta al dispositivo, se puede elegir entre las siguientes tareas de la
barra de herramientas. 19
19 Conectar / Desconectar: Esta accion inicia otermina una sesion decontrol remoto.
• Iniciar / Detener el visor: Muestre u oculta la pantalla del dispositivo remoto en el visor de
control remoto.
• Chat: conversar con un usuario en un dispositivo remoto.

• Transferencia de archivos: Transferir archivos de forma remota entre un equipoyotro
dispositivo. Basicamente, funciona como si se asignara una unidad al dispositivo remoto.
• Reiniciar: Reiniciar un dispositivo de forma remota.

• Dibujar: Muestra herramientas de dibujo que se pueden utilizar para dibujar en la pantalla
remota.
Se pueden realizar varias tareas devisor en un dispositivo al mismo tiempo. Al activar una tarea
de visor, la interfaz de la tarea aparece en la ventana del visor.
277
La barra de herramientas tambien permite controlar como aparece el dispositivo remoto en

la pantalla. Por ejemplo:
• Pantalla remota completa: Utilice esta opcion para llenar completamente la pantalla local con la
del dispositivo remoto. Si la resolucion de la pantalla remota sobrepasa la de su equipo, puede
ser necesario utilizar el Desplazamiento automatico (vease mas adelante), a menos que se haya
activado la opcion Ajustar a la pantalla.
• Ajustar a la pantalla: Puesto que puede que la ventana del visor no ser tan grande como la
pantalla del dispositivo remoto, puede utilizar esta opcion para ajustar dinamicamente la
pantalla del usuario dentro del area visible de su monitor.
• Monitores multiples: Si el usuario remoto tiene mas de un monitor, este boton se activa
automaticamente, lo cual permite cambiar rapidamente entre monitores (hasta 8) en la ventana
remota. Puede minimizar o puede cambiar el tamano de cualquiera de los monitores remotos
para facilitar trabajar dentro de la ventana de control remoto.
Si selecciona la opcion Todos, el tamano de todos los monitores se ajustara automaticamente

para caber dentro de la ventana del visor de control remoto. Se puede, entonces, seleccionar
cualquier monitory arrastrarlo para cambiar su tamano yfacilitartrabajar con el.
La barra de herramientas tambien incluye la opcion Ejecutar, que permite buscar y ejecutar programas
ejecutables en el dispositivo remoto.
Puede utilizar la funcion Desplazamiento automatico ( Herramientas > Opciones > Cambiar
configuration > Permitirel desplazamiento automatico) para desplazarse hacia arriba, hacia abajoy de
lado a lado. El desplazamiento automatico desplaza la ventana de forma automatica a medida que el
puntero del raton se acerca al borde de la ventana.
Tambien puede aumentar el area de visualizacion de la ventana del visor mediante la desactivacion
de elementos del menu Ver, tales como los mensajes de conexion, la barra de herramientas y la
barra de estado.
Si desea acelerar la frecuencia de visualizacion o cambiar la configuracion de la ventana del visor,

utilice las opciones del boton Optimizar de la barra de herramientas.
278
GUÍA DE USUARIO
Conexion a Dispositivos remotos

Antes de realizar cualquiertarea de control remoto, se debe establecer una conexion con el
dispositivo remoto. Puede optar por conectarse directamente o a traves de IVANTI Management
Gateway Solamente un visor se puede comunicar con un dispositivo a la vez, aunque puede abrir
varias ventanas de visor y controlar varios dispositivos a la vez. Cuando se conecte a un
dispositivo, puede ver los mensajes de conexion y el estado en el panel de Mensajes de conexion, si
esta visible. Si no lo esta, puede alternarlo haciendo clic en Ver > Mensajes de conexion.
Para establecer conexion con un dispositivo
1. En la vista de red, haga clic con el boton derecho en el dispositivo que desee controlar de
forma remota y haga clic en Control remoto, Conversacion, Transferencia de archivos o
Ejecutar de forma remota.
2. Una vez que aparezca la ventana del usuario y se conecte con el dispositivo remoto, puede
utilizar cualquiera de las herramientas de control remoto disponibles en el menu
Herramientas del usuario, tales como conversacion, transferencia de archivos, reinicio,
inventario o control remoto.
3. Para finalizar una sesion de control remoto, haga clic en Archivo > Detener conexion.
Uso de las herramientas de dibujo en los dispositivos

remotos
Una vez que se ve el dispositivo de forma remota, se pueden utilizar las herramientas de dibujo en
el. Las herramientas de dibujo ayudan a explicar a los usuarios lo que esta haciendo o a resaltar
informacion que desee senalar a los usuarios en la pantalla remota. Al utilizar una herramienta para
dibujar en la pantalla, tanto usted como el usuario remoto pueden ver lo que ha dibujado. Las
imagenes dibujadas permanecen en ambas pantallas hasta que hace clic en el borrador de la paleta
de la herramienta de dibujo.
Existen tres herramientas de dibujo disponibles:
• Puntero: utilice la herramienta de puntero para senalar objetos en la pantalla. Al mantener

pulsado el boton principal del raton, la herramienta de puntero se activa y aparece un punto
rojo debajo del puntero del raton, el cual hace que sea mas facil para los usuarios ver donde
se encuentra el puntero. Al liberar el boton principal del raton, el punto desaparece. No es
posible cambiar el color del punto yeste no deja ningun trazo como lo hace la herramienta de
lapiz.
• Bosquejar: Utilice la herramienta de bosquejar para dibujar una flecha, encerrar en drculo un
objeto, hacer un dibujo a mano alzada, etc. La herramienta de bosquejar no se limita a una
sola forma.
• Cuadro: utilice la herramienta de cuadro para trazar un rectangulo alrededor de un objeto de
la pantalla. Haga clic donde desee colocar una de las esquinas del rectangulo. Arrastre el
cursor para dibujar un cuadro alrededor de la zona que desee resaltary suelte el boton del
279
raton.
Tambien puede utilizar las listas desplegables de grosor de lmea y de color para cambiar la
apariencia de los trazos. Los cambios en estos elementos solamente afectan los dibujos nuevos. Al
finalizar el trazado, haga clic en el boton del borrador de la paleta de dibujo o cierre la paleta.
Ajuste de la configuracion de control remoto

Utilice la etiqueta Herramientas > Cambiar configuracion del dialogo de opciones para ajustar la
configuracion del control remoto.
• Permitir el desplazamiento automatico: habilita el desplazamiento de la ventana del visor al
acercar el cursor al borde de la ventana. Cuanto mas cerca este el cursor del borde, mas
rapido se realizara el desplazamiento.
• Bloquear el teclado y raton remotos: bloquea el raton y el teclado del dispositivo remoto
de modo que solo la persona que ejecuta el visor pueda controlar el dispositivo remoto.
Observe que no se bloquean las combinaciones de teclas de Windows como
"Ctrl+Alt+Supr" o la tecla "Windows + L".
• Sincronizar portapapeles para pegar entre los equipos local y remoto: sincroniza los teclados
del equipo local y el dispositivo para que se pueda pegar informacion de un dispositivo en
otro.
• Ocultar la pantalla del equipo remoto: oculta la pantalla del dispositivo remoto de modo que
solo la persona que ejecuta el visor remoto pueda ver la pantalla del dispositivo remoto.
• Solicitar siempre borrar la pantalla del equipo remoto al iniciar el control remoto:
pregunta al usuario remoto si esta bien poner en blanco la pantalla durante la sesion de
control remoto. Cuando se selecciona, el estado de la opcion Ocultar pantalla del equipo
remoto no importa.
• Bloquear el equipo remoto al terminar la sesion: cuando termina la sesion se activa la
funcion de bloqueo del sistema operativo. Esto le permite al operador del control remoto
finalizar su trabajo y luego dejar el sistema del usuario en un estado seguro mientras el
usuario esta ausente o hasta que este listos para reanudar el seguimiento de una sesion de
control remoto.
• Asignacion automatica del teclado: debe mantener esta opcion seleccionada. Esta opcion
reasigna el teclado del dispositivo de destino para que coincida con el del administrador.
Esto ayuda a asegurar que lo que el administrador escriba aparezca correctamente en el
dispositivo remoto. Esto resulta muy util cuando el teclado de destino y el del administrador
utilizan alfabetos o idiomas diferentes.
• Habilitar la compatibilidad del agente anterior (agentes anteriores a 8.5): IVANTI cambio la
seguridad de control remoto yagrego un nuevo visor de control remoto en la version 8.5. Si
tiene agentes de control remoto en la red de versiones anteriores a 8.5, puede marcar esta
opcion para permitir que el visor de control remoto se comunique con las versiones
anteriores de los agentes.
280
GUÍA DE USUARIO
Uso de nombres alternativos

Segun la configuracion del agente de control remoto en los dispositivos administrados, los usuarios
de un dispositivo que se controla de forma remota pueden hacer doble clic en el icono de estado del
control remoto de la bandeja de sistema de Windows para ver el nombre del equipo y del usuario
que los controla de forma remota. Si no desea que los nombres de equipo y de usuario sean visibles
en los dispositivos remotos por motivos de seguridad, puede especificar un nombre alternativo de
usuario y de equipo, para que aparezca en el cuadro de dialogo de estado del control remoto de los
dispositivos remotos.
Para utilizar los nombres alternativos
1. Haga clicen Herramientas > Opciones.

2. En la pestana Cambiar configuracion, seleccionar Utilizar nombres alternativos.
3. Especifique los nombres que desee que vean los usuarios de los dispositivos remotos.
Uso del controlador de reflejo

El controlador de reflejo ofrece varias ventajas. La principal ventaja es que brinda un modo de
captura de salida de pantalla compatible con Windows que no precisa modificaciones en el
controlador de vfdeo existente. Esto permite que el controlador de reflejo de control remoto se
comporte de forma normal y se produzcan menos problemas en los dispositivos.
La otra ventaja es que el controlador de reflejo no utiliza mucha potencia de procesamiento del
dispositivo de destino. Si controla dispositivos de forma remota, los cuales tienen un procesador de
1,5 GHz o mas lento, el controlador de reflejo proporciona mejoras de rendimiento notables a traves
de conexiones de red rapidas. En las conexiones de red lentas, el rendimiento de control remoto es
mas limitado por el ancho de banda que por el uso del procesador.
El agente de control remoto estandar siempre se instala en los dispositivos. Si tambien se instala el
controlador de reflejo, el agente estandar y el controlador de reflejo pueden coexistir. No es posible
desinstalar el controlador de control remoto estandar y utilizar solamente el controlador de reflejo.
Cambiar la configuracion de las teclas de acceso rapido del

visor
El visor de control remoto admite las siguientes teclas de acceso rapido (Herramientas > Opciones >
Configuracion de teclas de acceso rapido):
• Habilitar las teclas de acceso rapido (Ctrl +Alt + H): activa o desactiva la disponibilidad de las
teclas de acceso rapido. Las teclas de acceso rapido estan habilitadas de forma
predeterminada.
• Cerrar sesion de visualizacion (Ctrl+Alt+S): desconecta la sesion actual de visualizacion. La

ventana del visor del control remoto permanece abierta.
281
• Enviar Ctrl-Alt-Supr (Ctrl+Alt+Supr): enviar Ctrl+Alt+Suprimir al dispositivo de destino.

• Bloquear teclado y raton remoto (Ctrl +Alt + K): activar o desactivar el teclado y raton locales
del dispositivo de destino.
• Activar o desactivar la pantalla completa (Ctrl+Alt + M): activar o desactivar el visor de

control remoto entre el modo de ventana y el de pantalla completa.
• Enviar Ctrl+Esc (CTRL+Alt + E): enviar Ctrl + Esc al dispositivo de destino.

• Alternar entre modo de raton y modo de dibujo: alternar entre el modo de dibujo y modo de
puntero de raton normal.
• Ajustar a la pantalla Define una secuencia predeterminada de teclas de acceso rapido para
alternar la activacion y desactivacion de la opcion Ajustar a la pantalla.
• Actualizar pantalla: retransmits los datos de pantalla del equipo remoto.

• Actualizar datos: enviar al equipo remoto un comando para actualizar (F5).
• Desconectar sesion: terminar la sesion de control remoto actual. La ventana del visor
permanece abierta.
Para cambiar una tecla de acceso rapido, haga clic en el cuadro situadojunto a ella y pulse la nueva
combinacion de teclas. Las teclas Imprimir Pantalla y Pausa/Interrumpir no pueden ser parte de una
combinacion de teclas.
Envfo de Ctrl+Alt+Supr a dispositivos con Windows Vista y Windows 7
La polftica de seguridad local de Windows Vista y Windows 7 no permitiran enviar Ctrl+Alt+Supr

desde un visor a control remoto. Para cambiar esto, siga el procedimiento siguiente.
Para permitir Ctrl+Alt+Supr en dispositivos con Windows Vista y Windows 7
1. En el cuadro de busqueda del menu Inicio, escriba gpedit.msc y pulse Intro.

2. Vaya a Politicas de equipo local > Plantillas administrates > Componentes de Windows >
Opciones de inicio de sesion en Windows > Secuencia de atencion segura de software.
3. Haga doble clic en Deshabilitar o Habilitar la Secuencia de atencion segura de software.

4. Haga clic en Habilitada, y en la lista desplegable haga clic en Servicios o en Aplicaciones de
servicios y accesibilidad.
Optimizacion del rendimiento del control remoto

Utilice la pestana Optimizar desempeno del cuadro de dialogo Opciones(Herramientas > Opciones)
para optimizar el desempeno del control remoto de estos tipos de conexion:
• Conexion lenta (modem)

• Conexion media (banda ancha)
• Optimizarara conexion rapida ( LAN)
• Conexion personalizada
Al cambiar la opcion de optimizacion se ajusta de forma dinamica la reduccion de color, la
282
GUÍA DE USUARIO
visibilidad del fondo y los efectos de apariencia de las ventanas remotas (los cuales pueden
ajustarse en Propiedades de pantalla > Apariencia > Efectos), tales como los efectos detransicion de
menu e informacion de herramientas.
El control remoto siempre utiliza un algoritmo de compresion de alta eficacia para los datos de
control remoto. No obstante, aun con la compresion, se necesita una gran cantidad de datos para
enviar informacion de profundidad de color extrema. Puede reducir considerablemente la cantidad
de datos de control remoto necesarios para reducir la profundidad de color mostrada en el visor de
control remoto. Cuando el visor reduce la profundidad del color, el visor tiene que asignar la paleta
de color completa del escritorio remoto a la paleta de color reducida del visor. Como resultado,
notara colores en la ventana de control remoto que no reflejan de forma precisa el escritorio remoto.
Si esto es un problema, seleccione un ajuste de compresion de mayor calidad.
Otro modo de optimizar el rendimiento es mediante la eliminacion del fondo de pantalla remoto. Al
hacerlo, el control remoto no tiene que enviar actualizaciones de fondo de pantalla debido a que
algunas partes del escritorio remoto no estan cubiertas. Por lo general, el fondo de pantalla incluye
imagenes con alto uso de ancho de banda, como fotograffas. Estas no se comprimen bien y la
transferencia toma tiempo a traves de conexiones lentas.
Otro modo de optimizar el rendimiento es mediante el uso de un controlador de reflejo en el

dispositivo remoto. Para obtener mas informacion, consulte "Uso del controlador de reflejo" (281)
Interactuar con los usuarios de dispositivos a control

remoto.
Durante una sesion remota, se estara interactuando directamente con el usuario final a distancia, el
dispositivo mismo o ambos. La herramienta de control remoto le permite abrir una ventana de
conversacion, transferir archivos, ejecutar programas en el dispositivo o reiniciarlo. Tambien puede
guardar una transcripcion de una sesion de conversacion como referencia o como una copia para el
usuario.
Conversaciones con dispositivos remotos

El Visualizador de control remoto permite conversar de forma remota con un usuario en un
dispositivo remoto. Esta funcion resulta de gran utilidad cuando es necesario proporcionar
instrucciones a un usuario remoto cuya conexion de acceso telefonico mantiene ocupada la unica
lmea telefonica disponible. Los usuarios pueden responder a traves de la ventana de conversacion
que se muestra en la pantalla. Solamente puede utilizar la conversacion en dispositivo que tengan
instalado el agente de control remoto. Esta caractenstica funciona aunque no este viendo una
pantalla de dispositivo remoto.
Es posible guardar los mensajes de una sesion de conversacion. El texto que aparece en el area
gris de la sesion de conversacion se guarda en un archivo de texto.
Para conversar con un usuario en un dispositivo remoto
1. Haga clic en Herramientas > Conversation. Una parte de la ventana del visor se convierte en
una zona destinada a la conversacion.
283
2. Escriba un breve mensaje en la esquina inferior izquierda de dicha zona. Haga clic en Enviar.
Su mensaje aparecera en una ventana de conversacion en la pantalla del dispositivo remoto. El

usuario puede responder de la misma manera: escribiendo un mensaje y haciendo clic en Enviar. El
usuario tambien puede hacer clic en Cerrar para salir de una sesion de conversacion.
Para guardar los mensajes de una sesion de conversacion
1. En la zona de conversacion de la ventana del visor, haga clic en Guardar.

2. En el cuadro de dialogo Guardar como, escriba un nombre de archivo y haga clic en Guardar.
Transferencia de archivos a dispositivos remotos

Puede usar al visor de control remoto para transferir archivos hacia y desde su equipo al dispositivo
remoto. Basicamente, funciona como si se asignara una unidad al dispositivo remoto. Estas
transferencias de archivos solo se pueden realizar en dispositivos en los que se haya instalado el
agente de control remoto. Esta caractenstica funciona aunque no este viendo una pantalla de
dispositivo remoto.
Para transferir archivos a un dispositivo
1. Haga clicen Herramientas > Transferencia de archivos. Aparecera el Explorador de Windows.

2. Haga clic en el nombre del archivo que desee transferir para seleccionarlo. En el menu
contextual del archivo, seleccione Copiar.
3. Desplacese por la estructura en arbol del Explorador de Windows hasta Control remoto de
IVANTI. Se mostrara el nombre del dispositivo remoto que controla en la actualidad.
4. En el dispositivo remoto, seleccione la carpeta en la que desee pegar el archivo, haga clic
con el boton derecho y haga clic en Pegar.
De forma similar, se pueden transferir archivos de un dispositivo remoto al equipo.
Ejecucion de programas en dispositivos remotos

Se pueden ejecutar programas en dispositivos remotos. Utilice el cuadro Ejecutar en la barra de
tareas del visor para introducir la ruta y el nombre de archivo del programa remoto. Debido a que el
programa se inicio en el dispositivo remoto, la ruta y el nombre del archivo que se introduzca debe
existir en el dispositivo remoto.
Para ejecutar un programa en un dispositivo remoto
1. En el cuadro Ejecutar del visor, introduzca la ruta y el nombre de archivo del programa. Si
tampoco lo conoce, puede desplazar la lista hacia abajo y haga clic en Examinar. Esto abre
un dialogo que le permite explorar las carpetas de los dispositivos remotos.
2. Haga clic en el boton Ejecutar de forma remota que se encuentra a la derecha del cuadro
Ejecutar.
284
GUÍA DE USUARIO
Reinicio de dispositivos remotos
El visualizador de control remoto permite reiniciar un dispositivo de forma remota. Solo es posible
reiniciar de forma remota aquellos dispositivos en los que se haya instalado el agente de control
remoto. Esta caractenstica funciona aunque no este viendo una pantalla de dispositivo remoto.
Para reiniciar un dispositivo de forma remota
1. Haga clicen Herramientas > Reiniciar.

2. En el cuadro de modificar Tiempo de espera (segundos), introduzca el periodo de tiempo con
el que cuenta un usuario antes de que se reinicie el dispositivo. El retraso maximo es de 300
segundos.
3. En el cuadro Indicador para el usuario remoto, escriba un breve mensaje de advertencia que
se mostrara en el dispositivo antes de reiniciarlo de forma remota.
4. Para guardar la configuracion, haga clic en Guardar esta configuracion.

El mensaje de advertencia se mostrara en el dispositivo con una cuenta atras que indica el tiempo
restante para que se reinicie el cliente remoto. El usuario puede hacer clic en Aceptar para reiniciar
el cliente inmediatamente, o en Cancelar para rechazar la solicitud de reinicio. Se mostrara un
cuadro de mensaje en el equipo, el cual indica si el usuario ha cancelado la solicitud. Si se ha
reiniciado el cliente, se mostrara un mensaje en la zona de mensajes de la sesion de la ventana del
visor.
Cambiar la seguridad de control remoto en los dispositivos

Endpoint Manager dispone de un elevado nivel de control sobre los dispositivos cuando se
conceden derechos de acceso. El dispositivo controla la seguridad del acceso remoto. Almacena su
configuracion de seguridad de acceso remoto en el registro.
Puede cambiar la configuracion del control remoto y el modelo de seguridad en los clientes
actualizando la configuracion de los agentes (Herramientas > Configuracion de agentes), y desde el
menu contextual actualizado de la configuracion, haciendo clic en Programar actualizacion. Una vez
implementada la actualizacion en los dispositivos, sus agentes utilizaran la configuracion que se le
haya especificado.
Si desea obtener mas informacion, consulte "Acerca de la pagina Control remoto" (140).
285
Uso del historial de registro de control remoto

De forma predeterminada, Endpoint Manager registra las acciones de control remoto, lo cual incluye
el dispositivo que se controla remotamente y la consola que realiza el control. Puede desactivar el
historial del control remoto si lo desea o borrar las entradas del historial que sean anteriores a una
fecha determinada.
Si se activa el historial, puede ver los informes de control remoto (Herramientas >
Informacion/Monitoreo > Informes,yen la herramienta Informes, haga clicen Informes > Informes
estandar > Control remoto):
• Historial de control remoto clasificada por operador

• Resumen del Control Remoto
• (La lista de informes predeterminados puede variar de una version a otra)
Para activar o desactivar el historial de control remoto
1. En la consola Endpoint Manager, haga clic en Configurar > Historial de control remoto.
2. Marque o desmarque la opcion Activar historial del control remoto, segun lo prefiera.
Para borrar el historial del control remoto
1. Haga clic en Configurar > Historial de control remoto.

2. Escriba la fecha que desee borrar. Se eliminan todas las entradas anteriores a esa fecha.
3. Haga clic en Eliminar historial para ejecutar el borrado.
Si los dispositivos administrados usan el modelo de control remoto de "seguridad de Windows NT",
hay algunos pasos adicionales que se deben realizar antes de garantizar que los informes de
control remoto muestran la informacion correcta. Con el modelo "seguridad de Windows NT", el
operador del control remoto y los dispositivos administrados deben ser miembros del mismo
dominio de Windows. Tambien es necesario garantizar que las cuentas de dominio de todos los
operadores de control remoto se encuentran en el grupo Operadores de control remoto en la pagina
de configuracion del agente de Control remoto. Si no lo hace, el informe de control remoto mostrara
al usuario local como operador de control remoto y no como el operador real.
Permitir registrar el historial de control remoto a un archivo de texto.
Puede habilitar el registro del historial de control remoto a un archivo de texto mediante la creacion
de las siguientes claves de registro en los dispositivos administrados:
• Cree el siguiente valor DWORDy asfgnele 1: HKLM\SOFTWARE\IVANTI\Instant Support Suite

Consola\Container\LogSessionMessages.
• Cree el siguiente valor de cadena y asfgnele una ruta de acceso UNC (incluyendo una barra
diagonal inversa) de un dispositivo administrado: HKLM\SOFTWARE\IVANTI\Instant Support
Suite Consola\LogPath.
El nombre de archivo del registro es issuser.log.
286
GUÍA DE USUARIO
Cambio del modo de control remoto en los dispositivos de destino
El agente de control remoto de IVANTI que se encuentra en los dispositivos acepta dos tipos de
conexiones:
• Conexiones directas desde la ventana del visor de control remoto de IVANTI.

• Conexiones de la puerta de enlace de administracion mediante una puerta de enlace
administrate.
El agente de control remoto escucha solo un tipo de conexion. Si desea cambiar el tipo de conexion
que escucha el agente, haga doble clic en el icono de estado del control remoto en la bandeja de
sistema del dispositivo remoto y haga clic en Cambiar modo. Esto cambia el agente del modo
directo al modo de puerta de enlace yviceversa. El texto del dialogo del control remoto indica el
modo en que el agente de control remoto se encuentra actualmente. Los usuarios remotos pueden
activar o desactivar esta opcion o bien, se puede hacer directamente mediante una sesion de
control remoto. SI se lleva a cabo mediante una sesion de control remoto, la sesion se desconectara
una vez que haga clic en el boton Cambiar modo.
IVANTI System Manager no es compatible con la puerta de enlace de administracion, por lo que este
boton siempre estara atenuado en los dispositivos administrados por System Manager.
Personalizacion del visor y de los agentes de control

remoto
El visor de control remoto tiene opciones de lmea de comandos que pueden utilizarse para
personalizar su funcionamiento. Tambien puede ajustar las claves de registro del agente de control
remoto en los dispositivos, de ser necesario. Por lo general, las claves de registro se definen en la
configuracion de agente de control remoto implementada en los dispositivos.
Opciones de lmea de comandos del visor
Puede iniciar el visor de control remoto mediante una opcion de lmea de comandos, la cual abre de
inmediato una ventana devisor, establece conexion con el dispositivo espedficoyactiva las
funciones del visor que desee, tales como el control remoto, la conversacion, la transferencia de
archivos o el reinicio de dispositivos. El programa de control remoto, isscntr.exe, esta en la carpeta
del programa Endpoint Manager principal.
Las opciones de lmea de comandos de control remoto utilizan la sintaxis siguiente:

isscntr /a<direccion> /c<comando> /1 /s<servidor central>
Si su servidor central usa seguridad basada en certificados o seguridad integrada para control
remoto, debe usar el parametro /s para especificar el servidor central.
287
Opcion
Descripcion
/a<direccion> Se conecta con un dispositivo en una direccion TCP/IP particular. La direccion TCP/IP
podna incluir direcciones con estilo numerico o de nombre, separadas con punto y coma. Tambien
puede especificarel nombre del host.
/c<comando> Inicia el visor de control remoto y ejecuta una funcion particular. (Consulte los nombres de los comandos mas
adelante). Puede especificar varios argumentos /c en una lmea de comandos. Porejemplo:
isscntr/agamma /c"remote control" /c"file transfer"
Las caractensticas disponibles son:
Control remoto: abre una ventana de control remoto
Reiniciar: reinicia un dispositivo particular Conversar:
abre una ventana de conversacion
Transferencia de archivos: abre una sesion de transferencia de archivo

Informacion de sistema: abre una ventana que muestra informacion sobre el dispositivo, lo cual
incluye el SO, la memoria y el espacio de unidad de disco duro.
/l Limita la interfaz del visor de modo que solamente muestra las funciones que especifica
con /c.
/s<servidor Si utiliza seguridad basada en certificados, utilice esta opcion para especificarel servidor central>
central con el que se autenticara. Esta opcion resulta util si esta controlando clientes de
forma remota en un ambiente de servidores multiples. Si su servidor central usa seguridad basada en
certificados o seguridad integrada para control remoto, debe usar el parametro /s para especificar el
servidor central.
Ejemplo 1
Abre la ventana del visor. Los cambios hechos, tales como la redimension de la ventana de
mensajes de conexion o la definicion de las opciones de rendimiento se conservan a partir de la
ultima vez que se utilizo la ventana del visor.
isscntr
Ejemplo 2
Inicia una sesion de control remoto que establece conexion con el dispositivo de nombre "gamma".
(Tenga en cuenta que no existe un espacio ni ningun signo de puntuacion entre "/a" y "gamma").
isscntr /agamma /c"remote control"
Ejemplo 3
Inicia una sesion de control remotoyde conversacion que establece conexion con el dispositivo de
nombre "gamma". El control remoto primero intenta resolver el nombre "gamma". Si esto falla,
intenta establecer conexion con la direccion numerica 10.10.10.10:
isscntr /agamma;10.10.10.10 /c"remote control" /c"chat"
288
GUÍA DE USUARIO
Ejemplo 4
El puerto 9535 se utiliza para la comunicacion entre el visor ylos equipos agentes. Si los
dispositivos que ejecutan issuser.exe se configuran para que utilicen un puerto que no sea 9535, el
puerto debe pasarse como parte de la direccion dada a isscntr.exe. Por ejemplo, para controlar de
forma remota un dispositivo con la direccion 10.4.11.44, donde se ha configurado idpwuser.exe para
que utilice el puerto 1792 como puerto de verificacion, el comando sena:
isscntr /a10.4.11.44:1792 /c"remote control"
Solucion de problemas de sesiones de control remoto

En esta seccion se describen los problemas que se pueden encontrar al ejercer el control remoto de
un dispositivo, asf como sus posibles soluciones.
No se puede ejercer el control remoto de un dispositivo
Compruebe que el dispositivo tiene cargados los agentes de IVANTI.
Para verificar que los agentes de IVANTI esten cargados:

• En la vista de red de la consola, haga clic en Propiedades en el menu de acceso directo del
dispositivo. Haga clic en la pestana Agentes, para ver los agentes cargados.
Para cargar el agente de control remoto

• Cree una tarea de configuracion de agentes en la consola y envfela al dispositivo o bien,
asigne una unidad del dispositivo al servidor central yejecute la tarea de configuracion de
dispositivos correspondiente.
No se pueden transferir archivos entre la consola y el dispositivo de destino
Compruebe si se esta ejecutando Norton AntiVirus y si su opcion Integrity Shield esta activada. Si
es asf, debe disponer de privilegios temporales que permitan realizar la copia en el directorio que se
esta protegiendo con la opcion.
289
HTML remote control

Control remoto de HTML
El control remoto de HTML es una nueva funcion introducida en IVANTI Endpoint Manager 9.5. El
control remoto de HTML utiliza un navegador como visor de control remoto. El visor de control
remoto de HTML no requiere instalacion de software o complementos en el navegador. Despues de
usar el visor de control remoto de HTML, no hay nada que desinstalar. Esto les permite a los
administradores iniciar una sesion de control remoto de HTML de forma facil en el escritorio de
alguien mas si es necesario.
El control remoto de HTML funciona en la mayona de navegadores HTML 5, como las versiones
actuales de los siguientes:
• Chrome
• Firefox
• IE 10o posterior
• Safari
• Opera
Puede ejecutar estos navegadores en cualquier sistema operativo que los admita y el control
remoto de HTML debe funcionar en ellos:
• Windows
• Linux
• OSX
• Dispositivos moviles con iOS y Android
Comparado con el control remoto clasico, el control remoto de HTML requiere un poco mas de
ancho de banda de red y utilizacion de la CPU. Para reducir el ancho de banda, puede ajustar los
bits por pfxei que se envfan o utilizar el nuevo modo de escala de grises. Para obtener mas
informacion, ver "Valores de rendimiento" (297).
Habilitar el control remoto de HTML en los dispositivos administrados
El control remoto de HTML es parte del agente de control remoto de clientes existente y no esta
activado de forma predeterminada. Una vez que se habilite, el agente de control remoto de clientes
recibe un pequeno servidor web personalizado en el puerto 4343. No hay programas adicionales
que instalar o configurar.
290
GUÍA DE USUARIO
Habilitar el control remoto de HTML no desactiva el control remoto clasico. Tampoco tiene que
cambiar manualmente entre los modos de control remoto en los clientes. El agente de control
remoto detecta automaticamente el tipo de sesion de control remoto que se solicite.
El control remoto de HTML es compatible con todos los modelos del mismo tipo de seguridad que
el control remoto clasico.
Para habilitar el control remoto de HTML
1. Haga clicen Herramientas > Configuration > Configuration de agentes.

2. Haga doble clic en la configuracion del agente que desee modificar.
3. En la pagina de Control remoto, haga clic en Configurar.
4. Seleccione la configuracion de ajustes de control remoto que desee modificar y luego haga
clic
en Modificar.
5. En la pagina de configuracion general, seleccione Permitir acceso de HTML.
6. Haga clic en Guardar para salir de los cuadros de dialogo.
7. Vuelva a desplegar la configuracion del agente que se modifico a los dispositivos
291
administrados.
Despues de habilitar el control remoto de HTMLy desplegar los agentes actualizados (o la
configuracion del agente) a los dispositivos administrados, tendra que esperar a que los
dispositivos envfen una exploracion de inventario antes de que el menu de Vista de red pueda
mostrar la opcion de control remoto de HTML al hacer clic con el boton derecho. De todas maneras
se puede hacer control remoto de dispositivos directamente desde un navegador. Para obtener mas
informacion, consulte "Inicio de una sesion de control remoto en HTML" (292).
Uso del control remoto desde un dispositivo movil
Los dispositivo moviles de tableta grande o iPad funcionan bien con el control remoto de HTML.
Puesto que los dispositivos moviles tienden a tener una CPU mas lenta que los dispositivos de
escritorio, las sesiones de control remoto pueden tener una velocidad de cuadros ligeramente mas
lenta que la de una sesion de escritorio equivalente. Considere habilitar el modo de escala de grises
para mejorarel rendimiento.
Los dispositivos moviles de Android mas antiguos pueden tener versiones anteriores del
navegador que no funcionan muy bien con el control remoto de HTML. En particular, realizar control
remoto de otro equipo desde un dispositivo movil que ejecute un navegador antiguo y dejar que el
dispositivo movil entre en suspension mientras la sesion esta activa puede hacer que el navegador
movil se congele. Si esto sucede, puede que sea posible escribir una nueva direccion URL en el
navegador y esto hara que se desbloquee la pagina de control remoto de HTML.
Compatibilidad con observadores multiples
El control remoto de HTML permite que varios observadores vean el mismo dispositivo de destino.
Cualquier observador puede controlar el dispositivo de destino, por lo que podra elegir a una
persona para operar el raton y teclado remotos.
La cantidad de observadores remotos esta limitada por la velocidad de la CPU del dispositivo de
destino y el ancho de banda de red disponible. Generalmente, tener hasta tres observadores
funcionara de forma aceptable. Si agrega mas participantes, es posible que note una reduccion en
la velocidad de los cuadros.
Habilitar el modo de escala de grises puede permitir que se agreguen mas observadores debido a
que se reducen los requisitos de ancho de banda de red.
Inicio de una sesion de control remoto en HTML

Puede iniciar el control remoto de HTML en la consola de Endpoint Manager Windows o en un
navegador directamente.
292
GUÍA DE USUARIO
Para iniciar el control remoto de HTML desde la consola de Windows:
. Haga clic con el boton derecho en un dispositivo y haga clic en Control remoto de HTML.
Para iniciar el control remoto de HTML en un navegador directamente
• Introduzca la siguiente direccion URL: https://<nombre del dispositivo o direccion IP>:4343
o NOTE: La direccion URL utiliza https:// y no http://.
Cuando se inicia manualmente el control remoto desde un navegador, tendra que proporcionar las
credenciales de dominio de un usuario autorizado para usar el control remoto.
Uso de la ventana de control remoto de HTML

Una vez iniciada la sesion, el navegador mostrara el visor de sesion del control remoto de HTML.
El visor tiene una barra de herramientas a lo largo de la parte inferior que permite el acceso a los
siguientes controles:
293
Macintosh, la Clave de comando tambien se bloquea.
• Captura de pantalla: crea una captura de pantalla y permite guardar la imagen.

• Monitores: si el equipo remoto tiene varios monitores, este boton le permite elegir que monitor desea
ver. Las miniaturas del monitor muestran lo que haba en cada uno de los monitores al inicio de la
sesion. Para obtener mas informacion, consulte "Control de dispositivos que tienen varios monitores
con control remoto de HTML" (296).
• Herramientas: muestra el dialogo Herramientas, que contiene las opciones siguientes:
• Ejecucion remota: introduzca un nombre de archivo o haga clic en Examinar... para localizar un
archivo que desee ejecutar, luego haga clic en Ejecutar.
• Transferencia de archivos: introduzca el nombre del Equipo remoto ybusque el archivo
seleccionando un disco de la lista.
• Reiniciar: introduzca el tiempo de espera de la notificacion en segundos y un mensaje para el
usuario y, a continuacion, especifique si se apagara o se reiniciara el equipo. Introduzca un
tiempo de espera de reconexion en minutos y, a continuacion, haga clic
en Reiniciar.
• Chat: haga clic en Iniciar chat para comenzar una sesion de chat.
• Portapapeles: muestra el texto y los archivos que se han copiado al portapapeles del dispositivo remoto
durante la sesion actual. Puede utilizareste portapapeles para copiar texto y archivos en el dispositivo
local. Para obtener mas informacion, consulte "Uso del portapapeles del control remoto de HTML para
transferir texto y archivos" (295).
• Configuracion: muestra el cuadro de dialogo de Configuracion. Para obtener mas informacion, consulte
"Configuracion de las opciones de control remoto de HTML" (296).
• Zoom: alterna el modo de zoom. Cuando se hace un alejamiento, el visor cambia la escala de la sesion
remota para que quepa en la ventana del navegador. Si el tamano de la ventana es demasiado pequeno,
el texto y otros elementos de la sesion pueden ser diffciles de ver. Cuando se hace un acercamiento,
aparecen barras de desplazamiento que se pueden usar para ver partes de la sesion que no caben en la
ventana.
• Salir: sale de la sesion de control remoto y regresa a la pantalla de inicio.
NOTE: Actualmente, los dispositivos Macintosh no son compatibles con la Transferencia de archivos, el portapapeles, la
funcion de arrastrary soltary el chat.
294
GUÍA DE USUARIO
Uso del portapapeles del control remoto de HTML para

transferir texto y archivos
La herramienta del portapapeles del control remoto de HTML le permite transferir archivos y texto
del dispositivo remoto al dispositivo local. Cuando se agrega un archivo o una carpeta al
portapapeles de los dispositivos remotos, ya sea con Ctrl+C o haciendo clic con el boton derecho y
luego clic en Copiar, ese elemento se agrega a la cola del portapapeles del control remoto.
A continuacion, puede hacer clic en el boton Historial del portapapeles de la barra de
herramientas de control remoto yver una lista de los elementos que se han agregado al portapapeles
durante la sesion actual de control remoto.
De forma predeterminada, el cuadro de dialogo Historial del portapapeles muestra elementos de

texto que se encuentran en el portapapeles. Si agrega un archivo o una carpeta al portapapeles,
apareceran las pestanas Lista de archivos y Lista de texto en el cuadro de dialogo. Puede utilizar
estas pestanas para cambiar entre las vistas de archivo y texto del portapapeles.
Si desea transferir texto al portapapeles local, desde un dispositivo remoto, haga clic en el texto de
la lista y, a continuacion, en el boton del portapapeles que aparece en la esquina superior derecha
de la pestana Lista de texto.
Los archivos que se agregaron al portapapeles apareceran en la vista Lista de archivos. Puede
hacer clic en un enlace para descargar ese archivo. Observe que el archivo descargado cambia a
"getcbfile". Tendra que cambiar el nombre del archivo de forma manual para que coincida con el
nombre original.
295
Tambien se pueden arrastrary soltar archivos en los dispositivos remotos. Si arrastra el archivo a
alguna ventana del Explorador de un dispositivo con Windows, el archivo se transferira a la carpeta
que aparezca en la ventana del explorador en ese momento. De lo contrario, los archivos se
transferiran al escritorio.
Control de dispositivos que tienen varios monitores con

control remoto de HTML
El control remoto de HTML admite dispositivos que tengan multiples monitores conectados a ellos.
Cuando se realiza control remoto de uno de estos dispositivos, la ventana de control remoto solo
muestra la pantalla principal.
El boton Monitores I de la barra de herramienta permite seleccionar la pantalla que se desee

En la siguiente imagen, se selecciono el monitor del medio de un dispositivo que tiene tres
monitores.
ver.
Al hacer clic en un monitor se alternara esta seleccion. Puede cambiar la seleccion del monitor en
cualquier momento durante una sesion. Si selecciona mas de un monitor, se veran todos los
monitores entre la seleccion, aunque no hayan sido seleccionados en las miniaturas de los
Monitores. Las miniaturas de los monitores se generan cuando se inicia la sesion de control remoto
y no se actualizan de forma dinamica.
Hay dos modos de visualizacion cuando hay varios monitores seleccionados. El boton de Zoom de
la barra de herramientas los alterna.
• Sin zoom: En el modo sin zoom, todos los monitores seleccionados son visibles a la vez.
Debido a la magnitud de la escala que esto requiere, la vista remota puede ser muy pequena.
• Zoom: En el modo zoom, la vista no cambia la escala. La barra de desplazamiento horizontal

le permite moverse entre los monitores seleccionados.
Configuracion de las opciones de control remoto de HTML

En general, los parametros de control remoto de HTML coinciden con la configuracion de control
remoto tradicional. Todavfa se pueden alternar las opciones de solo ver, pantalla en blanco, bloqueo
de teclado y raton, etc., junto con los ajustes de rendimiento y teclas de acceso rapido.
296
GUÍA DE USUARIO
Para ajustar la configuracion de control remoto de HTML
en
1. En una sesion activa de control remoto de HTML, haga clic en el boton Configuracion la
barra de herramientas de la sesion.
2. Ajuste los valores de configuracion que desee.
3. Haga clic fuera del cuadro de dialogo para cerrar y aplicar los cambios.
Tambien puede ajustar la configuracion de control remoto de HTML en la pantalla de inicio de

sesion de control remoto de HTML haciendo clic en el boton Configuracion. Las preferencias de la
configuracion se almacenan en una cookie del navegador local ysetendran presentes entre las
sesiones de control remoto de ese navegador.
Configuracion general
• Pantalla en blanco: oculta la pantalla del dispositivo remoto de modo que solo la persona
que ejecuta el visor de control remoto puede ver la pantalla del dispositivo remoto.
• Bloquear el teclado y raton: desactiva el teclado y raton del dispositivo remoto. solo
funcionaran el teclado y raton del dispositivo del observador remoto.
• Ocultar automaticamente la barra de menus: oculta la barra de herramientas de control
remoto HTML situada en la parte inferior de la ventana. La barra de herramientas vuelve
aparecer al deslizar el raton por la parte inferior.
• Uso de nombres alternativos: Segun la configuracion del agente de control remoto en los
dispositivos administrados, los usuarios de un dispositivo que se controla de forma remota
pueden hacer doble clic en el icono de estado del control remoto de la bandeja de sistema de
Windows para ver el nombre del equipo y del usuario que los controla de forma remota. Si no
desea que los nombres de equipo y de usuario sean visibles en los dispositivos remotos por
motivos de seguridad, puede especificar un nombre alternativo de usuario y de equipo, que
aparecera en el cuadro de dialogo de estado del control remoto de los dispositivos remotos.
No obstante, si se habilita la auditona, el seguimiento de auditona mostrara el nombre real
del equipo o del usuario, no el que se especifique en configuracion.
• Idioma del teclado: Especifica el idioma del teclado. Haga clic en el idioma deseado de la
lista.
Valores de rendimiento
• Suprimir el fondo de escritorio: Sustituye un color solido en lugar del fondo de pantalla del
dispositivo remoto. Al hacerlo, el control remoto no tiene que enviar actualizaciones de
fondo de pantalla cuando alguna parte del escritorio remoto no esta cubierta. Por lo general,
el fondo de pantalla incluye imagenes con alto uso de ancho de banda, como fotograffas.
Estas no se comprimen bien y la transferencia toma tiempo a traves de conexiones lentas.
• Modo de escala de grises: Cambia la sesion al modo de escala de grises, lo cual reduce a la
mitad la cantidad de datos transmitidos. Esto preserva una sesion de escritorio de alta
fidelidad.
297
• Bits por pixel: Reduce la cantidad de informacion de color que se transmite. La tasa maxima
es de 15 bits por pfxei, el valor predeterminado. Cuando el visor reduce la profundidad del
color, el visor tiene que asignar la paleta de color completa del escritorio remoto a la paleta
de color reducida del visor. Como resultado, notara colores en la ventana de control remoto
que no reflejan de forma precisa el escritorio remoto. El modo de escala de grises suele ser
una mejor opcion si desea optimizar el rendimiento y no se requiere una sesion de color.
Teclas de acceso rapido

• Cerrar sesion de visualization: termina la sesion de control remoto actual. El navegador
vuelve a la pantalla de inicio de sesion.
• Enviar Ctrl-Alt-Supr (Ctrl +Alt+Supr): envfa Ctrl+Alt+Suprimir al dispositivo de destino.
• Enviar Ctrl+Esc (Ctrl+Alt + E): envfa Ctrl + Esc al dispositivo de destino.
• Actualizar pantalla: retransmitir los datos de pantalla del equipo remoto.
• Reiniciar el equipo: Reinicia el equipo remoto si la configuracion del agente de control
remoto de este lo permite.
• Ver los monitores: muestra el selector de monitores. Utilice esta opcion si el equipo remoto
tiene varios monitores. Esto es lo mismo que hacer clic en el boton Monitores de barra de
herramientas.
• Imprimir pantalla: copia la impresion de pantalla de la sesion de control remoto en el
portapapeles del visor.
• Captura de pantalla: guarda el archivo .png de la captura de pantalla de la sesion de control
remoto en la carpeta predeterminada de descargas del navegador. Si el dispositivo
controlado tiene varios monitores, hay un archivo .png independiente para cada monitor
activo.
298
GUÍA DE USUARIO
Software Distribution
/Distribution packages/ Delivery
methods
Acerca de la distribucion de software
La tecnologfa de distribucion de software de IVANTI Endpoint Manager le ayuda al personal de TI a
implementar automatizacion controlada de manera rapida yeficiente de la distribucion e instalacion
de software, actualizacion de antivirus y seguridad,y aplicacion de la administracion de revisiones
en entornos de red mixtos. La tecnologfa se basa en un modelo basado en tareas que puede
mejorar sustancialmente la eficiencia global de la planificacion, programacion y administracion de
las distribuciones de software. Los paquetes, tipos de tareas de distribucion, el despliegue de
secuencias de comandos y la seleccion de destinos se manejan por separado para incrementar la
flexibilidad.
Funciones y beneficios clave
• Asignacion de codigos de retorno: Define los codigos de retorno para mejorar la exactitud de
instalacion de la aplicacion.
• Compatibilidad nativa con MSI: Copiar y pegar llamadas en la lmea de comandos de MSI.
• Flujo de trabajo simplificado: Hace facil y rapida la programacion de la instalacion de
paquetes.
• Controles de ancho de banda simplificados: Personalizar las configuraciones
adecuadamente.
• Modelado por tareas: Separa la creacion de paquetes y los tipos de tareas de entrega para
mejorar la eficiencia.
• IVANTI® Targeted Multicast™: Distribuya paquetes grandes a varios usuarios mediante un
ancho de banda mmimo y sin hardware dedicado o reconfiguracion de enrutadores.
• IVANTI® Peer Download™: Le permite el acceso a paquetes queya se han entregado a una
subred.
• Verification de prerrequisitos y encadenamiento de paquetes: Instala paquetes de
prerrequisito y le permite instalar automaticamente varios paquetes con una sola operacion.
• Programador de tareas: Se integra con las bases de datos de inventario de activos y de
servicio de directorio para facilitar la seleccion de destinos.
• Distribucion valida para distintos paquetes: Despliega cualquier tipo de paquetes y
proporciona acceso al soporte de archivos multiples MSI.
• Portal de autoservicio: Reduce incidentes del centro de atencion, faculta a los usuarios para
iniciar instalaciones aprobadas y permite solucionar problemas rapidamente a traves de
historiales detallados.
• Distribucion basada en polfticas: Despliega varios paquetes de software con una sola
299
polftica y asegura que los paquetes esten disponibles para su futura actualizacion y
renovacion si es necesario.
En Endpoint Manager, la distribucion de software consiste de tres pasos principales:
1. Cree u obtenga un paquete de software. El paquete de software puede consistir de uno o mas
archivos MSI, un ejecutable, un archivo de proceso por lotes, un paquete Macintosh, un
paquete Linux RPM, un paquete host de secuencia de comandos de Windows, un paquete de
virtualizacion de aplicacion o un paquete creado con el generador de paquetes de legado de
Endpoint Manager. Coloque el paquete en el servidor de entregas.
2. Cree un paquete de distribution (Herramientas > Distribution > Paquetes de distribution).
El paquete de distribucion contiene los archivos yconfiguracion necesarios para instalar un
paquete de software espedfico, tal como el nombre del paquete, cualquier dependencia o
requisito previo, parametros de lmea de comandos, archivos adicionales necesarios para
instalar el paquete, etc. Esta configuracion se guarda en la base de datos y se crea un
paquete de distribucion. Una vez creado el paquete de distribucion, la informacion se guarda
en la base de datos y puede utilizarse con facilidad en varias tareas.
3. Programe las tareas de distribucion en la ventana de Tareas programadas (Herramientas >
Distribucion > Tareas programadas). Especifique la secuencia de comandos del paquete de
distribucion, el metodo de entrega, los dispositivos que reciben el paquete de distribucion y
la hora de ejecucion de la tarea.
4. Cuando llega la hora programada, el servicio programador inicia el gestor de tareas
programadas, el cual implementa el paquete mediante las opciones seleccionadas en el tipo
de tarea de entrega. Estas pueden incluir lo siguiente:
• Si se selecciona un envfo compatible con las polfticas o un tipo de tarea de envfo, el

servicio se comunica con el agente de distribucion de software de cada uno de los
dispositivos y le informa de que el paquete esta listo para su instalacion.
• Si se selecciona un tipo de tarea basado en polfticas, el paquete se pone a la
disposicion para su descarga.
5. El agente de distribucion de software obtiene el paquete de la memoria cache local, de un

igual de la red o del servidor de entrega, y lo procesa en el dispositivo mediante la
instalacion o eliminacion de los archivos del paquete.
6. Una vez procesado el paquete, el agente de distribucion de software envfa el resultado al
servidor central, donde se registra en la base de datos central.
Descripcion de los tipos de paquetes de distribucion

La distribucion de software admite estos tipos de paquetes:
Agrupacion
Una coleccion de paquetes de distribucion de software y/o agrupaciones que se pueden programar
para que se ejecuten como si fueran un solo paquete. Para obtener mas informacion, consulte "Uso
300
GUÍA DE USUARIO
de agrupaciones de distribucion de software" En la pagina 303.

MSI
Estos paquetes tienen el formato del instalador de Windows. Debe utilizarse una herramienta de
otro fabricante para crear paquetes MSI. Estos paquetes consisten principalmente de un archivo
.msi primario y pueden incluir archivos y transformaciones compatibles. Las transformaciones
personalizan la forma en que se instalan los paquetes MSI. Si el paquete MSI contiene varios
archivos, asegurese de agregarlos todos en el cuadro de dialogo Paquete de distribution.
Ejecutable
A fin de que se utilice un paquete ejecutable para la distribucion de software, debe satisfacer el
criterio siguiente:
• El archivo ejecutable no se debe cerrar antes de que finalice la instalacion.

• El archivo ejecutable debe devolver el valor cero (0) si la instalacion es satisfactoria.
Siempre que el archivo ejecutable satisfaga estos dos criterios, se puede utilizar cualquier
ejecutable para la instalacion del paquete. Puede incluir archivos adicionales para los paquetes
ejecutables.
SWD
Estos son paquetes que se crearon mediante el Generador de paquetes IVANTI Enhanced Package
Builder (instalado de forma separada). Aunque Enhanced Package Builder ya no viene con Endpoint
Manager, IVANTI Software todavfa admite la distribucion de archivos creados con el.
Estos son archivos ejecutables que tienen propiedades que los identifican de forma unica como
paquetes de distribucion de software (SWD).
Aplicacion virtualizada
La Virtualizacion de aplicaciones de IVANTI utiliza la tecnologfa Thinstall para virtualizar una

aplicacion y la almacena en un archivo ejecutable autocontenido con la aplicacion y las
dependencias de controlador de dispositivo o de .DLL. Las aplicaciones virtualizadas se ejecutan en
un entorno aislado sin realizar cambios en la instalacion de Windows en la cual estan operando.
Las aplicaciones virtualizadas se ejecutan en dispositivos bloqueados sin requerir privilegios

adicionales.
Por lo general, las aplicaciones virtualizadas consisten en uno o mas archivos ejecutables. La
distribucion de software se puede utilizar para implementar archivos ejecutables de aplicaciones
virtualizadas en los dispositivos administrados. Cualquiera de los metodos de entrega de
distribucion de software se puede usar con los paquetes de aplicaciones virtualizados, incluso el
comando de Ejecucion desde el origen. Cuando se implementa la ejecucion de un paquete de
aplicaciones virtualizado desde el origen, los dispositivos administrados utilizan un icono de
acceso directo a la aplicacion para ejecutar el ejecutable de la aplicacion virtualizada a traves de la
red.
301
Acciones
Las acciones del paquete de Windows pueden realizar operaciones personalizadas durante la
instalacion del paquete. Las acciones que cree en la interfaz de acciones se combinan en un
paquete que ejecuta una unica cadena de PowerShell en dispositivos de destino. Para obtener mas
informacion, consulte "Acciones de paquetes de Windows" En la pagina 314.
Archivo por lotes
Los paquetes de archivos de proceso por lotes se basan en un archivo de proceso por lotes de
Windows/DOS. Puede incluir archivos adicionales para estos paquetes de distribucion. El estado
satisfactorio del paquete de archivos de procesamiento por lotes se basa en el valor de la variable
de entorno del sistema de nivel de error cuando ha finalizado la ejecucion del archivo de
procesamiento por lotes.
Windows Script Host
Los paquetes de Windows Script Host (WSH) son la alternativa de Microsoft Software para agrupar
archivos en lotes, pero a menudo se utilizan para automatizartareas similares, como asignar
unidades, copiar archivos o modificar claves de registro. Los archivos WSH se utilizan casi siempre
con Jscript (.js) y VBScript (.vbs). Una ventaja principal del paquete de Windows Script Host sobre
el paquete .bat consiste en que permite que el usuario combine varios lenguajes en un archivo
individual usando la extension de archivo independiente de lenguaje (wsf). Estos paquetes a
menudo se pueden crear mediante Notepad, un editor de HTML, Microsoft Visual C++ o Visual
InterDev.
Powershell
Windows PowerShell scripts se basan en .NET framework de Microsoft y le permite llevar a cabo
tareas administrativas en los equipos.
Linux
Estos paquetes tienen el formato Linux RPM. Estos paquetes deben almacenarse en un recurso
compartido Web para que funcione la distribucion en Linux RPM.
Macintosh
Se puede descargar cualquier archivo de Macintosh, aunque Endpoint Manager no descargara

directorios. Los paquetes de instalacion (.pkg) pueden contener directorios. Se deben comprimir. Si
el archivo descargado tiene la extension .sit, .zip, .tar, .gz, .sea o .hqx, Endpoint Manager
descomprimira el archivo antes de regresar. (Es necesario que los usuarios se aseguren de que
Stuffit Expander tiene la opcion de "buscar nuevas versiones" deshabilitada; de lo contrario, un
cuadro de dialogo interrumpira la ejecucion de las secuencias de comandos.)
302
GUÍA DE USUARIO
Guardar aplicacion Movil Android
Movil iOS Enlace universal

Los enlaces se vinculan con aplicaciones. Puede vincularlos con un paquete de distribucion, un
ejecutable o una URL. Los enlaces pueden aparecer en el portal Fuse del cliente o en LaunchPad, en
el escritorio o en el menu de Inicio. Estetipo de paquete es nuevo en Endpoint Manager
9.6ysustituye la herramienta de administracion de enlaces de LaunchPad antigua.
Aprovisionamiento universal
Los paquetes de aprovisionamiento despliega una plantilla de aprovisionamiento de SO que

previamente ha creado en la herramienta de aprovisionamiento.
Documentotransmitido universal
Los documentos transmitidos se pueden visualizar con el nuevo IVANTI Portal Manager en los
dispositivos administrados. Un documento transmitido se debe alojar en un directorio compartido
UNC o HTTP al que puedan acceder los dispositivos administrados. La extension del archivo del
documento transmitido debe tener asociada una aplicacion que pueda mostrar ese tipo de
documento. Los documentos transmitidos no se almacenan localmente en cache.
Los documentos transmitidos se suelen utilizar con agrupaciones de paquetes para proporcionar a
los usuarios instrucciones o informacion adicional.
Uso de agrupaciones de distribucion de software

Una agrupacion es una coleccion de paquetes de distribucion de software y/o agrupaciones que se
pueden programar para que se ejecuten como si fueran un solo paquete. Tambien puede utilizarse
un grupo en lugar de un paquete. Por ejemplo, al programar una tarea de distribucion, las
agrupaciones pueden utilizarse en el orden del paquete (preliminar, principal yfinal).
Tambien se pueden crear agrupaciones dentro de agrupaciones, pero solo se puede ajustar el orden
de instalacion de los elementos en la rafz de la agrupacion seleccionada. Cada agrupacion y
subagrupacion tiene su propio orden de instalacion.
En las propiedades del grupo, puede especificar que el grupo no se puede programar. Esto es util
para la organizacion de grupos y ayuda a evitar el despliegue accidental de estos grupos
organizativos. Por ejemplo, puede tener un grupo "Microsoft" que contiene todas las aplicaciones
de Microsoft compatibles.
Las propiedades de la agrupacion tambien le permiten insertar acciones de Reinicio y Continuar

tras error de instalacion entre paquetes. Una accion de reinicio en un paquete reiniciara el
dispositivo despues de que se instale el paquete y la agrupacion continuara donde lo dejo. Si no
pasa nada porque un paquete determinado no se instale correctamente, asfgnelo a la accion
Continuartras error de instalacion.
Un grupo puede contenertanto paquetes de aplicaciones de Windows como de OS X. Si hay una
aplicacion disponible en ambos sistemas operativos, puede proporcionar un paquete para cada
sistema operativo en el mismo grupo. En este caso, el grupo instalara automaticamente el paquete
303
correcto para el dispositivo de destino.
Para crear una agrupacion
1. Haga clicen Herramientas > Distribucion > Paquetes de distribucion.

2. En el arbol Paquetes de distribucion, haga clic con el boton derecho en una categona o en
una agrupacion de una categona y haga clic en Nueva agrupacion de paquetes.
3. Cambie el nombre de la agrupacion y pulse Intro.

4. Arrastre los paquetes yotras agrupaciones para agregarlos a la agrupacion creada.
Para cambiar el orden de los paquetes en una agrupacion
1. Haga clic con el boton derecho en una agrupacion y a continuacion, haga clic en
Propiedades.
2. En la pagina Configuracion de agrupaciones de paquetes, utilice los botones Subiry Bajar
para cambiar el orden de los elementos en la rafz.
Para configurar una accion entre paquetes
1. Haga clic con el boton derecho en una agrupacion y a continuacion, haga clic en
Propiedades.
2. En la pagina Agrupar configuracion de paquetes, en el panel derecho, seleccione el paquete
que necesita una accion entre paquetes.
3. En el panel de la izquierda, en Acciones entre paquetes, seleccione la accion que desee y

haga clicen >>.
Descripcion de los tipos de tareas de entrega de

distribucion disponibles
Cuando programe un paquete para que se distribuya, puede utilizar uno de estos tipos de tareas de
entrega:
• Distribucion compatible con la polftica: Se trata del modelo de distribucion y polftica por
envfo. Primero, la distribucion de software intenta instalar el paquete en todos los
dispositivos de la lista de destino. De este modo, se puede realizar una implementacion
en poifticas del dispositivo. Generalmente, este es el metodo de entrega recomendado.
• Polftica: El servidor central pone los paquetes a la disposicion para su descarga. Cuando un
dispositivo administrado busca las polfticas disponibles, se devuelve el paquete. Segun el
tipo de polftica, los dispositivos podnan instalar el paquete de forma automatica o ponerlo a
la disposicion de los usuarios para que lo instalen cuando lo deseen.
304
GUÍA DE USUARIO
• Por envfo: Los paquetes pueden multidifundirse a los dispositivos administrados. A

continuacion, el servidor central inicia la instalacion de los paquetes en los dispositivos
administrados.
• Multidifusion (solo con cache): copia uno o mas archivos en la carpeta de cache de
distribucion local pero no instala el archivo ni hace nada mas con el. Esto resulta util cuando
sabe que los usuarios necesitaran instalar un paquete prontoyque no quiere quetengan que
esperar para descargarlo.
Distribuir paquetes
Un paquete de distribucion consiste en los archivos del paquete que desee distribuir, cualquier
archivo adicional que el paquete necesite, y las configuraciones que describan los componentes del
paquete y su comportamiento. Debera crear el paquete antes de que le cree una definicion del
paquete para su distribucion.
Las instrucciones siguientes detallan como crear paquetes de distribucion de software. Para que el
paquete se ejecute correctamente, es necesario que exista el paquete de distribucion de software en
un servidor Web o de red y que el agente de distribucion de software se encuentre instalado en los
dispositivos.
NOTE: En cuanto a IVANTI Endpoint Manager 9.6, la herramienta de metodos de envio solo se utiliza para
distribuir los dispositivos que ejecuten agentes de dispositivos anteriores a la 9.6. Ahora puede escoger un tipo
de tarea de envio directamente desde la pagina de tareas Configuracion de tareas. Los dispositivos
optimizaran automaticamente los detalles del metodo de envio.
Se requieren dos pasos principales para distribuir paquetes a los dispositivos.
305
Paso 1: Cree el paquete que desea distribuir.
306
GUÍA DE USUARIO
Paso 2: Programe el paquete para la distribucion y, en caso necesario, personalice el tipo de tarea de envfo.
Para crear un paquete de distribucion

2. Desde el menu desplegable Nuevo, haga clic en el tipo de paquete que desee crear.
3. En el cuadro de dialogo de configuracion, escriba la informacion del paquete y configure las
opciones que desee. Recuerde que debe escribir el nombre del paquete, la descripcion y el
archivo principal. Para obtener mas informacion sobre cada pagina, haga clic en Ayuda.
4. Haga clic en Aceptar cuando haya terminado. La secuencia de comandos aparece debajo del
elemento de arbol del tipo de paqueteydel propietario que ha seleccionado.
Para programar una tarea de distribucion

2. En el arbol, haga clic en la categona Tareas programadas que desee.
307
3. Haga clic en el boton Nuevo de la barra de herramientas y haga clic en Tarea programada.
4. En la pagina Paquete de distribucion, seleccione el paquete de distribucion que ha creado.
5. En la pagina de Configuracion de tareas, seleccione el tipo de tarea de distribucion que
desee utilizar.
6. Haga clic en Guardar para guardar los cambios.

7. En la vista de red, arrastre los destinos a la tarea en la ventana Tareas programadas. Los
destinos pueden incluir los dispositivos individuales, grupos de equipos, objetos LDAP
(usuario, equipoygrupo), consultas LDAPyconsultas de inventario.
8. En el menu contextual de esa tarea, seleccione Propiedades.

9. La pagina Destinos muestra los dispositivos que recibiran la tarea.
10. En la pagina Tarea programada, escriba el nombre de la tarea y la programacion de la misma.
11. Vuelva a la pagina Information general y confirme que la tarea se ha configurado
correctamente.
12. Al finalizar, haga clic en Guardar.
Observe el progreso de la tarea en la ventana Tareas programadas.
Tabajar con los propietarios y derechos de distribucion

En entornos en los que existen muchos usuarios de Endpoint Manager, podna ser diffcil saber por
cuales paquetes de distribucion, metodos de entrega y tareas programadas es responsable cada
usuario. Para ayudar con este problema, Endpoint Manager hace del usuario que creo el paquete de
distribucion, el metodo de entrega o la tarea programada, el propietario predeterminado del
elemento. Solamente el propietario y los administradores de RBA o los usuarios de la configuracion
de distribucion de software pueden ver los elementos privados.
Los elementos privados aparecen bajo los arboles Mis metodos de entrega, Mis paquetes o Mis
tareas. Los usuarios administrativos pueden ver los elementos de todos los usuarios bajo los
arboles
Todos los paquetes de distribucion, Todos los metodos de entrega y Todas las tareas.
Cuando los usuarios crean un elemento de distribucion, la pagina de Description tiene la opcion de
Propietario. Los usuarios pueden seleccionar Publico si desean que todos los usuarios de la
consola vean el elemento. Los administradores pueden seleccionar un usuario espedfico, ademas
de seleccionar Publico.
Para obtener mas informacion sobre el uso de la administracion basada en roles con distribucion de
software, consulte "Distribucion de software" (71).
Acerca de la Descarga de archivos
La distribucion de software ofrece varios metodos para la entrega de un archivo a los dispositivos
para su instalacion. Entre ellos se incluyen:
308
GUÍA DE USUARIO
• La obtencion del archivo de la memoria cache de multidifusion

• La obtencion del archivo de un par
• La obtencion del archivo de un servidor preferido
• La descarga directa del origen remoto
Si se necesita descargar un archivo, el agente de distribucion de software, SDClient, primero busca

en la memoria cache a fin de determinar si el archivo se encuentra alif. El cache se guarda en
C:\Program Files (x86)\Ivanti\LDClient\sdmcache.
La estructura de los archivos del cache es identico a las estructuras de los archivos de la web o del
servidor de la red, lo que permite que varios paquetes tengan archivos con el mismo nombre y que
esto no suponga un problema.
Si el archivo no se encuentra en la memoria cache, por lo general, SDClient intenta descargas el

archivo de un par de la red. Puede configurar los ajustes del agente de distribucion para que
requiera la descarga de un par.
Si no se puede obtener el archivo de un par, SDClient descarga los archivos directamente del origen
UNC o URL. Los servidores preferidos son la mejor ubicacion para los archivos de paquetes. Para
obtener mas informacion, consulte "Informacion general sobre Servidores preferidos yreplicacion
de contenido" (1128) Los servidores preferidos ayudan a garantizar que los clientes utilicen las
credenciales de red que les permiten acceder a los archivos del paquete de distribucion. Si el
archivo que se va a descargar esta basado en URL, SDClient lo descarga del sitio Web.
En cualquier caso, SDClient coloca el archivo en el cache de multidifusion y luego procesa el

archivo descargado.
Cuando se descarga un archivo en la memoria cache, permanece ah durante varios dfas, pero con el
tiempo se elimina de dicha memoria. La cantidad de tiempo que el archivo permanece en la memoria
cache se controla a traves del metodo de entrega utilizado cuando se implementa el paquete.
Actualizar el troceo de paquetes

Debido a que muchos archivos de paquetes se obtienen de pares de la red, los archivos se verifican
antes de la instalacion. La integridad de los archivos se verifica mediante la comparacion del valor
de hash MD5 del archivo con el valor de hash MD5 generado en el servidor central.
Al programar un paquete de distribucion por primera vez, Endpoint Manager descarga los archivos
y calcula los valores de hash (troceo) asociados con el archivo principal y los archivos adicionales
utilizados por el paquete de distribucion. Si el hash que se guardo con el paquete no coincide con el
valor hash SDClient contabilizado en el dispositivo de destino, la descarga es invalida.
Si realiza cualquier cambio en el paquete fuera de Endpoint Manager, tal como la actualizacion del
contenido del paquete, debe restablecer el valor de hash, o en caso contrario fallaran las tareas
programadas que utilice el paquete actualizado.
Para restablecer el valor hash de un paquete
309

2. Desde el menu contextual del paquete con el hash que desea actualizar, haga clic en
Restablecer el hash de un paquete. Con los paquetes grandes, la operacion puede durar
varios minutos.
Ejecutar paquetes de distribucion desde el servidor de

origen
La distribucion de software generalmente descarga archivos de paquete en la cache local del
dispositivo y luego lo instala desde allf. Es posible que esto no funcione bien si un paquete o
aplicacion espera que los archivos de instalacion esten en una estructura de carpeta espedfica,
como por ejemplo el instalador de Microsoft Office, o si la instalacion de la aplicacion no utiliza
todos los archivos de origen para las instalaciones.
En estos casos, puede hacer que el agente de distribucion de software local ejecute el archivo
directamente desde el origen, ya sea un servidor preferido o el origen especificado en el paquete.
Cuando habilita la ejecucion desde el origen, la distribucion de software no descargara los archivos
de paquete en la cache local ni ejecutara el paquete desde un par.
Cuando utiliza la ejecucion desde el origen con paquetes almacenados en los recursos compartidos
Web, el archivo primario debe ser un archivo MSI o un paquete SWD. Con los recursos compartidos
UNC, el archivo primario puede ser de cualquiertipo.
Para crear un metodo de entrega que utilice la ejecucion desde el origen
1. Cree una tarea programada para un paquete existente.

2. En la ventana de tareas programadas, haga clic con el boton derecho sobre ese paquete y
haga clic en Propiedades.
3. Abra la pagina Configuration de tareas.

4. En la seccion Opciones de descarga, haga clic en Ejecutar desde la fuente (ejecutar en
directorio compartido).
310
GUÍA DE USUARIO
Acerca del reinicio del punto de comprobacion del nivel de

bytes y el Kmite de ancho de banda dinamica
Endpoint Manager 8y las versiones posteriores admiten el reinicio del punto de comprobacion de
nivel de bytes de distribucion y el tfmite del ancho de banda dinamico. El reinicio del punto de
comprobacion funciona con tareas de distribucion que SWD copia en primer lugar en la carpeta de
la memoria cache del dispositivo (de forma predeterminada, C:\Archivos de programa (x86)
\IVANTI\LDClient\SDMCACHE). Cuando se selecciona la opcion de control del ancho de banda, los
archivos se copian primero en la memoria cache del dispositivo y el reinicio del punto de
comprobacion permite distribuciones interrumpidas para reanudar las tareas en el punto en que se
quedaron.
El limite de ancho de banda dinamico especifica que el trafico de red que crea un dispositivo tiene
prioridad sobre el trafico de distribucion. Esta opcion tambien hace que se realice una descarga
completa del archivo en la cache del dispositivo, que asimismo permite el reinicio del punto de
comprobacion del nivel de bytes, donde las descargas se reanudan desde el punto en que quedaron
si se interrumpieron. Si selecciona esta opcion y deja el porcentaje del ancho de banda mmimo
disponible en 0, una vez que el dispositivo inicie el trafico de la red, la distribucion disminuye a un
paquete por segundo hasta que se detiene el trafico. Al aumentar el ancho de banda mmimo
disponible se garantiza aproximadamente la cantidad del ancho de banda del dispositivo que ha
especificado para la distribucion si esta necesita tal ancho de banda y existe una pugna por el
ancho de banda en el dispositivo.
Si reinstala o repara un paquete SWD o MSI, no es conveniente utilizar la opcion de lfmite del ancho
de banda dinamico ya que estos tipos de paquete solo descargan los archivos que necesitan. Si se
limita el ancho de banda dinamico en este caso, se realizara una descarga completa del paquete
cuando normalmente habna bastado con una pequena parte del paquete.
Puede configurar el lfmite de ancho de banda colectivo de modo que solamente un dispositivo del
dominio de multidifusion descargue del origen remoto. Tambien puede configurar la cantidad de
ancho de banda utilizada al descargar del origen. Esta caractenstica esta disponible en todas las
versiones de los sistemas Windows. El lfmite de ancho de banda colectivo no esta disponible en los
sistemas Macintosh.
Usar la distribucion por envio acelerado

El envfo acelerado se ha agregado en IVANTI Endpoint Manager 9.6. Si se habilita, las tareas de
distribucion se aceleran mucho. El tipo de tarea de distribucion por envfo predeterminada, genera
listas de destino de hasta 241 dispositivos y procesa estos dispositivos una lista de cada vez,
esperando hasta que se completa el trabajo antes de proceder con los dispositivos de la lista de
destino siguiente.
La distribucion por envfo acelerada hace que este proceso sea asincronico. Cuando el servidor
central detecta y se comunica con dispositivos de destino, les dice que hacery continua con el
siguiente dispositivo de destino sin esperar a que se complete el trabajo. Este proceso de deteccion
311
y comunicacion utiliza varios nucleos y subprocesos del procesador. A continuacion, cada

dispositivo procesa el trabajo por sf mismo y, en caso necesario, envfa el estado del trabajo al
servidor central.
Las tareas programadas de envfo acelerado utilizan una unica lista de dispositivos interna y, de
manera predeterminada, el envfo acelerado procesa simultaneamente hasta 64 dispositivos de
destino de la lista. En caso necesario, puede ajustar esta opcion segun los recursos del servidor
central. Por lo general, no es necesario modificar este ajuste predeterminado.
El envfo acelerado tambien funciona bien con la multidifusion. El envfo acelerado contacta con los
dispositivos de destino mucho mas rapido que los trabajos de envfo normales, de manera que una
distribucion por multidifusion pueda incluir mas dispositivos simultaneamente. El dispositivo que
actua como representante de la multidifusion en cada subred esperara el tiempo configurado antes
de empezar la multidifusion y el resto de dispositivos que utilicen ese representante recibiran la
multidifusion en cuando se inicie. Cualquier dispositivo que llegue tarde a la multidifusion obtendra
lo que haya quedado de la multidifusion cuando se unan y, despues, obtendran lo que les falte
desde sus pares o desde la fuente.
Tipos de tareas compatibles:

• Compatible con la poiftica
• Polftica
• Automatico
Opciones de descarga compatibles:

• Ejecutar desde la fuente (ejecutar al compartir)
• Descargary ejecutar
• Precache: solo descargar el paquete o el grupo, sin instalarlos.
Plataformas compatibles:
• Mac OS X
• Windows
Uso de la multidifusion autoorganizada con la distribucion

de software
La tecnologfa de multidifusion autoorganizada de IVANTI permite distribuir paquetes de gran
tamano a un gran numero de usuarios a traves de la red con un trafico mmimo en red. Las funciones
de multidifusion autoorganizada no requieren infraestructura de software o hardware adicional y no
necesitan configuraciones de enrutador para permitir paquetes de multidifusion. Disfrutara de las
extraordinarias ventajas de la tecnologfa de multidifusion sin sufrir los tradicionales quebraderos de
cabeza.
La multidifusion autoorganizada se ha disenado para funcionar con los paquetes de distribucion de
software ya existentes. Al utilizar el agente Multidifusion autoorganizada, la distribucion de software
312
GUÍA DE USUARIO
resulta muy sencilla, incluso en entornos WAN con multiples saltos y velocidades de conexion
reducidas (56k). La multidifusion autoorganizada utiliza el protocolo HTTP para realizar entregas
desde un sitio Web a un representante de subred. Endpoint Manager El escaner de inventario de le
proporciona toda la informacion necesaria al servicio de Multidifusion.
Cuando se compara con los metodos de distribucion de software convencionales, la multidifusion

autoorganizada reduce de forma significativa el tiempo y el ancho de banda necesarios para
entregar los paquetes de software. En lugar de enviar un paquete por el cable para cada dispositivo,
se realiza solo una transferencia por cada subred. Al utilizar un ancho de banda menor, se puede
incrementar el numero de dispositivos en cada subred.
IVANTI Endpoint Manager es compatible con la multidifusion en las distribuciones de Windows y

Macintosh OS X. Ademas, puede multidifundir las imagenes de aprovisionamiento de SO.
Aqrn se muestra el flujo de trabajo de la multidifusion autoorganizada:
1. Empieza una tarea que utiliza la multidifusion y los dispositivos de destino buscan una
sesion de multidifusion existente para esa tarea en la subred. Si no hay una, un dispositivo
se ofrece para convertirse en el representante del dominio de multidifusion para esa tarea. El
representante de cada subred empieza la descarga.
2. Otro dispositivo recibe la tarea, comprueba que hay una sesion de multidifusion existente
para esa tarea y espera a que la sesion del representante del dominio de multidifusion
empiece a retrasarse (un minuto, de manera predeterminada). Los representantes del
dominio de multidifusion empiezan a multidifundir en sus subredes.
3. Los dispositivos que reciban la tarea, despues de iniciar la sesion de multidifusion, se uniran
a la multidifusion yempezaran a recopilar los datos de multidifusion. Al final de la
multidifusion, solicitaran las partes que falten a los pares.
Para habilitar la multidifusion en el Ajuste de agente de distribucion y revision
1. Haga clic en Herramientas > Seguridad y cumplimiento > Configuration de agentes.

2. En el arbol Configuracion del agente, haga clic en Distribucion y revision yen Nuevo, o haga
doble clic en Distribucion y revision de Configuracion del agente.
3. En la pagina Configuracion de red, seleccione Utilizar multidifusion En caso necesario,

modifique el Retraso. Este es el tiempo que el dispositivo que se ha ofrecido como
representante del dominio de multidifusion para una tarea esperara, antes de llevar a cabo la
multidifusion del trabajo de distribucion a los pares de la subred.
313
5. Los dispositivos que ya esten utilizando los ajustes del agente de distribucion que
modifico recibiran los cambios la proxima vez que ejecute el escaner de vulnerabilidad,
normalmente, antes de 24 horas.
Tambien puede crear una nueva configuracion para el agente de distribucion y asociarla con
las tareas que desee, lo que sobrescribira temporalmente los ajustes de distribucion
predeterminados del dispositivo. Lleve a cabo esto desde la pagina Configuracion del
agente.
Copia de archivos en la carpeta de cache de distribucion local

Tiene la opcion de copiar uno o mas archivos en la carpeta de cache de distribucion local. No
instala el archivo ni hace nada mas con el. Esto resulta util cuando sabe que los usuarios
necesitaran instalar un paquete pronto y que no quiere que tengan que esperar para descargarlo.
Para copiar los archivos en la carpeta de cache de distribucion local
1. Haga clic con el boton derecho sobre el paquete que desee copiar y haga clic en Crear tarea
programada.
2. En la ventana de tarea programada, haga clic con el boton derecho sobre la tarea que haya
creado y haga clic en Propiedades.
3. En la pagina de Configuracion de la tarea, en la seccion Opciones de descarga, haga clic en
Precache (descargar para una tarea futura o para una accion iniciada desde el portal).
4. Finalice la programacion de la tarea.
Acciones de paquetes de Windows

Utilice las acciones del paquete de Windows para realizar operaciones personalizadas durante la
instalacion del paquete. Las acciones que cree en la interfaz de acciones se combinan en un
paquete que ejecuta una unica cadena de PowerShell en dispositivos de destino. Las acciones
disponibles incluyen lo siguiente:
• Copiar, renombrar, eliminar o mover un archivo

• Crear o eliminar un directorio
• Detener, iniciar o reiniciar un servicio de Windows
• Agregar, eliminar o actualizar la entrada de un registro
• Conectar o desconectar un archivo compartido de UNC
• Iniciar un archivo ejecutable
• Hacer que aparezca una ventana
314
GUÍA DE USUARIO
• Personalizar los comandos de PowerShell que ha creado

Para crear un paquete de acciones de Windows

2. Haga clic con el boton derecho sobre la categona Paquetes de distribucion que desee y haga
clic en Nuevo paquete de acciones > Acciones.
3. En el cuadro de dialogo Propiedades de las acciones de Windows de la pagina Acciones,

haga clic en Agregar.
4. Seleccione la accion que desee y haga clic en Aceptar.

5. Configure las propiedades de las acciones.
6. En caso necesario, agreguey configure otras acciones.
Uso de los paquetes de distribucion MSI

Endpoint Manageradmite la instalacion de MSI con informes completos del estado y un
reconocimiento del paquete MSI. El tipo de paquete de distribucion MSI es el metodo preferido de
distribucion de software de Endpoint Manager. La descripcion de los parametros de MSI le ayudara
a configurar los paquetes MSI y los metodos de entrega.
Uso de parametros de la lmea de comandos MSI con distribucion de software
Cuando se instala un paquete de distribucion MSI, Endpoint Manager aprovecha los llamados al MSI
API. Las instalaciones de MSI utilizan dos tipos diferentes de parametros de lmea de comandos:
• Parametros de opciones
• Parametros de referencia de propiedad
315
Parametros de opciones
Los parametros de opciones son los conmutadores que utiliza la herramienta de instalacion de
Microsoft, Msiexec.exe. Por ejemplo, el conmutador/q, es un conmutador comun para Msiexec que
silencia una instalacion desatendida.
En el dialogo Paquete de distribution - Propiedades, puede introducir los parametros de opcion de

MSI en el campo de la Lmea de comandos de la pagina Opciones de instalation/desinstalation.
Haga clic en el boton con la marca de verificacion al lado del campo para validar la lmea de
comandos. Se puede encontrar mas informacion sobre las opciones Msiexec en:
http://support.microsoft.com/?kbid=227091.
Parametros de referencia de propiedad
Las referencias de propiedad, tambien conocidas como propiedades publicas, son espedficas del
archivo MSI. Los parametros se pasan directamente a las API de instalacion de MSI. Se pueden
utilizar en el campo Lmea de comandos de las opciones Instalar/Desinstalar de un paquete de
distribucion MSI.
La sintaxis de las referencias de propiedad es PROPERTY=VALUE. Una referencia de propiedad
comun es la propiedad Transformaciones. Esta es la propiedad que llama a un archivo .mst
(transformacion). Se puede encontrar mas informacion sobre los parametros de referencia de
propiedad en: http://support.microsoft.com/?kbid=230781.
316
GUÍA DE USUARIO
La informacion sobre las propiedades publicas de una aplicacion se puede obtener en la

documentacion de instalacion de software, el sitio Web oficial de la aplicacion o comunicandose
con el proveedor del software directamente.
Ejecucion de un MSI de forma silenciosa

En Endpoint Manager, la ejecucion de un MSI de forma silenciosa se maneja automaticamente bajo
las Opciones de instalacion/desinstalacion de un paquete de distribucion. Para ejecutar un MSI de
forma silenciosa, vaya a la pagina de Opciones de instalacion/desinstalacion del paquete de
distribucion deseadoy haga clicen Modo silencioso, sin interaction del usuario.
Automatice una instalacion de MSI

Para muchos MSI, silenciar el MSI tambien automatiza la instalacion. En tales casos, todo lo que
necesita hacer para automatizar una instalacion de MSI es seleccionar Modo silencioso, sin
interaccion del usuario en el paquete de distribucion.
En ocasiones se requiere una referencia de propiedad para finalizar la instalacion. En tales casos, el
instalador de MSI pedira un valor. Durante una instalacion automatizada, no aparecera dicho pedido.
La instalacion de MSI fallara debido al error 1603 de MSI estandar, Error fatal durante la instalacion.
Las propiedades publicas requeridas deberan recibir un valor asignado en el campo Lmea de
comandos del paquete de distribucion.
Uso de un archivo de transformacion con una instalacion de MSI

Los archivos de respuesta para los MSI se denominan archivos de transformacion y finalizan con la
extension .mst. No todas las instalaciones de MSI necesitan un archivo de transformacion; sin
embargo, este tipo de archivo se puede usar si existen muchas referencias de propiedades a las que
se necesita cambiar o asignar valores. Si es compatible con la aplicacion, se puede crear un archivo
de respuesta para pasartodos los parametros de referencia.
Si se requiere un archivo de transformacion, pero no es proporcionado en la instalacion, como

resultado se producira el error 1603, Error fatal durante la instalacion. A menudo, el proveedor de
software tendra la informacion necesaria o una herramienta para crear un archivo de transformacion
para su MSI espedfico. Por ejemplo, se debe utilizar un archivo de transformacion para implementar
la version de licencia del volumen de Microsoft Office 2003. Microsoft cuenta con una herramienta
denominada Asistente de instalacion personalizada que se instala como parte del paquete de
recursos de Office 2003. Se puede descargar el paquete de recursos de Office 2003 del sitio web
siguiente:
• http://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be-
98c7-ccc3016a296a/ork.exe
Si el proveedor no tiene la informacion necesaria o dicha herramienta, Microsoft proporcionara una
herramienta denominada Orca que puede crear un archivo de transformacion. Para obtener
asistencia adicional, consulte el archivo de ayuda de Orca.
317
Manejo de reinicios con una instalacion de MSI
Endpoint Managermaneja los reinicios de MSI mediante la pagina Reiniciar de las propiedades del
metodo de entrega. IVANTIpasara automaticamentetanto el parametro REBOOT=REALLYSUPPRESS
como/NORESTART cuando se seleccione No reiniciar nunca en el metodo de entrega.
La opcion Reiniciar siempre pasa el parametro/FORCESTART.
Reiniciar solo si es necesario permite que MSI maneje el reinicio. Si esta habilitada la opcion de
respuestas, se le consulta al usuario si desea reiniciar. Es importante saber si los MSI admiten
acciones personalizadas. Si una accion personalizada realiza un reinicio, Endpoint Manager no
podra impedirlo.
Lista de verificacion de MSI
Si una implementacion involucra un MSI, siga esta lista de verificacion.
• Tengo la version correcta de los archivos de instalacion, incluso los archivos MSI y todos los
adicionales, para una implementacion de licencia del volumen.
• Tengo la informacion del proveedor de software sobre como automatizary silenciar la
instalacion y configuracion del software, y sobre como manejar reinicios.
• Conozco los parametros de propiedad publica que necesito pasar al MSI.
• Conozco si este MSI necesita un archivo de transformacion para su instalacion y de ser asf
he creado uno.
Asignacion de codigos de retorno de distribucion

El cuadro de dialogo de Asignar codigos de retorno se utiliza para regresar el estado al servidor
central con base en si una tarea de distribucion se efectuo satisfactoriamente o no. En el pasado,
Endpoint Manager solo lefa 0 como satisfactorio y cualquier otro valor como un error. Esto
planteana un problema para los administradores puesto que la aplicacion podna haberse instalado
sin error, y sin embargo, debido a que el codigo de retorno devuelto era un numero diferente de 0,
Endpoint Manager indicana un error.
Los proveedores mantienen listas creadas por los desarrolladores de productos con todos los
codigos de retorno posibles y los resultados espedficos que los codigos indiquen. Ahora, Endpoint
Manager ha agregado la capacidad para que los administradores busquen listas de codigo de
retorno y construyan plantillas que se pueden relacionar con paquetes individuales o multiples.
Cada codigo de retorno puede ser designado por el administrador para indicar exito o error
ydevolver un mensaje personalizado que indica los resultados especficos de la instalacion.
Ademas de poder utilizar esta funcion con aplicaciones de terceros, las plantillas de codigo de
retorno tambien se pueden crear como aplicaciones privadas escritas por desarrolladores internos.
Endpoint Manager proporciona una plantilla predeterminada as^como la capacidad de crear nuevas
plantillas personalizadas, copiar las plantillas predeterminadas o personalizadas, o hacer
modificaciones a cualquier plantilla por medio del Gerente de plantillas de codigo de retorno.
Cuando se crean plantillas, se puede asociar una plantilla espedfica con un paquete especfico en el
318
GUÍA DE USUARIO
cuadro de dialogo Asignar codigos de retorno a traves de la ventana de asignaciones de codigo de

retorno de Paquete. Las modificaciones de las plantillas tambien pueden hacerse en esta ubicacion.
Los usuarios tienen la opcion de agregartodos los codigos de retorno posibles que indiquen exito o
error, o solo agregar codigos de retorno adicionales que indiquen exito. En caso de que solo se
agreguen los codigos de exito, cualquier codigo de retorno sin referencia en la plantilla se asigna
automaticamente como error.
Hay dos plantillas predeterminadas que se incluyen con Endpoint Manager:
• Plantilla predeterminada de MSI: Contiene mas de 50 asignaciones que cubren los codigos de
retorno estandares de MSI.
• Plantilla predeterminada que no es de MSI: Contiene una asignacion individual del codigo de
retorno 0, "La accion finalizo satisfactoriamente." Todos los codigos diferentes de cero
regresan "Error en el despliegue del paquete."
Una de estas plantillas se asigna automaticamente al paquete de distribucion de acuerdo con su

tipo. Puede cambiar la asignacion de plantilla en las propiedades del paquete de distribucion.
319
Asignar codigos de retorno de distribucion

El cuadro de dialogo de Asignar codigos de retorno se utiliza para regresar el estado al servidor
central con base en si una tarea de distribucion se efectuo satisfactoriamente o no.
Los usuarios tienen la opcion de agregartodos los codigos de retorno posibles que indiquen exito o
error, o solo agregar codigos de retorno adicionales que indiquen exito. En caso de que solo se
agreguen los codigos de exito, cualquier codigo de retorno sin referencia en la plantilla se asigna
automaticamente como error.
Para usar el Administrador de plantillas de codigo de retorno

2. En la barra de herramientas Paquetes de distribucion, haga clic en el boton del
Administrador de plantillas de codigo de retorno.
3. En el dialogo del Administrador de plantillas de codigo de retorno, haga clic en Agregar,

Modificar, Eliminar, Importar o Exportar.
Para agregar una nueva plantilla de asignacion de codigos de retorno

2. En la barra de herramientas Paquetes de distribucion, haga clic en el boton del
3. En el dialogo Administrador de plantillas de codigo de retorno, haga clic en Agregar.

4. Escriba un Nombre de plantillay una Description de plantilla.
5. Seleccione un Tipo de filtro de plantilla.
7. En el cuadro de dialogo Asignaciones de codigo de retorno de paquetes, si desea
cambiar el mensaje predeterminado por correcto o error, seleccione un Estado e
introduzca el Mensaje correspondiente a ese estado.
8. Agregue una nueva asignacion haciendo clic en Agregar.

9. En la parte inferior del cuadro de dialogo, introduzca el codigo de retorno numerico o el
intervalo de codigo de retorno.
10. Escriba un Mensajeyuna seleccione un Estado.

11. Repita los pasos del 8 al 10 si es necesario.
12. Haga clic en Aceptar. La nueva plantilla aparece en esta lista.
Para aplicar la asignacion de codigo de retorno a un paquete de distribucion

2. Haga doble clic en el paquete que desea modificar.
3. En el arbol de propiedades de paquete, haga clic en Asignar codigos de retorno.
4. Haga clic en la plantilla de codigo de retorno que desea aplicar.
320
GUÍA DE USUARIO
5. Haga clicen Asignar.

Exportar e importar plantillas de codigo de retorno de

distribucion
Las plantillas de codigo de retorno se almacenan en la base de datos principal, pero puede exportar
las plantillas a un archivo XML e importarlas en otros servidores. Si se sincroniza un paquete de
distribucion por medio de la sincronizacion principal, la plantilla de codigo de retorno que se le
asigno es parte de los datos de sincronizacion.
Para exportar una plantilla de codigo de retorno

2. En la barra de herramientas Paquetes de distribucion, haga clic en el boton del Administrador
de plantillas de codigo de retorno.
3. Haga clic en la plantilla que desea exportar.

4. Seleccione Exportar.
5. Explore una ruta de acceso e introduzca un Nombre de archivo.
Para importar una plantilla de codigo de retorno

2. En la barra de herramientas Paquetes de distribucion, haga clic en el boton del Administrador
de plantillas de codigo de retorno.
3. Haga clicen Importar.

4. Explore en busca del archivo XML que contiene la plantilla exportada.
5. Haga clicen Abrir.
321
Actualizar las credenciales ejecutar como del paquete

Cada paquete de distribucion de software tiene una pagina de propiedades de Cuentas. De
manera predeterminada se utiliza la cuenta LocalSystem para distribuir el paquete. Tambien
puede escoger utilizar la cuenta del usuario actual.
La ultima opcion de las cuentas es Ejecutar como un usuario especifico y proporcionar las
credenciales de ese usuario. Si tiene muchos paquetes que utilizan ejecutar como y necesita
actualizar las credenciales, editar cada paquete de manera individual puede resultartedioso. En este
caso, utilice
la Herramienta de actualizacion masiva de credenciales de paquetes.
Esta herramienta muestra una lista de todos los paquetes y le permite proporcionar las
credenciales. Puede seleccionar los paquetes que desees utilizar las nuevas credenciales. La
seleccion multiple con Mayus y Ctrl es compatible. Solo se actualizaran las credenciales de los
paquetes marcados.
Para actualizar masivamente las credenciales de paquetes de ejecutar como
1. Haga clicen Herramientas > Distribucion > Distribucion de software.

2. En la barra de herramientas, haga clic en el boton Actualizacion masiva de credenciales de
paquetes.
3. Introduzca las nuevas credenciales.

4. Seleccione los paquetes que utilizaran las nuevas credenciales.
5. Hacer clicen Actualizar.
Distribuir software a dispositivos Linux

Una vez implementados los agentes de Linux, el software se puede distribuir en los dispositivos
Linux. La implementacion inicial de agentes Linux utiliza una conexion SSH. Una vez instalados los
agentes, el servidor central utiliza el agente de IVANTI estandar para comunicarse con el servidor
Linuxy para transferir archivos. Para distribuir software en un dispositivo Linux, debe contar con
derechos administrativos.
Solamente se pueden distribuir RPM en dispositivos Linux. Los agentes Linux instalaran de forma
automatica el RPM que se distribuya. Una vez instalado, el RPM no quedara almacenado en el
servidor. Se puede instalar y desinstalar el RPM especificado mediante la distribucion de software.
Solo puede utilizar los metodos de instalacion automatica con la distribucion de software Linux.
Para la distribucion de software Linux, se ignora la configuracion en el metodo de envfo, para que
no importe que metodo de instalacion automatica selecciona o cual es la configuracion.
La distribucion sigue el siguiente proceso:
1. El servidor central se conecta al dispositivo Linux a traves del agente de IVANTI estandar
322
GUÍA DE USUARIO
2. El dispositivo descarga el paquete

3. El dispositivo ejecuta una secuencia shell que utiliza los comandos RPM para instalar el
paquete de RPM.
4. El dispositivo envfa estados al servidor central.
Se pueden almacenar RPM de Linux en recursos compartidos HTTP. La distribucion de software de

Linux no admite los recursos compartidos de archivos UNC. Para los recursos compartidos HTTP,
compruebe que este habilitada la exploracion de directorio. Si se usa el recurso compartido HTTP
en un dispositivo Windows que no sea el servidor central, se necesitara configurar el IIS con el tipo
MIME adecuado para los archivos RPM. De lo contrario, el tipo MIME predeterminado que utiliza el
IIS causara el fallo de RPM al descargar el archivo.
Para configurar el tipo MIME RPM en los dispositivos Windows
1. Desde el Panel de control de Windows, abra Internet Services Manager.

2. Vaya a la carpeta que almacena los archivos de distribucion. En el menu contextual de esa
carpeta, seleccione Propiedades.
3. En la pestana Encabezados HTTP, haga clic en el boton Tipos de archivos.

4. Haga clic en Tipo Nuevo.
5. Para el tipo Extension asociada, escriba rpm. Tenga en cuenta que rpm se encuentra en
letras minusculas.
6. En el Tipo de contenido, ingrese texto/sin formato.

7. Haga clic en Aceptar para salir de los cuadros de dialogo.
Una vez que se han almacenado los archivos en el recurso compartido de paquetes, cree un nuevo
paquete de distribucion Linux en la ventana Paquetes de distribucion, asocielo con el metodo de
entrega deseado y programe el envfo.
Dependencias Linux de software

Cuando hace clic en Guardar en el cuadro de dialogo Propiedades del paquete de distribucion del
paquete Linux, la distribucion de software analiza el RPM primario y los RPM dependientes que se
seleccionaron en busca de las dependencias que estos RPM requieren. Estas dependencias luego
aparecen en el cuadro de dialogo Bibliotecas faltantes. Al seleccionar una dependencia en este
cuadro de dialogo se le indica al software de distribucion que no le vuelva a enviar mensajes. Puede
activar las dependencias que sabe que estan instaladas en los dispositivos administrados. Este
cuadro de dialogo es solo para brindarle informacion. Si falta una dependencia en el dispositivo de
destino y no la incluyo espedficamente como un paquete dependiente, es probable que el RPM no
se instale correctamente.
323
Resolucion de errores de distribucion

La distribucion de software le permite distribuir paquetes a una gran cantidad de dispositivos al
mismo tiempo. Si existe un problema con el paquete o el software que se esta implementando tiene
conflicto con el software existente, se podnan crear problemas en millares de dispositivos a la vez.
Al planear implementaciones mediante la distribucion de software, tenga cuidado de no sobrecargar
el departamento de asistencia tecnica.
Antes de implementar un paquete nuevo, pruebelo en sistemas de prueba. De forma idonea, los
sistemas de prueba deben incluirtodos los sistemas operativos y las aplicaciones que se utilizan en
el entorno. Una vez que se implemente el paquete, confirme que todos los sistemas y las
aplicaciones funcionen de forma prevista.
Una vez que se haya validado el paquete en los sistemas de prueba, realice una implementacion
limitada. Hagalo en una cantidad reducida de dispositivos del entorno. Al decidir la cantidad de
dispositivos de destino, la regla general es que se haga en la cantidad de dispositivos a los que el
departamento de asistencia tecnica pueda dar servicio. Una vez que el paquete se haya
implementado en los dispositivos, espere un par de dfas para ver si los usuarios encuentran
problemas.
Tras la implementacion inicial, continue distribuyendo el software a los otros dispositivos de la

empresa. La velocidad a la cual se llevan a cabo estas implementaciones debe basarse en la
variedad de dispositivos que tenga la empresa y la carga de trabajo que el departamento de
asistencia tecnica pueda manejar.
Para obtener mas informacion, consulte el siguiente artfculo de la comunidad acerca de la

resolucion de problemas de distribucion de software:
Procesamiento de las secuencias de comandos

personalizadas para distribuir software
Las secuencias de comandos personalizadas que controlan las tareas programadas (Herramientas >
Distribucion > Tareas programadas) se procesan en tres secciones:
• Pre-equipo: Esta seccion de la secuencia de comandos personalizada se procesa en primer

lugar al inicio de la tarea. Esta seccion resulta de utilidad para las tareas que no tienen
dispositivos dirigidos y/o para la multidifusion dirigida. En la seccion de Pre-equipo de la
secuencia de comandos, solo se deben utilizar comandos locales, LOCxxx.
• Equipo: Los comandos de esta seccion se ejecutan por segunda vez, una vez por cada uno
de los clientes dirigidos. Estos comandos pueden utilizar los comandos de ejecucion remota
o local, y se utilizan principalmente para ejecutar SDCLIENT.EXE de forma remota. Antes de
poder ejecutar los comandos en esta seccion de la secuencia de comandos, el agente SWD
debe estar instalado en los dispositivos de destino.
• Post-equipo: Esta seccion se procesa en ultimo lugar despues de haber procesado todos
los dispositivos. La distribucion de software no anade comandos a esta seccion y solo
324
GUÍA DE USUARIO
admite los comandos locales, LOCxxx. Los comandos de esta seccion no se procesaran
si los dispositivos de la tarea no pueden ejecutarlos. El archivo de secuencia de
comandos InventarioScanner.ini incluido en Endpoint Manager contiene informacion
detallada sobre los comandos de la secuencia.
Comandos de secuencias de comandos personalizadas
Las secuencias de comandos personalizadas admiten varios comandos locales y remotos:
• LOCEXEC: Ejecucion local, este comando se utiliza para ejecutar una aplicacion en un
dispositivo local, el cual es siempre el servidor central.
• LOCDEL: Eliminacion local, elimina un archivo en el dispositivo local.

• LOCMKDIR: Creacion de carpeta local, crea una carpeta en el dispositivo local.
• LOCRD: Eliminacion de la carpeta local, este comando se utiliza para eliminar una carpeta en
un dispositivo local.
• REMCOPY: Copia remota, copia un archivo del dispositivo local a uno remoto.
• REMEXEC: ejecucion remota, ejecuta una aplicacion en el dispositivo remoto especificado.
• REMDEL: eliminacion remota, elimina un archivo en el dispositivo remoto.
• REMMKDIR: creacion de carpeta remota, este comando crea una carpeta en el dispositivo
remoto.
• REMRD: eliminacion de carpeta remota, este comando elimina una carpeta en el dispositivo
remoto.
Rutas HTTP y UNC en las secuencias de comandos
A continuacion se muestran algunos ejemplos de archivo .ini de distribucion de software que

reflejan las diferencias entre los archivos de secuencia de comandos de las rutas HTTPy UNC.
Archivo de secuencia de comandos de rutas HTTP:

; Archivo generado mediante el Administrador de dispositivos [MACHINES]
REMEXEC0=C:\Archivos de programa\IVANTI\LDClient\sdclient.exe -p=http://<servidor
web>/paquetes/paquete de prueba.exe -g={6DD454C0-11D3A0D1-a000B3B5-9BACBBC99CFC6D-
9CE3504 801A0D4B2FZ082 9F08} -Ac -Ab
Archivo de secuencia de comandos de rutas UNC:

; Archivo generado mediante el Administrador de dispositivos [MACHINES]
REMEXEC0=C:\Archivos de programa\IVANTI\LDClient\sdclient.exe -p=\\central_ ejemplo\unarchivo\paquete
de prueba.exe -g={6DD454C0-11D3A0D1-a000B3B5-9BACBBC99CFC6D- 9CE3504 801A0D4B2FZ082 9F08} -Ac -Ab
Tenga en cuenta que ambos archivos .ini tienen elementos similares. En la seccion MACHINES, la
opcion -P designa la ruta en la que el dispositivo descargara el paquete de software. En el ejemplo
de la ruta HTTP, esta es http://<servidor web>/paquetes/paquete de prueba.exe.
La siguiente opcion es la opcion -G, que se refiere al GUID, un identificador exclusivo de los
paquetes. Este identificador lo genera el Generador de paquetes yevita que, durante la instalacion,
se confundan los paquetes con nombres similares.
325
Gula de secuencia de comandos para secuencias de implementacion (archivos .ini)

No tiene que utilizar la ventana Crear secuencia de comandos de distribucion de software para crear
el archivo de secuencias de comandos de implementacion. Un archivo de implementacion es un
archivo .ini que incluye la configuracion que debe utilizar el dispositivo para instalar un paquete. Si
lo desea, puede crear sus propios archivos de implementacion en un editor de texto como, por
ejemplo, el Bloc de notas.
Un archivo de secuencias de comandos (.ini) de distribucion de software incluye los componentes

siguientes:
[MACHINES]
REMEXEC0=C:\Archivos de programa\IVANTI\LDClient\sdclient.exe /p="http://computer
name/95Packages/Acro32 95.exe"
/g={281B4 6C0-11D37 66F-a0008bab-F97 51AC966F8 08-66E3BC2DF01A0D4B2F88 67 0DE4}
/Ac
/N
Parametros del comando REMEXEC0

Los parametros del comando REMEXEC0 se han ubicado en lfneas diferentes para que resulte
mucho mas sencillo distinguirlos. Cuando se incluyan en un archivo .ini, el comando debe situarse
en una sola lfnea.
REMEXEC0 es el comando de ejecucion remota. Si desea utilizar mas de un comando REMEXEC0

en un archivo de secuencias de comandos, incremente el comando cada vez que lo utilice. Por
ejemplo, si utiliza tres llamadas REMEXEC en un archivo .ini, deberan diferenciarse como
REMEXEC0, REMEXEC1 y REMEXEC2. No es necesario incrementar estos comandos si se
encuentran en archivos diferentes.
El parametro c:\Archivos de programa\IVANTI\LDClient es la ruta correcta del agente ESWD.
Descripcion de los codigos de error de distribucion de

software
Para obtener informacion general sobre como solucionar problemas de distribucion de software,
consulte la siguiente pagina de la Comunidad de usuarios de IVANTI:
En la consola, el panel derecho de la ventana Tareas programadas muestra el estado de la tarea. Si

hace clic en Error dentro de una tarea, puede ver los dispositivos que dieron error en el trabajo y los
mensajes resultantes y registros. El estado y los errores se registran en los archivos siguientes:
• Si se produce un error al intentar acceder al paquete, este se registra en el archivo

AICLIENT.LOG.
• Si el error se produce al procesar el paquete, (por ejemplo, al copiar archivos), este se
registra en el archivo INST32.LOG.
• El archivo SDCLIENT.LOG incluye informacion general sobretodas las solicitudes de

instalacion procedentes del servidor central.
326
GUÍA DE USUARIO
Estos archivos de registro se almacenan en los dispositivos.
Conmutadores de la linea de comandos de distribucion de

software SDCLIENT.EXE
La secuencia de comandos de implementacion facilita la distribucion de software. SDCLIENT.EXE
administra los paquetes mediante conmutadores de la lmea de comandos que provienen del archivo
de secuencias de comandos que se transmite a la aplicacion.
Para obtener mas informacion, consulte el siguiente ardculo de la comunidad acerca de los
conmutadores de la lfnea de comandos de SDCLIENT.EXE:
Ayuda sobre Distribucion de software

Uso del cuadro de dialogo Paquete de distribucion
El cuadro de dialogo Paquete de distribucion (Herramientas > Distribucion > Paquete de

distribucion) almacena informacion en la base de datos que describe el paquete que se desea
distribuir. Los datos contienen la configuracion necesaria para instalar un paquete de software
espedfico, tal como el nombre del paquete, cualquier dependencia o requisito previo, las opciones
de instalacion, etc. Una vez creada, esta informacion se denomina "paquete de distribucion".
Antes de utilizar este cuadro de dialogo, coloque el paquete en el servidor de distribucion. Debe
explorar el paquete y proveer informacion sobre los requisitos previos o archivos adicionales del
paquete. Una vez que haya creado un paquete de distribucion para su paquete, podra asociarlo con
un metodo de entrega (Herramientas > Distribucion > Metodos de entrega) para implementarlo en
los dispositivos.
Acerca de la pagina Informacion de paquete
Utilice esta pagina para especificar el nombre y archivo principal del paquete. Si el paquete consiste
de un solo archivo, agreguelo aqrn. Si el paquete contiene varios archivos, agregue el archivo
principal del paquete. Por ejemplo, el archivo que inicia la instalacion. Puede agregar archivos
adicionales en la pagina Archivos adicionales.
Para utilizar el explorador de archivos, escriba el nombre de un recurso compartido de Web o de

una ruta de archivo en el cuadro junto al boton Ir. Haga clic en Ir para visualizar el destino en el
cuadro Archivo principal. Puede continuar explorando ahf. Al explorar el archivo, haga doble clic en
el archivo que desee establecer como principal. Al hacerlo, se agrega el nombre del archivo a la ruta
del paquete junto al boton Ir.
• Nombre: El nombre especificado aqmaparece en los arboles y cuadros de dialogo de
Paquetes de distribucion y Metodos de entrega. Utilice un nombre descriptivo que no sea
demasiado largo, debido a que tendra que desplazarse para ver las descripciones extensas.
• Descripcion que se le presenta a los usuarios finales en la descarga: la descripcion que

especifique aqm aparecera en las ventanas de Paquetes de distribucion y Metodos de
327
entrega y el Portal de despliegue de software.
• Archivo principal: el archivo principal del paquete.

• Ir: empieza a explorar la ruta especificada junto al boton de Ir.
• Arriba: sube un nivel de carpeta a partir de la ubicacion que se esta explorando.
Uso de variables de entorno
Endpoint Manager no admite la colocacion de variables de entorno directamente en la ruta de

acceso del paquete, aunque la expansion funcionara con las secuencias de comandos
personalizadas creadas con anterioridad. A fin de admitir variables de entorno en la nueva
arquitectura SWD, el valor de registro "PreferredPackageServer" debe definirse en la variable de
entorno que se utilizara. La variable de entorno se expande para definir el servidor en el cual se
recuperara el archivo.
Acerca de la pagina Opciones de instalacion y desinstalacion
Esta pagina permite especificar el tipo de paquete. Existen diversas opciones en funcion del
paquete que se implemente. No todos los tipos de paquetes tienen estas opciones.
• Instalar: indica que se desea utilizar un paquete de instalacion para instalar el software.
• Desinstalar: indica que se desea utilizar un paquete de instalacion para eliminar el software.
Cuando se define este indicador, la secuencia de comandos elimina todo lo instalado con la
secuencia de comandos de instalacion.
• Lmea de comandos: (No disponible en paquetes SWD, Macintosh o Linux) la lfnea de

comandos que se pasara al archivo primario especificado. La distribucion de software
agrega automaticamente los parametros basicos del tipo de paquete que se distribuye.
Opciones de instalacion/desinstalacion de MSI
Los paquetes de distribucion de MSI tienen opciones de instalacion/desinstalacion adicionales

cuando se selecciona Usar Windows Installer para instalar y controlar la instalacion (MSlexec).
• Opciones de pantalla:
• Modo silencioso, sin interaction del usuario: ejecuta la instalacion en el dispositivo
administrado sin notificar (instalacion silenciosa).
• Modo desatendido, barra de progreso solamente: solo muestra una barra de progreso
durante la instalacion, sin opciones para aplazar o cancelar.
• Establece el nivel de interfaz del usuario:

• Sin interfaz: ejecuta una instalacion completamente silenciosa.
. Interfaz basica: muestra una ventana del tamano de la pantalla con una barra de
progreso y un boton Cancelar. Aparece un cuadro de mensajes al final de la
instalacion.
Si se cancela la instalacion, no se muestra el cuadro de mensajes.
• Interfaz reducida: muestra un cuadro de mensajes al final de la instalacion.
• Interfaz completa: muestra una ventana del tamano de la pantalla con una barra de
progreso y un boton Cancelar. Aparece un cuadro de mensajes al final de la
328
GUÍA DE USUARIO
instalacion.
• Opciones de reinicio:
• No reiniciar cuando la instalacion finalice: no efectua un reinicio aun si alguna
instalacion ha sido programada para requerirlo.
• Avisar al usuario para reiniciar si es necesario: le solicita al usuario que reinicie si el
archivo de instalacion lo requiere.
• Siempre reiniciar el equipo despues de la instalacion: efectua un reinicio despues de
realizar la instalacion.
• Nombre del archivo de registro: especifica la ubicacion y nombre de archivo para almacenar
un archivo historico del instalador de Windows basado en los resultados de la instalacion
despues de finalizada.
• Opciones de registro: habilita la creacion del archivo historico despues de que se
especifique la ubicacion.
• Introducir la lmea de comandos o seleccionar las opciones anteriores y modificar la lmea de
comandos del paquete MSI: (No disponible para paquetes SWD) muestra la lmea de
comandos que se pasara al archivo primario especificado. La distribucion de software
agrega automaticamente los parametros basicos aqrn para cambiar los comportamientos
predeterminados. Los campos de la lmea de comandos tambien pueden llamar valores del
inventario mediante macros de base de datos. Especifique el elemento del inventario
encerrandolos entre sfmbolos %. Por ejemplo:
%Nombre_de_Dispositivo.Equipo%
Aparece el nombre del dispositivo con guiones bajos en vez de espacios y el equipo en la
parte superior del arbol de inventario.
Acerca de la pagina Opciones de archivos por lotes
Las opciones de esta pagina se aplican a los paquetes que utilizan archivos de secuencias de
comandos o archivos por lotes. De forma predeterminada, los paquetes se ejecutan en modo de 32
bits, lo que significa lo siguiente:
• Si una aplicacion de 32 bits tiene acceso a valores del registro en HKEY_LOCAL_
MACHINE\SOFTWARE, en realidad esta teniendo acceso a los valores en HKEY_LOCAL_
MACHINE\SOFTWARE\Wow6432Node.
• Si una aplicacion de 32 bits ejecuta un programa que se encuentra en c:\windows\system32,
en realidad ejecuta una version de 32 bits de la aplicacion que esta en
C:\Windows\SysWOW64. Esto incluye cmd.exe, cscript.exe, wscript.exe, entre otros.
Si selecciona Ejecutar como una aplicacion de 64 bits en Windows de 64 bits, los archivos de
secuencias de comandos y de proceso por lotes:
• Leeran yescribiran en HKEY_LOCAL_MACHINE\SOFTWARE en lugarde HKEY_LOCAL_

MACHINE\SOFTWARE\Wow6432Node
329
• Estos iniciaran las aplicaciones de 64 bits que estan en System32 en lugar de las
aplicaciones de 32 bits (en c:\windows\SysWOW64)
Para obtener mas informacion de Microsoft acerca de como ejecutar aplicaciones de 32 bits en un
entorno de 64 bits, vea la siguiente pagina de MSDN:
• http://msdn.microsoft.com/en-us/library/aa384249(VS.85).aspx
Acerca de la pagina Opciones de la cola de procesamiento del cliente
Utilizar las opciones de la pagina Opciones de la cola de procesamiento del cliente para configurar
como se maneja la distribucion simultanea de trabajos.
La cola de procesamiento del cliente permite que se procesen multiples trabajos simultaneamente
por cada cliente, en el orden en que se recibieron, con prioridad para los trabajos de tipo
implementacion.
Los trabajos de todas maneras de procesan de uno en uno, pero la cola permite que se ejecuten
varios trabajos, en lugar de rechazar los trabajos entrantes que ya esten activos.
• Desactivar la cola correspondiente a este paquete del cliente: Desactiva la puesta en cola del
paquete actual. Si otros trabajos estan activos en un dispositivo y este recibe el trabajo, el
trabajo no se procesara.
Acerca de la pagina Archivos adicionales
Si el paquete consiste de varios archivos, puede agregarlos en esta pagina. Para utilizar el
explorador de archivos, escriba el nombre de un recurso compartido de Web o de una ruta de
archivo en el cuadrojunto al boton Ir. Si hace clic en el boton Ir, se muestra el destino en el cuadro
Archivos disponibles. Puede continuar explorando ahf. Seleccione los archivos en el cuadro
Archivos disponibles y haga clic en >> para agregarlos a la lista de Archivos adicionales. Al hacerlo,
se agregan al paquete.
• Detection automatica: esta opcion esta disponible con los paquetes MSI. Analiza el archivo
MSI principal en busca de referencias de archivo externas y las agrega automaticamente.
• Flechas: las flechas agregan y eliminan los archivos seleccionados de la lista Archivos
adicionales.
• Boton de Ir: empieza a explorar la ruta especificada junto al boton de Ir.

• Boton de Subir: sube un nivel de carpeta a partir de la ubicacion que se esta explorando.
Uso de la pagina Paquetes dependientes
Los paquetes dependientes son paquetes que ya deben encontrarse previamente en el dispositivo a
fin de que se instale el paquete que se esta configurando. Si no se encuentran en el dispositivo, los
paquetes dependientes se instalan automaticamente. Los paquetes MSI y SWD se detectan
automaticamente a traves de las claves de registro debidas en el dispositivo. Para otros tipos de
paquetes, el metodo de deteccion de paquetes depende de lo que se ha seleccionado en la pagina
de deteccion.
Si agrega un paquete existente con una dependencia como paquete dependiente al paquete que
330
GUÍA DE USUARIO
esta creando, dicha dependencia existente tambien se agrega al paquete nuevo.
• Paquetes disponibles: enumera los paquetes publicos que se han creado utilizando la
ventana Paquete de distribution. Solamente los paquetes publicos pueden ser dependientes.
Seleccione los paquetes que desee establecer como dependientes y haga clic en >>.
• Paquetes dependientes: enumera los paquetes que se han seleccionado como dependientes.
• Flechas: las flechas agregan y eliminan los archivos seleccionados de la lista Archivos
adicionales.
• Botones de Subiry Bajar: Los paquetes dependientes se aplican en el orden en que aparecen
en la lista de Paquetes dependientes. Utilice los Botones de Subir y Bajar para cambiar el
orden de los paquetes dependientes.
Dependencias Linux de software
Cuando hace clic en Guardar en el cuadro de dialogo Propiedades del paquete de distribucion del
paquete Linux, la distribucion de software analiza el RPM primario y los RPM dependientes que se
seleccionaron en busca de las dependencias que estos RPM requieren. Estas dependencias luego
aparecen en el cuadro de dialogo Bibliotecas faltantes. Al seleccionar una dependencia en este
cuadro de dialogo se le indica al software de distribucion que no le vuelva a enviar mensajes. Puede
activar las dependencias que sabe que estan instaladas en los dispositivos administrados. Este
cuadro de dialogo es solo para brindarle information. Si falta una dependencia en el dispositivo de
destino y no la incluyo espedficamente como un paquete dependiente, es probable que el RPM no
se instale correctamente.
Uso de la pagina Prerrequisitos
La pagina requisitos previos permite especificar los requisitos previos a la instalacion de un

paquete. Esto se efectua mediante una consulta o a traves de un programa o archivo adicional
que se ejecuta en los dispositivos y devuelve un codigo de nivel de error. Los codigos distintos
de cero evitan que el paquete se instale.
Los requisitos previos se ejecutan en los dispositivos de la lista de destino. El paquete no se

instalara si un dispositivo de la lista de destino no cumple un requisito previo. Los detalles del fallo
se encuentran en el registro de la tarea de distribucion.
Los requisitos previos resultan particularmente utiles en organizaciones en las cuales un usuario
crea los paquetes y otro los distribuye. El distributor podna no estar al tanto de los requisitos de
sistema de los paquetes conocidos por el autor. En estos casos, el autor del paquete puede crear
una consulta que incluya los requisitos del paquete, tales como el sistema operativo o la cantidad
de memoria.
Para la opcion de archivos adicionales, puede seleccionar un archivo que se encuentre en la lista de
archivos adicionales del paquete. A continuacion, especifique una lfnea de comandos con la que se
ejecutara el paquete.
• Elija una consulta: seleccione una consulta existente que desee utilizar para filtrar los
dispositivos de destino. Tambien puede hacer clic en Crear consultas para crear una
consulta nueva.
331
• Ejecutar archivo adicional: si desea ejecutar un archivo en los dispositivos, marque esta
opcion.
• Elija un archivo adicional: escriba el archivo que desee ejecutar en los dispositivos. El
archivo se ejecuta antes que cualquier archivo de paquete.
• Lmea de comandos: si el archivo especificado necesita una lfnea de comandos, escribala

aqrn.
Uso de la pagina Deteccion
Utilice la pagina de Deteccion para configurar la manera como las distribuciones de software
detectan si un paquete ya se desplego. La pagina de Deteccion solo esta disponible en paquetes
ejecutables, paquetes de archivos por lotes y paquetes de Aplicaciones virtualizadas. Si se cumple
uno o mas de los criterios no se instalaran los paquetes dependientes.
Se pueden utilizar siguientes metodos de deteccion:
• Detectar por: Determina si un paquete ya esta instalado, haciendo coincidir uno de los
siguientes criterios:
• Archivo existente
• Version de archivo
• Tamano y/o suma de comprobacion del archivo
• Fecha de archivos
• Clave de registro existente
• Valor de registro existente
• Valor de registro coincidente
• Ruta del archivo: especifica la ubicacion y nombre del elemento a detectar.
• Buscar el archivo repetidamente: efectua una busqueda en cascada a traves de los
subdirectorios del directorio especificado en el campo Ruta de acceso de archivo.
Se pueden agregar varios criterios especificando los criterios y haciendo clic en el boton de
Agregar.
Los paquetes de MSI y SWD despliegan GUIDjunto con sus instalaciones. Estos se utilizan para
detectar si un paquete ya esta instalado. La opcion de deteccion no esta disponible en estos tipos
de paquete.
Uso de la pagina Cuentas
Utilice la pagina Cuentas para seleccionar el tipo de cuenta de usuario a utilizar para la distribucion
del paquete.
• Cuenta LocalSystem: cuenta del dispositivo.

• Cuenta de usuario actual: cuenta del usuario actual. Debe haber un usuario conectado al
dispositivo, de lo contrario fallara la tarea del paquete de distribucion.
• Ejecutar como un usuario especfico: la cuenta de un usuario que se especifique. Debe

proporcionar el Dominio\nombre de usuario y la Contrasena del usuario que desee utilizar.
332
GUÍA DE USUARIO
Uso de la pagina de Configuracion del tiempo de espera
Utilice la pagina configuracion del tiempo de espera para establecer un tiempo de espera de
instalacion.
• Habilitar el tiempo de espera de la instalacion del paquete: Cuando se selecciona, el numero

de horas que se desea permitir para instalar el paquete. Si el paquete no se ha instalado
antes de este lfmite de tiempo, el trabajo se considerara como incorrecto.
Uso de la pagina de Desinstalar asociacion
Utilice la pagina de asociacion Desinstalar para asociar un paquete de desinstalacion a un paquete

de polftica de implementacion de software. Esto desinstalara en forma automatica el software del
cliente cuando el equipo o usuario se eliminen de la lista o consulta de destino. NOTA: los paquetes
de desinstalacion solo se usan con la implementacion basada en polfticas.
• Tipo: seleccione el tipo de paquete que desea utilizar para desinstalar el paquete. La lista de
paquetes de distribucion disponibles mostrara solo los paquetes del tipo que especifica.
• Actual: el paquete seleccionado actualmente.
Uso de la pagina Asignar codigos de retorno
Use la pagina Asignar codigos de retorno para configurar mensajes de estado de los paquetes de
distribucion que aparecen en la consola con base en si una tarea de distribucion fue satisfactoria o
no.
La pagina de Asignar codigos de retorno contiene las siguientes opciones:
• Informacion del paquete: contiene el resumen de propiedades del paquete de distribucion.

• Nombre de paquete: muestra el nombre del paquete de distribucion.
• Tipo de paquete: muestra el tipo de paquete (MSI, EXE, BAT, etcetera).
• Plantilla asignada: muestra la plantilla de codigo de retorno que se asocio con el
paquete de distribucion.
• Informacion sobre la plantilla de codigo de retorno: muestra el nombre, la descripcion y la

fecha de modificacion de todas las plantillas disponibles. Para asociar una plantilla espedfica
con un paquete de distribucion haga clic en la plantilla y luego haga clic en el boton Asignar.
• Modificar: modifica la plantilla e inicia la ventana de Asignaciones de codigos de retorno de

paquete.
• Asignar: asocia la plantilla seleccionada actualmente con el paquete de distribucion.
Uso del Administrador de plantillas de codigo de retorno
Use el Administrador de plantillas de codigo de retorno para agregar, modificar, eliminar, importar y
exportar plantillas de codigo de retorno. Puede mostrar este cuadro de dialogo desde la
Herramienta de paquetes de distribucion haciendo clic en el boton de la barra de herramientas del
Administrador de plantillas de codigo de retorno. El cuadro de dialogo Administrador de plantillas
de codigo de retorno contiene las siguientes opciones:
• Informacion sobre la plantilla de codigo de retorno: presenta una lista de todas las plantillas
333
existentes por nombre, descripcion, tipo y fecha de modificacion.

• Tipo de filtro de la plantilla: filtra la lista de plantillas para mostrar Todos, MSI u Otros.
• Nombre de la plantilla: muestra el nombre que se va a asignar a la nueva plantilla.
• Descripcion de la plantilla: muestra la descripcion que se va a asignar a la nueva plantilla.
• Tipo de filtro de la plantilla: muestra el grupo que se va a asignar a la nueva plantilla en las
opciones de filtro. Seleccionar entre MSI u Otros.
• Agregar: abre la ventana Nueva plantilla de asignacion de codigo de retorno.
• Modificar: abre la ventana Asignaciones de codigo de retorno de paquete para permitir que el
usuario modifique la plantilla seleccionada.
• Eliminar: elimina la plantilla seleccionada.
• Importar: permite la importacion de una plantilla proveniente de una ubicacion designada
(formato .xml).
• Exportar: permite la exportacion de una plantilla a una ubicacion designada (formato .xml).
Uso del cuadro de dialogo de Asignaciones de codigos de retorno de paquete
La ventana de Asignaciones de codigos de retorno de paquete contiene las siguientes opciones:

• Informacion sobre la plantilla de codigo de retorno: presenta una lista de las propiedades
generales de la plantilla.
• Nombre de la plantilla: muestra el nombre de la plantilla que se asigno en el
• Descripcion de la plantilla: muestra la descripcion de la plantilla que se asigno en el
• Comportamiento predeterminado:
• Estado: asigna un estado de exito o error.
• Mensaje: introduce un mensaje personalizado que aparecera si un paquete regresa el
codigo de retorno seleccionado.
• Asignaciones de codigos de retorno: asigna codigos de retorno nuevos o elimina los
existentes mediante los botones Agregar o Eliminar (del lado derecho). Los codigos de
retorno que se agreguen de esta manera se crearan en orden numerico.
• Modificar asignacion de codigos de retorno: introduce los numeros de los codigos de
retorno que se van a crear. Haga clic en el boton Aplicar despues de hacer las adiciones y
modificaciones a esta seccion.
• Individual: permite asignar un numero de codigo de retorno individual que se le puede

asignar luego a un mensaje personalizado o a un estado.
• Intervalo: permite asignar un numero de codigo de retorno individual, el cual se

le puede asignar luego a un mensaje personalizado o a un estado.
• Mensaje: muestra el mensaje personalizado cuando el paquete devuelve el codigo de

retorno.
• Estado: establece el codigo de retorno para indicar exito o error.
Uso de la pagina Opciones de paquetes SWD
Utilice esta pagina para definir lo que sucede cuando un paquete SWD ya se encuentra instalado en
334
GUÍA DE USUARIO
el dispositivo. Si hay aplicaciones que no responden a una reparacion de paquetes habitual, la

opcion de reinstalacion completa puede ser la mejor solucion. Sin embargo, el proceso de
reparacion suele tardar menos tiempo que una reinstalacion completa.
Al crear un paquete SWD, se puede crear con o sin la interfaz de instalacion que ven los usuarios. Si
el paquete tiene una interfaz, puede elegir si el cuadro de dialogo de del estado de instalacion del
paquete aparece encima de las aplicaciones existentes o si debe ser un fondo de instalacion azul
solido que enmascare el escritorio durante la instalacion del paquete.
• Reparar el paquete: esta opcion solo actualiza las claves del registro y sustituye los archivos
de programa que han se han modificado con respecto al paquete de instalacion.
• Realizar una reinstalacion completa del paquete: Esta opcion reinstala completamente el
paquete, sustituyendo todos los archivos yvolviendo a crear todas las claves del registro.
• Si se permite la respuesta, anular la opcion anterior y dejar que el usuario decida: permite
que los usuarios decidan entre reparar o reinstalar. Puede habilitar la respuesta en la pagina
Respuestas del cuadro de dialogo Propiedades del metodo de envfo.
• Cuando se permita respuesta, visualizar pantalla de fondo: Muestra la pantalla de fondo azul
solido. Puede habilitar la respuesta en la pagina Respuestas del cuadro de dialogo
Propiedades del metodo de envfo.
Acerca de la pagina de metadatos de las Propiedades del paquete de distribucion
En los portales de Administracion del portal y del cliente de Fuse, los usuarios pueden ver
los paquetes de distribucion disponibles. Utilice estas paginas de metadatos para
personalizar la apariencia que un paquete tendra en los portales.
Configure las propiedades de los metadatos del paquete personalizado haciendo clic en
Herramientas > Distribucion > Paquetes de distribucion, a continuacion, haga clic en el boton
Configurar valores de la barra de herramientas.
Personalice los metadatos del paquete, en paquetes individuales, abriendo las propiedades del
paquete y modificando las paginas de Metadatos.
Acerca de Metadatos: Paquete de configuracion adicional
Los portales del clientes proporcionan una manera para que los clientes puedan instalar los
paquetes de distribucion. Las paginas de metadatos afectan a la apariencia de los paquetes en el
portal.
• Proveedor de aplicaciones: el proveedor que creo la aplicacion.

• Tiempo de descarga estimado y Tiempo de instalacion estimado: No se computan
automaticamente. Si quiere estos valores aqm, debera introducirlos usted mismo. Si se
agregan estos datos, los usuarios podran conocer cuanto tiempo se tardana en instalar el
paquete que este configurando.
• Reinicio esperado: Indica a los usuarios que deberan reiniciar despues de instalar este
paquete.
Acerca de Metadatos: Pagina de Categorias
335
Los portales de clientes pueden filtrar los paquetes de aplicaciones disponibles por categona. Antes
de que las categonas esten disponibles para seleccionarlas en esta pagina, un administrador debera
crearlas. Cree categonas haciendo clic en Herramientas > Distribucion > Distribucion de paquetes.
En la barra de herramientas de Paquetes de distribucion, haga clic en el boton Configurar valores y
haga clic en Categonas.
Una vez creadas las categonas, seleccione Habilitar categorias y seleccione una categona para este
paquete.
Acerca de Metadatos: Pagina del logotipo
Utilice esta pagina para agregar un logotipo de paquete que los clientes veran en Fuse. Para lograr
mejores resultados, utilice una imagen en formato .png de 320x200. Es posible adaptar otros
tamano para que se ajusten a los portales, pero esto afectara a la calidad de la imagen. Si hace clic
sobre la imagen que haya agregado, se mostrara una vista previa de la apariencia que tendra en el
portal.
Acerca de Metadatos: Pagina de capturas de pantalla
Utilice esta pagina para proporcionar capturas de pantalla del paquete que los clientes veran en
Fuse. Para lograr mejores resultados, utilice una imagen en formato .png de 320x200. Es posible
adaptar otros tamano para que se ajusten a los portales, pero esto afectara a la calidad de la
imagen. Si hace clic sobre la imagen que haya agregado, se mostrara una vista previa de la
apariencia que tendra en el portal.
Acerca de Metadatos: Pagina de etiquetas
Fuse puede filtrar los paquetes de aplicaciones disponibles por etiquetas. Las etiquetas son
palabras clave que puede asignar a los paquetes. Cree etiquetas haciendo clic en Herramientas >
Distribucion > Distribucion de paquetes. En la barra de herramientas de Paquetes de distribucion,
haga clic en el boton Configurar valores y haga clic en Etiquetas.
Una vez creadas las etiquetas, seleccione Habilitar etiquetas y seleccione las etiquetas que desee
asignar a este paquete. Puede asignar varias etiquetas a un paquete.
Acerca de la pagina Ubicacion de paquete predeterminada (configuracion predeterminada del paquete)
Utilice esta pagina para seleccionar una ubicacion de paquete predeterminada. Puede seleccionar
en una lista de ubicaciones de paquetes existentes o puede agregar nuevas ubicaciones de
paquetes.
Acerca de la pagina Seguridad PowerShell (configuracion predeterminada del paquete)
Utilice esta pagina para seleccionar si desea que sea necesario firmar los comandos de PowerShell.
De manera predeterminada, se permiten los comandos sin firmar.
Uso del cuadro de dialogo Metodos de entrega
El cuadro de dialogo Metodos de entrega (Herramientas > Distribucion > Metodos de entrega)
define la forma en que se enviara el paquete a los dispositivos. Estas opciones no se asocian a un
paquete de distribucion espedfico. Las opciones incluyen la multidifusion dirigida y las
336
GUÍA DE USUARIO
distribuciones automaticas o basadas en polfticas. No cree un metodo de entrega cada vez que
desee distribuir un paquete. Lo ideal sena crear una plantilla de metodo de entrega que pueda
volver a utilizarse en distribuciones con el mismo metodo de entrega.
Antes de utilizar este dialogo, se debe crear el paquete de distribucion (Herramientas > Distribucion
> Paquetes de distribucion) que se desea entregar.
Acerca de la pagina Descripcion
Utilice esta pagina para describir el metodo de entrega que se esta creando y definir la cantidad de
dispositivos en los que se desea distribuir de forma simultanea.
• Nombre: especifica el nombre del metodo de entrega.

• Propietario: El nombre de la persona que creo el paquete originalmente. No puede cambiarlo.
• Descripcion del metodo de entrega: la descripcion que se introduzca aqrn aparecera en los
arboles y cuadros de dialogo de Paquetes de distribucion y Metodos de entrega. Utilice un
nombre descriptivo que no sea demasiado largo, debido a que tendra que desplazarse para
ver las descripciones extensas.
• Numero de equipos de la distribucion: controla la cantidad maxima de dispositivos que

pueden recibir de forma simultanea la distribucion de software.
Acerca de la pagina Uso de red
Utilice esta pagina para controlar la forma en que se envfa el paquete y los archivos del paquete a
los dispositivos administrados. Esta pagina incluye las opciones siguientes:
• Utilizar la multidifusion para implementar archivos: Utilice la multidifusion dirigida para

enviar archivos a varios dispositivos de forma simultanea.
337
• Utilice la opcion ejecutar desde el origen para distribuir archivos: No copia los archivos de
forma local antes de instalarlos. Por el contrario, el archivo de paquete principal se ejecuta
directamente desde la ubicacion de descarga del paquete. Esta opcion funciona con todos
los tipos de paquetes de los recursos compartidos de paquetes UNC. Para los recursos
compartidos HTTP, esta opcion solo funciona con los tipos de paquetes SWDy MSI. Puede
utilizar esta opcion con instalaciones de aplicacion que requieren una estructura de carpeta
espedfica. Esta opcion utilizara servidores preferidos pero no intentara ejecutar el paquete
desde un par.
• Descargar archivos: descarga los archivos en los dispositivos y a continuacion, realiza la
instalacion del paquete.
• Precache: descarga los archivos de paquete a los dispositivos, sin instalarlos. Puede ser util
en las instalaciones de paquetes sin conexion.
Cuando se seleccionan las opciones Descargar archivos o Precache, se accede a estas opciones de
descargas desde servidor preferido o punto a punto:
• Intentar descarga punto a punto: permite al agente comunicarse con sus pares de la misma
subred.
• Intentar servidor preferido: permite el redireccionamiento automatico a los paquetes
compartidos mas cercanos.
• Permitir origen: descarga desde la ubicacion del paquete original si no se encuentran los
archivos en otras ubicaciones.
Acerca de la pagina Ancho de banda (bajo la pagina Uso de red)
Esta pagina permite controlar el ancho de banda de red que requiere el paquete para su
implementacion. No es necesario seleccionar ninguna de estas opciones si se desea que todos los
dispositivos seleccionados reciban el paquete, independientemente del ancho de banda con el que
cuenten.
El control del ancho de banda es importante para aquellos dispositivos con conexiones de acceso
telefonico o WAN de baja velocidad. Lo normal es que no se implementen paquetes con una gran
cantidad de megabytes de tamano en dispositivos con conexiones de baja velocidad. Se encuentran
disponibles las opciones siguientes:
• Solicitar una conexion de red que no sea tipo RAS: Esta opcion activa el requisito del ancho
de banda. Seleccione una de las opciones siguientes:
• Permitir cualquier conexion de red que no sea tipo RAS: Esta opcion permite la
recepcion de paquetes en dispositivos WAN y LAN.
• Requiere una conexion a la red de alta velocidad: Esta opcion permite la recepcion de
paquetes solo en dispositivos con conexiones LAN.
* Limitar descargas remotas (por subred) a un dispositivo a la vez: esta opcion se utiliza para
reducir el ancho de banda de red consumido en una subred.
* Porcentaje maximo de ancho de banda a utilizar: si ha decidido limitar las descargas

remotas, podra limitar aun mas el ancho de banda mediante el ajuste del porcentaje
338
GUÍA DE USUARIO
maximo del ancho de banda de red del dispositivo de destino que se utilizara para la
distribucion.
Si utiliza PDS para detectar la velocidad de la conexion de la red, las conexiones de red de alta y
baja velocidad proporcionan la misma informacion. Para obtener una deteccion mas precisa de las
conexiones de red de alta velocidad, es necesario utilizar el protocolo ICMP.
El protocolo ICMP envfa solicitudes de eco ICMP de distintos tamanos al equipo remoto y utiliza el
tiempo de ida y vuelta de estas solicitudes/respuestas para determinar el ancho de banda
aproximado. Sin embargo, no todos los enrutadores ni todos los equipos admiten reenviar ni
responder solicitudes de eco ICMP. El protocolo ICMPtambien distingue entre conexiones LAN (de
alta velocidad) y WAN (de baja velocidad, aunque sin ser de conexion telefonica).
Si la red no esta configurada para permitir las solicitudes de eco ICMP, puede seleccionar PDS. Si
utiliza PDS, la opcion Requiere una conexion a la red de alta velocidad no proporcionara un control
de gran precision.
Acerca de la pagina de Uso de ancho de banda (bajo la pagina de Uso de red)
Esta pagina permite configurar el lfmite de ancho de banda y los retrasos de paquete.
* Descarga punto a punto (instalar solo desde la memoria cache o un par): Puede que no
aparezca en todos los cuadros de dialogo de Uso de ancho de banda. solo se permite la
descarga de paquetes si se encuentran en el cache local o en un par del mismo dominio de
multidifusion. Esta opcion permite conservar el ancho de banda de red. No obstante, para
que la instalacion del paquete se realice correctamente, el paquete se debe encontrar en uno
de estos dos lugares.
* Amplitud de banda usada por el servidor central o el preferido (WAN): ajusta la prioridad
de esta tarea espedfica sobre el resto de trafico de red. Entre mayor sea el porcentaje que
se ponga en el control deslizante, mayor sera la cantidad de amplitud de banda usada por
esta tarea sobre el resto de trafico. Las conexiones de WAN son por lo general mas
lentas, por lo cual casi siempre es mejor poner este control deslizante en un porcentaje
bajo.
* Amplitud de banda usada entre pares (Local): ajusta la prioridad de esta tarea especfica
sobre el resto de trafico de red. Entre mayor sea el porcentaje que se ponga en el control
deslizante, mayor sera la cantidad de amplitud de banda usada por esta tarea sobre el resto
de trafico. Las conexiones de LAN son por lo general mas rapidas, por lo cual casi siempre
es mejor poner este control deslizante en un porcentaje mas alto que el de WAN.
Acerca de la pagina Dominios de multidifusion (bajo la pagina Uso de red)
Esta pagina solo se muestra si se ha seleccionado la multidifusion como tipo de distribucion. Esta
pagina permite configurar las opciones de multidifusion.
• Usar deteccion de dominio de multidifusion: esta opcion permite a la multidifusion dirigida
realizar una deteccion de dominio para esta tarea. Esta opcion no guarda el resultado de la
deteccion de dominio para utilizarla en un futuro.
• Usar deteccion de dominio de multidifusion y guardar los resultados: esta opcion permite a
339
la multidifusion dirigida realizar una deteccion de dominio para esta tarea y guardar el
resultado para utilizarlo en un futuro, lo que permite ahorrartiempo en las consiguientes
multidifusiones.
• Usar los resultados de la ultima deteccion de dominio de multidifusion: utilice esta opcion
despues de que la multidifusion dirigida haya realizado una deteccion de dominio y haya
guardado el resultado.
• Los representantes de dominio reactivan a los dispositivos administrados: esta opcion
permite hacer que los equipos que admiten la tecnologfa Wake On LAN se activen para que
puedan recibir la multidifusion. Puede utilizar las opciones del cuadro de dialogo Opciones
de multidifusion para configurar cuanto tiempo esperan los representantes de dominio para
realizar la multidifusion una vez se ha enviado el paquete Wake On LAN. El intervalo de
tiempo predeterminado es de 120 segundos.
• Numero de segundos que se esperara la funcion Wake On LAN: expresa la cantidad de
tiempo que esperan los representantes de dominio para realizar la multidifusion tras enviar el
paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si
algunos equipos de la red tardan mas de 120 segundos en iniciar, se recomienda aumentar
este valor. El valor maximo permitido es 3600 segundos (una hora).
Descubrimiento de dominios
La deteccion de dominios solo es necesaria en redes con subredes cuyo trafico de multidifusion
puede verse de unas a otras. Si las subredes conocen el trafico las unas de las otras, puede
ahorrartiempo guardando en primer lugar los resultados de una deteccion de dominio y, a
continuacion, seleccionando Utilizar resultados de la ultima deteccion de dominio de multidifusion
de modo que la multidifusion dirigida no realiza una deteccion de dominio antes de cada tarea.
Si las subredes de la red no pueden ver el trafico del resto, la multidifusion dirigida funcionara mas
rapidamente realizando una deteccion previa de los dominios mediante el archivo de secuencia de
comandos multicast_domain_discovery.ini incluidoen la carpeta ManagementSuite\Scripts. Esta
secuencia de comandos no realiza ninguna operacion en los dispositivos de destino. Ejecute esta
secuencia de comandos desde la ventana Tareas programadas en una lista de destino que se
extienda a lo largo de la red. De esta forma se guarda el resultado de la deteccion de dominios para
utilizarlo en un futuro. Quizas desee ejecutar esta secuencia de comandos periodicamente si existen
grandes conjuntos de distribuciones de multidifusion.
Si se ha seleccionado Usar archivo en cache en Configurar > Servicios > Multidifusion, la
multidifusion dirigida continuara con el proceso de deteccion aunque se haya seleccionado Utilizar
el resultado de la ultima deteccion de dominio de multidifusion. La multidifusion dirigida requiere
realizar esta operacion para determinar los representantes de dominio de multidifusion que incluye
potencialmente el archivo en la cache.
Acerca de la pagina Limites de multidifusion (bajo la pagina Usode red)
Utilice esta pagina para configurar parametros de multidifusion dirigida espedficos a una tarea. Los
valores predeterminados de este cuadro de dialogo son adecuados para la mayona de las
multidifusiones.
* Numero maximo de representantes de dominio de multidifusion funcionando
340
GUÍA DE USUARIO
simultaneamente: este valor senala el numero maximo de representantes que realizan

activamente una multidifusion al mismo tiempo. El valor predeterminado es 5.
* Numero maximo de dispositivos que no lograron procesar la multidifusion de forma
simultanea: si un dispositivo no recibe el archivo a traves de la multidifusion, descargara el
archivo desde el servidor de archivos o Web. Este parametro se puede utilizar para limitar el
numero de dispositivos que obtienen el archivo a la vez. Por ejemplo, si el numero maximo
de subprocesos es 200y el numero maximo de subprocesos de fallo de multidifusion es 20, el
gestor de tareas programadas procesara un maximo de 20 equipos en el momento en que
fallo la multidifusion. El gestor de tareas programadas procesa hasta 200 dispositivos a la
vez si reciben correctamente la multidifusion, aunque como maximo 20 de los 200
subprocesos corresponderan a dispositivos en los que fallo la tarea de multidifusion. Si este
valor se establece como 0, el gestor de tareas programadas no realizara la parte de la tarea
correspondiente a la distribucion para cualquier equipo en el que haya fallado la
multidifusion. El valor predeterminado es 240.
* Numero de dâs que permaneceran los archivos en la memoria cache del dispositivo:
cantidad de tiempo que puede permanecer el archivo de multidifusion en la cache de los
equipos del cliente. Transcurrido este penodo de tiempo, el archivo se purgara
automaticamente. El valor predeterminado es 2.
* Numero de dâs que permaneceran los archivos en la memoria cache de los representantes
de dominio de multidifusion: cantidad de tiempo que puede permanecer el archivo de
multidifusion en la cache del representante de dominio de multidifusion. Transcurrido este
penodo de tiempo, el archivo se purgara automaticamente. El valor predeterminado es 4.
Acerca de la pagina Reinicio
Esta pagina permite configurar si se reinicia el equipo tras instalar o eliminar el software. Esta
pagina incluye las tres opciones siguientes:
* Reiniciar solo si es necesario: los dispositivos se reiniciaran si asf lo requiere el paquete.

* No reiniciar nunca: los dispositivos no se reiniciaran tras la instalacion de un paquete. Si se
selecciona este parametro y el paquete requiere que se reinicie el equipo, se pueden producir
errores de la aplicacion en el dispositivo hasta que se reinicie el sistema. Si el paquete es un
paquete SWD, esta opcion anula cualquier configuracion establecida en el paquete. Si el
paquete es un ejecutable generico o un paquete MSI, la configuracion del paquete puede
anular esta opcion.
* Reiniciar siempre: los dispositivos se reiniciaran independientemente de que el paquete lo
requiera o no.
Acerca de la pagina de Respuestas y tiempo
Esta pagina permite determinar la informacion que ve el usuario durante la instalacion o

eliminacion del software. Esta pagina incluye las opciones siguientes:
• Interfaz de progreso de paquete:
• Ocultar todas las respuestas del usuario: le oculta la instalacion al usuario en la
medida en que el paquete de distribucion de software lo permita. Esta opcion depende
de si el paquete de distribucion de software fue creado para ser silencioso o no.
341
• Mostrar el progreso al usuario: habilita el cuadro de mensajes de notificacion de

instalacion de software y la animacion de iconos de la bandeja del sistema durante la
instalacion de software. Tambien habilita las siguientes opciones:
• Ejecutar el paquete inmediatamente: Instala el paquete inmediatamente sin permitir ninguna
opcion de aplazamiento.
• Permitir que el usuario aplace la ejecucion del paquete: Habilita las opciones de
aplazamiento para que los usuarios puedan aplazar las instalaciones del paquete. Esto le
sirve de ayuda a los usuarios que estan en el medio de una tarea con la que la instalacion del
paquete podna interferir.
• Aplazar automaticamente hasta el proximo inicio de sesion: Cuando se marca, la
instalacion del paquete se aplaza hasta el proximo inicio de sesion sin preguntar a los
usuarios. Despues del inicio de sesion siguiente, los usuarios veran el dialogo de
aplazamiento si se marca El usuario selecciona el penodo de aplazamiento.
• Preguntar al usuario antes de descargar el paquete: le notifica al usuario antes de que
algun dispositivo administrado inicie la descarga del paquete. Esta opcion es util en
particular para usuarios moviles si se utiliza con las opciones de aplazamiento con el
fin de evitar que el usuario sea obligado a descargar una aplicacion grande mediante
una conexion lenta.
• Preguntar al usuario antes de ejecutar el paquete: muestra un mensaje antes de la
instalacion inicial y despues de que el paquete se descargue al cache de distribucion
local.
• Permitir al usuario cancelar: esta opcion le permite al usuario cancelar la accion (ya sea una
instalacion o una eliminacion). En general, no se recomienda para las poifticas de
aplicaciones.
• Mostrar la interfaz completa del paquete: esta opcion controla si el paquete se instala de
forma silenciosa (desactivada) o si realiza la interaccion con el usuario cuando se necesario
(activada).
• Mostrar al usuario final el estado correcto o fallido: muestra un cuadro de dialogo despues
de haber instalado el paquete que indica si la instalacion se realizo correctamente o con
errores.
Acerca de la pagina Mas opciones de aplazamiento (en la pagina de respuestas y tiempo)
Utilice esta pagina para configurar los l^mites de aplazamiento del paquete y las opciones de tiempo
de espera. Para habilitar las opciones de esta pagina debe hacer clic en El usuario selecciona el
periodo de aplazamiento en la pagina Respuesta y tiempo.
* Limites de aplazamiento
* Cantidad de tiempo que el usuario puede aplazar el paquete: Seleccione la cantidad de
horas, minutos o segundos que se aplazaran los paquetes si el usuario hace clic en
Esperar en el cuadro de dialogo de aplazamiento.
* El aplazamiento del usuario es limitado: limita la cantidad de veces que los usuarios
pueden hacer clic en Esperar cuando aparece el cuadro de dialogo de aplazamiento.
342
GUÍA DE USUARIO
* Cantidad de veces que el usuario puede aplazar: Lmite del aplazamiento.

* Comportamiento del usuario cuando se cierra la sesion
* Continuar con la instalacion: esta es la opcion predeterminada. Continua la instalacion
cuando se cierra la sesion del usuario.
Observe que la configuracion de la cuenta de instalacion de paquetes de la pagina

Cuentas de propiedades de paquetes reemplazara las opciones de Comportamiento
del usuario fuera de sesion en el metodo de entrega.
Si selecciona instalar como el usuario actual en las propiedades de paquete y

selecciona Continuar con la instalacion de los usuarios fuera de sesion en el metodo
de entrega, este conflicto causara que la instalacion del paquete no se pueda realizar
en los dispositivos en los cuales el usuario actual no esta en sesion.
* Interrumpir instalacion: interrumpe la instalacion si se cierra la sesion del usuario,

independientemente de la configuracion de la cuenta en las propiedades del paquete.
* Comportamiento del usuario en sesion y las opciones de tiempo de espera

* Esperar respuesta del usuario antes de continuar: se muestra el cuadro de dialogo de
aplazamiento y espera la respuesta del usuario, sin considerar el tiempo de
aplazamiento especificado. Si los usuarios tardan demasiado en responder o no hay
nadie en el equipo, el tiempo de la tarea se agota y produce errores.
Cuando se espera la respuesta del usuario, podra seleccionar en una lista la accion
predeterminada. Haga clic en el boton circular que se encuentra al lado de la lista y
seleccione Cancelar, Ejecutar el paquete o Aplazar. A continuacion, puede especificar
la cantidad de tiempo que el cuadro de dialogo de aplazamiento espera la respuesta
antes de finalizar la accion seleccionada.
* Cantidad de tiempo antes de que la accion anterior se inicie automaticamente:

Cantidad de tiempo antes de que se efectue la accion de la lista desplegable.
Acerca de la pagina Mensajes personalizados (en la pagina de respuestas y tiempo)
Utilice esta pagina si desea configurar un mensaje personalizado para el cuadro de dialogo de
aplazamiento. Este cuadro de dialogo solo se abre si se permiten los aplazamientos. El origen de la
pagina HTML para las paginas de aplazamiento se encuentra en el servidor central, en la carpeta
LDLogon\html\.
• Utilizar paginas HTML personalizadas: Utiliza las paginas HTML ubicadas en la carpeta
LDLogon\html\ del servidor central.
• Incluir mensaje personalizado en el cuadro de dialogo de aplazamiento: Agrega el texto que

especifico (incluso el formato HTML) en el cuadro de dialogo de aplazamiento y reemplaza el
texto estandar que generalmente se inserta. El cuadro de dialogo aun puede mostrar los
botones Esperar, Cancelar e Instalar ahora con el texto que describe las acciones que se
realizan cuando se hace clic en cada boton.
Acerca de la pagina Tipo y frecuencia de la polftica
343
Esta pagina aparece con los tipos de entregas basadas en polfticas y afecta la forma en que actuan
los dispositivos si reciben la polftica.
• Se requiere: El agente de entrega basada en polfticas aplica automaticamente las polfticas

necesarias sin que tenga que intervenir el usuario. Estas polfticas se pueden configurar para
que se ejecuten en segundo plano. Cualquier interfaz de usuario que aparezca en el
dispositivo mientras se instala una tarea requerida no debera bloquear el funcionamiento del
sistema; en otras palabras, la instalacion de la aplicacion no debe precisar la intervencion del
usuario.
• Recomendado: los usuarios pueden seleccionar cuando instalar las polfticas recomendadas.
Estas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
• Opcional: los usuarios pueden seleccionar cuando instalar las polfticas opcionales. Estas no
se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
Tambien se puede configurar la frecuencia con la que se ejecutara una polftica:
• Una vez: una vez se ejecuta correctamente una polftica en un dispositivo, este no la volvera a
ejecutar de nuevo.
• A petition: El paquete puede ser instalado por los usuarios en cualquier momento.
• Periodicamente: cuando se define una polftica opcional o recomendada como periodica, se
eliminara de la interfaz de usuario cuando se procese correctamente y se mostrara de nuevo
en la interfaz de usuario cuando haya transcurrido el intervalo especificado.
Acerca de la pagina Sin conexion
Utilice esta pagina para configurar lo que sucede cuando un dispositivo esta listo para instalar un
paquete, pero no puede comunicarse con el servidor central. Esto puede suceder cuando los
archivos de un paquete se encuentran en la memoria cache de un dispositivo de distribucion local
yalgun usuario que esta viajando o no tiene conexion de red intenta instalar el paquete.
• Esperar a que el dispositivo pueda comunicarse con el servidor central administrado: solo
permite la instalacion si el dispositivo puede verificar con el servidor central la integridad de
los archivos de distribucion del paquete en la memoria cache. Esta es la opcion mas segura.
• Instalar paquetes sin conexion: permite que el paquete se instale a partir de los archivos
existentes en la memoria cache de distribucion sin requerir una conexion con el servidor
central.
Acerca de la pagina Degradar
Utilice esta pagina para configurar el comportamiento de la distribucion si el sistema operativo o los
agentes del dispositivo de destino no admiten los metodos de entrega elegidos. Por ejemplo, si
utiliza agentes de Endpoint Manager anteriores en los dispositivos, es probable que no admitan la
multidifusion o la descarga entre iguales.
Opciones de degradacion de SO:
• Degradar funcion al nivel del sistema operativo: permite que las tareas continuen aunque las
opciones del metodo de entrega seleccionado no esten activas.
344
GUÍA DE USUARIO
• Fallo si el sistema operativo no admite la funcion predeterminada: la tarea falla si el sistema

operativo no admite las opciones del metodo de entrega que ha seleccionado.
Opciones de degradacion de dispositivo:
• Degradar funcion al nivel del agente: permite que el trabajo continuen aunque las opciones
del metodo de entrega seleccionado no esten activas.
• Error si el agente no admite la funcion predeterminada: la tarea no se efectua si el agente no

admite las opciones del metodo de entrega que ha seleccionado.
Acerca de la pagina de deteccion
Esta pagina le permite elegir las opciones de deteccion de dispositivos. Para que el gestor de tareas
programadas pueda procesar una tarea, debe detectar cada direccion IP actual de los dispositivos.
Esta pestana permite configurar el modo en que el servicio se comunicara con los dispositivos.
Opciones de deteccion:
• UDP: al seleccionar UDP se utiliza el servicio de deteccion de ping (PDS) a traves de UDP. La
mayona de los componentes de dispositivo de Endpoint Manager dependen de PDS, de
modo que los dispositivos administrados deben tenerlo. PDS es parte del agente de IVANTI
estandar. Constituye el metodo de deteccion predeterminado y el mas rapido. Con UDP,
tambien puede seleccionar los reintentos y el tiempo de espera de ping a UDP.
• TCP: al seleccionar TCP se utiliza una conexion HTTP al servidor en el puerto 9595. Este
metodo de deteccion tiene la ventaja de que es capaz de funcionar a traves de un servidor de
seguridad si se abre el puerto 9595. No obstante, esta sujeto a los tiempos de espera de
conexion HTTP si no se encuentran los dispositivos. Dichos tiempos de espera pueden ser
de 20 segundos o mas. Si muchos de los dispositivos de destino no responden a la conexion
TCP, la tarea tardara mucho en iniciarse.
• Ambos: al seleccionar Ambos, el servicio intenta la deteccion primero con UDP, luego con
TCPy finalmente con DNS/WINS, si esta seleccionado.
• Numero de reintentos: cantidad de intentos de deteccion.
• Tiempo de espera de la Deteccion: duracion de la espera de una respuesta por cada intento
de deteccion.
• Tiempo de espera para las difusiones de la Subred: duracion de la espera de una respuesta a
las difusiones de subred.
• Desactivar la difusion de subred: si se selecciona, se deshabilita la deteccion a traves de una
difusion de subred. Si se selecciona, se envfa una difusion dirigida a subredes mediante
UDPy PDS.
• Desactivar busqueda de DNS/WINS: se deshabilita la busqueda del servicio de nombre para
cada dispositivo, si falla el metodo de deteccion TCP/UDP seleccionado.
Acerca de la ventana Estado de la distribucion de software de multidifusion
Esta ventana se muestra en el servidor central cuando hay una distribucion de multidifusion dirigida
activa. Esta ventana muestra la informacion siguiente:
345
• Direction UNC o URL del paquete: muestra la ubicacion del paquete que intenta distribuir en
la actualidad. Esta lmea se actualiza con el archivo que se esta transfiriendo.
• Estado: informe en tiempo real que muestra estado de la distribucion, si se ha completado y,
en caso de que sea asf, si se ha completado correctamente o no.
• Dominios de multidifusion: el campo situado en la parte superior muestra todas las subredes
y los representantes de dominio de multidifusion que se utilizan en la distribucion. Al resaltar
un representante de dominio, la ventana inferior muestra todos los equipos que reciben la
distribucion de dicho representante de dominio.
Cada uno de los equipos de la ventana inferior muestra toda la informacion sobre la forma en
la que se ha completado la distribucion en dicho equipo. Existen varios campos de
informacion situados a la derecha de cada equipo, entre los que se incluyen Paquetes que
faltan, Solicitudes de reenvfo y Solicitudes de ralentizacion. Estos campos no incluyen
ninguna informacion hasta que se haya completado la distribucion.
• Paquetes que faltan: Muestra la cantidad de paquetes que el dispositivo no pudo obtener del
representante de la subred. Si este numero no es 0, indica que la distribucion ha fallado.
• Solicitudes de reenvfo: Muestra el numero de veces que el dispositivo tuvo que solicitar que
se reenviaran paquetes desde el representante de la subred. De este modo se puede medir,
por ejemplo, que tan ocupado esta el dispositivo al manejar otros procesos durante la
distribucion.
• Solicitudes de ralentizacion: muestra el numero de veces que el dispositivo ha tenido que
solicitar al representante de subred que reduzca la velocidad de la transferencia de paquetes.
En este caso, un valor elevado suele indicar que el equipo tiene algun problema de hardware
que esta ralentizando la distribucion. Si hay un gran numero de equipos con una gran
cantidad de solicitudes de ralentizacion, compruebe el numero de Retraso/Paquete en el
representante de subred. Suele haber una correspondencia entre este valoryel numero de
solicitudes de ralentizacion.
Esta ventana se cierra de forma automatica una vez han transcurrido 10 segundos. Si desea que la
ventana permanezca abierta durante toda la distribucion, haga clic en Mantener el cuadro de dialogo
abierto para que la ventana permanezca abierta hasta que la cierre manualmente. Si el cuadro de
dialogo se mantiene abierto, se detendra la ejecucion del archivo de comandos. Portanto, asegurese
de cerrarlo cuando haya finalizado.
Creacion de secuencias de comandos personalizadas
Si desea crear una secuencia de comando personalizada desde una plantilla generica, puede utilizar
la opcion Crear secuencia de comando personalizada.
Para crear una secuencia de comando personalizada
1. Haga clic en Herramientas > Distribucion > Administrar secuencias de comandos.

2. En el menu contextual Todas las demas secuencias, haga clic en Crear secuencia de
comandos personalizada.
3. Personalizar la secuencia de comandos. Si desea abrir la secuencias de comandos en el Bloc

de notas o el editor de texto asociado con los tipos de archivo .ini, haga clic en Usar el editor.
346
GUÍA DE USUARIO
Asegurese de guardar el archivo antes de cerrar el editor de texto si lo utilizo para modificar
la secuencia de comandos.
4. Introduzca un Nombre de secuencia de comando personalizada. Haga clic en Aceptar.
Creacion de secuencias de comandos para Desplegar archivos

Si tan solo se desea copiar archivos en los dispositivos, se puede utilizar una secuencia de
comandos de implementacion de archivos. Se puede transferir cualquier tipo de archivo, incluidos
archivos de texto, al directorio que se especifique en el dispositivo. Las secuencias de comandos
de implementacion de archivos admiten la multidifusion dirigida.
Para distribuir archivos
1. Haga clic en Herramientas > Distribucion > Administrar secuencias de comandos.

2. Haga clic en el boton de la barra de herramientas Secuencia de comandos de transferencia
de nuevo archivo.
3. Escriba un Nombre de secuencia y un Directorio de destino. Haga clic en Siguiente.

4. En las tres paginas siguientes, seleccione las opciones de ancho de banda, trabajo y
multidifusion que desee.
5. En la pagina Seleccionar los archivos a implementar, elija los archivos seleccionado una
Ruta Web o una Ruta de archivo compartido, introduciendo esa ruta y agregando los
archivos que desee al cuadro de lista. Haga clic en Siguiente.
6. Lea el resumen de la pagina Finalizado y haga clic en Finalizar.
Las secciones siguientes describen las paginas y opciones del asistente Crear secuencia de
comandos de implementacion de archivos.
Acerca de la pagina Informacion general
Utilice esta pagina para configurar la informacion general de las secuencias de comandos para
transferir archivos.
• Nombre de la secuencia de comandos: el nombre de archivo de la secuencia de comandos.

La extension del nombre de archivo sera .ini de forma predeterminada. Las secuencias de
comandos se almacenan en\Archivos de programa (x86)\IVANTI\ManagementSuite\scripts.
• Descripcion: La descripcion de la secuencia de comandos que aparecera en la herramienta
Administrar secuencias de comandos.
• Directorio de destino: El directorio de clientes que contendra los archivos desplegados.
• Utilizar la multidifusion para distribuir archivos: Seleccione esta opcion si desea usar la
multidifusion. Al seleccionar esta opcion se habilitan las paginas de configuracion Dominio
de la multidifusion y Smites de la multidifusion.
Acerca de la pagina Opciones de descarga
Esta pagina permite configurar el lfmite de ancho de banda y los retrasos de paquete.
• Descarga punto a punto (instalar solo desde la memoria cache o un par): solo se permite la
descarga de paquetes si se encuentran en el cache local o en un par del mismo dominio de
347
multidifusion. Esta opcion permite conservar el ancho de banda de red. No obstante, para
que la instalacion del paquete se realice correctamente, el paquete se debe encontrar en uno
de estos dos lugares. Una forma de utilizar esta opcion consiste en copiar primero el paquete
en un dispositivo en cada subred con la opcion Solo archivo(s) de cache en el equipo con
multidifusion al principio del asistente.
• Limite dinamico de ancho de banda: especifica que el trafico de red que crea un dispositivo
tiene prioridad con respecto al trafico de distribucion. Si selecciona esta opcion y deja el
Porcentaje de ancho de banda mmimo disponible en 0, cuando el dispositivo inicia el trafico
de red, la distribucion se reduce a aproximadamente un paquete por segundo hasta que se
detenga el trafico. Esta opcion obliga una descarga completa del archivo en la cache del
dispositivo, que tambien habilita el reinicio de punto de control a nivel de byte, donde las
descargas se reanudan en el punto en el que se interrumpieron. Al reinstalar o reparar un
paquete ESWD o MSI, puede que no se desee utilizar la opcion Limite dinamico de ancho de
banda, ya que estos tipos de paquetes normalmente solo descargan los archivos que
necesitan.
• Porcentaje mmimo de ancho de banda disponible para utilizar en un equipo cliente:
especifica el lfmite dinamico de ancho de banda que se va a aplicar. Puede escribir valores
de hasta el 50 por ciento del ancho de banda de red total disponible para el dispositivo. Por
ejemplo, si hubiera otra aplicacion consumiendo ancho de banda de red en el dispositivo
durante una distribucion yse define el porcentaje de ancho de banda en 50, la tarea de
distribucion tomana el 50 % y la aplicacion del dispositivo el otro 50 %. En la practica, este
porcentaje es variable porque el sistema operativo asigna automaticamente gran parte del
ancho de banda de red segun la cantidad de aplicaciones que necesiten el ancho de banda y
su prioridad.
• Retraso entre paquetes (par): Esta opcion especifica el retraso entre paquetes de los pares
de la misma subred. Este retraso se puede utilizar para acelerar o ralentizar las
distribuciones. El aumento del retraso entre paquetes hace que la distribucion sea mas lenta
y utiliza menos ancho de banda. Puede utilizar esta opcion con Ltaite dinamico de ancho de
banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene
bastante repercusion.
• Retraso entre paquetes (origen): Especifica el retraso entre el origen del paquete y el destino
del dispositivo. El aumento del retraso entre paquetes hace que la distribucion sea mas lenta
y utiliza menos ancho de banda. Puede utilizar esta opcion con Ltaite dinamico de ancho de
banda, pero si estas opciones se utilizan de forma conjunta, el retraso de paquete tiene
bastante repercusion.
Acerca de la pagina Opciones de tarea
Esta pagina permite configurar la implementacion de esta distribucion. Si distribuye un archivo MSI
o un ejecutable generico, se puede introducir cualquier opcion de lmea de comandos que sea
necesario transmitir al archivo tras la multidifusion.
• La secuencia de comandos utiliza el Kmite de distribucion predeterminado: Se puede limitar
el numero de equipos en los que la multidifusion dirigida realiza la distribucion de forma
simultanea. Esta opcion utiliza el valor predeterminado que se establecio en la pestana
348
GUÍA DE USUARIO
Trabajos personalizados de Configurar > Servicios, bajo Distribuir en X equipos

simultaneamente.
• La secuencia de comandos utiliza un Kmite de distribucion personalizado: Esta opcion
permite sobrescribir el valor predeterminado de la tarea actual al especificar un valor
diferente.
• Instalar solo desde la cache o un igual: Esta opcion impide que los equipos de destino
busquen mas alla de su subred para instalar un paquete. Los equipos buscan en primer lugar
en el directorio de cache de la multidifusion y si el paquete no se encuentra en dicha
ubicacion, verifican los iguales de la subred en busca del paquete. Si el paquete no existe en
ningun igual, la distribucion falla. Esta opcion permite reducir el trafico de red a traves de las
subredes. Esta opcion se puede utilizartras copiar un paquete en cada subred mediante la
opcion Copiar en cache solo el o los archivos del equipo mediante la multidifusion de la
pagina Crear secuencia de comandos.
• Compruebe el archivo antes de instalar el cliente: Genera un grupo (CRC) para el paquete
que va a distribuir una vez finalizado el asistente. Los dispositivos pueden utilizar este valor
de grupo para asegurarse de que el paquete o archivo recibido no este danado. En funcion
del tamano del paquete o archivo que va a distribuir, puede quetenga que esperar varios
minutos hasta que finalice el calculo del grupo.
• No intente completar tareas: Utilice esta opcion para no usar la funcion completartareas a fin
de reintentar tareas con errores. Generalmente, cuando se instala la finalizacion de tareas en
los dispositivos, las tareas con errores se reintentaran la proxima vez que esta se ejecute. Si
utiliza esta opcion, las tareas con errores se registraran.
Acerca de la pagina Opciones de dominio de multidifusion
Esta pagina solo se muestra si se ha seleccionado la multidifusion como tipo de distribucion. Esta
pagina permite configurar las opciones de multidifusion.
• Usar deteccion de dominio de multidifusion: esta opcion permite a la multidifusion dirigida
realizar una deteccion de dominio para esta tarea. Esta opcion no guarda el resultado de la
deteccion de dominio para utilizarla en un futuro.
• Usar deteccion de dominio de multidifusion y guardar los resultados: esta opcion permite a
la multidifusion dirigida realizar una deteccion de dominio para esta tarea y guardar el
multidifusiones.
• Usar los resultados de la ultima deteccion de dominio de multidifusion: utilice esta opcion
despues de que la multidifusion dirigida haya realizado una deteccion de dominio y haya
guardado el resultado.
• Equipos de reactivation de representantes de dominio: esta opcion permite hacer que los
equipos que admiten la tecnologfa Wake On LAN se activen para que puedan recibir la
multidifusion. Puede utilizar el cuadro de dialogo Opciones de multidifusion para configurar
cuanto tiempo esperan los representantes de dominio para realizar la multidifusion una vez
se ha enviado el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120
segundos.
349
• Opciones avanzadas de multidifusion: esta opcion permite definir opciones avanzadas. Los
valores predeterminados son adecuados para la mayona de las tareas.
Descubrimiento de dominios
La deteccion de dominios solo es necesaria en redes con subredes cuyo trafico de multidifusion
puede verse de unas a otras. Si las subredes conocen el trafico las unas de las otras, puede
ahorrartiempo guardando en primer lugar los resultados de una deteccion de dominio y, a
continuacion, seleccionando Utilizar resultados de la ultima deteccion de dominio de multidifusion
de modo que la multidifusion dirigida no realiza una deteccion de dominio antes de cada tarea.
Si las subredes de la red no pueden ver el trafico del resto, la multidifusion dirigida funcionara mas
rapidamente realizando una deteccion previa de los dominios mediante el archivo de secuencia de
comandos multicast_domain_discovery.ini incluido en la carpeta ..\ManagementSuite\scripts. Esta
secuencia de comandos no realiza ninguna operacion en los equipos destino. Ejecute esta
secuencia de comandos desde la ventana Tareas programadas en una lista de destino que se
extienda a lo largo de la red. De esta forma se guarda el resultado de la deteccion de dominios para
utilizarlo en un futuro. Quizas desee ejecutar esta secuencia de comandos periodicamente si existen
grandes conjuntos de distribuciones de multidifusion.
Si selecciono Usar archivo en cache en Configurar > Servicios de Endpoint Manager > Multidifusion,
la multidifusion dirigida continuara con el de deteccion aunque haya seleccionado Utilizar el
resultado de la ultima deteccion de dominio de multidifusion. La multidifusion dirigida requiere
realizar esta operacion para determinar los representantes de dominio de multidifusion que incluye
potencialmente el archivo en la cache.
Acerca del cuadro de dialogo Opciones de multidifusion
El asistente de la secuencia de comandos de implementacion de archivos tiene un cuadro de

dialogo Opciones de multidifusion en el cual se pueden configurar parametros de multidifusion
dirigida espedficos del trabajo. Los valores predeterminados de este cuadro de dialogo son
adecuados para la mayona de las multidifusiones.
* Numero maximo de representantes de dominio de multidifusion funcionando
activamente una multidifusion al mismotiempo.
* Limitar el procesamiento de los equipos en los que ha fallado la multidifusion...: si un
dispositivo no recibe el archivo a traves de la multidifusion, descargara el archivo desde el
servidor de archivos o Web. Este parametro se puede utilizar para limitar el numero de
dispositivos que obtienen el archivo a la vez. Por ejemplo, si el numero maximo de
subprocesos es 200 y el numero maximo de subprocesos con error de multidifusion es 20, el
cuadro de dialogo Trabajo personalizado procesara un maximo de 20 equipos en el momento
en que falle la multidifusion. El cuadro de dialogo Trabajo personalizado procesa hasta 200
dispositivos a la vez si reciben correctamente la multidifusion, aunque como maximo 20 de
los 200 subprocesos corresponderan a dispositivos en los que fallo la tarea de multidifusion.
Si este valor se establece como 0, el cuadro de dialogo Trabajo personalizado no realizara la
parte de distribucion de la tarea de ningun equipo en el cual haya fallado la multidifusion.
* Numero de dâs que permaneceran los archivos en la cache del cliente: cantidad de tiempo
350
GUÍA DE USUARIO
que puede permanecer el archivo de multidifusion en la cache de los equipos del cliente.
Transcurrido este penodo de tiempo, el archivo se purgara automaticamente.
* Numero de dâs que permaneceran los archivos en la cache del representante de dominio de
multidifusion: cantidad de tiempo que puede permanecer el archivo de multidifusion en la
cache del representante de dominio de multidifusion. Transcurrido este penodo de tiempo, el
archivo se purgara automaticamente.
* Numero mmimo de milisegundos entre las transmisiones de paquetes (WAN o Local):
cantidad de tiempo mfnima que debe transcurrir entre el envfo de diferentes paquetes de
multidifusion. Este valor solo se utiliza cuando el representante no transfiere el archivo
desde su propia cache. Si no se especifica este parametro, se utilizara el tiempo de espera
mfnimo predeterminado almacenado en el equipo representante de dominio/subred. Puede
utilizar este parametro para limitar el uso de ancho de banda en la red WAN.
* Numero maximo de milisegundos entre las transmisiones de paquetes (WAN o Local):
cantidad de tiempo maxima que debe transcurrir entre el envfo de diferentes paquetes de
multidifusion. Para obtener mas informacion, consulte Numero mfnimo de milisegundos
entre transmisiones de paquetes.
* Numero de segundos que se esperara tras la funcion Wake On LAN: expresa la cantidad de
tiempo que esperan los representantes de dominio para realizar la multidifusion tras enviar el
paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos. Si
algunos equipos de la red tardan mas de 120 segundos en iniciar, se recomienda aumentar
este valor. El valor maximo permitido es 3600 segundos (una hora).
Acerca de la pagina Seleccionar archivos para implementar
La pagina Seleccionar archivos para implementar aparece en el asistente de la secuencia de

comandos de transferencia de archivos.
• Ruta Web: haga clic en esta opcion para acceder a los paquetes almacenados en un servidor
Web. Es necesario incluir http://en la direccion URL.
• Ruta de la carpeta compartida de archivos: haga clic en Ruta de la carpeta compartida de

archivos para acceder a paquetes almacenados en un recurso compartido de sesion anonima
de un servidor de archivos. Esta ruta debe escribirse de acuerdo con la convencion de
nomenclatura unificada (UNC),\\nombre_del_servidor\nombre_del_recurso_compartido\.
• Examinar: haga clic en Examinar para desplazarse hasta la ubicacion que desee. Si se
selecciona Ruta Web, se abrira una ventana pequena de exploracion. Si se selecciona Ruta
de la carpeta compartida de archivos, se abre un cuadro de dialogo estandar de exploracion.
Para explorar el directorio de un servidor Web en la ventana del explorador Seleccionar la
ubicacion del paquete, es necesario incluir una barra oblicua final en la URL (/), ya que, de lo
contrario, la ventana del explorador dara un error.
• Agregar: haga clic en Agregar para anadir directamente un programa desde el cuadro de
edicion de ruta una vez introducida el nombre del archivo y la ruta completa.
• Quitar: seleccione un archivo que haya anadido y haga clic en Quitar para eliminar un
archivo de la lista.
351
Acerca de la pagina Finalizado
Esta pagina resume las opciones seleccionadas para implementar el paquete. Antes de continuar,
asegurese de que los dispositivos administrados cumplen todos los requisitos enumerados en la
seccion de advertencia.
Si selecciona Establecer como predeterminado, las opciones de configuracion seleccionadas se

estableceran como valores predeterminados para este asistente.
Haga clic en Finalizary programe la distribucion de las secuencias de comandos.
352
GUÍA DE USUARIO
Portal Manager
Acerca del Administrador del portal
El Administrador del portal de IVANTI pone aplicaciones, documentos y enlaces a disposicion de
los usuarios finales para que puedan instalar elementos cuyo uso ha autorizado la organizacion o
son necesarios para el hardware del usuario.
Cuando un usuario final inicia el Administrador del portal, se sincroniza con el servidor de polfticas.
Si alguna tarea de polfticas obligatoria no se ha ejecutado nunca en el dispositivo del usuario, se
inicia sin intervencion de este.
El usuario final tambien puede elegir entre las tareas de polfticas recomendadas y opcionales que
se hayan agregado al LaunchPad.
Cuando un usuario final abre el Administrador del portal el siguiente dialogo muestra las opciones
disponibles.
Instalacion del Administrador del portal

El Administrador del portal se instala como parte de una configuracion de agente que se haya
definido y a continuacion, se despliega en los dispositivos administrados. Tambien es necesario
configurar el agente del Administrador del portal antes de desplegarlo.
353
NOTE: Para implementar el Administrador del portal en un dispositivo administrado, este debe tener
instalado Microsoft .NET 4.0. Puede instalarlo como parte del proceso de despliegue del agente. Si no
desea que se instale, utilice el Desktop Manager heredado, que no tiene este requisito.
Temas relacionados
"Configuracion del Administrador del portal" (354)
"Agregar aplicaciones al Administrador del portal" (355)
Configuracion del Administrador del portal

El Administrador del portal de IVANTI se configura y despliega como parte de un agente. Cuando
haya hecho los cambios en la Configuracion de agentes y creado los ajustes que definen como
instalar el Desktop Manager, ese agente puede desplegarse en los dispositivos administrados.
El Administrador del portal genera una lista de las aplicaciones, documentos y enlaces disponibles.
Se puede cambiar como aparecen en los dispositivos administrados cambiando la Configuracion de
agentes del Administrador del portal.
De forma predeterminada, se selecciona el Desktop Manager heredado como la funcion de portal del
usuario. Si desea utilizar la nueva version, debera seleccionar el Administrador del portal y
configurarlo.
Para seleccionar el Administrador del portal

2. Cree una configuracion nueva o haga doble clic en una configuracion para editarla.
3. En la pagina Inicio, seleccione Distribution de software.
4. Seleccione una de las opciones de instalacion de .NET:
• Incluir .NET en el paquete de instalacion del agente: .NET4.0 se instalara como parte
del agente. Si ya existe en el dispositivo administrado, se sobrescribe la version
existente.
• Si .NET no esta instalado, descargar e instalar: Al finalizar la instalacion del agente, se
comprueba si .NET 4.0 esta instalado en el dispositivo. Si no esta instalado, invoca
vulscan.exe para descargarlo e instalarlo. Esta opcion hace que el paquete de agente
sea mas pequeno.
La instalacion de .NET 4.0 no cambia las versiones anteriores de .NET instaladas en el

dispositivo administrado.
5. En la estructura del arbol de configuracion, haga clic en Distribucion de software. En la

pagina Distribucion de software, seleccione Utilizar Administrador del portal.
354
GUÍA DE USUARIO
Para configurar como muestra las aplicaciones el Administrador del portal

3. En la estructura del arbol de la configuracion, expanda Distribution de software y haga clic
en la pagina Administrador del portal.
4. Haga clic en el boton Configurar. Seleccione una configuracion de agente que ya exista y
haga clic en Modificar o haga clic en Nuevo para crear uno.
5. En la pagina General, seleccione las opciones que determinan como pueden interactuar los
usuarios finales con el Administrador del portal.
6. En la pagina Aplicaciones, seleccione las aplicaciones de desea que aparezcan en el
Administrador del portal. Haga clic en Nuevo para definir aplicaciones. Elija elementos de la
lista Aplicaciones disponibles y haga clic en >> para que aparezcan en el Administrador del
portal.
7. En la pagina Personalization de marcas, personalice el color del tftulo, el icono de la barra de
tareas, el logotipo corporativo y la imagen de fondo que desea que aparezcan en el
Administrador del portal.
8. Cuando haya finalizado, haga clic en Guardar. Seleccione los valores y haga clic en Usar
seleccionados. Volvera al cuadro de dialogo de configuracion de agentes.
9. En Configuracion de accesos directos, seleccione donde desea que aparezca el acceso
directo del Administrador del portal en el dispositivo del usuario final.
10. Seleccione Ejecutar el Administrador del portal cuando el usuario inicia sesion si desea que
el Administrador del portal se abra siempre cuando el usuario final inicia sesion en el
dispositivo. Es de utilidad si desea asegurarse de que las poifticas requeridas se descargan
de forma oportuna.
11. Cuando haya finalizado la configuracion, haga clic en Guardar. A continuacion, puede
programar el agente para que se despliegue en los dispositivos seleccionados.
Temas relacionados
"Agregar aplicaciones al Administrador del portal" (355)
Agregar aplicaciones al Administrador del portal

El Administrador del portal muestra dos aplicaciones por defecto: LaunchPad e Historial de tareas.
Puede agregar otras aplicaciones para que se muestran en el Administrador del portal, en lugar de
aparecer en la lista de aplicaciones de LaunchPad.
Para agregar aplicaciones que se va a utilizar en el Administrador del portal

3. En la estructura del arbol de la configuracion, expanda Distribution de softwarey haga clic en
355
la pagina Administrador del portal.

4. Haga clic en el boton Configurar. Seleccione una configuracion de agente que ya exista y
haga clic en Modificar o haga clic en Nuevo para crear uno.
5. Haga clic en la pagina Aplicaciones y, a continuacion, haga clic en el boton Nuevo.
6. Escriba el nombre de la aplicacion y la informacion de herramienta que se visualizara cuando
el usuario final senale la aplicacion.
7. Seleccione el tipo de aplicacion.
8. Especifique la ruta hasta la aplicacion.
9. Para aplicaciones ejecutables, especifique cualquier parametro.
10. Para DLL de WPF, especifique cualquier nombre de clase.
11. Haga clicen Explorar para seleccionar una imagen.
12. Cuando termine, haga clic en Guardar para agregar la aplicacion a la lista de Aplicaciones
disponibles.
356
GUÍA DE USUARIO
Application policy management

Acerca de la administracion basada en politicas
La administracion basada en polrticas permite administrar facilmente conjuntos de aplicaciones en
un grupo de dispositivos. Al igual que cualquier otra tarea programada, las polfticas requieren:
• Un paquete SWD, MSI, archivo ejecutable, archivo de proceso por lotes o paquete Macintosh
creado por usted.
• Un metodo de entrega que admita polfticas, ya sea la instalacion automatica por polfticas o
basada en polfticas.
• Los destinos de las polfticas para los paquetes de distribucion como, por ejemplo, el
resultado de una consulta de base de datos central o directorio LDAP.
• La hora programada en la cual debe estar disponible la polftica.
La administracion basada en polfticas ejecuta de forma periodica las consultas que ha configurado
como parte de la polftica y aplica las polfticas a los dispositivos administrados nuevos. Por ejemplo,
es posible que disponga de un contenedor denominado Departamento en el directorio LDAP que
contenga objetos de usuario. Los usuarios cuyo objeto de Departamento sea el "Mercadeo" utilizan
un conjunto estandar de aplicaciones. Despues de configurar una polftica para los usuarios de
Mercadeo, se instalara el conjunto de aplicaciones correspondiente en los equipos de los usuarios
nuevos que se agreguen a este grupo.
Utilice la consola para configurar las polfticas de las aplicaciones, las cuales se encuentran en la
La administracion basada en polfticas permite implementar los tipos de archivo siguientes:
• MSI
• Ejecutable
• Archivo por lotes
• Macintosh
• Linux RPM
• Virtualizacion de aplicaciones de IVANTI
• Windows Script Host Package (.wsf)
• Paquete de legado SWD
El flujo detrabajo de la administracion basada en polfticas es el siguiente:
1. Asegurese de que los agentes de distribucion de software se encuentren en los dispositivos.

2. Si no dispone de un paquete para la aplicacion a la que desee aplicar la polftica, cree uno.
Para obtener mas informacion, consulte "Acerca de la distribucion de software" (299).
3. La ventana de distribucion de paquetes crea una definicion para el paquete.
357
4. Cree o seleccione un metodo de entrega basado en polrticas.

5. Cree una tarea de distribucion de software en la ventana Tareas programadas y seleccione el
paquete y el metodo de entrega a partir de los anteriores.
6. Agregue destinos para las polfticas. Estos pueden incluir cualquier combinacion de
dispositivos individuales, consultas de bases de datos, grupos de dispositivos, elementos
LDAPo consultas LDAP.
7. Programe la tarea que se va a ejecutar. Al ejecutarse, el paquete de distribucion estara
disponible para la instalacion automatica.
8. El servicio de administracion basada en polfticas del servidor central actualiza
periodicamente la lista de destinos de las polfticas al volver a evaluar los resultados de las
consultas de base de datos/LDAP. De esta forma se contribuye a garantizar que la base de
datos central cuente con un conjunto actualizado de usuarios/equipos de destino.
9. Un usuario se conecta a un dispositivo, se conecta a la red o, en caso contrario, inicia la
administracion basada en polfticas.
10. El servicio de administracion basada en polfticas del servidor central determina las polfticas
aplicables en funcion del Id. del dispositivo, el usuario que ha iniciado la sesion o la
ubicacion del dispositivo LDAP.
11. El servicio envfa la informacion de las polfticas al agente de administracion basado en
polfticas.
12. En funcion de la configuracion establecida en el dispositivo para la administracion de
polfticas, estas se ejecutan de forma automatica, o bien el usuario selecciona las que desee
ejecutar. En la lista del dispositivo solo se encuentran disponibles las polfticas opcionales o
recomendadas. En el caso de que la lista incluya una polftica recomendada sin procesar,
esta se selecciona de forma predeterminada. Las polfticas periodicas se muestran en la lista
una vez que han transcurrido los intervalos de ejecucion correspondientes. Las polfticas
seleccionadas se ejecutan en orden.
13. La administracion basada en polfticas envfa los resultados de la polftica al servidor central,
que los almacena en la base de datos central. Los informes de estado de la administracion
basada en polfticas se envfan al servidor central mediante HTTP para una mayor fiabilidad. El
estado se informa en la ventana Tareas programadas.
Configuracion de politicas
La administracion basada en polfticas requiere el uso de un tipo de paquete de distribucion
compatible en cualquier polftica que usted cree. Los paquetes se pueden crear con anterioridad o al
crear la polftica. Se recomienda crear los paquetes con anterioridad para probarlos y garantizar su
funcionamiento antes de utilizarlos en una polftica.
Las distribuciones y polfticas normales pueden utilizar el mismo paquete de distribucion. La
diferencia radica en la implementacion y no en la creacion de los paquetes. Existen dos metodos de
entrega que admiten la distribucion basada en polfticas:
• Metodos de entrega basados en polfticas: Se trata del modelo de distribucion solamente con
358
GUÍA DE USUARIO
polfticas. Solo los dispositivos que satisfacen los criterios de la poiftica reciben el paquete.
• Metodos de entrega por envfo basados en polfticas: Se trata del modelo de distribucion y
polftica por envfo. Primero, la distribucion de software intenta instalar el paquete en todos
los dispositivos de la lista de destino. De este modo, se puede realizar una implementacion
en polfticas del dispositivo.
La principal diferencia entre los metodos de entrega estandares y el metodo de entrega basado en
polfticas es que el cuadro de dialogo basado en polfticas Metodos de entrega tiene la pagina Tipo y
frecuencia del trabajo.
Las opciones de tipo y frecuencia del trabajo afectan la forma en que actuan los dispositivos
cuando reciben las polfticas:
• Se requiere: El agente de administracion basada en polfticas aplica automaticamente las

polfticas necesarias sin que tenga que intervenir el usuario. Estas polfticas se pueden
configurar para que se ejecuten en segundo plano. Cualquier interfaz de usuario que
aparezca en el dispositivo mientras se instala una tarea requerida no debera bloquear el
funcionamiento del sistema; en otras palabras, la instalacion de la aplicacion no debe
precisar la intervencion del usuario.
• Recomendado: los usuarios pueden seleccionar cuando instalar las polfticas recomendadas.
Estas se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
• Opcional: los usuarios pueden seleccionar cuando instalar las polfticas opcionales. Estas no
se seleccionan de forma predeterminada en la interfaz de usuario del dispositivo.
Tambien se puede configurar la frecuencia con la que se ejecutara una polftica:
• Ejecutar una vez: una vez se ejecuta correctamente una polftica en un dispositivo, este no la
volvera a ejecutar de nuevo.
• Periodicamente: cuando se define una polftica opcional o recomendada como periodica, se

eliminara de la interfaz de usuario cuando se procese correctamente y se mostrara de nuevo
en la interfaz de usuario cuando haya transcurrido el intervalo especificado.
• A petition: se pueden instalar en cualquier momento.
Crear una distribucion basada en politicas

Las distribuciones basadas en polfticas tienen vigencia en cuanto se inicia la tarea de polftica y se
han resuelto los destinos. Las distribuciones por envfo basadas en polfticas tienen vigencia
despues de que se completa la distribucion automatica inicial.
Para crear una distribucion basada en polfticas
1. En la consola, haga clic en Herramientas > Distribucion > Metodos de entrega.

2. Haga clic con el boton derecho en la Distribucion basada en polfticas o en Distribucion de
359
envfos con soporte en polfticas, luego haga clic en Nuevo metodo de entrega.
3. Configure las opciones del metodo de entrega que desee. Haga clic en Ayuda para obtener
mas informacion sobre cada una de las paginas.
4. Establezca las opciones de Tipo y frecuencia de la polftica que desee.

5. Haga clic en Aceptar cuando haya terminado.
6. Haga clic en Herramientas > Distribucion > Tareas programadas.
7. Haga clic en el boton de la barra de herramientas Crear tarea de distribucion de software.
8. Configure las opciones de trabajo que desee y haga clic en Aceptar.
9. Seleccione el trabajo de distribucion basada en polfticas y arrastre los destinos de la polftica
al panel derecho.
Agregar destinos para las polfticas

Al crear una tarea basada en polfticas, por lo general es recomendable que primero se implemente
la polftica en un conjunto de destino pequeno. De este modo, los problemas encontrados en la
implementacion de la polftica solamente impactan a un pequeno grupo de usuarios. Una vez que se
hayan validado los resultados de la implementacion en un pequeno grupo de usuarios, agregue mas
destinos a la polftica. Al agregar destinos nuevos a una tarea de polftica activa, la polftica se torna
disponible de inmediato para los dispositivos o elementos de LDAP que se han definido como
destinos de forma reciente.
Agregar destinos estaticos

La administracion basada en polfticas utiliza destinos estaticos como destinos de las polfticas. Los
destinos estaticos son una lista de usuarios o dispositivos especficos que solo se pueden modificar
de forma manual. Agregue destinos estaticos mediante la seleccion de dispositivos individuales
como destinos en la vista de red. Los dispositivos individuales LDAP no pueden agregarse como
destinos estaticos.
Adicion de destinos dinamicos

La administracion basada en polfticas utiliza las consultas para determinar los destinos de las
polfticas. Las consultas se almacenan en la base de datos central. Para obtener mas informacion
sobre consultas, ver "Consultas de base de datos" (196).
Los destinos dinamicos pueden incluir la vista de red de grupos de dispositivos, objetos LDAP,
consultas LDAPy consultas de inventario.
Para que los dispositivos reciban polrticas dirigidas a traves de Active Directory, estos deben estar
configurados para iniciar sesion en el directorio. Esto supone que deben contar con el
correspondiente software de agente instalado y que sea necesario iniciar sesion en el directorio
correspondiente de modo que su nombre exclusivo coincida con el nombre de destino especificado
mediante el Administrador de directorios y el Administrador de poifticas de aplicacion de tareas
programadas.
360
GUÍA DE USUARIO
Para definir un dispositivo como destino en LDAP, cada dispositivo de Windows NT/2000/2003/XP
debe tener una cuenta de equipo en el controlador de dominio de Active directory. Esto significa
que el equipo que se utiliza como dispositivo debe conectarse al dominio en el que se encuentre
Active Directory. No basta con asignar una unidad de red utilizando un nombre de dominio completo
de Windows. Esta polftica no se aplicara de este modo.
Para utilizar el Administrador de directorios para crear una consulta
1. Haga clicen Herramientas > Distribution > Administrador de directorios.

2. Haga clic en el boton Administrar directorio de la barra de herramientas.
3. Introduzca la URLyla informacion de autenticacion del directorioyhaga clicen Aceptar.
4. Haga clic en el icono Nueva consulta de la barra de herramientas.
5. Cree la consulta. Para obtener mas informacion, ver "Consultas LDAP" (198).
Descripcion de la forma en que los ambitos afectan a la

visibilidad del destino de las politicas
El panel de detalles de destino de la administracion basada en polfticas se puede filtrar con diversos
ambitos para una lista de destinos. Sin embargo, el ambito final que utiliza una polftica siempre es el
del propietario de la tarea.
Si la tarea de polftica se incluye en Tareas comunes y el usuario de Endpoint Manager con otro
ambito observa el panel de detalles de destino de la tarea (llamemos a esta segunda persona el
"editor" de la lista de destino), este panel de detalles de destino se filtra segun el ambito del editor.
En este caso, puede que el editor no vea todos los destinos en los que se aplicara la polftica en el
panel de detalles de destino, ya que su ambito puede no permitirle ver todos los destinos en el
ambito del creador.
361
Software license monitoring

Informacion general sobre la monitorizacion de licencias
de software
El Monitor de licencias de software (SLM, Software License Monitoring) proporciona herramientas
para gestionar activos de software de la organizacion de manera que pueda hacer seguimiento a la
utilizacion de productos, monitorizar el cumplimiento de las licencias ycontrolar los costes de su
organizacion.
Como administrador de TI o de los activos de software, puede suponer un reto hacer seguimiento
de los productos instalados en los numerosos dispositivos de las redes. Corre el riesgo de instalar
mas productos que licencias compradas, sino tambien el de adquirir demasiadas licencias. Se
pueden evitar este tipo de problemas mediante el uso de la consola del SLM para monitorizar e
informar sobre las licencias de productos y su uso en la organizacion.
La consola del SLM

La consola se abre en un explorador web. Cuenta con cuatro paginas distintas para ver los datos
(Tablero de mantenimiento, Productos, Administacion e Informes).
Las paginas de Tablero de resultados muestran graficos de resumen de informacion clave sobre
productos y licencias. Estos datos son utiles para planificar auditonas y optimizar el uso de las
licencias.
362
GUÍA DE USUARIO
Las paginas de Productos muestran informacion detallada de los productos que se han instalado
en los dispositivos administrados. Estas paginas incluyen informacion de licencias que se utiliza
para calcular el cumplimiento de los terminos de las licencias, asf como de la recuperacion y la
asignacion. La informacion sobre recuperaciones muestra las tareas configuradas para devolver las
licencias de productos no utilizadas y reasignarlas a los dispositivos que las necesitan. La
informacion sobre las asignaciones hace seguimiento del coste del servicio de soporte de TI
prestado a los grupos de las organizaciones.
363
La pagina Productos > Monitorizados de la consola del SLM, donde aparecen los productos que se
van a monitorizar de forma activa, es la mas utilizada. Despues de mover productos relevantes a
esta vista, podra buscar los nuevos productos que necesiten mayor atencion en la vista
Detectados. Los productos que no se van a monitorizar se pueden mover a la vista Ignorados para
que no estorben.
Si no esta seguro de donde se encuentra un producto, puede buscarlo en la pagina Productos >
Todos los productos instalados. A continuacion, puede mover el producto a la vista
correspondiente (Monitorizados o Ignorados).
NOTE: El agente de Windows de IVANTI Endpoint Manager 2017 puede detectar y registrar el uso de las
aplicaciones de estilo metro de Microsoft (tambien conocidas como aplicaciones de Windows Store). Esto
resulta en la capacidad de seguiry monitorizar la utilizacion en SLM.
Utilice las paginas de Administration para configurar grupos de equipos, fabricantes

estandarizados y valores predeterminados para personalizar la informacion que aparece en otras
paginas de la consola del SLM.
Utilice la pagina Informes para generar informes predefinidos o personalizados con los datos de las
licencias y los productos de los dispositivos de las redes.
Apertura de la consola
Los usuarios que tengan una definition de rol que incluya la monitorizacion de licencias de
software pueden ver y modificar datos en la consola del SLM. A los usuarios administrativos se les
asigna este rol de manera predeterminada. A otros usuarios se les puede asignar permisos para ver
y editar el rol de monitor de licencias de software.
Para obtener mas informacion acerca de como cambiar los permisos de usuario, consulte "Roles y
derechos" (60)
364
GUÍA DE USUARIO
IMPORTANT: El navegador que utilice para ver la consola del SLM debe tener desactivado el bloqueo de
ventanas emergentes. Si esta activado, puede que no se vean los cuadros de dialogo que se abren desde la
consola del SLM. Si tiene problemas para ver elementos, compruebe que el bloqueador de ventanas
emergentes este desactivado.
Funciones
SLM incluye las siguientes funciones:
• Generacion de informes sobre el uso de productos y el cumplimiento de los terminos de las

licencias; por ejemplo, la cantidad de veces que se inicio cada uno de los productos bajo
licencia, la ultima fecha en la que se utilizaron y la duracion total del uso de las aplicaciones.
• Licencias de productos compartidas. En algunos productos, una version mas reciente de un
producto puede prestar una licencia a versiones anteriores, por lo que siempre se cumplen los
terminos de las licencias.
• Parametros de licencia faciles de configurar, tales como informacion de compra y entrega,
tipo de licencia, cantidad y numero de serie.
• Seguimiento y conciliacion de instalaciones; por ejemplo, elementos que rastrea tales
como el poseedor de la licencia y la ubicacion ffsica del dispositivo en el que se instalo,
asf como notas adicionales.
• Monitorizacion pasiva con poco ancho de banda. El agente de monitorizacion de software
realiza el seguimiento pasivo del uso de productos en los dispositivos utilizando un ancho
de banda mfnimo.
• Compatibilidad con dispositivos moviles. El agente monitoriza el uso de los dispositivos
moviles que estan desconectados de la red y envfa la informacion al servidor central cuando
los dispositivos vuelven a conectarse.
• La deteccion automatica busca productos instalados en los dispositivos administrados que
recopila datos segun los archivos asociados a esos productos.
• Recuperacion yasignaciones de licencias. Puede configurar un proceso para ejecutar una
tarea de recuperacion de licencias y liberelas para utilizarlas en otros dispositivos. Asigne
las licencias a grupos de equipos para establecer los cargos internos del servicio de soporte
de TI.
Primeros pasos
Antes de utilizar la consola del SLM para monitorizar la instalacion de productos y el uso de
licencias, realice las siguientes tareas:
Compruebe que el servicio de inventario este configurado y funcionando
El monitor de licencias de software requiere que el agente de IVANTI se ejecute en los dispositivos
que desee administrar. El agente recopila los datos de inventario de los dispositivos administrados
en cuanto a que productos estan instalados y con que frecuencia se ejecutan. Estos datos se
envfan al servidor central cada vez que se realiza un inventario de software. De forma
predeterminada, se hace una vez al dâ.
365
Despues de recopilar los datos de inventario, la informacion de los productos aparecera en la

pagina Productos > Detectados de la consola del SLM. A medida que se agregan mas datos de
inventario, se anaden nuevos datos a la vista Detectados. Cuando los revise, podna ver que
algunos productos no se encontraron o no se reconocieron correctamente. Puede usar SLM para
buscar productos espedficos y agregar o corregir definiciones de productos si es necesario.
Defina grupos de dispositivos y consultas
Si desea monitorizar productos de grupos de equipos (grupos estaticos) o mediante consultas

(grupos dinamicos), debera crearlos en la vista de red de Endpoint Manager. Estos grupos y
consultas estaran disponibles en la consola de SLM, lo que facilita la revision de productos
instalados organizados por ubicacion, grupo de organizacion, tipo de hardware u otros criterios.
Agregue informacion de licencias de productos
Para controlar el cumplimiento de la organizacion con los terminos de las licencias de productos,
se debe tener acceso a informacion exacta de las licencias. Puede agregar estos datos
manualmente o importarlos desde otra fuente, como IVANTI Data Analytics. Una vez que haya
agregado la informacion sobre las licencias, tal como cuantos puestos ha comprado, fechas de
compra y caducidad, tipo de licencia y como se consumen las licencias, vera estadfstica de
cumplimiento e informes que comparan la informacion de las licencias con la utilizacion real de los
productos.
Seleccione que productos monitorizar
Al abrir por primera vez la consola del SLM, todos los productos detectados recientemente en el
inventario apareceran en la pagina Productos > Detectados. Seleccione los productos de esa lista
que desee monitorizar y muevalos a la vista Monitorizados. Los productos monitorizados se
pueden vincular a los datos de la licencia. Tambien se les puede hacer seguimiento en los informes
que muestran si las licencias coinciden con la utilizacion real de los productos. Algunos productos
pueden no ser importantes para usted, por lo que puede moverlos a la vista Ignorados,
excluyendolos de los calculos de cumplimiento de los terminos de las licencias.
Editar informacion de productos
Cuando un producto esta en la pagina Productos > Monitorizados, se puede modificar la

informacion, asignar las licencias y los cargos internos, y definir las tareas de recuperacion de
licencias.
Cree informes
Cuando revisa la informacion asociada a los productos yal cumplimiento de las licencias, puede
generar un informe con los datos que aparecen en pantalla. Los informes se pueden guardar como
CSV, HTML, PDF, XML, DOC, XLS o archivos de imagen. Cuando haya establecido la informacion de
las licencias y los productos en la base de datos, tambien puede utilizar la herramienta de
generacion de informes de Endpoint Manager para obtener informes predefinidos que contengan
informacion de utilizacion y licencias.
366
GUÍA DE USUARIO
Uso del tablero de resultados

Datos de auditoria y cumplimiento del tablero de resultados
Las paginas del tablero de resultados estan disenadas para proporcionar un acceso rapido a datos
utiles, los cuales se calculan a partir de la informacion sobre los productos y las licencias, como
resumenes actuales de auditonas importantes y datos de cumplimiento de licencias.
Las paginas del tablero de resultados muestran informe de resumen con graficos y datos del
Asesor. En el siguiente ejemplo, el grafico muestra las cinco mejores oportunidades para recuperar
(o "cosechar") licencias que no se utilizan. El cuadro Asesor en la parte inferior de la consola
muestra la cantidad total de productos instalados que nunca se han utilizado.
La seccion del Asesor proporciona un resumen rapido de los datos. Los graficos muestran mas
detalles y se puede hacer clic en las diferentes secciones de un grafico para ver detalles de
productos espedficos.
Ver detalles de los datos de los graficos
Cuando se apunta a una seccion de un grafico, un cuadro muestra los datos de esa seccion.
367
Haga clic en alguna seccion del grafico para ver una lista de datos relacionados. Por ejemplo,
cuando se hace clic en la barra de producto del grafico de oportunidades para recuperar licencias,
aparecera una lista de los dispositivos quetienen instalado ese producto.
368
GUÍA DE USUARIO
Ver detalles de los datos del Asesor
Cuando el cuadro del Asesor contiene datos, haga clic en el numero para abrir un informe completo
de la fuente de datos. En el ejemplo anterior, el Asesor informa de la cantidad de instalaciones que
nunca se han utilizado. Haga clic en el numero en verde para abrir el informe que muestra que
productos se cuentan en ese total.
369
370
GUÍA DE USUARIO
Exportacion de datos a archivos CSV y dreacion de informes
Cuando se hace clic en un grafico para ver los datos detallados, o cuando se encuentre en la pagina
de detalles del producto, se pueden exportar los datos a un archivo CSV o crear un informe.
Para exportar los datos en formato CSV
1. Haga clic en alguna seccion del grafico.

2. En la nueva ventana, seleccione los dispositivos que desee incluir en los datos exportados.
(Haga clic en la lista y pulse Ctrl+A para seleccionartodos los dispositivos.)
a
3. Haga clic en el boton Exportar .
4. Especifique la ubicacion en la cual va a guardar el archivo CSVy luego haga clic en Guardar.
Para crear un informe con datos seleccionados
1. Haga clic en alguna seccion del grafico.

2. En la nueva ventana, seleccione los dispositivos que desee incluir en el informe. (Haga clic
en la lista y pulse Ctrl+A para seleccionartodos los dispositivos.)
3. Haga clic en el boton Informe En la barra de herramientas del visor de informes, seleccione el
4. formato con el cual va a guardar el informe y luego haga clic en el boton Exportar
Especifique la ubicacion en la cual va a guardar el informe y luego haga clic en Guardar.
5. Ver el tablero de resultados de las auditorias
La pagina Tablero de resultados > Auditorias incluye informes que son utiles cuando se esta
preparando una auditona sobre la utilizacion de las licencias de productos.
Informe: Las principales instalaciones mas frecuentes
Este informe muestra los cinco productos con mayor cantidad de instalaciones en los equipos de la
organizacion. Incluye las instalaciones actuales, no la cantidad de dispositivos, ya que puede haber
mas de una instalacion en un dispositivo.
Asesor: Productos y licencias con indicadores de auditona
Este informe le informa de problemas que se pueden indicar durante una auditona de licencia del
producto, como problemas con la documentacion de la licencia y los productos que no se han
ubicado (trasladados a las vistas de producto Monitoreado o Ignorado). El Asesor cuenta los
elementos como los siguientes:
• Licencias sin una orden de compra

• Productos sin licencia
• Productos detectados que no se han clasificado
• Licencias sin factura del fabricante
371
Haga clic en el numero de cualquier elemento para ver un informe completo sobre ese punto.
O NOTE: Tambien encontrara informes predefinidos de los elementos individuales con indicadores de
auditoria en la pagina de informes del Monitor de licencias de software.
Ver el tablero de resultados de cumplimiento
La pagina Tablero de resultados > Cumplimiento incluye informes que le muestran los productos
que no cumplen con la licencia, ademas de una estimacion del coste para garantizar que los
productos instalados tienen licencias validas.
Informe: Principales elementos que no cumplen con la directiva por instalacion
Este grafico muestra hasta cinco productos que tienen el mayor numero de instalaciones sin
licencia.
Informe: Principales elementos que no cumplen con la directiva por costes reales
Este grafico muestra los productos cuyo cumplimiento supone los costes mas altos, segun el
numero de instalaciones sin licencias multiplicado por el coste unitario asociado con el producto.
Informe: Principales elementos que no cumplen con la directiva por fabricante
Este grafico agrupa los productos por fabricante y muestra que productos tienen mas
instalaciones sin licencia. Utilice este informe durante una auditoria cuando necesite verificar que
las instalaciones coincidan con los terminos de cumplimiento de licencias de un fabricante.
Asesor: costes estimados del cumplimiento
El coste estimado total de hacer que los productos instalados cumplan con los requisitos de las
licencias, determinado por el numero de productos sin licencia multiplicados por el coste unitario
asociado con cada producto.
Asesor: Productos que no cumplen
La cantidad de productos que no estan en conformidad con las licencias correspondientes. Haga
clic en el numero para ver una lista completa de los productos que estan fuera de cumplimiento.
Ver el tablero de resultados de optimizacion de licencias
La pagina Tablero de resultados > Optimizacion de licencias incluye informes que estiman los
ahorros que se pueden obtener si se elimina de los dispositivos el software que no se utiliza. Estos
informes se centran en los productos instalados que nunca se han utilizado o no se han utilizado
durante un periodo de tiempo especifico.
NOTE: Se considera que un producto no se ha utilizado nunca cuando se devuelve un valor 0 en los datos de
inventario de la cantidad de veces que el producto se ha ejecutado. Sin embargo, es posible que un producto
este instalado y la persona que lo utilizo solo inicio la aplicacion una vezy luego la cerro en menos de un minuto.
En este caso, el producto de todas formas aparecera en el tablero y en los informes como "nunca se ha
utilizado."
372
GUÍA DE USUARIO
Informe: Ahorros estimados de las aplicaciones que nunca se han utilizado
Este informe muestra los cinco productos que le ahorranan a la organizacion la maxima cantidad si
se retiraran de los dispositivos. Este informe se basa en la cantidad de instalaciones de productos
que nunca se han utilizado multiplicada por el coste unitario asociado con el producto.
Informe: Los 5 primeros programas de software con oportunidades para recuperar licencias
Este informe muestra una lista de los cinco productos con la mayor cantidad de instalaciones que
nunca se han utilizado o que raramente se usan. No estima los costes, sino que indica la cantidad
de equipos que tiene cada producto que nunca se ha utilizado dentro de una cierta cantidad de dfas
(de 31 a 60, de 61 a 90, mas de 90y nunca se ha utilizado).
Asesor: cantidad de instalaciones que nunca se han utilizado
Este informe proporciona una lista de cada producto con el numero total de instalaciones que no se
han usado.
Supervision del uso de software

Supervision del uso de software
El analisis del monitor de software de IVANTI Endpoint Manager se ejecuta cuando se programan
analisis de inventario regulares. Monitoriza los archivos ejecutables que se estan ejecutando y
compara la informacion de los productos de cada dispositivo con los nombres y tamanos de los
archivos ejecutables guardados en la base de datos.
Otros dos analisis de inventario ayudan a completar la descripcion mediante el aporte de mas datos
de los productos. Para identificar productos, estos analisis miran el registro de Windows, las claves
de desinstalacion, los archivos .msi, los accesos directos y las GUID. Todos los datos de los
analisis se comparan despues para dar un panorama tan completo como sea posible sobre que
productos estan instalados en cada dispositivo administrado.
La consola del Monitor de licencias de software (SLM) muestra este resumen de datos en la vista
Productos. Incluso si no hay datos de licencia disponibles, puede utilizar estos datos de productos
para saber en cuantos dispositivos administrados se ha detectado algun producto.
NOTE: El agente de Windows de IVANTI Endpoint Manager 2017 puede detectar y registrar el uso de las
aplicaciones de estilo metro de Microsoft (tambien conocidas como aplicaciones de Windows Store). Esto
resulta en la capacidad de seguiry monitorizar la utilizacion en SLM.
373
Monitorizar y omitir productos
Al abrir por primera vez la consola del SLM, todos los productos que se acaban de detectar
apareceran en la pagina Productos > Detectados. Cuando administre la utilizacion de productos y
licencias, puede elegir que productos es importante monitorizar. Los productos de los que desea
hacer seguimiento se pueden mover a la vista Monitorizados. Algunos productos pueden no ser
importantes para usted, por lo que puede moverlos a la vista Ignorados, lo cual los deja fuera de los
calculos de cumplimiento de los terminos de las licencias.
Para monitorizar un producto
1. Haga clicen Productos > Detectados.

2. Utilice el cuadro Busqueda para ubicar el producto.
3. Haga clic en el producto. En la barra de herramientas, haga clic en Acciones > Mover a >
Monitorizados.
El producto aparecera en la lista de la pagina Productos > Monitorizados.
Para ignorar un producto o grupo de productos

2. Utilice el cuadro Busqueda para ubicar el producto.
3. Haga clic en el producto. En la barra de herramientas, haga clic en Acciones > Mover a >
Ignorados.
El producto aparecera en la lista de la vista de productos Ignorados.
Filtrado de los datos de uso que envian los dispositivos
Los dispositivos administrados envfan, por defecto, datos de uso a todas las aplicaciones que
monitorizan. Si solo quiere datos de uso de archivos espedficos, siga los pasos que se indican a
continuacion.
Para monitorizar el uso solo de archivos especificados
1. En la consola de Endpoint Manager, haga clicen Herramientas > Informes/Monitor > Lista de
manejo de software.
2. En el arbol Inventario, haga clic en Configuration y doble clic en Archivos de utilizacion de la
lista de ajustes.
3. Haga clic en Nuevoy escriba el nombre de archivo que desee. Al finalizar, pulse la tecla Intro.
Repita hasta que termine de anadir archivos.
4. Haga clic en el boton de la barra de herramientas Poner a disposition de los clientes para poner
los cambios mas recientes a disposicion de los dispositivos la proxima vez que estos realicen
un rastreo de inventario.
Si la lista de Archivos de utilization esta vada, los datos de uso se enviaran a todos los productos
374
GUÍA DE USUARIO
monitorizados. Puede deshabilitar la monitorizacion de uso totalmente desde la configuracion del

agente de Configuracion del inventario.
La sincronizacion del servidor central puede incluir la configuracion de los archivos de utilizacion.
Buscar productos
En cualquiera de las vistas de productos hay un cuadro de busqueda que ayuda a localizar productos
rapidamente. Se puede buscar con un mmimo de dos caracteres y ver los resultados que coincidan
con la cadena en las columnas de Producto o Fabricante.
Para utilizar el cuadro de busqueda para encontrar un producto
1. Haga clicen Productos yabra una de las vistas de producto (Monitorizados, Detectados,
Ignorados o Todos).
2. En el cuadro Busqueda, escriba al menos dos caracteres y pulse Intro. La lista contendra todos
los productos o fabricantes que coincidan con la cadena que se introdujo.
3. Seleccione uno o mas elementos de la lista y haga clic en un boton de la barra de herramientas
o haga clic con el boton derecho en los elementos para actuar sobre ellos. Para mover
elementos, puede arrastrarlos a otra vista.
4. Para ver todos los productos de la lista otra vez, haga clic en la X de la casilla de busqueda y
borrar la busqueda.
Busqueda avanzada de productos
Puede filtrar la lista de productos mediante la seleccion de un fabricante, producto o grupo de equipos
como filtro. Se pueden utilizar uno o mas de estos filtros para mostrar menos productos en una lista.
Estos filtros se encuentran en la columna de la izquierda de la lista de productos.
• Seleccione un fabricante (o fabricante normalizado) para que aparezcan solo los productos que
estan asociados s ese fabricante.
• Seleccione un producto (o producto normalizado) para que aparezcan solo los productos que
estan asociados a un nombre de producto.
• Seleccione un grupo de equipos para que aparezcan solo los productos que se han instalado
375
en los equipos de ese grupo. Es muy util para encontrar productos cuando se sabe que estan
instalados en un determinado grupo de dispositivos.
Para filtrar la busqueda de productos por fabricante
Ignorados o Todos).
2. En la columna de la izquierda de la lista, haga clic en Seleccionar fabricantes.
3. Escriba por lo menos tres caracteres en el cuadro Nombre del fabricante. Los nombres
coincidentes apareceran en el cuadro Resultados de busqueda.
4. Seleccione los nombres de fabricante que desee utilizar como filtros y luego haga clic en
Aceptar.
Para filtrar una busqueda de productos por nombre de producto
Ignorados o Todos).
2. En la columna de la izquierda de la lista, haga clic en Seleccionar productos.
3. Escriba por lo menos tres caracteres en el cuadro Nombre del producto. Los nombres
coincidentes apareceran en el cuadro Resultados de busqueda. Tambien puede especificar las
376
GUÍA DE USUARIO
cadenas que desee excluir de los resultados de la busqueda. Para ello, escriba una o mas
cadenas de caracteres separadas por un espacio en el cuadro El nombre del producto no
contiene. Esto ayuda a reducir la cantidad de resultados de la busqueda.
4. Seleccione los nombres de producto que desee utilizar como filtros y a continuacion, haga clic
en Aceptar.
Para filtrar la busqueda de productos por un grupo de equipos
Ignorados o Todos).
377
2. En la columna de la izquierda de la lista, haga clic en la lista Grupo de equipos yseleccione un

grupo de equipos.
3. La lista cambiara para mostrar solo los productos instalados en los equipos del grupo que
selecciono.
4. Para quitarel filtroyver todos los productos, haga clicen Restablecer.
A Grupo de equipos Restablecer
BEJ ▼
Ver todos los productos instalados
Despues de que haya separado los productos en las categonas Monitorizados e Ignorados, es
posible que necesite encontrar un producto pero no recuerde en que grupo esta. Puede buscar
en todos los productos que se han detectado utilizando la vista Todos los productos instalados.
Para ver todos los productos instalados
1. Haga clicen Productos > Todos los productos instalados.

2. Utilice el cuadro de busqueda o los filtros para ubicar el producto que desee.
3. Para determinar que vista de productos contiene el producto, mire la columna Estado para ver
si el producto esta monitorizado, detectado o ignorado.
Ver todos los dispositivos que tienen instalado un producto
Cuando se mira alguna de las vistas de productos o los graficos del tablero de resultados, se
puede ver una lista de todos los dispositivos que tienen un producto instalado. Se puede crear
un informe imprimible de esta lista o exportar los datos a un archivo CSV.
378
GUÍA DE USUARIO
Para ver los dispositivos de un producto en una lista de productos
1. Haga clicen Productos yluego haga clicen una de las vistas de productos (Monitorizados,
Detectados, Ignorados o Todos los productos instalados).
2. Ubique el producto utilizando el cuadro de Busqueda o el enlace de Seleccionar productos.

3. Haga doble clic en el nombre del producto. Aparecera una lista de dispositivos en una ventana
nueva.
4. Para exportar una lista de dispositivos en formato CSV, seleccione los dispositivos y haga
clic en
el boton Exportar
5. Para crear un informe de los dispositivos, haga clic en el boton

Informe
Para ver los dispositivos de un producto en un grafico del tablero de resultados
1. Haga clic en Tablero de resultados yluego seleccione una de las opciones del tablero de
resultados (Auditonas, Cumplimiento u Optimizacion de licencias).
2. Haga clic en un segmento del grafico que representa a un producto. Se abrira otra ventana
con una lista de dispositivos.
3. Para exportar una lista de dispositivos en formato CSV, seleccione los dispositivos y haga
clic en
el boton Exportar
4. Para crear un informe de los dispositivos, haga clic en el boton

Informe
Edicion de productos detectados

2. Localice el producto utilizando el cuadro Busqueda o el filtro Seleccionar productos.
3. Seleccione el producto y haga clic en el boton Modificar de la barra de herramientas.
El cuadro de dialogo Modificar detalles del producto se abre; algunos elementos son de
solo lectura y otros se pueden editar.
4. En Estado, seleccione Monitorizados o Ignorados para que el nuevo producto aparezca en

una de las vistas de productos.
5. Haga clic en Deteccion de instalaciones. Observe que todas las opciones son de solo lectura.
6. Haga clic en Deteccion de la utilization. Puede agregar archivos que indiquen que el producto
se esta utilizando.
379
7. Haga clic en el boton Agregar (+). En el cuadro de dialogo Agregar archivos, puede
seleccionar un nombre de archivo existente (que exista en la base de datos de inventario), o
puede hacer clic en Definir nuevo archivo y especificar el nombre, el tamanoy numero de
version del archivo del producto. Repita este procedimiento para cada archivo de producto
que desee utilizar para determinar cuando se usa el producto. Cuando haya finalizado, haga
clic en Aceptar.
8. Haga clic en Precio por unidad. Si pueden editarse las opciones, seleccione un metodo de
calculo del precio por unidad:
* Seleccione Utilizar automaticamente el precio por unidad calculado si hay varias
licencias del producto con precios por unidad diferentes. Si selecciona esta opcion, el
precio por unidad es el promedio de todos los precios unitarios de las diferentes
licencias.
• Seleccione Especificar un precio por unidad si desea utilizar el mismo precio por
unidad para todos los calculos. Por ejemplo, si hay dos licencias con precios por
unidad diferentes para el mismo producto y desea utilizar el precio mas alto en los
calculos, puede especificar ese precio por unidad aqrn.
9. Si se agrega informacion del producto que va a afectar a los calculos de licencias y
utilizacion, como cuando un producto esta asociado con una licencia que se esta
monitorizando activamente, seleccione la casilla de verificacion Calcular cumplimiento
despues de guardar para iniciar un nuevo calculo de manera que el cumplimiento este
actualizado.
10. Cuando toda la informacion este completa, haga clic en Guardar.
Tambien puede establecer asignaciones de licencias o un proceso de recuperacion de licencias

para ese producto. Para obtener mas informacion, consulte "Asignar licencias y cargos internos a
un grupo de equipos" (413) y "Recuperar licencias de productos" (407).
Editar informacion de productos
Despues de que un producto aparezca en alguna de las vistas Producto (Monitorizados, Detectados,
Ignorados o Todos), puede editar su informacion. Normalmente, querra editar solo los detalles de
los productos que este monitorizando activamente y cuya licencia este utilizando de acuerdo con
los calculos. Estos productos aparecen en la pagina Productos > Monitorizados.
La informacion de productos es una mezcla de datos de solo lectura o datos introducidos
manualmente que incluyen lo siguiente:
• Definition: el nombre, la version y el fabricante (solo lectura) del producto, asf como el
estado del producto que puede cambiarse (monitorizado, detectado o ignorado).
• Detection de instalaciones: los archivos asociados a la deteccion de productos en
dispositivos (solo lectura). Si ha creado productos personalizados, se pueden editar estas
opciones. Para obtener mas informacion, consulte "Especificar archivos para detectar la
instalacion y utilizacion de productos" (382)
• Detection de la utilization: archivos adicionales que pueden agregarse e indican que el
producto se esta utilizando en dispositivos. Para obtener mas informacion, consulte
"Especificar archivos para detectar la instalacion y utilizacion de productos" (382)
380
GUÍA DE USUARIO
• Precio por unidad: el coste de las licencias de productos utilizados en los calculos del
Monitor de licencias de software. Si el precio por unidad se calcula automaticamente, es un
promedio de todos los precios por unidad de distintas licencias. Si se especifica un precio
por unidad, el Monitor de licencias de software utilizara ese precio para todas las licencias de
un producto. Para obtener mas informacion, consulte "Especificar el precio por unidad de
productos monitorizados" (381).
• Asignaciones: si un grupo de equipos se ha definido como unidad de asignacion, se pueden

aplicar los cargos internos del soporte de TI a las licencias de los productos que utiliza ese
grupo. Para obtener mas informacion, consulte "Asignar licencias y cargos internos a un
grupo de equipos" (413).
• Recuperation: el proceso configurable que ejecuta una tarea de recuperacion de licencias de

productos y las libera para utilizarlas en otros dispositivos. Para obtener mas informacion,
consulte "Recuperar licencias de productos" (407).
Especificar el precio por unidad de productos monitorizados
El Monitor de licencias de software incluye varios calculos relacionados con el uso de las licencias
en la organizacion. Por ejemplo, el tablero de resultados de cumplimiento incluye una estimacion de
los costes para que los productos instalados cumplan con los terminos de las licencias.
Para cada producto que se monitoriza, se puede especificar el coste unitario que se utiliza en estos
calculos. El coste que se especifique puede ser diferente del que se calcula automaticamente.
En las situaciones en las cuales hay una licencia para un producto, puede utilizar el calculo
automatico que toma el precio total de la licencia y lo divide por la cantidad de licencias.
En las situaciones en las que hay mas de una licencia para un producto, se pueden usar costes
unitarios diferentes basados en los terminos de la licencia. Por ejemplo, si ha adquirido una licencia
para una version de un producto y luego compra una nueva licencia para obtener una version mas
reciente, el nuevo producto puede costar mas. Si puede utilizar estas licencias tanto con la version
mas antigua como con la mas reciente, tendra que determinar que precio representa el coste real
que desea utilizar en los calculos.
Hay dos opciones para especificar un precio por unidad:
• Utilizar automaticamente precio por unidad calculado en todos los calculos: Si selecciona
esta opcion, los calculos se basan en los datos de la licencia de ese producto. Si hay una
licencia, el precio por unidad se calcula dividiendo el coste total por la cantidad de licencias.
Si hay varias licencias para un producto, el precio por unidad es el promedio del coste
unitario de todas las licencias del producto (todos los costes totales divididos por la
cantidad total de licencias).
381
* Especificar un precio por unidad para usar en todos los calculos: Si selecciona esta opcion, el
precio que se introduzca sustituye cualquier calculo automatico del producto. Por ejemplo, si
hay varias licencias diferentes para un producto, puede especificar el precio actual de cada
licencia porque ese es el precio que se pagana para agregar licencias nuevas.
Si encuentra calculos en el tablero de resultados que parecen ser incorrectos, debe verificar que se
haya introducido el coste correcto de cada licencia del producto. Despues puede decidir si desea
cambiar el precio por unidad del producto para representar con exactitud el coste de las licencias
de ese producto.
NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that
affects French-language digit groupings. For numbers of one thousand and over, Microsoft has a default setting of a
space character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00). Because of this bug, when
entering numbers in the French-language version, SLM will not allow the period character to be used.
To fix this problem, you must change the setting in the Control Panel > Region and Language applet. Click the
Additional settings button, and change the Digit grouping symbol from a space to a period (or whatever other
character you want).
Para especificar el precio por unidad de un producto
1. Haga clic en Productos > Monitorizados y seleccione el producto (utilice el cuadro Busqueda
si es necesario buscarlo).
2. En la barra de herramientas, haga clic en Editar.

3. Haga clic en Precio por unidad.
4. Seleccione el precio calculado automaticamente, o haga clic en Especificar un precio por
unidad e introduzca el coste en el cuadro del precio por unidad .
Tenga en cuenta que si selecciona un producto normalizado, debe estar seguro de que el coste
unitario representa todas las versiones del producto que se encuentran en el producto normalizado.
Especificar archivos para detectar la instalacion y utilizacion de productos

Haydos maneras de determinarsi un producto esta instaladoyse utiliza en un dispositivo
administrado. El analisis de inventario de Endpoint Manager identifica dos tipos de archivos:
• Los archivos que indican que el producto se ha instalado

• Los archivos que indican que el producto se ha utilizado
Los archivos se definen por el nombre de archivo, numero de version y tamano (en bytes). Los
productos que se detectan automaticamente tambien se identifican de manera unica con el GUID
asociado con el producto, razon por la cual puede parecer de son duplicados de un producto. Dos
productos pueden compartir el mismo nombrey la misma version, pero tener identificadores GUID
distintos.
382
GUÍA DE USUARIO
Cuando cree o modifique un producto, puede modificar las definiciones que se utilizan para detectar
archivos. Las instrucciones que aparecen a continuacion son para editar un producto existente.
NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that
affects French-language digit groupings. For numbers of one thousand and over, Microsoft has a default setting of a
space character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00). Because of this bug, when
Para especificar los archivos para detectar la instalacion y utilizacion de un producto
1. Haga clic en Productos > Monitorizados. Haga clic en un nombre de producto individual (que
no sea un producto normalizado).
2. En la barra de herramientas, haga clic en Editar. Se abre el cuadro de dialogo con la
informacion del producto; algunos elementos son de solo lectura yotros se pueden editar.
3. En Estado, seleccione Monitorizados o Ignorados para que el nuevo producto aparezca en
una de las vistas de productos.
4. Haga clic en Deteccion de instalaciones. Observe que todas las opciones son de solo lectura.
5. Haga clic en Deteccion de la utilizacion. Puede agregar archivos que indiquen que el
producto se esta utilizando.
version del archivo del producto. Repita este procedimiento para cada archivo de producto
que desee utilizar para determinar cuando se usa el producto. Cuando haya finalizado, haga
clic en Aceptar.
Utilizar una consulta para definir cuando un producto esta instalado

La mayona de los productos se detectan en las exploraciones de inventario mediante los archivos
ejecutables, los cuales indican que un producto se ha instalado o se esta utilizando. En algunos
casos se puede detectar que un producto se utiliza en un dispositivo mediante la busqueda de otros
datos de inventario.
Para ello, cree una consulta en la red de Endpoint Manager que se basa en los datos de inventario.
Entonces se podra hacer referencia a dicha consulta como el elemento que se utiliza para detectar
la instalacion cuando se cree un producto personalizado.
383
Por ejemplo, si un producto tiene la licencia en una llave electronica que debe estar conectada al
dispositivo para poder utilizar el producto, puede crear una consulta que identifique la llave
electronica como un elemento de inventario de hardware. Cuando un dispositivo tenga una llave
electronica conectada, el analizador de inventario identificara esa llave. La consola del Monitor de
licencias de software comparara esos datos con el producto cuando se asocia dicha consulta con el
producto. En los calculos de SLM, la existencia de la llave electronica indica que el producto se
utiliza.
Otro ejemplo es cuando hay instalado un tipo de fuente que tiene una licencia por cada dispositivo.
Se puede crear una consulta con el nombre del tipo de letra y la version, y luego asociar la consulta
con la definicion del producto del tipo de letra. El analizador de inventario encontrara el uso del tipo
de letra y se pasaran esos datos a la consola del SLM.
IMPORTANT: Cualquier consulta que cree para identificar el producto debe contener Equipo.ID como uno j de
los componentes de la consulta; si no se incluye, la consulta no devolvera ninguna informacion. Agregue el
componente a la consulta, y tambien seleccionela como una de las columnas a mostrar.
Para utilizar una consulta para detectar la instalacion de productos
1. En la consola Endpoint Manager, abra la vista de red y haga clic con el boton derecho en Mis
consultas. Seleccione Nueva consulta. Defina la consulta con los elementos que identifican el
producto que desea monitorizar, e incluya Equipo.ID como uno de los componentes. Guarde
la consulta.
2. Haga clic en Herramientas > Informes / Monitor > Monitor de licencia de software para abrir la
consola del SLM.
3. Haga clic en Productos > Monitorizados. En la barra de herramientas, haga clic en Nuevo >
Producto personalizado.
4. Introduzca el nombre del producto, la version y el nombre del fabricante.
5. Haga clic en Deteccion de la instalacion y seleccione Utilizar deteccion con consulta.
6. Haga clic en Examinar. En Mis consultas, busque la consulta que se creo. Seleccionela y
haga clic en Aceptar.
7. Agregue cualquier otra informacion del producto en las paginas de Deteccion de la
utilization, Precio por unidad, Asignaciones y Recuperation. Cuando toda la informacion este
completa, haga clic en Guardar.
Crear un nombre de producto normalizado

Cuando revise la informacion de los productos, es posible que encuentre que el mismo producto
esta representado porvarias instanciasynumeros de version. Los productos se pueden normalizarde
forma que se utilice un solo nombre y numero de version en lugar de todas las variaciones del
producto y de la version.
Por ejemplo, los equipos de la organizacion pueden tener varias versiones de Adobe Reader. Si no
desea detectar numeros de version anteriores por separado, puede seleccionartodas las instancias
de Adobe Reader 7, 8 y 9 en la vista de Productos > Detectados y normalizarlas como "Adobe
Reader". Si desea hacer seguimiento de cuantos equipos tienen la version X instalada, puede
seleccionartodas las instancias de Adobe Reader X (como numeros de version 10.0 y 10.1) y
normalizarlas como "Adobe Reader X".
384
GUÍA DE USUARIO
Un producto normalizado se muestra con un signo mas (+) antes del nombre del producto. Haga clic
en el signo mas para expandir el producto yvertodas las variaciones que se han incluido.
1. Haga clicen Productos ya continuacion, haga clicen una de las vistas de producto
(Monitorizados, Detectados, Ignorados o Todos los productos instalados).
2. Localice los nombres de los productos que desee combinar utilizando el cuadro Busqueda.
3. Seleccione los nombres de los productos y a continuacion, haga clic en Acciones > Grupo.
4. Edite el nombre que se va a utilizar como nombre del producto normalizado.
5. Seleccione la vista en la que desea que aparezca el producto (Monitorizados o Ignorados).
El nombre seleccionado aparecera en la vista de producto que se selecciono. Un signo mas (+) junto
al nombre indica se trata de un producto normalizado. Al expandir el nombre (haciendo clic en +),
podra ver todos los nombres que se agrupan con ese nombre normalizado.
Para agregar automaticamente productos a un producto normalizado
(Monitorizados, Ignorados o Todos los productos instalados).
2. En la barra de herramientas, haga clic en Nuevo > Producto normalizado. (Si desea agregar
productos a un producto normalizado existente, seleccione el producto y haga clic en Editar
en la barra de herramientas.)
385
3. Introduzca el nombre que se va a utilizar como nombre del producto normalizado, as^como
la version y el fabricante.
4. Seleccione la vista en la que desea que aparezca el producto (Monitorizados o Ignorados).

5. Haga clic en Reglas dinamicas.
6. Escriba una regla en el cuadro. Utilice un asterisco (*) para buscar con caracteres comodfn.
7. Para agregar otra regla, haga clic en el boton Agregar [+] y escriba otra regla.
8. Cuando haya agregado todas las reglas, haga clic en Guardar.
Los nombres de los productos existentes en la base de datos que coincidan con las reglas
apareceran en el cuadro Productos coincidentes. A medida que se agreguen nuevos datos de
inventario y otros nombres de producto a la base de datos, dichos nombres se incluiran
automaticamente en el producto normalizado.
NOTE: Con algunos productos normalizados se puede especificar un solo nombre de fabricante en la pagina
Definicion. Sin embargo, otros nombres normalizados incluyen productos con diferentes variaciones del nombre
del fabricante. Si este es el caso, utilice una cadena de coincidencia parcial con un comodm para que se
incluyan todas las variaciones. Por ejemplo, escriba Adobe* en el cuadro del fabricante para incluir todas las
variaciones de "Adobe Systems".

para productos normalizados. Para obtener mas informacion, consulte "Asignar licencias y cargos
internos a un grupo de equipos" (413) y "Recuperar licencias de productos" (407).
Eliminacion de productos normalizados
Puede eliminar un producto normalizado seleccionandolo y pulsando la tecla Suprimir. Si lo hace,

los productos individuales que se haban agrupado se devuelven a la lista de productos como
productos individuales.
Si se elimina un producto normalizado, las licencias asociadas a ese producto dejaran de estar
asociadas a el, y los informes de cumplimiento no mostraran el producto normalizado con licencias
que se estan consumiendo. Cuando esto sucede, se deben modificar las licencias y revisar las
asociaciones de producto de cada licencia.
Crear un nombre de fabricante normalizado
A medida que agregue datos de inventario a la consola del monitor de licencias de software, es
posible que encuentre que el mismo fabricante esta representado por varias versiones del nombre
de la empresa. Puede crear un nombre de fabricante normalizado para utilizarlo en lugar de todas
las variaciones.
Los nombres de los fabricantes normalizados estan precedidos por un signo mas (+) en la lista. Por
ejemplo, en la siguiente lista hay cuatro variaciones del fabricante Alchemy Software:
386
GUÍA DE USUARIO
Se pueden seleccionar esos nombres y agruparlos de modo que se utilice un nombre normalizado
para todas ellas. Ese nombre normalizado aparecera en la lista.
Fabricantes normalizados suministrados con SLM
La consola del SLM incluye fabricantes normalizados. La primera vez que se abre la lista de
fabricantes, vera que la lista incluye nombres de fabricantes comunes que se han normalizado.
IVANTI puede proporcionar mas fabricantes normalizados. Cuando esten disponibles, se

descargaran automaticamente como contenido de parches. Si ya ha definido fabricantes
normalizados por cuenta propia, ese contenido se conservara. Los nuevos fabricantes normalizados
que pudieran estar en conflicto con sus propias definiciones no reemplazaran el contenido
personalizado.
387
Crear fabricantes normalizados
Puede crear un fabricante normalizado de la siguiente manera.
Para crear un fabricante normalizado
1. Haga clicen Administracion > Fabricantes.
2. Localice los nombres de los fabricantes que desee combinar (mediante el cuadro Busqueda
si es necesario).
3. Seleccione los nombres de fabricante que desee incluir en el nombre normalizado.
4. Haga clic en Acciones > Grupo.

5. Seleccione uno de los nombres existentes como nombre de fabricante normalizado.
El nombre seleccionado se agregara a los nombres de fabricante normalizados de pagina

Administracion > Fabricantes. Al expandir el nombre (haciendo clic en +), podra ver todos los
nombres que se agrupan con ese nombre normalizado.
Para agregar automaticamente fabricantes a los fabricante normalizados
Se pueden crear reglas que agregaran automaticamente los nombres de fabricante a un nombre
normalizado. Por ejemplo, se podna especificar que cualquier nombre de fabricante que comience
con "Adobe Sys*" se agregue automaticamente al nombre normalizado "Adobe Systems
Incorporated".
2. En la barra de herramientas, haga clic en Nuevo > Fabricante.

3. Escriba un nombre para el fabricante normalizado.
4. Haga clic en Reglas dinamicas.
5. Escriba una regla en el cuadro. Utilice un asterisco (*) para buscar con caracteres comodfn.
6. Para agregar otra regla, haga clic en el boton Agregar [+] y escriba otra regla.
7. Cuando haya finalizado, haga clic en Guardar.
Los nombres de fabricante existentes en la base de datos que coincidan con las reglas apareceran
en el cuadro de Fabricantes coincidentes. A medida que se agreguen nuevos datos de inventario y
otros nombres de fabricantes a la base de datos, se incluiran automaticamente dichos nombres en
el nombre de fabricante normalizado.
Para agregar un nombre de fabricante a un fabricante normalizado existente
Si ha creado un fabricante normalizado y despues encuentra otro nombre de fabricante que desee
incluir con los otros nombres, puede agregarlo al nombre normalizado.
2. Seleccione el nombre del fabricante que desee agregar al nombre del fabricante normalizado.
3. Haga clic en Acciones > Mover a fabricante normalizado.
4. Seleccione un fabricante normalizado y haga clic en Aceptar.
388
GUÍA DE USUARIO
Crear productos web

En el Monitor de licencias de software se pueden monitorizar los productos de software web de la
misma manera que se monitorizan los productos instalados en un dispositivo. Para monitorizar un
producto web, en primer lugar debe crearlo en la consola del SLM.
Cuando cree un producto web en la consola del SLM, especifique la URL asociada con el producto.
Esta URL se agrega a la lista de elementos que el analizador de inventario busca en los dispositivos
administrados. Solo es necesario especificar un dominio de primer nivel, pero no se puede
especificar una ruta de acceso, un numero de puerto o un nombre de pagina de dominio. Se pueden
agregar subdominios. Por ejemplo, si se utiliza Salesforce para hacer seguimiento de las ventas y el
servicio de atencion al cliente, se debe definir un producto llamado "Salesforce" yasociarlo con la
direccion URL a la cual se accede para iniciar sesion.
Despues de crear un producto web, la informacion de deteccion del producto no esta disponible
inmediatamente para el analizador de inventario de Endpoint Manager. Es necesario esperar a la
accion de publicacion programada (que suele ocurrir una vez al dfa) o puede publicarla
inmediatamente en la pagina Administration > Calculos y haciendo clic en el boton Publicar. El
analizador de inventario puede entonces buscar que dispositivos tienen acceso a la URLy durante
cuanto tiempo. Estos datos se incluyen en los informes y calculos del SLM.
389
Para crear una definicion de productos web
1. Haga clicen Productos > Monitorizados.

2. En la barra de herramientas, haga clic en Nuevo > Producto web.
3. Escriba el nombre en el cuadro Nombre del producto.

4. Escriba al menos tres caracteres en el cuadro Fabricante para que aparezcan los nombres
coincidentes. Seleccione el nombre del fabricante. Si no hay ninguna coincidencia, escriba el
nombre del fabricante en el cuadro.
5. En Estado, seleccione Monitorizados o Ignorados para que el nuevo producto aparezca en una
de las vistas de productos.
6. En Nombres de dominio a monitorizar, haga clic en el boton Agregar (+).

7. Escriba el nombre de dominio del producto web.
8. Haga clic en Precio por unidad. Seleccione un metodo para calcular el precio por unidad:
licencias del producto con precios por unidad diferentes. Si selecciona esta
opcion, el precio por unidad es el promedio de todos los precios unitarios de las
diferentes licencias.
• Seleccione Especificar un precio por unidad si desea utilizar el mismo precio por unidad
390
GUÍA DE USUARIO
para todos los calculos. Por ejemplo, si hay dos licencias con precios por unidad
diferentes para el mismo productoy desea utilizar el precio mas alto en los calculos,
puede especificar ese precio por unidad aqm.
9. Cuando toda la informacion este completa, haga clic en Guardar. Podra ver la informacion del
inventario recopilada para el producto web despues de que la informacion de deteccion se
publique. Puede esperar a la accion de publicacion programada (que suele ocurrir una vez al
dfa) o puede publicarla inmediatamente.
10. Para publicar inmediatamente la informacion de deteccion del producto web que se utiliza en
los analisis de inventario, haga clic en Administration > Calculos y a continuation, haga clic en
el boton Publicar.
Tambien puede establecer asignaciones de licencias para productos web. Para obtener mas
informacion, consulte "Asignar licencias y cargos internos a un grupo de equipos" (413).
Crear productos personalizados

Puede crear productos personalizados de cualquier archivo ejecutable de software sin identificar o
identificado de forma incorrecta. Cuando se hace esto, los archivos de la lista de productos
personalizados se agregan automaticamente a la lista en la cual buscara el analizador de inventario.
Puede especificar que archivos indican que el producto se instalo, y que archivos de utilization
indican cuando se ejecuta el producto en un equipo.
En algunos casos, es posible que desee utilizar una consulta de Endpoint Manager para buscar
productos instalados. Esto se hace cuando un producto no se identifica correctamente a partir de
archivos ejecutables, pero se puede identificar sobre la base de datos de inventario que se agregar a
una consulta.
Para crear una definicion de productos personalizados
1. Haga clicen Productos y, a continuacion, haga clicen una de las vistas de producto
(Monitorizados, Detectados, Ignorados o Todos).
391
2. En la barra de herramientas, haga clic en Nuevo > Producto personalizado.
3. Escriba el nombre en el cuadro Nombre del producto.

4. Escriba un numero o un numero con un asterisco en el cuadro de Version.
5. Escriba al menos tres caracteres en el cuadro Fabricante para que aparezcan los nombres
coincidentes. Seleccione el nombre del fabricante.
6. En Estado, seleccione Monitorizados o Ignorados para que el nuevo producto aparezca en una
de las vistas de productos. (De manera predeterminada, un producto personalizado se traslada a
la vista Monitorizados.)
7. Haga clic en Deteccion de instalaciones.

8. Si desea detectar productos mediante una consulta de Endpoint Manager, seleccione Usar
deteccion mediante consultas. Haga clic en Examinary seleccione una de las consultas que se
crearon en la vista de red de Endpoint Manager. Todos los dispositivos que se ajusten a la
consulta se devolveran como coincidencia con este producto.
9. Seleccione Utilizar la deteccion de archivos para detectar los productos mediante archivos
instalados. Los nombres de archivo que agregue aqrn determinan como se detectara el
producto durante los analisis de inventario.
392
GUÍA DE USUARIO
version del archivo del producto. Repita este procedimiento por cada archivo de producto
que desee utilizar. Cuando haya finalizado, haga clic en Aceptar.
11. Seleccione Encontrar alguno o Encontrar todos para especificar si debe encontrarse un
mfnimo de un archivo o deben encontrarse todos los archivos.
12. Haga clic en Deteccion de la utilization. Utilice esta opcion para incluir los archivos que
indican que el producto se esta utilizando.
13. Haga clic en el boton Agregar (+). En el cuadro de dialogo Agregar archivo, puede seleccionar
un nombre de archivo existente (que exista en la base de datos de inventario), o puede hacer
clic en Definir nuevo archivo y especificar el nombre, el tamano y numero de version del
archivo del producto. Repita este procedimiento por cada archivo de producto que desee
utilizar. Cuando haya finalizado, haga clic en Aceptar.
14. Haga clic en Precio por unidad. Seleccione un metodo para calcular el precio por unidad:
unidad diferentes para el mismo producto y desea utilizar el precio mas alto en los
calculos, puede especificar ese precio por unidad aqrn.
monitorizando activamente, seleccione la casilla de verification Calcular cumplimiento
actualizado.
Tambien puede establecer asignaciones de licencias o un proceso de recuperation de licencias para

productos personalizados. Para obtener mas informacion, consulte "Asignar licencias y cargos
internos a un grupo de equipos" (413) y "Recuperar licencias de productos" (407).
IMPORTANT: Los dos tipos de archivos de deteccion, instalacion y utilizacion, son necesarios para recopilar
datos de los productos durante las exploraciones de inventario. Los archivos de instalacion indican que un
archivo ha sido instalado y se requieren para determinar que un producto existe en algun equipo. Los archivos
de utilizacion indican que el producto se ha ejecutado y se requieren para determinar si el producto instalado se
ha utilizado.
Si el inventario de un dispositivo muestra alguna coincidencia con los archivos de instalacion, el Monitor de
licencias de software (SLM) indicara que el producto esta instalado. Sin embargo, si no hay archivos de
393
utilizacion del producto especificado, SLM siempre informara que el producto nunca se ha utilizado.
' Cuando se crea un producto personalizado, se debe definir al menos un archivo de utilizacion para que SLM
informe con exactitud si el producto se ha utilizado alguna vez.
Crear productos de Data Analytics

Si utiliza IVANTI Data Analytics, puede monitorizar productos segun reglas de licencias dentro de la
consola del Monitor de licencias de software (SLM).
Data Analytics utiliza reglas de licencias para evaluar el software instalado e informar de cuantas
instalaciones necesitan una licencia (al contrario que otros productos detectados en SLM que no
tienen en cuenta reglas de licencias y muestran la cantidad real de licencias instaladas en los
dispositivos.). Se pueden tener 100 instalaciones de un producto, pero las reglas de licencias que
utiliza Data Analytics podnan mostrar que solo son necesarias 50.
Por ejemplo, si un dispositivo tiene instalados Microsoft Office 2012 Professional y Office 2010
Professional:
• Mediante las reglas de licencias, los productos de Data Analytics muestran 1 instalacion de
Microsoft Office 2012 Professional y 0 instalaciones de Office 2010 Professional. Se debe a
que la licencia de Office 2012 Professional cubre varias versiones de esta edicion de Office
en un mismo dispositivo. Tenga en cuenta que un dispositivo con diferentes ediciones de un
producto, tales como Office Pro y Office Pro Plus, requeriran una licencia instalada para cada
edicion para cumplir los terminos de la licencia.
• Si no se utilizan reglas de licencia, los otros productos detectados automaticamente
mostraran 1 instalacion de Office 2012 Professional y 1 instalacion de Office 2010
Professional en el mismo dispositivo.
Cuando Data Analytics esta instalado, pueden aparecer aproximadamente unos 600 productos de
Data Analytics en la pagina Productos > Monitorizados. Dichos productos aparecen en la misma
lista que los detectados automaticamente, por lo que un mismo producto podna aparecer como dos
tipos: producto de Data Analytics y producto detectado por SLM como es habitual.
La columna Instaladas muestra el numero de licencias instaladas que necesita un producto de Data
Analytics para que cumpla con los terminos de la licencia (en comparacion con la cantidad de
licencias instaladas en los dispositivos) y la columna Tipo identifica el producto como del tipo de
Data Analytics.
Monitorizados 1.051 elementos (1 seleccionados) Buscarmonitorizados Q.
Producto Version Instalado Sin licencia Nunca se he Noventi Recuperation Fabricante Esta do Tipo
FI
(Q) FreeHand MX 4 0 0 0 Adobe Monitorizados Data Analytics 1
(Q) Fusion 3 4 0 0 0 VMware Monitorizados Data Analytics
NOTE: No pueden agregarse productos de Data Analytics a productos normalizados.
394
GUÍA DE USUARIO
Para crear una definicion de productos de Data Analytics
(Monitorizados, Detectados, Ignorados o Todos).
2. Localice el producto utilizando el cuadro Busqueda o el filtro Seleccionar productos.
3. Seleccione el producto. En la barra de herramientas, haga clic en Editar. Se abre el cuadro de
dialogo Editar information de productos.
4. En Estado, seleccione Monitorizados o Ignorados para enumerar este producto en una de
las vistas de productos. (De manera predeterminada, un producto de Data Analytics se
mueve a la vista Monitorizados.)
5. Haga clic en Detection de instalaciones.
6. Si desea detectar productos mediante una consulta de Endpoint Manager, seleccione Usar
deteccion mediante consultas. Haga clic en Examinary seleccione una de las consultas que
se crearon en la vista de red de Endpoint Manager. Todos los dispositivos que se ajusten a la
consulta se devolveran como coincidencia con este producto.
7. Seleccione Utilizar la deteccion de archivos para detectar los productos mediante archivos
instalados. Los nombres de archivo que agregue aqrn determinan como se detectara el
producto durante los analisis de inventario.
puede hacer clic en Definir nuevo archivo y especificar el nombre, el numero de version y el
tamano. Repita este procedimiento por cada archivo de producto que desee utilizar. Cuando
haya finalizado, haga clic en Aceptar.
9. Seleccione Encontrar alguno o Encontrar todos para especificar si debe encontrarse un
mfnimo de un archivo o deben encontrarse todos los archivos.
10. Haga clic en Deteccion de la utilization. Puede agregar archivos que indiquen que el producto
se esta utilizando.
puede hacer clic en Definir nuevo archivo y especificar el nombre, el numero de version y el
tamano. Repita este procedimiento para cada archivo de producto que desee utilizar para
determinar cuando se usa el producto. Cuando haya finalizado, haga clic en Aceptar.
12. Haga clic en Precio por unidad. Si pueden editarse las opciones, seleccione un metodo de
calculo del precio por unidad:
395
unidad diferentes para el mismo productoy desea utilizar el precio mas alto en los
calculos, puede especificar ese precio por unidad aqm.
monitorizando activamente, seleccione la casilla de verificacion Calcular cumplimiento
actualizado.

para productos de Data Analytics. Para obtener mas informacion, consulte "Asignar licencias y
cargos internos a un grupo de equipos" (413) y "Recuperar licencias de productos" (407).
Restablecer el calculo de la utilizacion de productos
Normalmente, la utilizacion de productos se calcula desde la primera vez que se encuentra en un

analisis de inventario. Con el tiempo, se pueden presentar situaciones en las cuales necesite
restablecer el calculo para obtener un panorama mas exacto de la utilizacion actual de producto.
Por ejemplo, si un producto ha permanecido instalado durante varios mesesyse ha utilizado pocas
veces en algunos dispositivos, puede restablecer el calculo de la utilizacion de ese producto.
Despues de hacer esto, los nuevos datos de utilizacion (el numero de inicios y los minutos usados)
solo reflejaran la utilizacion a partir de momento en que se restablecio.
NOTE: Tenga en cuenta que cuando se restablece el calculo de la utilizacion de un producto, la

informacion existente sobre la utilizacion de dicho producto se eliminara de la base de datos.
Para restablecer el calculo de utilizacion de un producto
(Monitorizados, Detectados o Todos los productos instalados).
2. Ubique el producto utilizando el cuadro de Busqueda o el enlace de Seleccionar productos.
3. Haga clic con el boton derecho en el producto y seleccione Restablecer la utilizacion del
producto.
4. Haga clic en Aceptar para confirmar que desea eliminar la informacion.
396
GUÍA DE USUARIO
Supervision de la utilizacion de licencias

Monitorizacion del cumplimiento de las licencias de productos
El cumplimiento de los terminos de las licencias de productos es un componente importante de la
gestion de activos de TI. La capacidad de monitorizar el cumplimiento garantiza que existiran
registros exactos para las auditonas y que los empleados siguen las directivas de la organizacion
relacionadas con el uso de los productos.
El cumplimiento de los terminos de las licencias de productos de una organizacion depende de:
* Analisis de inventario precisos que contengan datos sobre que productos se detectan y se
utilizan: IVANTI Endpoint Manager ejecuta analisis de inventario de los dispositivos
administrados de la red. Estos incluyen un analisis del monitor de software que guarda la
informacion de productos en la base de datos.
* Datos exactos de los terminos de las licencias de software que se han comprado: esta
informacion se agrega a la base de datos a partir de los registros de licencia que su
organizacion mantenga. Introduzca cada licencia de forma individual o importe datos desde
ongenes diferentes. Para ello, en primer lugar exportelos desde una hoja de calculo Excel a
un archivo .csvy a continuacion, exportelos a la consola del Monitor de licencias de software
(SLM).
* La asociacion correcta de licencias con productos y grupos de equipos: las asociaciones de
productos se producen cuando se agrega o edita una licencia. Si importa datos de licencias,
compruebe cada licencia para asegurarse de que esta asociada con los productos cubiertos
por los terminos de la licencia. Ademas, si las licencias estan limitadas a ciertos
departamentos dentro de la organizacion, debe asociar las licencias con grupos de equipos
definidos para esos departamentos.
* La reconciliation de datos de licencia con datos del inventario: SLM reconcilia todos los
datos necesarios que estan en la base de datos. El cumplimiento se calcula todos los dfas
cuando se ejecuta el mantenimiento de inventario regular de la base de datos. El exito de la
monitorizacion de licencias depende de la exactitud de los datos de las licencia de productos
y de lo completos que sean los analisis de inventario que cubren los dispositivos de su
organizacion. Los resultados del cumplimiento tambien dependen de tener definidos los
grupos de equipos correctos y de tenerlos asociados con las licencias.
Temas relacionados
"Mantenimiento de datos de licencia precisos" (398)
"Crear un registro de la licencia" (398)
"Asociar una licencia con productos" (403)
397
Mantenimiento de datos de licencia precisos

Una parte importante de la gestion financier de una organizacion es el mantenimiento de las
licencias de productos. La herramienta de monitorizacion de las licencias de software (SLM) utiliza
datos de licencia que le ayudaran a determinar si la organizacion cumple los terminos de las
licencias. Los datos de licencia deben estar disponibles y ser exactos para poder calcular el
cumplimiento de forma actualizada.
Es aconsejable comenzar con un pequeno numero de licencias, como con aquellas que se
necesiten monitorizar para alguna auditona. Puede agregar esos datos de licencia de forma manual
o importarlos usando la consola del SLM. Los datos se utilizaran para generar estadfsticas e
informes, lo cual le ayudara a determinar si las licencias de producto se encuentran en conformidad
con base en las instalaciones reales del producto.
Despues de agregar los datos de licencia, debera revisar la informacion de los productos
relacionados con cada una de las licencias. Localice los productos de una licencia en la pagina
Productos > Detectados y muevalos a la vista Monitorizados. Si procede, combine diferentes
versiones de un producto en un producto normalizado de modo que sea mas facil administrar en la
consola del SLM.
Las siguientes tareas se pueden utilizar para mantener datos de licencia precisos en la
organizacion:
• Crear registros de las licencias de software

• Importar datos de las licencias de software
• Crear productos normalizados
• Asociar las licencias de software con los productos instalados
• Ver el cumplimiento de las licencias de software
• Recalcular el cumplimiento de las licencias de software
Crear un registro de la licencia

Si la informacion de las licencias esta en un formato que no se puede importar facilmente,
introduzcala manualmente en la pagina Productos > Licencias. La informacion introducida se
almacena en la base de datos y se usa para calcular el cumplimiento de los terminos de las
licencias.
Para crear un registro de licencia
1. Haga clicen Productos > Licencias.

2. En la barra de herramientas, haga clic en Nuevo > Licencia.
3. Introduzca los datos en las cinco paginas del cuadro de dialogo Crear licencia (Definicion,
Productos asociados, Registros, Compras y Envfo).
4. Haga clic en Guardar cuando haya terminado.
O NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that
affects French-language digit groupings. For numbers of one thousand and over, Microsoft
398
GUÍA DE USUARIO
has a default setting of a space character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00).
Because of this bug, when entering numbers in the French-language version, SLM will not allow the period character to
be used.
Haga clic aqu para ver las descripciones de los campos del cuadro de dialogo Crear licencia.
Pagina Definiciones
• Nombre de la licencia: el nombre de la licencia, el cual puede ser el mismo nombre del
producto.
• Cantidad de compra: el numero original de licencias compradas para utilizarlas como parte
de una cadena de actualizacion, solo de aplicacion si utiliza conectores B2B con Data
Analytics. Si crea licencias manualmente, mediante SLM, este campo no se puede editar y
permanece en "0".
Data Analytics crear la licencia original ajustando la cantidad de compra y la cantidad de

licencias al mismo numero de licencias. Cuando se actualiza una licencia, la cantidad de
licencias se reduce por el mismo numero, y muestra la cantidad de licencias que quedan
como parte de la cadena de actualizacion.
• Cantidad de licencias: cuando se utiliza Data Analytics, este campo muestra el numero de
licencias originales que quedan en la cantidad de compra, despues de actualizar las
licencias. Si crea licencias manualmente mediante SLM, este campo muestra el numero de
licencias permitidas en el contrato de compra.
• Precio por unidad: el precio que se pago por la compra de la licencia.
• Grupo de equipos: si se compro la licencia para un grupo espedfico de dispositivos,

seleccione el grupo aqm. Los grupos que aparecen aqm existen en la pagina Administration
> Grupos de equipos que se rellena con los grupos de equipos creados en la vista de red de
Endpoint Manager. Seleccione Todos cuando la licencia se pueda utilizar en cualquier
dispositivo de su organizacion. Si el grupo que desea no aparece en la lista, haga clic en
Crear grupo de equipos para crear un nuevo grupo a partir de una consulta o un grupo de
dispositivos de Endpoint Manager.
• Proveedor el proveedor a quien le compro la licencia. Puede ser el mismo nombre del
fabricante. Despues de escribir al menos tres caracteres, apareceran los nombres de los
proveedores que coincidan con la base de datos, si algun nombre coincide con el proveedor,
seleccionelo de la lista.
• Fecha de compra: la fecha en la cual se compro la licencia y en la cual es valida. Haga clic en
el icono de calendario para seleccionar la fecha, o escriba la fecha en el cuadro de texto (sera
puesta en su formato numerico predeterminado, como dfa/mes/ano).
399
• Fecha de caducidad: la fecha en la cual vence la licencia. Esta fecha es importante cuando
desea rastrear licencias que se deben renovar. Haga clic en el icono de calendario para
seleccionar la fecha, o escriba la fecha en el cuadro detexto (sera puesta en su formato
numerico predeterminado, como dâ/mes/ano).
• Consumo: el metodo que se utilizo para calcular la utilizacion de las licencias. la utilizacion
se cuenta una vez por cada dispositivo que tenga instalado el producto, sin tener en cuenta
cuantas instalaciones adicionales pueda haber en dicho equipo.
• Tipo de cumplimiento: el tipo de licencia, en terminos de cumplimiento de la licencia como lo

especifica el fabricante.
Pagina Productos asociados
Esta pagina enumera los productos asociados con la licencia. Presenta una lista detodos los
productos que se pueden utilizar de acuerdo con los terminos de la licencia.
Enumera los productos en el orden en el cual se desea que se consuman las licencias. El primer
producto consume primero las licencias disponibles. Si hay mas licencias disponibles, el segundo
producto consume las licencias disponibles. Esto continua hacia abajo en la lista hasta que no haya
mas licencias disponibles.
Se puede asociar cualquier producto con una licencia. Si el producto no esta monitorizado
actualmente, aparecera en la pagina Productos > Monitorizados cuando se asocie con alguna
licencia.
Para agregar productos asociados a la lista
1. Haga clic en el boton Agregar (+).

2. En el cuadro de dialogo Agregar productos a una licencia, escriba al menos tres caracteres
en el cuadro Nombre del producto contiene para buscar los productos que desee. Todos los
productos que coincidan con la cadena de caracteres que se escribio apareceran en la lista
de resultados.
3. Para filtrar los resultados de la lista, puede escribir una cadena en el cuadro Nombre del
producto no contiene. Los productos que contengan esa cadena se eliminaran de la lista. Se
pueden utilizar cadenas multiples, separadas por un espacio.
4. Para limitar los resultados a los productos de la vista Productos > Monitorizados, seleccione
Mostrar los productos monitorizados solamente.
5. Seleccione uno o varios productos de la lista de resultados y haga clic en Aceptar.
Los productos se agregaran a la lista de Productos asociados.

6. Utilice las teclas de flecha hacia arriba o hacia abajo para mover los productos arriba o abajo
dentro de la lista.
Temas relacionados
"Asociar una licencia con productos" (403)
400
GUÍA DE USUARIO
Pagina Registros
Esta pagina contiene datos y anotaciones que documentan la licencia en terminos de compras o
practicas contables de la empresa. Esta informacion no se utiliza en la monitorizacion de licencias,
pero es util para poder mantener registros precisos para las auditonas.
. Numero de referencia del fabricante: el numero de referencia expedido por el fabricante del
producto. Es util para rastrear el producto dentro de los procesos de compras.
• Numero de factura del fabricante: el numero de la factura expedida por el fabricante del
producto. Es util para rastrear el producto dentro de los procesos de compras.
• Description del producto: la anotacion que describe el tipo de producto.
• Clave de licencia: la clave que le proporciono el fabricante para activar la licencia.
• Numero de serie: El numero de serie del fabricante asociado con la licencia.
• Ubicacion: una notacion que le ayuda a identificar donde se estan utilizando las licencias en
su organizacion.
• Documentos de soporte: una notacion que describe donde se encuentran los documentos de
soporte de sus activos de licencia. Puede indicar una ubicacion de red , una URL o cualquier
descripcion que desee usar.
• Notas: escriba alguna nota adicional relacionada con la licencia. Estas notas se guardan en
la base de datos.
Pagina Compras
Utilice esta pagina para introducirtoda la informacion relacionada con la compra de licencias. Esta
informacion no se utiliza en la monitorizacion de licencias, pero es util para poder mantener
registros precisos para las auditonas.
• Numero de orden de compra: El numero de orden de compra que su organizacion utilizo para
comprar el producto. Es util para rastrear el producto dentro de los procesos de compras.
• Comprado por: el nombre del departamento que compro el producto.
• Numero de lmea del pedido: el numero de la lfnea de la orden de compra relacionada con un
producto espedfico.
• Fecha del inicio de la cobertura: la fecha de comienzo del contrato de mantenimiento
adquirido independientementey asociado a la licencia. Haga clic en el icono de calendario
para seleccionar la fecha, o escriba la fecha en el cuadro de texto (sera puesta en su formato
numerico predeterminado, como dfa/mes/ano).
• Fecha de finalization de la cobertura: la fecha de termino del contrato de mantenimiento
adquirido independientementey asociado a la licencia. Haga clic en el icono de calendario
para seleccionar la fecha, o escriba la fecha en el cuadro de texto (sera puesta en su formato
numerico predeterminado, como dfa/mes/ano).
• Coste de la cobertura por licencia: el coste del contrato de mantenimiento por licencia
adquirida.
Pagina Envfo
Utilice esta pagina para introducirtoda la informacion asociada con la direccion de entrega del
401
producto, habitualmente el nombre de un departamento. Esta informacion no se utiliza en la

monitorizacion de licencias, pero es util para poder mantener registros precisos para las auditonas.
. Direccion 1 y 2: el nombre y la calle del departamento que recibio el producto.

• Ciudad: la ciudad donde se encuentra el departamento.
• Estado/provincia: la estado o la provincia donde se encuentra el departamento.
• Codigo postal: el codigo postal de la ciudad donde se encuentra el departamento.
• Pa^s: el pafs donde se encuentra el departamento.
• Enviado: la fecha de envfo del producto a sus destinatarios. Haga clic en el icono de
calendario para seleccionar la fecha, o escriba la fecha en el cuadro de texto (sera puesta en
su formato numerico predeterminado, como dfa/mes/ano).
• Numero de seguimiento: el numero interno de seguimiento utilizado por las organizaciones
para garantizar que el producto llega a destino.
Importar datos de licencias desde un archivo CSV

Puede importar datos de licencias existentes de una version anterior de IVANTI Endpoint Manager o
de otras fuentes datos. Los datos deben estar guardados en un archivo de tipo CSV.
Se incluye un ejemplo de archivo CSV(ImportLicense.csv) en el recurso compartido de LDMAIN del

servidor central (en la carpeta LDMAIN\IVANTI\SAM), como referencia. Tenga en cuenta las
siguientes directrices al crear un archivo CSV para importar datos de licencia:
• La unica columna necesaria en el archivo CSV es la columna Nombre

• Si no sabe que hay que poner en alguna columna, dejela en blanco. El proceso de
importacion agregara un valor predeterminado en cualquier columna en blanco.
• Despues de las columnas de propiedades de licencia, haycolumnas para productos
asociados. Se denominan "Producto asociado 1" y "Version producto 1", "Producto asociado
2" y "Version producto 2", y asf sucesivamente. Escriba el nombre del producto, en la
columna "Producto asociado x" y la version en la columna "Version producto x". Si no hay
version del producto, deje la columna en blanco. El proceso de importacion buscara los
productos coincidentes con el nombre del producto y la version que se suministraron. Si se
encuentran varios productos con el mismo nombre y version, todos los productos
coincidentes se asociaran con la licencia. Se puede asociar cualquier cantidad de productos
a una licencia.
• La importacion no reemplazara las licencias existentes. Si una licencia existente coincide
con el nombre de una licencia que se esta importando, se creara un nuevo registro de
licencia con el nombre de "<nombre de la licencia> [1]". El numero entre parentesis se
incrementara con cada coincidencia adicional, de manera que cada licencia quede con un
nombre unico.
Para importar datos de licencia
1. Prepare un archivo .csvcon los datos de las licencias que desee importar. Para ello, utilice
las directrices que se indicaron anteriormente.
402
GUÍA DE USUARIO
2. En la consola de seguimiento de licencias de software, haga clic en Productos > Licencias.

En la barra de herramientas, haga clic en Acciones > Importar de CSV.
3. Vaya a la ubicacion del archivo CSVy luego haga clic en Abrir. Los datos de las licencias se
agregan a la base de datos y apareceran en la vista Productos > Licencias.
Para revisar las licencias importadas y editar los datos
1. Haga clicen Productos > Licencias y seleccione una licencia.

2. En la barra de herramientas, haga clic en Editar. Revise los datos en las cinco paginas del
cuadro de dialogo Editar licencia (Definicion, Productos asociados, Registros, Compras y
Envfo).
3. Haga clic en Guardar cuando haya terminado.
Asociar una licencia con productos
Al agregar o editar una licencia, es necesario asociar esa licencia con uno o mas productos con el
fin de calcular el cumplimiento del uso del producto y la licencia. Puede seleccionar uno o mas
productos, incluidos productos normalizados que representen varios productos individuales. Si
algun producto no esta monitorizado actualmente, el Monitor de licencias de software (SLM) movera
el producto a la pagina Productos > Monitorizados cuando se asocie con alguna licencia.
Cuando seleccione productos asociados, enumere los productos en el orden en el cual desee que
se consuman las licencias. El primer producto de la lista consume primero las licencias disponibles.
Si hay mas licencias adicionales, el segundo producto consumira las licencias adicionales. Esto
continua hacia abajo en la lista hasta que no haya mas licencias disponibles.
El siguiente es un ejemplo de como se realiza el calculo de licencias con varias versiones de

producto:
• Se ha adquirido una licencia del producto ABC que permite 30 instalaciones (o puestos de
licencia).
• La licencia puede utilizarse para las versiones 3,4 y 5 de ese producto.

• En la lista de Productos asociados, se clasificaron las versiones con la version mas reciente
(5) en primer lugar, seguida por la version 4 y luego la version 3.
En esta situacion, la utilizacion de la licencia se calcula de la siguiente manera:
• 16 usuarios tienen la version 5 instalada, de modo que los 16 consumen un puesto de

licencia.
• 21 usuarios tienen la version 4 instalada; 14 de ellos consumen un asiento de licencia y 7 no
tienen licencia.
• 8 usuarios tienen la version 3 instalada; ninguno de ellos tiene licencia.
403
Los informes de cumplimiento de licencia de este producto mostraran que 15 usos del producto no
estan cubiertos por la licencia. Entonces se debe determinar si se deben comprar licencias
adicionales. Tambien se puede revisar el uso real de los productos en la organizacion. Si algunos
usuarios con el producto instalado no han utilizado el producto por un largo penodo de tiempo,
puede verificar con ellos para ver si necesitan el software. Si no lo necesitan, pueden desinstalar el
producto y aplicar las licencias a otros usuarios.
NOTE: Las licencias se asocian con los productos para calcular el cumplimiento. Si se elimina un producto, la
licencia asociada a ese producto ya no estara asociada a el, y los informes de cumplimiento ya no mostraran el
producto con licencias para consumir.
Ver datos de cumplimiento de licencias

En la consola del Monitor de licencias de software, hay diferentes maneras de averiguar si las
instalaciones de productos cumplen los terminos de las licencias. Este tema describe como
encontrar la informacion necesaria.
Ver la informacion por producto
Abra la pagina Productos > Monitorizados para obtener informacion sobre los productos instalados
en los dispositivos de la organizacion. El producto se debe mover a la vista Monitorizados para
poder encontrar mas informacion sobre la utilizacion y las licencias.
Puede ver los siguientes elementos:
• Instalaciones de productos: haga doble clic en el nombre del producto para ver la lista de
dispositivos que tienen instalado el producto.
• Si se esta usando actualmente un producto: mire las columnas Nunca utilizadoy Noventa
dâs desde la ultima utilizacion para ver los usuarios que no utilizan el producto o rara vez lo
utilizan.
404
GUÍA DE USUARIO
• Si un producto tiene la licencia apropiada: permite comparar las columnas Instalados y Sin
licencia para ver si hay mas copias instaladas que licencias validas.
• Licencias asociadas con el producto: haga clic con el boton derecho en un producto y
seleccione Ver las licencias que corresponden al producto seleccionado para ver la lista de
las licencias que estan asociadas con el producto.
NOTE: Aunque notara que las vistas de productos Detectados e Ignorados tienen las mismas columnas y
aparentemente muestran datos sobre cumplimiento, dichos datos no representan las licencias con exactitud en
comparacion con las instalaciones reales de productos. Solo los productos de la vista de productos
Monitorizados que estan asociados con licencias mostraran datos utiles y precisos.
Ver los datos de resumen de cumplimiento
Los tableros de resultados contienen datos resumidos relacionados con el cumplimiento y la

optimizacion de licencias. Estas paginas estan disenadas para ayudarle a actuar sobre los
problemas mas importantes relacionados con las licencias de productos. No proporcionan un
cuadro completo, pero le ayudan a encontrar los problemas que se deben resolver en primer lugar,
de manera que se pueden reducir los costes y mejorar la eficiencia en el uso del software.
• Tablero de resultados de las auditonas: esta pagina incluye informes que son utiles cuando
se esta preparando una auditona sobre la utilizacion de las licencias de productos.
• Tablero de resultados de cumplimiento: Esta pagina incluye informes que muestran los
productos que no cumplen con los terminos de la licencia y necesitan atencion.
• Tablero de resultados de la optimizacion de licencias: esta pagina incluye informes que
estiman los ahorros que se pueden obtener si se eliminan de los equipos de la organizacion
los productos que no se utilizan.
Visualizar informes de licencias
Los informes de SLM reunen datos completos sobre muchos aspectos del cumplimiento de los
terminos de las licencias ysu utilizacion. Utilice los informes para buscartoda la informacion sobre
algun problema o necesidad en particular, y luego exportar los datos o enviar el informe por correo
electronico a otros para que actuen.
• Informes de auditona: estos informes son utiles cuando se esta preparando una auditona
sobre el uso de las licencias. Incluyen indicadores de auditona, tales como los productos
monitorizados que no tienen licencias asociadas y licencias que no tienen informacion, tales
como numeros de factura u orden de compra.
• Informes de cumplimiento: estos informes incluyen informacion sobre todos los productos
y licencias que no cumplen con los terminos. Incluyen informacion general sobre el
consumo de licencias de todos los productos, los costes totales para lograr que los
productos cumplan, etc.
• Informes sobre la optimizacion de licencias: estos informes proporcionan informacion que
puede ayudar a optimizar el uso de los productos de la organizacion. Incluyen listas de las
licencias que no se utilizan, los productos que no se utilizan o se utilizan raramente y otros
datos relacionados.
405
Recalcular el cumplimiento de los terminos de las licencias

El cumplimiento de los terminos de las licencia se calcula a diario cuando se ejecuta el
mantenimiento del inventario en la base de datos.
En muchas de las tareas relacionadas con los productos y las licencias, se hace un calculo nuevo
cuando se guardan datos que han cambiado. Si aparece una casilla de verificacion denominada
Calcular el cumplimiento despues guardar, indica que cuando se guarda el trabajo se volvera a
calcular el cumplimiento de los terminos de las licencias.
Pagina Calculos
En la pagina Calculos hay una casilla de verificacion que permite al Monitor de licencias de software
(SLM) calcular la instalacion y utilizacion de los productos inmediatamente siempre que se hacen
cambios en la informacion de los productos. Ademas, si ha agregado datos de licencia o ha
realizado otros cambios y desea recalcular el cumplimiento sin esperar al siguiente mantenimiento
programado, puede iniciar un nuevo calculo de la utilizacion de productos y el cumplimiento de los
terminos de las licencias.
Una opcion relacionada permite publicar informacion de deteccion de productos nuevos en el

archivo de analisis de inventario que detecta cuando se instalan o utilizan productos. Debe
publicarse siempre que defina un producto personalizado con informacion de instalacion basada en
archivos que no esten en la base de datos, asf como siempre que agregue, cambie o elimine un
dominio de un producto web.
Una tercera opcion permite ejecutar el proceso de recuperacion de licencias que busca las licencias
de productos no utilizadas y ejecuta una tarea para desinstalar el producto, de forma que puedan
reasignarse a otros usuarios finales. Si un producto instalado no se ha utilizado durante un cierto
periodo de tiempo, puede desinstalarse de un dispositivo y liberar la licencia para utilizarla en un
dispositivo diferente.
Para recalcular la utilizacion y el cumplimiento 1. Haga clicen Administration > Calculos.
406
GUÍA DE USUARIO
2. Para calcular la instalacion y la utilizacion siempre que se hagan cambios, marque la opcion
Calcular la instalacion y utilizacion inmediatamente despues de guardar un producto y
haga clic en Guardar. Para actualizar la utilizacion y el cumplimiento de los terminos de las
licencias, haga clic en el boton Recalcular.
3. Para publicar nueva informacion de deteccion de productos que se utiliza en los analisis del
inventario de los clientes, haga clic en el boton de Publicar.
4. Para ejecutar la recuperacion de licencias de productos no utilizados, haga clic en el boton
Recuperar. Durante este proceso, se ejecutaran todas las tareas de recuperacion que se hayan
definido en la consola del SLM.
Si las acciones anteriores se realizan correctamente o se completan con errores, aparecera un

mensaje de estado. Si se produce un error, podra encontrar mas informacion sobre dicho error en los
archivos del registro del directorio de instalacion (que se ubica por defecto en C:\Program
Files\IVANTI\ManagementSuite\log):
• Para errores de recalculo o de reclamacion: consulte el archivo SLM.Routines.exe.log.
• Para errores de publicacion: consulte el archivo SAM.Services.dll.log.
Recuperar licencias de productos

La recuperacion de licencias es el proceso de reasignar licencias de software no utilizadas a
dispositivos que necesitan licencias de esos mismos productos.
407
Su empresa podna tener licencias de productos que no se usan y pueden recuperarseydarse a los
usuarios que necesitan instalar esos productos. La recuperacion de licencias es una funcion de la
monitorizacion de licencias de software que encuentra las instalaciones de productos que no se han
utilizado durante un cierto penodo de tiempo. Si un producto de un dispositivo cumple los criterios de
recuperacion, se desinstala de ese dispositivo y la licencia se libera la para asignarla a otro usuario.
Los metodos de entrega ydesinstalacion de paquetes que utilice para recuperar las licencias deben
estar creados en la consola de Endpoint Manager. Despues podran seleccionarse en la consola del
SLM.
Derechos de usuario requeridos
Los usuarios que trabajaran con la recuperacion de licencias deben tener los siguientes derechos de
distribucion de software:
• Ver metodos de entrega

• Verpaquetes
• Desplegar paquetes
Para obtener mas informacion sobre la asignacion de derechos a los usuarios, consulte "Roles y
derechos" (60).
Primeros pasos
Para recuperar licencias de productos es necesario:
• Configurar las opciones predeterminadas de recuperacion de licencias. ("Configurar

las opciones predeterminadas de la recuperacion de licencias" (411)). Aunque estas
son las opciones predeterminadas que aparecen al habilitar la recuperacion de un
producto, se pueden cambiar.
• Habilitar la recuperacion de licencias para productos independientes (se describe a

continuacion) Se pueden recuperar licencias de productos individuales, asf como de productos
normalizados y personalizados.
• Ejecute la recuperacion de forma manual o programe la recuperacion (se describe a

continuacion).
• Ver la lista de licencias de producto que se han recuperado. ("Ver el estado de la recuperacion
de licencias" (415)). Utilice esta lista para determinar que productos pueden instalarse en otros
dispositivos.
NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that affects
French-language digit groupings. For numbers of one thousand and over, Microsoft has a default setting of a space
character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00). Because of this bug, when
Additional settings button, and change the Digit grouping symbol from a space to a period
408
GUÍA DE USUARIO
(or whatever other character you want).
Para habilitar la recuperacion de licencias de un producto

2. Seleccione un producto. En la barra de herramientas, haga clic en Editar.
3. Haga clic en Recuperacion y seleccione la casilla de verificacion Habilitada.
4. Indique durante cuanto tiempo no debe haberse utilizado el producto para poder recuperar su
licencia. Introduzca un numero en el cuadro Recuperar solo si el producto no se ha utilizado.
El valor predeterminado es 120 dfas, dado que muchos fabricantes consideran que un producto
ha sido utilizado en un trimestre si al menos se ha ejecutado una vez durante un penodo de tres
meses. Habitualmente, se informa de la utilizacion del software de forma trimestral.
5. Si desea recuperar las licencias en funcion del numero de dfas durante los que no se han
utilizado, seleccione Recuperar de todos los equipos que no han utilizado el producto.
6. Si desea utilizar la recuperacion de licencias para tener siempre una cierta cantidad de
licencias disponibles, seleccione Recuperar para mantener licencias disponibles. Especifique
un umbral mas bajo para el numero de licencias disponibles que desencadena la recuperacion.
Especifique un numero mas alto para representar la cantidad de licencias que deben estar
disponibles.
7. Haga clicen Tarea.
8. Haga clic en Explorar para seleccionar el paquete de desinstalacion cuando un producto
cumple los criterios de recuperacion. Para los productos normalizados, especifique un paquete
de desinstalacion para cada uno de los productos, o especifique un paquete de producto
normalizado para que todos los productos que contiene utilicen el mismo paquete de
desinstalacion que el producto normalizado.
9. Para Endpoint Manager 9.5 o clientes anteriores, compruebe que el metodo de entrega del
paquete es correcto. Para cambiar el metodo de entrega, haga clic en Examinary seleccione un
metodo nuevo.
Debido a que el servidor principal de Endpoint Manager 9.6 puede administrartanto los clientes
del 9.5 como del 9.6, debera especificar esta configuracion, ademas de la configuracion de
distribucion/parche y reinicio, que solo son para clientes de Endpoint Manager 9.6.
10. Para clientes de Endpoint Manager 9.6, compruebe que la configuracion de distribucion y
parche es correcta. Esta configuracion combina la entrega tanto para software de distribucion
como de parches.
11. Para clientes de Endpoint Manager 9.6, compruebe que la configuracion de reinicio es correcta.
Esta configuracion controla que el servicio se reinicie y como se reiniciara.
12. Marque la casilla de verificacion Iniciar tareas programadas inmediatamente despues de
crearlas para ejecutar la recuperacion de la licencia del producto despues de guardar los datos.
409
13. Especifique con que frecuencia se va a ejecutar la recuperacion de licencias. Introduzca un

numero en el cuadro Ejecutar proceso de recuperacion cada ... dâs. Si selecciona 0, la
recuperacion se ejecutara diariamente. De forma predeterminada, se ejecutara inmediatamente
despues de guardar la tarea y a continuacion, todas las noches cada 14 dâs. Cuando se haya
ejecutado el proceso de recuperacion, la fecha de ejecucion aparecera en el cuadro Ultima
ejecucion.
14. Especifique una tarea de directiva de reinstalacion si desea dar al usuario final la opcion de
reinstalar el producto despues de la recuperacion de la licencia. La opcion de reinstalar
aparecera en el cuadro de mando del cliente de Endpoint Manager, donde el usuario final puede
elegir instalar el producto. Haga clic en Explorary seleccione el nombre de la directiva de
reinstalacion que desee utilizar. Haga clic en Aceptar.
15. Haga clic en Avanzado para incluir o excluir grupos de equipos de la recuperacion de licencias
de este producto.
16. Si desea incluir varios grupos de equipos, seleccione Incluiry haga clic en + para agregar
grupos a la lista. Solo se incluiran en la recuperacion de licencias los dispositivos de los
grupos que aparezcan en esta lista. El resto de los dispositivos se ignorara. Los grupos que se
pueden seleccionar estan definidos en la pagina Administracion > Grupos de equipos.
17. Si desea excluir varios grupos de equipos, seleccione Excluir y haga clic en + para agregar
grupos a la lista. Seleccione los grupos que deben excluirse de la recuperacion de licencias. La
recuperacion incluira todos los dispositivos monitorizados, excepto los de los grupos que
seleccione.
18. Si desea enviar un correo electronico a los administradores informado de la accion de
recuperacion, seleccione Habilitar la notification por correo electronicoyescriba una ovarias
direcciones de correo en el cuadro. Separe las direcciones con un punto y coma (;) o con una
coma (,).
19. Cuando haya completado la informacion de la recuperacion del producto, haga clic en Guardar.
Las opciones de este cuadro de dialogo suelen ser las mismas que las de la pagina Administracion >
Recuperacion predeterminada. Para obtener las descripciones de estas opciones, consulte
"Configurar las opciones predeterminadas de la recuperacion de licencias" (411).
NOTE: Despues de establecer las opciones de recuperacion de un producto, aparecera como propietario de la
recuperacion en la pagina Recuperacion del cuadro de dialogo de informacion del producto. Si otra persona
cambia las opciones posteriormente, se convertira en el propietario de la recuperacion. Es importante saber quien
es el propietario, dado que durante la recuperacion se utilizan sus ambitos. Solo se recuperan las licencias de los
dispositivos que estan dentro del ambito del propietario de la recuperacion.
Si se produce un error durante el proceso de recuperacion, aparecera un mensaje de error en la pagina

Recuperacion del cuadro de dialogo de informacion del producto. Utilice este mensaje para solucionar el problema.
Para ejecutar el proceso de recuperacion de licencias
La recuperacion de licencias se ejecuta durante la programacion establecida en la pagina

Administration > Recuperacion predeterminada (normalmente 14 dâs). Si desea ejecutar un proceso
de recuperacion antes de la siguiente programacion, siga estos pasos.
410
GUÍA DE USUARIO
1. Haga clicen Administracion > Calculos.
2. Haga clic en Recalcular para asegurarse de que los calculos de uso y cumplimiento de
normativas esten actualizados.
3. Haga clic en Recuperar para iniciar el proceso.
Configurar las opciones predeterminadas de la recuperacion de licencias

Aunque la recuperacion de licencias se habilita para productos de forma individual, es posible
cambiar los valores predeterminados de la recuperacion en general. Los valores predeterminados
introducidos aparecen cuando se habilita la recuperacion de un producto.
411
Para configurar los valores predeterminados de la recuperacion
1. Haga clic en Administracion > Valores predeterminados de recuperacion.

2. Seleccione el metodo de entrega del paquete de desinstalacion. Haga clic en Examinar para ver
los metodos de entrega disponibles desde la herramienta Metodos de entrega en la consola de
Endpoint Manager.
3. Indique durante cuanto tiempo no debe haberse utilizado el producto para poder recuperar su
licencia. Introduzca un numero en el cuadro Recuperar solo si el producto no se ha utilizado.
El valor predeterminado es 120 dfas, dado que muchos fabricantes consideran que un
producto ha sido utilizado en un trimestre si al menos se ha ejecutado una vez durante un
penodo de tres meses. Habitualmente, se informa de la utilizacion del software de forma
trimestral.
4. Seleccione Iniciar tareas programadas inmediatamente despues de crearlas para que
automaticamente comience la desinstalacion de los productos que cumplan los criterios de
recuperacion.
5. Si desea recuperar las licencias en funcion del numero de dfas durante los que no se han
utilizado, seleccione Recuperar de todos los equipos que no han utilizado el producto.
6. Si desea utilizar la recuperacion de licencias para tener siempre un cierto numero de licencias
disponibles, seleccione Recuperar para mantener licencias disponibles. Especifique un umbral
mas bajo para el numero de licencias disponibles que desencadena la recuperacion.
Especifique un numero mas alto para representar la cantidad de licencias que deben estar
disponibles.
7. Especifique con que frecuencia se va a ejecutar la recuperacion de licencias. Introduzca un
numero en el cuadro Ejecutar proceso de recuperacion cada ... dâs. Si selecciona 0, la
recuperacion se ejecutara diariamente. De forma predeterminada, la recuperacion se ejecuta
por la noche cada 14 dfas.
8. Si desea incluir varios grupos de equipos en la recuperacion de licencias, seleccione Incluiry
haga clic en + para agregar los grupos a la lista. Solo se incluiran en la recuperacion de
licencias los dispositivos de los grupos que aparezcan en esta lista. El resto de los
dispositivos se ignorara. Los grupos que se pueden seleccionar estan definidos en la pagina
Administracion > Grupos de equipos.
9. Si desea excluir varios grupos de equipos, seleccione Excluiry haga clic en + para agregar
grupos a la lista. Seleccione los grupos que deben excluirse de la recuperacion de licencias. La
recuperacion incluira todos los dispositivos monitorizados, excepto los de los grupos que
seleccione.
10. Si desea enviar un correo electronico a los administradores u otros usuarios para informar de
la accion de recuperacion, seleccione Habilitar notification por correo electronico y escriba una
o varias direcciones de correo en el cuadro. Separe las direcciones con un punto y coma (;) o
con una coma (,).
11. Cuando haya terminado de configurar la recuperacion de licencias, haga clic en Guardar.
NOTE: Recuerde que los grupos que se incluyan o excluyan, y los valores de correo electronico que
O
412
GUÍA DE USUARIO
seleccione, se aplicaran de forma predeterminada a todos los valores de la reclamacion. Dado que se crean
valores de recuperacion para productos individuales, personalizados o normalizados, es posible cambiar
cualquiera de estos elementos.
Configuracion de los valores predeterminados de correo electronico
En la pagina Administracion > Configuracion de correo electronico, puede especificar que cuenta de
correo se utilizara para enviar notificaciones cuando se recuperen licencias de productos.
Habitualmente, los correos electronicos se envfan a los administradores o a otros usuarios que
necesitan saber cuando se ha recuperado el software.
Para configurar los ajustes de correo electronico para la recuperacion de notificaciones
1. Haga clic en Administracion > Valores de correo electronico.

2. Escriba el nombre del servidor SMTP que enviara los correos.
3. Escriba la direction de correo electronico del remitente.
4. Haga clic en Guardar para aplicar los valores.
Asignar licencias y cargos internos a un grupo de equipos

Utilice el Monitor de licencias de software para hacer seguimiento de los costes de soporte de TI a los
grupos de la organizacion. Haga seguimiento a los costes mediante la asignacion de licencias de
productos a grupos de equipos y a continuacion, mediante la definicion del precio de los cargos
internos por licencia para esos grupos. Para obtener mas informacion, consulte "Ver el estado de la
asignacion de licencias" (416).
Configuracion de las unidades de asignacion
Antes de poder asignar licencias de productos a un grupo de equipos, es necesario definir ese grupo
como unidad de asignacion. Seleccione un grupo de equipos existente o defina uno nuevo que
represente un departamento, oficina o localidad de su organizacion. Recuerde que cuando define un
grupo en la consola del Monitor de licencias de software, simplemente esta eligiendo un nombre para
asociarlo con un grupo de dispositivos existente o una consulta creada previamente en la vista de red
de Endpoint Manager. Para obtener mas informacion, consulte "Definicion de grupos de equipos"
(420).
Para seleccionar un grupo de equipos existente como unidad de asignacion
1. Haga clic en Administracion > Grupos de equipos.

2. Seleccione un grupo de la lista. En la barra de herramientas, haga clic en Editar.
3. Seleccione Usar como unidad de asignacion. Haga clic en Guardar.
Para definir un grupo de equipos nuevo como unidad de asignacion

2. En la barra de herramientas, haga clic en Nuevo > Grupos de equipos.
413
3. En el cuadro Nombre, de al grupo de equipos un nombre inconfundibleysignificativo.

4. Seleccione Usar como unidad de asignacion.
5. En el cuadro de seleccion Origen, seleccione la consulta definida o los dispositivos que estan
incluidos en ese grupo de equipos.
Asignar licencias y cargos internos a un grupo de equipos
Despues de definir un grupo de equipos como unidad de asignacion, puede asignar licencias y cargos
internos.
NOTE: If you're using the French-language version of SLM, Microsoft has a bug in their regional settings that affects
French-language digit groupings. For numbers of one thousand and over, Microsoft has a default setting of a space
character instead of a period forthe digit-grouping symbol (for example, 1 234 567,00). Because of this bug, when
Para asignar licencias y cargos internos a un grupo de equipos

2. En la lista, seleccione el producto al que desea asignar licencias y establecer cargos internos.
En la barra de herramientas, haga clic en Editar.
3. Haga clic en Asignaciones. En la columna Grupos de equipos se encuentran los grupos que ha
definido como unidades de asignacion.
4. En el cuadro Asignado de un grupo, seleccione el numero de licencias que desea asignar a ese
grupo. Este numero debe representar la cantidad de licencias por las cuales se van a aplicar a
un grupo cargos internos por el soporte de TI. Repita este paso para cada grupo de equipos
que aparezca en la lista. En la columna Instalado aparece la cantidad de dispositivos de un
grupo que tienen el producto instalado. En la columna Licencias aparece la cantidad de
licencias disponibles para utilizar, de acuerdo con las compras del grupo.
5. En el cuadro Precio por unidad del cargo interno, introduzca el precio por licencia que se va a
cargar a un grupo por el soporte de TI a ese producto. Este precio variara por grupo, segun el
grado de soporte que se preste.
NOTE: Antes de poder ver el informe exacto para imprimir sobre la informacion de esta asignacion, debe
guardar los cambios. Despues de hacer clic en Guardar, vuelva a este cuadro de dialogo y haga clic en el
icono de impresion para ver los cambios en un informe.
414
GUÍA DE USUARIO
Ver el estado de la recuperacion de licencias

Las tareas de recuperacion de licencias aparecen en la pagina Productos > Recuperacion. En esta
pagina se puede ver cuantas tareas de recuperacion se han iniciado y cuantos productos se han
desinstalado correctamente para que las licencias esten disponibles.
El proceso de recuperacion de licencias se ejecuta de acuerdo con la programacion establecida para

un producto o en los valores predeterminados de la recuperacion. Cuando un proceso se ejecuta, crea
tareas de recuperacion. Las tareas se ejecutaran segun las opciones elegidas:
• Si selecciona la opcion Iniciar tareas programadas inmediatamente despues de crearlas en el

cuadro de dialogo de informacion del producto o en Administration > Opciones
predeterminadas de recuperacion, la tarea se ejecutara despues de que el proceso de
recuperacion la cree.
• Si no selecciona esta opcion, debe abrir la herramienta Tareas programadas de Endpoint

Manager para iniciar la tarea manualmente o programarla.
Puede ver el estado de la recuperacion y exportar los datos a un archivo .csv para hacer seguimiento
de las licencias que quedan disponibles mediante la recuperacion. Tambien puede ver las tareas de
cada producto en la herramienta Tareas programadas. Sin embargo, es mas facil ver el estado de las
tareas de recuperacion en la pagina Productos > Recuperacion, donde tambien puede crear informes
en formato CSV de los productos que se han desinstalado.
Para ver el estado de las tareas de recuperacion de licencias
1. Haga clicen Productos > Recuperacion.

2. Para buscar un producto en la lista, escriba al menos tres caracteres del nombre del producto
en el cuadro Busqueda.
3. Seleccione un producto y haga clic en Editar para cambiar sus valores. Haga clic en Guardar.
Para guardar los datos en archivo de valores separados por comas o como informe para imprimir
1. Haga clicen Productos > Recuperacion.

2. En la lista de productos, seleccione uno y haga clic con el boton derecho. Seleccione una de
las opciones que aparecen.
La informacion de la recuperacion de licencias se muestra por producto e incluye las columnas

siguientes:
• Producto: el nombre del producto. Puede ser un nombre normalizado que incluye variaciones
del nombre del producto.
• Fecha de inicio de la tarea: la fecha en que comienza la tarea de recuperacion. Las tareas no se
inician automaticamente si no selecciona la opcion Iniciar tareas programadas inmediatamente
despues de crearlas.
• Dispositivos objetivo: la cantidad de dispositivos que cumplen los criterios de recuperacion y

portanto son objetivo de la eliminacion de productos.
415
• Desinstalados correctamente: la cantidad de dispositivos de los cuales se desinstalo el

producto.
• Valor de la licencia: el coste total de las licencias recuperadas. Este numero se basa en el
precio por unidad asociado a cada licencia.
• Estado de la tarea: el estado de la tarea de recuperacion. Este estado coincide con la columna
de estado del programador de tareas de Endpoint Manager. Si el estado muestra Necesita
atencion, es necesario que edite la tarea de recuperacion del producto para ver que ha
sucedido. El problema aparecera destacado en rojo.
• Tipo: el tipo de grupo de equipos, en funcion de si fue creado por una consulta o parametros
grupo-dispositivo en la base de datos.
Ver el estado de la asignacion de licencias
Utilice la pagina Productos > Asignaciones para hacer seguimiento de los costes del soporte de TI a
los grupos de la organizacion. Algunos grupos requieren mas ayuda que otros para administrar las
licencias de sus productos. Al establecer el cargo interno del nivel de soporte proporcionado, es
posible facturar esa cantidad a cada grupo, yjustificar el trabajo de TI y controlar los costes de la
gestion de activos.
Para establecer las asignaciones de licencias, en primer lugar es necesario seleccionar grupos de
equipos existentes o nuevos como "unidades de asignacion" que representan oficinas,
departamentos o localidades a los que se va a facturar el soporte de TI. A continuacion, se asignan las
licencias, producto por producto, a dichos grupos. Las licencias asignadas son simplemente una
estimacion de la cantidad de licencias que cree que un grupo va a necesitar habitualmente,
probablemente en funcion del servicio de soporte prestado en el pasado. Despues, los cargos
internos se pueden relacionar con las licencias asignadas. Estos cargos son una estimacion
monetaria del tiempo y el esfuerzo empleados en dar soporte a los productos de los dispositivos
yvanan segun el grupo. Utilice esta informacion como referencia y para informar.
La pagina Asignaciones tambien muestra la cantidad real de instalaciones de productos en los
dispositivos de un grupo, la cantidad de licencias adquiridas por un grupo y el uso excedido. El uso
excedido se produce cuando existen mas productos instalados en los dispositivos de un grupo que
licencias asignadas. El uso excedido es util para ver si un grupo tiene mas instalaciones de un
producto de las que debe, por lo que requerina adquirir mas licencias o un aumento del numero de
licencias asignadas.
416
GUÍA DE USUARIO
Asignaciones, haga lo siguiente:
• Vaya a Administration > Grupos de equipos para seleccionar un grupo de equipos existente o
definir uno nuevo como unidad de asignacion. Es posible que desee que el grupo represente
una oficina, un departamento o una localidad de la organizacion. Recuerde que cuando define
un grupo en la consola del Monitor de licencias de software, simplemente esta eligiendo un
nombre para asociarlo con un grupo de dispositivos existente o una consulta creada
previamente en la vista de red de Endpoint Manager. Para obtener mas informacion, consulte
"Definicion de grupos de equipos" (420).
• Vaya a Productos > Monitorizados para editar los productos asociados al grupo. Cuando
edite un producto, puede asignar las licencias y los precios por unidad de los cargos internos
a cada grupo definido como unidad de asignacion.
Ver el estado de la asignacion de licencias
Para ver el estado de las asignaciones de licencias en un grupo de equipos
1. Haga clicen Productos > Asignaciones. En la lista apareceran los grupos definidos como
unidades de asignacion.
2. Para buscar un producto o grupo en la lista, escriba al menos tres caracteres del nombre en
el cuadro Busqueda.
La informacion de la asignacion de licencias aparece por grupo de equipos. Expanda el nombre del
grupo para ver la informacion de los productos en las siguientes columnas:
• Version: el numero de version del producto seleccionado.

• Instalados: la cantidad de dispositivos de un grupo que tienen el producto instalado.
417
• Asignadas: la cantidad de licencias de productos que se han asignado a un grupo. Es la

mejor estimacion de cuantas licencias necesita un grupo en funcion del soporte de TI
proporcionado. El numero de asignaciones y el precio por unidad del cargo interno
determinan el cargo interno total.
• Uso excedi do: la cantidad de dispositivos de un grupo que tienen el producto instalado
menos la cantidad de licencias asignadas. Si estas cifras no coinciden, el uso excedido
aparece en rojo indicando que un grupo tiene mas instalaciones que licencias asignadas. En
este caso, puede ser necesario asignar al grupo mas licencias, lo que incrementara el cargo
interno total.
• Licencias: la cantidad de licencias disponibles para utilizar, de acuerdo con las compras del
grupo. Un grupo puede haber comprado mas licencias de las que necesita en realidad. La
cantidad asignada refleja con mayor precision la cantidad real de licencias que se estan
utilizando.
• Precio por unidad del cargo interno: el coste estimado del soporte dado a una sola licencia de
ese producto para un grupo. El coste variara por grupo, segun el tipo de soporte que se
preste.
• Cargo interno total: la suma del cargo interno total de todas las licencias de ese producto
asignadas a un grupo.
• Fabricante: el nombre del fabricante del producto.
• Tipo: el tipo de producto instalado o el tipo de grupo de equipos, en funcion de si fue creado
por una consulta o parametros dispositivo-grupo en la base de datos del inventario.
Crear informes
Cuando la informacion de las licencias se ha configurado y guardado, de forma que aparece en la

pagina Productos > Asignaciones, se puede exportar los datos a un archivo .csvo imprimir informes
que muestren los detalles de las asignaciones por grupos, por un solo producto o por varios
productos.
Para guardar los datos en un archivo de valores separados por comas o como informe para imprimir
1. Haga clicen Productos > Asignaciones.

2. Para exportar los datos o imprimir informes por grupo, seleccione un grupo de equipos de la
lista (y todos los productos de ese grupo) y haga clic con el boton derecho. Seleccione
Exportar elementos seleccionados a CSV o Informe imprimible de los resultados de la
busqueda.
3. Para exportar los datos o imprimir informes por producto, expanda el grupo de equipos de la
lista. Seleccione uno o mas nombres de productos y haga clic con el boton derecho.
Seleccione Exportar elementos seleccionados a CSV, Informe imprimible de las asignaciones
de productos seleccionados o Informe imprimible de los resultados de la busqueda.
418
GUÍA DE USUARIO
Crear un informe de datos del monitor de licencias de

software
La herramienta de generacion de informes de IVANTI Endpoint Manager esta disponible para su uso
con la consola del Monitor de licencias de software (SLM). Se puede utilizar para crear informes para
imprimir de los datos que se muestran en la consola.
419
Cuando se crea un informe de la vista actual, contienetodos los elementos actuales de la lista. Los
datos se organizan en las mismas columnas que aparecen en la vista actual. Puede guardar el
informe en seis formatos diferentes.
Tambien puede ejecutar los informes predefinidos que se suministran con la funcion de informes.
Estos informes se muestran en la pagina de Informes de la consola del SLM.
IMPORTANT: Si esta utilizando Internet Explorer 9 en la consola del SLM, debe tener activada la Vista de
compatibilidad para poder ver los informes de Endpoint Manager. Para activar la Vista de compatibilidad,
* abra Internet Explorer 9. Presione la tecla Alt para ver el menu, haga clic en Herramientas > Configuracion de
la Vista de compatibilidad. Seleccione la casilla de verificacion Mostrar todos los sitios web de la Vista de
compatibilidad y haga clic en Cerrar.
Para crear un informe de datos en la consola
1. Visualice cualquier producto o datos de licencia en la consola del SLM.

2. En la barra de herramientas, haga clic en Acciones > Informe imprimible de los resultados de
la busqueda. El informe se abrira en una ventana aparte del visor de informes.
3. En la barra de herramientas del visor de informes, seleccione un formato de informe.
4. Para guardar una copia del informe, haga clic en el boton de la barra de
Exportar herramientas.
5. Haga clic en Explorary seleccione la ubicacion para guardar el archivo. Haga clic en
Guardary luego en Exportar para guardar el informe.
En algunas paginas hay un boton de , en la cual puede hacer clic en lugar de utilizar
informes barra de herramientas en el paso 2. la
Para ejecutar un informe predeterminado
1. En la consola del SLM, haga clic en Informes.

2. Haga clicen Informes > Informes estandar > Monitor de licencias de software yubiqueel
informe que desee.
3. Seleccione el informe y haga clic en Ejecutar un informe de la barra de herramientas. El
informe se abrira en una ventana aparte del visor de informes.
4. En la barra de herramientas del visor de informes, seleccione un formato de informe.
5. Para guardar una copia del informe, haga clic en el boton de la barra de
Exportar herramientas.
6. Haga clic en Explorary seleccione la ubicacion para guardar el archivo. Haga clic en
Guardary luego en Exportar para guardar el informe.
420
GUÍA DE USUARIO
Definicion de grupos de equipos

Cuando se monitoriza la utilizacion de productos y licencias, es conveniente asociar grupos de
equipos con licencias. Por ejemplo, un grupo puede representar dispositivos de una ubicacion o una
division que tenga su propia contabilidad de licencias de software.
Puede asociar las licencias con los grupos de dos maneras:
• Grupo estatico: un grupo de dispositivos que se ha seleccionado en la vista de red de

Endpoint Manageryguardado como grupo de dispositivos.
• Grupo dinamico: un grupo de dispositivos definidos mediante una consulta en la vista de red
de Endpoint Manager. A medida que se agregan o eliminan dispositivos monitorizados, el
contenido del grupo cambiara para que coincida con los parametros de la consulta.
Solo se pueden crear grupos en la vista de red de Endpoint Manager. Cuando define un grupo en la
consola del Monitor de licencias de software (SLM), simplemente esta eligiendo un nombre para
asociarlo con un grupo de dispositivos existente o una consulta.
Para definir un grupo de equipos
1. Haga clic en Administration > Grupos de equipos.

2. En la barra de herramientas, haga clic en Nuevo > Grupos de equipos.
3. Escriba un nombre para el grupo. Este nombre identifica el grupo en la consola del SLM.
4. Seleccione Usar como unidad de asignacion si desea definir este grupo como unidad de
asignacion. Mas tarde puede asignar una cantidad de licencias de producto a este grupo con
el proposito de aplicar los cargos internos del soporte de TI proporcionado.
5. Expanda Dispositivos o Consultas y busque el grupo de dispositivos o la consulta que es el

origen del grupo de equipos que acaba de crear.
Para eliminar un grupo de equipos

2. Seleccione un grupo de la lista. En la barra de herramientas, haga clic en el boton Eliminar.
3. Haga clic en S^ para confirmar la eliminacion.
NOTE: Si se elimina un grupo de equipos, las licencias asociadas ya no se relacionaran con esos dispositivos,
asf que los informes de cumplimiento ya no corresponderan al grupo. Si hace esto, es necesario decidir que
dispositivos asociar con la licencia y definir otro grupo. Si no hay ningun grupo asociado, la licencia se asocia
con todos los dispositivos.
421
Ver los productos instalados en un grupo de equipos

Todos los productos detectados se encuentran, en un principio, en la pagina Productos >
Detectados, que puede llenarse de registros rapidamente. Puede trasladar software a las vistas
Monitoreadas o Ignoradas para aquellos productos que desee monitorear de manera activa o
aquellos que no le importen en este momento.
Para ver un grupo aun mas reducido de registros de productos, puede utilizar grupos de equipos.
Recuerde que solo se pueden crear grupos en la vista de red de Endpoint Manager. Cuando define
un grupo de equipos en la consola de seguimiento de licencias de software (SLM), simplemente
esta eligiendo un nombre para asociarlo con un grupo de dispositivos existente o una consulta.
Para obtener mas informacion, consulte "Definicion de grupos de equipos" (420).
Para ver los productos instalado en un grupo de equipos
1. Haga clicen Productos yluego haga clicen una de las vistas de productos (Monitorizados,
Detectados, Ignorados o Todos los productos instalados).
2. En la columna de la izquierda de la lista, haga clic en la lista Grupo de equipos yseleccione

un grupo de equipos.
La lista de productos cambiara para mostrar solo los productos que se encuentran instalados en
los dispositivos del grupo que se selecciono.
422
GUÍA DE USUARIO
Unmanaged device discovery

Informacion general sobre la deteccion de dispositivos no
administrados
La deteccion de dispositivos no administrados (UDD) proporciona muchas formas de rastreo y
deteccion de dispositivos no administrados en la red.
Estos son los metodos de rastreo UDD basicos:
• Rastreo de red: busca equipos realizando un barrido de ping ICMP. Se trata de la busqueda
mas minuciosa, aunque tambien es la mas lenta. La busqueda se puede limitar a ciertos
intervalos IPy de subred. De forma predeterminada, esta opcion utiliza NetBIOS para
intentarlo y recopilar informacion sobre el dispositivo.
• Huella digital de SO de IP: Use nmap para probar ydetectar mas sobre un dispositivo,
tal como que sistema operativo ejecuta.
• SNMP: UDD utiliza SNMP para detectar los dispositivos. Haga clic en Configurar para
especificar la informacion sobre SNMP en la red.
• Agente de IVANTI estandar: busca el agente de IVANTI estandar (CBA) en los equipos. Esta
opcion descubre equipos que tienen productos de IVANTI instalados.
• Dominio NT: busca dispositivos en un dominio especificado. Detecta miembros cuando el
equipo esta conectado o desconectado.
• LDAP: busca dispositivos en un directorio especificado. Detecta miembros cuando el equipo
esta conectado o desconectado.
• IPMI: Busca servidores habilitados con la Interfaz de administracion de plataforma inteligente
(IPMI), lo que permite el acceso a muchas funciones sin importar que el servidor este
encendido o no, o en que estado se encuentre el SO.
• Hosts virtuales: Busca servidores que esten ejecutando VMware* ESX Server. Estos
servidores figuran en la carpeta de Hosts virtuales.
Para automatizar la deteccion de dispositivos no administrados, puede programar rastreos UDD

para que se produzcan periodicamente. Por ejemplo, la red se puede dividir en tercios y se puede
programar un barrido de ping para un tercio cada noche.
423
Si se programa una deteccion, el servidor central la lleva a cabo. Las detecciones no programadas
se producen en la consola que las inicia.
Deteccion extendida de dispositivos
La herramienta UDD admite tambien rastreos de deteccion extendida de dispositivos (XDD). XDD
depende de un agente de dispositivo (implementado por medio de una configuracion de agente) que
escucha las difusiones ARPy senales de WAP en la red de IVANTI. Despues, el agente XDD en un
dispositivo configurado verifica si el dispositivo de difusion tiene el agente de IVANTI estandar
instalado. Si el agente de IVANTI estandar no responde, se muestra un dispositivo detectado ARP en
el grupo Equipos, con la informacion transmitida en la vista de lista del elemento, y se muestra un
dispositivo WAP en el grupo Puntos de acceso inalambrico con la informacion transmitida en la
vista de lista.
La deteccion extendida de dispositivos es ideal en situaciones donde los servidores de seguridad

evitan que los dispositivos respondan a los metodos de deteccion UDD normales basados en ping.
NOTE: Utilice la deteccion extendida de dispositivos para detectar dispositivos protegidos por una
barrera de seguridad
Tenga en cuenta que la deteccion normal de dispositivos no administrados por lo general no funciona con
dispositivos que utilizan una barrera de seguridad, tal como la barrera de seguridad que viene con Windows
(Windows firewall). Por lo regular, el servidor de seguridad evita que el dispositivo responda a los metodos de
deteccion que utiliza la deteccion de dispositivos no administrados. La deteccion extendida de dispositivos ayuda
a resolver este problema mediante el uso del trafico ARP de red para detectar dispositivos.
Temas relacionados
"Despliegue de agentes de IVANTI en dispositivos no administrados" (423) "Detectar dispositivos no
administrados con UDD" (424)
"Trabajar con dispositivos detectados mediante XDD" (433)
"Lo que sucede cuando se detecta un dispositivo" (431)
"Usar la deteccion extendida de dispositivos (con ARPy WAP)" (428)
"Ayuda de la deteccion de dispositivos no administrados" (435)
Despliegue de agentes de IVANTI en dispositivos no

administrados
Despues de detectar dispositivos no administrados mediante los metodos de rastreo y deteccion
descritos, pueden implementarse agentes de IVANTI en esos dispositivos mediante uno de los
siguientes metodos a continuacion:
424
GUÍA DE USUARIO
• Implementaciones basadas en instalacion forzada utilizando la opcion Tareas programadas y

una cuenta administrativa de dominio configurada para el programador.
• Implementaciones automaticas usando el agente IVANTI estandar. Si los dispositivos tienen
el agente IVANTI estandar, se puede realizar una implementacion automatica.
• Implementacion basada en instalacion solicitada utilizando un archivo de comandos de inicio
de sesion.
Para obtener mas informacion sobre el despliegue de dispositivos, consulte IVANTI User
Community en http://community.Ivanti.com.
Al organizar los dispositivos para la implementacion de agentes, puede que encuentre mas sencillo
organizar la lista de dispositivos no administrados por el agente IVANTI estandar para realizar la
agrupacion para efectuar implementaciones de dispositivos del agente IVANTI estandar y organizar
por dominio para efectuar las implementaciones de tarea programada.
NOTE: Cuando se realizan implementaciones en dispositivos Windows

La configuracion predeterminada de Windows fuerza los inicios de sesion de red que utilizan una cuenta local a
que usen la cuenta de invitado. Si no esta utilizando una cuenta administrativa a nivel de dominio, sino una local,
para el servicio de programacion, las tareas programadas fallaran porque dicho servicio no podra realizar las
autenticaciones necesarias.
Para implementar agentes de IVANTI en dispositivos no administrados
1. Haga clicen Herramientas > Configuracion > Configuracion de agentes ycree una nueva
configuracion o utilice una existente. En el menu contextual de la configuracion, haga clic en
Programar.
2. Haga clicen Herramientas > Configuracion > Detection de dispositivos no administradosy
seleccione los dispositivos que desee implementar. Arrastre los dispositivos a la ventana
Tareas programadas. Si la ventana Tareas programadas es una pestana minimizada, puede
arrastrar los dispositivos a la pestana Tareas programadas para abrir la ventana Tareas
programadas.
3. Si los dispositivos no disponen de los agentes estandar de IVANTI, haga clic en Configurar >
Servicios yen la pestana de Programador. Asegurese de que la cuenta del programador
disponga de privilegios administrativos en los dispositivos que se esten implementando.
4. Haga doble clic en la secuencia de comandos de implementacion yestablezca una hora de
inicio. Haga clic en Aceptar cuando haya terminado.
5. Consulte la ventana Tareas programadas para ver las actualizaciones.
Detectar dispositivos no administrados con UDD

Con los metodos de rastreo UDD basicos es sencillo detectar dispositivos no administrados.
425
Para detectar con UDD de dispositivos no administrados
1. En la ventana de Deteccion de dispositivos no administrados (Herramientas > Configuration >

Detection de dispositivos no administrados ), haga clic en el boton Rastrear red.
2. Haga clic en Mas >> y seleccione las opciones de deteccion que desee. El tipo de deteccion
predeterminado usa un rastreo de red estandar mediante la identificacion del IPOS de los
dispositivos encontrados.
3. Introduzca un intervalo de IPde inicio y finalizacion. Debe introducir un intervalo para que
Deteccion de agente IVANTI estandar (CBA) o Deteccion de red funcionen. Pero para Dominio
NT y LDAP es opcional.
4. Indique una mascara de subred.
5. Haga clic en el boton Agregar para agregar el rastreo que acaba de configurar a la lista de
tareas.
6. En la lista de tareas de la parte inferior del cuadro de dialogo, seleccione los rastreos que
desea ejecutar y haga clic en el boton Rastrear ahora para realizarlos de inmediato, o en el
boton Programar tarea para ejecutar los rastreos mas tarde o en una programacion
recurrente. Los botones Rastrear ahora y Tarea programada solo ejecutan los rastreos que se
han agregado a la lista de tareas y que estan seleccionados.
7. Consulte el cuadro de dialogo Estado del rastreo para ver las actualizaciones del estado
del rastreo. Cuando finalice el rastreo, haga clic en Cerrar en los cuadros de dialogo
Estado del rastreo yConfiguracion del rastreador.
8. Seleccione Equipos en el arbol de UDD para ver los resultados de rastreo.
426
GUÍA DE USUARIO
Configurar la deteccion de dominio de Windows NT
La opcion de deteccion de dominio de Windows NT de UDD no funcionara a menos que se configure

el servicio de programacion para que inicie la sesion en el dominio con una cuenta de administrador
de dominios.
Para configurar la cuenta de inicio de sesion del Programador
1. Haga clic en Configurar > Servicios y luego en la pestana de Programador.

2. Haga clic en Cambiar inicio de sesion.
3. Introduzca el nombre de usuarioy la contrasena del administrador de dominios.
5. Reinicie el servicio de programacion para que el cambio surta efecto. En la pestana
Programador, haga clic en Detenery, una vez que se haya detenido el servicio, haga clic en
Iniciar.
Mantener registros de los dispositivos ARP detectados

UDD almacena los dispositivos encontrados a traves de la deteccion extendida de dispositivos en la
base de datos del servidor central. Si la red tiene muchos dispositivos no administrados, estos
datos pueden crecer rapidamente. De forma predeterminada, los datos se conservan durante 24
horas. Puede personalizar el tiempo de permanencia en la base de datos de los dispositivos
encontrados a traves de la deteccion extendida. Despues de los dfas especificados, se eliminaran
los dispositivos que no se hayan detectado dentro de ese penodo.
Para configurar el historial de detecciones de ARP
1. Haga clicen Herramientas > Configuration > Deteccion de dispositivos no administrados.

2. Haga clic en el boton de la barra de herramientas Configurar historial de detecciones de ARP.
3. Cambie las opciones que desee. Haga clic en Ayuda para obtener mas information.
4. Haga clic en Aceptar cuando termine.
Restaurar registros de cliente

Si en el futuro restablece la base de datos central y necesita restaurar los datos de los dispositivos,
utilice UDD para detectartodos los dispositivos de la red. A continuation, utilice el resultado de la
deteccion como el destino de la tarea programada "Restaurar registros de cliente".
Si los dispositivos tienen el agente IVANTI estandar, la tarea hace que los dispositivos envfen un
rastreo de inventario completo a la base de datos central en la que se ha configurado cada
dispositivo de forma local. El resultado de esta tarea es que los dispositivos que ya se han
configurado se volveran a rastrear en la base de datos y los dispositivos aun senalaran hacia el
servidor central de administracion correcto. La tarea falla en los dispositivos que no han sido
administrados por un servidor central.
Para restaurar los registros de clientes
1. Utilice UDD para detectar los dispositivos no administrados, como se explica anteriormente.
427
2. Haga clic en Herramientas > Distribution > Tareas programadas.

3. En la ventana Tareas programadas, haga clic en el boton Programar secuencia personalizada
de comandos.
4. Haga clic en Restaurar registros de cliente y, desde su menu contextual, haga clic en
Programar.
5. Desde el arbol de UDD Buscar resultados, arrastre los equipos que desee restaurar en la
tarea
Restaurar registros de cliente en la ventana de Tareas programadas.
6. En Restaurar registros de cliente en el menu contextual de la tarea, haga clic en Propiedades
para configurarla.
7. Consulte la ventana Tareas programadas para ver las actualizaciones.
Descripcion del filtrado de direcciones IP con Extended

Device Discovery (XDD)
No recomendamos instalar la deteccion extendida de dispositivos en equipos portatiles ya que es
posible que estos se conecten a redes que no se desee supervisar, tales como redes de hoteles o
aeropuertos. Para evitar la deteccion de dispositivos que no estan en la red, el servidor central omite
las direcciones IPdonde el primery el segundo octeto de la direccion IPtienen una diferencia de mas
de 10 que la del servidor central. Porejemplo, si la direccion IP del servidor central es 192.168.20.17,
la deteccion extendida de dispositivos del servidor central omitira las direcciones que se encuentren
por encima de 203.179.0.0 y por debajo de 181.157.0.0.
Para deshabilitar esta funcion debe agregar la siguiente clave de registro DWORD al servidor central
y establecer su valor a 0:
. HKEY_LOCAL_MACHINE\SOFTWARE\IVANTI\ManagementSuite\XDD\Filter
Puede establecer el valor del Filtro en 1 para habilitar el filtrado nuevamente.
Puede ajustar los rangos de monitoreo del primery el segundo octeto. Para ello debe agregar las
claves de registro DWORD al servidor central y establecer sus valores en el rango numerico que
desee monitorear (el valor predeterminado es de 10 para el primero y el segundo octeto):
. HKEY_LOCAL_MACHINE\SOFTWARE\IVANTI\ManagementSuite\XDD\FilterThreshold1 .
HKEY_LOCAL_MACHINE\SOFTWARE\IVANTI\ManagementSuite\XDD\FilterThreshold2
FilterThresholdl contiene el rango para el primer octeto y FilterThreshold2 para el segundo.
Usar la deteccion extendida de dispositivos (con ARP y

WAP)
La deteccion extendida de dispositivos (XDD) funciona fuera de los metodos de deteccion UDD
normales basados en el rastreo. El agente XDD puede configurarse e implementarse en dispositivos
administrados para usar los metodos de deteccion ARP y/o WAP. Esta seccion describe ambos
metodos.
428
GUÍA DE USUARIO
Metodo de deteccion ARP
Los dispositivos administrados configurados con el agente de deteccion XDD para la deteccion ARP
escuchan difusiones ARP (Protocolo de resolucion de direcciones) y mantienen una memoria cache
(en la memoria yen un archivo de la unidad local) de los dispositivos que las emiten. Los
dispositivos en red utilizan el ARPapara asociar una direccion TCP/IP con una direccion MAC de
hardware de red de un dispositivo espedfico. Esta comunicacion se realiza a un nivel muy bajo y no
depende de que los dispositivos respondan a los ping o a la comunicacion del agente en puertos de
red espedficos. Incluso los dispositivos protegidos con servidores de seguridad dependen del ARP.
Debido a ello, la deteccion extendida de dispositivos puede ayudar a encontrar los dispositivos que
los rastreos de deteccion normales no encuentran.
Cuando un dispositivo configurado con el agente de deteccion extendida de dispositivos reconoce

una difusion ARP, los agentes que escucharon la difusion ARP esperan dos minutos para que el
dispositivo detectado se inicie y luego cada uno de ellos espera una cantidad aleatoria de tiempo. El
agente que tiene el tiempo de espera aleatoria mas breve primero hace un ping en el dispositivo
nuevo y busca los agentes IVANTI. Luego el agente envfa una difusion UDP a la subred para que los
otros agentes sepan que se ocupo del ping de dicho dispositivo detectado recientemente. Si hay
varios agentes de deteccion extendida de dispositivos instalados, los dispositivos no pueden
generar trafico en exceso y hacen ping al mismo tiempo.
Las tablas ARP que almacena el agente de deteccion extendida de dispositivos expiran luego de 48
horas de forma predeterminada. Esto significa que se hara ping en todos los dispositivos de red una
vez por penodo de tiempo de espera. Incluso los dispositivos que generan mucho trafico ARP
reciben un solo ping por cada penodo de tiempo de espera.
Se supone que los dispositivos que tienen agentes IVANTI se encuentran administrados y por lo
tanto no se envfan informes al servidor central. Los dispositivos que no tienen agentes IVANTI se
informan al servidor central como dispositivos no administrados. Estos dispositivos aparecen en la
lista Equipos de la ventana Deteccion de equipos no administrados. Los dispositivos detectados por
ARP indican Verdadero en la columna Detectado por ARP. Para dispositivos no administrados
detectados por ARP, XDD informa la siguiente informacion en las columnas de vista de lista:
• Direccion IP
• Direccion MAC
429
• Primera exploracion . Ultima exploracion

• Numero de exploraciones
Metodo de deteccion WAP

Pueden configurarse los dispositivos administrados para que escuchen a dispositivos de punto de
acceso wireless (WAP) de la red, y agregar los dispositivos WAPdetectados al grupo Puntos de
acceso wireless en la herramienta de deteccion de dispositivos no administrados.
Para dispositivos WAP detectados, XDD informa la siguiente informacion en las columnas de vista
de lista:
• Nombre de dispositivo
• Direccion MAC
• Primera exploracion
• Ultima exploracion
• Numero de exploraciones
• Estado de WAP (permitido, no autorizado, excepcion activa)
• Fuerza de la senal (usar para determinar la ubicacion aproximada del dispositivo WAP)
• Nivel de cifrado (esquema de cifrado utilizado por el dispositivo WAP)
• Fabricante
NOTE: Informacion de la direccion MAC

XDD usa la deteccion inalambrica API en dispositivos que ejecutan Windows Vista y Windows 7 para obtener la
direccion MAC del dispositivo y mostrarla en la vista de la lista. Sin embargo, esta capacidad no es compatible
con dispositivos que ejecutan Windows XP.
Configuracion de dispositivos para el uso de la deteccion extendida de dispositivos (ARP y WAP)

Puede usar la herramienta Configuracion de agentes para configurar algunos de los dispositivos
administrados con el agente de deteccion extendida de dispositivos (XDD) de manera que puedan
funcionar como dispositivos de deteccion que escuchen senales ARPy WAPen la red.
No es necesario implementar la deteccion extendida de dispositivos en todos los dispositivos

administrados. Sin embargo, puede hacerlo si lo desea. La implementacion del agente XDD en
varios dispositivos de cada subred debe brindar una cobertura suficiente.
Para implementar el agente de deteccion extendida de dispositivos para la deteccion ARP y/o WAP

2. Haga clic en el boton Nuevo de la barra de herramientas.
3. Introduzca un Nombre de configuracion.
430
GUÍA DE USUARIO
4. En la pagina Deteccion extendida de dispositivos del cuadro de dialogo Configuracion del

agente, seleccione uno o ambos metodos de deteccion que desee implementar.
5. Especifique una configuracion para los metodos seleccionados. Puede seleccionar una
configuracion existente de la lista, o bien hacer clic sobre Configurar para modificar una
configuracion o crear una nueva para esta configuracion de agente.
6. Termine de especificar las opciones en la configuracion del agente. Para obtener mas
informacion sobre cualquier pagina, haga clic en Ayuda.
8. Implemente la configuracion del agente en los dispositivos de destino deseados de cada
subred.
Puede configurar varios ajustes de deteccion extendida de dispositivos en los dispositivos

quetengan el agente de deteccion extendida de dispositivos. Este agente sincroniza periodicamente
su configuracion con el servidor central.
Para configurar el agente de deteccion extendida de dispositivos para la deteccion ARP y/o WAP
1. Haga clicen Herramientas > Configuracion > Deteccion de dispositivos no administrados.

2. Haga clic en el boton Configurar la deteccion extendida de dispositivos de la barra de
herramientas y seleccione que tipo de configuracion de metodo de descubrimiento desea
configurar (ARP o WAP).
3. Especifique las opciones de rastreo del metodo de deteccion. Para obtener mas informacion,
haga clic en Ayuda.
4. Haga clic en Aceptar cuando termine. Sus cambios se aplicaran la proxima vez que los
agentes de deteccion extendida de dispositivos se sincronicen con el servidor central.
Usar los informes de deteccion extendida de dispositivos

Hay varios informes XDD en la ventana de Informes (Herramientas > Informes/Seguimiento, haga
clicen Informes > Endpoint Manager > Dispositivos no administrados) que puede ver.
Los informes de deteccion extendida de dispositivos incluyen:
• Historial de dispositivos detectados por ARP: Historial de dispositivos no autorizados.

• Dispositivos actuales detectados por ARP sin el agente: Equipos actuales donde el agente
IVANTI no esta habilitado o no funciona.
• Historial de dispositivos detectados por ARP sin el agente: Historial de dispositivos donde el
agente IVANTI no esta habilitado o no funciona.
• Dispositivos no administrados: dispositivos de la red que no se han asignado al servidor
central.
• Dispositivos inalambricos: el historial de todos los dispositivos inalambricos que se han
detectado.
431
Lo que sucede cuando se detecta un dispositivo

Cuando UDD o XDD encuentran un dispositivo no administrado por primera vez, intentan especificar
el tipo de dispositivo de modo que puedan agregarlo a uno de los siguientes grupos:
• Equipos: Contiene dispositivos detectados mediante metodos de rastreo UDD (y por el

metodo de deteccion ARP del agente XDD).
• Buscar resultados: contiene los resultados de la busqueda.

• Infraestructura: Incluye enrutadores yotro hardware de red.
• Intel vPro: contiene dispositivos con Intel vPro.
• IPMI: Contiene servidores que tienen la Interfaz de administracion de plataforma inteligente.
• Otros: contiene dispositivos no identificados.
• Impresoras: incluye impresoras.
• Hosts virtuales: contiene hosts virtuales.
• Puntos de acceso wireless: Enumera dispositivos WAP detectados (encontrados por el
agente XDD).
Estos grupos ayudan a mantener una organizacion en la lista de UDD, por lo que resulta mas
sencillo localizar los dispositivos de interes. Las listas de dispositivos se pueden organizar por
cualquier encabezado de columna al hacer clic en uno de ellos.
NOTE: Traslado de dispositivos a grupos distintos

UDD puede no categorizar a los dispositivos de manera correcta ni ubicarlos en los grupos de dispositivos
adecuados en cada instancia. Si sucede esto, los dispositivos no identificados correctamente se pueden
arrastrar facilmente al grupo adecuado.
UDD intenta detectary reportar la informacion basica sobre cada dispositivo, incluso los datos
siguientes que aparecen en la vista de lista de elementos en el panel derecho de la ventana de
herramientas:
• Nombre de dispositivo: nombre del dispositivo detectado, si esta disponible.

• Direccion IP: direccion IPdetectada. UDD siempre muestra este dato. XDD no lo hace.
• Mascara de subred: mascara detectada. UDD siempre muestra este dato.
• Descripcion de SO: descripcion del SO detectado, si esta disponible.
• Direccion MAC: la direccion MAC detectada que se suele devolver si el dispositivo dispone
del agente IVANTI estandar o NetBIOS, o bien, si se encuentra en la misma subred que el
servidor central o la consola que realiza la deteccion.
• Grupo: grupo UDD al que pertenece el dispositivo.

• Agente de IVANTI estandar: muestra si el dispositivo dispone de CBA. Puede implementar
otros agentes de IVANTI en forma directa en los dispositivos administrados con el CBA
cargado.
432
GUÍA DE USUARIO
• Todos los usuarios: usuarios registrados en el dispositivo que se esta explorando, si esta
disponible.
• Grupo/Dominio: grupo o dominio del que es miembro el dispositivo, si esta disponible.

• Primera exploracion: fecha en la cual UDD exploro este dispositivo por primera vez.
• Ultima exploracion: fecha en la cual UDD exploro este dispositivo por ultima vez. Esta
columna ayuda a localizar dispositivos no administrados que puede que no se encuentren en
la red, o bien, que fueron localizados recientemente.
• Numero de rastreos: El numero de veces que UDD exploro este dispositivo.

• Detectados por ARP: si el dispositivo se detecto por medio de ARP.
• Excepcion de XDD: si el dispositivo es una excepcion de XDD.
• IPMI GUID: El IPMI GUID del dispositivo, si esta disponible.
Dependiendo del dispositivo, puede que UDD no disponga de la informacion para todas las
columnas. Cuando UDD encuentra un dispositivo por primera vez, consulta la base de datos central
para ver si la direccion de IP del dispositivo y el nombre ya estan en la base de datos. Si hay una
coincidencia, UDD ignora el dispositivo. Si no hay ninguna coincidencia, UDD incorpora el
dispositivo a la tabla de dispositivos no administrados. Los dispositivos de esta tabla no utilizan
ninguna licencia de IVANTI. Un dispositivo se considera administrado una vez que envfa un rastreo
de inventario a la base de datos central. Los dispositivos no se pueden arrastrar desde UDD a la
vista de red de la consola principal. Una vez que los dispositivos no administrados envfan un
rastreo de inventario, se eliminaran de UDD y se agregaran a la vista de red de forma automatica.
Se pueden crear grupos personalizados para clasificar de forma mas amplia a los dispositivos no
administrados. Si un dispositivo se desplaza a otro grupo, UDD lo dejara en el mismo si mas
adelante vuelve a detectarlo. Teniendo organizado el grupo principal Equipos ydesplazando los
dispositivos que no se administraran con IVANTI a subgrupos u otras categories, los nuevos
dispositivos se pueden ver facilmente en el grupo de Equipos. Si se elimina un grupo que incluye
dispositivos, UDD los desplaza al grupo Otros.
Si desea eliminartodos los dispositivos de multiples grupos en un solo paso, haga clic en el boton
Eliminar elementos en grupos de la barra de herramientas y seleccione los grupos que desea
eliminar de todos los dispositivos.
Se pueden localizar rapidamente dispositivos que coincidan con los criterios de busqueda
especificados utilizando el campo de la barra de herramientas Buscar. Se puede buscar informacion
en una columna determinada o en todas las columnas. Los resultados de la busqueda aparecen en
la categoria Buscar resultados. Por ejemplo, utilice la opcion Buscar para agrupar los equipos no
administrados que disponen de CBA buscando por "Y" en el campo Agente de IVANTI estandar.
Tambien puede crear una alerta cuando UDD encuentre dispositivos no administrados. En Alertas
(Herramientas > Configuration > Alertas, haga clic en Reglamento de alertas central), el nombre de
alerta a configurar es Detection de dispositivos no administrados - Localizado dispositivo no
administrado.
433
Trabajar con dispositivos detectados mediante XDD

Los dispositivos no administrados detectados a traves del metodo de deteccion ARP de la deteccion
extendida de dispositivos aparecen en la lista Equipos de la ventana Deteccion de dispositivos no
administrados. Los dispositivos WAP detectados a traves del metodo de deteccion WAP de la
deteccion extendida de dispositivos aparecen en la lista Puntos de acceso wireless de la ventana
Deteccion de dispositivos no administrados.
Desde estas listas puede realizar las opciones UDD normales, como por ejemplo moverlos a otros
grupos. Haga clic con el boton derecho en un dispositivo para acceder a su menu contextual y use
las opciones disponibles.
Tambien puede importary exportar excepciones de la deteccion extendida de dispositivos. Una

excepcion es un dispositivo de la red que no se puede administrar o que el administrador conoce
pero que no desea que la deteccion extendida de dispositivos informe en cuanto a el.
Estas excepciones se encuentran en un formato de archivo CSVformado por direcciones IPy MAC
separadas por comas, en ese orden, un par por lfnea. La exportacion de excepciones incluye todas
las excepciones almacenadas en la base de datos. La importacion de excepciones reemplaza todas
las excepciones almacenadas en la base de datos con las que se incluyeron en el archivo de
importacion.
Exportacion o importacion de las excepciones de deteccion

Para exportar todas las excepciones de la deteccion extendida de dispositivos

2. Haga clic en el boton de Exportar excepciones de la deteccion extendida de dispositivos a un
archivo CSV de la barra de herramientas.
3. Seleccione una carpeta y pongale un nombre al archivo.

Para importar todas las excepciones de la deteccion extendida de dispositivos
1. Cree o actualice el archivo CSV separado con comas que contenga todas las excepciones
que desee.

3. Haga clic en el boton de la barra de herramientas Importar excepciones de la deteccion
extendida de dispositivos desde un archivo CSV.
4. Seleccione el archivo CSVy haga clic en Abrir.
434
GUÍA DE USUARIO
Deteccion de hosts VMWare ESXi virtuales

La deteccion de dispositivos no administrados puede descubrir hosts virtuales VMWare ESXi 3,4 y
5. El proceso de deteccion no utiliza agente y no requiere instalar nada en los hosts ESXi. Se debe
configurar un solo conjunto de credenciales comunes para descubrir los hosts ESXi. El proceso de
deteccion utiliza esas credenciales para conectarse al host y analizarlo de forma remota.
A continuacion encontrara informacion general acerca de la configuracion y del proceso de

exploracion:
1. Agregue una cuenta a los hosts ESXi. Compruebe que todos los hosts comparten el mismo
nombre de usuarioycontrasena de esa cuenta.
2. En la ficha Virtualizacion de SO, en Herramientas > Configuracion de servicios, introduzca

las credenciales de la cuenta compartida.
3. Ejecute el analisis de deteccion de dispositivos no administrados. Compruebe que ha

seleccionado Deteccion de hosts virtuales. Para obtener mas informacion, consulte "Detectar
dispositivos no administrados con UDD" (424).
4. Los hosts ESXi detectados aparecen en el elemento UDD del arbol Hosts virtuales.
5. Seleccione los hosts detectados, haga clic con el boton derecho en ellos y haga clic en
Copiar a base de datos de inventario.
6. Administre los hosts detectados haciendo clic en Vista de red > Hosts con SO virtuales >
Todos los hosts con SO virtuales. Para mostrar las opciones disponibles, haga clic con el
boton derecho en uno de ellos.
Problemas de deteccion con los hosts VMWare ESXi mediante certificados autofirmados predeterminados
Al instalar ESXI, existe la opcion de utilizar el certificado autofirmado incorporado. El problema de
este certificado es que el nombre de host ESXi predeterminado es "localhost" y este nombre no es
exclusivo en la red ni en UDD. UDDtrata a todos los hosts quetienen el mismo nombre de host como
uno solo, por lo que hay una unica entrada en la base de datos de inventario para todos los hosts
que compartan ese nombre.
VMWare recomienda no utilizar el certificado autofirmado en entornos de produccion. Para que la

deteccion de hosts virtuales funcione correctamente, todas las instalaciones de ESXi deben tener
un certificado SSLfirmado y un nombre de host exclusivos. Consulte los enlaces siguientes para
obtener mas informacion:
• http://kb.vmware.com/kb/2034833
• http://blogs.vmware.com/vsphere/2012/11/automating-ca-self-signed-certificates-for-esxi-5-1 -
for-use-with-resxtop.html
Resolucion de resultados inexactos de la version del SO
En algunos entornos, una asignacion de nmap sobre una direccion IPque no este en uso devolvera
una respuesta en puertos espedficos, lo cual confundira a nmap. Los puertos que responden o no
435
responden vanan en entornos diferentes. Si nmap no esta regresando resultados exactos de la

version del SO, o como la mejor practica, nmap se debe sintonizar con el entorno del cliente.
Para sintonizar nmap
1. Determine varias direcciones IP que no esten en uso en el entorno.

2. En el cuadro comandos del servidor central, use la lfnea de comandos siguiente para
explorar manualmente las direcciones IP:
nmap -O -sSU -F -T4 -d -v <targets> -oXtest.xml > test.txt
3. Examine los resultados y observe si hay algun puerto que responda constantemente en
direcciones IP que no estan en uso.
4. Abra el documento de servicios nmap de Endpoint Manager (C:\Archivos de

programas\IVANTI\Endpoint Manager\nmap\nmap-services) y convierta en comentarios los
puertos que responden de manera constante mediante un caracter de numero (#).
Ayuda de la deteccion de dispositivos no administrados

A la herramienta de Deteccion de dispositivos no administrados (UDD) de IVANTI se accede desde
la consola principal de IVANTI (Herramientas > Configuration > Deteccion de dispositivos no
administrados). Esta herramienta ofrece un metodo para encontrar dispositivos en la red que no
hayan enviado un rastreo de inventario a la base de datos central de IVANTI. UDD dispone de varias
formas de localizar dispositivos no administrados. Tambien provee la Deteccion extendida de
dispositivos (XDD), la cual depende de un agente de dispositivo que escucha las difusiones ARPy
WAP de red. El agente de deteccion extendida de dispositivos luego busca a los dispositivos
detectados por el agente de IVANTI. Si el agente de IVANTI no responde, la deteccion extendida de
dispositivos muestra al dispositivo en la lista Equipos. La deteccion extendida de dispositivos es
ideal en situaciones donde los servidores de seguridad evitan que los dispositivos respondan a los
metodos de deteccion UDD normales basados en ping.
Este capftulo contiene los siguientes temas de ayuda en lmea que describen los cuadros de dialogo
de la herramienta de Deteccion de dispositivos no administrados. En la interfaz de la consola, puede
acceder a estos temas de ayuda haciendo clic en el boton Ayuda de los cuadros de dialogo
respectivos.
Acerca del cuadro de dialogo Configuracion del rastreador
Utilice este cuadro de dialogo para personalizary ejecutar los rastreos de los dispositivos no
administrados. Para acceder a este cuadro de dialogo, en la ventana de la herramienta Deteccion de
dispositivos no administrados, haga clic en el boton Rastrear red de la barra de herramientas.
• Configuraciones guardadas: muestra las configuraciones guardadas del rastreador. Para
guardar una configuracion, cambie los valores que desee, luego haga clic en Nuevo, asigne
un nombre a la configuracion y, una vez seleccionada la nueva, haga clic en Guardar.
• Mas >>: amplfa el cuadro de dialogo para mostrar las opciones de deteccion.
436
GUÍA DE USUARIO
• Rastreo de red: detecta dispositivos utilizando un barrido de ping ICMP. Este es el metodo de
deteccion mas minucioso y el que se recomienda.
• Huella digital de SO de IP: un nivel adicional de deteccion que usa respuestas de
paquete para probary determinar el SO instalado en un dispositivo detectado.
• Usar SNMP: un nivel adicional de deteccion que usa SNMP para detectar dispositivos.
• Detectar dispositivos con IVANTI CBA instalado: detecta los dispositivos con el agente CBA
en ejecucion. Si los dispositivos disponen de CBA, este es el metodo de deteccion mas
rapido.
• Detectar dispositivos con IVANTI PDS2 instalado: detecta dispositivos utilizando el
antiguo agente PDS2 de IVANTI. Solo se puede optar por esta opcion si se
selecciona la CBA en primer lugar.
• Detectar dispositivos utilizando el dominio de NT: detecta dispositivos en un dominio de
Windows NT. Esta opcion utiliza la informacion de la cuenta de dominio de NT y no necesita
ningun intervalo de direccion IP, aunque se puede especificar uno. Seleccione esta opcion y
haga clic en Configurar para mostrar el cuadro de dialogo Configuracion de dominio NT en el
cual se puede personalizar la configuracion de la deteccion de dominio NT.
• Filtrar por intervalo IP (para dominios NT y LDAP): filtra la deteccion de LDAPy el dominio NT
en funcion de los intervalos IPespecificados en IP inicial e IP final.
• Detectar dispositivos utilizando LDAP: detecta dispositivos en un directorio LDAP.
Seleccione esta opcion y haga clic en Configurar para mostrar el cuadro de dialogo
Configuracion de LDAPen el cual se puede personalizar la configuracion de la deteccion de
LDAP.
• Detectar dispositivos que tienen IPMI: Busca servidores habilitados para la Interfaz de
administracion de plataforma inteligente (IPMI), lo que permite el acceso a muchas funciones
sin importar que el servidor este encendido o no, o en que estado se encuentre el SO.
• Deteccion de hosts virtuales: busca servidores que ejecuten VMware ESX Server.
• IP de inicio: especifique la direccion IP de inicio del intervalo de direcciones que desee
rastrear.
• IP final: especifique la direccion IP final del intervalo de direcciones que desee rastrear. UDD
actualiza este campo automaticamente a medida que se indica la direccion IP de inicio; la
direccion IP de finalizacion se puede modificar de forma manual. La IP de finalizacion se
calcula utilizando el valor de la mascara de subred + el valor indicado en la IP de inicio.
• Mascara de subred: introduzca la mascara de subred para el intervalo de direccion IP que se
esta explorando.
• Agregary Quitar: agrega o elimina los intervalos de direccion IP de la cola de trabajo en la
parte inferior del cuadro de dialogo.
• Programar tarea: programa el rastreo en funcion de la configuracion establecida. En la
ventana Tareas programadas se puede personalizar la hora de inicio. Los rastreos
programados se inician en el servidor central.
• Rastrear ahora: inicia el rastreo inmediatamente en funcion de la configuracion establecida.
437
Las exploraciones que aqm se inician se originan en la consola en la que se esta. Una vez
que comience el rastreo, aparecera el cuadro de dialogo Estado del rastreo donde se muestra
el numero total de dispositivos localizados, cuantos de los existentes se han actualizado y
cuantos nuevos dispositivos que no se administraban se agregaron.
Acerca del cuadro de dialogo Configuracion de dominio NT
Este cuadro de dialogo se utiliza para configurar el modo de conexion al dominio que se desea
explorar.
• Dominio: indique el dominio que desea rastrear.

• Iniciar sesion como el usuario actual: seleccione esta opcion si inicia la sesion como usuario
con acceso al dominio que va a rastrear.
• Iniciar sesion como: seleccione esta opcion si no inicia la sesion como usuario con acceso al
dominio que va a rastrear. Asimismo, introduzca un nombre de usuario y una contrasena.
• Usar la information de dominio: usa la informacion proveniente del dominio sobre el SO del
dispositivo detectado.
• Agregary Quitar: anada los dominios que configure y que desee rastrear a la cola de trabajo
haciendo clic en Agregar. Seleccione Quitar para eliminar el dominio seleccionado de la cola
de trabajo.
Acerca del cuadro de dialogo Configuracion de LDAP
Este cuadro se utiliza para configurar como conectarse al directorio LDAP que se desea explorar.
• LDAP://: indique el directorio LDAP que desee rastrear.

• Iniciar sesion como el usuario actual: seleccione esta opcion si inicia la sesion como usuario
con acceso al directorio que va a rastrear.
• Iniciar sesion como: seleccione esta opcion si no inicia la sesion como usuario con acceso al
directorio que va a rastrear. Asimismo, introduzca un nombre de usuario y una contrasena.
• Seleccionar unidades OU: seleccione las unidades organizativas (OU) que desee rastrear.
Haga clic en Agregar para anadir estas unidades a la cola de trabajo. Seleccione Quitar para
eliminar la OU seleccionada de la cola.
• Ruta de acceso de Active Directory: muestra la ruta de acceso de Active Directory, si es
necesario.
438
GUÍA DE USUARIO
Configurar rastreos de SNMP

Las detecciones de rastreo de red pueden utilizar SNMP. Segun la configuracion de SNMP de la red,
es probable que deba especificar informacion adicional sobre SNMP en UDD. Haga clic en
Configurar junto a la opcion SNMP para abrir el cuadro de dialogo Configuracion de SNMP, el cual
contiene tres opciones:
• Reintentos: cantidad de veces que UDD reintenta la conexion SNMP.

• Espera de respuesta en segundos: lapso de tiempo que UDD debe esperar una respuesta
SNMP.
• Puerto: puerto al que UDD debe enviar las consultas de SNMP.
• Nombre de comunidad: nombre de la comunidad SNMP que UDD debe utilizar.
• Configurar SNMP V3: UDDtambien admite SNMP V3. Haga clic en este boton para configurar
las opciones de SNMP V3 en el cuadro de dialogo Configuracion de SNMP V3.
El cuadro de dialogo Configuracion de SNMP V3 contiene estas opciones:

• Nombre de usuario: el nombre de usuario que UDD debe utilizar para la autenticacion con el
servicio SNMP remoto.
• Contrasena: contrasena del servicio SNMP remoto.
• Tipo de autenticacion: tipo de autenticacion que SNMP utiliza. Puede ser MD5, SHAo
Ninguna.
• Tipo de privacidad: metodo de codificacion que utiliza el servicio SNMP. Puede ser DES,
AES128 o Ninguna.
• Contrasena de privacidad: contrasena que se utiliza con el tipo de privacidad especificado.
No esta disponible si selecciona el tipo de privacidad Ninguna.
Acerca del cuadro de dialogo de la lista Configuracion de la deteccion ARP (o WAP)
Use este cuadro de dialogo para administrar la configuracion de ARPy WAPque se utiliza para la
deteccion extendida de dispositivos. Una vez configurado, puede aplicar la configuracion XDD a las
tareas de rastreo.

• Nuevo: abre el cuadro de dialogo Configuracion en el cual puede configurar las opciones de
metodos de deteccion.
• Copiar: abre una copia de la configuracion seleccionada como una plantilla, la cual se
puede entonces modificar yse le puede cambiar el nombre. Esto resulta util si desea
realizar ajustes menores en la configuracion y guardarlos para un proposito espedfico.
Tenga en cuenta que la configuracion seleccionada puede estar asociada a una o mas tareas
o dispositivos administrados. Si selecciona eliminar la configuracion, los dispositivos con
439
esa configuracion la conservaran y seguiran utilizandola hasta que se implemente una nueva
tarea de configuracion de agente; las tareas programadas con esa configuracion seguiran
ejecutandose en los dispositivos de destino, al igual que las tareas del programador local
con esa configuracion, hasta que se despliegue una configuracion nueva.
Acerca del cuadro de dialogo Configurar las opciones de la deteccion ARP
Utilice este cuadro de dialogo (boton de la barra de herramientas Configurar la deteccion ampliada
de dispositivos > Configurar las opciones de deteccion ARP) para personalizar las opciones del
rastreo de deteccion ampliada de dispositivos con base en ARP.
• Nombre de la configuracion: identifica la configuracion con un nombre unico. Este nombre

aparece en la lista desplegable de configuraciones en el cuadro de dialogo de la lista de
configuraciones.
• Duration de las entradas ARP de estad^sticas en cache (en segundos): Tiempo durante el
cual los dispositivos con el agente de deteccion extendida de dispositivos mantienen una
direccion en la tabla ARP. A los dispositivos del cache ARP no se les hara ping despues del
ping de deteccion inicial. El valor predeterminado es 24 horas (86,400 segundos). El valor
mmimo es 900 segundos.
• Retraso maximo (en segundos) para enviar pings a un dispositivo desconocido para el
agente de IVANTI: Cuando un dispositivo que tiene el agente de deteccion extendida de
dispositivos reconoce un ARP nuevo, el dispositivo espera dos minutos para que el
dispositivo detectado se inicie y luego espera durante un penodo aleatorio de tiempo dentro
del valor especificado aqrn. El agente que tiene la espera aleatoria mas breve hace primero
un ping y luego se envfa la difusion UDP a la subred que se ocupo del ping de dicho
dispositivo. Si hay varios agentes de deteccion extendida de dispositivos instalados, los
dispositivos no pueden generar trafico en exceso y hacen ping al mismo tiempo. Si se
establece muy alto, es probable que los dispositivos no administrados abandonen la red
antes de que se les pueda hacer un ping. Si se establece demasiado bajo, es probable que
varios agentes hagan ping e informen sobre el mismo dispositivo. El valor predeterminado es
una hora (3,600 segundos).
• Frecuencia (en segundos) de actualization de la tabla de ARP en cache: Frecuencia con la
que el dispositivo escribe el cache ARP en el disco para no perder la informacion si el
dispositivo se apaga, se bloquea o se reinicia. El valor predeterminado es cinco minutos (300
segundos).
• Nivel de registro: Nivel de registro de errores (1), advertencias (2) o todo (3) de la deteccion
extendida de dispositivos. El nivel predeterminado es 1 - solo errores. Los registros se
almacenan localmente en C:\Archivos de programa\IVANTI\LDClient\xddclient.log.
• Forzar el nivel de registro: reemplaza la configuracion del nivel de registro proveniente del
servidor central. Si desactiva esta opcion, puede establecer el nivel de registro de forma
manual en un dispositivo espedfico. Esto puede resultar util para resolver problemas en un
dispositivo espedfico sin tener que cambiar el nivel de registro de todos los dispositivos.
Esta habilitada de forma predeterminada.
440
GUÍA DE USUARIO
Acerca del cuadro de dialogo Configuracion de deteccion WAP
Utilice este cuadro de dialogo (boton de la barra de herramientas Configurar la deteccion ampliada
de dispositivos > Configurar las opciones de deteccion WAP) para configurar las opciones del
rastreo de deteccion extendido con base en WAP.
• Nombre de la configuracion: identifica la configuracion con un nombre unico. Este nombre

aparece en la lista desplegable de configuraciones en el cuadro de dialogo de la lista de
configuraciones.
• Frecuencia del rastreo WAP (en segundos): Especifica la frecuencia con que el agente de
deteccion extendida de dispositivos rastrea los puntos WAP.
• Nivel de registro: Nivel de registro de errores (1), advertencias (2) o todo (3) de la deteccion
extendida de dispositivos. El nivel predeterminado es 1 - solo errores. Los registros se
almacenan localmente en C:\Archivos de programa\IVANTI\LDClient\xddclient.log.
• Forzar el nivel de registro: reemplaza la configuracion del nivel de registro proveniente del
servidor central. Si desactiva esta opcion, puede establecer el nivel de registro de forma
manual en un dispositivo espedfico. Esto puede resultar util para resolver problemas en un
dispositivo espedfico sin tener que cambiar el nivel de registro de todos los dispositivos.
Esta habilitada de forma predeterminada.
Acerca del cuadro de dialogo Historial de detecciones de ARP
Utilice este cuadro de dialogo (boton de Configurar historial de descubrimiento ARP de la barra de
herramientas) para configurar la forma en que el servidor central mantiene el historial de
detecciones de ARP. Esta informacion historica se utiliza para generar informes sobre la deteccion
extendida de dispositivos. Las opciones de este cuadro de dialogo no afectan a los dispositivos
detectados que se visualizan en la ventana principal de la deteccion de dispositivos no
administrados. Este historial solo se aplica a los dispositivos detectados a traves de ARP que
notienen agentes IVANTI.
• Mantener historial por este penodo de dâs: Al seleccionar esta opcion se puede especificar
la cantidad de dfas del historial de detecciones de ARP que se desean guardar en la base de
datos. La informacion del historial de detecciones de ARP cuyos dfas superen a los
especificados se eliminaran de la base de datos durante el mantenimiento.
• Borrar manualmente: esta es la opcion predeterminada. El historial de la deteccion de ARP
no se eliminara durante el mantenimiento.
• Borrar todas las entradas ahora: Haga clic en este boton para eliminar inmediatamente el
historial de detecciones de ARP de la base de datos.
441
Provisioning
Provisioning overview
IVANTI provisioning lets you define all the attributes and features of new devices before they are
introduced into your environment. Provisioning uses automation to apply this set of attributes and
features to the devices. With provisioning, you can reduce downtime and make sure new devices are
reliable and predictable when they go into your production environment. You can access the
provisioning history of each device to find out when and with what it was provisioned, and, if
necessary, return it to a previous state. Provisioning runs on both Windows and Linux; there is no
difference in the way you create templates for either operating system.
Provisioning consists of a series of actions to be executed on a target device. Actions are the
fundamental unit of provisioning. A template is a collection of actions that are executed in a pre-
defined order. IVANTI provides pre-built provisioning templates to get you started. You can combine
these provisioning templates with your own master templates. You can split the provisioning tasks
the wayyou split the work when setting up a system manually.
Provisioning works equally well on new devices or dynamic devices. You can provision new devices
with the precise configuration you require, setting up the configuration before the new device has
even arrived. You can use provisioning to reconfigure a device from one purpose to another,
changing a device's base function to handle your organization's changing demands.
Provisioning is also very useful for OS migration. You can capture a profile from a previous OS and
then deploy a new OS with the same profile and previously installed software applications. You
could even automatically do the same from an older computer to a newer computer as well as
upgrading application versions on the fly.
You can use alerting to let you know when provisioning events occur.
Provisioning agent
The center of provisioning is the agent ldprovision, located in the core server's ldlogon/provisioning
folder. This agent consists of small applications for each action. The agent resides on the target
device. It is placed there through a PXE server, virtual booting (vboot), or a physical boot media
such as a USB drive or a CD.
The provisioning process is completed as the agent does the following:

• It requests a template's configuration settings from a Web service on the core server
• It checks the preboot type tag to ensure it is running in the correct preboot environment
• It performs the actions in the order designated in the configuration
• It reboots the device (if necessary)
• It injects a version of itself into the target OS so it can continue working when the real OS
loads after the reboot
• It sends feedback to the Web service on the core
442
GUÍA DE USUARIO
The agent spans any reboots required, immediately moving to the next action after the reboot.
Most provisioning work can be done before you receive a new device. You can create a template
and create the task for the template to run on the new device. The task will not run until the
provisioning agent runs on the new device.
To fully use provisioning, users require the provisioning role in User management. These rights are
automatically enabled for any users with Administrator rights, and can be enabled for any users.
Preboot tools
Provisioning requires the ability to boot the device prior to putting an operating system on it. This
can be accomplished through a PXE server or through a physical boot media (CD or USB drive). PXE
is the most convenient way to boot many computers at a time into the same preboot environment.
CD or USB drives are highly portable and guarantee that the computer running the preboot
environment is the one the administrator intended to provision.
The preboot environment (PE) includes an operating system complete with video, networking, a
small Inventario scanner, and an agent capable of receiving files and executing commands. This
agent executes an imaging tool or scripted install tool to install the OS on the device. The agent
initiates the provisioning process. Provisioning supports the Windows preboot environment.
You don't need unique boot media for each client system; you can re-use the boot media for other
devices.
The provisioning interface

The provisioning tools are a part of the Operating system deployment tool (click Tools >
Provisioning > OS provisioning). A tree structure displays provisioning templates, and a toolbar
opens dialog boxes for different tasks.
In the tree structure, available templates are organized in the following folders:
• My templates: Templates that you have created. Only you and administrative users can access
these templates
• Public: Both your templates and templates marked as public.
• Other users (administrative users only): A list of users and their templates.
443
Public templates are created by users with Administrator rights and are viewable by all users.
Templates in the My templates folder are visible to others but can only be edited by the template's
creator or users with Administrator rights. Each time you use a template not marked public, the
instance of the template is locked. This instance can't be deleted, but it can be hidden.
The right pane displays the selected folder's templates, with columns that show the template
properties. Double-click a template to view its complete properties, including a list of other
templates that include the selected template.
The toolbar includes buttons for creating, modifying, and managing provisioning templates.
If you double-click a template, the Template view opens. From this view, you can modify the action
list (add or delete actions, modify the action order, and so forth). You can modify variables that
apply specifically to this template, view and modifythe list of templates included bythis template, or
view and modifythe list of templates that include the template. You can also make a template public,
view its history (when the template was executed), and view or modifythe template's XML code.
You can open multiple templates at once and use copy and paste (CTRL+C and CTRL+V) to copy
actions you've configured between open templates. The template window is also resizeable.
Creating and editing provisioning templates
The New template toolbar dropdown is the starting point for creating a new template. Preconfigured
Capture and Deploy wizard templates are available that only take a minute to configure. These
preconfigured templates automatically support normal and UEFI BIOS booting and device
provisioning. Default actions are automatically added to support basic image capture or
deployment.
If necessary, you can further customize capture and deploy templates on your own.
To modify a template, right-click the template and select Edit. To remove a template, select it and
click the Delete button. You can only delete templates that have never been used.
Creating template groups
You can use provisioning groups to organize your templates in ways to suit your needs. For
example, you could create groups based on specific vendors and additional subgroups based on
device models. You can create subgroups up to six layers deep.
Cloning existing templates
Once you use a template you can't change it directly. However, you can clone and change it. For this
reason, we recommend that templates be smaller in nature so that if any changes are required, you
can change that one component of the provisioning configuration.
The Clone option makes a copy of the selected template. You can modifythe copy, making minor
changes to the copy rather than taking the time create an entirely new template.
If you clone a public template, the copy is placed in the My templates folder and acquires the
properties of a private template.
1. Click the Public or My templates folder to display templates in the right pane.
444
GUÍA DE USUARIO
2. Right-click a template and select Clone.
A copy of the template is created in the folder, with the name of the original template and the
date and time the clone was created.
3. To change the name, description, boot environment, or target OS of the cloned template,
right- click the clone, click Properties, modify the settings, and click OK.
4. To modifythe actions, included templates, user variables, orthe XMLofthe cloned template,
double-click the clone to open the Template view.
Condensing a template
Use the Condense right-click menu option to combine multiple templates into one template. If there
are other templates included with the current template, their XML code will be saved within the XML
code of the template to create a single XML file. Once you condense a template, it can't be expanded
into separate templates again.
Steps for provisioning a device

On the most basic level, provisioning a device is a simple process consisting of three steps. First,
you create a provisioning template, then you configure the template with the features and
components you want to install on the device, and then you schedule a task to run the template on
the device. These steps are outlined briefly here; detailed instructions are found in the following
sections.
Step 1: Create a template
To provision a device, create a template. A template is an XML document with a series of building
blocks to be applied to the device. They build upon each other and can consist of actions, attributes,
constraints, and so forth. A template can have one or many actions.
You can chain multiple templates together in a provisioning task so that they run in a particular
sequence. You can also change the action order in a template. The order can be changed where
applicable (for example, you can't place a post-OS task before the installation of the OS). There are
numerous pre-configured templates for various vendors (HP, Dell, and so forth).
Templates are saved in the database as XML documents.
Step 2: Configure the template
Once you create the template, you must configure it by adding actions to it. Template actions are
sorted into five sections. You can only select actions in each section that can apply to the section
(for example, you can't select Software distribution as an action for the Pre-installation section). You
can add any available action to any section, but be aware that some actions will break the template
or may render your system unusable if completed in the wrong order.
445
Step 3: Schedule the template for deployment

A provisioning task contains templates and the device identifiers of the target devices. When a
provisioning task begins, the job is associated with the device's Computer record in the database so
that the configuration history remains attached to the computer. Configuration tasks can't be reused
with different target devices, but can be reused by specifying another device identifier.
The Scheduled tasks tool shows the scheduled task status while the task is running and upon
completion. The scheduler service has two ways of communicating with devices: Through the
standard management agent (which must already be installed on devices), or through a domain-level
system account. The account you choose must have the login as a service privilege and you must
have specified credentials in the Configure Services utility.
Creating templates
Use the New template toolbar button to create a capture image template.
A template is a series of actions or building blocks to be applied to the server in a particular order. A
template can have one or many actions. You can change the task order in a template. The action
sequence can be changed where the action makes sense, but can't be changed where it does not
make sense (for example, you can't place a post-OS-specific action before the installation of the OS).
Templates that you create through the Capture template and Deploy template toolbar options are
pre-populated with default actions the template needs to work. No additional customization is
necessary and you can immediately use a template after you create it. Of course, you can still
customize these templates for your environment and needs, if necessary.
To create a capture template
1. Click Tools > Distribution > OS provisioning.

2. Under the Provisioning templates group, select either the Public or My templates folder.
3. Click New template > Capture template on the toolbar.
446
GUÍA DE USUARIO
4. Type a descriptive name in the Template name box.

5. Type a description in the Template description box. The Name and Description are displayed
in columns in the list of templates.
6. Select the Image type that you want to create.

7. Specify the UNC file path on a Endpoint Manager preferred server where the image will be
stored. The preferred server credentials must allow read/write.
8. Click Create.
To create a deploy template

447
3. Click New template > Deploy template on the toolbar.

5. Type a description in the Template description box. The Name and Description are displayed in
columns in the list of templates.
6. Select the Image type that you will use for deployment.
7. Specify the UNC file path on a Endpoint Manager preferred server where the image will be stored.
The preferred server credentials must allow read/write.
8. Select the Agent configuration name that you want installed on the destination device.
9. Select the unattended installation Script name you want used during the OS installation and the
target path and filename for the script on the destination device.
10. If you want to use hardware independent imaging for driver installation, select that option.
11. Click Create.
448
GUÍA DE USUARIO
To change template properties, double-click the template or right-click the template and select
Properties.
To create a Mac deploy template

3. Click New template > Mac deploy template on the toolbar.
5. Type a description in the Template description box. The Name and Description are displayed in
columns in the list of templates.
6. Enter the smb:// or afp:// path for the Mac image file. UNC paths aren't supported with Macs.
7. If you want to also include a Bootcamp Windows image file with the deployment, select Include
Windows image.
8. If you want to include a profile, enter a Profile path.
449
Delete a provisioning template

You can delete only templates that have not been previously executed (locked) and that are not
included in other templates. Locked templates can be deleted (removed) from the list view but remain
in the database.
To delete a provisioning template

3. Select a template, and click Delete.
4. Click Yes.
Configure a provisioning template

Follow these steps to configure a template.
To configure a provisioning template
1. In the OS provisioning tree, double-click a provisioning template.

2. In the left navigation pane, click Action list.
3. In the middle pane, select the section in which you want the action to occur.
450
GUÍA DE USUARIO
• System migration: Features and components that need to be saved before modifying the
system or when migrating a device to other hardware or virtual machine. For example,
this section can include an action to capture profile information when migrating to
Windows Vista.
• Pre-OS installation: Actions that are performed when the device boots into a pre-
installation environment (Windows PE). For example, on a server you would add RAID
configuration in this section.
• OS Install: Actions that are performed in the pre-installation environment (Windows PE)
when the OS is installed.
• Post-OS Installation: Actions that are performed in the target operating system after it
has been installed, such as running a patch management task.
• System configuration: Additional application installation/execution and system
configuration in the installed OS. For example, add driver installation tasks in this
section.
4. Click Add.
5. Type a specific name for the action in the Name field.
6. Type a detailed description of the action in the Description field.
7. In the Type list, select an action type.
8. Under Action variables, click Add to add a variable that applies to this action only. Specify the
values in the text boxes, select the variable type, and click OK.
9. Under Selected action properties, complete the data required for the action type. This data
varies depending on the action type you selected.
10. When the action is defined, click Apply to save it and continue editing the template. When you
have finished defining the template, click OK.
Schedule a provisioning task

To schedule a provisioning task
1. In the Operating system provisioning tool, select a template from one of the Provisioning
templates folders.
2. Click the Schedule template button on the toolbar.
The Scheduled tasks tool opens with a task for the provisioning template.
3. In the network view, select the devices to which you will deploy the provisioning task. Drag the
devices to the Scheduled tasks tool and drop them on the provisioning task.
4. Right-click the provisioning task and select Properties. Select a schedule option and click Save.
When you click Schedule template, a task is created: it has no targeted devices, and it is unscheduled.
If you don't add target devices or schedule the task, be aware that the task remains in the task list until
you schedule it or delete it.
451
In the Scheduled tasks tool, tasks are grouped in the following folders:
• My tasks: Tasks that you have scheduled. Onlyyou and Endpoint Manager administrative users
can see these tasks.
• Public tasks: Tasks that users have marked public. Anyone who schedules a task from this
category will become the owner of that task. The task remains in the Public tasks folder and will
also be visible in the User tasks group for that user.
• All tasks: Both your tasks and tasks marked public.

• User tasks (Endpoint Manager administrative users only): All tasks users have created.
User notifications when a task is running
When a provisioning task is running on a device and the provisioning actions include a reboot, the
task continues to run after the device reboots. The user is prompted to log in after the reboot, and
when the login is complete, a status message reports on the progress of the task.
If the user is not logged in when the provisioning task begins, the task runs without user input. If there
is a reboot action, the task will continue to run without the user logging in.
If the user logs in to the device while the provisioning task is in process, a status message reports that
a task is in process and gives the progress of the task. Note that status messages are updated only
between actions. If a task is working on a long action, such as installing a large application, it may
appear that the progress bar is not moving. However, when the action is completed, the status will be
updated.
Product to package mapping

The OS provisioning product-to-package mappings feature lets you map detected applications on
source devices to software distribution packages that you've created. OS provisioning can then
automatically install the detected applications on a user's source device to the newly provisioned
destination device.
The list of applications that can be detected comes from the software license monitoring tool's
monitored products list. When the Inventario scanner runs on a device, it gives the core server a list of
applications from the list that it found on the device. Only products that you've added to the monitored
products list are available for product-to-package mapping.
The customize mapped software action lets technicians customize mappings while a device is being
provisioned. For more information, see "Customize mapped software (all sections)" (480).
The Install mapped software action takes a snapshot of the currently installed products from
Inventario when the scheduled task is started. This allows the Inventarioto persist afterthe device is
imaged and a new agent is installed. The snapshot of Inventario is cleared once the scheduled task is
deleted. The task can be restarted or reran as long as the task is not removed. For more information,
see "Install mapped software (System configuration section only)" (485).
You can map any software distribution package to an item in the monitored products list. For example,
452
GUÍA DE USUARIO
if Office 2003 is a monitored product, in smart migration, you could map it to an Office 2013
distribution package.
Products can have the following mapped states:
• Disable: Product will not be installed on new devices and won't be available in the Customize
mapped software action.
• Critical: If a mapping is critical and the package fails to install for some reason, the whole
provisioning job will fail and quit. Ifyou don't make a mapping critical, OS provisioning will tryto
install the application and then it will keep going even if the install fails.
• Customizable: During provisioning, allows a technician at the provisioned device to select

whether each customizable mapping will be installed. The provisioning template must have a
Customize mapped software action for this to work. This action usually goes at the
beginning of the template. If a technician doesn't make any selections, the action will
eventually time out and customizable packages that were on the source device will be
installed on the new device.
To map products to packages
1. Click Tools > Provisioning > OS provisioning.

2. On the OS provisioning toolbar, click the Tools button and click Product to package mapping.
3. On the left side, select the monitored product that you want to map.
4. On the right side, browse the list of available distribution packages that you've created, and
select the one you want.
5. Click Assign.
Provisioning bare metal devices

Provisioning lets you provision bare metal devices. You can begin this process before a device is
physically present. To do so, enter a hardware identifier (such as the GUID or MAC address) for each
new device in the Configuration > Bare Metal Server folder in the network view. You can add several
devices at once by importing a list of device IDs, using a CSV file. The information required bythe
automated provisioning agent (ldprovision) is recorded in the database.
To provision bare metal devices
1. In the network view, click Configuration > Bare metal server.

2. Right-click in the device list and select Add devices.
453
3. To manually enter data for individual devices, click Add. Type a name for the devices that you
will add (you can type a name describing a group of devices or just one device). Select a type
from the Identifier type list. Type the identifier for each device and click Add to add it to the list.
4. To import device data from a CSV file, select a type from the Identifier type list. Type the drive,
path, and filename of the import file or browse to select it. Click Import.
5. Associate each device with a provisioning template.

6. Plug in the devices and provide them an ldProvision boot CD, bootable USB drive, or configure
BIOS to network/PXE boot.
7. Power up the devices.
About the Machine Mapping tool

Use the Machine Mapping tool (Tools > Distribution > Machine Mapping) to map one device to
another. This is used for OS provisioning when migrating users from one device to another.
This tool has the following options:
• Days Valid: Sets the number of days the machine mapping will be assigned.
The use case forthis setting is to create a safety feature. If a machine mapping is used, the Last
Used field populates with the date and time the OS Provisioning template used the machine
mapping. With the field populated, the Days Valid field is put into effect. If an OS Provisioning
task tries to use the mapping beyond the setting in the Days Valid field, the mapping is ignored.
You likely do not want the mapping to be valid months from now when the task might run
unexpectedly on a device, overwriting its hard drive.
• Remove: Deletes the assignment of the Source and Destination devices.

• Reset Used: Removes the Contenidos of the Last Used field.
454
GUÍA DE USUARIO
• Refresh: Refreshes the Machine Mapping tool view. This will update the view to include
showing mappings that have been used by OS Provisioning templates being run.
• Search: Allows searching for a device to place it in the Source and Destination columns.
• Source: The machine that is being replaced with another device. (This would be the old device.)
• Destination: The machine that is replacing another device. (This would be the new device.)
• Last Used: The date and time the machine mapping assignment was last used. (Populating this
field activates the Days Valid setting, so the machine mapping assignment will be ignored if the
number of days set in the Days Valid field have passed.)
USB-based disconnected provisioning templates

If you want to provision devices that can't see a core server or that use slow WAN links, you can create
a disconnected provisioning template on a USB thumb drive. When you do this, OS provisioning
makes the thumb drive bootable and copies the necessary files, such as Windows PE, drivers, the OS
image you're deploying, and so on, to the USB drive.
When using a disconnected provisioning template, any template actions that require a core server will
still fail if the device can't see the core server. This includes software distribution and patch actions.
To create a USB-based disconnected provisioning template
1. Connect a USB drive with enough space to hold your image and the provisioning files.
2. Click Tools > Distribution > OS Provisioning.
3. In the Provisioning templates tree, right-click the provisioning template you want and click
Create disconnected template.
4. Select the drive letter your USB drive is using.
5. Click Create and wait for the file copying to finish.
Sharing templates
Use the Import templates toolbar button to import templates in XML format. When you import a
template, a copy of the template is saved in the My templates folder. You can then edit the template's
XMLto make changes to it.
You can also export a template to save it as a new file and then share that template file with others.
To import a template

2. On the toolbar, click the Import templates button.
3. Type the path and file name of the XML file in the Import file box, or click Browse and select the
file.
4. Click Import. This imports the template into the My templates folder.
The file is saved as an .xtp (XMLtemplate page) file. In the My templates folder, the imported template
455
is listed with the original filename, followed bythe date and time of import.
To export a template

2. Select Public or My templates or one of their subgroups.
3. Double-click a template. In the Template view, click XML.
4. Click Export. Select the location where you want to save the template, and click Save.
The file is saved as an .xtp (XMLtemplate page) file. If you are exporting a template containing UTF-only
characters, the title will not display correctly in Internet Explorer. The non-displayable characters in the
template title will appear as underscores. You can change the template title through the Save As dialog box.
Edit a template's XML code

2. Select Public or My templates or one of their subgroups.
3. Double-click a template. In the Template view, click XML.
4. Make changes to the XML code for the template.
5. To save changes, click Save changes.
6. To export a copy of the template, click Export and specify a file location.
7. Click OK to close the Template view.
456
GUÍA DE USUARIO
Provisioning templates are structured using the following general XML format.
<template name= >
<description></description>
<section name= >
<action></action>
</section>
<section name= >
<action></action>
</section>
</template>
457
Using installation scripts in provisioning templates

Use Install scripts to create a template out of one or more scripts. Install scripts makes installation
scripts available for use in creating scripted installation actions in templates. Provisioning supports
batch file scripts, shell scripts, and many other scripts.
The Deploy image, Scripted install, and Inject script actions use scripts like sysprep.inf or unattend.txt.
Install scripts can also insert variables into your scripts; for example, a device name can be inserted
into a sysprep.inf file.
Using variables
Install scripts supports many key value pairs, such as:
Variable Description
%ldHostname% The host name
%ldDeviceID% GUID ofthe device
If there is a key value pair in the win.inf file that already exists as a user-defined variable, Install scripts
replace it with the user-defined variable.
To pass variables through an installation script as a variable (not to be replaced by the provisioning
process) encapsulate the variable in double percent signs (for example, %%variable%%).
Notes on using scripts

• In Windows, a valid, active, formatted partition must exist before the Scripted install action can
occur.
• The network installation source must have drivers for the target device injected correctly or put
into the OEM's PnP driver path (for additional information, refer to the Microsoft installation
documentation).
• Currently, only a command-line installation using winnt32 works.
• The file cmdlines.txt is used to append commands to the final OS boot.
• Currently, PXE/RIS is not supported.
• If the installation fails, you can troubleshoot the error by looking in the
\ManagementSuite\ldlogon\provisioning\config folder to see the installation script with the
variables replaced. This strategy also applies to anytime you modify a script, or use a script in
the Inject script or Deployimage actions.
• The temporary directory used for provisioning is %systemdrive%/ldprovisioning.
Linux installation issues

Linux scripted installation is only supported using PXE boot.
When running a scripted install action for Linux, be aware that each version of Linux checks to make
sure that you are using the correct CD when you begin an installation. Therefore, you will need a
458
GUÍA DE USUARIO
different initrd and linux (vmlinuz) for every version of Linux.
The best way to do this is to copy the boot images from each CD to the PXE and rename them. You
should copy them to\Ivanti\PXE\System\images\x86pc\undi\provlinux. For example, for Red Hat 4,
rename the files to initrd.rh4as and vmlinuz.rh4as, and for Sles10, rename the files to initrd.sles10 and
linux.sles10. Then, when you create a scripted install action, use the correct initrd.xxx and
xxxlinux.xxx in the Scripted install template.
Linux install scripts support many key value pairs, such as:
Variable Description
IdDNSDomain The DNS domain
IdlnstallServer The install source server

IdlnstallDir
The installation directory. For example,
/sto ra g e/OS/l i n ux/re dhat/enterp rise_4 a s/u 3/i386/
IdNameserverl DNS server 1
ldNameserver2 DNS server 2
Import and export installation scripts

To import an installation script

2. On the toolbar, click the Install scripts button.
3. Type the path and file name of the script in the File name box or click Browse, navigate to the
script, select it, and click Open.
4. Type a name for the script in the Script name box. This name will display in the Install scripts
list in this dialog box. The name is also displayed in the Installation scripts list when you add a
Scripted install action to a provisioning template.
5. Type additional details about the script in the Description box.

6. Select the target operating system in the Target operating system list.
7. Select the Insert variables into script check box if you want to swap out variables during the
script import. When variables are replaced, public variables will be replaced automatically.
Additional custom variables are supported and the values will be replaced when the template is
run.
8. Click Import to place the script in the Install scripts list.

To export an installation script
1. In the Install scripts dialog box, select the script in the Install scripts list.
2. Click Export. Specify a file name and location and click Save.
459
Provisioning device naming templates

Provisioning supports device naming templates for creating unique device names. The naming
template can use truncated core database values and a multi-character incrementing numeric
sequence. You can create multiple templates and use the Device Name Prompter action to select the
name template you want. Name length can't exceed 15 characters.
The Template field shows the template you are building. Customize a variable or number sequence and
click Insert to add that item to the Template field. You can also type custom elements or make other
adjustments directly in the Template field.
In the example above, the naming template uses the beginning 5 characters of the %ldHostname%
value, with a hardcoded location of _slc_, followed by a 3-digit zero-padded number sequence that will
increment automatically.
460
GUÍA DE USUARIO
The core tracks the number used in each name template and automatically increments that number
(starting at 1) each time a device is named.
Provisioning history
The provisioning history option lets you view the history of a provisioning template. You can check on
the status of a particular task, determine how a particular server was provisioned, or find out which
servers were provisioned with a particular template. When a system is provisioned, all the actions are
recorded in the provisioning history.
If you want to put a system back into a known state, you can replay the template that lets you return to
that known state. If you want to replay a template, keep in mind that some actions are external to
provisioning. Save any software distribution packages, agent configurations, and programs that you
download and execute in conjunction with a template. Otherwise you won't be able to replay them.
To view a template's provisioning history

2. Under Provisioning templates, click the Public or My templates folders to display templates.
3. Double-click a template.
4. Click History.
5. Click a name in the Task name column and click Select to view details about that task.
O NOTE: If the template has never been executed, there will be no history.
To view the provisioning history by task
1. Click Tools > Distribution > Scheduled tasks.

2. Under My tasks or Public tasks, click the task name.
3. Click a category under the task (All devices, Active, Pending, Successful, or Failed). Targeted
devices are listed in these categories, depending on the status of the provisioning task on the
device.
4. Right-click a targeted device and select Provisioning history.

5. Click Properties to view the provisioning template properties.
6. Expand a template section and click an action to view details of the action's deployment.
To view the provisioning history by device
1. In the network view, click My devices or Public devices and find the device.
2. Right-click the device and select Provisioning history.
3. Click a task name and click Select to view details of the provisioning task.
4. Click Properties to view the provisioning template properties.
5. Expand a template section and click an action to view details of the action's deployment.
461
NOTE: To get the current status of a template that is in the process of executing, click the Refresh button to
update the history status.
Cleaning up the provisioning history

You can specify how many days of provisioning history that you want to keep. The default is to keep
all of it. If you enable this option, the provisioning history database data older than the number of days
you specified will be deleted. Deleted provisioning data won't include items that are part of a task
that's visible in the Scheduled tasks window.
To clean up the provisioning history

2. In the Operating system provisioning window, click the Provisioning settings 0toolbar button.
3. Select Automatically cleanup provisioning history.

4. Enter the number of days that you want to keep.
5. Click OK.
Provisioning template groups

Use provisioning template groups to organize your templates in various ways. For example, you can
create groups based on specific vendors and create additional subgroups based on server models.
Later, if you want to modify one of the templates in the group, you only need to remove the template
from the group and re-add it to the group in its modified state. You can create subgroups up to six
layers deep.
To create a group of templates

2. Select Public or My templates.
3. Click the Create a template group button on the toolbar.
4. Type a name for the group in the Group name box.
5. Type a description in the Group description box.
6. Click OK.
To delete a group
1. Select a group, and click the Delete button on the toolbar.

2. Click Yes, and then confirm that you want to delete the group.
462
GUÍA DE USUARIO
NOTE: A group can be deleted even if it is not empty. Make sure than any subgroups or templates in the
group can be deleted before you confirm the deletion.
O
Define the image store location and tool
The image location is specified in the template under OS installation > Capture image or Deploy image.
This location must be on a Endpoint Manager preferred server and the preferred server must be
configured with credentials that allow read/write access. For more information, see "Servidores
preferidos" (1129).
Changing the Windows PE image drivers and wallpaper

Provisioning uses a Windows PE image to image devices. Endpoint Manager ships with 32-bit and 64-
bit versions of this image. If necessary, you can add drivers to the base Windows PE images. Drivers
you add there will be available on any device booting the image. If you want drivers for a specific
device, consider adding them through hardware-independent imaging. For more information, see
"Hardware-independent imaging overview" En la pagina 499,
To add drivers to the base Windows PE image
1. Click Tools > Provisioning >OS provisioning.

2. On the toolbar, click Preboot > Manage drivers in WinPE image.
3. Select the image you want to have the drivers, 32-bit WinPE, 64-bit WinPE, or a custom image
you've provided.
4. Click Next. Wait for provisioning to process the image file you selected.
5. Click Add.
6. Give the driver a name and browse for the driver's .inf file.
7. Click OK and then Finish.
To change the Windows PE wallpaper (visible while devices are being imaged)
8. Click Tools > Provisioning >OS provisioning.

9. On the toolbar, click Preboot > Change WinPE wallpaper.
10. Select the image types that should use the new wallpaper (32-bit and 64-bit).
11. Browse for the wallpaper file. The file's resolution should be 1024x768 for best results.
12. Click OK.
Re-branding the provisioning client interface

The provisioning client interface on devices being provisioned defaults to IVANTI branding. You can
change that branding if you want. Re-brandable elements are:
463
• Banner image: Appears at the top of all provisioning windows on provisioned devices.
• Title: Appears on the main provisioning user interface window.
• Interface colors: Background changes the window background. Foreground changes the
interface text color.
This re-branding only affects provisioning dialog boxes. Other Endpoint Manager windows and dialog
boxes won't be affected.
You can re-brand the provisioning interface globally or you can re-brand it on the individual template
level. Re-branding done at the template level overrides the global re-branding.
To re-brand the provisioning UI globally
1. Click Tools > Provisioning > OS Provisioning.

2. On the toolbar, click Tools > Branding.
3. Change the branding elements you want and click OK.
To re-brand a template
1. Double-click the template you want to re-brand.

2. On the left, click Options.
3. Change the branding elements you want and click OK or Apply.
Referencia de plantillas de aprovisionamiento

Provisioning template variables
Template variables allow for greater portability and customizability in templates. For example, a
template may contain very specific file names to copy, paths to install to, or an IP address to export
files from. But with user variables in place of these specific items, the template can address more
situations or locales because you can simply swap out the variables in the XML code to replace those
specific items.
There are four types of variables. They are (in order of precedence):
• Device: Variables assigned to a specific device

• Global: Variables that are public (available) to all templates
• Template: Variables that only apply to the assigned template
• Action: Variables that only apply to a specific action
Variables are case-sensitive.
Related topics
"Define a device variable" (464)
"Define a public (global) variable" (465)
464
GUÍA DE USUARIO
"Define a template variable" (466) "Define an action variable" (467)
"Creating unique identifiers for new devices " (468)
Define a device variable
1. In the All devices list, right-click a device and select Manage variables.
2. Type the name of the item (such as IP address) in the Name box.
3. Type the value to replace in the Value box.
4. Select the type.
• String: Enter a string value
• Database value: Enter a database ID string, such as Computer.Network."NIC Address"
• Sensitive data: Enter the value to be encrypted in the database.
Use quotation marks around names with spaces. You can use most values from the Inventario
database.
5. Click Save.
Define a public (global) variable
Use the Public variables toolbar button to view and set global variables that apply to all provisioning
465
templates. Such variables are used to customize template file names to copy, paths to install to, or IP
addresses to export files from. User variables (variables that apply to only one template) take
precedence over public variables.

2. On the toolbar, click the Public variables button.
3. To add a variable, click Add.

4. Type the variable you want to add in the Search value box (for example, CoreIP).
5. Type the value you want to replace in the Replacement value box (for example, if the search
value is CoreIP, type the IP address you want to replace CoreIP).
6. Select the type.
• Database value: Enter a database ID string, such as Computer.Network."NIC Address" •
Sensitive data: Enter the value to be encrypted in the database.
database.
466
GUÍA DE USUARIO
7. Click OK.
Database lookups are handled by adding a ldbnf: prefix to the Replace value. The database table
and key pair can then be used to look up a specific entry in the database. The ldDeviceID public
variable that is configured by default is an example of howto add a database lookup variable.
Define a template variable
2. Under Provisioning templates, click Public or My templates to display a list of templates.

3. Double-click a template to open the Template view.
4. Click Template variables.
5. Click Add.
6. Type the variable you want to add in the Search value box.
7. Type the value you want to replace in the Replacement value box.
8. Select the type.
• Database value: Enter a database ID string, such as Computer.Network."NIC Address"
467
database.
9. Click OK.
Define an action variable

2. Right-click a template and click Edit.
3. Click Action list and select a section in which you'll define the variable.
4. Click Add to create a new action. If you want to modify an existing action, right-click the action
and select Properties.
5. To add an action variable, click Add.
468
GUÍA DE USUARIO
6. Type the variable you want to add in the Search value box.
7. Type the value you want to replace in the Replacement value box
8. Select the type.
• Database value: Enter a database ID string, such as Computer.Network."NIC address"
database.
9. Click OK.
Creating unique identifiers for new devices

To create unique identifiers for new devices, use a Public variable that is based on the MAC address of
the target device as shown below:
469
Variable (Database) = macAddress Value = Computer.Network."NIC

Address"
Variable (String) = Prefix Value = UT (Uservalue like

location - Optional)
Variable (String) = Suffix Value = XP (Uservalue like OS -

Optional)
Variable (String) = ComputerName Value =

%Prefix%%MACaddr%%Suffix%
Next, use the ComputerName variable in your sysprep.inf or unattend.txt files to uniquely identify the
new device, as shown in the following code sample:
[UserData]
ProductKey=% ProductKey%
FullName="Engineering"
OrgName="Ivanti"
ComputerName=%ComputerName%
Related topics
"Referenda de plantillas de aprovisionamiento" (463)
"Define a public (global) variable" (465)
Provisioning template conditionals
Provisioning supports conditional If/Else statements that can help you control template flow. The
result of an action determines whether the template branches or not. You can use any action with a
conditional. Branch nesting isn't allowed. Else conditionals require an If, but you don't have to use an
Else. You can add multiple actions to If and Else conditionals.
The Compare variable action is useful for conditionals. The example below shows a template that uses
conditionals to support both laptops and desktops. The variable comparison to check the device type
is system.chassisType=Laptop.
To add a conditional
1. Right-click the template stage you want and click Add condition > If. The If condition will be
added and selected.
2. With the If condition selected, click Add and select the action you want. The result of that action
determines if child actions will be executed.
3. If you want an Else, you can add and configure it the same way by right-clicking the template
stage and clicking Add condition > Else.
470
GUÍA DE USUARIO
Included templates
The Template view displays the templates that are included in the current template (included templates
are also known as child templates). You can view included templates and add templates to the current
template. Once a template is included with anothertemplate, it is part of the parent template. If you
change the included template in its original stand-alone form, it is changed in the parent template
package, too.
To include a template, its boot environment and target OS must match the template setting of the
parent template.
To add a template to the current template

2. Under Provisioning templates, click Public or My templates to display templates.
4. In the Template view, click Includes.
5. Click the Include button.
6. Using the tree structure, navigate to the template you want to include, select it, and click OK.
The Template information section displays details about the template that maybe useful in deciding
whether to include the template.
To delete a template from the list of included templates, click Remove to remove the selected template.
Not Applicable is treated as a wildcard.
Parent templates
The Included by view displays a list of other templates that include the current template (templates
including the current template are also known as parent templates).
To view the list of templates that include the current template

4. Click Included by.
Adding actions to a provisioning template

Use the Add action dialog box to create new actions for provisioning templates or to edit the actions of
existing templates. Public templates are visible to all users. Templates in the My templates group are
not visible to all users, and can only be modified by the template creator or by users with
administrative rights.
Actions are ordered in five sections. In each section, you can only select actions that apply to that
471
section (for example, you can't select Software distribution as an action for the Pre-installation
section). You can add any available action to a section, but be aware that some actions will break the
template or may render your system unusable if completed in the improper steps.
The Condense right-click menu option rewrites the current parent template to incorporate all included
templates, so that all actions from the included templates become part of the parent template. This
means that the parent template has no more dependencies. This is useful for exporting templates or
making templates public. Once a template is condensed, it is a new template. You can't expand a
condensed template.
To add actions to a template

472
GUÍA DE USUARIO
4. In the Template view, click Action list.

5. Click the section you want to add an action to. You can choose from these sections:
• System migration: Features and components that need to be saved before

modifying the system or migrating a device to other hardware or virtual
machine. For example, this section can include an action to capture profile
information when migrating to a newer version of Windows.
• Pre-OS installation: Actions that are performed when the device boots into a
pre-installation environment (Windows PE). For example, on a server you
would add RAID configuration in this section.
• OS Installation: Actions that are performed in the pre-installation environment
(Windows PE) when the OS in installed. For example, deploying an image to
the disk.
• Post-OS Installation: Actions that are performed in the target operating system
after it has been installed, such as performing hardware independent imaging
to install a driver.
473
• System configuration: Additional application installation/execution and system

configuration in the installed OS. For example, installing the IVANTI agent and
other software installation tasks in this section.
6. Click Add.
7. Type a specific name for the action in the Name box.
8. Type a detailed description of the action in the Description box.
9. Select an action type from the Type list. The type you select will determine what options
you'll need to specify forthe action.
10. If you want to add a variable that applies to this action only, under Action variables click Add.
Type the name and value of the variable in the text boxes, and then click Save.
11. Select Stop processing the template if this action fails if you want to define an action as
essential to the provisioning task. If the action can be ignored, clear this check box.
12. When finished, click OK.
Provisioning template action types

The table below displays the action types and where they fit into sections by default. You can add
any action type to any section, but note that some actions inherently fit in certain sequences in
provisioning, and if an action is executed outside its intended sequence, unintended consequences
may occur.
Action name OS installation
System Pre-OS Post-OS System
migration installation Installation configuration
Capture image X
Capture profile X
X X
Change agent
settings
Compare variable X X X X X
Configure agent X
X
Configure target
OS
Control service X
Copy file X X X X X
Create directory X X X X X
X X X X X
Customize mapped
software
474
GUÍA DE USUARIO

Delete file X X X X X
Deploy image X
Deploy profile X
X X X X X
Device name
prompter
Distribute software X
Download file X X X X X
X X X X X
Download from
preferred server
Execute file X X X X X
X X
Hardware-
independent
imaging
Inject script X X X X X
X
Install mapped
software
Install service X
Join domain X
Launch template X X X X X
Map/Unmap drive X X X X X
X X X X X
Map/Unmap drive to
preferred server
Partition X X X
Patch system X
Reboot/Shutdown X X X X X
Replace text X X X X X
Scripted install X
Uninstall service X
Unzip file X X X X X
Update registry X
475
Action name System Pre-OS OS installation Post-OS System

Wait X X X X X
Windows refresh X X
Mac OS X action types
The table below shows actions you can use with Mac OS X devices.
Capture image X
Capture profile X
X X
Change agent
settings
Compare variable X X X X X
Configure agent X
X
Configure target
OS
Copy file X X X X X
Create directory X X X X X
X X X X X
Customize mapped
software
Delete file X X X X X
Deploy image X
Deploy profile X
X X X X X
Device name
prompter
Distribute software X
Download file X X X X X
Execute file X X X X X
X X
Hardware
Independent
Imaging
Inject script X X X X X
476
GUÍA DE USUARIO

Launch template X X X X X
Map/Unmap drive X X X X X
X X X X
Map/Unmap drive to
preferred server
Mount ISO X X X X X
Partition X X X
Reboot/Shutdown X X X X X
Replace text X X X X X
Scripted install X
Unzip file X X X X X
Wait X X X X X
Capture image (OS installation section only)
The Capture image action lets you capture an image at the time of OS installation, through the use of the
imaging tool you specify. If the tool orthe Contenidos to be captured in an image are located on a share,
you must place the Map drive action priorto the Capture image action in orderto authenticate to the share.
• Select the image type: Select the type of image you want to capture. If you select Symantec
or Other, you will also need to provide a path to the application used for imaging.
• Specify the UNC path to the image file: Enter a UNC path to the image that is captured,
including the image file name. Configure your preferred server with valid credentials to the
share forthe image file path. This option is used only when you select Symantec or Other as
the image type.
• Specify the UNC path to the imaging tool: Enter a UNC path and file name forthe imaging
application. This option is used when you select Symantec or Other as the image type.
• Command-line parameters: Enter any command-line parameters that will customize the way
the image is captured.
• Validate: Click this button to generate a default command line forthe imaging tool and path
you specified. You can add other command-line parameters after you click Validate, but if
you have already entered any custom parameters they will be removed when you click
Validate.
477
Capture Image (Mac OS X, OS installation section only)
Use this action to capture a Mac OS X image from a target device. The capture image action uses
preferred server credentials to authenticate to the shares. This is set in the Content replication /
Preferred servers tool. A Mac OS X server has to be set as a preferred server for this to work. The
User name and Password fields in the core server's preferred server properties are used to access
the shares. The options available forthis action include:
• Specify the path to save the image file, including the name of the image file: To enter the
location to capture and store the image file. Either smb://Server/SharePoint/ImageFile.dmg
OR afp://Server/SharePoint/ImageFile.dmg format can be entered into this field.
• Mac image: Captures the Mac image.

• Windows image: Captures the Windows Bootcamp image.
• Validate: Click this button to populate the Command-line parameters field with the data
provided in the other fields.
Capture profile (System migration section only)
This action runs the user migration assistant to capture one or more profiles. To use this action, you need to
know where the user migration assistant command XML file is located on the core server and where saved
profiles are to be stored.
You can use unique identifiers to name profiles when they are saved, or you can specify a full filename for
the profile.
To use the user migration assistant, managed devices must have the standard IVANTI agent, which includes
the Inventario scanner, local scheduler, and software distribution agents. Profile migration uses the software
distribution agent to distribute files.
• Select user migration assistant command XML file: Specify the location of the user migration
assistant command file, which is an XML file saved on the core server (typically in the ldmain
share, in the ldlogon\uma\commandxml folder). You can specify the path and filename in UNC
or HTTP format. Click Browse to locate the command file you want to use. If you want to edit
an existing command file or create a new one, click Edit. Select a file and click Edit, or click
New to create a new one.
• UNC path for saved profiles: Specify where to save the profile files. Type a UNC path or click
Browse and select a path. Profiles can be saved on any available server/share, including on
the core server. Profiles are saved with a .sma extension.
• Specify full filename instead of using variables: Select this check box if you don't want to
name the profile using the unique identifiers.
• File name unique identifiers: Select any combination of the computer name, MAC address,
and serial number to create the filename of each profile. (For example, if you select Serial
number and the serial number of the machine is 123A567B, the profile name will be saved as
"123A567B.sma.") These profile file names are only used to make the file names more
readable. They aren't used by automatic naming to associate profiles between computers.
Capture Profile (Mac OS X, available only in the system migration section)
478
GUÍA DE USUARIO
Use this action to capture a profile on a target device. The capture profile action uses preferred
server credentials to authenticate to the shares. This is set in the Content replication / Preferred
servers tool. A Mac OS X server has to be set as a preferred server for this to work. The User name
and Password fields in the core server's preferred server properties are used to access the shares.
When saving profiles, you can specify a full filename, or you can use unique identifiers to create the
file name to store the profile.
The Mac version of capture profile captures these items:
• Core certificate
• Device name
• How network adapter interfaces are configured
• LDMS configuration
The fields that can be selected in this action are a follows:
• Path for saved profile: Where to store the profile when it is captured. The format can be
smb://server/sharepoint or afp://server/sharepoint.
• Specify full filename instead of using variables: Select this if you want to disable the filename
unique identifiers options. Selecting this will require the filename to be specified in the Path
for saved profile field.
• File name unique identifiers: Select any combination of the Computer name, MAC address,
and Serial number to create the filename of each profile.
Change agent settings (system migration and system configuration sections)
The change agent settings action lets you select specific IVANTI agent settings for agent
components. Agent settings only affect agent components that are installed on the device. Applying
an agent setting to an agent component that isn't installed won't install that component or have any
effect.
The default agent setting option is to Keep agent's current settings. Use the Edit button to modify an
existing agent setting and the Configure button to manage all settings for a component.
Compare variable (all sections)
Evaluates the variable at the client and returns success or fail based on the comparison. There is no
case-sensitivity with string comparisons. This is useful for controlling the branching flow of If/Else
conditions. For more information on conditions, see "Provisioning template conditionals" (469).
The variables you can compare depend on what is available from the device Inventario and the
template. BNF database query syntax is also supported. Note that new devices may have no or
limited Inventario data available.
Configure agent (system configuration section only)
The configure agent action lets you select an agent configuration to install on the provisioned device. This
action should be the first thing done afterthe reboot that follows the OS install actions. Configurations are
added to the drop-down list as you create them in Agent configuration. This action can only be completed as
479
part of a template that includes either the Scripted install or Deploy image actions, or if the client machine
has already been configured with an agent.
• Configuration name: The name of the configuration. Select a configuration from the list of
valid agent configurations.
• Reboot if required: Select this check box to allow the device to reboot after agent
configuration, if a reboot is required.
When you install a new service pack, the agent configuration database IDs change. This means that the
templates referencing those configurations become outdated. As a result, any provisioning history
referencing those configurations will be unable to display the name of the configuration it once referenced,
and any template referencing the old configurations will need to be updated before it will run correctly. The
configuration name is not displayed in the History page, and if you try to re-schedule this template, it will fail
on the Agent Configuration action because of this problem. To fix it, you must clone the template, open the
cloned template, open the Agent Configuration action, and assign the configuration you want to use. Then
the task will run successfully.
Configure Agent (Mac OS X, system configuration section only)
The configure agent action lets you select an agent configuration to install on the provisioned
device. This action should be the first thing done afterthe reboot that follows the OS install actions.
Configurations are added to the drop-down list as you create them in Agent configuration.
The configure agent action uses preferred server credentials to authenticate to the shares. This is
set in the Content replication / Preferred servers tool. A Mac OS X server has to be set as a preferred
server for this to work. The User name and Password fields in the core server's preferred server
properties are used to access the shares.
• Configuration name: Select which agent configuration to deploy in the action.

• Reboot if required: Will set a reboot to occur afterthe agent is installed.
Configure target OS (Post-OS installation section only)
This action inserts the provisioning agent (ldprovision) into an image so that the agent can be installed after
reboot. It is required for continued provisioning afterthe new OS starts. Forthis action to work, the following
conditions must be met:
1. The Windows system drive must be mounted.

2. The Windows file system must be either sysprepped or have an agent on the machine
3. Linux can't have any uncommon file systems (xfs,jfs, bobfs). The reiserfs and ext2/3 OSes are
the only current valid supported OSes.
4. The Linux root system can't be on a software RAID controller, or be on a software RAID
(md's). Real hardware RAID configurations are allowed, as long as the controller driver is
recognized by the PE.
• Insert unique ID: To use the existing device ID, select this check box and enter the device ID
in the box.
This action should be performed as the last action in the post-OS installation section because it includes a
reboot operation.
480
GUÍA DE USUARIO
Control service (System configuration section only)
The Control service action starts, stops, or restarts a specified service. The target OS must be Windows for
this action.
• Service name: The display name of the service.

• Service control action: The action to execute on the service. Can be Stop, Start, or Restart.
Copy file (all sections)
The Copy file action copies files to specific locations on the target device. Both the source and
destination can be located on a share. If this is so, you must include a Map drive action prior to the
Copy file action. The Copy file action can be recursive, meaning that all files/folders below the
source path can be copied, maintaining their original structure. Wildcard characters are supported
(such as *.exe or ld*.*).
• Source path and file name: The server/share path and file name location of the file to be
copied. If you want to copy all files and folders below the source path, no file name is
necessary.
• Destination path and file name: The server/share path and file name location to copy the file
to.
• Copy subdirectories: Copies all subfolders and files below the source.
Create directory (all sections)
The Create directory action creates a directory in the specified location and can create the parent directory,
if needed.
• Path of the directory: Type the path to the directory to be created.

• Create parent directory if needed: Select this check box to create the parent directory.
Customize mapped software (all sections)
This action allows the technician at the device being provisioned to select and install software that
was marked "customizable" in the Product to package mappings dialog box. You can access this
dialog box from the OS Provisioning toolbar by clicking Tools > Product to package mapping.
When using this action, generally add it nearthe template beginning. Once it's added, you can
configure a timeout for how long the customize mapped software prompt will appear on the device.
The default is 300 seconds. If a technician isn't thereto customize mapped software, the action will
eventually time out and whatever customizable software that was installed on the source device will
be installed on the new device.
The template must include the Install mapped software action for the changes made hereto take
effect.
Delete file (all sections)
The Delete file action removes files in specific locations on the target server. The path can be located on a
share. If this is so, you must include a Map drive action priortothe Delete file action. The Delete file action
can be recursive, meaning that all files/folders below the source path can be deleted. Wildcard characters
are supported (such as *.exe or ld*.*).
481
• Path and file name: Enter the full path and name of the file to be deleted.
• Delete subdirectories: Deletes all subfolders and files below the source.
Deploy image (OS installation section only)
This action deploys the selected image to the target serverthrough the use of the imaging tool you specify. If
the tool orthe image to be deployed are located on a share, you must place the Map drive action priorto the
Deploy image action in orderto authenticate to the share.
You must manually reboot after deploying an image.

• Select the image type: Select the type of image you want to deploy. If you select Symantec or
Other, you will also need to provide a path to the application used for imaging.
• Specify the UNC path to the image file: Enter a UNC path to the image that is deployed,
including the image file name. Configure your preferred server with valid credentials to the
share forthe image file path. This option is used when you select either IVANTI ImageW or
ImageX as the image type.
• Specify the mapped drive path to the image file: Enter a path to the image, including a drive
letter and the image file name. This option is used when you select Symantec or Other as the
image type.
• Specify the mapped drive path to the imaging tool: Enter a mapped drive path and file name
for the imaging application. This option is used when you select Symantec or Other as the
image type.
the image is deployed.
• Validate: Click this button to generate a default command line forthe imaging tool and path
you specified. You can add other command-line parameters after you click Validate, but if you
have already entered any custom parameters they will be removed when you click Validate.
Deploy an Image (Mac OS X, OS installation section only)
Use this action to deploy an image from a target device. This action uses preferred server
credentials to authenticate to the shares. This is set in the Content replication / Preferred servers
tool. A Mac OS X server has to be set as a preferred server for this to work. The User name and
Password fields in the core server's preferred server properties are used to access the shares.
The options available forthis action include:

• Specify the path to save the image file, including the name of the image file: This is to define
the smb://Server/Share/ImageFile.dmg or afp://Server/Share/ImageFile.dmg to capture the
image.
• Mac Image: Select this for Mac images.
• Validate: Click to populate the Command-line parameters field with the data provided in the
other fields.
Deploy profile (System configuration section only)
This action runs the user migration assistant to deploy one or more profiles that have been captured and
saved. To use this action, you need to know where saved profiles have been stored.
482
GUÍA DE USUARIO
To use the user migration assistant, managed devices must have the standard IVANTI agent, which includes
the Inventario scanner, local scheduler, and software distribution agents. Profile migration uses the software
distribution agent to distribute files.
• UNC path where the profile was previously saved: Specify where the profile files are saved.
Type a UNC path or click Browse and select a path. Profiles can be saved on any available
server/share, including on the core server. Profiles are saved with a .sma extension.
• Specify full filename instead of using variables: Select this check box if you don't want to
name the profile using the unique identifiers.
• File name unique identifiers: Select any combination of the computer name, MAC address,
and serial number to create the filename of each profile. (For example, if you select Serial
number and the serial number of the machine is 123A567B, the profile name will be saved as
"123A567B.sma.")
Device name prompter (available in the PreOS installation, OS installation, and Post-OS installation sections)
Use this action to prompt for keyboard input to name the device running the OS Provisioning
Template. This is optional because without it, the name is assigned from the following two steps:
• Variable: Create an "ldHostname" variable to replace text in the unattend script.

• Unattend script: Places the "ldHostname" variable into the "ComputerName" field of the
script.
These two steps assign the Hostname on the device is provisioned.
If instead, you want to allow someone to input the name, inject the Device Name Prompter action as
the first step in the Pre-OS installation section. This will allow the user to start the OS Provisioning
template, get the prompt right-away in the process, then leave to do something else. The name will
be in memory, and will be used ratherthan what is in the variable "ldHostname" inserted intothe
"ComputerName" of the unattend script.
• Timeout (seconds): This sets the amount of time to allow the user at the device to input a
name for the device. If the name and typed and the "Enter" key is pressed, the timeout
continues without further waiting. If the name is not input before the time elapses, the action
defers to the variable "ldHostname" in the "ComputerName" field of the unattend script.
Distribute software (System configuration section only)
This action distributes a software distribution package to the target. You can choose from any distribution
package that you have saved in the Distribution packages tool. This action can only be completed afterthe
agent configuration action, or after agents have been installed on the device.
• Software distribution package: Select the package you want to distribute.
Download file (all sections)
The Download file action downloads the selected file using an anonymous user (anonymous HTTP login) to
a destination you specify. If the files to be downloaded orthe destination are located on a share, you must
place the Map drive action priorto the Download file action in orderto authenticate to the share.
• Source path and file name: The current server/share path and name of the file to be
downloaded. Downloading files from a UNC path is not supported. If you want to download a
483
file from a UNC path, you should use the Map drive action to map to the UNC path, then use
the Copyfile action.
• Destination path and file name: The location the file is to be downloaded to.
• Use proxy server: Enables the proxy server option to download a file. By default, this option
is disabled. If you enable a proxy server, you must fill in the address and port fields below.
• Address: Identifies the IPaddress of your proxy server.
• Port: Identifies the port number of your proxy server.
• Requires login: Allows you to enter a username and password if the proxy server is
credentialed instead of a transparent proxy server.
• User name: Enter a valid user name with authentication credentials to the proxy server.
• Use a variable for the password: Select this check box to use a variable for the
password. This variable is set in Template variables under Sensitive data type. Enter
the variable name in the Password box enclosed in percent signs (%variablename%).
For more information, see "Define a template variable" (466).
• Password: Enter the user's password. Confirm the password in the Confirm password
box.
Download from preferred server (all sections)
This action uses content replication to download data from a preferred server to the target device.
The download can be a single file orthe Contenidos of a folder (including subfolders) on the source
server. To use this action, you must have configured at least one preferred server using the Content
replication tool. The choice of which preferred server is used depends on the settings you made
when you set up preferred servers in the Content replication tool.
• Source: Specify the path to the file or folder you want to download. This path must exist on all
shares that are used for preferred server downloads.
• Download directory: Select this check box to download the entire folder specified in the
Source box. If this is cleared, only the file you specify will be downloaded.
• Destination: Specify the path on the target device to which you want to copy the file or folder.
• Preferred download locations: The three check boxes let you specify which download
sources you want to use. They are listed in the order of priority: if all three boxes are
selected, a peer download is attempted first, followed by a preferred server, and finally a
source download.
• Attempt peer: Select this check box to first attempt a peer download. The replicator will
first check local peers for source files that it is replicating. If the replicator can't find
the files on a peer, it will then attempt to get the file from a preferred server or the
source server. This option can reduce the traffic load on preferred and source servers.
• Attempt preferred server: Select this check box to download from a preferred server. If
the replicator can't find the file on a preferred server, it will then attempt to get the file
from the source server.
• Allow source: Select this check box to download from the file source. This is
recommended only as a secondary option if a peer download or preferred server
download can't be completed.
484
GUÍA DE USUARIO
• Bandwidth used from core or preferred server: Adjusts the priority of this specific task over
other network traffic. The higher the percentage slider is set, the greater the amount of
bandwidth being used by this task over any other traffic. WAN connections are usually
slower, so it is most often recommended to set this slider at a lower percentage.
• Bandwidth used peer-to-peer: Adjusts the priority of this specific task over other network
traffic. The higher the percentage slider is set, the greater the amount of bandwidth being
used by this task over any other traffic. LAN connections are usually fasterthan WAN
connections, so it is most often recommended to set this slider at a higher percentage than
that of the WAN.
Execute file (all sections)
The Execute file action executes the selected file on the targeted server, along with any command-
line parameters or return codes you specify.
• Target path and file name: The location of the file you want to execute.
• Command-line parameters: Enter any command-line parameters that customize the way the
file is executed.
• Working directory: The program will be executed with reference to this directory. Any
supporting files of the program should reside in this directory. Command-line parameters
start from this reference point.
• Expected return value: The value expected to be returned by the application upon execution.
Can be Any, equals (=), less than (<), greater than (>), or Between. If the value is to be
anything other than Any, enter the values to be expected in the boxes provided.
• Insert: Opens the Environment variable dialog box, where you can add an environment
variable and its value.
• Name: Type the name of the environment variable of the file. Use double percent signs
to specify environment variables (for example, %%windir%%\system32\calc.exe).
• Value: Enterthevalueofthevariable.
• Modify: Modify the selected variable.
• Remove: Delete the selected variable.
• Capture command output: When this check box is selected, output from the executable is
written to a log file. Clear the check box to avoid capturing the output.
Hardware-independent imaging (Post-OS installation only)
The Hardware-independent imaging action includes the hardware-independent imaging tool

(hiiclient.exe) in the provisioning process. Hardware-independent imaging (HI I) lets you create a
single repository of device drivers that can be injected into provisioning templates or deployment
scripts. A base image is installed on the device, and the HII tool then injects drivers that are specific
to the device model.
This action is only included in the System configuration or the Post-OS installation section for
templates based on the Windows preboot environment. After the OS is installed, but before the
device reboots, the HII tool detects the device model and retrieves drivers for that model. The drivers
are installed onto the device and their information is included in the registry. After a reboot, when
485
the OS starts it configures the drivers.
You can also use HII to associate SWD packages with drivers. This works well with drivers that are
only in an executable (.EXE) format.
• Using UNC to download driver files: select this check box to specify that only UNC is used to
access the HII repository.
If you use this action, include a Reboot action after it in the Post-OS installation section.
Inject script (all sections)
This action injects a script into the target OS filesystem. For example, you can inject sysprep.inf into the
Deploy image action or unattend.txt into a Scripted install action. The scripts that you can select are those in
the Install scripts list (accessed from the Install scripts button on the Provisioning toolbar) that can be
applied to the current template.
Injecting a script copies the file to the local machine and also replaces any variables within the file. This
action is useful when you want to replace variables in any text file, such as a Windows Sysprep answer file.
• Script name: The name of the script.

• Target file name: The location of the script you want to inject.
Install mapped software (System configuration section only)
This action installs software detected on a target device which is monitored in the Software License
Monitoring tool (for more information, see "Informacion general sobre la monitorizacion de licencias
de software" (362)).
Use this action to install software using the rapid software deployment feature as configured in the
Product to Package Mapping tool, which can be launched by clicking the Product to Package
Mapping icon "lion the OS provisioning toolbar.
[[TBD, replace screen shot]]
In the Product to Package Mappings tool, you can assign SLM Products to distribution packages.
This assignment sets which software will be installed on the newly provisioned device. The ability to
make these assignments enables upgrading an older version of software to a newer version, as part
486
GUÍA DE USUARIO
of an OS Provisioning task.
• SLM Products: Populates with all software applications in the SLM tool's Monitored section.
• SWD Packages: Shows all distribution packages that are created and available to be installed.
• Remove Assignment: Allows removing the assignment so the software will NOT be deployed
as part of the Install Mapped Software action.
• Critical: Selecting this checkbox is analogous to selecting the Stop processing the template if
this action fails checkbox for a template action. When selected, if the particular software fails
to install, the action fails and will NOT continue to install other software associated as a part
of the Install Mapped Software action. When unchecked, even if the particular software
package fails to install, the task will continue to install other distribution packages assigned
to SLM products. (All software which is attempted to be installed by the action is logged in
the OS Provisioning Template History.)
• Disable: Selecting this checkbox means that although a product may be assigned, it will NOT
be installed as a part of the Install Mapped Software action. The use case scenario for
selecting this is fortesting purposes. While testing, do not install the software which has the
Disable box selected, while you test other software as a part of this action, then, after all
testing is complete, you can clear the Disable box and have the action install all assigned
software.
Install service (System configuration section only)

The target OS must be Windows for this action.
• Display name: The name you want to display to represent the service.
• Service name: The name of the service.
• Service description: A description of the service
• Target path and file name: The location of the service you want to install.
the service is installed.
• Service startup type: Can be Manual, Automatic, or Disabled.

• Interactive service: Select this option to display on the desktop any user interface that can be
used by the logged-in user when the service is started. This includes any message boxes the
service may invoke during the installation process. If this check box is not selected, the
template runs without user interaction, assuming the default selections of any service
messages. If the service displays any messages during startup, it may cause the template to
pause until the message dialog box is closed.
Join domain (System configuration section only)
Use this action to have the device join a domain orworkgroup. For domains, you will also need to provide
credentials for an account that has rights to add devices to domains.
• Select operation type: Can be Join domain or Join workgroup.

• Name: Name of the domain or workgroup the device should join.
487
• OU: OU in the domain [[TBD, need more detail]]

• Username: Type the username required to authenticate to the domain.
• Use a variable for the password: Select this check box to use a variable for the password.
This variable is set in Template variables under Sensitive data type. Enter the variable name
in the Password box enclosed in percent signs (%variablename%). For more information, see
"Define a template variable" (466).
• Password: Enter the corresponding password to the username above. Confirm the password
in the Confirm password box.
Launch template (all sections)
Use this action to launch another template as the next action, by clicking Select New Template. This
action will start a new template targeting the device matched in the Machine Mappings tool. If no
device is matched, the device will target itself, allowing templates to be chained.
The use case for this is when a user has a device that is being replaced with a new device. The OS
Provisioning template can capture a profile and other information from the original device, and then
the Launch Template action can deploy the desired operating system and the profile (captured from
the original device) onto the new device, as well as continue installing desired software on the new
device.
For more information on machine mapping, see "About the Machine Mapping tool" (453).
Map/Unmap drive (all sections)
Use this action to map or unmap (disconnect) a drive on Windows devices, or for Linux devices,
connect or disconnect to a resource. Note that some systems do not accept drive mappings below
drive H.
• Map/Unmap a drive: Select whether this action is to map or unmap (disconnect) a drive, or to
connect or disconnect a resource (Linux devices).
• UNC path: Enter the server and share you want to map to.
• Resource path to disconnect: When disconnecting a resource, specify the path to be
disconnected.
• Drive letter/Mount point: Enter the drive letter you to map the path to. If you chose to unmap a
drive, type the name of the drive you want to disconnect. For Linux, specify the mount point
on which the resource or filesystem is mounted.
• User name: Enter the name of the user credential to log on to the drive.
• Use variable for the password: Select this check box to use a variable for the password. This
variable is set in Template variables under Sensitive data type. Enter the variable name in the
Password box enclosed in percent signs (%variablename%). For more information, see
• Password: Enter the corresponding password to the username above. Confirm the password
in
the Confirm password box.
Map/Unmap drive to preferred server (all sections)
488
GUÍA DE USUARIO
This action maps a drive on the target device to a path on a preferred server (or the source server).
The drive mapping stays in effect until the drive is explicitly unmapped (disconnected), so you
should include an Unmap action in a template after an action that downloads data from a preferred
server. To use this action, you must have configured at least one preferred server using the Content
replication tool. The choice of which preferred server is used depends on the settings you made
when you set up preferred servers in the Content replication tool.
• Drive letter: Enter the drive letter you want to map the path to. If you chose to unmap a drive,
type the name of the drive you want to disconnect.
• Unmap drive: Select this check box if the action is to unmap a drive. The action will simply
unmap (disconnect) the drive you specified in Drive letter.
• Path: Enter the path to the drive in UNC format (\\sharename\path). This path must exist on
the source server and all shares that are used for preferred server downloads.
• Attempt preferred server: Select this check box to first attempt to map the drive to the nearest
preferred server that contains the specified folder structure. If no preferred server is found
with the folder structure, an attempt will then be made to map the drive to the path on the
source server.
• Require preferred server: Select this check box to map the drive to the nearest preferred
server that contains the specified folder structure. If no preferred server is found with the
folder structure, the task fails (rather than map to the source server).
• Don't allow preferred server: Select this check box to map the drive to the path on the source
server, without mapping to a preferred server.
Mount ISO (Mac OS X, all sections)
Use this action to mount an ISO image.
489
• Image name and path: Enter the \\server\share\file.iso information.
• Mount point: Enter the desired mount point.
Partition (Pre-OS installation, OS installation, Post-OS installation sections only)
The Partition action lets you complete a variety of actions relating to partitions on the target server.
Select partition actions from the Action type list. The actions are listed below.
NOTE: The boot environment and target OS must be set prior to executing this action.
O
Create partition: Create a partition on the specified disk.
• Disk: Type the disk ID. On Windows, it is the disk number. On Linux, it is the name of the disk.
• Partition type: Select the partition type. This can be Primary, Extended, or Logical.
• Size: The size of the partition to be created, in MB.
• Offset: A number (in 8-bit byte format) indicating how far into the disk you want to create the
partition.
• Start: The start position of the partition (cylinder number).
• End: The end position of the partition (cylinder number).
Remove partition: Delete a partition on the specified disk.
• Remove from disk: Type the disk ID. On Windows, it is the disk number. On Linux, it is the
name of the disk.
• Partition ID: The partition number to be removed.
Remove all partitions: Delete all partitions on the disk.
• Remove from disk: Type the disk ID. On Windows, it is the disk number. On Linux, it is the
name of the disk.
Format partition: Create a file system structure on a partition.
• Logical disk drive letter: The drive letter of the partition to be formatted (Windows).
• Partition: The device name of the partition to be formatted (Linux).
• File system: For Windows, the file systems are FAT, FAT32, and NTFS. For Linux, the file
systems are ext2, ext3, reiserfs, and linux-swap.
• Quick format: Select this check box to perform a quick format on the partition.
Mount partition: Mount a partition.
• Disk: The disk number to be mounted (Windows).

• Partition: The device name of the partition (Linux).
• Partition ID: The partition number to be mounted (Windows).

• File system: For Linux, the file systems are ext2, ext3, and reiserfs.
490
GUÍA DE USUARIO
• File path to mount: The name of the partition to be mounted. The mount point must exist
(Linux).
• Logical disk drive letter to create: The drive letter of the partition to be mounted (Windows).
Unmount partition: Unmount a partition.
• Disk: The disk numberto be unmounted.

• Partition ID: For Windows, the partition numberto be unmounted. For Linux, the device name
of the partition.
• Logical diskdrive letter to remove: The drive letter of the partition to be unmounted
(Windows).
• Mount point to unmount: The name of the partition to be unmounted (Linux). The mount point
must exist.
Make bootable: Make a partition bootable.

• Disk: The disk numberto be made bootable. For Windows, this is the disk number. For Linux,
this is the name of the disk.
• Partition ID: The partition numberto be made bootable.
• Bootable: Select the check box to make the partition bootable.
• Windows 7/Windows 2008 R2 with a separate system partition: Select this check box to create
a separate OS partition.
• OS partition ID: The partition number for the separate OS partition.
Expand partition: Expands the last partition on the drive. Free space must be available.
• Disk: The disk numberto be mounted.

• Partition ID: For Windows, the partition numberto be mounted. For Linux, the device name of
the partition.
• Size: The new size of the partition in MB (Windows). If you leave this blank, the partition will
be expanded to fill the disk.
• Start: The start position of the partition (cylinder number).
• End: The end position of the partition (cylinder number).
Partition (Mac OS X, available in pre-OS installation, OS installation, and post-OS installation sections)
The Partition action lets you complete a variety of actions relating to partitions on the target server.
• Action type: Use this field to select a partition action. Option include: create a partition,
remove all partitions, format a partition, mount a partition, unmount a partition, or resize a
partition. NOTE: The Boot environment and target OS must be set prior to executing this
action.
• Disk ID: Type the disk ID (Windows: disk number) or (Linux: name of the disk).
• Partitions: Use this field to select and name partitions.
You can specify a size in MB or a percentage of the disk. Be sure the amount of disk space exists.
This action will overwrite anything that currently exists. If you do not specify a size on a partition,
(this can only be left empty on the last partition) the remainder of the disk will be assigned the last
partition.
Patch system (System configuration section only)
491
The Patch system action scans the target device for vulnerabilities and remediates them. This action
can only run after a Configuration action that installs the Software updates agent is run.
• Scan only: Scans the machine for vulnerabilities.

• Scan and remediate vulnerability: Scans the machine for vulnerabilities, and fixes (where
possible) the vulnerability.
• Scan and remediate group: Scans the machine for vulnerabilities and fixes the vulnerabilities
included in the group.
• Vulnerability ID: A valid vulnerability ID from Patch Manager. If the ID is not valid, the action
will fail.
• Group ID: A valid group ID from Patch Manager. If the ID is not valid, the action will fail. You
can click the Group ID list button to select a vulnerability group that you have created.
The core vulnerability definitions should be updated prior to executing this action. All patches to be
remediated must be downloaded on the core before executing either remediation option in this
action.
Reboot/Shutdown (all sections)
Reboot or shut down the server. A reboot must immediately follow the OS install action. Upon
reboot, the provisioning agent restarts the template to continue the progression of provisioning
tasks. Use the Reboot action to move from System migration section to OS sections or OS sections
to System configuration section. Multiple reboots are supported.
• Reboot: Shut down the server and restart it.

• Shut down: Shut down the server at the end of the provisioning task and leave it powered
down (off). You must make sure that this action is the last action in the template, or additional
actions will not be completed.
• Boot to managed WinPE (virtual boot): Boot the client machine into a managed WinPE
environment. Actions will be executed as instructed by the core server. This option is for use
when there is no PXE server in the network for provisioning.
• Confirmation message timeout: Specify the number of seconds that a confirmation message
is displayed before it times out.
Replace text (all sections)
Replace text in an existing file.
• Source path and filename: The path and filename of the file to have text replaced.
• Find what: The existing text that is to be replaced.
• Replace with: The text that is to take the place of the existing text.
• Replace first occurrence, Replace all occurrences: Replace the new text either the first time it
is encountered or every time it is encountered.
Scripted install (OS installation section only)
Install an operating system through the use of custom scripts. There can only be one action that installs an
OS.
492
GUÍA DE USUARIO
Windows
• UNC path to installation source: This is a path where the executable file is found within the
installation source. This must have been mounted within the Pre-OS Install section (Map drive
action).
• Domain and user name: Enter a domain and user name to log on to the device on which the
executable file resides.
• Use variable for the password: Select this check box to use a variable for the password. This
variable is set in Template variables under Sensitive data type. Enter the variable name in the
Password box enclosed in percent signs (%variablename%). For more information, see
• Password: Enter the password to log on to the device. Confirm the password in the Confirm
password box.
• Additional parameters passed to setup: Parameters to be passed to the install file when it is
executed. For Winnt32, the Provisioning handler automatically fills in the unattend (/unattend)
and the source arguments (/s). These are generated from the path that was given in the
Winnt32 path, and from the script that has been selected.
• Installation script: The unattend file used when installing the operating system.
• Force reboot: Select this check box to require a reboot after the OS has been installed.
Linux
• Location of the initrd: The location of the Initial RAMdisk file. The default is
/x86pc/undi/provlinux/initrd.img.
• Kernel location: The location of the Linux kernel.
• Additional parameters passed on boot: Parameters to be passed to initrd when it is executed.
• Installation script: The unattend file used when installing the operating system.
Uninstall service (System configuration section only)
U ninstall a service on the target device.
• Service name: The name of the service to be uninstalled.
Unzip file (all sections)

Unzip the Contenidos of a package to a predetermined location. This action can restore original structure.
• Source path and file name: The path and file name of the package to be unzipped.
• Target path: The location where the package is to be unzipped. If this is an existing
directory/folder, any duplicate filenames will be overwritten.
• Create target directory if it doesn't already exist: If the target does not exist, select this check
box to create it automatically.
Update registry (System configuration section only)
This action adds or removes keys or values to the registry, or imports a registry (.reg) file. Editing the
registry incorrectly may damage your system, potentially rendering it inoperable. Before making changes
to the registry, you should back up any valued data on your computer.
493
Select an operation from the Registry operation list.

• Delete key: Remove a registry key's expected folder and path.
• Delete value: Remove the expected value of the key.
• Create key: Create a folder on the left side of the Registry Editor.
• Import file: Import a registry file.
• Set value: Create a value. The data entered is interpreted as a value determined by the Type
list.
• Key: Enter the key to create or delete.
• Value: Enter the value to create or delete.
• Datum: Enter data to be saved in a value.
• Type: Select a data type. This can be String Value, Expanded string value, Binary Value,
DWord Value, or Multi-String Value.
• Import file Contenidos: Type a description of the registry file to be imported.
• Import data from registry file: Type the full path to the registry file, or click Browse to find it,
then click Import file.
Wait (all sections)
Pause the template execution for a specified time or until a required file has been created.
• Time: Pause the template execution for a period of time.
• Number of seconds to wait: Type the number of seconds for which to pause the template.
• File: Pause the template execution until a file has been created.
• Wait for file to exist: Pause the action until the specified path and file exists. This is useful
when an action requires an application to install a file. When the file is created, the next
action in the template is executed.
• Maximum number of seconds to wait: Type the number of seconds to wait for the file to be
created. If the time passes and the file isn't created, the template continues with the next
action.
Windows Refresh (available in the System Configuration section only)
Act upon a target device with a Windows 8 or later OS. These options call the Windows actions for
Update and recovery.
• Reset: If you want to recycle your PC or start over completely, you can reset it to its factory
settings. Select this option to remove everything and reinstall Windows. This will use the
.wim file included in a default image without reformatting the drive.
• Fully clean the drive: Select this checkbox to format the drive prior to overwriting the
drive with the .wim file.
• Use default local WIM: Select this checkbox to use the .wim file included in the default
OS.
• UNC path including WIM filename to use: Type the UNC path and file name of the .wim
file to use. The Use default local WIM checkbox must be cleared to enable this option.
• Refresh: Select to refresh the target PC without affecting the user profile items, such as My
494
GUÍA DE USUARIO
Documents, My Music, My Pictures, and so on. This uses a .wim file to overwrite the drive
without affecting the user profile items.
• Use default local WIM: Select this checkboxto use the .WIM file included in the default
OS.
• UNC path including WIM filename to use: Type the UNC path and file name of the WIM
file to use. The Use default local WIM checkbox must be cleared to enable this option.
• Create and assign local WIM: Select to refresh the image with the .wim file included in the
default OS.
• UNC path including WIM filename to use: Type the UNC path and file name of the .wim
file to use and replace as the local .wim file for future use.
• Assign specified image as local WIM: Select to refresh the image with the .wim file designated
in the UNC path including WIM filename to use field.
• UNC path including WIM filename to use: Type the path and file name of the .wim to
use to refresh the image.
Template properties
Use the template Properties view to display the template information from the time the template was
created.
To view template properties

2. Under Provisioning templates, click Public or My templates or one of their subgroups.
3. Right-click a template, and click Properties. The following information is displayed:
• Template name: The name of the template.

• Description: The description of the template.
• Owner name: The core server and login name of the person who has rights to run the
template. If the template is in a Public folder, this name is Public User.
• Boot environment: The preboot environment the template boots into (Windows PE).
• Target OS: The target operating system of the template (for example: Windows,
Windows Vista, Windows 2008 Server, Linux, SuSE Pro 9.3, or Red Hat 4 Workstation).
Templates in the My templates folder are visible to others but can only be edited by the template's
creator or users with Administrator rights.
Despliegue basado en PXE

PXE-based deployment overview
Provisioning supports PXE booting and image deployment. With PXE-based deployment, you can
boot both new and existing PXE-enabled devices and either execute a provisioning script at the
device from a custom PXE DOS boot menu, or scan devices into your core database and then
schedule an image deployment job with the Scheduled tasks tool.
495
PXE-based deployment is a useful way to image devices in a variety of situations, such as:
• Initial provisioning of new devices

• Imaging devices in a test or training lab
• Re-imaging corrupted devices
IVANTI Endpoint Manager offers several options for using PXE to deploy OS images:
• IVANTI managed boot, which lets you pre-target devices for imaging
• A PXE boot menu, which lets you interactively select an option for a device
• A PXE holding queue, which automatically adds devices to a queue when they PXE boot
PXE protocol basics
PXE (Preboot Execution Environment) is an industry-standard networking protocol that enables

devices to be booted and imaged from the network, by downloading and installing an executable
image file from an image server before the device boots from the local hard drive. On a PXE-enabled
device, the PXE protocol is loaded from either the network adapter's flash memory or ROM, or from
the system BIOS.
PXE uses the following communication standards:
• DHCP (Dynamic Host Configuration Protocol)

• TFTP (Trivial File Transfer Protocol)
• MTFTP (Multicast Trivial File Transfer Protocol)
496
GUÍA DE USUARIO
When a PXE-enabled device boots up, it sends out a DHCP discovery request. If a DHCP server
implementing PXE is found, the server assigns an IP address to the device and sends information
about available PXE boot servers. After completing the DHCP discovery process, the device
contacts the PXE server and downloads an image file through TFTP. The imaging script is then
executed, loading the OS image from the imaging server onto the device. The image file is
referenced by an provisioning script.
To learn more about PXE and its underlying technologies and functionality, read the PXE
Specification v2.1 located at
http://download.intel.com/design/archives/wfm/downloads/pxespec.pdf.
Using PXE representatives

PXE support software is installed on your core server as part of the normal OS Provisioning
installation. However, to enable PXE support, you must first configure PXE settings and then deploy
a PXE representative on each subnet of your network where you want PXE support available. PXE
representatives provide scalability on your network by deploying OS images to devices in their
respective subnets.
Devices on each subnet use normal PXE query and file transfer methods to communicate with their
resident PXE representative, which communicates with the core server using Web services (HTTP).
NOTE: Disable other PXE servers

If there is any other PXE server currently running on your network, you must first disable it in order to use IVANTI
PXE support.
Deploying PXE representatives
You need to deploy one PXE representative on each subnet where you want to provide PXE boot
support. Set up a PXE representative by running the PXE Representative Deployment script on the
selected device. This predefined script is available in the Distribution packages tool (click Tools >
Distribution > Distribution packages, then click the All packages folder).
You can have multiple PXE representatives on a subnet to help with load-balancing. When this is
the case, the first PXE representative to respond to a device's request is the one that will be used to
communicate with the core server.
NOTE: We recommend that you do not deploy a PXE representative on your core server.
There are no special hardware requirements for the device you select to be a PXE representative,
but it must be running Windows and have the standard Ivanti agent on it.
497
Updating Windows PE images
When you modify a Windows PE image in anyway, the changes you make must be transferred to all
PXE representatives. Normally this is done by re-deploying the PXE representatives, which can take
up bandwidth andtime. For information about scripts you can usethat simply copythe updated
Windows PE image to all PXE representatives, see the following document at the IVANTI User
Community:
Deploy a PXE representative

You need to deploy one PXE representative on each subnet where you want to provide PXE boot
support. Set up a PXE representative by running the PXE Representative Deployment script on the
selected device.
To deploy a PXE representative
1. In the Consola, click Tools > Distribution > Distribution packages.

2. In the Distribution packages tree, click the All packages tree item. Click the PXE
representative deployment script, and then click the Create scheduled task toolbar button.
3. In the Consola's network view, select the target device on which you want to install PXE
services.
4. Drag and drop the selected device to the PXE Representative deployment task in the
Scheduled tasks window.
5. Right-click the PXE Representative deployment task, click Properties, and finish configuring
the task.
Remove a PXE representative

If you no longer want a device to be a PXE representative, you can remove the PXE software from it.
To remove PXE representatives
1. In the Consola, click Tools > Distribution > Distribution packages.

2. In the Distribution packages tree, click the All packages tree item. Click the PXE
representative removal script, and then click the Create scheduled task toolbar button.
3. Drag and drop the target devices to the appropriate task in the Scheduled tasks window.
4. Right-click the task, click Properties, and finish configuring the task.
Configuring the PXE boot prompt

You can control how the PXE boot prompt behaves when devices attempt to PXE boot.
498
GUÍA DE USUARIO
When a PXE-enabled device boots up, a DHCP request attempts to initiate a PXE session by looking
for a server (or proxy) running PXE services software (PXE and MTFTP) services. If the device
discovers a PXE server, the PXE boot prompt displays on the device for a specified number of
seconds. Press the F8 function key during this countdown to access the PXE boot menu and select
an OS image to deploy on the device.
To configure PXE boot prompt options

2. In the toolbar, click Preboot > PXE boot options.
3. Enter a value (in seconds) in the Timeout option. The default value is 4 seconds. The
maximum number of seconds you can enter is 60 seconds.
4. Type a message in the Message box. The default message is "Press F8 to view menu." The
maximum number of characters you can type is 75 characters.
5. Click Save to save your changes.
Changes to PXE boot options immediately take effect on all PXE representatives.
499
Hardware independent imaging

Hardware-independent imaging overview
As you deploy images to your managed devices, it's challenging to maintain many different images
based on different hardware configurations. New hardware requires new drivers and existing
hardware may have updated drivers you want to deploy. Rather than maintain dozens or hundreds
of individual images for various hardware configurations, you can use hardware-independent
imaging (HI I) to deploy a base image to different devices and then automatically add the drivers that
are required for each type of hardware.
Hardware-independent imaging helps resolve common problems with imaging managed devices.
For example, the hardware abstraction layer (HAL) .dll files need to be accurately chosen or the
device may reboot to a black screen after imaging. Operating systems typically don't have the ability
to recognize mass storage devices correctly, so it's important to have the right drivers when
imaging. Also, manufacturers often have hardware-specific plug-and-play device drivers or they
build driver dependencies into their applications, so it's possible to create new problems when
imaging a device with the wrong drivers. With the hardware-independent imaging tool in IVANTI
Endpoint Manager you can avoid these types of problems and have greater control over the use of
drivers in your managed devices.
You can use hardware-independent imaging with images from any imaging tool. You can define the
images with the tool you prefer then create imaging scripts in Endpoint Manager that incorporate
the HII tool. If you already have images created with another tool, you'll be able to re-use them rather
than create new scripts.
A simplified description of the HII process is as follows. Details about the specific steps you'll need
to follow and considerations for different types of images are described in the related help topics
listed at the end of this topic.
1. When you deploy an image created using HI I, the imaging script boots the device to
the Windows preboot environment. In the preboot environment, the HII tool will
select the appropriate HAL .dll file and load it.
2. The OS is installed on the device, but before the OS boots, the HII imaging script determines
which drivers are required by the device and copies the driver files to the device's hard disk.
3. The drivers are added to the device's registry, so that when the OS boots, the Windows setup
detects the new drivers, installs them, and configures the device with the drivers.
4. Windows then restarts with the drivers running and the IVANTI agent is installed.
Setting up hardware-independent imaging
To implement hardware-independent imaging with OS provisioning scripts or templates, create a

repository of drivers that will be available to the imaging tool. These drivers are used on the
hardware you want to image, including audio, video, network, mass storage device, and other types
of device drivers.
500
GUÍA DE USUARIO
Store the drivers in one location on a preferred server and ensure that the path is accessible by both
UNC and HTTP methods.
If HII isn't assigning the right drivers in some cases, manually assign the drivers you want in the HII
Assign dialog box.
When the hardware-independent imaging tool runs it will detect the device manufacturer and model
and then download the associated drivers and install them on the device during the imaging
process.
Related topics
"Creating a driver repository" (500)
"Using hardware-independent imaging with provisioning templates" (502).
Creating a driver repository

As you plan and define the images you want to use for managed devices, you'll decide which drivers
you want to use. To use these drivers for hardware-independent imaging, you create a repository of
drivers that is saved in one location (by default, on the Endpoint Manager core server). The drivers
are then available for any deployment or provisioning script you want to run.
This location needs to be available as a UNC path and also as an HTTP location (URL) because HI I
relies on both methods to download drivers.
Your HII driver repository must be located on a preferred server, which you can define in Tools >
Provisioning > Content Replication/Preferred Servers.
To create a repository, you need to save the driver files in a folder. You must include a .inf file for
each driver. The HII tool scans the folder and creates a drivers.db3 file that is used to match device
hardware with the appropriate drivers.
To create a driver repository
1. Click Tools > Provisioning > HII Driver Management.

2. Click the Build library button on the toolbar.
3. Verify that the repository location is correct as a UNC path. If driver files are stored in a
different location, click Browse and select your repository folder.
4. Verify that the URL to the same repository location is correct.

5. Click Save. The HII tool scans the repository folder and builds a list of drivers. When it is
complete, a success message indicates a repository file count (how many files were found)
and the number of drivers processed (how many individual drivers were found).
6. Each time you add driver files to the repository folder, repeat steps 1-5 to update the
drivers.db3 file with the new data.
501
Disabling HII drivers

If there are drivers in your repository that you no longer want to use, you can find them in the
repository and disable them. They will no longer be used when you use provisioning scripts that
include hardware-independent imaging.
To disable drivers in your HII library

2. Click the Disable Drivers button on the toolbar.
3. To search by name in the driver library, type all or part of the driver filename and click
Search.
4. To filter your search, select items in the OS and Architecture lists.
Items matching your search specifications are listed under Devices.
5. Select one or multiple items in the list, or click Select All.

6. Click Update or Update and Close to change the status of the drivers. If you click Update and
Close you'll be returned tothe HII Driver Management tool.
Assigning HII drivers

By default, HII autodetects the correct drivers for a device by using drivers from your driver
repository ("Creating a driver repository" (500)). However, HII sometimes has problems choosing the
right driver because there are multiple matches for a device or the drivers don't match well. If this
happens, use the HII Assign dialog boxto customize HII driver detection and assignments.
When you install Endpoint Manager agents on a computer, the agents send that computer's HII
driver detection information to the core server. That computer model is then available in the HII
Driver Management dialog box, where you can preview and customize HII driver detection for that
model.
When manually assigning HII drivers, you can usea mix of manually-assigned and auto-detected
drivers.
There are three ways you can customize HI I driver detection and installation:
• .inf File: Select specific driver .inf files found in your driver library.
• Driver Package: Select software distribution packages that can install drivers.
• Auto Detection: Select a device and preview HII driver detection for it. You can then assign
new drivers manually from your library if necessary.
To assign a driver to hardware for use in HII

2. Click the Assign button on the toolbar.
502
GUÍA DE USUARIO
3. Select the Make and Model of the hardware.

4. Select the OS and Architecture to associate with the driver.
5. Select the driver source you want, either .inf File, Driver Package, or Auto Detection, and
customize that source.
Using hardware-independent imaging with provisioning

templates
You can incorporate hardware-independent imaging into a provisioning template for Windows
devices, if the template meets these requirements:
• It must be based on the Windows PE boot environment

• It must use Windows Sysprep to configure the OS image
To incorporate hardware-independent imaging,you need to add an HII option in the Post-OS

installation section of the template so the HII tool runs after the operating system is installed. The
HII tool automatically selects the manufacturer and model of the device you are provisioning, based
on the strings in the device's BIOS.
To include hardware-independent imaging in a provisioning template

2. Under Provisioning templates, select a Windows-based template. Right-click the template
and select Edit. Or, to create a new template, click the New provisioning template button on
the toolbar, name the template, select the Windows PE boot environment, and select the
target OS.
3. Click Action list, then click the Post-OS installation section.

4. Click Add. Type a name and description forthe action (such as HII), and then select Hardware-
independent imaging from the Type list. Click OK.
5. To specify that only UNC is used to access the HII repository, select the Using UNC to
download driver files check box.
6. If you want to allow unsigned drivers, select Force unsigned drivers to install.
7. Click Apply to save the HII action with the template, then add any other actions to the
template. Note that you should include a Reboot action in the Post-OS installation section
after the HII action.
8. Modify any other variables, included templates, or other settings for the template, and click
OK when you have finished.
503
IVANTI SmartVue
Bienvenido a IVANTI SmartVue
Utilice IVANTI® SmartVue para ver la informacion clave de los procesos de TI que tengan impacto
sobre la productividad del usuario, el rendimiento del sistema y la seguridad extrema. SmartVue
muestra el valor de TI de la organizacion y es ideal para GO,jefes de departamento, y directores de
TI que necesiten informacion oportuna para la toma de decisiones y las conversaciones
empresariales. De forma predeterminada, SmartVue se instala en cada servidor central.
SmartVue le ofrece datos para compartir sobre exitos, retos o necesidades del departamento de
TI. Tambien se puede utilizar para realizar un seguimiento de objetivos, acuerdos a nivel de
servicios o indicadores de rendimiento clave.
Con SmartVue, vera graficos visuales y organigramas en su iPhone o iPad, que se generan a partir
de datos de administracion y de seguridad almacenados en el servidor central de IVANTI, como:
• Dispositivos administrados
• Sistemas operativos
• Procesos de revision
• Administracion de energfa
• Control remoto
• Seguridad
• Software
• Actualizaciones de Windows
En el Tablero de resultados puede ver los graficos de SmartVue que muestran los datos del
servidor central. No obstante, para ver los datos agregados de todos los servidores, debe verlos
en la aplicacion de SmartVue.
Otras funciones clave incluyen:

• Informacion para compartir a traves de exportaciones en PDF
• Filtros de hora y ubicacion de todos los registros
• Integracion con iBooks para imprimir directamente desde el iPhone o el iPad
• Conectividad con otros productos de IVANTI, como Service Desk
504
GUÍA DE USUARIO
Programar la recopilacion de datos SmartVue

La aplicacion SmartVue no muestra datos en tiempo real. En su lugar, actualiza los datos una vez al
dfa. Se puede cambiar la frecuencia predeterminada en el cuadro de dialogo Configuration de
SmartVue.
Cada widget de la aplicacion iOS SmartVue funciona mediante una serie de consultas a la base de
datos. Estas consultas se deben ejecutar con regularidad, entonces la aplicacion mostrara los datos
basandose en la ultima vez que se ejecutaron dichas consultas. Para obtener mas informacion,
consulte "Modificar los widgets de SmartVue" (509).
Cuando ejecute SmartVue por primera vez en el servidor central, debena iniciar inmediatamente un
ciclo de recopilacion de datos para que disponga de datos que visualizar en la aplicacion.
Para programar inmediatamente un ciclo de recopilacion de datos de SmartVue
1. En la consola de administracion, haga clicen Configurar > Configuracion de SmartVuey, a

continuacion, en la pagina Programador.
2. Haga clic en Iniciar ahora y en Aceptar.

3. Monitorice el progreso de la tarea en la herramienta Tareas programadas. Haga clic en
505
Herramientas > Distribution > Tareas programadas, y haga clicen Todas las tareas >
SmartVue.
En cuanto disponga de algunos datos de SmartVue en la base de datos, podra configurar un

programa de recopilacion de datos periodico. La mayona de widgets recopilan datos mensualmente,
portanto sera suficiente si ejecuta la recopilacion de datos una vez al dfa.
Para programar un ciclo de recopilacion de datos de SmartVue periodico
1. En la consola de administracion, haga clicen Configurar > Configuration de SmartVuey, a

continuacion, en la pagina Programador.
2. Haga clic en Repetir.

3. Seleccione el programa para Cada hora, Cada dâ o Semanalmente.
4. Configure el intervalo seleccionado.
Configuracion de fuentes de datos de SmartVue

De manera predeterminada, SmartVue recopila datos del servidor central donde se instalo. Puede
agregar fuentes de datos en el cuadro de dialogo Configuracion de SmartVue. Cualquier servidor
puede ser un servidor de referencia y puede especificar en que servidores desea publicary de
cuales desea extraer informacion. Al reenviar los datos a otro servidor central, puede crear una
jerarqma de servidores.
Si se va a conectar a una fuente de datos personalizada, puede introducir su propio nombre. Tenga
en cuenta que el nombre de Fuente de datos, que distingue mayusculas y minusculas, tambien se
debe introducir en el archivo de configuracion del widget .XML que hace referencia a la misma. El
atributo que debe coincidir es <DataDefinition datasource="">.
Para configurar fuentes de datos
1. En la consola de administracion, haga clicen Configurar > Configuracion de SmartVuey, a

continuacion, en la pagina Fuentes y servidores centrales de bases de datos.
2. Haga clic en Agregar o seleccione una fuente de datos existentey haga clic en Editar.
3. Introduzca la informacion de la fuente de datos y las credenciales de la base de datos.
Configurar ubicaciones de SmartVue

Si administra dispositivos en diferentes ubicaciones, puede configurar SmartVue para que agrupe
los dispositivos por ubicacion. Utilice la pagina Ubicacion (Configurar > Configuracion de
SmartVue) y, a continuacion, haga clic en la pagina Ubicacion para configurar el modo en que
SmartVue determina la ubicacion del dispositivo. Dispone de tres opciones:
. LDAP
506
GUÍA DE USUARIO
• Consultas publicas LDMS
Solo puede escoger un unico metodo de ubicacion.
Configurar ubicaciones de LDAP

Cuando el escaner del inventario rastrea un dispositivo administrado que pertenece a un Active
Directory, el escaner muestra la ruta de ubicacion del dispositivo. Puede decir a SmartVue que parte
de que ruta contiene el texto de ubicacion que desea utilizar.
En la pagina Ubicacion del dialogo Configuration de SmartVue, seleccione LDAP. La pagina muestra
una muestra de la ruta de ubicacion que ha encontrado el rastreo del inventario. El cuadro de texto
que aparece bajo la ruta de muestra lista los elementos de la ruta basandose en el delimitador que
haya especificado (por defecto, /). Seleccione el elemento de la ruta que contenga el texto de
ubicacion que desee que utilice SmartVue.
Configurar las ubicaciones de nombre de los dispositivos

Si los dispositivos que administra cuentan con un prefijo de ubicacion estandarizado en el nombre
del dispositivo (por ejemplo, un prefijo de ciudad de tres letras), lo puede introducir aqrn. Debera
introducir la posicion inicial y la longitud del caracter. Seleccione los caracteres de la entrada de
muestra y el cuadro de dialogo introducira automaticamente los valores de la seleccion. Tenga en
cuenta que el primer caracter del nombre del dispositivo es 1, no 0.
Solo puede configurar una unica plantilla de ubicacion de nombre de dispositivo.
Configurar ubicaciones de consulta publica de LDMS

Si tiene consultas que identifiquen equipos por ubicacion, puede utilizar la opcion de ubicacion de
consulta publica. El resultado de cada consulta se corresponde con una ubicacion. Puede agregar
varias consultas. Una vez seleccionadas las consultas que desee, haga clic en Nombre de ubicacion
y personalfcelo. El Nombre de ubicacion es el que aparece en los resultados del widget.
Uso de la aplicacion iOS de SmartVue

Para utilizar la aplicacion iOS de SmartVue, necesita:
1. Programar y ejecutar la utilidad de recopilacion de datos de SmartVue (LDGatherData.exe)

para que los datos del servidor central esten disponibles para la aplicacion iOS de SmartVue.
2. Otorgar permiso el permiso de SmartVue a los usuarios de la aplicacion SmartVue, para que
puedan iniciar sesion en el servidor central desde la aplicacion movil (Herramientas >
Administration > Administration de usuarios). Los administradores de IVANTI tienen este
permiso por defecto.
507
3. (Opcional) Configurar las conexiones adicionales de la base de datos a otros

servidores centrales, servidores de IVANTI Service Desk o fuentes de datos
personalizados.
4. Instalar la aplicacion iOS en el dispositivo movil. Descargar la aplicacion "LD-SmartVue" de
iTunes: https://itunes.apple.com/us/app/ld-smartvue/id572070098.
Una vez completados estos prerrequisitos, podra iniciar sesion en el servidor central.
Para conectarse a un servidor central de SmartVue desde la aplicacion iOS
1. En el dispositivo movil, inicie SmartVue.
2. En el cuadro de dialogo Configuration, introduzca el Nombre de usuario y Contrasena de

IVANTI.
3. La URL central sera http://<nombre del equipoydireccion IPdel servidor central>. Porejemplo,
http://myIVANTIcore.
Una vez la aplicacion se haya conectado, podra navegar los datos que haya recopilado la utilidad de
recopilacion de datos. Consulte la pantalla de ayuda si tiene dudas sobre como utilizar la aplicacion:
76% K>
Favorrtos
Administre sus favoritos
Seleccione de la lista de
categories
Presion
e y
manten Seleccione un fittro de
ga un ubicacidn
grafico para anadir a favorites
Seleccione un filtro de
tiempo
Renovar vista actual
Configurar la aplicacibn
508
GUÍA DE USUARIO
La aplicacion iOS se conecta al servidor central para obtener datos del widget cuando muestra por
primera vez una categona y cuando cambia las categonas. Navegar dentro de una categona no
iniciara las actualizaciones de datos del widget.
509
Uso de la aplicacion web SmartVue

IVANTI Endpoint Manager 9.5 SP1 incluye la aplicacion web SmartVue a la que se accede desde los
siguientes navegadores:
• Versiones de IE recientes con la Vista de compatibilidad deshabilitada

• Chrome
• Firefox
• Safari para Macintosh
Cuando SmartVue esta configurada, se puede acceder a la aplicacion web desde aqm:
• http://<corename>/smartvueweb
Si se utiliza el dispositivo IVANTI Cloud Services y desea acceder a SmartVue desde Internet, utilice
URL con los siguientes formatos:
Para exploradores basados en Chrome:
• https://<CSA_public_name>/rtc/<corename>/smartvueweb
Para otros navegadores (tenga en cuenta la barra diagonal [/] que aparece al final de la URL):
• https://<CSA_public_name>/rtc/<corename>/smartvueweb/
Arquitectura de SmartVue
Los servidores centrales disponen de tres servicios web. Los servicios web utilizan el servicio de
token STS existente en el servidor central para la autenticacion/seguridad.
• SmartVueData: Acepta los datos publicados por LDGatherData.exe.

• SmartVue: Proporciona datos a la aplicacion movil de SmartVue.
• Dashboardl: Administra la visualizacion de widgets en la aplicacion movil de SmartVue.
Configuracion crea estas tablas nuevas en la base de datos central:
• SmartVueData
• SmartVueLocationData
• SmartVueQueryLocations
• SmartVueWidgets
• SmartVueUserWidgets
• SmartVueConnections
• SmartVueSettings
LDGatherData.exe publica los resultados en el servicio web SmartVueData, que a continuacion

coloca los datos en las tablas de SmartVueData y SmartVueLocationData.
510
GUÍA DE USUARIO
Con enlaces lentos, se instala LDGatherData.exe a nivel local. Entonces podra programarlo para que
se ejecute cuando desee. Cuando se ejecuta, obtiene los archivos XML mas recientes desde el
punto del servidor central y publica los datos en el punto de los servidores centrales del servicio
web de SmartVueData.
Modificar los widgets de SmartVue

Cada categona de widgets de SmartVue se define en un archivo XML que el instalador de SmartVue
coloca en el servidor de referencia. Estos archivos se pueden modificar para agregar, cambiar o
eliminar los widgets que se muestran en la aplicacion movil de SmartVue. Los archivos XML se
guardan aqrn o en el servidor de referencia:
• C:\Program Files\IVANTI\ManagementSuite\SmartVueDef.
NOTE: Cuando se ejecuta el programa LDGatherData.exe de SmartVue, este crea una carpeta .\SmartVue que
tambien contiene archivos XML. No edite estos archivos. Si modifica un archivo .\SmartVueDef XML, el archivo
correspondiente de .\SmartVue quedara sobrescrito cuando se ejecute LDGatherData.exe.
Asegurese de que crea una copia de seguridad de todos los archivos XML que planee editar antes
de realizar cualquier cambio.
Aqrn aparece la estructura basica de XML:

<?xml version="1.0" encoding="utf-8" ?>
<DataDefinition name="" id="" datasource="">
<Definitions>
<Definition name="" id="" controlType="" dataSet="">
<Sql>
</Sql>
<TotalSQL>
</TotalSQL>
<LocationSQL>
</LocationSQL>
<Controls>
<Control title="" columns="" />
</Controls>
</Definition>
</Definitions>
</DataDefinition>
Cada widget contiene una definicion de widget y tres juegos de consultas.
• <SQL>: Recopila datos para el widget.

• <TotalSQL>: Consulta los datos de SQL que se recopilaron y los devuelve al widget.
• <LocationSQL>: Se incluye en los resultados de consultas SQLtotales con la informacion de
ubicacion que se configuro en el servidor de referencia. En el servidor de referencia,
configure las ubicaciones en Configurar > Configuration de SmartVue > Ubicacion. Puede
definir las ubicaciones basandose en un directorio LDAP, en una cadena de prefijos del
nombre de dispositivo del equipo o en una consulta publica de LDMS.
Las secciones siguientes ofrecen mas informacion sobre los atributos del elemento XML.
511
</DataDefinition>
. name: Categona nombre. Este nombre se utiliza en la condicion DONDE de la seccion

<TotalSQL>.
• id: La Id. unica para esta definicion. Esta Id. se utiliza en la cadena de consultas del
navegador. No puede contener espacios o caracteres como &.
• datasource: El tipo de fuente de datos de la base de datos. Distingue entre mayusculas y
minusculas y debe coincidir exactamente con la Fuente de datos que especifico en el cuadro
de dialogo Agregar base de datos (Configurar > Configuration de SmartVue > Base de datos,
haga clic en Agregar o Editar).
</Definition>
• name: El tftulo del widget. Este nombre se utiliza en la condicion DONDE de la seccion
<TotalSQL>.
• id: La Id. unica para este widget. No puede contener espacios.

• controlType: El tipo de widget que se utilizara para estos datos. Debe ser uno de los
siguientes:
• BarTemplate
• BurnDownTemplate
• ColumnTemplate
• DonutTemplate
• LineTemplate
• PercentBallTemplate
• PercentBarTemplate
• PieTemplate
• RadialTemplate
• dataSet: El formato de datos de respuesta, bien "row" o "column". Por ejemplo, si los datos
se muestran en un formato en que el contador 1 aparece en la columna 1, el contador 2
aparece en la columna 2, etc. los datos se han ajustado como "column". Si el informe de SQL
aparece con varias filas, el ajuste sera "row".
• seriesData: Especifique "bymonth" si es para datos de widget basados en tiempo.. Puede ver
ejemplos en Remotecontrol.xml. Esto funciona bien con plantillas basadas en barras.
<SQL>
Contiene las consultas de SQL que obtienen datos para el widget.
<TotalSQL>
Contiene las consultas de SQL que devuelven datos al widget.
512
GUÍA DE USUARIO
La orden y los nombres de las columnas son importantes. El nombre de la columna debe aparecer
en primer lugar. Si quiere al diferente a "Data Count" o "Count", debera nombrar la primera columna
DataName (seleccionar a.columname DataName, ...). El recuento debe aparecer en la segunda
columna, en la lista de seleccion, y debe denominarse DataCount. Si cuenta con datos de fila, debe
ser una SUM. (seleccionar a.columnname DataName, SUM(a.DataCount) DataCount,...).
Si desea que los datos se muestren por fecha (en el eje y), la ultima columna de la clausula SELECT
debe ser ReportDate (seleccionar a.columnname DataName, SUM(a.DataCount) DataCount,
a.ReportDate FROM...).
La condicion a.CountType="" debe contener el <DataDefinition name=""> y el <Definition name="">

que especifico antes en el archivo XML, sin espacio que separe los dos nombres.
Por ejemplo, si <DataDefinition name="Power Managements y <Definition name="Devices under

Power Management"^ a.CountType= sena "Power ManagementDevices Under Power Management".
Elementos que no pertenecen a SQL en las consultas de la seccion TotalSQL
#SVTABLE# es un lugar de marcador que se utiliza para determinar si las consultas buscan datos
espedficos por ubicacion o no. Este marcador se sustituye de manera dinamica.
Los marcadores #SVWHERE#y#SVTIME# se utilizan para determinar si la consulta debe basarse en

ubicacion o en tiempo, segun la seleccion del usuario en la aplicacion. Existen dos tipos de widgets,
basados en tiempo (presentados por graficos de barras) o basados en la ubicacion (presentados
por graficos circulares). Los datos basados en la ubicacion no suelen contar con un periodo de
tiempo asociado. Los widgets basados en tiempo utilizan contadores de datos mensuales.
<LocationSQL>
Une los datos con la ubicacion.
Ajuste las ubicacion del servidor de referencia haciendo clic en Configurar > Configuration de
SmartVue > ubicacion. Puede definir las ubicaciones basandose en un directorio LDAP, en una
cadena de prefijos del nombre de dispositivo del equipo o en una consulta publica de LDMS. Solo
puede escoger una.
<Controls>, <Control>
Define los datos de la fila o la columna y los tftulos que debera mostrar el widget. Actualmente,
SmartVue no utiliza esta seccion.
Activar widgets
Cuando se anaden o se modifican archivos XML de la carpeta C:\Program
Files\IVANTI\ManagementSuite\SmartVueDef, los cambios no seran visibles en la aplicacion movil
de SmartVue hasta que se ejecute el programa de recopilacion de datos:
• C:\Program Files\IVANTI\ManagementSuite\LDGatherData.exe
513
Si especifico un programa de recopilacion de datos para SmartVue, se ejecutara en ese momento. Si

desea ejecutarlo directamente, haga lo siguiente.
Para actualizar los datos de SmartVue
1. Haga clic en Configurar > Configuracion de SmartVue > Programador.

2. Haga clic en Iniciar ahora.
El proceso LDGatherData.exe tardara unos minutos en completarse.
Acerca del cuadro de dialogo Configuracion de SmartVue

El cuadro de dialogo Configuracion de SmartVue (Configurar > Configuracion de SmartVue) solo
esta disponible en el servidor central. Utilice este cuadro de dialogo para configurar las conexiones
de la base de datos de SmartVue, los metodos de ubicacion y los programas de recopilacion de
datos.
• "Acerca de la pagina Fuentes de bases de datos y servidores centrales" (512)

• "Acerca de la pagina Ubicacion" (512)
• "Acerca de la pagina Programador" (513)
Acerca de la pagina Fuentes de bases de datos y servidores centrales

Utilice la pagina Fuentes de bases de datos y servidores centrales para anadir a la base de datos
fuentes de datos desde donde SmartVue los pueda recopilar. Para obtener mas informacion,
consulte "Configuracion de fuentes de datos de SmartVue" (505).
Acerca del cuadro de dialogo Agregar bases de datos

• Data source (Origen de datos): Si se va a conectar a una base de datos de Endpoint Manager
o de Service Desk, lleve a cabo la seleccion correspondiente, o introduzca el nombre de la
fuente de datos personalizada.
• Nombre en pantalla: Nombre descriptivo para la fuente de datos. Este nombre aparece en la
lista principal de la base de datos de configuracion de SmartVue.
• Servidor: Nombre del equipo que aloja la base de datos a la que va a anadir una conexion.
• Base de datos: Nombre de la base de datos del servidor que especifico.
• Nombre de usuario y contrasena: Credenciales de la base de datos que dan acceso a la
misma.
Cuando haga clic en Aceptar, SmartVue utilizara la informacion que haya proporcionado para
conectarse a la base de datos. Si la conexion falla, vera un mensaje de error con informacion
adicional.
514
GUÍA DE USUARIO
Acerca de la pagina Ubicacion

Utilice la pagina de Ubicacion para configurar el modo en que SmartVue determina la ubicacion del
dispositivo. Dispone detres opciones:
. LDAP
• Consultas publicas LDMS
Para obtener mas informacion, consulte "Configurar ubicaciones de SmartVue" (505).
Acerca de la pagina Programador

La pagina Programador controla cuando se ejecuta la utilidad de recopilacion de datos de
SmartVue, LDGatherData.exe. Esta utilidad recopila datos desde el servidor central en el que esta
instalado y cualquier otra fuente de datos que haya configurado. Esta utilidad no se ejecuta
automaticamente ni tiene un programa predeterminado. Debe crear un programa o ejecutarla
manualmente.
La pagina Programador contiene las opciones siguientes:

• Dejar sin programar: Es la opcion predeterminada. LDGatherData.exe no esta programado
para ejecutarse.
• Iniciar ahora: Ejecuta LDGatherData.exe cuando hace clic en Aceptar. Si ha configurado
previamente un programa de repeticion, este se borrara. Si desea retomar un programa de
repeticion despues de utilizar la opcion Iniciar ahora, debera volver a seleccionar Repetiry
volver a configurarlo.
• Repetir: Ejecuta LDGatherData.exe en el programa de repeticion que especifique. Puede
escoger intervalos de Cada hora, Cada dâ o Semanales. Si selecciona Cada hora, el
programa se ejecuta cada hora (ihora por determinar?). Si selecciona Cada dâ, puede
seleccionar la hora que desee. Si selecciona Semanal, puede seleccionar el dfa de la semana
y la hora que desee.
515
Local accounts
Informacion general sobre cuentas locales
Las cuentas locales constituyen una herramienta administrativa que se utiliza para administrar los
usuarios y grupos en los equipos locales de la red. En la consola puede agregary eliminar usuarios
y grupos, agregary eliminar usuarios de los grupos, definiry cambiar contrasenas, modificar las
configuraciones de usuarioy de grupo, y creartareas para restablecer contrasenas en varios
dispositivos. Para que funcione la administracion de cuentas local, el Agente de IVANTI estandar se
debe instalar. Si un dispositivo se encuentra apagado o desconectado de la red, no podra utilizar las
cuentas locales para administrar el dispositivo.
O NOTE: al utilizar las cuentas locales, el servidor central se comunica con otros dispositivos casi en tiempo
real.
Administrar grupos de usuarios locales

Puede agregar, eliminar y modificar grupos en un equipo local desde la consola.
Para agregar un grupo
1. En la Vista de red de la consola haga clic en Dispositivos > Todos los dispositivos.
2. Haga clic con el boton derecho en el dispositivo que desee administrar y seleccione
Administrar usuarios y grupos locales.
3. En el cuadro de dialogo Usuarios y grupos locales, haga clic con el boton derecho en Grupos
y haga clic en Agregar.
4. En el cuadro de dialogo Nuevo grupo, escriba un nombre de grupo y una descripcion.

5. (Opcional) Haga clic en Agregar para agregar usuarios al grupo.
Para eliminar un grupo
3. En el cuadro de dialogo Usuarios y grupos locales, haga clic en Grupos.

4. Haga clic con el boton derecho en el grupo que desee eliminar y haga clic en Eliminar.
5. Haga clic en S^ para verificar el procedimiento.
516
GUÍA DE USUARIO
Para modificar un grupo

4. Haga clic con el boton derecho en el grupo que desee modificar y haga clic en Modificar.
5. Realice los cambios al grupo y luego haga clic en Aceptar.
Administrar usuarios locales

Puede agregar, eliminary modificar usuarios en un equipo local desde la consola.
Para agregar un usuario
3. En el cuadro de dialogo Usuarios y grupos locales, haga clic con el boton derecho en
Usuarios y haga clic en Agregar.
4. En el cuadro de dialogo Nuevo usuario, escriba un nombre de usuario, un nombre completo y

una contrasena.
5. Escriba una contrasena, confirme la misma y especifique las opciones de contrasena.

Para eliminar un usuario
3. En el cuadro de dialogo Usuarios y grupos locales, haga clic en Usuarios.

4. Haga clic con el boton derecho en el usuario que desee eliminary haga clic en Eliminar.
5. Haga clic en S^ para verificar el procedimiento.
Para modificar un usuario

4. Haga clic con el boton derecho en el usuario que desee modificar y haga clic en Modificar.
5. Haga los cambios a las propiedades del usuario y luego haga clic en Aceptar.
517
Asignar usuarios a grupos

Hay dos metodos para agregar a y eliminar de los grupos usuarios de un cliente local cuando se
trabaja desde la consola. El primer metodo le permite agregar a o eliminar de un grupo varios
usuarios, uno a la vez. El segundo metodo permite agregar, o eliminar, el usuario seleccionado a, o
de, uno o mas grupos.
Para agregar usuarios a un grupo

4. Haga clic con el boton derecho en el grupo al cual desee agregar usuarios y haga clic en
Modificar.
5. En el cuadro de dialogo Modificar grupo, haga clic en Agregar.
6. Seleccione los usuarios que desee agregar al grupo y haga clic en Agregar>>.
8. Haga clic en Aceptar en el cuadro de dialogo Modificar grupo.
Para agregar un usuario a uno o mas grupos

4. Haga clic con el boton derecho en el usuario que desee agregar a uno o mas grupos y haga
clic
en Modificar.
5. En el cuadro de dialogo Modificar usuario, haga clic en la pestana Miembro de.
6. Haga clic en Agregar.
7. Seleccione los grupos a los cuales desea que pertenezca el usuario y haga clic en Agregar>>.
9. En el cuadro de dialogo Modificar usuario, haga clic en Aceptar.
Para eliminar usuarios de un grupo

4. Haga clic con el boton derecho en el grupo del cual desee eliminar usuarios y haga clic en
Modificar.
518
GUÍA DE USUARIO
5. Seleccione los usuarios que desee eliminar haga clic en Eliminar>>.

Para eliminar un usuario de uno o mas grupos

4. Haga clic con el boton derecho en el usuario que desee eliminar de uno o mas grupos y haga
clic en Modificar.
5. En el cuadro de dialogo Modificar usuario, haga clic en la pestana Miembro de.

6. Seleccione los grupos de los cuales desea eliminar el usuario y haga clicen Eliminar>>.
Cambiar la contrasena de la cuenta local

Puede cambiar la contrasena de los usuarios de un equipo local desde la consola.
Para cambiar la contrasena de usuario.

4. Haga clic con el boton derecho en el usuario cuya contrasena desea cambiar y luego haga
clic
en Definir contrasena.
5. Escriba la contrasena nueva, conffrmela y haga clic en Aceptar.
6. Haga clic en Aceptar para verificar que se ha cambiado la contrasena de forma satisfactoria.
Restablecer la contrasena de la cuenta local

Puede crear una tarea programada para restablecer la contrasena de un nombre de usuario
espedfico. Una vez que se ha programado la tarea, se dirigira a la herramienta Tareas programadas,
en la cual puede especificar los dispositivos de destino y la hora de inicio. Por ejemplo, en una
cuenta local puede crear una tarea para restablecer la contrasena del nombre de usuario
Administrador. A continuacion, designe los dispositivos de destino y programe en que momento se
ejecuta la tarea.
Una vez que se ejecuta la tarea, todos los administradores que deseen autenticarse en los
dispositivos de destino deben utilizar la contrasena nueva.
Para restablecer la contrasena
519

4. Haga clic en el icono Programar.
5. En el cuadro de dialogo Programar tarea, inserte el nombre de usuario cuya contrasena
desee restablecer. Puede seleccionar un nombre de usuario existente en la lista o escribir
uno distinto.
6. Escriba la contrasena nueva, conffrmela y haga clic en Programar.

7. En la herramienta Tareas programadas, haga clic con el boton derecho en la tarea
programada y haga clic en Propiedades.
8. En el cuadro de dialogo Tareas programadas - Propiedades, designe los dispositivos de

destinoy escriba la informacion de programacion.
Utilizar la herramienta de cuentas locales en el servidor

central
Debido a que el servidor central es un nodo de la red y tiene cuentas locales, puede utilizar la
herramienta de cuentas locales para realizar tareas administrativas en el servidor, al igual que la
consola misma. Puede agregar IVANTI usuarios a la consola mediante la creacion de usuarios
locales yagregandolos al grupo de IVANTI Endpoint Manager, IVANTI Script Writers o IVANTI
Administrators. Esto le permite realizar tareas administrativas en la consola, sin tener que utilizar el
sistema de administracion de cuentas locales nativo, tal como la funcion Administracion de equipos
de Windows.
Si lo prefiere, aun puede utilizar el sistema de administracion de cuentas locales nativo para
administrar las cuentas locales. Puede tener acceso a los dispositivos de forma directa, controlar
los equipos desde la consola de forma remota o utilizar una herramienta de terceros para el acceso
a los dispositivos y la realizacion de tareas administrativas.
Para obtener mas informacion sobre el uso de la consola para realizar la administracion de cuentas
locales, consulte "Informacion general sobre la administracion basada en roles" (54).
Ayuda de la administracion de cuentas locales

Acerca del cuadro de dialogo Nuevo usuario
Utilice este cuadro de dialogo para crear un nuevo usuario. Para obtener mas informacion, consulte
"Administrar usuarios locales" (515).
• Nombre de usuario: especifica el nombre de usuario para el usuario nuevo

• Nombre completo: especifica el nombre completo del usuario.
• Descripcion: ofrece una descripcion del usuario
• Contrasena: especifica la contrasena para que el usuario se autentique en la consola.
520
GUÍA DE USUARIO
• Confirmar contrasena: confirma la contrasena.

• El usuario debe cambiar contrasena en la siguiente sesion: hace que el usuario tenga que
cambiar la contrasena durante el inicio de sesion inicial en la consola.
• El usuario no puede cambiar la contrasena: evita que los usuarios cambien la contrasena.
• La contrasena nunca vence: hace que la contrasena no venza nunca, para que el usuario no
tenga que cambiarla.
• La cuenta esta desactivada: desactiva la cuenta.
Acerca del cuadro de dialogo Modificar usuario
Utilice este cuadro de dialogo para modificar las propiedades del usuario. El cuadro de dialogo
consta
de tres pestanas de configuracion, General, Miembro dey Perfil.
Para obtener mas informacion, consulte "Administrar usuarios locales" (515).
Pestana de General
Utilice esta pagina de configuracion para especificar el nombre, el nombre completo y la descripcion
del usuario. Tambien se pueden cambiar algunas propiedades de cuenta.
• Nombre de usuario: especifica el nombre del usuario (si esta disponible).
• Nombre completo: especifica el nombre completo del usuario.
• Descripcion: especifica la descripcion del usuario
• El usuario debe cambiar contrasena en la siguiente sesion: especifica si el usuario tiene que
cambiar la contrasena durante el inicio de sesion en la consola.
• El usuario no puede cambiar la contrasena: especifica si el usuario puede cambiar la
contrasena.
• La contrasena nunca vence: especifica si la contrasena se vence.
• La cuenta esta desactivada: especifica si la cuenta esta desactivada.
• La cuenta esta bloqueada: si una cuenta esta bloqueada, esta opcion esta disponible. En
general, las cuentas se bloquean cuando el usuario ha tratado de iniciar sesion a su cuenta
sin exito mas de tres veces en una sesion. Esta opcion desbloquea la cuenta de manera que
el usuario pueda autenticarse en el sistema operativo.
Pestana de Miembro de
Utilice esta pagina de configuracion para asignar usuarios a los grupos.
• Grupos Seleccionados: muestra los grupos a los cuales pertenece el usuario.

• Agregar: inicia el cuadro de dialogo Seleccionar grupos, el cual le permite agregar los grupos
a los cuales desea que pertenezca el usuario.
• Quitar: elimina el usuario de los grupos seleccionados yelimina los grupos de la lista.
Perfil
Utilice esta pagina de configuracion para especificar la informacion de cuenta del usuario.
• Ruta de acceso del perfil del usuario: especifica la ruta de red a la cuenta y al perfil
521
del usuario.
• Secuencia de comandos de inicio de sesion: especifica las secuencias de comandos de
inicio de sesion.
• Ruta de acceso local: especifica una ruta local como directorio inicial.
• Conectar: especifica un directorio de red como directorio inicial. Seleccione una unidad e
inserte la ruta de red.
Acerca del cuadro de dialogo de Propiedades de grupo
Utilice este cuadro de dialogo para configurar el grupo. Para obtener mas informacion, consulte
"Administrar grupos de usuarios locales" (514).
• Nombre de grupo: especifica el nombre del grupo.

• Descripcion: ofrece una descripcion del grupo.
• Miembros: muestra los usuarios que pertenecen al grupo.
• Agregar: Inicia el cuadro de dialogo Seleccionar usuarios, el cual le permite agregar usuarios
al grupo.
• Quitar: elimina el usuario seleccionado del grupo.
522
GUÍA DE USUARIO
Managing Macintosh devices

Macintosh device management overview
IVANTI Endpoint Manager provides system management for Apple Macintosh computers and
devices. This helps you automate system management tasks throughout the enterprise. From the
IVANTI Management Consola, you can
• Gather and analyze detailed hardware and software Inventario data from each device
• Use the data to select targets for software distributions and to establish policies for
automated configuration management
• Manage software licenses to save costs and monitor compliance with license agreements
• Remote control devices to resolve problems or perform routine maintenance
• Protect your devices from a variety of prevalent security risks and exposures
• Keep track of your Inventario and produce informative reports.
This topic describes how to use IVANTI Endpoint Manager to manage Macintosh computers. It lists
specific information on Macintosh-related tasks, tools, features, and functionality. For more
information about using tools and features to manage your network, refer to the help topic for each
tool.
Supported OS versions
For information on supported Mac OS X versions, see this document on the Ivanti Community:
Agent configuration for Macintosh devices

IVANTI Endpoint Manager uses agent configurations to gain control of devices and manage them.
Macintosh agent configurations are pushed to unmanaged Macintosh devices using the same
process used to push agents to Windows devices.
The Default Mac Configuration package contains the required agent for controlling Macintosh
devices. In order to manage your Macintosh devices, you need to:
1. Create a Mac configuration with the Agent Configuration tool

2. Deploy the Mac agent to your Mac devices
After the agents have been installed, your Macintosh devices become managed devices. Then you
can create custom configurations to have greater control of these devices. Custom agents are easily
implemented once your devices are managed.
fl NOTE: All devices must support TCP/IP.

Deploying agents to Macintosh devices that use Secure Shell (SSH)
523
To place agents on Macintosh devices that have Secure Shell (SSH) turned on, you must specify the
SSH login credentials for the unmanaged Mac devices by selecting Configure > Services > Scheduler
> Change Login from the Windows Consola. You can then use the same push-based agent
deployment you would use for Windows devices.
Deploying and installing agents on Macintosh devices that do not use Secure Shell (SSH)
To place agents on Macintosh devices that do not have Secure Shell (SSH) turned on, you will need
to decide on an alternate deployment method, such as:
• Accessing the agent from LDLogon/Mac using a Web browser and e-mailing the configuration
package to users.
• Putting the configuration package on a CD or other removable media and taking it to each
Macintosh device.
Deploying agent configurations for Macintosh devices
Use the Agent configuration tool to create and update (replace) custom configurations for your
Macintosh devices. You can create different configurations for your specific needs, such as
changing Inventario scanner settings, remote control permissions, or what network protocols the
agents use.
In orderto push a configuration to devices, you need to create or update an agent configuration and
then schedule the task.
Create or update the agent configuration
Set up specific configurations for your devices. Don't use parentheses in your Macintosh agent
configuration names. Parentheses in the name will cause the deployment task to fail.
To create an agent configuration for Macintosh devices
1. Click Tools > Configuration > Agent configuration.

2. Select a configuration group (My configurations or Public configurations). On the toolbar,
click
the New agent configuration button > New Mac agent configuration.
3. Complete the options in the Agent configuration dialog box. For more information, see "Using
the Macintosh agent configuration dialog" (523).
4. Click Save.
To update an agent configuration

2. Right-click the agent configuration to be updated and select Properties.
3. Make the updates to the agent configuration.
4. Click Save.
Schedule the agent configuration
524
GUÍA DE USUARIO
You can push agent configurations to devices that have the standard IVANTI agent installed. Use the
Scheduled tasks tool to deploy your new or updated agent configuration.
To schedule an agent configuration for Macintosh devices

2. Right-click the agent configuration to be scheduled and select Schedule agent deployment.
3. From the network view, drag devices, groups, or queries onto the task to target devices for
the task.
4. Select the task, click the Properties button on the toolbar, and schedule a time to start the
task.
Manually running agent configurations for Macintosh devices
You can manually run agent configurations for Macintosh devices once they have been created or
updated. When you create an agent configuration, the following file is created in the LDLogon/Mac
folder on your core server:
• <agent configuration name>.mpkg.zip
The LDLogon/Mac folder is a Web share and should be accessible from any browser. Follow the
instructions for installing the agent (see "Manually running agent configurations for Macintosh
devices" (523)), but insert your agent configuration file name instead of the default file name.
Uninstalling Macintosh agents
To uninstall Macintosh agents, run uninstallmacagent.sh from\\<core>\ldmain.
Using the Macintosh agent configuration dialog
This section describes the agent configuration dialog for Macintosh devices. The dialog includes the
following pages:
• Start
• Application policy management
• Inventario
• Remote control
• Standard IVANTI agent
• Patch and compliance scan
• Antivirus
• Tenant
• OSX profiles
About the Start page
• Configuration name: Type a unique name for the agent configuration.
• Default configuration: Select this check box to make this the default Macintosh agent
configuration
525
• Agent components to install: Standard IVANTI agent is selected by default. You can also
select IVANTI Antivirus.
• Do not run client status menu: Select this check box if you don't want end users to see the
status bar menu that lets them run installs and scans.
About the Application policy management page
Use this page to configure settings for the policy-based distribution agent.
• TCP port number: Specifies the port the policy-based distribution agent will use to
communicate with the core server. The default port is 12176. You'll need to make sure this
port is open on any firewalls between devices and the core server. If you change this port,
you'll also need to change it on the core server. You can change the port the QIP server
service uses by editing the following registry key: HKLM\Software\Intel\Ivanti\LDWM\QIPSrvr
• Run when IP address changes: If selected, a scan is triggered when the IP address changes.
• Change settings: Changes settings and configures a custom schedule based on time, day of
week or month, and whether a user is logged. The default schedule is to run a scan everyday
with a random delay of up to one hour.
About the Inventario page
Use this page to configure the Inventario scanner.
• Send scan to LDMS core server: Sends the scan information to the core server database.
• Save scan in directory: The directory where the data from the scan is saved. If you select
both the core server option and this option, the scan information will go to both locations.
• Choose scan components: Select the components you want to scan. Not selecting all
components may slightly increase scanning speed.
• Force software scan: Forces the device to do a software scan with each Inventario scan,
regardless of whether the core server indicates one is due.
• Run when IP address changes: The IP address trigger sends only a mini scan to the core
server, which makes the Inventario much faster in IP address changes.
week or month, and whether a user is logged in. The default schedule is to run a scan
everyday with a random delay of up to one hour.
About the Remote control page
Use this page to configure the remote control agent.
• Local template: This is the most basic security, using whatever remote control settings are
specified on the device. This model doesn't require any other authentication or group
membership.
• Integrated security: This is the most secure option. Integrated security follows this
communication flow:
1. The remote control viewer connects to the managed device's remote control agent, but
526
GUÍA DE USUARIO
the agent replies that integrated security authentication is required.

2. The viewer requests remote control rights from the core server.
3. The core server calculates remote control rights based on the viewer's scope, role-
based administration rights, and Active Directory rights. The core server then creates a
secure signed document and passes it back to the viewer.
4. The viewer sends this document to the remote control agent on the managed device,
which verifies the signed document. If everything is correct, the agent allows remote
control to begin.
• Permission required: Prompts the user for permission to be remote-controlled whenever
someone initiates a remote control session. If the user isn't at the keyboard or denies
permission, the remote control session won't start.
• Open applications and files: Permits a remote user to open files on this device.
• Copy items: Permits a remote user to copy files to and from this device.
• Delete and rename items: Permits a remote user to delete or rename files that reside on this
device.
• Lock keyboard and mouse: Permits a remote user to lock your keyboard and mouse during a
remote control session. This option prevents you from interfering with remote actions.
• Blank screen: Permits a remote user to make your screen go blank during a remote control
session. This option is useful if your device contains sensitive documents that an
administrator may need to open remotely without letting others read if they happen to walk
byyour device monitor.
• Restart and shut down: Permits a remote user to restart or shut down your device.
• Control and observe: Permits a remote user to remote control and observe your actions on
this device. The administrator can't do anything except watch your actions.
• Alert when observing: When a remote control session is active, displays a visual cue in the
menu bar.
About the Standard IVANTI agent page
Use this page to configure agent security and management scope. For more information on agent
security, see "Seguridad del agente y certificados de confianza" (120). For more information on
scope, see "Informacion general sobre la administracion basada en roles" (54).
• Trusted certificates: Lists the certificates on the core server. The client must have a
certificate that matches the certificate on the core server for agent communication to be
authorized. These certificates are used to authenticate agent communication. You can enter a
domain name or IP address forthe client to use when communicating with the core server.
The remote control agent for Macintosh doesn't use a certificate.
• Path: Defines the device's computer location Inventario attribute. Scopes are used by role-
based administration to control user access to devices, and can be based on this custom
directory path. The path is optional.
About the Patch and compliance scan page
527
Use this page to configure scheduling for patch and compliance scans.
week or month, and whether a user is logged in. The default schedule is to run a scan
everyday with a random delay of up to one hour.
• Use alternate update server: Specify a different core server to use for patch and compliance
updates if the main core server is not available.
• Scan and repair settings: Select the settings that you want to use for patch and compliance
scans.
• Configure: View all available scan and repair settings. Edit or create new settings and select
the settings that you want to use for patch and compliance scans.
About the Antivirus page
Use this page to specify which antivirus settings are included with the agent.
• IVANTI Antivirus settings: Select the settings that you want to use for antivirus scans.
• Configure: View all available antivirus settings. Edit or create new settings and select the
settings that you want to use for antivirus scans.
• Include Antivirus setup files: Antivirus setup files (which are 158 MB) are included when the
Macintosh agent is scheduled and downloaded to the Macintosh device.
• Exclude Antivirus setup files: When the Macintosh agent is deployed, the Antivirus setup files
are downloaded from the core server. This makes the agent package smaller.
About the Tenant page
Use this page if you have the Tenant management add-on for Endpoint Manager. You can assign an
agent configuration to a tenant within your organization.
• Assign a tenant to this configuration: Select this check box if this Macintosh agent
configuration is only used with a tenant in your organization.
• Choose a tenant: Select a tenant from the list of available tenants that have been defined in
the IVANTI Management Consola.
About the OSX profiles page
Use this page if you want to use an OSX profile with the Macintosh agent.
• Apply OSX profiles to this configuration: select this check box to use an OSX profile with this
Macintosh agent.
• Choose which OSX profiles to apply: Select the settings to use with this Macintosh agent.
• Configure: View all available OSX profile settings. Edit or create new settings and select the
settings that you want to use for this Macintosh agent.
528
GUÍA DE USUARIO
Connect to the core server through the IVANTI Cloud

Services Appliance
There are two options for configuring managed Macintosh devices to connect to the core through
the IVANTI Cloud Services Appliance (formerly the IVANTI Management Gateway):
• Push the configuration to mobile devices while they are attached to the local network. This is
an easy way to configure mobile devices so they can connect through the IVANTI Cloud
Services Appliance after they are disconnected from the local network. This type of
configuration enables IVANTI Endpoint Manager functionality through the appliance without
the necessity of manually configuring individual managed devices.
• Manually configure each managed device to connect through the IVANTI Cloud Services
Appliance. This type of configuration enables IVANTI Endpoint Manager functionality through
the appliance. Manual configuration can only be done bya user with Administrator rights on
the client device.
After configuring the core for connection through the IVANTI Cloud Services Appliance, rebuild any
agents for Macintosh devices and push them to the devices. For more information, see
"Configuracion de IVANTI Cloud Services (Management Gateway)" (1144).
To manually configure a managed device
1. From the Utilities folder on the managed device, launch the IVANTI Cloud Services Appliance
application.
2. Specify the Domain name of the appliance.
3. Choose the best connection method to the IVANTI core.
4. Request a certificate by typing a IVANTI Consola user name and password, then clicking
Request.
5. Click Test to test the connection from the managed device to the IVANTI Cloud Services
Appliance.
6. If the test fails, check the information you entered and correct any mistakes, then click Test to
make sure the connection works.
7. If the managed device accesses the Internet through a proxy, specify the necessary proxy
settings.
529
Run an Inventario scan on Macintosh devices

The Inventario scanning utility is used to add Macintosh devices to the core database and to collect
device hardware and software data. When you configure a device, the Inventario scanner is one of
the components of the IVANTI agent that gets installed on the device. The Inventario scanner runs
automatically when the device is initially configured. A device is considered managed once it sends
an Inventario scan to the core database.
The scanner executable for Mac OS X is called Idiscan (UNIX; it is case sensitive). Inventario scan
files are saved locally on the client and are compatible with the core. You can e-mail the file to the
core administrator and then drag and drop it into the ldiscan directory. You need to change the
extension of the file to .scn.
Macintosh devices can be configured to scan at boot-up, at log in, at wake from sleep, and at
network change. You can also use agent configuration to schedule the Inventario scan to occur at a
regular interval.
The Macintosh Inventario scanner encrypts scans. The Inventario scanner also uses delta scans so
that afterthe initial full Inventario scan, subsequent scans send onlythe changed data tothe core
server, reducing network bandwidth consumption.
The Macintosh Inventario scanner looks in the "Custom Data" folder under the agent installation
folder for XML files that contain additional information you want the Inventario scanner to pass to
the core server. This additional information appears in the Inventario tree under the Custom Data
node.
With the Inventario scanner, you can view summary or full Inventario data. You can print and export
the Inventario data. You can also use it to define queries, group devices together, and generate
specialized reports.
Software scanning
A software scan compiles an Inventario of software on managed devices. These scans take longer to
run than hardware scans. Software scans can take a few minutes to complete, depending on the
number of files on the managed device. You can configure the software scan interval in the
Configure > Services > Inventario tab.
All applications installed in the Applications folder are placed into the Software > Application Suites
node in the Inventario tree.
Changing Mac scanned file extensions and searched folders

The Mac Inventario scanner defaults to scanning files with .dmg and .pkg extensions, and
multimedia files with the following extensions: .aac, .aiff, .gif, .m4p, .mov and .mp3. You can change
these items and specify other folders to search in the Manage software list.
530
GUÍA DE USUARIO
To edit the Manage software list
1. Click Tools > Reporting / Monitoring > Manage software list.

2. In the Inventario tree, click Settings and double-click MacMultimediaExtensions,
MacScanExtensions, or MacSearchFolders in the settings list.
3. Click New and type the filename or (or folder name for MacSearchFolders) you want. Press
the Enter key when you're done.
4. Click the Make Available to Clients toolbar button to make the most recent changes available
to devices the next time they run an Inventario scan.
NOTE: The/Library or/System directories are not scanned in a MacScanExtensions scan by default. This
reduces the size of the scan file. The directories can be placed in the Mac folder include section.
Scan for custom data

For information on scanning for custom data, see "Rastreo en busca de datos personalizados en
dispositivos Macintosh" (185).
Remote control Macintosh devices

You can remote control a Macintosh device from the Consola. Before you can perform any remote
control tasks, you must connect to the target device. Only one viewer can communicate with a
device at a time, though you can open multiple viewer windows and control different devices at the
same time
Connect to a Macintosh device

You can connect to a Macintosh device and remote control it; you can also use chat, file transfer, or
remote execute features..
To connect to a device
1. In the Network view, right-click the device you want to remote control, and then click Remote
control, Chat, File transfer, or Remote execute.
2. Once the viewer window appears and connects to the remote device, you can use any of the
remote control tools available from the Tools menu, such as chat, file transfer, reboot,
Inventario, or remote control.
3. To end a remote control session, click File > Stop connection.
531
NOTE: Clipboard sharing and draw features are not supported on Macintosh devices.
Macintosh keyboard emulation

Macintosh keyboards have some keys that PC keyboards don't have. When remote controlling a
Macintosh device, the following keys are used on the PC keyboard to emulate a Macintosh
keyboard:
• The Alt key maps to the Command key.

• The Windows key maps to the Option key.
You need to have system key pass-through enabled in the remote control viewer window for the Alt
and Windows keys to pass their Macintosh mappings.
Inactivity timeout
The inactivity timeout specifies a period of time (10 minutes by default), after which, if the client
hasn't received mouse or key moves, the session is terminated. Similar to a screen saver, it prevents
others from using the remote computer if it is left unattended.
Deploy software packages to Macintosh devices

Software distribution lets you deploy software and file packages to Macintosh running OS X on your
network.
You can distribute single-file executable packages to Mac OS X devices. Each distributed package
consists of only one file, and the agent will try to install the file once the device receives it. Any file
can be downloaded. Install packages (.pkg) can also contain directories, but they must be
compressed. If the file downloaded has a suffix of .dmg, .pkg, .mpkg, .sit, .sitx, .zip, .tar, .gz, .sea,
.app, .sh, .hqx, or for Automator/workflow packages, Endpoint Manager will decompress the file
before returning.
NOTE: Make sure that Stuffit Expander has its "check for new versions" option disabled; otherwise a dialog box
may interrupt the software distribution execution.
Software distribution also lets you distribute shell scripts as jobs. This lets you take even greater
control over the Mac operating environment and perform nearly any configuration or information
gathering task on a Mac OS X device.
You can schedule Mac OS X distributions in the Scheduled tasks window and drag Mac OS X
devices into the Scheduled tasks window as distribution targets.
NOTE: You must install the IVANTI Mac OS X agent on the target devices before you can distribute files to
them.
532
GUÍA DE USUARIO
A distribution package consists of the package files you want to send and distribution details, which
describe the package components and behavior. You must create the package before it can be
delivered and run. The following instructions explain how to perform software distribution. For
successful distribution, the package must exist on either a network or Web server and the recipient
devices must have the software distribution agent installed.
Distribute a software package to Macintosh devices
There are three main steps required to distribute a package to devices:
1. Create a distribution package for the software you want to distribute

2. Create a delivery method
3. Schedule a software distribution task
To create a distribution package
1. Create the package you want to distribute.

2. Click Tools > Distribution > Distribution Packages.
3. Under My packages, Public packages, or All packages, click New on the toolbar and select
New Macintosh package.
4. In the Macintosh properties dialog box, enterthe package information and set the options. For
more information on each page, click Help.
5. Click Save when you're done. Your package appears under the tree item for the package type
you selected.
To create a delivery method
1. Click Tools > Distribution > Delivery Methods.

2. Expand a delivery method group, right-click the type of delivery method you want to use, and
then click New delivery method.
3. In the Delivery method dialog box, enterthe delivery information and change the options you
want. For more information on each page, click Help.
4. Click Save when you're done. Your method appears under the tree item for the delivery
method you selected.
NOTE: If a package requires a reboot, it will reboot the target device regardless of the option you select on the
Reboot page of the Delivery method dialog box. The Never reboot option is not supported for Macintosh
package distribution, because the target device could become unstable or not bootable if a package doesn't
initiate a reboot as expected.
To schedule a software distribution task
1. Click Tools > Distribution > Scheduled Tasks.

2. Click the Create software distribution task toolbar button.
533
3. On the Overview page, enter the task name and the task schedule. Review other options and
click Change to makes changes to any of them.
4. On the Distribution package page, select the package you created.

5. On the Delivery Method page, select the delivery method you want to use.
6. The Target devices page has no devices listed. Devices are targeted for distribution after you
drag them from the network view to the task in the Scheduled tasks tool.
7. The Custom message page is not applicable to Macintosh package distribution.

8. The Schedule task page is set to Leave unscheduled, unless you have targeted devices.
9. Click Save when you're done. The task is listed in the Scheduled tasks tool.
10. To distribute the package, drag Macintosh devices from the network view onto the task. You
can drag individual devices, group, or queries onto the task.
The distribution begins immediately. View the task progress in the Scheduled tasks window.
Macintosh software distribution commands

Macintosh software distribution commands are download commands, as opposed to a shell
command. Download commands begin with either "http://" or "ftp://". If it's not a download
command, it's a shell command by definition. The following is an example of download command
format:
REMEXEC0=http://...
A download command won't autorun any files. After downloading the file to devices, you can follow
up with a shell command to execute the file. Files are downloaded to/Library/Application
Support/Ivanti/sdcache/, which you need to be aware of in your shell commands.
NOTE: If you're hosting files on a Windows 2003 server, you need to create MIME types for the Macintosh file
extensions, such as .sit, otherwise the 2003 server won't let you access the files. The MIME type doesn't have
to be valid, it just needs to exist.
Configure policies for Macintosh devices

You can also create Macintosh device policies. Creating a Macintosh device policy is similar to
creating a policy for a Windows-based device. Macintosh devices also have the same required,
recommended, and optional policy types. Macintosh application packages must be a single-file
format. Policy-based management will check for policy updates at an interval of four hours. For
optional or recommended policies, the client user needs to launch the IVANTI preference pane and
click Check now for policy- based distribution. When targeting policies, Macintosh devices don't
support policy-based management by user name, only by device name.
Policy-based management does the following with Macintosh application policy packages:
534
GUÍA DE USUARIO
1. Downloads files to/Library/Applications/Ivanti/sdcache (just like software distribution

downloads).
2. If the download is compressed, policy-based management will decompress it in place.

3. If the download is a disk image, policy-based management will mount it, look forthe first
Apple Package Installer file found on the mounted volume, run it silently, and then un-mount
it.
4. If the download is an Apple Package Installer file, policy-based management will run it
silently. Also, policy-based management does support .dmg files with EULAs.
NOTE: Some package types don't work well with software distribution. (Installer Vise and Installer Maker
installers don't work well with policy-based management. They almost always require user interaction and can be
canceled.)
To add a Macintosh client policy
1. Click Tools > Distribution > Delivery methods.

2. Configure a policy-supported push or policy delivery method forthe package you want to
distribute.
3. Click Tools > Distribution > Scheduled tasks.

4. Click the Create software distribution task button.
5. Configure the task. Click Help on each page if you need more information.
To refresh the local client policies
1. In the IVANTI agent application on the Macintosh device, clickthe Delivery icon.
2. Click Check now for application policy management.
To view installed policies

• In the Endpoint Manager Preference Pane on the Macintosh device, clickthe APM tab.
Expose the user interface to the client
You have the option of showing or hiding the UI to the client when distributing a software package. If
the IVANTI administrator is pushing out a package that requires the user to select a license
agreement, the package needs to be installed using a user-controlled type delivery method because
the package will not install if the license agreement is not accepted by the end user. You can expose
the UI for either a push- or policy-based delivery method.
To show the UI to the client during software distribution
1. Create a new software distribution delivery method or select an existing method to edit.
2. Select Feedback and timing from the tree.
3. Select Display progress to user from the Package progress UI list.
535
4. Select Display full package interface.

5. Click Save.
Execute custom tasks with managed scripts

IVANTI Endpoint Manager uses scripts to execute custom tasks on devices. You can create scripts
from the Manage scripts window (Tools > Distribution > Manage scripts). Macintosh scripts use shell
commands to execute files. Shell commands run as root. The scripts are saved as text files, and you
can edit them manually once they're created. The following is an example of a command:
REMEXEC0=/Library/Application\ Support/Ivanti/bin/ldscan
The user can use the shell command "open" to launch files and applications, or "installer" to install
.pkg files. It's also possible for the download file to be a shell script written in Perl, Ruby, Python,
and so on.
When files are downloaded, they are saved to/Library/Application Support/Ivanti/sdcache/, which
you need to be aware of in order to execute some of your shell commands.
You can schedule Mac OS X managed scripts in the Scheduled tasks window and drag Mac OS X
devices into the Scheduled tasks window as script targets.
Run scheduled tasks on Macintosh devices

The scheduled tasks tool activates or starts many of the tasks you set up or configure in the
application. These tasks can be run immediately, scheduled to occur at a later time, or configured to
run on a regular basis.
For more information, see "Programacion de tareas" (248).
NOTE: Before you can schedule tasks for a device, it must have the standard IVANTI agent installed and be in
the Inventario database.
The following procedures require the use of the scheduled tasks tool:
• Agent configuration deployment

• Software distribution
• Managed scripts
• Operating system deployment
• Security and patch manager
536
GUÍA DE USUARIO
Software license monitoring and reporting

Macintosh devices running Mac OS X support software license monitoring. With each Inventario
scan, the Macintosh software monitoring agent sends information to the core server about the
applications that devices run. The Software license monitoring tool shows Macintosh applications
along with Windows applications.
You can scan for files based on their extensions. The LdAppl3.ini file contains the list of extensions
to scan for. By default, .dmg and . pkg file types are scanned for. You can insert additional
extensions into the LdAppl3.ini file, which is located in the /Library/Applications/System/User
folders by default. The file location can be changed as well. You can also use the LdAppl3.ini file to
scan for multimedia files.
The IVANTI agent application can be used to show applications that have been launched and how
often they have been used.
Generate reports for Macintosh devices

The reporting tool lets you generate a wide variety of specialized reports that provide critical
information about the Macintosh devices on your network. The reporting tool operates the same way
for all operating systems. For more information, see "Uso de los informes" (212).
Patch and compliance for Macintosh devices

Patch and Compliance is a complete, integrated security solution that helps you protect your
Macintosh devices from a wide range of prevalent security risks. The tool allows you to manage
security and patch content, scan devices, use patches, and remediate devices.
Configure Macintosh devices for security scanning and remediation

Security functionality is included as part of the standard IVANTI agent for Macintosh devices. It
allows you to scan managed Macintosh devices for vulnerabilities, and perform remediation by
deploying patches or software updates.
Launching the scanner for Macintosh devices
You can launch the scanner from the Consola or manually on the client machine.
To run a compliance scan from the IVANTI Management Consola

1. Click Tools > Security and Compliance > Patch and compliance.
2. Click the Create a task button on the toolbar, and select Compliance scan.
3. Type a name for the task and select Create a scheduled task or Create a policy, depending on
how you want to run the scan.
4. In the Scheduled tasks tool, select the task and click the Properties button on the toolbar.
5. Specify the scan options. On the Custom script page you'll specify the details of the
compliance scan.
537
For details on creating a compliance scan task, see "Crear una tarea de rastreo de parches y
cumplimiento" (647)
NOTE: When you define settings for a compliance scan, some functionality is not available for managed
Macintosh devices. Point to items in each page of the dialog box; a message indicates when an item is not
available for Macintosh scans.
To launch the security scanner on a Macintosh client
1. Open the Mac OS X System Preferences on the target device and select the IVANTI Client
panel.
2. On the Overview tab, click Check Now in the Security and Patch Manager section.
Blocking applications for Macintosh devices

You can use the Endpoint Manager Patch and Compliance tool to block applications on managed
Macintosh devices. This functionality works the same way as it does for Windows devices, except
that no pre-defined blocked content is available for Macintosh devices.
You can block only .app files on managed Macintosh devices. In order to block specific applications,
you must create a custom definition for each blocked application. When creating the custom
definition, be sure to select Apply to Mac.
Enabling Mac OS X FileVault encryption

Mac OS X uses FileVault to encrypt drives. The IVANTI Endpoint Manager security scanner can
detect whether devices running OS X have FileVault enabled. If you enable the FileVault vulnerability
and remediate it, FileVault will be turned on if it isn't already.
When you enable FileVault through Endpoint Manager, it creates a special encrypted core database
Inventario record that is saved even if you later delete the device in the Network view. This record
includes the FileVault recovery key that Endpoint Manageradministrators can use to disable
FileVault and restore access to the device.
To enable FileVault on Mac OS X devices
1. If you haven't already, use the Patch and compliance tool to download Apple Mac
Vulnerabilities.
2. In the Patch and compliance tool, click All types > Scan. In the Find box type FileVault and
press enter. You'll see two FileVault vulnerabilities, one that only detects the FileVault
state (APPLE-FileVault_DetectOnly) and another that activates it (FileVaultActivation-xx).
Drag the activation vulnerability to an Autofix group or your preferred group.
3. When the vulnerability scanner runs and detects that FileVault needs to be enabled, a dialog
box on the managed device pops up and lets users know that FileVault has been enabled and
they need to reboot. Clicking OK closes the dialog, but the reboot isn't forced.
538
GUÍA DE USUARIO
4. When users reboot the standard OS X FileVault activation process begins. Users are
prompted to log in. A dialog box then appears and tells users that "Your administrator
requires that you enable FileVault". Users can only click Cancel or Enable Now. Clicking
Cancel returns them to the login prompt. Once they click Enable Now, the encryption process
begins. This takes a while.
Viewing Client data storage
The Client data storage tool (Tools > Configuration > Client data storage) lets you view encrypted
client data. Currently, this tool only shows data for Mac OS X devices that have FileVault enabled via
Endpoint Manager. Use this tool if you need to retrieve a device's FileVault recovery key.
To retrieve a FileVault recovery key
1. Click Tools > Configuration > Client data storage.

2. In the Devices tree, double-click the device you want.
3. In the Client data dialog box, select the FileVault2RecoveryKey item, and click the export
toolbar button.
4. Select a location for the resulting XML file.

5. Open the XML file in an editor and find the RecoveryKey element. The associated <string >
value contains the actual key.
Operating system provisioning for Macintosh devices

IVANTI Endpoint Manager OS provisioning fully supports Mac OS X devices. For detailed
information, seethe following IVANTI Community document:
If you're provisioning devices running OS X El Capitan (10.11), there are changes to the NetBoot
process. Make sure you refer to the document above for more information.
Accessing a Mac device with the remote control viewer

Use the remote control viewer to remotely access a device. You can only remote control Windows
and Mac devices that have the IVANTI agent installed. During a remote control session, you will have
the same rights and privileges as the logged-in user on the remote device. You can do most tasks at
the remote device that the user sitting at it can do.
Once you've taken control of a remote device, its screen appears in the viewer window. Because the
viewer window often isn't as big as the remote device's screen, you'll either need to use the scroll
bars to scroll up, down, and side to side, or use the Scale feature to rescale the remote screen
representation so it fits in the viewer window. Scaling reduces the image quality, and if the scaler
has to reduce the screen size too much you may have a hard time reading text.
You can also increase the viewer window displayable area by disabling items in the Session menu,
such as the chat and log panes or the toolbar. Use the Session menu's Full screen option to
539
completely remove the viewer window's controls. If the remote screen's resolution exceeds yours, it
will be scaled to fit your monitor.
If you want to speed up the viewing rate or change the viewer window settings, use the IVANTI
Remote Control menu's Preferences option to display the Options dialog.
Read the following sections for more information:
• Connecting to devices
• Chatting with remote devices
• Sending special key sequences
• Using remote control without viewing the remote screen
• Customizing remote control
Connecting to devices
Before you can do any remote control tasks, you must connect to the target device. Only one viewer
can communicate with a device at a time, though you can open multiple viewer windows and control
different devices at the same time. When you connect to a device, you can see connection
messages and status in the log pane, if that is visible. If it isn't, you can display it by clicking
Session > Show log.
If you want to start a new session, click File > New. To stop a session, click File > Close. If the
Session menu options are dimmed, you aren't connected to a device.
Chatting with remote devices

You can use the remote control viewer to remotely chat with a user at a remote device. This feature
is useful if you need to give instructions to a remote user whose dial-up connection is using the only
available phone line. Users can respond back using the chat window that appears on their screen.
You can only use chat on devices that have the IVANTI Agent for Mac installed. This feature works
even if you're not viewing a remote device's screen.
You can save the messages from a chat session. Any text appearing in the gray area of the chat
session will be saved to a text file.
To chat with a user at a remote device
1. Once you're connected to a remote device, click Session > Show chat.
2. A chat frame appears on the right side of the viewing window. The top section shows sent
and received messages. The bottom section is where you can type your message. Press
Enter to send a message you've typed.
Your message will appear on the remote device's screen. A user can respond by typing a message
and clicking Send. The user also can click Close to exit out of a chat session.
To save messages from a chat session
1. In the chat area ofthe viewer window, click Save messages.
540
GUÍA DE USUARIO
2. In the Save as dialog box, type in a filename and click Save.
Sending Macintosh key sequences

Macintosh keyboards have some keys that PC keyboards don't have. When remote controlling a
Macintosh device, the following keys are used on the PC keyboard to emulate a Macintosh
keyboard:
• The Alt key maps to the Command key.

• The Windows key maps to the Option key.
You need to have system key pass-through enabled in the remote control viewer window for the Alt
and Windows keys to pass their Macintosh mappings.
Using remote control without viewing the remote screen

If you don't want to see the remote device's screen but you still want to be able to chat with a user at
the remote device, you can stop observation.
To stop observing a remote device but still maintain a remote control connection
1. Once you've connected to a remote device, click Session > Don't observe. You can still use
the chat feature with the device.
2. Click Session > Observe to restore the remote view.
Customizing remote control

You can customize these remote control options:
• Change remote control settings
• Optimize remote control performance
• Customize the toolbar
Changing remote control settings
Use the Options dialog box's Change settings tab (IVANTI Remote Control > Preferences) to
adjust the remote control settings.
• Lock out the remote keyboard and mouse: Locks the remote device's keyboard and mouse
so that only the user running the viewer can control the remote device. Note that special key
combinations in Windows such as "Ctrl-Alt-Del" or the "Windows key+L" aren't locked out.
• Hide the remote computer screen: Makes the remote device's screen blank so only the user
running the viewer can see the user interface display on the remote device.
• Write log entries to Remote.log: If you want to save a log of remote control actions in a log
file on the remote device, check this option. You can choose from three logging levels, with
level 1 being the least detailed and level 3 being the most detailed. Level 1 is the default level.
Optimizing remote control performance
Use the Options dialog box's Optimize performance tab (IVANTI Remote Control > Preferences)
to optimize remote control performance.
541
Changing the optimization setting dynamically adjusts color reduction, wallpaper visibility, and
remote windows appearance effects (the ones you can adjust in Windows Display Properties >
Appearance > Effects), such as transition effects for menus and tool tips.
Remote control always uses a highly efficient compression algorithm for remote control data.
However, even with compression, it requires a lot of data to send high color depth information. You
can substantially reduce the amount of remote control data required by reducing the color depth
displayed in the remote control viewer. When the viewer reduces the color depth, the viewer has to
map the full color palette from the remote desktop to a reduced color palette in the viewer. As a
result, you may notice colors in the remote control window that don't accurately reflect the remote
desktop. If that's a problem, select a higher-quality compression setting.
Another way you can optimize performance is to Suppress remote wallpaper. When you do this,
remote control doesn't have to send wallpaper updates as parts of the remote desktop are
uncovered. Wallpaper often includes bandwidth-intensive images, such as photographs. These don't
compress well and take time to transfer over slower connections.
Customizing the remote control toolbar
You can customize which buttons appear on the remote control toolbar.
To customize toolbar buttons

1. Click Session > Customize toolbar.
2. Drag buttons you want from the palette onto the viewer window.
3. Drag buttons you don't want from the viewer window to the palette.
4. To restore the default button layout, drag the default set at the bottom of the palette onto the
viewer window.
You can change the button size by clicking Use small size. You can also use the Show option to
show icons only, text only, or both icons and text.
Applying Mac configuration profiles

Apple's OS X server Profile Manager lets you create Mac configuration profiles for your Mac devices.
Each profile is an XML file with a .mobileconfig file extension that defines device settings, such as
wireless network and VPN configurations. For more information on Profile Manager, see
http://www.apple.com/support/osxserver/profilemanager/.
542
GUÍA DE USUARIO
Once you use Profile Manager to create a configuration profile, you can use Endpoint Manager agent
configurations or agent settings to deploy that configuration profile to other managed Mac devices.
If your Mac configuration profile uses a self-signed trust certificate, make sure you deploy that
certificate before deploying other configuration profiles.
To create a configuration profile setting
1. Use Profile Manager on a Mac OS X Server to create a .mobileconfig file that contains the Mac
configuration settings.
2. Copy the .mobileconfig file to a location you can access from a Endpoint Manager Consola.
3. Click Tools > Configuration > Agent settings.
4. In the Mac Configuration Profile group, create a new setting or double-click an existing one.
543
5. Click Import and browse for the .mobileconfig file you saved earlier. Give it a descriptive
Display name and click Import. At this point the .mobileconfig file Contenidos are imported
into the LDMS database. Notethat the LDMS Consola doesn't currently have an
XMLviewerforthis content, so you may want to keep a copy of the file for future reference,
even though the core server and Consola no longer need it.
6. Move one or more Available configurations to the Selected configurations list to select them
for this named setting.
7. Select whether you want to Append or Replace the configuration profile. Append preserves
existing profile settings. Replace removes all existing profile settings, including settings you
aren't modifying, and replaces them with the profile settings you specified.
8. Click Save.
To add a Mac configuration profile to an agent configuration
Generally, this option is used if an Endpoint Manager agent hasn't been installed yet on a Mac
device.

2. Double-click the Mac agent configuration you want to modify.
3. On the OSX profiles page, select Apply OSX profiles to this configuration.
4. Select the configuration profile setting you want from the list.
5. Deploy this agent to Mac devices.
To apply a Mac configuration profile with an agent setting update
This option can only be used if a Endpoint Manager agent has already been installed on targeted
Mac
devices.
1. Click Tools > Configuration > Agent settings.

2. In the toolbar, click the Create a task button, then click Change settings.
3. Assign a Task name and select scheduled task or policy.
4. In the list beside Mac Configuration Profile, change the name in the Settings column to match
the setting you want.
5. Click OK.
6. If you used a scheduled task, run thejob.
IVANTI Mac Antivirus settings

IVANTI Mac Antivirus features are accessed from the Agent settings tool window (Tools > Security
and Compliance > Agent settings). In the Agent settings window, right-click IVANTI Mac
Antivirus - Mac, and then click New....
544
GUÍA DE USUARIO
IVANTI Mac Antivirus allows you download and manage antivirus content (virus definition files),
configure antivirus scans, and customize antivirus scanner settings that determine how the scanner
appears and operates on target devices and which interactive options are available to end users.
You can also view antivirus-related information for scanned devices, enable antivirus alerts, and
generate antivirus reports.
The main section for IVANTI Mac Antivirus introduces this complementary security management
tool, which is a component of both IVANTI Endpoint Manager and IVANTI Security Suite. In that
section you'll find an overview, antivirus content subscription information, as well as step-by-step
instructions on how to use Antivirus features.
This section contains help topics that describe the IVANTI Mac Antivirus settings dialog box. From
the Consola interface, access these topics by clicking Help on each dialog box.
About the IVANTI Mac Antivirus General page
Use this page to configure IVANTI Mac Antivirus scanner settings on target devices.
This page contains the following options:

• Name: Identifies the Antivirus settings with a unique name. This name appears in the settings
list on the Antivirus scan task dialog box, on other dialogs, and in the Consola.
• Protection:
• File Antivirus: Enables real-time scanning of files on target devices. If you do not
enable File Antivirus, the collected statistics appear in the Completed tasks section of
the report window. When the component runs, it generates a new report. By default,
File Antivirus is enabled and configured with the recommended settings.
• Permissions:
• Allow user to disable protection components for up to: Specifies the period of time
during which the user can pause and stop the protection components listed on the
Protection page.
• Allow user to update definitions: Allows the user to update antivirus definition files.
• Allow user to restore objects: Allows the user to restore quarantined objects and
objects from backup.
• Allow user to change settings: Allows the user to schedule scans and modify the
exclusions and trusted applications lists.
• Set As Default: Establishes the settings on all of the pages of the IVANTI Mac Antivirus dialog
box as the default settings. The name you entered will appear in the Consola with the default
icon IZ next to it. You cannot delete a setting that is marked as default. When you create a
new agent configuration, those settings will be selected by default. Unless an antivirus scan
task has specific antivirus settings associated with it, IVANTI Mac Antivirus will use the
default settings during scan and definition file update tasks.
About the IVANTI Mac Antivirus Protection page
545
Use this page to configure the way File Antivirus works with IVANTI Mac Antivirus on target devices.

• Enable File antivirus: Enables real-time scanning of files on target devices. If you do not
enable File Antivirus, the collected statistics appear in the Completed tasks section of the
report window. When the component runs, it generates a new report. By default, File
Antivirus is enabled and configured with the recommended settings.
• Security Level: Specifies one of the three file security levels: Maximum protection,
Recommended, or Maximum speed. To select a security level, move the slider up or down the
scale. If none of the preset security levels meets your needs, you can customize the scan
settings by selecting settings on the General, Protection scope, and Additional tabs. This will
change the name of the security level to Custom. Select the level closest to your
requirements as a basis and then modify its settings.
Maximum protection: Provides the most complete scan of the files you open, save, or start.
Recommended: Contains the settings recommended by Ivanti, which provides for scan of:
programs and objects by content, only new objects and objects modified since the last scan,
and embedded OLE objects. This level is set by default.
Maximum speed: Allows you to comfortably work with applications requiring significant
system resources, since the range of files scanned is smaller.
546
GUÍA DE USUARIO
* General:
• File types: Specifies whether to scan all files, scan by content, or scan by
extension.
• Scan all files: Specifies which formats of objects should be scanned for
viruses when they are opened, run, or saved.
• Scan programs and documents (by content): Enables only the scan of
potentially infected objects, or files that a virus could penetrate. The
internal header of the file is scanned to identify its format (TXT, DOC,
EXE, etc.). If the scan reveals that a file of such format cannot be
infected, it does not scan it for viruses and immediately makes it
accessible to the user. If such format is susceptible to viruses, a scan is
performed.
• Scan programs and document (by extension): Enables only the scan of
potentially infected objects, but the file format is determined by its
extension. Files without extension are always scanned irrespective of the
file type selected.
NOTE: Do not forget that someone could send a virus to your computer with the .txt
extension, although in reality it could be an executable file renamed as a .txt file. If
you select the Scan programs and documents (by extension) option, such files will
be skipped by the scan. If you select the Scan programs and documents (by
content) option, IVANTI Mac Antivirus analyzes the file header, determines that the
file has the .exe format and scans it for viruses.
• Scan new and changed files only: Enables File Antivirus to scan only new files
and files that have been modified since the previous scan. This mode applies
both to simple and compound files.
• Scan archives: Enables File Antivirus to scan RAR, ARJ, ZIP, CAB, LHA, JAR,
and ICE archives.
• Scan installation packages: Enables File Antivirus to scan self-extracting
archives.
• Scan embedded objects: Enables File Antivirus to scan documents that are
embedded in another file, such as Excel spreadsheets, macros, and email
attachments.
• Postpone extracting if archive larger than: Sets a restriction on the scan of large
objects. Any compound file with a size exceeding the specified limit value will
be scanned as a single object (its header will be scanned). Objects contained in
it will be scanned later. If you do not select this option, access to files larger
than the size indicated will be blocked until they have been scanned. This
option is enabled by default with the value of 0 MB.
547
• Do not process archives larger than: Sets a restriction on large archives. Any
compound file with a size exceeding the specified limit value will be skipped
without being scanned for viruses. This option is enabled by default with the
value of 8 MB.
• Protection scope: Specifies whether to scan all removable drives, all hard drives, or all
network drives.
• Additional: Specifies the mode and technology File Antivirus will use and when it will
pause.
• Scan mode: In the default scan mode, Smart mode, File Antivirus scans files by
analyzing operations performed with a file by the user, an application, or the
operating system. In the On access and modification mode, File Antivirus scans
files when the user, an application, or the operating system attempts to open or
modify the files. In the On access mode, File Antivirus scans files only when the
user, an application, or the operating system attempts to open the files. In the
On execution mode, File Antivirus scans files only when the user, an
application, or the operating system attempts to run files.
• iSwift technology: Specifies the scan technology that File Antivirus uses when
scanning files. The iSwift technology allows File Antivirus to exclude certain
objects from scan using a special algorithm in order to increase the scan speed.
The algorithm takes into account the release date of the antivirus databases, the
date of the most recent scan of an object, and any changes to the scan settings.
This technique works with objects of any format, size, and type.
• Use heuristic analyzer: This setting defines the depth of heuristic analysis. Scan
level ensures the balance between the thoroughness of searches for new
threats, the load on the operating system's resources, and the scan time length.
To set a scan level, move the slider along the scale.
• Optimal protection level: Heuristic analyzer, emulating the operation of
the application being scanned, makes as many operations as required to
detect a threat with an acceptable probability value. While this process is
in progress, the CPU is not overloaded so that it does not impact the
performance of other applications. This scan level is set by default.
• High protection level: Heuristic analyzer, emulating the operation of the
application being scanned, makes as many operations as required to
detect a threat with a higher probability value. While this process is in
progress, load on the CPU increases, and the scan takes more time.
• Maximum protection level: Heuristic analyzer, emulating the operation of
the application being scanned, makes as many operations as required to
detect a threat with a maximum probability value. While this process is in
progress, the scan takes a lot of time and requires significant CPU
resources. The performance of other applications is significantly reduced.
548
GUÍA DE USUARIO
• Action: Specifies the action that File Antivirus performs if infected files are detected. Before
attempting to disinfect or delete an infected file, File Antivirus creates a backup copy for
subsequent restoration or disinfection.
• Prompt for action: File Antivirus displays a warning message with the information
about which malicious code has infected or potentially infected the file, and offers you
the selection of further actions. These actions may vary depending on the object's
status.
• Block access: File Antivirus blocks access to an infected or potentially infected object,
without moving it to another folder. Information about this is logged in the report
under the Detected tab. To gain access, process the objects in the report.
• Disinfect: Enables automatic disinfection of all infected objects that have been
detected. File Antivirus blocks access to the infected object and attempts to
disinfect it. A backup copy of the object is moved to Backup Storage. If it is
successfully disinfected, it is restored for regular use. File Antivirus does not
move the object if the attempt to cure it is unsuccessful. Information about this
is logged in the report under the Detected tab. To gain access, process the
objects in the report.
• Delete if disinfection fails: Enables the option to automatically delete infected

objects if the recovery attempt for them failed. The box is checked by default if
the Block access action is selected and the Disinfect box is checked.
About the IVANTI Mac Antivirus Virus Scan page
In addition to the protection of the file system provided by File Antivirus in real-time mode, it is
extremely important to scan your computer for viruses regularly. This is required to stop the spread
of malicious programs that have gone undetected by File Antivirus. For example, this would be
necessary if the selected level of protection was too low.
IVANTI Mac Antivirus comprises the following integrated virus scan tasks:
• Virus Scan: Scan individual items for viruses, such as files, folders, disks, plug-and-play
devices.
• Full Scan: Search for viruses on your computer with athorough scan ofall hard drives.
• Quick Scan: Scans only critical areas of the computer for viruses, including folders with
operating system files and system libraries.
If you want to schedule a full or quick client scan, change the Run mode on the Full Scan page orthe
Quick Scan page.
Recommended, or Maximum speed.
549
Maximum protection: Security level that provides the most complete scan of the files you
open, save, or start.
Recommended: Default security level that provides for scan of the following categories of
objects: programs and objects by content, only new objects and objects modified since the
last scan, and ■ embedded OLE objects.
Maximum speed: Security level that allows you to comfortably work with applications
requiring significant resources. Range of files being scanned at this level is reduced.
• File types: Specifies whether to scan all files, scan by content, or scan by extension.
• All files: If you click this option, IVANTI Mac Antivirus scans absolutely all files
on your computer.
• Scan programs and documents (by content): IVANTI Mac Antivirus only scans
potentially infected objects, such as files that may turn out to have been
infected with a virus. First of all, the internal header of the file is scanned to
identify its format (txt, doc, exe, and so on.). If the scan reveals that a file of
such format cannot be infected, it does not scan it for viruses and immediately
makes it accessible to the user. If the file format allows a risk of infection, the
file will be scanned for viruses.
• Scan programs and document (by extension): IVANTI Mac Antivirus will only
scan potentially infected files, but the file format will be determined by
extension. Files without extension are always scanned irrespective of the file
type you select.
NOTE: Do not forget that someone could send a virus to your computer with the .txt extension,
although in reality it could be an executable file renamed as a .txt file. If you select the Scan
programs and documents (by extension) option, such files will be skipped by the scan. If you
select the Scan programs and documents (by content) option, IVANTI Mac Antivirus analyzes
the file header, determines that the file has the .exe format and scans it for viruses.
550
GUÍA DE USUARIO
• Optimization:
• Skip if scan takes longer than: Specifies in seconds the length of time to scan a
file before skipping it.
• Do not scan archives larger than: Excludes large archives from scan. By
default, the value is set to 100 MB.
• Scan only new and changed files: Enables IVANTI Mac Antivirus to scan only
new files and files that have been modified since the previous scan. This mode
applies both to simple and compound files.
• iSwift technology: Enables the use of the iSwift technology, which allows
IVANTI Mac Antivirus to exclude certain objects from scan using a special
algorithm in order to increase the scan speed. The algorithm takes into account
the release date of the antivirus databases, the date of the most recent scan of
an object, and any changes to the scan settings. This technique works with
objects of anyformat, size and type. There are limitations to iSwift: it is bound to
a specific file location in the file system and only applies to objects in HFS.
• Compound files:
• Scan archives: Enables IVANTI Mac Antivirus to scan RAR, ARJ, ZIP, CAB, LHA,
JAR, and ICE archives. On a full scan, this option is enabled by default. Certain
archive files (such as .ha, .uue, .tar archives) cannot be deleted automatically
since IVANTI Mac Antivirus does not support their disinfection, even if you
select the Disinfect and Delete if disinfection fails options. To delete such
archives, click the Delete archive button in the dangerous object detection
notification window. This notification is displayed on the screen after the
application starts processing the objects detected during the scan. You can
also delete infected archives manually.
• Scan embedded objects: Enables IVANTI Mac Antivirus to scan objects
embedded in a file, such as Excel spreadsheets, macros, email attachments,
and so on.
• Scan email format files: Enables the scan of email-format files and email
databases. IVANTI Mac Antivirus examines the email-format file and scans each
of its components (body, attachments) for viruses. If you clear this option,
IVANTI Mac Antivirus scans the email file as a single object.
• Scan password-protected archives: Enables the scanning of archives that are
protected with a password. Click this option to displaythe password request
window on the screen before scanning objects contained in the archive.
Otherwise, IVANTI Mac Antivirus will skip password-protected archives when
scanning.
• Heuristic analyzer: Defines the depth of heuristic analysis. Scan level ensures the
balance between the thoroughness of searches for new threats, the load on the
operating system's resources, and the scan time length. To set a scan level, move the
551
slider along the scale.

• Action: Specifies the action that IVANTI Mac Antivirus performs if infected files are detected
when scanning. Before attempting to disinfect or delete an infected file, IVANTI Mac Antivirus
creates a backup copy for subsequent restoration or disinfection.
• Prompt for action when the scan is complete: After the scan is complete, IVANTI Mac
Antivirus displays a warning message with the information about which malicious
code has infected or potentially infected the file, and offers you the selection of further
actions. These actions may vary depending on the object's status.
• Prompt for action during scan: During the scan, File Antivirus displays a warning
message with the information about which malicious code has infected (potentially
infected) the file, and offers you the selection of further actions. These actions may
vary depending on the object's status.
• Do not prompt for action:

• Disinfect: IVANTI Mac Antivirus automatically attempts to disinfect all infected
files that are detected. IVANTI Mac Antivirus blocks access to the infected
object and attempts to disinfect it. A backup copy of the object is moved to
Backup Storage. If it is successfully disinfected, it is restored for regular use. It
does not move the object if the attempt to cure it is unsuccessful. Information
about this is logged in the report underthe Detected tab. To gain access,
process the objects in the report.
• Delete if disinfection fails: IVANTI Mac Antivirus automatically delete infected

objects if the recovery attempt for them failed.
About the IVANTI Mac Antivirus Virus Scan: Full Scan page
devices.
Use this page to configure the way IVANTI Mac Antivirus performs full scans on target devices. If
you want to schedule a quick client scan, change the Run mode on the Quick Scan page.
552
GUÍA DE USUARIO
on your computer.
potentially infected objects, such as files that may turn out to have been infected
with a virus. First of all, the internal header of the file is scanned to identify its
format (txt, doc, exe, and so on.). If the scan reveals that a file of such format
cannot be infected, it does not scan it for viruses and immediately makes it
accessible to the user. If the file format allows a risk of infection, the file will be
scanned for viruses.
type you select.
553
• Optimization:
• Do not scan archives larger than: Excludes large archives from scan. By default,
the value is set to 100 MB.
• iSwift technology: Enables the use of the iSwift technology, which allows File
Antivirus to exclude certain objects from scan using a special algorithm in order
to increase the scan speed. The algorithm takes into account the release date of
the antivirus databases, the date of the most recent scan of an object, and any
changes to the scan settings. This technique works with objects of any format,
size and type. There are limitations to iSwift: it is bound to a specific file
location in the file system and only applies to objects in HFS.
• Compound files:
application starts processing the objects detected during the scan. You can also
delete infected archives manually.
and so on.
scanning.
554
GUÍA DE USUARIO
code has infected (potentially infected) the file, and offers you the selection of further
• Prompt for action during scan: During the scan, IVANTI Mac Antivirus displays a
warning message with the information about which malicious code has infected
(potentially infected) the file, and offers you the selection of further actions. These
actions may vary depending on the object's status.


• Run mode: By default, IVANTI Mac Antivirus scans once a day. To change the schedule, click
Edit... to open the Run mode dialog box. In the Frequency list, select how often IVANTI Mac
Antivirus will scan, then specify the additional details that apply to the selected frequency.
About the IVANTI Mac Antivirus Virus Scan: Quick Scan page
devices.
Use this pageto configurethe way IVANTI MacAntivirus performs critical areas scans on target
devices. If you want to schedule a full client scan, change the Run mode on the Full Scan page.
555
Security Level: Specifies one of the three file security levels: Maximum protection,
on your computer.
potentially infected objects, such as files that may turn out to have been infected
with a virus. First of all, the internal header of the file is scanned to identify its
format (txt, doc, exe, and so on.). If the scan reveals that a file of such format
cannot be infected, it does not scan it for viruses and immediately makes it
accessible to the user. If the file format allows a risk of infection, the file will be
scanned for viruses.
type you select.
556
GUÍA DE USUARIO
• Optimization:
• Do not scan archives larger than: Excludes large archives from scan. By default,
the value is set to 100 MB.
• iSwift technology: Enables the use of the iSwift technology, which allows File
Antivirus to exclude certain objects from scan using a special algorithm in order
to increase the scan speed. The algorithm takes into account the release date of
the antivirus databases, the date of the most recent scan of an object, and any
changes to the scan settings. This technique works with objects of any format,
size and type. There are limitations to iSwift: it is bound to a specific file
location in the file system and only applies to objects in HFS.
• Compound files:
application starts processing the objects detected during the scan. You can also
delete infected archives manually.
and so on.
scanning.
557
code has infected (potentially infected) the file, and offers you the selection of further
• Prompt for action during scan: During the scan, IVANTI Mac Antivirus displays a
warning message with the information about which malicious code has infected
(potentially infected) the file, and offers you the selection of further actions. These
actions may vary depending on the object's status.
• Run mode: By default, IVANTI Mac Antivirus scans once a day. To change the schedule, click
Edit... to open the Run mode dialog box. In the Frequency list, select how often IVANTI Mac
Antivirus will scan. In the Schedule section, specify the additional details that apply to the
selected frequency.
About the IVANTI Mac Antivirus Threats page
Use this page to configure the way IVANTI Mac Antivirus handles various types of malware.
• Malware categories: Allows you to create a list of threats to detect by enabling control of the
most dangerous types of malware.
• Virus, worms, Trojans, hack tools: This group includes the most common and
dangerous categories of malware. IVANTI Mac Antivirus always controls malware from
this group. This option is selected by default and cannot be cleared.
• Spyware and adware: Enables control of riskware. This option is selected by default.
• Auto-dialers: Enables control of programs that establish phone connections over a
modem in hidden mode. This option is selected by default.
• Other programs: Enables control of programs that are not malicious or dangerous
but under certain circumstances may be used to do harm to your computer.
• Trusted zone: Specifies the objects that IVANTI Mac Antivirus will exclude from the scan.
Click Add... to specify the object, threat type, and component for each trusted item.
558
GUÍA DE USUARIO
• Object: Specify all objects or enter the path to a trusted object. The name of a file,
folder, or a file mask can be specified as an object.
• Threat type: Specify all threats or enter a threat name. The box next to each element
of the list enables or clears the use of this exclusion rule. All boxes are checked by
default. The list of trusted zone objects is blank by default.
• Component: Specify whether to exclude the trusted item from File Antivirus, Virus
scan, or both.
About the IVANTI Mac Antivirus: Scheduled Tasks page
Use this page to schedule client pattern file updates for Mac computers. Macs use the OS X
'launchd' service to download and install these updates, from either the core or Kaspersky's site. If
you want to schedule a full or quick client scan, change the Run mode on the Full Scan page or the
Quick Scan page.
• Scheduled tasks:
• Update: Specifies when to update virus definitions. Click Change schedule... to open
the
Schedule periodic virus definition updates window, where you can select the
frequency and time of an update.
About the IVANTI Mac Antivirus Scheduled Tasks: Update page
Use this page to configure virus definition (pattern) file updates scheduling, user download options,
and access options for target devices with these antivirus settings. To schedule an update, click
Update on the Scheduled Tasks page.
• Download "pilot" version of virus definition files: Click this option to download virus
definition files from the pilot folder instead of from the default location on the core server.
Virus definitions in the pilot folder can be downloaded by a restricted set of users for the
purpose of testing the virus definitions before deploying them to the entire network. When
you create an antivirus scan task, you can also choose to download the latest virus
definitions updates, including those residing in the pilot test folder, then associate an
antivirus settings with this option enabled to ensure that the test devices receive the latest
known virus definition files. If this option is selected, virus definition files in the default folder
are not downloaded.
• Download virus definition updates from: Specifies the source site (core server or Kaspersky
content server) from which virus definition files are downloaded.
• Preferred server/Peer download options: Allows you to configure core server settings if
you've selected one of the download source site options that includes the core.
• Attempt preferred server: Prevents virus definition file downloads via a preferred
559
server. For more information about preferred servers, see "Acerca de la distribucion
de software" (299).
• Bandwidth used from core or preferred server (WAN): Specifies the bandwidth used. You can
move the slider or enter a value in the percentage box.
• Update application modules: Enables downloads of application module updates along with
antivirus database updates. If selected, IVANTI Mac Antivirus includes application module
updates in the update package when the application runs the update task. This option is
selected by default.
• Rescan Quarantine after update: Enables the scan of the content of Quarantine after each
update. Quarantine stores objects whose Contenidos include malware that was not properly
identified by File Antivirus or during a virus scan task. After the databases are updated,
IVANTI Mac Antivirus will most likely be able to clearly identify and eliminate the threat.
About the IVANTI Mac Antivirus Reports page
Use this page to configure IVANTI Mac Antivirus Reports settings on target devices.
• Reports:
• Log non-critical events: Enables the logging of information-type events. As a rule,
these events are not important for security.
• Keep only recent events: Enables the logging of important events only, which have
occurred at the last run of the task. If the box is checked, the information will be
updated every time the task is restarted. At that, important information (such as
entries of detected malicious objects) will be saved, while non-critical information will
be deleted.
• Delete reports after: Specifies the maximum report storage term in number of days.
The default maximum storage term for reports is 30 days. After that period oftime,
IVANTI Mac Antivirus automatically deletes the oldest entries from the report file.
• Quarantine and Backup storage: Allows you to configure quarantine and backup settings.
The data storage comprises a quarantine catalog and storage for backup copies of files.
• Delete objects after: Specifies the maximum storage term for files in quarantine and
copies of files in backup. The maximum file storage term is measured in days. The
default maximum storage term for files is 30 days. After expiration of the maximum
560
GUÍA DE USUARIO
About the IVANTI Mac Antivirus Service page
Use this page to configure the Service settings that IVANTI Mac Antivirus will use on target devices.

• Autorun: Specifies whether IVANTI Mac Antivirus will run during computer startup. This
option is checked by default.
• Battery: Specifies whether to disable scheduled scans while running on battery power. This
option is checked by default.
About the IVANTI Mac Antivirus Appearance page
Use this page to configure the Appearance settings that IVANTI Mac Antivirus will use on target
devices.
• In Menu Bar: Displays the IVANTI Mac Antivirus icon in the menu bar. This option is selected
by default.
• In Dock; Displays the IVANTI Mac Antivirus icon in the Dock. Any changes you make to the
location of the icon will appear after you restart the application.
• Nowhere: Clickthis option if you do not want the IVANTI Mac Antivirus icon to appear.
About the IVANTI Mac Antivirus Import Kaspersky settings page
Use this page to configure how IVANTI Mac Antivirus will import Kaspersky settings on target
devices.
• Import settings file from a Kaspersky antivirus client: Lets you import settings from a client
device. To import the settings, specify Kaspersky settings on a client and save the settings
as a configuration file. From the Consola, browse to the configuration file. The options
listed in the file will be set first and then any IVANTI Antivirus settings will be set.
NOTE: IVANTI Antivirus won't look for a new configuration file and automatically update it. You must
O manually update the configuration file if you want to import different settings.
• Current configuration imported from: The Browse button [...] opens the Select a previously
saved Kaspersky configuration file window. Browse to the \ldlogon folder, click the
configuration file, then click Open.
• Clear password after import: Enables users to change Kaspersky settings without the
settings file password.
561
Introduction to IVANTI Security Suite

Bienvenido a IVANTI Security Suite
IVANTI® Security Suite ofrece las herramientas necesarias, en una consola integrada, para asegurar
y proteger dispositivos y datos crfticos de la red de la empresa.
IVANTI Security Suite es compatible con entornos de red heterogeneos, que incluyen Windows,
Macintosh y Linux.
Security Suite se basa en la funcion primaria de IVANTI Endpoint Manager, lo cual le permite
configurary administrar los dispositivos de redes, para luego mejorary enfocar dicha funcion
mediante la adicion de herramientas espedficas relacionadas con la seguridad, tales como Parches
y cumplimiento, Seguridad de terminales, HIPS, IVANTI Firewall, Control de dispositivos, 802.1X
NAC (Network Access Control) Control de acceso a la red, Vigilante del agente, y otras; con lo cual
brinda una solucion de seguridad integral por niveles.
Solucion de seguridad total y en capas

IVANTI Security Suite es una solucion de administracion de seguridad completa que permite
supervisor, evaluar, reparar, verificar, defendery fortalecer de manera preventiva su infraestructura y
recursos de red.
La herramienta fundamental de Parches y cumplimiento le permite rastreary reparar los tipos mas
frecuentes de exposiciones y riesgos a la seguridad que amenazan continuamente la integridad y el
desempeno de los dispositivos administrados, entre ellos: vulnerabilidades conocidas de sistemas
operativos y aplicaciones, spyware, virus, errores de configuracion del sistema, aplicaciones no
autorizadas o prohibidas y otras exposiciones potenciales de seguridad.
IVANTI Antivirus permite descargar las ultimas actualizaciones de archivos de definiciones de virus
y configurar los rastreos de virus que buscan virus en los dispositivos administrados y le proveen
al usuario final opciones para manejar los archivos infectados y en cuarentena. El Control de
dispositivos le permite monitorear y restringir el acceso a los dispositivos administrados a traves
de conexiones de red y dispositivos de E/S.
La tabla que aparece a continuacion muestra la forma en que las herramientas de Security Suite se
complementan entre sfy proporcionan una defensa integral yde gran alcance del sistem
562
GUÍA DE USUARIO
563
Una vez se instala IVANTI Security Suite yse activa el servidor central con la licencia de Security
Suite, puede consultartemas de ayuda espedficos para encontrar informacion sobre como iniciar la
consola y utilizar las herramientas disponibles, incluyendo las herramientas especficas de
seguridad y las funciones que se detallan a continuacion.
Puede navegar por los temas de ayuda IVANTI Endpoint Manager y IVANTI Security Suite del Centro
de ayuda de IVANTI o realizar una busqueda de una palabra clave especfica o una frase para ubicar
la informacion que desee.
IMPORTANT: Security Suite no incluye todos los componentes de Endpoint Manager

j Tenga en cuenta que algunos de los componentes de Endpoint Manager no se aplican a la
implementacion de Security Suite, como el aprovisionamiento de SO y el servidor central de resumen.
Instalar y activar IVANTI Security Suite

Tanto IVANTI Security Suite como IVANTI Endpoint Manager usan el mismo programa de instalacion
para instalar los componentes necesarios en el servidor central. Como sucede con otros productos
de software IVANTI, como Endpoint Manager e Inventario Manager, cuando se activa el servidor
central con la informacion de cuenta de IVANTI es cuando se dispone de la funcion de Security
Suite en la consola.
Si tiene una cuenta con licencia de IVANTI Security Suite, podra visualizar las herramientas y
funciones que se describen en los temas de ayuda de IVANTI Security Suite cuando inicie sesion en
la consola.
Recursos en la Comunidad de usuarios de IVANTI

La instalacion e implementacion de aplicaciones empresariales, como el software de las soluciones
de sistemas y seguridad de IVANTI, en una red heterogenea, requiere una metodologfa concreta y
bastante planificacion para poder ejecutar el programa de instalacion.
564
GUÍA DE USUARIO
Debido a que la infraestructura de red,y los requisitos y consideraciones de escalabilidad de base

de datos son similares entre Endpoint Manager y Security Suite, y debido a que estos productos de
IVANTI utilizan el mismo programa de instalacion, le recomendamos que consulte los documentos
de BKM (metodos mejor conocidos) de instaiacion e impiementacion que se encuentran en la
Comunidad de usuarios de IVANTI.

productos y tecnologfas de IVANTI. Para tener acceso a este valioso recurso, vaya a: Pagina principal de la
La Comunidad de usuarios alberga varios documentos que proporcionan informacion detallada

sobre las estrategias de despliegue e instrucciones paso a paso de cada fase de despliegue del
software de IVANTI, tales como:
• Disene el dominio de administracion

• Preparar la base de datos
• Instalar o actualizar el servidor central de IVANTI
• Descripcion del uso de puertos
• Configurar agentes de dispositivos administrados
Suscripciones contenido de IVANTI Security Suite

IVANTI Security Suite proporciona compatibilidad con el rastreo y reparacion de diversos tipos de
riesgos a la seguridad, incluyendo vulnerabilidades conocidas de las aplicaciones y los sistemas
operativos en las plataformas de los dispositivos, spyware, virus, riesgos de la configuracion del
sistema, aplicaciones sin autorizacion, etc. Los riesgos de seguridad de cualquiertipo se
caracterizan por medio de archivos de definiciones. Un archivo de definiciones generalmente consta
de una ID, atributos espedficos, detalles sobre las reglas de deteccion e informacion sobre los
archivos de revision si corresponde.
IVANTI mantienen una base de datos de archivos de definiciones de seguridad, que se denominan
contenido de Security Suite o contenido de seguridad y parches, que continuamente se actualizan,
verifican y ponen a disposicion mediante descargas de Internet. Para poder descargar los
contenidos de seguridad y revisiones, se debe tener una suscripcion al contenido de Security Suite.
Para obtener mas informacion sobre las suscripciones a los contenidos de Security Suite,
comurnquese con su distribuidor de IVANTI o visite el sitio web de IVANTI:
Pagina del inicio de IVANTI

Descargar las actualizaciones de seguridad de IVANTI
La seccion de Parches ycumplimiento de la ayuda describe la forma de descargar contenido de

seguridad y parches para el cual se tienen suscripciones. Para obtener mas informacion, consulte
"Descargar contenido de seguridad" (634).
565
Temas relacionados
"Herramientas y funciones de Security Suite" (565)
Herramientas y funciones de Security Suite

La herramienta subyacente de IVANTI Security Suite se llama Parches ycumplimiento. Para obtener
informacion acerca del contenido de seguridad y las plataformas de dispositivo compatibles, asf
como sobre la manera de utilizar Parches y cumplimiento para realizar el rastreo y las reparaciones
de seguridad ycumplimiento, visualizar los resultados de los rastreos, generar informes de
seguridad y configurar la seguridad continua del sistema, consulte "Parches ycumplimiento" (619).
Estos temas incluyen descripciones breves sobre las siguientes herramientas de administracion de
seguridad que proporciona IVANTI Security Suite, junto con vfnculos a temas de informacion
general de la herramienta:
• "Parchesycumplimiento" (565)
• "Cumplimiento de estandares de nombres CVE" (566)
• "Cumplimiento de las normas de Federal Desktop Core Configuration (FDCC)" (566)
• "Actividad de seguridad" (567)
• "Configuracion del agente" (567)
• "Seguridad de terminales" (567)
• "Control de aplicaciones" (903)
• "Configuracion del agente: IVANTI Firewall" (842)
• "Control de dispositivos" (920)
• "IVANTI Antivirus" (568)
• "IVANTI 802.1X NAC" (569)
• "IVANTI Data Protection con Credant" (569)
• "Herramientas comunes de IVANTI que se incluyen con Security Suite" (570)
• "Otras funciones de IVANTI Endpoint Manager incluidas con Security Suite" (572)
• "Fuentes de informacion adicionales" (572)
Parches y cumplimiento
Utilice Parches y cumplimiento para descargar las ultimas definiciones de vulnerabilidades
conocidas (y otras definiciones del tipo de contenido de seguridad) y sus parches asociados.
Rastree los dispositivos administrados, asf como los servidores y consolas, en busca de
actualizaciones de software IVANTI. Configure yejecute rastreos personalizados de evaluacion de
seguridad para aquellas vulnerabilidades conocidas espedficas a las plataformas, spyware,
amenazas de seguridad a la configuracion del sistema, rastreadores de antivirus y aplicaciones
bloqueadas o no autorizadas.
Con la herramienta de Parchesycumplimiento,tambien puede:
566
GUÍA DE USUARIO
• Crear sus propias definiciones personalizadas de seguridad para rastrear los dispositivos en
busca de condiciones especficas, potencialmente peligrosas.
• Investigar, asignar prioridades, descargar e implementar e instalar revisiones.

• Crear yejecutartareas programadas y polfticas que reparen los riesgos de seguridad
detectados.
• Configurar si el rastreador de seguridad aparece en los dispositivos de usuarios finales

durante los procesos de rastreo y reparacion, las opciones de reinicio, y el nivel de la
interaccion del usuario.
• Ver informacion completa de seguridad y revisiones para los dispositivos rastreados.

• Habilitar alertas de seguridad.
• Generar informes de seguridad.
Para obtener mas informacion, consulte "Parches y cumplimiento" (619).
NOTE: Rastreos de Parches y cumplimiento en una implementacion de IVANTI Endpoint Manager

La herramienta de Parches y cumplimiento se incluye de forma predeterminada en la instalacion de IVANTI
Endpoint Manager (activacion del servidor central). Sin embargo, al principio tambien puede buscar solo
las actualizaciones de software de IVANTIy sus definiciones de seguridad personalizadas. Para buscar y
reparar tipos de seguridad adicionales, se debe tener la suscripcion correspondiente a los contenidos de
Security Suite.
Cumplimiento de estandares de nombres CVE
Los productos de IVANTI Security Suite admiten el estandar de nombres de CVE (Vulnerabilidades y
Exposiciones Comunes). Con Parches y cumplimiento puede buscar vulnerabilidades por el nombre
de CVE y ver la informacion de CVE de las definiciones de vulnerabilidades descargadas.
Para obtener mas informacion sobre la convencion de nombres de CVE, la compatibilidad de IVANTI
con el estandar CVE, y la forma de usar la identificacion CVE para buscar definiciones de
vulnerabilidades de seguridad individuales en Parches y cumplimiento, consulte "Buscar
vulnerabilidades por nombre de CVE" (641).
Cumplimiento de las normas de Federal Desktop Core Configuration (FDCC)
IVANTI Security Suite proporciona ahora soporte ampliado de la Iniciativa de Federal Desktop Core
Configuration (FDCC). Los productos de IVANTI Software han sido certificados por el Instituto
Nacional de Estandares yTecnologfa (National Institute of Standards and Technology - NIST) como
conformes a las normas de Security Content Automation Protocol (SCAP), yfiguran como productos
validados en el sitio web de National Vulnerability Database.
Para efectuar las tareas de rastreo y reparacion de seguridad FDCC, debe tener una suscripcion de
contenido de IVANTI Security Suite que le permita descargar el contenido espedfico de FDCC, el
cual incluye: Deteccion e instalacion del rastreador FDCC, informes de estado y rastreo del
cumplimiento de FDCC, y rastreo y reparacion de vulnerabilidades certificados por FDCC por
componente.
Con el contenido de rastreo y seguridad certificado por FDCC, puede rastrear los dispositivos
567
administrados para asegurar que cumplen con las normas y requisitos de Federal Desktop Core
Configuration.
Para obtener mas informacion acerca de como utilizar el contenido de rastreo y seguridad de FDCC,
consulte "Security Content Automation Protocol (SCAP)" (652).
Actividad de seguridad
La herramienta de Actividad de seguridad le permite ver la actividad crftica y la informacion de
estado de los diferentes componentes y servicios de seguridad. La Actividad de seguridad
proporciona una sola ventana de herramientas en la cual puede ver facilmente los resultados de
rastreo de IVANTI Antivirus, las prevenciones de HIPS, las prevenciones de IVANTI Firewall, los
dispositivos bloqueados de Device Control y mucho mas.
Para obtener mas informacion, consulte "Informacion general sobre Actividad de seguridad" (890).
Configuracion del agente

La herramienta de Configuracion del agente le permite creary administrar archivos de configuracion
de varios componentes y servicios de seguridad. Las configuraciones (es decir, los archivos de
configuracion) controlan como los servicios de seguridad actuan sobre los dispositivos
administrados.
Con la herramienta de Configuracion del agente, puede desplegar agentes o servicios de

seguridad y su configuracion asociada a los dispositivos administrados como parte de la
configuracion del agente inicial, de tareas de instalacion y actualizacion separadas, y de tareas de
cambio de configuracion.
Para obtener mas informacion, consulte "Informacion general sobre la configuracion del agente"
(888).
Seguridad de terminales
La herramienta de Seguridad de terminales protege sus dispositivos administrados de ataques de
dfa cero, intrusiones en la barrera de seguridad, acciones y comportamientos prohibidos de
aplicaciones y procesos, y conexiones no autorizadas de red y de dispositivos.
La Seguridad de punto final consiste de archivos de configuracion personalizados (configuraciones

guardadas de opciones y funciones) que se pueden desplegar en los dispositivos de destino de los
siguientes componentes de seguridad:
• Reconocimiento de ubicacion (control de conexiones de red por medio de ubicaciones de

confianza)
• Sistema de Prevencion de Intrusion de Host (HIPS)
• IVANTI Firewall
• Control de dispositivos
• Listas de archivos de confianza
Sistema de Prevencion de Intrusion de Host (HIPS)
IVANTI Host Intrusion Prevention System (HIPS) ofrece una capa adicional de proteccion que
568
GUÍA DE USUARIO
protege de forma activa los sistemas y aplicaciones de ataques de dâ cero (es dedr,
comportamiento danino no autorizado). Uso de reglas y certificaciones de archivo personalizadas,
HIPS supervisa continuamente los procesos, los archivos, las aplicaciones y las claves de registro
especificados, y bloquea acciones y comportamientos prohibidos. Con HIPS, puede controlar que
aplicaciones se ejecutan en los dispositivos y como se permite su ejecucion. HIPS le permite
proteger el sistema de archivos, el registro, el inicio del sistema e incluso detectar rootkits
sigilosos.
Debido a que HIPS es un sistema basado en reglas, en lugar de definiciones (es decir, basado en
firmas), tales como vulnerabilidades conocidas, spyware y rastreo de antivirus, no requiere
actualizaciones constantes de archivos. Puede configurary desplegar su propio nivel personalizado
de seguridad del sistema.
Para obtener mas informacion, consulte "Control de aplicaciones" (903).
IVANTI Firewall
La Barrera de seguridad de IVANTI le permite creary configurar los valores de la barrera de

seguridad patentada para prevenir comportamiento de aplicaciones no autorizadas en los
dispositivos administrados.
j IMPORTANT: Compatibilidad de IVANTI Firewall con Windows Firewall
Para obtener mas informacion, consulte "Configuracion del agente: IVANTI Firewall" (842).
Control de dispositivos
El Control de dispositivos agrega otro nivel de seguridad a su red de IVANTIya que le permite
supervisary restringir el acceso a los dispositivos administrados a traves de dispositivos de E/S.
Con Control de dispositivos, puede restringir el uso de dispositivos que permiten el acceso de
datos en el dispositivo, tales como puertos, modems, unidades, dispositivos USB y conexiones
inalambricas.
Para obtener mas informacion, consulte la "Control de dispositivos" (920).
IVANTI Antivirus
IVANTI Antivirus permite protegertodos los dispositivos administrados de los ultimos virus
conocidos y de las infecciones sospechadas. Los rastreos de antivirus tambien pueden chequear
software de riesgo (por medio de una base de datos ampliada). IVANTI Antivirus es una herramienta
de proteccion contra virus que puede configurarseyque se encuentra totalmente integrada tanto con
IVANTI Security Suite como con IVANTI Endpoint Manager.
569
GUÍA DE USUARIO
IVANTI Antivirus proporciona un rango amplio de funciones antivirus, entre ellas: rastreos
programados de antivirus, rastreos a peticion, rastreos de boton rojo, proteccion de archivos y
mensajes de correo electronico en tiempo real, descarga automatizada de las actualizaciones de
archivos de definiciones de virus (la base de datos de firmas de virus de IVANTI contiene las ultimas
definiciones de virus conocidas y se renueva varias veces al dfa), configuracion del
comportamiento del rastreo de antivirus y de las opciones del usuario final, exclusiones de rastreos
y alertas e informes de antivirus.
Ademas, puede visualizar informacion de antivirus en tiempo real sobre los dispositivos
rastreados en la consola principal yen el Tablero ejecutivo de la consola web para identificar
rapidamente brotes de virus yver el control de virus a lo largo de un penodo especificado de
tiempo.
Para obtener mas informacion, consulte "Informacion general de IVANTI Antivirus" (929).
IVANTI 802.1X NAC

Utilice el Control de acceso a la red (NAC) para implementar la seguridad de cumplimiento en la red.
El soporte de IVANTI 802.1X NAC esta disenado para extender la seguridad de una implementacion
de servidor Radius 802.1X existente en la red mediante la adicion de autenticacion y cumplimiento.
Con IVANTI 802.1X NAC puede configurar las polfticas de cumplimiento personalizadas mediante la
herramienta de Revisiones y cumplimiento, e imponer dichas poifticas en los dispositivos que
intentan tener acceso a la red a traves del proceso de validacion de postura. Los dispositivos con
estado apropiado reciben acceso, mientras que los dispositivos con estado no apropiado se
colocan en cuarentena, donde pueden repararse para recibir acceso total o acceso limitado a la red.
Tambien puede creary configurar rastreos de seguridad espedficos del cumplimiento para buscar
en los dispositivos conectados actualmente el cumplimiento con respecto a la polftica de seguridad.
Un rastreo antivirus tambien puede iniciar los rastreos de seguridad de cumplimiento completos
cuando un virus no se puede eliminar o poner en cuarenta.
IMPORTANT: IVANTI NAC requiere configuracion de hardware y software adicionales y un gran

conocimiento practico de la configuracion del servidor Radius 802.1X, autenticacion y validacion de
postura de integridad de 802.1X, asf como principios avanzados de diseno de infraestructura y
administracion de redes.
Para obtener mas informacion, consulte "Despliegue de la herramienta IVANTI 802.1X NAC" (582).
IVANTI Data Protection con Credant

La herramienta Proteccion de datos de IVANTI® con Credant es una solucion integrada de un socio
que permite recopilar, rastreary ver informacion sobre datos de estado de integridad de los
dispositivos administrados a traves de la consola de IVANTI.
570
GUÍA DE USUARIO
Cuando se instala el software del agente de Credant (Proteccion de datos), configurado con una
polftica de seguridad, y se proporciona suficiente tiempo para aplicar dicha polftica en un
dispositivo de los que se gestionan, el dispositivo se considerara "protegido" por el servicio
integrado de Proteccion de datos de Credant. Los servidores de Credant utilizan un cifrado de datos
inteligente basado en la polftica para asegurar los datos en los dispositivos protegidos. IVANTI
simplemente recopila esta informacion y la pasa a la base de datos central, la cual les permite a los
Administradores de IVANTIver la informacion de Proteccion de datos en la vista de inventario de la
consola yen un informe predefinido de Proteccion de datos.
Para obtener mas informacion, consulte "Informacion general sobre IVANTI Data Protection" (1034).
Herramientas comunes de IVANTI que se incluyen con

Security Suite
Las herramientas comunes de IVANTI ofrecen capacidades subyacentes de configuracion y
administracion de dispositivos tanto en Endpoint Manager como en Security Suite. Las siguientes
herramientas se encuentran disponibles en la implementacion de IVANTI Security Suite yaparecen
en el menu Herramientas de la consola.
IMPORTANT: Tenga en cuenta que algunas de estas herramientas comunes tienen ciertas restricciones en ■ la
activacion de licencias de IVANTI Security Suite.

Utilice la Configuracion del agente para crear configuraciones de agente personalizadas para
desplegar e instalar los agentes IVANTI necesarios a fin de administrary proteger los dispositivos de
red. Estos agentes son los agentes estandar de IVANTI (que incluyen el rastreador de inventario, el
programador local, la deteccion del ancho de banda y el rastreador de seguridad), el agente de
distribucion de software y el agente del monitor de licencias de software (que se utiliza para el
bloqueo de aplicaciones).
NOTE: Agentes que no se aplican a IVANTI Security Suite

Los siguientes agentes (componentes) de IVANTI NO se aplican a ninguna instalacion de Security Suite:
- Formularios de datos personalizados
- Control remoto
- Aprovisionamiento del SO
Informes
Utilice la herramienta de informes para generary publicar una gran variedad de informes
especializados que ofrecen informacion util sobre los dispositivos administrados, incluyendo varios
informes predefinidos de Revisiones y cumplimiento, Antivirus y Cumplimiento de IVANTI NAC.
NOTE: Informes que no se aplican IVANTI Security Suite

Las siguientes categorias de informes NO pueden aplicarse a Security Suite: Todos los informes de activos,
Todos los informes SML, y Todos los informes de control remoto.
Tareas programadas
Utilice las Tareas programadas para crear tareas periodicas especificamente relacionadas con el
administrador de seguridad y revisiones, las reparaciones, la aplicacion de la seguridad de
cumplimiento, los rastreos de antivirus y mas. Puede configurar las opciones de los dispositivos
destinoytiempos programados de la tarea.
NOTE: Tareas programadas no aplicables a IVANTI Security Suite

Los siguientes tipos de tareas (secuencias de comandos) programadas NO pueden aplicarse a Security Suite:
Formularios de datos personalizados, Secuencias personalizadas de comandos, Tareas para dispositivos de
bolsillo y secuencias de OSD. La distribucion y el envio del paquete no pueden configurarse con Security Suite.
Deteccion de dispositivos no administrados

Utilice la Deteccion de dispositivos no administrados (UDD) para ubicar dispositivos de la red que
no han enviado un rastreo de inventario a la base de datos central.
La deteccion extendida de dispositivos (XDD) funciona fuera de los metodos de deteccion normales
basados en rastreo que utiliza UDD. Los equipos administrados que tienen el agente de deteccion
extendida de dispositivos escuchan las difusiones ARP (Protocolo de resolucion de direcciones) y
mantienen una memoria cache (en la memoria y en un archivo de la unidad local) de los dispositivos
que las emiten. La deteccion de dispositivos ampliada tambien puede detectar dispositivos WAP
(punto de acceso inalambrico).
Administracion por roles

Las herramienta de Administracion de usuarios le permite agregar usuarios a los roles de
administracion de Security Suite y configurar su acceso a las herramientas especificas y los
dispositivos administrados segun el rol administrativo.
Con la administracion basada en roles, se asignan roles (con sus derechos asociados) para
determinar las tareas que los usuario pueden efectuary se asignan ambitos (basados en grupos de
dispositivo, consultas, directorios de LDAP o directorios personalizados) para determinar los
dispositivos que los usuarios pueden very administrar. Los roles que estan disponibles con
Security Suite incluyen: Parches y cumplimiento, Control de acceso a la red, Configuracion del
agente, Distribucion de software, Administracion de consultas publicas y Deteccion de dispositivos
no administrados.
NOTE: Roles y derechos que no se aplican aIVANTI Security Suite

Los siguientes derechos de administracion basados en roles NO pueden aplicarse a Security Suite:
572
Aprovisionamiento del SO, Control remoto, Configuracion de activos, Captura de activos y Supervision de
licencias de software.
Cuentas locales
Las cuentas locales constituyen una herramienta administrativa que se utiliza para administrar los
usuarios y grupos en los equipos locales de la red. En la consola puede agregary eliminar usuarios
y grupos, agregary eliminar usuarios de los grupos, definiry cambiar contrasenas, modificar las
configuraciones de usuarioy de grupo, y creartareas para restablecer contrasenas en varios
dispositivos.
Otras funciones de IVANTI Endpoint Manager incluidas con Security Suite
Ademas de las herramientas mencionadas, las cuales aparecen en el menu Herramientas de la

consola, Security Suite proporciona las siguientes funciones comunes de IVANTI:
• Consola de Windows, consolas adicionales, consola web
• Disposiciones personalizadas de la consola

• Vista de red de dispositivos administrados y consultas
• Menus de acceso directo de dispositivos administrados y consultas
• Configuracion de servicio
• Inventario
• Consultas de base de datos
• Alertas
• Replica de contenido y servidores preferentes
IMPORTANT: Los formularios de datos personalizados no se admiten en IVANTI Security Suite

La herramienta de Formularios de datos personalizados no esta disponible con la licencia que solamente incluye
IVANTI Security Suite. Debe poseer un licencia completa de IVANTI Endpoint Manager a fin de utilizar la funcion
de formularios de datos personalizados.
Despues de los temas de ayuda de la herramienta de seguridad, el resto de los temas de ayuda con
enlaces se encuentran en las secciones de ayuda de IVANTI Endpoint Manager que cubren las
herramientas comunes de IVANTI que se mencionaron anteriormente (incluyendo informacion
acerca de la descripcion y el uso de la consola y la vista de red).

573 La Comunidad de usuarios de IVANTI tiene foros de usuarios y los metodos mejor conocidos de todos
O
los productos y tecnologias de IVANTI. Para tener acceso a este valioso recurso, vaya a: Pagina principal de la
Temas relacionados
"Bienvenido a IVANTI Security Suite" (561)
574
GUÍA DE USUARIO
Network Access Control

Informacion general sobre IVANTI NAC
El control de acceso a la red (NAC) es un componente importante de la solucion completa de
administracion de seguridad. El NAC permite proteger la red de acceso no autorizado, intrusiones
malevolas y exposiciones de seguridad externas introducidas por dispositivos vulnerables o
danados que pueden infectary danar la red.
IVANTI Security Suite ofrece una herramienta NAC 802.1X que esta disenada para soportary ampliar
la seguridad de cualquier implementacion existente del servidor de Radius 802.1X en la red. El
soporte de IVANTI 802.1X NAC agrega capacidades de autenticacion y conformidad al control de
acceso basico de Radius 802.1X.

productos y tecnologfas de IVANTI. Para tener acceso a este valioso recurso, vaya a:
https://community.Ivanti.com
El Control de acceso a la red (NAC) agrega un nivel adicional de proteccion a la red al facilitar que
se evite el acceso a la red de dispositivos vulnerables o danados, asf como proteger los recursos
cnticos de red de los sistemas conectados que resulten danados.
NAC impone la seguridad en el penmetro de puntos extremos a traves de tecnologfas y sistemas de

seguridad comunes del sector. El Control de acceso a la red proporciona flexibilidad en la
implementacion de las funciones de control de acceso de red en su red mediante la compatibilidad
con estandares de industria y metodologfas comunes del sector, como IEEE 802.1X.
Con el Control de acceso a la red, puede definir poifticas de seguridad basicas personalizadas,
rastrear dispositivos (administrados y no administrados) para verificar su legalidad, verificar el
estado de integridad (o postura) de los dispositivos conectados y denegar o permitir el acceso a los
recursos cnticos de la red en funcion del cumplimiento del dispositivo de las polfticas de
seguridad. Se otorga acceso completo a la red a los dispositivos con un estado apropiado. Si se
determina que un dispositivo tiene un estado no apropiado, se bloqueara su acceso a la red y
permanecera en un area virtual de cuarentena donde podra repararse mediante las capacidades de
reparacion de Security Suite o se le permitira acceso limitado a la red.
Tambien, con el control de acceso de red, puede evaluar las credenciales de seguridad de cualquier
dispositivo tan pronto como este intente conectarse a la red mediante la comparacion del
dispositivo con las polfticas de seguridad personalizadas, puede supervisar el estado de seguridad
de los dispositivos que ya estan conectados, permitir o denegar el acceso a la red, colocar en
cuarentena los dispositivos que no satisfacen los requisitos de las polfticas de seguridad y reparar
los dispositivos vulnerables para que puedan volver a rastrearse a fin de determinar su
cumplimiento de las polfticas de seguridad y se le permita el acceso a la red una vez que se
575
determine que funciona correctamente.

Ventajas y caracterlsticas del Control de acceso a la red
Con NAC, se puede:
• Creary aplicar poifticas de seguridad de cumplimiento personalizadas . Impiementar una

seguridad empresarial mas robusta e ininterrumpida
• Evaluar las credenciales de seguridad (estado de integridad) de los dispositivos conectados
• Evitar el acceso a la red por parte de sistemas infectados o corruptos
• Colocar en cuarentena los dispositivos que no cumplen con los requisitos en un area
segura
• Reparar los dispositivos infectados para que cumplan con los requisitos
• Reducir el tiempo de inactividad debido a las intrusiones malevolas
• Proteger la red, los sistemas, las aplicaciones y los datos de amenazas externas
• Ampliar las tecnologfas y los estandares de seguridad existentes
Cumplimiento de las politicas de seguridad

El cumplimiento de polfticas de seguridad se compone de reglas que verifican el estado de
mantenimiento de un dispositivo mediante la busqueda de vulnerabilidades (en forma de revisiones
de SO y aplicacion ausentes u obsoletas), actualizaciones de software, archivos de motor antivirus
y firma, presencia y configuracion de firewall y spyware.
Para obtener mas informacion sobre la definicion de una polftica de seguridad de cumplimiento en
la herramienta de Revisiones y cumplimiento de la consola, consulte "Definicion de los criterios de
seguridad de cumplimiento y publicacion de la configuracion de NAC" (605).
Descripcion de los componentes basicos de NAC

Las secciones siguientes describen los componentes basicos de la implementacion de NAC
(control de acceso a la red) y la funcion que desempena cada uno de los componentes y como
interactuan entre sL
Componentes basicos y flujo de proceso de NAC
El diagrama siguiente muestra los componentes basicos de NAC, su funcion y el flujo de

comunicacion entre los diferentes componentes.
576
GUÍA DE USUARIO
A Dispositivos que han intentado el acceso a la red, B Dispositivo de control de acceso a la red, C Punto de decision del
acceso de red / servidorde pollticas, D Red corporativa, E VLAN de cuarentena
Descripciones de los componentes basicos de NAC

Componente Descripcion
A: Dispositivos que Incluye los equipos moviles que se conectan de forma ocasional, contratistas visitantes y usuarios
han intentado el invitados, al igual que los usuarios normales de la red, que intentan el acceso a la red empresarial.
acceso a la red
Los dispositivos con un agente de confianza instalado pueden comunicarse con el servidor de
polfticas o el servidor de validacion de postura para enviar y recibir informacion sobre las
credenciales de integridad, y pueden ser reparados por el servidor de reparacion si las
vulnerabilidades se detectan durante el rastreo de seguridad.
Sin un agente de confianza, el dispositivo no se puede comunicarcon el servidorde validacion de
postura y no puede repararse. Si se rastrea por primera vez un dispositivo que no tiene un agente de
confianza, el dispositivo se dirige a una pagina web con vmculos para instalar el agente de confianza
apropiado.
El dispositivo de control de acceso de red funciona como el dispositivo de red "de primer salto"
B: Dispositivo de desde la perspectiva del dispositivo suplicante/solicitante y empieza el proceso de validacion de
control de acceso a postura y de autenticacion.
la red
C: Servidor de
Servidor dedicado de administracion y control tambien conocido como servidor de validacion de
polfticas / servidor
postura, el cual evalua las credenciales de postura (estado de los dispositivos que solicitan acceso)
de validacion de
en funcion de las reglas de cumplimiento (polfticas de seguridad provenientes del servidor central
postura (punto de
publicadas en el). Envfa una respuesta de validacion (estado apropiado, no apropiado, etc.) a traves
decision de acceso
del dispositivo de control de acceso de red.
de red)
577
GUÍA DE USUARIO
Componente Descripcion
D: Red Area y recursos de red cnticos que el NAC protege de dispositivos en mal estado,
empresarial infectados o vulnerables de algun modo.
E: VLAN de Area de red virtual segura donde los dispositivos que no cumplen con los requisitos
cuarentena pueden asegurarse, para repararlos, volver a rastrearlos, concederles el acceso
completo a la red u otorgarles acceso restringido a los recursos de red, tal como Internet.
Prerrequisitos de NAC y derechos de gestion de usuarios

Para utilizar la funcion de NAC, debe contar con una licencia valida de Security Suite (activacion del
servidor central).
NAC no solo requiere las capacidades de rastreo y reparacion de la herramienta de Revisiones y

cumplimiento, sino tambien de las suscripciones de contenido de Security Suite para poder
descargar las definiciones de vulnerabilidad, amenazas de configuracion de sistema y definiciones
de spyware y archivos de patrones de virus que se utilizan para crear polfticas de seguridad de
cumplimiento personalizadas.
Se ha agregado un grupo llamado Cumplimiento a la vista de arbol de la herramienta de Revisiones

y cumplimiento. Los usuarios con el derecho de administracion de revisiones pueden agregary
eliminar las definiciones de tipo de seguridad en el grupo Cumplimiento. Las definiciones de
seguridad contenidas en el grupo Cumplimiento componen la polftica de seguridad de
cumplimientoyse rastrean en los dispositivos conectados a fin de determinar su estado de
integridad.
Administracion basada en roles con IVANTI 802.1X NAC

El Control de acceso a la red depende de los siguientes derechos basados en roles.
Derecho de Administracion de revisiones
Este derecho es necesario para verytener acceso a la herramienta de Revisiones y cumplimiento, y

para descargar las actualizaciones de contenido de seguridad necesarias para definir las reglas de
cumplimiento. Este derecho es necesario para agregar o eliminar definiciones de seguridad en el
grupo Cumplimiento.
Derecho de administrador de IVANTI
Este derecho es necesario para configurar dispositivos con agentes de confianza para efectuar el
rastreo de cumplimiento y para configurar los servicios de NAC en la consola.
NOTE: Los derechos de administrador de IVANTI incluyen todos los demas derechos, incluso los derechos de
administracion de revisiones que se mencionaron arriba.
578
O
GUÍA DE USUARIO
Lista de tareas de inicio rapido de IVANTI 802.1X NAC

Utilice esta lista de tareas para finalizar la planificacion, la instalacion y las tareas de configuracion
necesarias para implementar el soporte de NAC 802.1X en la red.
Puede imprimir esta lista de tareas yconsultarla para llevar un seguimiento de cada uno de los
pasos durante el proceso de implementacion. Si esta visualizando esta lista de tareas en lfnea, haga
clic en el enlace Mas information para ver informacion detallada sobre una tarea particular.
579
580
GUÍA DE USUARIO
581
582
GUÍA DE USUARIO
583
Despliegue de la herramienta IVANTI 802.1X NAC

Descripcion general de IVANTI 802.1X NAC
IVANTI 802.1X NAC mejora el control de acceso de red mediante el requerimiento de las
credenciales de autenticacion apropiadas y a traves del agente estandar activo en el dispositivo.
Tambien puede validar el cumplimiento de integridad de dispositivo con su polftica de seguridad
personalizada, y poner en cuarentena y reparar dispositivos no apropiados.
IVANTI 802.1X NAC funciona con los principales proveedores de conmutacion compatibles con el
estandar 802.1X. Un proxy Radius 802.1X puede participar con una arquitectura de administracion
de identidad AAA (autenticacion, autorizacion y administracion) existente para autenticar usuarios o
puntos extremos o bien, funcionar como Radius independiente en entornos que solamente
requieren la validacion del cumplimiento de los puntos extremos. Radius Proxy aprovisiona el
acceso a puertos de conmutacion en funcion de los resultados de autenticacion de los puntos
extremos conectados.
Las secciones siguientes describen como planificar, instalar, configurary activar el soporte de
Control del acceso de red IVANTI 802.1X NAC en un entorno de NAC existente.
La herramienta IVANTI 802.1X NAC esta disenada para soportary ampliar la seguridad de cualquier
implementacion existente del servidor de Radius 802.1X en su red. El soporte de IVANTI 802.1X NAC
agrega capacidades de autenticacion y conformidad al control de acceso basico de Radius 802.1X.
IMPORTANT: Se requiere conocimiento tecnico y pericia para configurar el NAC Observe que el NAC requiere
una configuracion de hardware y software adicional mas alla de la instalacion basica del servidor central. Debido
a la naturaleza tecnica de tal trabajo de configuracion adicional, IVANTI supone que usted esta familiarizado con
la configuracion del servidor 802.1X Radius, autenticacion y validacion de postura de mantenimiento de 802.1X,
y con principios avanzados de diseno de infraestructura de red y su administracion.
Que se debe hacer luegode configurar el soporte de IVANTI 802.1X NAC
Despues de finalizartodas las tareas de configuracion de soporte de IVANTI 802.1X NAC, el

siguiente paso para implementar NAC es definir sus polrticas de seguridad de cumplimiento,
publicar las configuraciones del NAC en los servidores apropiados y personalizar las paginas de
reparaciones HTML como lo desee. Para obtener informacion acerca de la ejecucion de estas tareas,
consulte "Definicion de los criterios de seguridad de cumplimiento y publicacion de la
configuracion de NAC" (605).
Otras tareas de gestion de NAC en curso incluyen: garantizar los servicios de 802.1X NAC es
habilitado mediante el permitir o restringir el acceso a la opcion a todos, entender lo que ocurre
cuando los dispositivos de conexion tienen postura, actualizar las normas de seguridad y
cumplimiento de polrticas y publicar la configuracion NAC, agregar dispositivos no administrados a
la herramienta de Deteccion de dispositivos no administrados, ver los dispositivos afectados y
configurar los registros. Para obtener mas informacion, consulte "Administrar la seguridad de
cumplimiento del NAC 802.1X" (613).
584
GUÍA DE USUARIO
Hacer referencia a la lista de tareas de inicio rapido
Para su comodidad, utilice esta lista de verificacion de tareas para llevar un seguimiento de los
pasos necesarios para configurar IVANTI 802.1X NAC. Ver la "Lista de tareas de inicio rapido de
IVANTI 802.1XNAC" (578).
Tecnologlas de IVANTI 802.1X NAC
802.1X es un protocolo de seguridad de IEEE que se utiliza para efectuar el control de acceso a la
red basado en puertos. 802.1X proporciona autenticacion a los dispositivos, ya sea mediante el
establecimiento de una conexion o mediante la prevencion del acceso si falla la autenticacion.
802.1X se basa en EAP (Protocolo de autenticacion ampliable) y mas recientemente PEAP
(Protocolo de autenticacion ampliable protegido). 802.1X es admitido en la mayona de los
conmutadores de red y se puede configurar para la autenticacion de clientes que tienen instalado
software de agente.
El NAC 802.1X es una tecnologfa de acceso a la red y de autenticacion proxy de Radius que
funciona con todos los proveedores de conmutacion mas importantes que admiten el estandar
802.1X. Con NAC 802.1X, un servidor Radius (bien sea un servidor Microsoft IAS con el
complemento EAP IAS o un servidor Radius con proxy 802.1X) realiza la validacion de postura, o en
otras palabras, verifica el cumplimiento de las polfticas de seguridad.
La autenticacion 802.1X estandar requiere un nombre de usuario y una contrasena para tener
acceso a la red. IVANTI NAC 802.1X de amplfa este modelo basico requiriendo que el agente
estandar (CBA) de IVANTI este instalado en los dispositivos administrados que soliciten acceso a la
red y requiriendo que se haya determinado que el dispositivo suplicante cumpla con las polfticas de
seguridad personalizadas. El NAC verifica la presencia del agente (CBA) por medio de la busqueda
de un ID de dispositivo unico creado por el mismo agente. (Nota: el EAP no intentara la
autenticacion a menos que pueda encontrar el Identificador del dispositivo.)
El NAC 802.1X con el complemento EAP IAS usa un agente NAC EAP de propiedad exclusiva que
reside tanto en el servidor IAS Radius como en los dispositivos administrados. El agente LTA EAP
se instala en los dispositivos administrados a traves de una configuracion de agente.
Ademas del componente de servidor Radius 802.1X espedfico, y la configuracion del interruptory
enrutador, tambien debe configurar un servidor de reparaciones para poder implementar el Control
de acceso a la red
Con el NAC 802.1X, el servidor Radius actua como el punto de decision de acceso a la red en
conjunto con el interruptor de red. El interruptor actua como el dispositivo de control de acceso a la
red y envfa las solicitudes de autenticacion de dispositivo al servidor Radius, el cual realiza la
autenticacion real. Segun los resultados devueltos al conmutador por el servidor Radius, el
conmutador permite o deniega el acceso a la red.
585
Componentes, flujo de proceso y topologla de red de NAC 802.1X

Esta seccion describe los componentes que conforman NAC 802.1X. Ademas, esta seccion describe
lo que sucede cuando un dispositivo intenta el acceso o la conexion a la red empresarial cuando se
activa el NAC.
Los siguientes componentes se requieren para implementar IVANTI 802.1X NAC.
Componentes requeridos
586
GUÍA DE USUARIO
Flujode procesode NAC 802.1X
1. Un dispositivo administrado configurado con el agente NAC 802.1X de IVANTI realiza un

intento inicial para tener acceso a la red empresarial.
2. El conmutador de red (configurado para un reenvfo de punto de paso 802.1X, y funcionar
como punto de control del acceso) envfa una identidad de solicitud EAP al dispositivo
suplicante.
3. Aparece un indicador en el dispositivo que solicita el nombre de usuario y la contrasena. El
usuario final debe escribir credenciales de inicio de sesion validas, que se reenvfan a traves
del conmutador,junto con un token agregado al paquete de respuesta de EAT, al servidor
Radius (configurado como complemento LTA EAP o con el proxy Radius LTA, yfunciona
como punto de decision del acceso).
4. Si las credenciales de autenticacion se reconocen y la credencial indica que el dispositivo
tiene instalado el agente estandar, IVANTI 802.1X NAC entonces ejecuta un rastreo de
seguridad de cumplimiento que determina la postura del dispositivo o el estado de
cumplimiento segun los criterios definidos por sus polfticas personalizadas de seguridad.
Este rastreo lo realiza una tarea de rastreo de conformidad por medio de una configuracion
de cumplimiento con la opcion Hacer cumplir el rastreo 802.1X habilitada en la pagina de
Cumplimiento.
5. Si se considera que el dispositivo tiene el estado apropiado (es decir que cumple con los
requisitos), se le concede acceso a la red corporativa
6. Si se considera que el dispositivo tiene un estado no apropiado (no cumple con los
requisitos), permanecera en la VLAN de cuarentena. Aparece un cuadro de mensaje que
informa al usuario como comunicarse con el servidor de reparaciones para efectuar el
rastreo de evaluacion y reparacion de vulnerabilidades. El acceso directo de Reparacion se
coloca en el escritorio del dispositivo. El usuario final puede elegir entre permanecer en la
VLAN de cuarentena o seguir los pasos necesarios para demostrar el cumplimiento de las
polfticas de seguridad yobtener acceso pleno a la red.
587
7. El servidor de reparaciones realiza la reparacion mediante el rastreo de vulnerabilidades y de

otros riesgos de seguridad (las reglas de cumplimiento mencionadas anteriormente) y la
instalacion de cualquier revision necesaria. Una vez que se repara el dispositivo, se repite el
proceso de acceso a la red y el dispositivo que cumple los requisitos obtiene acceso a la red
empresarial.
NOTE: Rastreos de seguridad de cumplimiento

Con la herramienta de Revisiones y cumplimiento puede crear y configurar un rastreo de seguridad de
cumplimiento espedfico que busque en los dispositivos la conformidad con las politicas de seguridad
personalizada. Un rastreo de conformidad esta basado en el contenido del grupo de Conformidad y se puede
ejecutar como una tarea programada o como una politica. Para obtener informacion sobre la actualizacion de
politicas y reglas de seguridad de cumplimiento, y sobre como volver a publicar la configuracion del NAC,
consulte "Administrar la seguridad de cumplimiento del NAC 802.1X" (613).
Consideraciones de topologia y diseno de red
Usted debe tener en cuenta los siguientes aspectos durante la implementacion de soporte de
IVANTI 802.1X NAC en un entorno de servidor Radius 802.1X existente.
• El servidor de reparaciones y el servidor de Radius se pueden instalar en el mismo equipo,

pero si se presentan problemas de desempeno o de escalabilidad, se deben trasladar a
equipos servidores separados.
• El interruptor de red se debe configurar para usar reenvio directo de 802.1X.

• El enrutador debe estar configurado con dos subredes VLAN: la subred principal es la red de
corporativa / produccion; la subred secundaria es la red de cuarentena (es decir, VLAN
huesped 802.1X).
• La red de cuarentena del enrutador debe utilizar listas de control de acceso (ACL) para
restringir el acceso del dispositivo a solo el servidor de reparacion.
• El servidor central no debe ser visto por la red de cuarentena.
El flujo de trabajo a continuacion describe el flujo de comunicacion entre los diversos componentes
de un entorno NAC 802.1X cuando el dispositivo que intenta el acceso a la red tiene instalado el
agente de802.1Xde IVANTI.
Instalacion del servidor Radius 802.1X o Proxy
Como se dijo anteriormente, IVANTI 802.1X NAC mejora un entorno de NAC 802.1X existente
mediante la adicion de funciones de autenticacion y cumplimiento. IVANTI 802.1X NAC requiere un
servidor Radius 802.1X o proxy Radius.
En primer lugar, elija uno de los metodos siguientes para implementar IVANTI 802.1X NAC.
• "Usar el complemento del servidor Radius IAS (en MD5)" (587)

• "Usar el proxy Radius (para PEAP)" (590)
588
GUÍA DE USUARIO
NOTE: Utilice el complemento del servidor Radius de IAS si se especifica el tipo de EAP como MD5. Utilice el
proxy Radius si se especifica el tipo de EAP como PEAP. (Tambien puede utilizar el proxy Radius si posee un
servidor Radius diferente a IAS).
Las secciones siguientes proporcionan instrucciones paso a paso para efectuar ambas
configuraciones.
IMPORTANT: Configuracion del interruptor y enrutador

Despues de que instale al servidor Radius, tambien debe configurar el interruptor de red y el enrutador IVANTI
802.1X NAC. Como el hardware del enrutador e interruptor es unico en cada entorno de red, las instrucciones
espedficas para cada tipo del hardware no se pueden proporcionar aquf Cuando configure el interruptory
enrutador del 802.1X NAC, siga los lineamientos basicos de los requisitos de topologia y funcion descritos en la
seccion "Componentes, flujo de proceso y topologia de red de NAC 802.1X" (584). Tambien, puede ir al sitio de
Soporte de IVANTI para ver recomendaciones sobre la configuracion del interruptor y enrutador, y obtener
archivos de configuracion de muestra.
Usar el complemento del servidor Radius IAS (en MD5)
Utilice el complemento de servidor IAS 802.1X si desea utilizar un servidor IAS existente (o
configure un servidor IAS nuevo) para efectuar la autenticacion 802.1X.
Los siguientes pasos describen la instalacion (si es necesaria) y la configuracion de un servidor IAS
con el complemento EAP. Realice todos los pasos antes de habilitar el NAC 802.1X en la consola.
Paso 1: Instale el servidor Radius y el tipo LTA EAP
1. Instale el IAS (Servidor de autenticacion de Internet) en el servidor que desee configurar

como el servidor Radius de acceso remoto. Instale IAS a partir del CD de Windows 2003.
(NOTA: el protocolo Radius solamente se admite en Windows 2000 y Windows 2003.) Siga las
indicaciones de instalacion.
2. Instale el tipo LTA EAPen el servidor Radius. LTA EAP es un protocolo de autenticacion
patentado. LTA EAP se instala a partir del servidor central. Asigne una unidad al servidor
central y luego ejecute el archivo ejecutable de nombre LTAEAP.EXE que se encuentra en: el
directorio \LDMain\Install\Radius.
3. Reinicie el servidor para registrar LTA EAP en el servidor.
NOTE: el nuevo tipo EAP se verifica en la pagina Propiedades de servidor remoto. Para ello, vaya a Panel de
control > Herramientas administrativas > Enrutamiento y acceso remoto. Haga clic con el boton derecho en el
servidor remoto, haga clic en Propiedades, en la pestana Seguridad, en Metodos de autenticacion y en
Metodos EAP. El tipo LTA EAP debe figurar en la lista de metodos. Si LTA EAP no se encuentra en la lista,
debe instalarlo a partir del servidor central.
589
Paso 2: Configure e inicie el servicio de acceso remoto en el servidor Radius
1. Haga clic en Panel de control > Herramientas administrates > Enrutamiento y acceso remoto.
2. Haga clic con el boton derecho en el servidor y haga clic en Configurar y habilitar el
enrutamiento y acceso remoto. Se abre el Asistente para configuracion del servidor de
enrutamiento y acceso remoto.
3. Haga clic en Siguiente.
4. Seleccione Configuracion personalizada y a continuacion, haga clic en Siguiente.
5. Seleccione Acceso telefonico y haga clic en Siguiente.

6. Haga clic en Finalizar.
7. Cuando se le solicite, haga clic en S^ para iniciar el servicio.
Paso 3: Personalice el servicio de acceso remoto (configure EAP como el metodo de autenticacion
preferido para los dispositivos remotos)
1. En la herramienta Enrutamiento y acceso remoto, haga clic con el boton derecho en el

servidor que ha configurado y haga clic en Propiedades.
2. En la pestana General, verifique que la opcion Servidor de acceso remoto este seleccionada.
3. En la pestana Seguridad, seleccione la casilla de verificacion Protocolo de autenticacion
ampliable (EAP). Quiza desee hacer clic en el boton Metodos EAP para asegurarse de que el
nuevo metodo LTA EAP se encuentre en la lista de metodos.
4. Haga clic en Aceptar para salir del cuadro de dialogo Metodos de autenticacion.
5. Haga clic en Aceptar de nuevo para salir del cuadro de dialogo Propiedades.
Crear una polftica de acceso remoto en el servidor Radius
Debe configurar una poiftica de acceso remoto que utilice el metodo EAP para efectuar la
autenticacion.
Para ello utilice la herramienta IAS o la herramienta Enrutamiento y acceso remoto.
Paso 1: Cree la politica de acceso remoto
1. Bajo el nodo de servidor remoto, haga clic con el boton derecho en Polfticas de acceso
remoto y luego en Nuevo. Se abre el Asistente para polfticas de acceso remoto.
2. Haga clic en Siguiente.
3. Seleccione el tipo de polftica Tipica, escriba un nombre para la polftica y haga clic en
Siguiente. (Nota: escriba un nombre descriptivo que identifique las polfticas con facilidad.)
4. Seleccione el metodo de acceso Ethernet y haga clic en Siguiente.
5. Seleccione Usuario para otorgar acceso (no Grupo) y haga clic en Siguiente.
6. Seleccione el metodo de autenticacion LTA EAPy haga clic en Siguiente.
7. Haga clic en Finalizar para crear la polftica de acceso remoto.
590
GUÍA DE USUARIO
Paso 2: Configure la politica de acceso remoto para admitir tanto redes cableadas como
inalambricas
1. Haga clic con el boton derecho en la polftica de acceso remoto nueva que ha creado y luego
2. Seleccione la opcion Otorgar permiso de acceso remoto para habilitar la compatibilidad
inalambrica.
Instalar (agregar) conmutadores de red como clientes Radius
Ahora debe agregar los conmutadores de red (como clientes de Radius) que desee utilizar con la
autenticacion 802.1X.
Esta tarea se realiza en la herramienta IAS (IAS > Clientes Radius).
Al agregar un conmutador como cliente Radius, el servidor Radius podra reconocery procesar las
solicitudes de autenticacion a traves de dicho conmutador.
Crear un usuario comun en el servidor Radius
Ahora debe crear un usuario nuevo en el servidor Radius para establecer las credenciales de inicio
de sesion. El nombre y la contrasena del usuario determinan las credenciales de autenticacion de
los dispositivos administrados configurados con el NAC 802.1X que intenten tener acceso a la red.
Utilice la herramienta Administracion de equipos del servidor para realizar esta tarea.
Para crear un usuario comun en el servidor Radius
1. En el servidor Radius, haga clicen Inicio > Programas > Herramientas administrates >
Administracion de equipos.
2. Abra Usuarios y grupos locales, haga clic con el boton derecho en Usuarios y luego haga
clic
en Usuario nuevo.
3. Escriba un nombre de usuario.

4. Escriba y confirme la contrasena.
5. Configure la contrasena con las opciones siguientes:
• Desmarque la casilla de verificacion El usuario debe cambiar la contrasena
• Seleccione la casilla de verificacion El usuario no puede cambiar la contrasena
• Seleccione la casilla de verificacion La contrasena nunca caduca
• Asegurese de desmarcar la casilla de verificacion La cuenta esta deshabilitada
6. Haga clicen Crear.
591
El nombre de usuario y la contrasena especificados aqmson las credenciales de inicio de sesion

que el usuario final debe proporcionar para responder de forma satisfactoria a la solicitud de
identificacion de autenticacion durante el proceso de autenticacion de 802.1X. A continuacion, las
credenciales se envfan al servidor Radius,junto con los datos de EAP del dispositivo, con el fin de
determinar si se le ha otorgado acceso a la red al dispositivo.
Ahora puede habilitar NAC 802.1X en la consola. (El otro metodo de implementacion de NAC 802.1X
es mediante la configuracion e instalacion de un proxy Radius. Para obtener mas informacion,
consulte "Usar el proxy Radius (para PEAP)" (590).)
Habilitar IVANTI 802.1X NAC con el complemento de servidor Radius IAS

Despues de completartodas las tareas de configuracion mencionadas, podra habilitar la
autenticacion de IVANTI 802.1X NAC.
Esto se hace desde la consola (Herramientas > Seguridad > Control de acceso a la red).
Esto en esencia activa los servicios de autenticacion de 802.1X en la red. Sin embargo, aun debe
configurar los dispositivos administrados con el agente de 802.1X antes de administrar e imponer el
acceso remoto en ellos a traves de la autenticacion de 802.1X. Para obtener mas informacion,
consulte "Implementar el agente de IVANTI 802.1X NAC en los dispositivos administrados" (594).
Para habilitar IVANTI 802.1X NAC con el complemento de servidor Radius IAS
1. En la herramienta Network Access Control, haga cliccon el boton derechoen 802.1X yluego
haga clic en Configurar 802.1X > Servidor Radius.
2. Seleccione la casilla Habilitar servidor Radius 802.1X. Esto activa la autenticacion 802.1X en
la red (para dispositivos con el agente 802.1X) mediante el servidor Radius IAS con el
complemento EAP que usted configuro.
3. Para el Tipo EAP, seleccione MD5.
4. Seleccione Utilizar el complemento LTA EAP IAS.
La seccion siguiente describe la configuracion de IVANTI 802.1X NAC utilizando el metodo de proxy
Radius.
Usar el proxy Radius (para PEAP)

Utilice el proxy Radius si desea utilizar el tipo de EAP como PEAP. (Tambien puede utilizar el proxy
Radius si posee un servidor Radius diferente a IAS).
El proxy de Radius 802.1Xse puede instalaren los siguientes tipos de servidores de Radius:
• Cisco ACS
• RedesA10
• CAMS (Comprehensive Access Management System)
• IAS (Internet Authentication Service)
592
GUÍA DE USUARIO
IMPORTANT: Coexistencia con el software de servidor Radius

* El proxy de Radius 802.1X puede coexistir en servidores que ejecutan el software del servidor Radius. Si el servidor
Radius esta basado en hardware, debe instalar el proxy Radius 802.1X en otro servidor.
El proxy Radius se comunica entre el conmutadory el dispositivo quetiene instalado el agente de

802.1X. El proxy se encuentra en medio: el dispositivo se autentica con el proxy Radius, y el proxy
pasa el identificador y la contrasena al servidor Radius. Si el agente no esta instalado en el
dispositivo que intenta realizar la conexion, el proxy Radius deniega el acceso.
Habilitar IVANTI 802.1X NAC mediante el proxy Radius
Para utilizar proxy Radius, debe habilitar IVANTI 802.1X NAC, configurar las opciones de un archivo
de instalacion de proxy Radius e instalar el proxy Radius en el servidor Radius.
Esto se hace desde la consola (Herramientas > Seguridad > Control de acceso a la red).
Esto en esencia activa los servicios de autenticacion de 802.1X en la red. Sin embargo, aun debe
configurar los dispositivos administrados con el agente de 802.1X antes de administrar e imponer el
acceso remoto en ellos a traves de la autenticacion de 802.1X. Para obtener mas informacion,
consulte "Implementar el agente de IVANTI 802.1X NAC en los dispositivos administrados" (594).
Para habilitar IVANTI 802.1X NAC y configurar un archivo de instalacion de proxy Radius
1. En la ventana Control de acceso a la red, haga clic con el boton derecho en el objeto 802.1X,
haga clic en Configurar 802.1Xy luego haga clic en Servidor Radius.
593
2. Seleccione la casilla Habilitar servidor Radius 802.1X. Esto activa la autenticacion 802.1X en la red
(para dispositivos con el agente 802.1X) tras la instalacion del proxy Radius que ha configurado.
3. Para el Tipo EAP, seleccione PEAP.
4. Si desea verificar el servidor central, seleccione la casilla de verificacion Habilitar la revision del
servidor central en el proxy.
5. Seleccione Utilizar proxy Radius LTA.
6. introduzca la informacion del servidor Radius principal. (Si desea utilizar un servidor Radius de
respaldo, introduzca los datos de algun servidor secundario tambien.)
7. Introduzca un nombre para el archivo de instalacion del proxy Radius (MSI). El archivo de
instalacion se crea en el directorio LDMAIN\Install\Radius. Puede haber varias instalaciones de
servidores de proxy Radius. (NOTA: El proxy Radius se admite en todas las plataformas de 32 bits
de Windows.)
594
GUÍA DE USUARIO
Para instalar un proxy Radius
1. En el servidor que desee configurar con el proxy Radius 802.1X, conectese con el servidor
central y navegue hasta la carpeta donde haya guardado el archivo de instalacion de proxy.
2. Haga doble clic en el archivo MSI para ejecutar la instalacion.

3. Haga clic en Cerrar cuando se haya completado la instalacion. No es necesario reiniciar el
sistema.
La instalacion del proxy Radius agrega datos (tal como informacion de direccion y puerto) al registro
del servidor.
WARNING: No se admite en plataformas de 64 bits

No instale el proxy Radius en Windows 98 ni en ninguna plataforma de 64 bits.
La seccion siguiente describe los cuadros de dialogo mencionados en las tareas anteriores.
Ayuda del servidor y 802.1X
Acerca del cuadro de dialogo de configuracion de 802.1X

Use este cuadro de dialogo para seleccionar un servidor de reparaciones y publicar la configuracion
de control de acceso de red en el servidor de reparaciones, y para habilitar 802.1Xy NAC en la red.
Si utiliza el complemento del servidor Radius IAS, sencillamente habilite el servidor Radius y
especifique el tipo de EAP (MD5) y luego seleccione la opcion de complemento IAS.
Si utiliza proxy Radius, no solamente debe habilitar el servidor Radius y especificar el tipo de EAP
(PEAP), sino que tambien debe configurar un archivo de instalacion de proxy Radius y luego instalar
el proxy Radius en el servidor designado.
Este cuadro de dialogo tiene dos opciones:
Acerca de la pagina de Servidores de reparacion

• Agregar: abre un dialogo en el cual puede especificar el servidor de reparaciones que desea
usar para reparar los dispositivos no apropiados que estan en la red de cuarentena. Haga clic
en Ayuda para obtener informacion sobre el servidor de reparaciones. Un servidor de
reparacion contiene la configuracion y los archivos de soporte necesarios (cliente de
seguridad, definiciones de tipo de seguridad y revisiones requeridas), asf como las paginas de
plantilla de HTML, que se utilizan para rastrear dispositivos en busca de las vulnerabilidades
identificadas por las polfticas de seguridad. Con estos recursos, el servidor de reparacion
entonces remedia cualquier vulnerabilidad detectada de modo que el dispositivo pueda ser
rastreado como en buen estado (o conforme) y tener acceso a la red.
• Quitar: elimina el servidor de reparacion seleccionado.

• Modificar: permite modificar el servidor de reparacion seleccionado.
• Publicar: abre un dialogo donde puede publicar la configuracion NAC en los servidores de
validacion de postura yde reparacion.
595
Acerca de la pagina del Servidor Radius

. Habilitar servidor Radius 802.1X: activa el soporte de IVANTI 802.1X NAC (autenticacion y
cumplimiento).
NOTA: Esta opcion se encuentra desactivada de forma predeterminada, lo cual le permite a

cualquier dispositivo, apropiado o no, acceder a la red. Deje esta opcion desactivada si desea
que todos tengan acceso a la red.
• Tipo EAP: identifica el tipo EAP que se utiliza en la autenticacion de 802.1X. Seleccione PEAP
para efectuar cualquier implementacion de proxy RADIUS. Seleccione MD5 para implementar
cualquier complemento del servidor RADIUS de IAS.
• Utilizar el complemento LTA EAP IAS: seleccione esta opcion si desea utilizar un servidor IAS
existente.
• Utilizar proxy Radius LTA: seleccione esta opcion si desea utilizar el tipo de EAP como PEAP.
Al seleccionar esta opcion, puede configurar un archivo de instalacion de proxy Radius 802.1X.
• Proxy Radius: introduzca la informacion del servidor Radius principal. (Si desea utilizar un
servidor Radius de respaldo, introduzca los datos de algun servidor secundario tambien.)
• Direction de servidor Radius: especifica la direccion IP del servidor Radius.
• Puerto de servidor Radius: especifica el numero de puerto del servidor Radius. El
numero de puerto predeterminado para la autenticacion Radius es el puerto UDP1812.
• Clave compartida: especifica la clave compartida (o secreto compartido) que
proporciona seguridad a la comunicacion entre el conmutadory el servidor Radius. La
clave compartida es una cadena de texto. La cadena que especifique aqrn debe coincidir
con la cadena de clave compartida configurada en el conmutadory en el servidor Radius.
• Puerto de proxy Radius: especifica el numero de puerto del proxy Radius. Este puerto se
comunica con el conmutador. Tenga en cuenta que este numero de puerto debe ser distinto del
puerto del servidor Radius (mencionado anteriormente) si se encuentran en el mismo equipo.
• Puerto de reenvfo de proxy Radius: especifica el numero de puerto de reenvfo del proxy
Radius. Este puerto reenvfa los datos al servidor Radius.
• Nombre del archivo de instalacion de proxy: identifica el archivo de instalacion del proxy
Radius. El archivo de instalacion se crea en el directorio LDMain, bajo Install\Radius\. Puede
crear varios archivos de instalacion de proxy Radius. El proxy Radius se admite en todas las
plataformas de 32 bits de Windows.
Implementar el agente de IVANTI 802.1X NAC en los dispositivos administrados

Como paso final de la configuracion del soporte de IVANTI 802.1X NAC, debe implementar el agente
802.1X en los dispositivos de destino.
Esto habilita el rastreo de cumplimiento y permite la autenticacion de los dispositivos administrados,
y que se les permita tener acceso a la red o bien que se los coloque en cuarentena y se los repare.
Para implementar el agente de 802.1x en los dispositivos administrados
596
GUÍA DE USUARIO
1. En la herramienta Configuration de Agente, haga clic en Nueva configuration de Windows,

abra el nodo Seguridad y cumplimiento, y luego haga clic en Soporte de 802.1X de IVANTI.
2. Seleccione la casilla de verificacion Habilitar soporte de 802.1X de IVANTI.
IMPORTANTE: esta opcion no esta disponible si no ha habilitado el Servidor Radius 802.1X

en la herramienta NACde la consola.
NOTA: NAC 802.1X utiliza el tipo de EAPque se especifico en la herramienta NAC (PEAPo
MD5).. La configuracion del tipo EAP abarca todo el servidor central. En otras palabras,
todos los dispositivos configurados con esta configuracion de agente tendran el tipo EAP
especificado en la consola.
597
3. Si esta utilizando el tipo de EAP como PEAP, haga clic en Configurar.
4. Especifique la siguiente configuracion PEAP, y luego haga clic en Aceptar.

• Validar certificado de servidor: indica que el archivo de certificado del servidor Radius
es de confianza.
• Conectarse a estos servidores: proporciona otra comprobacion de validacion, ya que
permite identificar los servidores espedficos que son de confianza. Introduzca los
nombres de los servidor (nombres DNS completos) separados por espacios.
• Autoridades del certificado de ra^z de confianza: importa el archivo de certificado de
confianza.
• No solicitar al usuario que autorice al nuevo servidor: desactiva la solicitud de
autorizacion en los dispositivos de usuario final.
• Usar automaticamente el nombre de usuario y la contrasena de Windows: utiliza las
credenciales de inicio de sesion de Windows por lo que no es necesario introducirlas
mas de una vez.
• Habilitar reconexion rapida: guarda en cache las credenciales de inicio de sesion para
iniciar sesion rapidamente si los dispositivos agotan el tiempo de espera.
5. En el cuadro de dialogo de configuracion del agente, seleccione el metodo que desea utilizar
para colocar en cuarentena cualquier dispositivo que se encuentre como no apropiado. (Use la
direccion IPen el rango auto asignado, o use DHCPen la red de cuarentena.)
6. Configure tiempo de cuarentena automatica especificando cuantas horas pueden pasar desde
la ejecucion del ultimo rastreo de mantenimiento en un dispositivo antes de que se lo
considere no apropiado, se lo desconecte de la red empresarial y se lo coloque en la red de
598
GUÍA DE USUARIO
cuarentena.
7. Especifique cualquier otra opcion de configuracion de agente de dispositivo que desee para
los dispositivos de destino que se esten configurando.
Ahora puede implementar la configuracion de agente en los dispositivos de destino en que desee
usar IVANTI 802.1X NAC, y despues creartareas de rastreo de cumplimiento que rastreen los
dispositivos habilitados por 802.1X en busca de conformidad con las polfticas de seguridad.
Creartareas de rastreo de seguridad de cumplimiento
El Control de acceso a la red ejecuta un rastreo de seguridad de cumplimiento que determina la

postura o el estado de cumplimiento del dispositivo de acuerdo con los criterios definidos en las
polfticas de seguridad personalizadas.
Utilizacion de la configuracion de cumplimiento
Este rastreo lo realiza una tarea de rastreo de conformidad por medio de una configuracion de
cumplimiento con la opcion Hacer cumplir el rastreo 802.1X habilitada en la pagina de
Cumplimiento.
599
Use la herramienta de Revisiones y cumplimiento (Herramientas > Seguridad > Revisiones y

cumplimiento) para crear rastreos de seguridad de cumplimiento. Para obtener instrucciones paso a
paso, consulte "Crear una tarea de rastreo de parches y cumplimiento" (647).

Con la herramienta de Revisiones y cumplimiento puede crear y configurar un rastreo de seguridad de cumplimiento
espedfico, el cual busque en los dispositivos la conformidad con las politicas de seguridad personalizada. Un rastreo de
conformidad esta basado en el contenido del grupo de Conformidad y se puede ejecutar como una tarea programada o
como una polftica. Para obtener informacion sobre la actualizacion de politicas y reglas de seguridad de cumplimiento, y
sobre como volver a publicar la configuracion del NAC, consulte "Administrar la seguridad de cumplimiento del NAC
802.1X" (613).
Configurar de un interruptor y enrutador de IVANTI 802.1X NAC

IVANTI 802.1X NAC requiere un interruptory enrutador para realizar autenticacion y cumplimiento.
600
GUÍA DE USUARIO
Como el hardware del enrutador e interruptor es unico en cada entorno de red, no es practico
proporcionar instrucciones espedficas para cada tipo de hardware. Sin embargo, como regla
general para configurar el interruptory enrutador de IVANTI 802.1X NAC, asegurese que cumplan los
requisitos de funcion y topologâ que se describieron en los temas anteriores. Para obtener mas
informacion, consulte "Componentes, flujo de procesoytopologfa de red de NAC 802.1X" (584)
Tambien, puede ir al sitio de Soporte de IVANTI para ver recomendaciones espedficas sobre la
configuracion del interruptory enrutador, asf como obtener archivos de configuracion de muestra.

productos y tecnologfas de IVANTI. Para tener acceso a este valioso recurso, vaya a:
https://community.Ivanti.com
Configuracion de un servidor de reparaciones

Instalar y configurar un servidor de reparaciones
El Control de acceso a la red (NAC) requiere que un servidor de reparaciones remedie los
dispositivos vulnerables o infectados. Los dispositivos cuya postura se determina como no
apropiada se envfan al servidor de reparaciones para ser reparados (corregidos) de modo que
satisfagan las reglas de legalidad que ha configurado para un estado apropiado.
Los recursos de reparacion se publican en el servidor de reparaciones, dichos recursos son los
clientes de seguridad que rastrean en busca de vulnerabilidades y otros riesgos de seguridad en los
dispositivos, los archivos de las revisiones y las paginas HTML que aparecen en los dispositivos y
que proporcionan opciones de reparacion o de acceso limitado a la red.
Prerrequisitos del servidor de reparaciones

El equipo que ha configurado en calidad de servidor de reparaciones debe satisfacer los requisitos
de sistema siguientes:
• El servidor de reparaciones puede ser cualquier tipo de servidor web, tal como IIS en
Windows o Apache en Linux.
• Debe crear un recurso compartido de web en el servidor de reparaciones que tenga acceso
anonimo con los derechos de lectura y exploracion habilitados. Para obtener instrucciones
detalladas, consulte "Crear un recurso compartido de web en el servidor de reparaciones"
(600)
IMPORTANT: Crear un recurso compartido de Samba * Si utiliza un servidor web de Apache en Linux, el
recurso compartido que cree debe ser Samba.
Determinar la ubicacion del servidor de reparaciones en la red

Debe seguir las pautas siguientes al decidir la ubicacion del servidor de reparaciones de la red.
601
• El servidor de reparaciones se puede colocar en cualquier lado del enrutador.

. Si elige colocarlo en el lado de cliente del enrutador, tendra mas seguridad debido a que no
tendra que hacer ninguna excepcion a las reglas del enrutador, pero tendra que llevar de
forma manual todos los archivos de reparaciones al equipo cada vez que los cambie.
• Si lo coloca en el lado opuesto del enrutador, existe un riesgo de seguridad debido a que los
equipos en cuarentena tienen acceso al equipo en la red, pero puede instalar
automaticamente los archivos de reparaciones en el equipo sin tener que llevarlos al mismo.
• El servidor de reparaciones debe ser visible desde la VLAN de reparacion.

• Es posible tener mas de un servidor de reparaciones en la red.
Puede ver los diagramas que muestran la ubicacion del componentey el flujo de trabajo del la
solucion de IVANTI 802.1X NAC en la seccion de descripcion.
Crear un recurso compartido de web en el servidor de reparaciones
El procedimiento para crear yconfigurar un recurso compartido de web se ha automatizado

mediante una secuencia de comandos que se encuentra en el servidor central y que se ejecuta en el
equipo que desee configurar como servidor de reparaciones.
El recurso compartido de web que crea en el servidor de reparaciones funciona como deposito para
los archivos ejecutables de parches que se utilizan para reparar las vulnerabilidades en los
dispositivos afectados. Cuando se publican archivos de infraestructura o recursos de reparaciones
(por ejemplo, el cliente de seguridad, los archivos de parches y las paginas HTML desde el servidor
central), dichos archivos se copian en el recurso compartido de web.
IMPORTANT: El recurso compartido de web debe tener el nombre LDLogon

El nombre del recurso compartido de web debe ser LDLogon. Puede crear este recurso compartido en cualquier
lugar de un servidor web. Una ruta tipica seria: C:\Inetpub\wwwroot\LDLogon. Sin embargo, puede crear el
recurso compartido en cualquier ruta mientras que la redireccion de la URL se dirija a:
http://servername/LDLogon.
Tras ejecutar la secuencia de comandos para crear yconfigurar el recurso compartido de web, debe
agregar el servidor de reparaciones en la consola y especificar la ruta al recurso compartido (para
obtener instrucciones detalladas, consulte "Configurar (agregar) un servidor de reparaciones en la
consola" (601)). Esto asegura que el servidor central publique los recursos de reparacion en la
ubicacion correcta del servidor de reparaciones.
Para ejecutar la secuencia de comandos de configuracion del servidor de reparaciones
1. Desde el equipo que desee configurar como el servidor de reparaciones, asigne una unidad
en la carpeta LDMain\InstallTrusted Access\RemediationServer del servidor central.
2. Haga doble clic en la secuencia de comandos de configuracion

CONFIGURE.REMEDIATION.SERVER.VBS
602
GUÍA DE USUARIO
Servidor de reparacion configurado automaticamente

La secuencia de comandos de configuracion del servidor de reparaciones configura el servidor para
que realice las reparaciones mediante:
• Crear un recurso compartido de web con el nombre de LDLogon en: c:\i netpu
b\wwwroot\LDLogon.
• La activacion del acceso anonimo al recurso compartido LDLogon con derechos de lectura,
escritura y exploracion.
• La adicion de un tipo MIME nuevo para los archivos .lrd y la definicion del mismo en el flujo
de aplicaciones u octetos (aplicacion o binario).
NOTE: Puede utilizar la herramienta de Microsoft IIS para configurar de forma manual los permisos de acceso al
recurso compartido de LDLogon y los tipos MIME.
El servidor de reparacion se encuentra ahora listo para que se configure (es decir, agregue) en la
consola.
Configurar (agregar) un servidor de reparaciones en la consola

Tras configurar el servidor de reparaciones, debe configurarloy agregarlo a la lista de servidores de
reparaciones en el cuadro de dialogo Configurar servidores de reparaciones de la consola. Al
hacerlo, el servidor de reparaciones sera reconocido en la red y se podra comunicar de forma
debida con los demas componentes del NAC.
Para configurar y agregar servidores de reparaciones en la consola
1. En la ventana de la herramienta de Control de acceso a la red, haga clic con el boton derecho
en 802.1X y luego haga clic en Configurar 802.1X.
603
2. En la pagina de Servidores de reparation, haga clic en Agregar. Aparece el cuadro de dialogo

Nombre y credenciales del servidor de reparaciones.
3. Introduzca el nombre del servidor o la direccion IP del servidor de reparaciones.
604
GUÍA DE USUARIO
4. Introduzca la ruta al recurso compartido de web (en el servidor Web que esta configurando
como servidor de reparaciones), en la cual desea publicar los archivos de cumplimiento. El
recurso compartido debe llamarse LDLogon. Los archivos de cumplimiento son los archivos
de definiciones de seguridad que definen la polftica de seguridad de cumplimiento (por
ejemplo, el contenido del grupo Cumplimiento en Revisiones y cumplimiento), al igual que
los archivos de revision necesarios para reparar las vulnerabilidades detectadas.
Puede especificar una ruta UNC o una ruta de unidad asignada. La ruta UNC es el metodo
mas fiable debido a que las asignaciones de unidad podnan cambiar (vea la nota siguiente).
Puede hacer clic en el boton Examinar para navegar al recurso compartido en el cual desea
publicar los archivos de legalidad, en el servidor de reparaciones.
Importante: si especifica una ruta local o una unidad asignada en el campo Ubicacion para
copiar los archivos de legalidad, los archivos se publicaran ya sea en el equipo local o en la
unidad asignada especificada en el equipo donde se inicia la accion de publicacion. Para
asegurar que se publiquen los archivos de legalidad en la misma ubicacion de cada servidor
de reparaciones de la red, es recomendable que utilice una ruta UNC a un recurso
compartido de red.
5. Escriba un nombre de usuario y una contrasena validos para el acceso al servidor de

reparaciones.
6. Si ha configurado mas de un servidor de reparacion, se puede seleccionar un servidor de
reparacion de copia de seguridad en la lista desplegable.
7. Si desea tener la capacidad de configurar un servidor de reparacion en otra red, para
dispositivos que se mueven entre redes de confianza, genere un paquete de instalacion
(MSI).
8. Haga clic en Aceptar para agregar el servidor de reparaciones a la lista.
Ahora puede publicar los archivos de infraestructura de reparacion en el servidor (mientras tambien
haya configurado un servidor de validacion de postura y las credenciales de usuario).
Acerca del cuadro de dialogo Nombre y credenciales del servidor de reparaciones
Utilice este cuadro de dialogo para identificar al servidor de reparaciones y la ruta al recurso Web
del servidor de reparaciones en la cual se publican los recursos de reparacion (clientes de
seguridad, archivos de revision y paginas HTML).
• Nombre del servidor central o la direccion IP: identifica el servidor de reparaciones mediante
la direccion IPo el nombre de host.
• Ubicacion para copiar los archivos de legalidad: Especifica la ruta completa del recurso Web
ubicado en el servidor de reparaciones donde se publican los archivos de cumplimiento
desde el servidor central. El nombre del recurso Web debe ser LDLogon. La ruta puede ser
una ruta UNC o una ruta de unidad asignada (o ruta local). Se recomienda una ruta UNC (vea
605
la nota
Importante mas arriba).
• Examinar: abre la ventana local del Explorador de Windows, en la cual puede navegar hasta
el recurso compartido LDLogon del servidor de reparaciones.
• Nombre de usuario: Identifica a un usuario valido con credenciales de acceso al recurso Web
del servidor de reparaciones.
• Contrasena: identifica la contrasena del usuario.

• Confirmar contrasena: verifica la contrasena del usuario.
• Aceptar: guarda la configuracion del servidor de reparaciones y lo agrega a la lista del
cuadro de dialogo Configurar servidores de reparaciones.
• Selection del servidor de reparation de respaldo: Si ha configurado mas de un servidor de

reparacion, se puede seleccionar un servidor de reparacion de copia de seguridad en la lista
desplegable.
• Generation de paquetes MSI de reparacion de clientes de roaming: Utilice esta opcion para
crear un paquete de instalacion (MSI) que se puede utilizar para configurar un servidor de
reparacion en otra red, es decir, en dispositivos portatiles que se trasladan a otras redes de
confianza.
• Cancelar: cierra el cuadro de dialogo sin guardar la configuracion y sin agregar nada a la
lista de servidores de reparaciones.
Publicar los archivos de infraestructura de reparacion en los servidores de reparaciones

El siguiente paso para la instalacion y configuracion de un servidor de reparaciones es publicar
en el los recursos vitales de la infraestructura de reparacion a partir del servidor central. Estos
recursos de infraestructura de reparacion incluyen:
• Cliente de seguridad (utilidad del rastreador de vulnerabilidades)

• Revisiones asociadas con las vulnerabilidades contenidas en el grupo de cumplimiento
• Paginas HTML que proporcionan enlaces que permiten a los usuarios finales instalar
agentes de confianza, efectuar rastreos de seguridad de cumplimiento y reparar las
vulnerabilidades detectadas y otros problemas de seguridad.
Debe definir su criterio de cumplimiento de seguridad en la herramienta de Revisiones y

cumplimiento antes de poder publicarla en los servidores.
Para obtener informacion acerca de estas tareas, consulte "Definicion de los criterios de seguridad
de cumplimiento y publicacion de la configuracion de NAC" (605).
606
GUÍA DE USUARIO
Definicion de los criterios de seguridad de cumplimiento y

publicacion de la configuracion de NAC
Definir el criterio de seguridad de cumplimiento en la herramienta de Parches y cumplimiento
Despues de configurar el soporte de IVANTI 802.1X NAC en el entorno, puede efectuar las siguientes
tareas de administracion de seguridad de cumplimiento.
NOTE: Se requieren servidores adicionales para IVANTI 802.1X NAC

En el Control de acceso a la red ya debe haber instalado y configurado (o haberse agregado) un servidor de
reparaciones en la consola. Para NAC 802.1X, tambien debe haber un servidor Radius 802.1X. Para obtener
mas informacion, respectivamente, consulte "Configuracion de un servidor de reparaciones" (599) e "Despliegue
de la herramienta IVANTI 802.1X NAC" (582).
Otras tareas de administracion de seguridad de cumplimiento
Para obtener mas informacion sobre el rastreo de cumplimiento y otras tareas de administracion de
NAC, tales como actualizacion de reglas de seguridad y polfticas de cumplimiento en servidores de
validacion de postura, actualizacion de recursos de reparacion en los servidores de reparaciones,
adicion de dispositivos no administrados a la herramienta de Deteccion de dispositivos no
administrados, visualizacion de dispositivos afectados y configuracion de archivos historicos,
consulte "Administrar la seguridad de cumplimiento del NAC 802.1X" (613).
Definir los criterios de cumplimiento de seguridad
Los criterios de seguridad de cumplimiento se definen a traves de los siguientes factores:
• El contenido de seguridad del grupo de cumplimiento en la herramienta de Revisiones y

cumplimiento.
• La configuracion automatica del tiempo de cuarentena que se especifico en la pagina de
Compatibilidad con IVANTI 802.1X en la configuracion deagente.
Consulte los procedimientos adecuados de cada una de las tareas a continuacion. Consulte
"Despliegue de la herramienta IVANTI 802.1X NAC" (582).
Acerca de las suscripciones a contenido sobre seguridad
Debe contar con una suscripcion de contenido de IVANTI Security Suite para poder descargar los
diferentes tipos de contenido de seguridad, tales como las definiciones de vulnerabilidad de
aplicacion y de sistema operativo (y las revisiones necesarias), las definiciones de spyware, las
definiciones de aplicaciones bloqueadas, las definiciones de virus, amenazas de seguridad de la
configuracion del sistema, etc.
Sin una licencia de Security Suite, no se puede tener acceso a los servicios de Seguridad, y no se
puede definir la seguridad de cumplimiento mediante dichas definiciones de seguridad.
607
Descargar las definiciones del tipo de seguridad
Utilice la herramienta de Revisiones y cumplimiento para descargar las distintas definiciones de

seguridad, tales como definiciones de vulnerabilidad, de spyware, de antivirus yde amenazas de
seguridad. Para obtener mas informacion sobre el uso de las funciones de descarga de Revisiones
y cumplimiento, consulte "Descargar contenido de seguridad" (634).
Usar el grupo Cumplimiento para definir una polltica de seguridad de cumplimiento

Como se explico anteriormente, el contenido del grupo Cumplimiento determina la polftica de
seguridad de cumplimiento de base. Puede optar por una seguridad de cumplimiento mmima
compuesta de solamente algunas definiciones de vulnerabilidades y de amenazas de seguridad o
bien, crear una polftica de seguridad compleja y estricta que comprenda varias definiciones de
seguridad. Tambien puede modificar la polftica de seguridad de cumplimiento en cualquier
momento con tan solo agregar o eliminar definiciones del grupo Cumplimiento.
NOTE: Se requiere el derecho de Gestion de parches

Solamente el administrador o algun usuario con el derecho de Gestion de parches puede agregar o eliminar las
definiciones del grupo Cumplimiento.
Los tipos de seguridad siguientes se pueden agregar al grupo Cumplimiento para definir una
polftica de seguridad de cumplimiento:
• Antivirus
• Aplicaciones bloqueadas
• Definiciones personalizadas
• Actualizaciones de controladores
• Actualizaciones de IVANTI
• Amenazas de seguridad (incluso definiciones de servidor de seguridad)
• Actualizaciones de software
• Spyware
• Vulnerabilidades (definiciones de vulnerabilidades de aplicacion ySO)
O NOTE: No se pueden agregar definiciones de aplicaciones bloqueadas al grupo Cumplimiento para definir
polfticas de seguridad de cumplimiento.
Para agregar definiciones de seguridad al grupo de Legalidad
1. En la herramienta Revisiones y cumplimiento, seleccione el tipo de contenido de seguridad

que desee agregar a su polftica de seguridad de cumplimiento en la lista desplegable de
Todos los tipos yarrastre las definiciones desde la lista de elementos hasta el grupo
Cumplimiento.
608
GUÍA DE USUARIO
2. O bien, haga clic con el boton derecho en una definicion individual o en el grupo
seleccionado de definiciones y haga clic en Agregar al grupo de legalidad.
3. Compruebe que se descarguen las revisiones asociadas que se requieren antes de publicar
el contenido del NAC en los servidores de validacion de postura y de reparacion. Haga clic
con el boton derecho en una definicion, en un grupo de definiciones seleccionado o en el
mismo grupo de Legalidad y haga clic en Descargar revisiones asociadas para descargar las
revisiones necesarias con el fin de reparar los dispositivos afectados.
Publicar la configuracion de NAC en los servidores
Al publicar los ajustes del NAC se envfa informacion y recursos a los servidores de postura y
de reparaciones, los cuales se requieren para poder implementar el proceso de validacion de
postura y hacer efectivo el cumplimiento de la seguridad.
Para poder publicar los ajustes del NAC desde la consola, debe haber al menos un servidor de
reparacion y haber configurado las credenciales de usuario.
NOTE: La publication inicial debe incluir todas las configuraciones

La primera vez que publiquen las configuraciones de NAC en sus servidores de validacion de postura y reparacion, se
deben incluir todas las configuraciones de NAC, incluyendo: contenidos de NACy archivos de infraestructura (a
continuacion podra ver los detalles de estos archivos). La publicacion subsiguiente solo puede incluir el contenido de
NAC o las reglas de cumplimiento. Por lo general, los archivos de infraestructura solo necesitan publicarse una vez en
los servidores de reparaciones.
Para publicar la configuracion de NAC
1. Puede acceder al cuadro de dialogo de Publicar la configuracion de IVANTI NACy publicar la

configuracion desde varias ubicaciones en la herramienta de Control de acceso a la red. Por
ejemplo, puede hacer clic con el boton derecho en el objeto Control de acceso a la red o en el
609
grupo Cumplimiento y luego en Publicar. Tambien puede buscar el boton Publicar en los
cuadro de dialogo Configurar NAC y en Configurar servidor de reparation. Ademas, puede
hacer clic en el boton Publicar la configuration del NAC de la barra de herramientas.
2. Para publicar todos los ajustes del NAC, incluso el contenido de NACy los archivos de
infraestructura en todos los servidores de validacion de postura y reparacion a la misma vez,
seleccione la casilla de verificacion Todos y haga clic en Aceptar.
3. Si desea publicar solo el contenido de NAC (definiciones de seguridad, ajustes de NAC o
reglas de legalidad y revisiones asociadas) en los servidores de validacion de postura yen
los servidores de reparacion, marque la casilla de verificacion Contenido del NAC y haga clic
en
Aceptar.
4. Si desea publicar solo los archivos de infraestructura (rastreador de seguridad del cliente,
instalaciones de agentes de confianza y en las paginas HTML para los servidores de
reparacion), seleccione la casilla de verificacion Infraestructura y luego haga clic en Aceptar.
(Generalmente solo tendra que publicar los archivos de infraestructura una sola vez en los
servidores de reparacion).
Acerca del cuadro de dialogo Publicar configuracion del NAC

Utilice este cuadro de dialogo para publicar configuraciones del NAC en los servidores de
validacion de postura y para publicar configuraciones de reparacion (recursos) en los servidores de
reparaciones de la red.
• Todos: publica los contenidos de NACy los archivos de infraestructura en los servidores
correspondientes.
• Contenidos de IVANTI NAC: publica el contenido del NACy las opciones de configuracion
que definio en la herramienta de Revisiones y cumplimiento en todos los servidores de
610
GUÍA DE USUARIO
validacion de postura y los servidores de reparacion que se agregaron a la red.

Importante: Debe existir al menos un servidor de validacion de postura en la red para
publicar el contenido de NAC.
El contenido de NAC representa la vulnerabilidad y otras definiciones detipos de contenido
de seguridad que se encuentran actualmente en el grupo de Cumplimiento en la herramienta
de Revisiones y cumplimiento, asf como los ajustes de NAC, tales como los ajustes de
postura apropiados y no apropiados, los niveles de registro, etcetera, que se definen en el
cuadro de dialogo Configurar ajustes de NAC. Las definiciones de seguridad, los ajustes de
postura apropiados y no apropiados y los niveles de registro se publican en los servidores
de validacion de postura, mientras que los archivos de revisiones asociados se publican en
los servidores de reparacion (con base en los contenidos del grupo de Cumplimiento en el
momento que se publican).
(NOTA: Si cambia el contenido del grupo de Cumplimiento o cambia los ajustes de NAC en el
dialogo Configurar NAC, debe volver a publicar esta informacion en sus servidores).
• Infraestructura: Publica los siguientes recursos de reparacion en todos los servidores de
reparaciones que se han agregado a la red.
• Archivos de configuracion y compatibilidad: los archivos de instalacion y
compatibilidad representan las instalaciones del rastreo del cliente de seguridad y del
agente de confianza. El rastreador del cliente de seguridad lleva a cabo un rastreo de
seguridad yde reparacion en los dispositivos.
• Paginas HTML: representa las paginas HTML de plantilla que el servidor de
reparaciones envfa a los dispositivos con agentes de confianza instalados que
intenten obtener acceso a la red empresarial. Estas paginas brindan instrucciones al
usuario para obtener acceso limitado a la red o para reparar sus equipos a fin de
cumplir los requisitos de la polftica de seguridad y obtener acceso total a la red
empresarial. Las paginas HTML son plantillas que pueden modificarse. (NOTA: por lo
general, los archivos de infraestructura solo necesitan publicarse una vez en los
servidores de reparaciones. A diferencia del contenido de NAC (criterio de
cumplimiento), no necesita publicar estos archivos cada vez que cambia la polftica de
seguridad de Cumplimiento.)
• Reparar el cliente de roaming 802.1x: [[TBD]]
Usar las paginas de reparacion predefinidas

Las paginas de reparaciones del NAC son archivos HTML que se publican en servidores de
reparacion con la herramienta de configuracion Publicar de NAC en la consola. Las paginas de
reparaciones son parte de los archivos de reparacion de infraestructura. Por lo general, estos
archivos solo necesitan publicarse una vez en los servidores de reparaciones.
Los archivos HTML estan localizados en la siguiente carpeta del servidor central:
ManagementSuite\InstallTrusted Access\RemediationServer
Las paginas HTML son plantillas que debe modificar para que se adapten a sus necesidades y
requisitos de seguridad de cumplimiento. Para obtener informacion sobre como personalizar las
paginas HTML, consulte "Personalizar las paginas de reparacion" (611).
611
Las secciones siguientes describen el proposito de cada pagina HTML.

Pagina de estado apropiado
Esta pagina HTML debe utilizarse para informar al usuario empresarial final de un dispositivo
conectado que se ha evaluado la postura del dispositivo y que se ha determinado quetiene un
estado apropiado, segun las credenciales de seguridad de cumplimiento y que se le ha concedido
acceso completo a la red de la empresa.
El nombre de esta pagina de HTML es: Healthy.html

La pagina de estado apropiado solo se vera cuando un dispositivo cambie de no apropiado a
apropiado. No se mostrara cada vez que un dispositivo resulte apropiado.
Debe especificar la URL a esta pagina en el servidor de reparaciones, en el campo URL de Estado
apropiado cuando configure el servidor de reparacion.
Pagina de estado de primera visita

Esta pagina HTML se utiliza para informar a un visitante de la red empresarial que se ha
implementado la seguridad de cumplimiento o de control de acceso en la red y que puede elegir
entre navegar por Internet (solo acceso a Internet) o que se rastree su equipo en busca de
vulnerabilidades u otros riesgos a la seguridad, y que se realice la reparacion de ser necesario,
antes de permitirle el acceso a la red empresarial. La pagina HTML provee vfnculos que permiten
que el usuario reciba solamente acceso a Internet o que se le permita descargar e instalar el
software necesario para el rastreo de cumplimiento y la reparacion, de modo que el dispositivo
pueda tener acceso completo a la red.
El nombre de esta pagina es: Visitor.html

Esta pagina provee vfnculos que permiten que el usuario reciba solamente acceso a Internet o que
se le permita descargar e instalar el agente de confianza y software necesario para la reparacion de
modo que el dispositivo pueda repararse y rastrearse, y que se le permita el acceso completo a la
red.
Debe especificar la URL a esta pagina en el servidor de reparaciones, en el campo de URL de

Primera visita cuando configure el servidor de reparacion.
Pagina de estado no apropiado de empleado

Esta pagina HTML se utiliza para informar al usuario final de un dispositivo de conexion que el
dispositivo esta siendo rastreado, y que no satisface una o mas credenciales de seguridad de
cumplimiento, que no se considera apropiado y que se le ha negado el acceso a la red. El
administrador de red debe personalizar esta pagina HTML para que muestre las vulnerabilidades u
otras exposiciones de seguridad que se detectaron en el dispositivo y debe proporcionar
instrucciones espedficas para su reparacion. Una vez que se haya reparado el dispositivo, el
usuario final debe volver a iniciar una sesion en la red a fin de obtener acceso.
El nombre de esta pagina es: FailedEmployee.html

Empleado no pudo establecer conexion cuando configure el servidor de reparacion.
612
GUÍA DE USUARIO
Pagina de estado no apropiado de empleado
Esta pagina se utiliza para informar a un visitante de la red empresarial que su dispositivo esta
siendo rastreado, que no satisface una o mas credenciales de seguridad de cumplimiento, y que se
le ha negado el acceso a la red. Al igual que con la pagina de estado no apropiado de empleado, el
administrador de red puede personalizar esta pagina HTML para que muestre las vulnerabilidades u
otras exposiciones de seguridad que se detectaron en el dispositivo y proporcionar instrucciones
espedficas para su reparacion. Una vez que se haya reparado el dispositivo, el visitante debe hacer
clic en el icono Rastreo de seguridad para el acceso a la red que ahora aparece en el escritorio.
El nombre de esta pagina es: FailedVisitor.html

Visitante no pudo establecer conexion cuando configure el servidor de reparacion.
Personalizar las paginas de reparacion

Como se menciono anteriormente, las paginas de reparacion HTML son solamente plantillas que
puede modificarymodificarde forma manual para satisfacer sus requisitosypolfticas de seguridad de
cumplimiento especficas.
Puede utilizar cualquier editor de HTML para modificar los archivos HTML. Puede modificar el texto
existente a fin de proporcionar informacion util adicional especfica a su red empresarial, y agregue
secciones HTML DIV para las definiciones de seguridad incluidas en su polftica de seguridad de
cumplimiento (por ejemplo, las definiciones contenidas en el grupo Cumplimiento de la herramienta
de Revisiones y cumplimiento).
Recuerde que si cambia un archivo HTML en el servidor central despues de que ha sido publicado
en los servidores de reparaciones, debe volver a publicar los archivos en dichos servidores para
que puedan ser presentados en los dispositivos que establecen conexion (seleccione paginas HTML
bajo el grupo Infraestructura del cuadro de dialogo Publicar los ajustes del NAC).
Adicion de secciones DIV para mostrar de forma dinamica las definiciones de seguridad cuya
reparacion fallo
Podna resultar particularmente util para los usuarios empresariales finales, al igual que para los
visitantes de la red, si personalizan las paginas con estado de "error" (no apropiado) para que ellos
puedan saber con exactitud la causa de los problemas de seguridad en sus equipos y los pasos
especficos que deben realizar para reparar el problema a fin de que el dispositivo pueda volver a
rastrearse, evaluarse como apropiado y se les permita el acceso completo a la red.
613
Estas paginas se han disenado para que muestren el contenido de forma dinamica cuando la
herramienta de reparacion del rastreador de seguridad no logra reparar una vulnerabilidad
detectada. En otras palabras, si se rastrea el dispositivo del usuario final y se detectan
vulnerabilidades u otras exposiciones de seguridad (tales como amenazas de seguridad de la
configuracion del sistema, spyware, etc.) yfalla la tarea de reparacion, la pagina HTMLde estado no
apropiado puede mostrar las definiciones de seguridad espedficas con sus numeros de ID unicos,
junto con otra informacion adicional que indique al usuario como reparar el problema, siempre y
cuando el administrador de sistemas haya agregado una seccion DIV para dichas definiciones de
seguridad (vease un ejemplo de seccion DIV mas adelante). Si falla la reparacion de una definicion
de seguridad y esta no tiene una seccion DIV correspondiente en el archivo HTML, no se mostrara
informacion especfica para esa definicion en el explorador del dispositivo del usuario final.
Para personalizar una pagina HTML
1. Abra el archivo HTMLen el editor de HTML.

2. Modifique el texto de plantilla existente a fin de proporcionar la informacion detallada
deseada que desee que los usuarios finales (empleados empresariales y visitantes) vean
cuando inician una sesion en la red empresarial.
3. En las paginas HTML de estado no apropiado, agregue nuevas secciones DIV en el codigo
HTML (utilice las secciones DIV de ejemplo como modelo) para las definiciones de seguridad
que ha definido en el grupo Cumplimiento que define la polftica de seguridad de
cumplimiento.
No es necesario agregar secciones DIV para cada una de las definiciones de seguridad,
solamente las definiciones que contengan secciones DIV en el archivo HTML apareceran si
se detecta dicha exposicion de seguridad yademas el rastreador de seguridad no logro
repararla. Vease la seccion DIV de ejemplo mas adelante.
Puede agregar los pasos necesarios para reparar el problema de seguridad, agregar vrnculos
a los sitios de descarga de software ycualquier informacion que ayude a los usuarios finales
en la resolucion del problema.

5. Vuelva a publicar las paginas HTML modificadas en los servidores de reparaciones.
Entrada DIV de ejemplo en un archivo HTML de estado no apropiado
Sigue un ejemplo del texto que aparecena en el explorador si un dispositivo no realizo

correctamente el rastreo de seguridad del cumplimientoyse determino que se encuentra en mal
estado. Este ejemplo se basa en el texto de plantilla existente en los archivos HTML con error y
describe dos definiciones de seguridad que no se pudieron reparar.
Actualization automatica de Windows (ST000003):
Paso 1: Haga clic en Inicio
Paso 2: Haga clic en Panel de control
Paso 3: Abra las Actualizaciones automaticas
614
GUÍA DE USUARIO
Paso 4: Haga clic en Automatico
Paso 5: Haga clic en Aceptar.
No posee software antivirus (AV-100): Haga clic aqm para instalar el cliente antivirus de Symantec Y
aqm se encuentra el codigo HTML real para ese ejemplo:

<div style="display:block;clear:both;"> </div>
<div id="ttip">
<p>
<ul>
<li>Paso 1: Haga clic en Inicio</li>
<li>Paso 2: Haga clic en Panel de control</li>
<li>Paso 3: Abra las Actualizaciones automaticas</li>
<li>Paso 4: Haga clic en Automatico</li>
<li>Paso 5: Haga clic en Aceptar</li>
</ul>
</p>
</div>
<div id="ttip">
<p>
<strong>No hay software antivirus (AV-100):</strong <a href="symantec.exestrong>Haga clic
aqui</strong/a> para instalar el cliente antivirus de Symantec
</p>
</div>
Buscar e insertar los identificadores de definicion
La definicion de seguridad se identifica con el codigo siguiente en el archivo HTML:

<div id="ttip">
Donde "ttip" es el identificador real de la definicion de seguridad. Puede buscar un identificador de

la definicion en su pagina de propiedades en Revisiones y cumplimiento. Escriba el identificador tal
como aparece en las propiedades de la definicion.
Si esta reparacion de la definicion de seguridad espedfica no funciona, el contenido de la seccion

DIV aparecera dinamicamente en el explorador del usuario final y le proporciona informacion util
para solucionar el problema (en la medida en que se haya especificado dicha informacion).
Administrar la seguridad de cumplimiento del NAC 802.1X

Primero, verifique que el soporte de IVANTI 802.1X NAC este habilitado en la red
Una vez que haya configurado el soporte de IVANTI 802.1X NAC, y definido la poiftica de seguridad
de cumplimiento, puede efectuar las tareas de administracion de seguridad de cumplimiento que se
describen en las siguientes secciones.
Lista de verificacion para que 802.1X NAC quede activado
El soporte de IVANTI 802.1X NAC se habilita cuando existen Todas las condiciones siguientes:
• Dispositivo decontrol de red: debeestarinstaladoyconfiguradoadecuadamentecon los
servicios necesarios en ejecucion. Para NAC 802.1X, este es el interruptor de red y el
servidor Radius 802.1X.
• Herramienta de Revisiones y cumplimiento: los usuario con los derechos necesarios puede
615
tener acceso desde la consola. (Tambien debe tener una suscripcion a Security Suite que le
permita descargar el contenido de seguridad.)
• Grupo de cumplimiento: contiene al menos una definicion de contenido de seguridad. El
contenido del grupo de Cumplimiento es el factor principal que define la poiftica de
seguridad de legalidad y puede incluirvulnerabilidades de SOyde aplicacion, spyware,
antivirus, actualizaciones de software, definiciones personalizadas y amenazas a la
seguridad de la configuracion del sistema. Si el grupo Legalidad esta vado, no existen
credenciales de seguridad que verificar, no se puede realizar la validacion de postura y no
funciona el NAC.
• Servidor de reparaciones: al menos un servidor de reparaciones esta instaladoyconfigurado
correctamente, con recursos provenientes del servidor central publicados en el. (Los
recursos de Reparacion incluyen el cliente de seguridad o la herramienta de rastreador de
vulnerabilidades, las revisiones asociadas con las vulnerabilidades del grupo de
Cumplimiento y las paginas de HTML que proporcionan vfnculos a la instalacion de agentes
de confianza, la realizacion de rastreos de seguridad de cumplimiento, la reparacion de
vulnerabilidades detectadas y otros riesgos.)
616
GUÍA DE USUARIO
• Opcion para Habilitar servidor Radius 802.1X: se debe marcar en el dialogo de

Configuration 802.1X.
Definir el nivel deseado de seguridad de cumplimiento

Si todas las condiciones que se establecen en la "Lista de verificacion para que 802.1X NAC quede
activado" (613) se cumplen, el soporte de IVANTI 802.1X NAC este funcionando en la red.
IMPORTANT: IVANTI 802.1X NAC ampKa la seguridad de un entorno de servidor Radius 802.1X
existente
Recuerde que la herramienta IVANTI 802.1X NAC esta disenada para soportary ampliar la seguridad de
cualquier implementacion existente del servidor de Radius 802.1X en su red. El soporte de IVANTI 802.1X
NAC agrega capacidades de autenticacion y conformidad al control de acceso basico de Radius 802.1X.
617
Por supuesto, el servicio brinda flexibilidad y puede personalizar la forma en que el NAC maneja los
dispositivos con opciones tales como la Lista de exclusion y Permitir a todos. Tambien puede
controlar el nivel de seguridad mediante la cantidad y el tipo de definicion de contenido de
seguridad que coloque en el grupo Legalidad, al igual que la cantidad de horas que especifique
antes de que se ejecute un rastreo de seguridad de legalidad de forma automatica en los
dispositivos conectados.
Al ajustar estas opciones y el criterio de las polfticas, puede definir polfticas de seguridad muy
estrictas, polfticas de seguridad complejas o sencillas, polfticas de seguridad benevolas o de
cualquier nivel. En otras palabras, tiene la capacidad para personalizar el grado de dificultad o de
facilidad, con el cual un dispositivo conectado puede cumplir con el criterio de seguridad que
especifique.
Lo mas importante, puede cambiar la naturaleza de la polftica de seguridad de legalidad en

cualquier momento a fin de satisfacer las circunstancias y los requisitos que estan en constante
cambio. Solo recuerde que cada vez que cambie su criterio de seguridad de cumplimiento (por
ejemplo, el contenido del grupo de cumplimiento en Revisiones y cumplimiento), tiene que volver a
publicar la configuracion NAC en sus servidores de validacion de postura y servidores de
reparacion. Para obtener informacion, consulte "Publicar la configuracion de NAC en los
servidores" (607).
Modificar y actualizar polfticas de seguridad de cumplimiento

Puede modificar y actualizar su polftica de cumplimiento de seguridad en cualquier momento.
Esto se hace cambiando el contenido del grupo de cumplimiento en la herramienta de Revisiones y
cumplimiento.
A continuacion, debe volver a publicar el contenido del NAC en los servidores de validacion de
postura y en los servidores de reparacion. Recuerde que la publicacion de contenido del NAC envfa
configuracion del NACy reglas de cumplimiento a los servidores de validacion de postura y a
cualquier revision asociada a los servidores de reparacion, mientras que la publicacion de los
archivos de infraestructura configura y comparte los archivos (incluyendo el rastreador de cliente
de seguridad, las instalaciones de agentes confiables y las paginas de plantillas de HTML) en los
servidores de reparacion. (NOTA: por lo general, los archivos de infraestructura solo necesitan
publicarse una vez en los servidores de reparaciones. A diferencia del contenido del NAC, no
necesita publicar estos archivos cada vez que cambie la polftica de seguridad de cumplimiento).
Para obtener mas informacion, consulte "Publicar la configuracion de NAC en los servidores" (607).
618
GUÍA DE USUARIO
3. Las credenciales se envfan al servidor Radius 802.1X (junto con los datos EAP) para iniciar el
rastreo de seguridad de cumplimiento en el dispositivo de usuario final.
4. El rastreo de seguridad de cumplimiento determina si el dispositivo es apropiado o no
apropiado, de acuerdo con las polfticas de seguridad personalizadas.
Si el dispositivo rastreado es apropiado (cumple con los requisitos) se le concede acceso a la

red empresarial.
OR
Si el dispositivo rastreado no es apropiado (no cumple con los requisitos), se coloca en la red
de cuarentena para que se pueda reparar (a traves del acceso directo de Reparacion del
escritorio de dispositivo) y rastrear nuevamente para obtener acceso a la red empresarial.
Para ver una descripcion mas detallada del flujo de trabajo del proceso de autenticacion y
cumplimiento ycomo interactuan los diferentes componentes, consulte "Componentes, flujo de
proceso y topologfa de red de NAC 802.1X" (584).
IMPORTANT: Restablecer manualmente la autenticacion 802.1X en el dispositivo de usuario final

Si la autenticacion falla, aunque usted este seguro que introdujo las credenciales de inicio de sesion correctas,
puede restablecer manualmente la tarjeta de red local para forzarotro intento de autenticacion. En el dispositivo
administrado, haga clic en Inicio > IVANTI > Restablecer 802.1X.
Cuando ejecute la opcion de restablecimiento de 802.1X, asegurese de cerrar antes todos los cuadros de
dialogo abiertos de ventanas emergentes de Windows, ya que de lo contrario no se mostrara el cuadro de
dialogo de inicio de sesion. Si el de dialogo de inicio de sesion desaparece con demasiada rapidez, es probable
que la causa sea que el estado LINK-3-UPDOWN ha agotado el tiempo de espera, y todo lo que debe hacer es
intentar nuevamente la funcion de restablecimiento de 802.1X.
Ver los dispositivos que no cumplen

Puede ver que dispositivos han validado la postura y cuales se encontraron como no apropiados ni
compatibles.
Para visualizar dispositivos que no cumplen
1. En la herramienta de Revisiones y cumplimiento, haga clic en el boton Equipos que no

cumplen de la barra de tareas. O bien, haga clic con el boton derecho en el grupo de
Legalidad y, a continuacion, seleccione Equipos afectados.
2. Aparece un dialogo que muestra las listas de dispositivos no compatibles.
3. Seleccione un dispositivo de la lista para ver las definiciones de seguridad con las cuales el
dispositivo es vulnerable o las cuales no cumple.
619
Resolucion de problemas de IVANTI 802.1X NAC

Esta seccion contiene informacion sobre algunos problemas que podnan surgir con IVANTI 802.1X
NACy la manera de solucionarlos.
La tarea programada de rastreo de seguridad de cumplimiento responde "conexion perdida"

Si la tarea programada de rastreo de seguridad de cumplimiento responde con un estado de
"conexion perdida" o que la "tarea fallo", puede deberse a que el estado de la tarea se envio al
servidor central mientras el equipo se estaba reiniciando. Si observa este estado, puede revisar el
dispositivo de destino para verificar si estaba o no en cuarentena.
Con un conmutador de Huawei, aparecen varias pantallas de solicitud de inicio de sesion en 802.1X
Cuando se utiliza un conmutado Layer 2 Huawei (Serie H3C S3900), si un dispositivo muestra mas
de una solicitud de inicio de sesion en 802.1Xy el usuario final cancela o cierra una de ellas sin
introducir las credenciales correctas, el proceso de autenticacion de 802.1X se cancela. En este
caso, los usuarios deben introducir las credenciales correctas en cada solicitud de inicio de sesion.
Si se cancela la autenticacion, use la opcion Restablecer 802.1x del menu para reiniciar el proceso
de autenticacion.
En un dispositivo con Windows XP SP2, la autenticacion inicial falla despues de una reparacion
Si repara un dispositivo de usuario final que ejecuta Windows XP SP2 y falla el intento de
autenticacion siguiente, puede usar la opcion de restablecer 802.1x del menu para reiniciar el
proceso de autenticacion y lograr tener acceso a la red corporativa.
Si el servidor Radius no esta disponible, el dispositivo no se puede autenticar

En una situacion en la cual el servidor Radius 802.1X no esta disponible para establecer
comunicacion con el agente LTA EAP de un dispositivo de usuario final, el dispositivo se coloca en
la red de cuarentena aunque no tenga la configuracion correcta, por lo cual no se puede reparar ni
autenticar. Debe esperar hasta que el servidor Radius este disponible, y luego usar la opcion de
restablecer 802.1x del menu del dispositivo para reiniciar el proceso de autenticacion.
802.1X esta disenado para funcionar en plataformas de escritorio solamente

802.1X no es compatible con plataformas de servidor.
Patch and Compliance

Parches y cumplimiento
Parches ycumplimiento es una solucion completa e integral que ayuda a proteger los dispositivos
administrados de IVANTI de una gran variedad de riesgos y exposiciones a la seguridad. IVANTI
Patch Manager sevendecomo complemento de Endpoint Manageryse incluye en IVANTI Security
Suite.
620
GUÍA DE USUARIO
Utilice las tareas de rastreo de seguridad y polfticas para evaluar dispositivos evaluados para
vulnerabilidades espedficas de las plataformas. Descargue y organice los archivos ejecutables de
parches, a continuacion, repare las vulnerabilidades detectadas desplegando e instalando los
archivos de parches necesarios. Tambien puede crear sus propias definiciones personalizadas para
rastrear y reparar los dispositivos en busca de condiciones especficas, potencialmente peligrosas.
Ademas, en todo momento se puede ver informacion detallada de la seguridad de los dispositivos
rastreados y generar informes especializados sobre parches y cumplimiento.
Ademas de la administracion de parches, utilice la herramienta Parches ycumplimiento para llevar a

cabo las tareas siguientes:
• Verificarquetieneinstaladayactualizada la version mas recientedel software de IVANTI en los

dispositivos administrados, asf como en los servidores centrales y en los equipos de
consolas.
• Utilizar una definicion de aplicacion bloqueada para negar las aplicaciones no autorizadas o
prohibidas en los dispositivos.
• Utilizar definiciones especficas de amenazas de seguridad para detectar, activar, desactivar

o configurar los servidores de seguridad de Windows.
• Utilice las variables personalizadas que se incluyen con otras definiciones de ataques de
seguridad para personalizary cambiar las configuraciones especficas del sistema local y
establecer poifticas de configuracion del sistema en toda la empresa.
Plataformas de dispositivos compatibles

Parches ycumplimiento es compatible con la mayona de las plataformas estandar de dispositivos
administrados de IVANTI. Para informacion acerca de las plataformas compatibles, consulte
Plataformas compatibles y Matriz de compatibilidad de IVANTI Endpoint Manager en la comunidad
IVANTI.
IMPORTANT: El rastreo de los servidores y las consolas centrales es compatible con las actualizaciones
de software de IVANTI
Tambien puede rastrear servidores y consolas centrales de IVANTI en busca de actualizaciones de
software de IVANTI, pero primero deben tener el agente de IVANTI estandar implementado, el cual
incluye al agente rastreador de seguridad que se requiere para efectuar tareas de rastreo de seguridad.
Administracion basada en roles mediante Parches y cumplimiento

Un usuario con el derecho de Parches y cumplimiento puede llevar a cabo la mayona de tareas
asociadas a la herramienta de Parches y cumplimiento. Los derechos de Parches y cumplimiento
aparecen bajo el grupo de Derechos de seguridad en el cuadro de dialogo de Roles. No obstante,
existen algunas tareas que requieren derechos adicionales:
• Para utilizar Autofix para solucionar automaticamente estos tipos de seguridad detectados,
vulnerabiliades, spyware, actualizaciones de software de IVANTI ydefiniciones
621
personalizadas, debe ser un administrador de IVANTI.
• Para purgar las definiciones de tipos de seguridad no utilizados (debe ser administrador de
IVANTI)
• Para generar una serie de informes espedficos de seguridad, tambien debe disponer de
roles de informacion.
Los Administradores asignan dichos roles a los demas usuarios mediante la herramienta Usuarios
de la consola.
Escoja uno de los temas siguientes para obtener mas informacion acerca de Parches y
cumplimiento:
• "Empezar a usar Parches y cumplimiento" (620)
• "Como llevar a cabo rastreos de soluciones de Parches y cumplimiento" En la pagina
opuesta
• "Abriry utilizar la herramienta de Parches y cumplimiento" En la pagina 624
Empezar a usar Parches y cumplimiento

La lista siguiente describen las principales tareas implicadas en la configuracion, implementacion y
el uso de Parches y cumplimiento.
1. Configure el agente de IVANTI con la configuracion de parches. Para obtener informacion

sobre la configuracion de agentes para parches y cumplimiento, consulte "Configuracion
de dispositivos para efectuar rastreos de seguridad y reparaciones" En la pagina 631.
2. Descargue las definiciones de vulnerabilidades desde un servidor de contenido de IVANTI

security (actualizado a partir de fuentes de datos de industria y proveedor). Para obtener
informacion sobre como descargar definiciones, consulte "Descargar contenido de
seguridad" (634).
3. Cree una tarea de rastreo y rastree los dispositivos. Para obtener informacion sobre como
rastrear dispositivos, consulte "Rastreo de vulnerabilidades en dispositivos" (646).
4. Utilice los resultados de rastreo para decidir que hacery como va a realizar la revision.
Organice el contenido de seguridad en funcion de esto. Para obtener mas informacion,
consulte "Administracion del contenido de seguridad" (633). Para obtener instrucciones
sobre como ver las vulnerabilidades que se han detectado en el entorno, consulte "Ver
vulnerabilidades detectadas" (650).
5. Descargue parches (que se utilizan para reparar las vulnerabilidades detectadas). Para
obtener informacion sobre como descargar parches, consulte "Descargar contenido de
seguridad" (634).
6. Repare las vulnerabilidades detectadas por medio de la implementacion e instalacion de

parches en los dispositivos afectados. Para obtener informacion sobre como llevar a cabo
622
GUÍA DE USUARIO
revisiones, consulte "Revision de dispositivos con vulnerabilidades" (657).
7. Ver informes que proporcionen informacion sobre el estado del parche y el historial de
reparaciones. Para obtener informacion sobre los informes de parches, consulte "Generar
informes de Parches y cumplimiento" (681).
Si es nuevo en los Parches y cumplimiento, los siguientes temas pueden ayudarle a comprender
como funcionan los parches en su entorno.
• "Parches y cumplimiento" (619)
• "Como llevar a cabo rastreos de soluciones de Parches y cumplimiento" abajo
• "Abrir y utilizar la herramienta de Parches y cumplimiento" En la pagina 624
• "Rastreo de vulnerabilidades en dispositivos" (646)
Como llevar a cabo rastreos de soluciones de Parches y cumplimiento
La tabla a continuacion describe como Parches y cumplimiento busca cada tipo de riesgo a la
seguridad y los pasos que se han llevado a cabo para la reparacion:
Cuando busca... y remedios por...
Rastreo de Parches y cumplimiento
por...
Actualizaciones de Instalacion de la actualizacion de software de
software de IVANTI Se estan utilizando definiciones de actualizacion IVANTI adecuada.
de software publicadas por IVANTI para buscar
las ultimas versiones de software de IVANTI.
Vulnerabilidades de
Windows y Uso de las definiciones de vulnerabilidades Como utilizar una tarea programada o un
Mac publicadas por IVANTI (basadas en boletines de autofix para implementar e instalar los archivos
seguridad oficiales) para encontrar de parches necesarios. Los archivos de
vulnerabilidades conocidas de sistema parches ya deben estar descargados en el
operativo o de aplicacion. repositorio de parches local.
623
Cuando busca... y remedios por...

Rastreo de Parches y cumplimiento
por...
Vulnerabilidades de Uso de las definiciones de vulnerabilidades
Mac publicadas por IVANTI (basadas en boletines de Como utilizar una tarea programada o un
seguridad oficiales) para encontrar autofix para implementar e instalar los archivos
vulnerabilidades conocidas. de parches necesarios. Los archivos de
parches ya deben estar descargados en el
repositorio de parches local.
Vulnerabilidades de Uso de las definiciones de vulnerabilidades

Linuxy UNIX publicadas por IVANTI (basadas en boletines de Como utilizar una tarea programada o un
seguridad oficiales) para encontrar autofix para implementar e instalar los archivos
vulnerabilidades conocidas. de parches necesarios. Los archivos de
parches ya deben estar descargados en el
repositorio de parches local.
Definiciones
personalizadas
Uso de las vulnerabilidades definidas por el Como implementar un parche o una cadena de
usuario creadas por los administradores de comandos personalizados que se encargue de
IVANTI para buscar condiciones de plataformas la situacion. Puede hacer que el remedio forme
definidas por el usuario, aplicaciones, archivos parte de la definicion inicial o que sea un
o configuracion del registro. parche separado.
Amenazas de Se estan utilizando definiciones de amenazas a

seguridad la seguridad publicadas por IVANTI para buscar Aplicacion de los valores de configuracion
errores y exposiciones de configuracion del especificados por la definicion de amenaza a la
sistema Windows. Puede modificar las seguridad.
definiciones de las amenazas a la seguridad
que usan variables personalizadas para buscar Algunas amenazas a la seguridad deben
condiciones especficas. repararse en forma manual en el dispositivo
afectado. Para descubrirsi una amenaza a la
seguridad puede repararse desde la consola,
observe el valor en su columna Reparable (Sf o
No) en la vista de lista del elemento.
Spyware Como eliminar la aplicacion de spyware

infractora (como tarea de reparacion) o
Uso de las definiciones de deteccion de bloquear la aplicacion cuando intente
spyware que buscan instancias de programas ejecutarse. Para habilitar el bloqueo en tiempo
de spyware en los dispositivos rastreados. real, active autofix y el bloqueo de spyware en
Revisiones y cumplimiento utiliza el programa los ajustes del agente y ajuste las definiciones
softmon.exe de la herramienta de monitoreo de de spyware para que lleven a cabo la
licencias de software IVANTI para monitorear reparacion automatica.
spyware. Tambien puede habilitar el monitoreo
y el bloqueo de spyware en tiempo real con una
configuracion de agente del dispositivo.
624
GUÍA DE USUARIO
Abrir y utilizar la herramienta de Parches y cumplimiento

La herramienta de Parches y cumplimiento, como todas las demas ventanas de las herramientas de
IVANTI, se abre desde el menu Herramientas o desde el Cuadro de herramientas yse puede acoplar,
hacerflotaryvisualizarcomoventana con pestanas con otras ventanas de herramientas abiertas.
Para abrir la herramienta de Parches y cumplimiento, haga clic en Herramientas > Seguridad >
Parches y cumplimiento.
El panel de la izquierda muestra una vista de arbol de grupos de reglas de tipo de definicion de
seguridad y reparacion.
El panel de la derecha muestra la informacion asociada con lo que este seleccionado en la vista de
arbol. Cuando selecciona Parches y cumplimiento, puede ver un tablero de informes. Cuando se
seleccionan otros elementos, se muestra una lista de informacion de definicion de los grupos
seleccionados y una funcion Buscar para localizar la lista de elementos largos.
En el cuadro Buscar no se admiten los caracteres ampliados siguientes: < > '"!
IMPORTANT: Derechode Parchesy cumplimiento

Para acceder a la herramienta de parches y cumplimiento, los usuarios deben ser Administradores de IVANTI o
tener derecho de Parches y cumplimiento. Para obtener mas informacion sobre los roles y derechos, consulte
"Informacion general sobre la administracion basada en roles" (54).
Botones de la barra de herramientas

La ventana de la herramienta de Parches y cumplimiento incluye una barra de herramientas con los
siguientes botones:
• Todos los tipos: muestra el tipo de contenido que desee ver. Cuando se selecciona Antivirus,
aparece solo la lista descargada de definiciones de deteccion de rastreo. No lista los
archivos espedficos de definiciones de virus de IVANTI Antivirus.
• Global (todos los dispositivos): Limita los elementos mostrados a un alcance espedfico.
625
• Todos los elementos: filtra los elementos mostrados basandose en un filtro personalizado.
Para obtener informacion sobre como creary usar un filtro personalizado, consulte "Listas
de elementos personalizados con filtros" (643).
• Descargar actualizaciones: Abre un cuadro de dialogo donde puede especificar el contenido

de seguridad que desee descargar. Esto incluye la seleccion de plataformas e idiomas,
ademas de el servidor de contenido de seguridad al que acceder. Tambien puede configurar
si desea colocar las definiciones en el grupo "Sin asignar", si desea descargar revisiones
asociadas al mismo tiempo, la ubicacion donde se descargan las revisiones y la
configuracion del servidor proxy.
• Cree una tarea: Incluye un lista desplegable donde puede seleccionar que tipo de tarea
desea crear:
• Rastreo de seguridad: le permite crear una tarea de rastreo de seguridad, especificar si

el rastreo es una tarea programada o una poiftica, y seleccionar opciones de
visualizacion de rastreo de seguridad, reinicio e interaccion y los tipos de contenido
rastreados.
• Rastreo de cumplimiento: le permite crear una tarea de rastreo de seguridad que

verifica espeaficamente si los dispositivos de destino cumplen con su polftica de
seguridad actual, definida por la configuracion del Control de acceso a la red de IVANTI
y por los contenidos del grupo de Cumplimiento.
• Cambiar configuracion: le permite crear una tarea que modifique la configuracion

predeterminada en un dispositivo administrado mediante la escritura del ID de la
configuracion especificada en el registro local. Puede utilizar esta tarea como una
manera rapida y comoda de modificar solo las configuraciones que desee sin tener que
volver a implementar una configuracion completa del agente del dispositivo.
• Reinitiate le permite crear una tarea de reinicio de dispositivos y seleccionar la

configuracion de rastreo y reparacion que determine el comportamiento de
visualizacion
e interaccion. Observe que solo las opciones de la pagina de reinicio del cuadro de
dialogo pertenecen a esta tarea.
• Reparar: le permite crear una tarea de reparacion de seguridad que repara los riesgos
de seguridad en los dispositivos rastreados. Puede configurar la reparacion como una
tarea programada, como una polftica o como ambas, dividir la tarea de reparacion en
fases y etapas de reparacion distintas, seleccionar una configuracion de rastreo y
reparacion y descargar revisiones. Tenga en cuenta que para crear una tarea de
reparacion, deben seleccionarse primero una o mas definiciones de seguridad
reparables.
• Recopilar informacion historica: le permite crear una tarea que recopile los conteos
rastreados y detectados (durante una cantidad especificada de dâs) que pueden
626
GUÍA DE USUARIO
utilizarse para generar informes. Tambien puede crear yconfigurar una tarea
programada que realice la misma accion.
• Configurar ajustes: Incluye una lista desplegable donde puede seleccionar el tipo de ajustes
que desea configurar, cambiar o actualizar:
• Configuracion del agente: permite crear, modificar, copiary eliminar configuraciones de

agentes. Las configuraciones de agente determinan si se muestra el rastreador de
seguridad en los dispositivos durante su ejecucion, las opciones de reinicio, la
interaccion con el usuario y los tipos de contenido rastreados.
• Configuracion del grupo Definicion: le permite crear, modificar, copiary eliminar la

configuracion del grupo Definiciones para automatizar las descargas de contenidos de
seguridad.
• Configuracion de alertas: le permite configurar las alertas de seguridad global.
• Configuraciones del servidor central: Le permite administrar resultados de rastreo,

corregir automaticamente las preferencias de reintento y resumir la configuracion del
servidor central.
• Permisos: Le permite ver los permisos de la consola de Parches ycumplimiento del

usuario actual. Tambien puede ajustar el modo en que la consola interpreta los
permisos de "modificar" y "modificar publico".
• Administrar etiquetas: le permite crear, editar y eliminar etiquetas para reorganizar el

contenido de parches.
• Mostrar tablero en una ventana distinta: Abre el tablero de Parches ycumplimiento, lo que le
permite ver y organizar los graficos que muestran la informacion de parches.
• Importar definiciones: Permite importar un archivo XML que contenga definiciones

personalizadas.
• Exportar definiciones: permite exportar una definicion personalizada como archivo XML.
• Informacion de rastreo: Le permite ver informacion detallada sobre actividades de parches y

cumplimientoy de estado, por categonas, tales como rastreos recientes y severidad de
definiciones, detodos los dispositivos administrados.
• Equipos que no cumplen: enumera los dispositivos que se rastrearon para comprobar el
cumplimiento con la polftica predefinida de seguridad de cumplimiento (segun el contenido
del grupo Cumplimiento) y que se determino que no estan en buen estado o que no
cumplen.
• Actualizar: actualiza el contenido del grupo seleccionado.

• Agregar: segun la seleccion que se haya realizado en el arbol, crea un nuevo grafico, una
definicion personalizada o una etiqueta. Si el elemento seleccionado en el arbol tiene
627
permiso para crear una definicion personalizada, la agregara. Si se selecciona Parches

ycumplimiento, agregara un nuevo grafico. Si se selecciona Etiquetas, se creara una nueva
etiqueta.
• Propiedades: Muestra las propiedades del grafico, grupo o definicion seleccionado.
• Eliminar elementos seleccionados: elimina los elementos seleccionados de la base de datos

central.
• Purgar las definiciones de parches y cumplimiento: le permite especificar las plataformas e

idiomas cuyas definiciones desea eliminar de la base de datos del servidor central. Solo un
Administrador de IVANTI puede llevar a cabo esta operacion.
• Desactivar regla reemplazada: Le permite seleccionar como desea manejar las reglas
reemplazadas. Las reglas reemplazadas son reglas que se sustituyen por otras definiciones
del entorno.
• Ayuda: Abre la ayuda en lmea en la seccion de Parches ycumplimiento.
Todos los elementos (definiciones en la vista del arbol)

El objeto rafz de la vista de arbol contiene todos los tipos de seguridad, como vulnerabilidades,
spyware, amenazas de seguridad, aplicaciones bloqueadas y definiciones personalizadas.
El objeto Todos los tipos contiene los siguientes subgrupos:
• Rastrear: (para el tipo Aplicaciones bloqueadas, este grupo se llama Bloquear). enumera
todas las definiciones de seguridad que se buscan cuando el rastreador de seguridad se
ejecuta en los dispositivos administrados. En otras palabras, si una definicion se incluye en
este grupo, formara parte de la siguiente operacion de rastreo; de lo contrario, no formara
parte del rastreo.
De forma predeterminada, las definiciones recogidas se agregan al grupo Rastrear durante

una actualizacion de contenido. (IMPORTANTE: las aplicaciones bloqueadas se agregan de
forma predeterminada al grupo No asignadas.)
Rastrear es uno de los tres estados posibles para una definicion de seguridad,junto con No
rastreary No asignada. Como tal, una definicion solo puede residir en uno de esos tres
grupos a la vez. La definicion puede ser Rastrear, No rastrear o No asignada y se identifica
con un icono unico para cada estado (icono de signo de interrogacion [?] para No asignada,
icono deXroja para No rastreary el icono de vulnerabilidad normal para Rastrear. Al mover
una definicion de un grupo a otro se cambia su estado automaticamente.
Al mover definiciones al grupo Rastrear (haciendo clicy arrastrando una o mas definiciones
desde otro grupo, exceptuando el grupo Detectadas), puede controlar la naturaleza y el
tamano espedficos de la siguiente exploracion de seguridad en dispositivos de destino.
628
GUÍA DE USUARIO
CAUTION: Mover definiciones desde el grupo Rastrear

Cuando se desplazan definiciones desde el grupo Rastrear al grupo No rastrear, la informacion sobre la que los
dispositivos explorados detectaron las definiciones se elimina de la base de datos central y no vuelve a estar
disponible en los cuadros de dialogo Propiedades de la definicion ni en el de Informacion de seguridad y
revisiones del dispositivo.
• Detectada: enumera todas las definiciones detectadas en todos los dispositivos incluidos
en el ultimo rastreo de seguridad. El contenido de este grupo se acumula basandose en
todos los rastreos de seguridad que se ejecutan en su red. Las definiciones se eliminan del
grupo solo al repararlas correctamente, al eliminarlas del grupo de Rastreo ejecutando
luego un nuevo rastreo, o al eliminarlas realmente del dispositivo afectado.
La lista Detectadas esta compuesta de todas las definiciones de seguridad detectadas que
se han encontrado en la exploracion mas reciente. Las columnas Rastreado y Detectada
son utiles a la hora de mostrar cuantos dispositivos se rastrearon y en cuantos de esos
dispositivos se detecto la definicion. Para ver espedficamente que dispositivos presentan
una definicion detectada, haga clic con el boton derecho del raton en el elemento y
seleccione Equipos afectados.
Observe que tambien puede ver informacion de vulnerabilidad especfica de dispositivos

haciendo clic con el boton derecho en un dispositivo de la vista de red y, a continuacion,
haciendo clic en Informacion de seguridad y revisiones.
Solo puede mover definiciones del grupo Detectadas a los grupos No asignadas o No
rastrear.
Observe que ademas de tener activadas la reglas de deteccion de una definicion, el archivo
ejecutable de revision que le correspondiera debe descargarse tambien a un deposito local
de revisiones en la red (normalmente el servidor central) para poder efectuar la reparacion.
El atributo Descargado indica si se ha descargado la revision asociada a la regla.
• No rastrear: (Para el tipo Aplicaciones bloqueadas, este grupo se llama No Bloquear)

Enumera todas las definiciones que no se buscan la proxima vez que el rastreador se
ejecuta en los dispositivos. Tal ycomo se indico anteriormente, si hay una definicion en
este grupo, no puede estartambien en el grupo Rastrear o No asignadas. Puede mover
definiciones a este grupo para eliminarlas temporalmente de un rastreo de seguridad.
• No asignadas: enumera todas las definiciones que no pertenecen a los grupos Rastrear o
No rastrear. El grupo No asignadas es esencialmente un area de espera para definiciones
recopiladas hasta que decida si desea buscarlas o no.
Para mover las definiciones, arrastre una o mas desde el grupo No asignadas al grupo
Rastrear o al grupo No rastrear.
629
Tambien se pueden agregar nuevas definiciones al grupo No asignadas durante una

actualizacion de un contenido mediante la seleccion de la opcion Colocar nuevas
definiciones en el grupo No asignadas del cuadro de dialogo Descargar actualizaciones.
• Ver por producto: enumera todas las definiciones organizadas en subgrupos de productos
espedficos. Estos subgrupos le ayudan a identificar las definiciones por su categona de
producto pertinente.
• Ver por proveedor: enumera todas las definiciones organizadas en subgrupos de productos
especficos. Estos subgrupos le ayudan a identificar las definiciones por su categona de
proveedor pertinente.
Puede utilizar estos subgrupos de producto para copiar definiciones en el grupo de Rastrear para
explorar productos especficos o copiarlas en un grupo personalizado (ver a continuacion a fin de
realizar una reparacion en un grupo de productos de una sola vez).
Las definiciones pueden copiarse desde un grupo de producto a Rastrear, No rastrear o No

asignadas, o a cualquier grupo personalizado definido por el usuario. Pueden residir en una
plataforma, un producto yvarios grupos personalizados simultaneamente.
Grupos
Un grupo le permite llevar a cabo acciones, como un rastreo dirigido, una tarea de reparacion o una
consulta, para un grupo de definiciones especfico. Por ejemplo, puede escoger establecer un grupo
Listo para reparar que contenga parches que se hayan probado y esten listos para aplicarse.
Una definicion puede pertenecer a mas de un grupo simultaneamente. Cuando se agrega una
definicion a un grupo, no se cambia el estado en la carpeta Rastrear o No rastrear. No obstante,
puede llevar a cabo acciones para ese grupo, que moveran la definicion.
El objeto Grupos contiene los siguientes subgrupos predeterminados:

• Grupos personalizados: enumera los grupos que se crearon y las definiciones que
contienen. Mis grupos personalizados ofrece una manera de organizar las definiciones de
seguridad de la forma que desee.
Para crear un grupo personalizado, haga clic con el boton derecho en Mis grupos
personalizados (o en un subgrupo) y, a continuacion, haga clic en Grupo nuevo.
Para agregar definiciones a un grupo personalizado, haga clicy arrastre una o mas de
ellas desde cualquiera de los otros grupos de definiciones. O bien, puede hacer clic con
el boton derecho en un grupo personalizado y luego seleccionar Agregar Definicion.
• Grupos predefinidos: presenta una lista de los grupos predefinidos de definicion de

vulnerabilidades como lo defina la suscripcion de contenido de IVANTI Security Suite. Por
ejemplo, este grupo podna contener las definiciones publicadas por la industria, como los
Primeros 20 SANS, que corresponden a las 20 primeras definiciones de vulnerabilidad
identificadas y publicadas por Microsoft.
630
GUÍA DE USUARIO
• Alerta: muestra una lista de todas las definiciones que generaran un mensaje de alerta la
proxima vez que se ejecute el rastreador de seguridad en los dispositivos.
• Cumplimiento: muestra una lista de todas las definiciones que se utilizan para determinar si
un dispositivo tiene un estado apropiado o no. Este grupo es utilizado por el Control de
acceso a la red (NAC) de IVANTI para denegar o permitir el acceso a la red principal. Las
definiciones y los archivos de revisiones asociados que contiene el grupo Cumplimiento se
copian en un servidor de reparaciones particular, el cual rastrea dispositivos, determina el
cumplimiento o la falta de este y puede reparar los dispositivos que no cumplen para que
obtengan acceso completo a la red empresarial. Cuando se ejecuta un rastreo de
cumplimiento con el boton Crear una tarea, esta utiliza las definiciones de este grupo.
Etiquetas
Las etiquetas son una manera de organizar definiciones. Una definicion puede tener varias etiquetas
asociadas. Cree un filtro o consulta para ver los detalles de las definiciones que se han etiquetado.
No se llevan a cabo acciones segun las etiquetas. Si desea organizar las definiciones y luego llevar
a cabo acciones segun los grupos, utilice un grupo en lugar de una etiqueta. Un proyecto de
resumen puede editar las etiquetas asociadas con una definicion, pero no lleva a cabo acciones
segun el estado de la etiqueta.
Gestione las etiquetas haciendo clic en Configurar ajustes > Administrar etiquetas.
Reglas de deteccion
El objeto Reglas de deteccion solo aparece en el arbol cuando ha seleccionado Vulnerabilidad o
Definicion personalizada como tipo. Este objeto muestra las reglas de deteccion asociadas con las
definiciones.
IMPORTANT: Tipos de definicion de seguridad que usan reglas de deteccion

Estas reglas definen las condiciones espedficas (de sistema operativo, aplicacion, archivo o registro) que la I
definicion de vulnerabilidad debe buscar para detectar riesgos en los clientes rastreados. Las definiciones (es decir,
tipos de contenido) que utilizan reglas de deteccion incluyen vulnerabilidades y definiciones personalizadas. El
spyware y las aplicaciones bloqueadas no emplean reglas de deteccion.
El grupo Reglas de deteccion contiene los siguientes subgrupos:

• Rastrear: enumera todas las reglas de deteccion que estan activadas para el rastreo de
seguridad de los dispositivos. Las reglas de deteccion se agregan automaticamente a esta
lista cuando se actualiza el contenido de parches.
• No rastrear: enumera todas las reglas de deteccion que estan desactivadas para el rastreo
de seguridad en los dispositivos. Algunas definiciones tienen mas de una regla de
deteccion. Desactivando una regla de deteccion, puede asegurarse de que no se utilizara
para rastrear. Esto puede simplificar un rastreo de seguridad sin volver a definir la
vulnerabilidad.
631
• Ver por producto: enumera las reglas detectadas de las vulnerabilidades conocidas,
organizadas en subgrupos de productos especficos. Estos subgrupos le ayudan a
identificar las reglas de deteccion por su categona de producto pertinente.
Puede utilizar los subgrupos de productos para realizar operaciones de grupo.
Configuracion de dispositivos para efectuar rastreos de seguridad y reparaciones

Utilice la configuracion de Distribucion y parches que aparece en la configuracion del agente para
determinar lo que se va a rastrear, lo que el usuario final puede ver de un rastreo, el
comportamiento de reinicio del dispositivo y el nivel de interaccion que el usuario final tiene
permitido cuando el rastreador de seguridad se ejecuta en los dispositivos. Por ejemplo, segun el
proposito o el horario programado para un rastreo, tal vez desee mostrar al usuario final un
progreso del rastreo yofrecerle la oportunidad de cancelar o postergar un rastreo de la aplicacion de
parches.
La configuracion predeterminada de rastreo y reparacion de un dispositivo se implementa como

parte de la configuracion inicial del agente. Cuando una tarea tiene varias configuraciones de
rastreo asociadas o asignadas a ella, la configuracion predeterminada se sobrescribe. Tambien
puede elegir utilizar la configuracion predeterminada del dispositivo seleccionandola cuando cree
una tarea.
Configurar dispositivos Windows para realizar rastreos de seguridad

El agente estandar de IVANTI para los dispositivos Windows incluye el rastreador de
vulnerabilidades, que puede llevar a cabo rastreos yremedios de parches ycumplimiento. Configure
los ajustes del modo en que se llevan a cabo el rastreo y remedio en la configuracion del agente.
Para crear configuraciones de rastreo y reparacion

2. En la ventana Configuracion del agente, seleccione Distribucion y parches en el arbol y haga
clic en el boton Crear configuracion nueva en la barra de herramientas. O, si puede hacer
clic en Modificar o Configurar en cualquiera de los cuadros de dialogo de tarea que le
permiten aplicar una configuracion de rastreo y reparacion.
3. Introduzca un nombre para la configuracion de distribucion y parches.

4. Especifique la configuracion de cada pagina como lo desee para la tarea en particular. Para
obtener informacion acerca de la configuracion de Distribucion y parches, consulte
"Configuracion del agente: Distribucion y revision" (821):"Configuracion del agente:
Distribucion y revision" (821).
5. Una vez configurada, puede utilizar la configuracion para tareas de rastreo de seguridad,
reparacion, desinstalacion, reinicio y cambio de configuracion.
Para cambiar la configuracion predeterminada de rastreo y reparacion de un dispositivo

1. En la ventana de la herramienta Parches y cumplimiento, haga clic en el boton Crear una tarea
de la barra de herramientas y luego en Cambiar ajustes.
632
GUÍA DE USUARIO
2. Proporcione un nombre unico para la tarea, indicar si se trata de una tarea o de una polftica
programada, yya sea seleccionar una configuracion de rastreo y reparacion existente como
predeterminada o utilizar el boton Modificar para crear una nueva configuracion de rastreo y
reparacion predeterminada en los dispositivos de destino.
3. Seleccione los objetivos de la tarea y programela o inicie la tarea ahora.
Cuando se crea o edita una configuracion de agente, puede especificar alguna de las opciones del
rastreo de seguridad, como cuando y como ejecutar el rastreador de forma automatica en los
dispositivos administrados, que el rastreador muestre o no el progreso, o muestre pantallas de
mensajes en el dispositivo del usuario final, asf como la configuracion global para las operaciones
de reparacion, como el reinicio del dispositivo y la reparacion automatica. Para obtener mas
informacion sobre la personalizacion del comportamiento del agente de rastreo de seguridad como
parte de la creacion e implementacion de las configuraciones de agente en los dispositivos de
Windows administrados, consulte "Configuracion del agente: Distribucion y revision"
(821):"Configuracion del agente: Distribucion y revision" (821).
NOTE: para que se pueda ejecutar el rastreador de seguridad es necesario instalar WinSock2 en los dispositivos
con Windows 9x.
Despues de configurar el agente, se agrega el icono de programa del rastreador de seguridad al

grupo de programas de IVANTI Management en el menu de Inicio del dispositivo administrado. Este
programa se puede usar para ejecutar el rastreador directamente desde el dispositivo (a diferencia
de cualquier inicio con tecla, inicio recurrente del programador local o tarea programada a traves de
la consola).
Configuracion de seguridad adicional en las configuraciones del agente
Al definir una configuracion del agente del dispositivo (para los dispositivos Windows), tambien
puede habilitaryconfigurarfunciones de seguridad complementarias, tales como:
• Rastreos de seguridad frecuentes para riesgos de seguridad crfticos

• Monitor de Spyware
• Listas de archivos de aplicaciones
• Servidor de seguridad de Windows
• Seguridad de punto final, la cual incluye los componentes de seguridad: HIPS, IVANTI
Firewall y Device Control
• Compatibilidad NAC 802.1X que amplfa el control de acceso de red (NAC) con autenticacion
y cumplimiento
Configurar dispositivos Linux y UNIX para realizar rastreos de seguridad

Parches y cumplimiento es compatible con el rastreo de vulnerabilidades en plataformas
compatibles de Linuxy UNIX. Las descargas de contenido, rastreos de programacion y los
resultados de rastreos
633
estan disponibles en la consola de administracion de IVANTI. Puede llevar a cabo tareas de remedio
de vulnerabilidades en plataformas de Linux, pero, actualmente, Linux no es compatible con la
funcion de Reparacion automatica. El remedio es un proceso manual para UNIX.
Para obtener mas informacion acerca de Linuxy UNIX, consulte esta pagina de la comunidad de LAN
DESK: http://community.Ivanti.com/support/community/systems/nix.
Configurar dispositivos Mac OS X para realizar rastreos de seguridad

Parches ycumplimiento es compatible con el rastreo de vulnerabilidades en plataformas
compatibles de de Mac OS X.
Ademas, puede creary configurar la configuracion del agente para sus dispositivos Macintosh con
la Herramienta de configuracion de agentes. La configuracion del agente para la administracion de
parches, las descargas de contenido, los rastreos de programaciones y los resultados de rastreo
estan disponibles mediante la consola de administracion de IVANTI. No obstante, el remedio es un
proceso manual.
Para obtener mas informacion sobre la creacion e implementacion de una configuracion de agente
para Macintosh que admita al rastreador de seguridad, consulte "Macintosh device management
overview" (521).
Para ejecutar el rastreador de seguridad en dispositivos Macintosh
1. Abra las preferences de sistema de Mac OS Xy seleccione la pagina del cliente de IVANTI
2. En la pestana de Introduction, haga clic en Comprobar ahora en la seccion Seguridad.
Administracion del contenido de seguridad

Cuando se instala Endpoint Manager, la herramienta de Parches ycumplimiento viene incluida de
manera predeterminada. Sin embargo, sin la suscripcion al contenido de Security Suite, solo se
puede rastrear en busca de actualizaciones de software ydefiniciones personalizadas de IVANTI. La
suscripcion al contenido de Security Suite permite aprovechar al maximo la herramienta de Parches
y cumplimiento, al otorgar acceso a contenido adicional de seguridad.
Los tipos de contenidos de IVANTI Security Suite incluyen:
• Actualizaciones de antivirus: Para rastreadores de terceros, incluye solo el contenido de

deteccion de rastreador de antivirus. Para IVANTI Antivirus, incluye el contenido de
deteccion de rastreador Y los archivos de definiciones de virus.
• Aplicaciones bloqueadas (consulte "Aviso legal para los tipos de aplicaciones bloqueadas"
(645))
• Definiciones de vulnerabilidad personalizadas
634
GUÍA DE USUARIO
• Actualizaciones de software de IVANTI

• Amenazas de seguridad (exposiciones de la configuracion del sistema; incluye la deteccion
y configuracion de servidores de seguridad)
• Spyware
• Vulnerabilidades
Las funciones de rastreo y reparacion no son iguales para los diferentes tipos de contenidos. Para
obtener mas informacion sobre la forma en que Parches ycumplimiento busca y repara los
diferentes tipos de riesgos a la seguridad que se detecten en los dispositivos administrados,
consulte las secciones apropiadas en "Como llevar a cabo rastreos de soluciones de Parches
ycumplimiento" (621).
Para otros temas, la Comunidad de usuarios de IVANTItiene foros de usuarios y los metodos mejor
conocidos de todos los productos ytecnologfas de IVANTI.
Temas relacionados
"Descargar contenido de seguridad" abajo "Very organizar los contenidos de seguridad" (639)
"Buscar vulnerabilidades por nombre de CVE" En la pagina 641 "Listas de elementos
personalizados con filtros" En la pagina 643 "Purgar las definiciones de contenido de seguridad" En
la pagina 643 "Desinstalar revisiones (regresar a la original)" En la pagina 644 Descargar contenido
de seguridad
La herramienta de Parches ycumplimiento lleva a cabo de forma rapida y sencilla el proceso de
recopilacion de las definiciones mas reciente sobre las definiciones y seguridad de los tipos de
seguridad, lo que permite la descarga de contenido a traves de una base de datos alojada por
IVANTI. Los servicios de IVANTI Security Suite consolidan las definiciones y parches conocidos
provenientes de fuentes de confianza, de la empresa y le envfa informacion de confianza
directamente a usted.
Utilice el cuadro de dialogo Descargar actualizaciones para configurary llevar a cabo

actualizaciones de contenido de seguridad al momento o para crear una tarea programada.
Descargue las definiciones y los parches por separado o mediante la misma tarea. Por ejemplo, es
posible que desee descargar definiciones y ejecutar un rastreo al menos una vez antes de descargar
los parches, y despues de eso solo descargar los parches para vulnerabilidades que se hayan
detectado durante el rastreo.
635
CAUTION: Solo un usuario de IVANTI en un servidor central concreto (incluyendo consolas adicionales) puede
actualizar los contenidos de seguridad a la vez. Si un usuario intenta realizar la actualizacion mientras el
proceso ya se esta ejecutando, aparecera un mensaje que indicara la presencia de un conflicto.
Antes de poder implementar las revisiones de seguridad en los dispositivos afectados, en primer
lugar debe descargar el archivo ejecutable de la revision en un deposito de revisiones local de la
red.
Para descargar contenido de seguridad

1. Haga clic en Herramientas > Seguridad > Parches y cumplimiento.
2. Haga clic en el boton Descargar actualizaciones de la barra de herramientas.
636
GUÍA DE USUARIO
3. Seleccione el sito de origen de la actualizacion en la lista de servidores de contenido

disponibles.
4. Seleccione los tipos de definiciones cuyo contenido de seguridad desee actualizar. Puede
seleccionar uno o mas tipos en la lista, dependiendo de su suscripcion al contenido de
IVANTI Security Suite. Cuantos mas tipos seleccione, mas durara el proceso de
actualizacion.
637
5. Seleccione los idiomas cuyo contenido desee actualizar en los tipos especificados.
Algunas vulnerabilidades y otros tipos de definiciones son independientes del idioma, lo
que significa que son compatibles con cualquier version de idioma del SO o de la
aplicacion. Es dedr, no es necesario disponer de una revision espedfica de idioma unico
para reparar las vulnerabilidades, ya que la revision engloba todos los idiomas admitidos.
Cuando descarga contenido de cualquier plataforma, todas las definiciones de

vulnerabilidad con idioma neutro de la plataforma seleccionada se actualizan de forma
automatica. Si ha seleccionado un tipo de contenido de plataforma Windows o Mac,
tambien debe seleccionar los idiomas especficos cuyas definiciones desee actualizar. Si ha
seleccionado una plataforma Linux o Sun Solaris, no es necesario seleccionar un idioma
especfico debido a que el contenido es neutro al idioma y se actualizara de forma
automatica.
6. Si desea colocar automaticamente nuevo contenido en el grupo Sin asignar, en lugar del
grupo Rastreo predeterminado, marque la casilla Poner las nuevas definiciones en el grupo
"Sin Asignar"
7. Si desea descargar automaticamente los archivos ejecutables de la revision que esten

asociados, seleccione la casilla de verificacion Descargar revisiones y luego haga clic en
una de las opciones de descarga. (NOTA: Las revisiones se descargan a la ubicacion
especificada en la pagina Ubicacion de revisiones del cuadro de dialogo Descargar
actualizaciones.)
• Solo para definiciones detectadas: descarga unicamente las revisiones asociadas con
vulnerabilidades, amenazas de seguridad o actualizaciones de IVANTI detectadas por el
ultimo rastreo de seguridad (p. ej., definiciones que residen actualmente en el grupo
Detectadas).
• Para todas las definiciones descargadas: descarga TODAS las revisiones asociadas
con la vulnerabilidad, las amenazas de seguridad y las actualizaciones de IVANTI que
estan en el grupo Rastrear.
8. Si dispone de un servidor proxy en la red que se utilice para accesos externos de Internet,
haga clicen Configuration del Proxyyespecifique la direccion del servidor, el numero de
puertoy las credenciales de autenticacion si se requiere un inicio de sesion para acceder al
servidor proxy.
9. Para descargar contenido ahora, haga clic en Actualizar ahora. El cuadro de dialogo
Actualization de definiciones muestra el estado y la operacion actual. Si hace clic en
Cancelar o cierra la consola antes de que finalice la actualizacion, solamente se descargara
en la base de datos central el contenido de seguridad que se haya procesado hasta ese
momento.
638
GUÍA DE USUARIO
/> Actualize ndo vu I n e ra t>i lida des urauii yai «JU ic vun ICICUM JCJ
êscangando la vulnerabikdad tdPUX-lnetd-006

Oescargando la vulnerabikdad tdPUX-lretd-D07
êscangando la vulnerabikdad HPUX-lnetd-OOB
3escargando la vulnerabikdad HRUX-lnetd-OCB
Descergando la vulnerabikdad HPUX-lnetd-QI D
3es«rgandu la vulnerabikdad HRUX-Kemel-CWI
Descsrgarda la vulnerabikdad PIPUX-Kemel-l}D2
Hescargardn la vulnerabikdad HPUX Karrel-Ml
3«cargardc la vulnerabikdad HPUX Kerrel KU
Descargardc la vulnrrabi dad H RUX' Lagging '002 dwi-
argandn la vulnerabildad H RUX-Logging '003
3«targando Ifl vulnerabildad H PUX-5ySlem TM2
Deitartjando la vulnerabildad HPUX-SysleniiTX)]
Destargando la vdnerabikdad HPUX-Syslenfi-D04
Descargando la vulnefabikdad HPUX-5yslefli-DQ5
descangando la vulnerabikdad HPUX-5yslefifi-DG7
3escargando la vulnerabikdad HPLlX-S^slem-OOB
3escangando la vulnerabikdad HPUX-S^sleni-0Q9
Descargando la vulnerabikdad tdPUX-Sysleni-Ol 1
Applying group membership ftere for 54 new dîntions
Oescargando nevisrones Compnobando la exislenda de l
nevisones nfertando descargar 1 revisions*
êswrgando fv_r*35 e»e (195 KB).
^lesulados de Descarse ■ 1 satisfactorios C oon error, 0 reempiaiado* C
duplicates. Oomitidos
descarga de neviaonse ‘iral :ada
Se encmtib nfomiadGn da una nueva ruia de aoceso de neviaonas y/o
nfnmacion da diene
Qutaido ojalquiet corfer dc srl Icenc.a
AdudliijQDn de vidncfubilidadoi [irulizadd |~ Oeuliar de1all*&
-O-
(Para crear una tarea programada haga clic en Programar actualization.) El cuadro de dialogo
Information de actualizacion programada muestra la configuracion espedfica de la tarea.
Haga clic en Aceptar para crear una tarea Descargar contenido de seguridad en la ventana de
Tareas programadas, en la cual puede especificar las opciones de programacion.
IMPORTANT: Configuracion espetifica de la tarea y configuracion global

Observe que solo la configuracion de la descarga de los tipos de definiciones, idiomas y definiciones y parches se
guardan y asocian con una tarea espedfica cuando la crea. Esas tres configuraciones se consideran espedficas de la
tarea. Sin embargo, los ajustes de configuracion de las otras pestanas del j cuadro de dialogo Descargar
actualizaciones son globales, lo cual significa que se aplican a todas las tareas posteriores de descarga de contenido
de seguridad. La configuracion general incluye la ubicacion de la descarga de revisiones, el servidor proxy, la
reparacion automatica de spyware, las alertas de seguridad y el antivirus. Siempre que se cambie una configuracion
global, dicho cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante.
639
Para descargar revisiones desde una definicion de descargada
Utilice esta opcion si ya ha descargado definiciones pero desea descargar revisiones

seleccionadas.
1. Haga clic con el boton derecho en la definicion y luego haga clic en Descargar revisiones
asociadas.
2. Seleccione si hay que descargar todas las revisiones asociadas o solo las revisiones
actuales. Si escoge todas las revisiones asociadas, esto incluira las que se hayan
reemplazado.
3. Haga clic en Descargar.
NOTE: Tambien puede descargar revisiones desde un cuadro de dialogo de propiedades de la definicion. En la
pagina Genera, haga clic en Propiedades > Information de revision > Descargar)
Para obtener mas informacion sobre el estado de descarga de los archivos de revisiones, consulte
"Abrir y utilizar la herramienta de Parches y cumplimiento" (624).
Para configurar la ubicacion de la descarga de revisiones

1. En el cuadro de dialogo Descargar actualizaciones, haga clic en la etiqueta Ubicacion de la
revision.
2. Indique una ruta UNC donde desee que se copien los archivos de revision. La ubicacion
predeterminada es el directorio \LDLogon\Patch del servidor central.
3. Si la ruta introducida se indica en una ubicacion distinta del servidor central, introduzca una
contrasena y nombre de usuario validos para realizar la autenticacion en dicha ubicacion.
4. Introduzca una direccion URL en la cual los dispositivos puedan tener acceso a los parches
descargados para su implementacion. Esta direccion URL debe coincidir con la ruta UNC
indicada anteriormente.
5. Puede hacer clic en Comprobar configuration para comprobar si se puede realizar una
conexion con la direccion web que se especifico arriba.
6. Si desea restaurar la ruta UNCy la direccion URLen sus ubicaciones predeterminadas, haga
clic en Restaurar a predeterminadas. Nuevamente, la ubicacion predeterminada es el
directorio \LDLogon\Patch del servidor central.
Ver y organizar los contenidos de seguridad
Despues de actualizar el contenido de seguridad, se pueden ver las reglas de detection y

definiciones (solo de las vulnerabilidades y definiciones personalizadas) en sus respectivos grupos
en la ventana de la herramienta de Parches ycumplimiento.
Utilice la lista Tipo para visualizar el contenido de un tipo espedfico de definicion o de todos los
tipos de definicion. Tambien puede utilizar el control de Filtro para personalizar aun mas el
contenido que desee mostrar.
640
GUÍA DE USUARIO
Una vez descargados los contenidos de seguridad, puede mover elementos a diferentes grupos de
estados, o copiarlos en sus propios grupos personalizados.
Asimismo, puede ver los detalles de propiedad de cada una de las reglas de deteccion y
definiciones actualizadas haciendo clic con el boton derecho y seleccionando Propiedades. Utilice
esta informacion para determinar que definiciones son relevantes para las plataformas y
aplicaciones compatibles de la red, el modo en que las reglas de deteccion de vulnerabilidad
verifican la presencia de definiciones, que revisiones se encuentran disponibles para una
vulnerabilidad y como se desea configurary realizar la reparacion de los dispositivos afectados.
Uso de etiquetas y grupos

Los grupos y las etiquetas le permiten organizar el contenido. Utilice los grupos para llevar a cabo
acciones basadas en pertenencia al grupo. Utilice las etiquetas para filtrar una vista o para crear
una consulta, pero no para definir el objetivo de acciones.
Para obtener informacion sobre como utilizar los diferentes grupos, consulte "Abrir y utilizar la
herramienta de Parches y cumplimiento" (624).
Visualizar el contenido de parches para dispositivos especificos

Asimismo, puede ver informacion espedfica en un dispositivo rastreado directamente en la vista de
red haciendo clic con el boton derecho en uno o varios dispositivos seleccionados y luego
seleccionando Informacion de seguridad y revisiones.
Este cuadro de dialogo permite ver la deteccion, instalacion e historial de reparaciones, y llevar a
cabo tareas de administracion de revisiones.
641
Buscar vulnerabilidades por nombre de CVE
Parches ycumplimiento admite el estandar de nombres de Vulnerabilidades y exposiciones Comunes

(CVE). Puede buscar una vulnerabilidad descargada por su nombre de CVE. Tambien puede ver los
nombres de CVE asociados con alguna vulnerabilidad individual.
^Que es CVE?
Vulnerabilidades y exposiciones Comunes (CVE) es una iniciativa de colaboracion entre varias

organizaciones detecnologfa de la seguridad. Mantienen una lista de nombres normalizados para
vulnerabilidades yotras exposiciones de seguridad de la informacion. El estandar de nombres CVE
facilita las actividades de busqueda, el acceso y compartir informacion en bases de datos de
vulnerabilidad y herramientas de seguridad.
Compatibilidad de IVANTI con el estandar de denominacion de CVE
Los productos IVANTI, inlcuidos Endpoint Manager, Security Suite y Patch Manager, son totalmente
compatibles con el estandar CVE.
Cuando se descargan actualizaciones de definiciones de vulnerabilidades, incluyen los nombres CVE.

Ademas, la definicion de vulnerabilidades incluye un hipervfnculo al sitio web del diccionario CVE,
donde se puede encontrar la informacion de version de CVE mas reciente.
Buscar vulnerabilidades segun el nombre de CVE
642
GUÍA DE USUARIO
Parches ycumplimiento le permite buscar vulnerabilidades por sus nombres CVE over los detalles
de CVE de vulnerabilidades espedficas.
Para encontrar definiciones de vulnerabilidades de seguridad por sus nombres CVE

1. En la herramienta de Parches y cumplimiento, seleccione Vulnerabilidades en la lista
desplegable de Tipo. Se muestra una lista completa de definiciones de vulnerabilidades
descargadas.
2. Introduzca el nombre CVE (ID de CVE) en el campo Buscar, seleccione Cualquiera o ID de

CVE de la lista desplegable En columna y luego haga clic en el boton Buscar. (Puede
introducir el ID de CVE completo, incluyendo el prefijo cve-, o las partes que desee y
realizar una busqueda en el deposito de seguridades descargadas para encontrar
vulnerabilidades coincidentes.)
3. Si se encuentra una vulnerabilidad con una ID de CVE que coincida en el deposito de

vulnerabilidades que usted descargo, esta aparecera en la lista.
4. Haga clic con el boton derecho del raton en la vulnerabilidad y acceso a su menu de acceso
directo para encontrar las opciones disponibles.
Para encontrar los nombres CVE de las definiciones de vulnerabilidades de seguridad descargadas
1. En Parches y cumplimiento, seleccione Vulnerabilidades o Todos los tipos de la lista
desplegable de Tipo. Se muestra una lista de definiciones descargadas. (Si se selecciona la
columna de informacion de ID de CVE, se pueden ver los identificadores de CVE en la lista
de elementos. Para configurar las columnas, haga clic con el boton derecho sobre la barra
del trtulo de columna, seleccione Columnas, yasegurese de que las columnas ID de CVE se
encuentran en la lista Columnas seleccionadas.)
2. Haga doble clic en una definicion de vulnerabilidad (o clic con el boton derecho en la
definicion y seleccione Propiedades) para abrir el cuadro de dialogo Propiedades de este.
3. Haga clic en la pagina Description.

4. Si la vulnerabilidad seleccionada tiene un nombre CVE, este se muestra en la lista ID de
643
CVE. Algunas vulnerabilidades pueden tener mas de un nombre CVE, a los cuales puede
tener acceso deslizandose a traves de la lista.
5. Si desea acceder a la pagina web para encontrar una ID de CVE espedfica, haga clic en el
vfnculo Mas information de la ID de CVE. El sitio web de CVE provee informacion detallada
sobre cada vulnerabilidad con un nombre CVE, tal como su estado actual en la tarjeta de
CVE (Entrada aprobada o Candidato en revision).
Listas de elementos personalizados con filtros
La lista de Filtro permite crear y aplicar filtros de visualizacion personalizados para controlar los
elementos que se muestran en el marco derecho de la ventana de herramientas. Los filtros
permiten racionalizar una gran cantidad de contenido de seguridad. Puede filtrar el contenido por
sistema operativo o gravedad.
El control del Filtro puede utilizarsejunto con el control de Tipo para mostrar exactamente el
contenido de seguridad que le interesa visualizar.
Para crear un nuevo filtro de visualizacion

1. En Parches ycumplimiento, haga clicen la lista desplegable Filtro, yluegoen Administrar
filtros.
2. Haga clic en Nuevo.

3. Escriba un nombre para el filtro nuevo.
4. Si desea filtrar el contenido por sistema operativo, active la casilla de verificacion y luego
seleccione los sistemas operativos que desee mostrar.
5. Si desea filtrar el contenido por severidad de la definicion, active la casilla de verificacion y

luego seleccione las gravedades que desee mostrar. Haga clic en Aceptar.
Para aplicar un filtro a la visualizacion de contenido de un grupo

1. Haga clic en el grupo de contenido en el panel izquierdo de la ventana.
2. Haga clic en la lista Filtro, y luego seleccione un filtro de la lista.
Purgar las definiciones de contenido de seguridad
Puede purgar definiciones no utilizadas de ventana de la herramienta de Revisionesycumplimientoy

la base de datos central si se determina que no es relevante en el entorno, o bien, si una reparacion
correcta hace que la informacion sea obsoleta.
Cuando se purgan las definiciones, la informacion de la regla de deteccion asociada tambien se

quita de los grupos de Reglas de deteccion en la vista de arbol. No obstante, con este proceso no
se eliminan los archivos ejecutables asociados de la revision real. Los archivos de revision se
deben quitar de forma manual del deposito local, que generalmente se encuentra en el servidor
central.
Solo los usuarios con derechos de administrador de IVANTI pueden purgar el contenido.
Para purgar definiciones no utilizadas
644
GUÍA DE USUARIO
1. Haga clic en Herramientas > Seguridad > Revisiones y cumplimiento.

2. Haga clic en el boton Purgar las definiciones de parches y cumplimiento de la barra de
herramientas.
3. Seleccione las plataformas cuyas definiciones desee eliminar. Puede seleccionar una o varias
plataformas de la lista.
4. Seleccione los idiomas cuya definicion desee eliminar (asociada con la plataforma
seleccionada anteriormente). Si selecciona una plataforma de Windows o Macintosh, debe
especificar los idiomas cuya definicion desea eliminar. Si elige una plataforma UNIX o
Linux, es necesario seleccionar la opcion Idioma neutral para poder eliminar las
definiciones independientes de sus idiomas.
5. Seleccione los tipos de definiciones que desee eliminar.

6. Haga clic en Purgar.
Desinstalar revisiones (regresar a la original)
Puede desinstalar las revisiones (es decir, regresar a la original) implementadas en los
dispositivos administrados. Por ejemplo, puede desinstalar una revision que haya causado un
conflicto inesperado con la configuracion existente. Al desinstalar la revision, puede restaurar el
dispositivo a su estado original.
Para desinstalar una revision o regresar a la original

1. Muestra las propiedades de la definicion asociada con el parche. Haga clic con el boton
derecho sobre la definicion y luego sobre Propiedades.
2. En la lista de Reglas de deteccion, haga clic en el boton derecho sobre una o mas reglas, y
luego haga clic en Desinstalar.
3. Escriba un nombre para la tarea de desinstalacion.

4. Especifique si la desinstalacion es una tarea programada, un rastreo basado de una polftica o
ambas.
5. Si selecciono una tarea programada, especifique cuales son los dispositivos desde los
cuales desea instalar la revision.
6. Si la revision no puede desinstalarse sin acceder a su archivo ejecutable original (es decir,
utilizar parametros de lfnea de comandos), y desea implementar un ejecutable usando la
Multidifusion dirigida, habilite la casilla de verificacion Utilizar multidifusion. Para
configurar las opciones, haga clic en el boton Opciones de multidifusion. Para obtener mas
informacion, consulte "Acerca del cuadro de dialogo Opciones de multidifusion" (705).
7. Si selecciono una polftica, y desea crear una nueva consulta basada en esta tarea de
desinstalacion que pueda usarse mas adelante, active la casilla de verificacion Agregar una
consulta.
645
8. Seleccione la configuracion de rastreo y reparacion en la lista disponible (o cree una

configuracion personalizada para este rastreo) para determinar la forma en que el
rastreador opera en los dispositivos de usuario final.
9. Haga clic en Aceptar. Para una tarea programada, ahora puede agregar dispositivos de
destino y configurar las opciones de programacion en la herramienta de Tareas
programadas. Para una polftica, la nueva aparece en la ventana Administrador de polfticas
de aplicacion con el nombre de tarea indicado en la parte superior. Desde alK puede
agregar destinos estaticos (usuarios o dispositivos) y dinamicos (resultados de consultas),
asf como configurar la frecuencia y el tipo de polftica.
Si se produjo un error durante la instalacion de la revision, antes de intentar la reinstalacion debe

borrar la informacion del estado de la instalacion. Puede borrar el estado de la instalacion
(reparacion) del dispositivo seleccionado haciendo clic en Borrar en el cuadro de dialogo
Informacion de seguridad y revisiones. Tambien puede borrar el estado de la instalacion de la
revision por vulnerabilidad.
Quitar revisiones de la base de datos central
Para eliminar los archivos de revision de forma permanente, debe borrarlos del deposito de
revisiones que suele situarse en el servidor central.
Aviso legal para los tipos de aplicaciones bloqueadas
IMPORTANT: Para conveniencia de los usuarios finales, IVANTI proporciona acceso a la base de datos que
contiene cierta informacion sobre los archivos ejecutables que un usuario final puede utilizar en relacion con la
funcion del bloqueador de aplicaciones de IVANTI Security Suite. ESTA INFORMACION SE PROPORCIONA
"TAL CUAL", SIN NINGUNA GARANTIA EXPLICITA O IMPLICITA O DE CUALQUIER OTRA NATURALEZA,
QUE INCLUYE PERO QUE NO SE ENCUENTRA LIMITADA A LAS GARANTIAS IMPLICITAS DE
COMERCIALIZACION Y/O APTITUD PARA UN FIN DETERMINADO. Como tal, IVANTI no garantiza la
precision, integridad o actualidad de la informacion y el usuario final se hace responsable de EXAMINARy
confirmar esta informacion antes de utilizarla. Cualquier uso de esta informacion se realiza bajo el propio
riesgo del usuario.
Parte de la Informacion de resumen en las definiciones de las aplicaciones bloqueadas se proporciona en:
http://www.sysinfo.org, y es protegido por los derechos de autor como sigue: "Presentacion, formato y
comentarios Copyright © 2001-2005 Paul Collins; Portions Copyright © Peter Forrest, Denny Denham, Sylvain
Prevost, Tony Klein; Creacion de base de datos y asistencia de Patrick Kolla; Asistencia de software de John
Mayer; Reservados todos los derechos."
646
GUÍA DE USUARIO
Rastreo de vulnerabilidades en dispositivos

Para rastrear el dispositivo en busca de vulnerabilidades, este debe tener un agente con el
rastreador de vulnerabilidades instalado. Antes de llevar a cabo un rastreo, asegurese de que ha
configurado los ajustes de Distribucion y parches de los dispositivos. Para obtener informacion
sobre la configuracion de agentes para parches, consulte "Configuracion de dispositivos para
efectuar rastreos de seguridad y reparaciones" (631).
Despues de descargar las definiciones, asegurese de que los agentes estan configurados con los
ajustes de rastreo correctos y luego cree una tarea programada para llevar a cabo un rastreo en
busca de vulnerabilidades.
IMPORTANT: Suscripciones de contenido de IVANTI Security Suite

Para obtener mas informacion sobre Security Suite comuniquese con su distribuidor de IVANTI o visite el
sitio web de IVANTI:
Temas relacionados
"Como configurar lo que desee rastrear" (646)
"Crear una tarea de rastreo de parches y cumplimiento" (647)
"Usar variables personalizadas y ajustes de reemplazo de variables personalizadas" En la pagina
649 "Ver vulnerabilidades detectadas" (650)
"Security Content Automation Protocol (SCAP)" En la pagina 652
"Reenviar los resultados del rastreo de seguridad al servidor central de resumen" En la pagina 657
Como configurar lo que desee rastrear
Existen dos factores principales que afectan las definiciones que se rastreen:
• El grupo en el que se encuentra la definicion.

• La configuracion del agente.
Grupos de vulnerabilidades
Cuando se descargan nuevas definiciones, se agregan automaticamente al grupo de rastreo. (La

unica excepcion son las definiciones de aplicaciones bloqueadas, que se agregan al grupo Sin
asignar). Cuando se ejecuta una tarea de rastreo de seguridad, esta busca las definiciones en el
grupo de rastreo.
Este grupo tiene varios grupos secundarios para ayudarle a organizar las definiciones que se
rastrean. Algunos de estos grupos secundarios, como el grupo Detectado, se rellenan
automaticamente cuando se detecta una vulnerabilidad. Otros grupos, como Reparacion
automatica (global), se rellenan cuando se llevan definiciones a dichos grupos.
647
Para obtener mas informacion sobre los grupos predeterminados para vulnerabilidades, consulte
"Abrir y utilizar la herramienta de Parches y cumplimiento" (624).
CAUTION: Mover definiciones desde el grupo Rastrear

Cuando se desplazan definiciones desde el grupo Rastrear al grupo No rastrear, la informacion sobre la que los
dispositivos explorados detectaron las definiciones se elimina de la base de datos central y no vuelve a estar
disponible en los cuadros de dialogo Propiedades de la definicion ni en el de Informacion de seguridad y
revisiones del dispositivo.
Cuando se crean ajustes del agente de Distribucion y parches, la pagina de opciones de rastreo le
permite configurar el tipo de definiciones que desee rastrear. De manera predeterminada, la
configuracion del agente busca vulnerabilidades, actualizaciones de IVANTIy definiciones
personalizadas.
Para obtener mas informacion acerca de la configuracion del agente, consulte "Configuracion del
agente: Distribucion y revision" En la pagina 821:"Configuracion del agente: Distribucion y
revision" En la pagina 821.
Despues de descargar las definiciones de seguridad yde configurar lo que desee rastrear, cree una
tarea de rastreo. Para obtener mas informacion, consulte "Crear una tarea de rastreo de parches y
cumplimiento" abajo.
Crear una tarea de rastreo de parches y cumplimiento
El rastreador de seguridad se suele ejecutar como una tarea programada o una polftica
proveniente del servidor central. La tarea programada puede ser un envfo, una directiva o una
tarea de envfo compatible con la directiva.
Para llevar a cabo pruebas para necesidades espedficas, tambien puede ejecutar el rastreador de
seguridad inmediatamente desde la consola o desde el dispositivo que necesite ser rastreado.
Para crear una tarea de rastreo de seguridad

2. Compruebe que el contenido de seguridad se haya actualizado recientemente.
3. Asegurese de que el grupo Rastrear contiene unicamente las definiciones que se
desean rastrear.
4. Haga clic en el boton de la barra de herramientas Crear una tarea y luego haga clic en
Rastreo de seguridad. Aparece el cuadro de dialogo Crear tarea de rastreo de seguridad.
648
GUÍA DE USUARIO
5. Escriba un nombre para el rastreo.

6. Especifique si el rastreo es una polftica o tarea programada, o ambas.
7. Seleccione una de las configuraciones de rastreo y reparacion en la lista disponible (o
cree una configuracion personalizada para este rastreo) para determinar la forma en que el
rastreador opera en los dispositivos de usuario final.
8. Haga clic en Aceptar. Para una tarea de rastreo programada, ahora puede agregar
dispositivos de destinoyconfigurar las opciones de programacion en la herramienta de
Tareas programadas.

Con la herramienta de Parches y cumplimiento tambien puede crear una tarea de rastreo espedfica de cumplimiento,
que revise dispositivos de destino para verificar el cumplimiento con su polftica de seguridad personalizada. El rastreo
de cumplimiento se basa en el contenido del grupo de Cumplimiento (y las opciones especificadas en la configuracion
de cumplimiento), y puede ejecutarse como tarea programada, una polftica, e incluso iniciarse por medio de IVANTI
Antivirus cuando se detecta un virus que no se puede eliminar ni poner en cuarentena.
Para ejecutar un rastreo por demanda desde la consola

1. Haga clic con el boton derecho en el dispositivo seleccionado (o hasta 20 dispositivos
seleccionados al tiempo) y haga clic en Analizar ahora con Parches y cumplimiento.
2. Seleccione una configuracion de rastreo y de reparacion, escoja el tipo de rastreo y luego

haga clic en Aceptar. El rastreo se ejecutara inmediatamente.
649
Usar variables personalizadas y ajustes de reemplazode variables personalizadas
Con variables personalizadas, puede afinar el rastreo de amenazas de seguridad, modificando uno o
mas valores de configuracion para que el rastreador busque las condiciones que haya definido. A
continuacion, el rastreador determinara que un dispositivo es vulnerable solo si se cumple la
condicion, lo que quiere decir que se detecta el valor que ha especificado.
Algunas definiciones de amenaza a la seguridad de la configuracion del sistema tienen valores

variables que pueden cambiar antes de incluirlos en un rastreo de seguridad. Generalmente, las
definiciones de antivirus tambien tienen ajustes con variables personalizadas.
IMPORTANT: Derecho requerido para modificar variables personalizadas

Para modificar los ajustes de las variables personalizadas, el usuario debe tener el derecho de administracion
basado en funciones Modificar variables personalizadas. Los derechos se configuran con la herramienta
Usuarios.
Cada definicion de seguridad con variables que se puedan personalizartiene un conjunto unico de
valores espedficos que pueden modificarse. En cada caso, sin embargo, la pagina Variables
personalizadas mostrara la siguiente informacion comun:
• Nombre: identifica la variable personalizada. No se puede modificar el nombre.
• Valor: indica el valor actual de la variable personalizada. A menos que la variable sea de
solo lectura, puede hacer doble clic en este campo para cambiar el valor.
• Description: provee informacion adicional util del fabricante de la definicion sobre las
variables personalizadas.
• Valor predeterminado: suministra el valor predeterminado si modifico la configuracion y

desea restaurarla a su valor original.
Para cambiar una variable personalizada, haga doble clic en el campo Valory seleccione un valor, si
hay una lista disponible, o modifique manualmente el valory luego haga clic en Aplicar. Observe que
algunas variables son de solo lectura y no se pueden modificar (esto generalmente se indica en la
descripcion).
NOTE: Configuracion de reemplazo de variable personalizada

Es posible que en algunos casos quiera ignorar los ajustes de variables personalizadas, utilizando una funcion
llamada Configuracion de reemplazo de variable personalizada. Puede especificar que el escaner ignore
determinadas variables personalizadas cuando rastree los dispositivos para que no se las detecte como
vulnerables ni se las repare aunque cumplan con las condiciones reales de las reglas de deteccion de una
definicion. El usuario debe tener derecho a Modificar variables personalizadas para crear o modificar esta
configuracion de reemplazo. Puede crear las configuraciones que desee y aplicarlos a los dispositivos con la
tarea Cambiar configuracion. Para obtener mas informacion, ver "Configuracion del agente: Variables
personalizadas para reemplazar" (817).
650
GUÍA DE USUARIO
Ver vulnerabilidades detectadas

Si el rastreador de seguridad detecta alguna de las definiciones seleccionadas en los dispositivos
de destino, esta informacion se transmite al servidor central. Para eliminar los resultados de rastreo
mas recientes del servidor central para un dispositivo, utilice las siguientes instrucciones para ver
las vulnerabilidades por dispositivo y haga clic en Borrar estado de rastreo/reparacion.
Utilice uno de los siguientes metodos para ver las vulnerabilidades detectadas tras la ejecucion del
rastreo:
Segun el grupo Detectadas

En la ventana de herramienta de Parches ycumplimiento, seleccione la carpeta Rastrear >
Detectadas para ver una lista completa de todas las definiciones detectadas por el rastreo mas
reciente.
La columna Rastreado indica el numero de dispositivos explorados; la columna Detectada muestra

el numero de los dispositivos afectados por la definicion.
Tambien puede ver la informacion de cumplimiento por grupo despues de un rastreo de

Cumplimiento, seleccionando el grupo y haciendo clic en el boton Equipos que no cumplen en la
barra de herramientas.
Segun una definicion

Haga clic con el boton derecho en una definicion y luego haga clic en Equipos afectados para ver
una lista de dispositivos en los cuales la definicion fue detectada por el ultimo rastreo.
Por dispositivo
Haga clic con el boton derecho en un dispositivo espedfico en la vista de red, y luego en
Informacion de seguridad y revisiones para ver los resultados del rastreo mas reciente y del estado
de despliegue de revisiones para el dispositivo.
651
Tambien puede seleccionar varios dispositivos en la vista de red, haga clic con el boton derecho en
el grupo y luego haga clic en Information de seguridad y revisiones para ver una lista de
definiciones detectadas en uno o varios de estos dispositivos. Al seleccionar una definicion de la
lista, los dispositivos en los que esta se ha detectado con el ultimo rastreo se muestran en el panel
inferior.
Segun el cuadro de dialogo Rastrear Informacion

En la ventana de la herramienta de parches ycumplimiento, haga clic en el boton de barra de
herramientas Rastrear Informacion para ver la actividad de despliegue de revisiones detallada y el
estado de los dispositivos rastreados en la red. Puede ver los resultados del rastreo de los
dispositivos que no han respondido recientemente, dispositivos sin resultados y dispositivos que
necesitan revisiones por el tipo de importancia seleccionado.
652
GUÍA DE USUARIO
Por grafico o cuadro de mandos

Puede utilizar el editor del cuadro de mandos para personalizar los graficos que se muestran en la
pagina principal de Parches ycumplimiento o en el cuadro de mandos. Algunos de los graficos
disponibles de manera predeterminada muestran las definiciones detectadas por gravedad, las
definiciones que se han detectado mas recientemente y los parches instalados correctamente.
Por archivo de registro del rastreo de seguridad

El escaner de seguridad escribe un archivo de registro para el rastreo mas reciente en el
dispositivo, denominado vulscan.log. Estos archivos de registro guardan informacion util sobre el
horario del rastreo, el idioma, la plataforma y los procesos que el rastreo ejecuto.
Security Content Automation Protocol (SCAP)

El conjunto de especificaciones Security Content Automation Protocol (SCAP) fueron desarrolladas
por el National Institute of Standards and Technology (NIST), organismo publico de los Estados
Unidos, para crear listas de comprobacion de la configuracion del sistema operativo destinadas a la
seguridad. Para obtener mas informacion, consulte http://web.nvd.nist.qov/view/ncp/repository.
Endpoint Manager puede importar la informacion de SCAPdesde muchas fuentes, incluido el NIST,
y a continuacion, utilizarla para analizar dispositivos administrados.
La licencia para operar con SCAP se adquiere por separado. Para obtener mas informacion,
pongase en contacto con el representante comercial de IVANTI.
653
Importacion de las listas de comprobacion de SCAP

Las listas de comprobacion de SCAP consisten en una serie de archivos XML almacenados en un
archivo ZIPo CAB. Las polrticas de las listas de comprobacion validadas por SCAP pueden
descargarse de http://web.nvd.nist.gov/view/ncp/repository. Cuando se importa una lista de
comprobacion SCAP, el nombre del archivo de SCAP se convierte en el nombre del grupo de
vulnerabilidades del Administrador de parches. Cada lista de comprobacion ZIPo CAB de
SCAPdebe contener los archivos siguientes:
• *-cpe-dictionary.xml
• *-cpe-oval.xml
• *-oval.xml
• *-xccdf.xml
Al importarlas por primera vez, compruebe que esta marcada la casilla de verificacion Descargar
explorador de SCAP. Solo es necesario hacerlo una vez. El servidor central reutilizara este
explorador para analizar otras listas de comprobacion.
654
GUÍA DE USUARIO
Para importar datos de SCAP

1. Haga clic en Herramientas > Seguridad y cumplimiento > Parches y cumplimiento.
2. Seleccione Descargar explorador de SCAP si no lo ha hecho anteriormente. Si no esta
seguro, puede continuary seleccionar esta opcion.
3. Haga clic en el boton Importar contenido de SCAP de la barra de herramientas.

4. Busque el archivo ZIPo CAB del paquete de datos de SCAPy seleccione la plataforma
655
compatible con el paquete. No se comprueban los errores de compatibilidad de

plataformas. Asegurese de seleccionar las correctas.
5. La importacion correcta muestra una barra de progreso verde. Una barra de progreso
roja indica que se ha producido un error. Puede ver el archivo de registro de la
importacion mas reciente en: %AppData%\Local\IVANTI\SCAPContent.log.
6. Cuando haya terminado la importacion, cierre el cuadro de dialogo de importacion del

contenido de SCAPy, en el arbol, haga clic en Parches y cumplimiento > Grupos > Grupos
predefinidos > Security Content Automation Protocol. Vera un grupo que coincide con el
nombre del archivo que ha importado.
Analisis de vulnerabilidades de clientes
Cuando se importan datos de las listas de comprobacion de SCAP, la consola crea un grupo para
cada lista de comprobacion yagrega los siguientes tres elementos a ese grupo:
• 1 Instalacion del explorador de SCAP, archivos de comparacion y exploracion de grupos
• 2 Vista de resultados
• 3 Puntuacion general
Los numeros que preceden a cada vulnerabilidad indican el orden en que se deben ejecutar.
La vulnerabilidad 1 Instalacion del explorador de SCAP, archivos de comparacion y exploracion de
grupos contiene tres elementos.
• Instalacion del explorador de SCAP: instala el explorador de vulnerabilidades en el cliente.
• Instalacion del archivo comparativo <nombre archivo de comparacion de SCAP>: instala en

el cliente los archivos ongenes de datos XML de SCAP.
• Explorar el cumplimiento de normativas de <nombre archivo de comparacion de SCAP>:

ejecuta el explorador de SCAPy genera los resultados del cliente, tal como la exploracion
de las definiciones de contenido de SCAP incluidas en el grupo Vista de resultados.
Cuando se exploran clientes en busqueda de vulnerabilidades de la lista de comprobacion de

SCAP, el explorador y los datos de la lista de comprobacion se copian en el cliente. El explorador
se ejecuta y comprueba cada vulnerabilidad de SCAPy guarda el registro de los resultados en
results.xml. Vulscan analiza el archivo results.xml e informa de las vulnerabilidades al servidor
principal. La informacion se almacena en el inventario como informacion sobre vulnerabilidades.
656
GUÍA DE USUARIO
Los tres pasos de 1 Instalacion del explorador de SCAP, archivos de comparacion y exploration de
grupos se pueden ejecutar a la vez. Para ello, haga doble clic en ese elemento del arbol situado en
el panel izquierdo de la ventana y haga clic en Reparar. Si ya ha ejecutado los tres pasos y vuelve a
comprobar que la vulnerabilidad esta corregida, ejecute el paso de exploracion de SCAP de la
comprobacion de vulnerabilidades seleccionando 1 Instalacion del explorador de SCAP, archivos de
comparacion y exploracion de grupos y, en el panel de la derecha, haciendo clic con el boton
derecho en el paso explorar y haciendo clic en Reparar. Puede hacerse de esta forma porque la
tarea original de SCAP para esa lista de comprobacion de vulnerabilidades instalo el explorador y la
lista de comprobacion de SCAP.
Para explorar clientes en busqueda de vulnerabilidades

2. En el arbol Parches y cumplimiento, haga clicen Grupos > Grupos predefinidos > Security
Content Automation Protocol yen una lista de comprobacion de SCAPimportada.
3. Bajo la lista de comprobacion de SCAP, haga clic con el boton derecho en 1 Instalacion del
explorador de SCAP, archivos de comparacion y exploracion de grupos y a continuacion,
haga clic en Reparar.
4. Cambie el nombre de la tarea si es necesario y seleccione Reparar como tarea programada.

Haga clic en Aceptar.
5. En la ventana Tareas programadas, agregue los destinos a la tarea y ejecutela.
Vista de los resultados de vulnerabilidades de SCAP
Cuando la tarea Instalacion del explorador de SCAP, archivos de comparacion y exploracion de

termina de ejecutarse en los dispositivos administrados, se pueden ver los datos de
vulnerabilidades de SCAP, que tienen dos partes: los resultados de vulnerabilidades individuales y
el resultado total.
Para ver los resultados de vulnerabilidades de SCAP

1. Ejecute la tarea Instalacion del explorador de SCAP, archivos de comparacion y exploracion
de grupos en los dispositivos administrados.

3. En el arbol Parches y cumplimiento, haga clic en Parches y cumplimiento > Grupos > Grupos
predefinidos > Security Content Automation Protocol, el grupo de vulnerabilidades de SCAP
importado que desee y a continuacion, haga clic en 2 Vista de resultados o 3 Puntuacion
general.
4. Filtre los resultados con las herramientas de filtrado situadas en la parte superior del panel
de resultados.
Tambien pueden verse los resultados individuales de los dispositivos haciendo clic con el boton
derecho en un dispositivo en Vista de red, a continuacion en Inventario yexpandiendo el elemento
del arbol Parches detectados y definiciones de cumplimiento.
Reenviar los resultados del rastreo de seguridad al servidor central de resumen
657
Si esta trabajando en una gran red corporativa distribuida, podna necesitar reenviar los resultados
del rastreo de seguridad mas reciente a un servidor central de resumenes ubicado en una region
espedfica. Al hace esto, se facilita el acceso a la informacion de vulnerabilidades en tiempo real
para todos los dispositivos administrados. Puede habilitar el reenvfo automatico de los resultados
del rastreo de seguridad definiendo la configuracion del servidor central de resumen en la
herramienta de Parches ycumplimiento.
Cada vez que el rastreador de seguridad se ejecuta, este escribe un archivo con los resultados del
rastreo en una carpeta denominada VulscanResults en el servidor central yavisa al servicio web de
IVANTI Security Suite, el cual agrega el archivo a la base de datos central. Si la configuracion del
servidor central de resumen esta habilitada y se identifica un servidor de resumen valido, este lee el
archivo de resultados del rastreo en su propia base de datos y proporciona un acceso mas rapido a
la informacion de vulnerabilidades crfticas.
Para habilitar el reenvfo inmediato de los resultados del rastreo de seguridad a un servidor central
de resumen
1. En la ventana de la herramienta de Parches y cumplimiento, haga clic en el boton Configurar
ajustes de la barra de herramientas y luego en Configuracion del servidor central.
2. Marque la casilla de verificacion Enviar inmediatamente los resultados al servidor central de

resumen.
3. Si desea utilizar la direccion URL predeterminada, ubicacion del servidor central de

resumen, como la ubicacion para la escritura del archivo con los resultados del rastreo,
selecciones la casilla de verificacion Utilizar la URL del servidor central de resumen. En caso
contrario, proporcione la URL del servidor central de resumen de destino.
Revision de dispositivos con vulnerabilidades

Despues de realizar un rastreo y de descubrir las vulnerabilidades que existen en su entorno, utilice
una tarea de reparacion para revisar los dispositivos. Una tarea de reparacion puede ser un envfo,
una directiva o un envfo compatible con una directiva.
Parches ycumplimiento solo instala los parches de las vulnerabilidades detectadas en cada
dispositivo. Si no se detecta la vulnerabilidad, el parche no se instalara aunque se incluya en la
tarea de reparacion.
Por norma general, las vulnerabilidades, definiciones personalizadas, actualizaciones de software

de IVANTI y las aplicaciones bloqueadas se reparan desde la consola con una tarea de reparacion.
Para llevar a cabo la reparacion en el momento de la deteccion en lugar de utilizar una tarea
separada, utilice la funcion de Reparacion automatica. Para obtener mas informacion sobre la
Reparacion automatica, consulte "Como usar la Reparacion automatica" En la pagina 660.
Para obtener informacion sobre lo que sucede en un dispositivo durante la revision, consulte "^Que
sucede en un dispositivo durante la reparacion?" En la pagina 662.
Para crear una tarea de reparacion
658
GUÍA DE USUARIO

2. Para reparar una sola definicion a la vez, haga clic con el boton derecho en la definicion y, a
continuacion, seleccione Reparar.
-O-
Para reparar una serie de definiciones juntas, cree un grupo que contenga las definiciones,
haga clic con el boton derecho sobre el grupo y haga clic en Reparar. Tambien puede
seleccionar las definiciones y hacer clic en Crear una tarea > Reparar.
659
3. Configure el tipo de tarea, los objetivos, la hora de inicio y otras opciones. Para obtener
informacion sobre las opciones generales de tareas programadas, consulte "Programar
una tarea" En la pagina 249.
4. Para ver o editar las definiciones que se incluyan en la tarea, haga clic en Definiciones.
660
GUÍA DE USUARIO
• Para eliminar una definicion de la tarea, haga clic sobre ella con el boton derecho y
seleccione Eliminar.
• Si las definiciones de la lista tienen requisitos previos, lo que significa que los parches
se deben instalar antes, puede agregar las definiciones de requisitos previos de la
tarea haciendo clic sobre Agregar requisitos previos.
• Si las definiciones de la lista tienen dependientes, lo que significa que los parches de
la tarea se deben instalar antes de que se puedan instalar otros parches, puede
agregar las definiciones dependientes de la tarea haciendo clic sobre Agregar
dependientes.
5. Para ver o descargar los parches asociados a la tarea, haga clic en Lista de parches. Para
cambiar un parche, para que utilice multidifusion, seleccione el parche y haga clic sobre el
boton Multidifusion. Elimine la multidifusion seleccionando el parche y haciendo clic en No
aplicar multidifusion.

La tarea aparece en la ventana de tareas programadas con el nombre de la tarea
especificado en la parte superior, donde puede personalizar aun mas la lista de
dispositivos de destino y configurar las opciones de programacion.
Como usar la Reparacion automatica
La Reparacion automatica le permite llevar a cabo soluciones durante el rastreo de deteccion,

cuando se detecten las vulnerabilidades. No es necesario crear una tarea distinta para la solucion.
Si una revision requiere reinicio, el dispositivo de destino siempre se reinicia automaticamente. De
manera predeterminada, si el agente intenta reparar automaticamente un parche pero falla, el
agente no vuelve a intentar ejecutarse.
La Reparacion automatica se suele utilizar despues de probar bien un parche y de que el

administrador este seguro de que no afectara negativamente a los usuarios. La funcion esta
disponible para vulnerabilidades, spyware, actualizaciones de software de IVANTIy definiciones
personalizadas.
La Reparacion automatica debe estar habilitado en la configuracion del agente yconfigurado para
cada definicion. Cuando se crea una tarea para descargar definiciones, puede utilizar un filtro para
activar Reparacion automatica cuando se descargue una definicion.
IMPORTANT: Requisitos para el uso de la Reparacion automatica

Unicamente los administradores o usuarios que dispongan de derechos del Administrador de parches y del
Ambito predeterminado de Todos los equipos podran activar esta funcion.
661
El agente de Windows, el agente del servidor de Windows y el agente de Windows Embedded

Standard tienen una opcion en la configuracion del agente que reemplaza los ajustes del agente. De
manera predeterminada, los agentes del servidor de Windows se ajustan para No repararse
automaticamente nunca. Si la reparacion automatica no funciona cuando lo espera, investigue si la
opcion No repararse automaticamente nunca esta activada en Configuracion de agente > Agente de
IVANTI standard.
Para activar la reparacion automatica en las opciones del agente

2. Seleccione una configuracion existente del agente de Distribucion y parches o haga clic con
el boton derecho sobre Distribucion y parches del arbol y seleccione Nuevo.
3. Seleccione Configuracion solo de revision > Opciones de exploration.

4. Active la opcion Activar la reparacion automatica en la parte inferior de la pagina.
Para habilitar la reparacion automatica para una definicion
2. Arrastre una definicion descargada a una de las carpetas Rastrear > Reparacion automatica
de la vista de arbol, o haga clic con el boton derecho y seleccione Reparacion automatica.
Para habilitar automaticamente la Reparacion automatica para definiciones cuando se descargan.

2. En la barra de herramientas, haga clic Descargar actualizaciones.
3. Seleccione las definiciones que desee usar la reparacion automatica.
4. Haga clic en el boton de Configuracion de la descarga de definiciones en la barra de
herramientas Actualizaciones.
5. En el dialogo Configuracion de descarga de definiciones, haga clic en Nuevo.

6. En el dialogo de Propiedades de filtros de definiciones, haga clic en la pestana de Reparar
automaticamente.
7. Active la opcion Asignar reparacion automatica.

8. Configure los otros ajustes de descarga y guarde los cambios.
Para configurar el numero de reintentos de reparacion automatica
2. En la barra de herramientas, haga clic en Configurar ajustes > Configuracion del servidor
central.
3. En la seccion de recuento de reintentos de reparacion automatica, especifique el numero de

intentos de Reparacion automatica o permita que el agente lo intente indefinidamente.
662
GUÍA DE USUARIO
^Que sucede en un dispositivo durante la reparacion?

Una tarea de reparacion puede incluir la reparacion de una o varias definiciones de seguridad
detectadas. Asimismo, una sola definicion detectada puede requerir la instalacion de una o varias
revisiones para reparar.
Casi todos los archivos de revision se instalan sin notificacion, sin que sea necesaria la
interaccion con el usuario en el propio dispositivo. Algunas revisiones de Windows 9.xy de
idiomas distintos al ingles no se instalan de este modo. Se puede indicar si una revision se instala
sin notificacion o no activando la columna Instalacion en segundo plano en los detalles de la
definicion.
Sin embargo, aunque un archivo de revision se pueda instalar sin notificacion o no, puede
configurar la cantidad de rastreo de seguridad que se desee mostrary solicitar entrada por parte del
usuario final del dispositivo con la funcion de configuracion de rastreo y reparacion.
Si la instalacion de un archivo de revision requiere el reinicio y los ajustes para que la tarea
permita un reinicio, Parches ycumplimiento instalara primero todos los parches de la tarea del
dispositivo y luego lo reiniciara de una vez.
Informacion general sobre las definiciones de seguridad personalizadas

Ademas de las vulnerabilidades conocidas que se actualizan mediante el servicio de la herramienta
de Parches ycumplimiento, puede crear definiciones personalizadas, definidas por el usuario, junto
con reglas de deteccion personalizadas, archivos de revision asociados y comandos adicionales
particulares que garanticen la reparacion satisfactoria.
Las definiciones de vulnerabilidad consisten del ID unico, el tftulo, la fecha de publicacion, el idioma
y otra informacion de identificacion, al igual que las reglas de deteccion que indican al rastreador de
seguridad lo que debe buscar en los dispositivos de destino. Las reglas de deteccion definen las
condiciones espedficas de plataforma, aplicacion, archivo o registro que el rastreador de seguridad
comprueba a fin de detectar una vulnerabilidad en los clientes rastreados (o practicamente cualquier
condicion o estado del sistema).
Puede utilizar definiciones de vulnerabilidad personalizadas para implementar un nivel propietario

adicional de seguridad de parches en el sistema de IVANTI. Ademas de mejorar la seguridad de las
revisiones, las vulnerabilidades personalizadas pueden utilizarse para evaluar las configuraciones
del sistema, revisar que existan los archivos especficos y las configuraciones de registro e
implementar actualizaciones de aplicaciones para aprovechar las capacidades de rastreo del
rastreador de vulnerabilidades.
NOTE: Creadon de definiciones personalizadas de aplicaciones bloqueadas

Tambien puede crear sus propias definiciones para el tipo de aplicacion bloqueada. En la lista desplegable Tipo,
seleccione Aplicaciones bloqueadas Haga clic en el boton Nueva aplicacion bloqueada de la barra de
herramientas. Introduzca un nombre de archivo ejecutable y un tftulo descriptivo para la definicion y haga clic en
Aceptar.
663
Las definiciones personalizadas no tienen necesariamente que realizar acciones de reparacion de

despliegue e instalacion de archivos de revision. Si la definicion personalizada se define mediante
una regla de deteccion de Solo detectar o de reglas que unicamente pueden detectarse mediante
Parches y cumplimiento, el rastreador de seguridad observa en los dispositivos de destino y
simplemente informa a los dispositivos si se encuentra presente la condicion indicada por la regla
(por ejemplo, vulnerabilidad). Por ejemplo, puede escribir una regla personalizada de Solo detectar
para que el rastreador de seguridad revise los dispositivos administrados en busca de elementos
como:
• Existencia de aplicaciones
• Existencia de archivos
• Ubicacion de archivos
• Configuracion del registro

Para obtener informacion sobre como crear o importaryexportar definiciones de seguridad, consulte
las siguientes secciones:
• "Crear definiciones de seguridad personalizadas" abajo
• "Importary exportar definiciones personalizadas" En la pagina 669

Crear definiciones de seguridad personalizadas
Si ya no necesita una definicion personalizada, puede eliminarla. La eliminacion de una definicion
personalizada borra toda su informacion y sus reglas de deteccion asociadas de la base de datos
central y de la ventana de la herramienta de Parches y cumplimiento. (La exportacion no elimina la
informacion de definicion).
De forma similar que el borrado de la informacion de vulnerabilidad, la eliminacion de definiciones

personalizadas no elimina ningun archivo de revision asociado descargado. Los archivos de
revision deben eliminarse de forma manual de la ubicacion donde se guarda la revision.
Para eliminar definiciones personalizadas, seleccione una o mas definiciones y haga clic en el boton
de la barra de herramientas Eliminar las definiciones personalizadas seleccionadas.
Para crear definiciones personalizadas

2. En la lista Tipo, seleccione Todos los tipos o Definiciones personalizadas. (Si desea crear
una definicion personalizada de aplicacion bloqueada, recuerde que el boton de la barra de
herramientas Crear definicion personalizada solo esta disponible con uno de estos dos tipos
de archivos seleccionados, o con el tipo seleccionado en Aplicaciones bloqueadas).
3. Haga clic en el boton de la barra de herramientas Crear definition personalizada. Se abre una
664
GUÍA DE USUARIO
version que se puede modificar del cuadro de dialogo Propiedades, el cual le permite
configurar las opciones de vulnerabilidad.
4. Introduzca un ID y un Tftulo exclusivos para la vulnerabilidad. (Puede modificarse el codigo

de ID generado por el sistema.)
5. El Tipo es una Definicion personalizada y no puede modificarse.

6. Especifique una Fecha de publicacion.
7. Introduzca un tftulo descriptivo para la vulnerabilidad. El tftulo se muestra en las listas de
vulnerabilidad.
8. Especifique el nivel de Gravedad publicada. Las opciones disponibles se incluyen:

Desconocida, Service Pack, Crftica, Alta, Media, Baja y No aplica. Tambien puede
sobrescribir el nivel de gravedad publicada si la evaluacion de riesgo es diferente.
9. Especifique el Estado de la vulnerabilidad. Cuando especifica un estado, la vulnerabilidad se
coloca en el grupo correspondiente en la vista de arbol (consulte " Todos los elementos
665
(definiciones en la vista del arbol)" (627)).
10. La configuracion del idioma de las vulnerabilidades definidas por el usuario se define
automaticamente en INTL (Internacional o Idioma neutral, lo cual significa que la
vulnerabilidad se puede aplicar a cualquier idioma del sistema operativo o aplicacion).
11. La lista Reglas de deteccion muestra todas las reglas utilizadas por la vulnerabilidad. Si va a
crear una vulnerabilidad personalizada nueva, configure al menos una regla de deteccion que
el rastreador de seguridad utilizara para rastrear los dispositivos en busca de la
vulnerabilidad. Para agregar reglas de deteccion, haga clic en Agregar. (Consulte el
procedimiento siguiente para obtener instrucciones detalladas.)
12. Si desea suministrar informacion adicional sobre esta vulnerabilidad, haga clic en
Description y escriba los comentarios en el cuadro de texto y/o escriba una direccion web
valida donde se encontrara mayor informacion.
13. Si desea incluir prerrequisitos en esta definicion de vulnerabilidad personalizada (y ver

cualquier otra definicion que dependa de esta vulnerabilidad), haga clic en Dependences y
configure las definiciones de prerrequisitos.
14. Si desea crear o modificar sus propias variables personalizadas para esta definicion de
vulnerabilidad personalizada, haga clic en la pestana de Variables personalizadas y configure
las variables personalizadas.
15. Cuando termine de especificar los atributos para la vulnerabilidad personalizada, haga clic
en
Aceptar.
Como sucede con las vulnerabilidades del proveedor, las vulnerabilidades personalizadas deben
incluir una o mas reglas de deteccion que indiquen al rastreador de seguridad las condiciones que
debe buscar cuando rastree los dispositivos administrados. Realice los pasos siguientes para crear
una regla de deteccion para una vulnerabilidad personalizada.
Puede hacer lo mismo con una definicion de vulnerabilidad personalizada que con una
vulnerabilidad conocida de otra fuente de la industria. Puede definir el estado de la vulnerabilidad en
Rastrear o colocarla en el grupo Rastrear para incluirla en el proximo rastreo de seguridad, colocarla
en el grupo No rastrear o No asignadas, ver los equipos afectados, activar la Reparacion automatica,
crear una tarea de reparacion o borrar el estado del rastreo o la reparacion. Para elegir una opcion,
haga clic con el boton derecho en una definicion de vulnerabilidad personalizada para abrir el menu
de acceso directo.
Para crear reglas personalizadas de deteccion
1. Haga clic con el boton derecho en una definicion personalizada y haga clicen Propiedades.
(O haga doble clic en la definicion de vulnerabilidad).
2. Haga clic en el boton Agregar ubicado debajo de la lista Reglas de deteccion. En el cuadro
de dialogo Pagina de informacion general se abre una version del cuadro de dialogo
Propiedades de regla, el cual le permite configurar una regla de deteccion.
666
GUÍA DE USUARIO
3. En la pagina de Informacion general de reglas, introduzca un nombre unico para la regla. El

estado de la regla no se puede modificar aqm. Para cambiar el estado de la regla de
deteccion, haga clic con el boton derecho en cualquier vista de lista y haga clic en Activar
o Desactivar, segun el estado actual. La informacion de definicion de la regla tampoco se
puede modificar aqm. Sin embargo, puede introducir cualquier informacion que desee en
el cuadro de Comentarios.
4. Utilice las diversas paginas del cuadro de dialogo Propiedades de regla para definir la regla de
deteccion, como se describe en el resto de este procedimiento.
5. Abra las paginas de Logicas de deteccion.

6. En la pagina de Plataformas afectadas, seleccione las plataformas en las que desee se ejecute el
rastreador de seguridad para revisar la definicion de esta regla de deteccion. La lista de
plataformas disponibles es determinada por las vulnerabilidades que actualizo mediante la
herramienta de Parches ycumplimiento. Haga clic en Cargar lista de plataformas
predeterminadas para agregar las plataformas disponibles a la lista. Debe seleccionar al menos
una plataforma.
667
7. En la pagina de Productos afectados, asocie la regla con una o mas aplicaciones de

software espedficas. Primero haga clic en Configurar para abrir el cuadro dialogo de
Productos afectados y seleccionados, en el cual se pueden agregar y eliminar productos de
la lista de Productos afectados (esta lista puede acortarse, si se desea, haciendo clic en la
casilla de verificacion en la parte inferior del cuadro de dialogo). La lista de productos
disponibles esta determinada por el contenido que se actualizo. No necesita tener un
producto asociado a las reglas de deteccion. Los productos asociados actuan como filtros
durante el proceso de rastreo de seguridad. Si el producto asociado especificado se
encuentra en el dispositivo, el rastreo se interrumpe. No obstante, si se encuentra el
producto o no se especifican productos, el rastreo continua con la verificacion de archivos.
8. En la pagina Filtro de consulta, tiene la opcion de especificar una consulta que incluya solo
los dispositivos sobre los que desea obtener resultados con la regla de deteccion
personalizada.
9. En la pagina Archivos, configure las condiciones especficas de archivos que desee que la
regla rastree. Haga clic en Agregar para habilitar la edicion de los campos de esta pagina. El
primer paso de la configuracion de una condicion de archivo es especificar el metodo de
verificacion. Los campos de la pagina dependen del metodo de verificacion que selecciona.
Para guardar una condicion de archivo, haga clic en Actualizar. Podra introducirtantas
condiciones de archivo como desee. Para obtener una descripcion detallada de esta
opcion, consulte "Acerca de la Logica de deteccion: Pagina Archivos utilizados para
deteccion" (694).
10. En la pagina Configuracion de registro, configure las condiciones especficas de registro
que desee que la regla rastree. Haga clic en Agregar para habilitar la edicion de los campos.
Para guardar una condicion de registro, haga clic en Actualizar. Podra introducirtantas
condiciones de registro como desee. Para obtener una descripcion detallada de esta
opcion, consulte "Acerca de la Logica de deteccion: Configuracion del registro usado para
la pagina de deteccion" (695).
11. En la pagina Secuencia de comandos personalizada, puede crear una secuencia en Virtual
Basic para ayudar en la deteccion de esta regla de deteccion. Una secuencia de comandos
puede acceder a las siguientes propiedades de tiempo de ejecucion del rastreador de
seguridad para informar de los resultados: Detectadas, Razones, Esperadas y Encontradas.
NOTE: Utilice el boton Utilizar editor para abrir la herramienta predeterminada de edicion de secuencias
de comandos asociada con este tipo de archivo. Al cerrar la herramienta, se le indicara que debe guardar
los cambios en la pagina Secuencia de comandos. Si desea utilizar otra herramienta debe cambiar la
asociacion del tipo de archivo.
12. En la pagina Information de revisiones, especifique si la vulnerabilidad asociada con esta

regla de deteccion puede repararse o solo detectarse en sus dispositivos administrados. Si
selecciona la opcion de reparacion, los campos de la Informacion de descarga de la
revision y de la Informacion de la reparacion se pueden modificar.
668
GUÍA DE USUARIO
13. Si puede reparar por medio de la implementacion de una revision, introduzca la URL del
archivo de revision y especifique si puede descargarse de forma automatica. (Para intentar la
descarga del archivo de revision asociado en este momento, haga clic en Descargar o bien, lo
puede descargar posteriormente).
14. Tambien, si puede reparar la implementacion de una revision, introduzca un nombre de

archivo unicoy especifique si la revision necesita reiniciar para completar la reparacion ysi la
revision requiere que el usuario introduzca algo durante la reparacion. (Para una regla de
deteccion que incluya la reparacion, recomendamos enfaticamente que cree un hash para el
archivo de revision. Para ello, haga clic en Generar MD5 Hash. Debe descargarse el archivo
de revision antes de crear un hash. Para obtener mas informacion sobre hash, consulte
"Acerca de la Regla de deteccion: Pagina de informacion general" (693).)
15. Para una regla que permita la reparacion, puede configurar los comandos adicionales que se
ejecutan durante el proceso de reparacion en los dispositivos afectados. Para configurar
comandos adicionales, haga clic en la pagina Comandos de instalacion de revisiones y luego
en Agregar para seleccionar un tipo de comando y hacer que se puedan modificar los campos
de argumento del comando. NO se necesitan comandos adicionales de instalacion de
revisiones.
Si no configura ningun comando particular, el archivo de revision se ejecuta normalmente.
Para obtener una descripcion detallada de esta opcion, consulte "Acerca de la pagina
Comandos de instalacion de parches" (699).
Para crear una definicion de producto bloqueado

2. En la lista Tipo, seleccione Aplicaciones bloqueadas
3. Haga clic en el boton de la barra de herramientas Crear definicion personalizada. Se abre una
version que se puede modificar del cuadro de dialogo Propiedades, el cual le permite
configurar los ajustes.
4. Proporcione el Nombre de archivo para la aplicacion que va a bloquear. El rastreador de

seguridad comprobara el encabezado del archivo, de manera que aunque se haya modificado
el nombre del archivo en el dispositivo administrado, la aplicacion estara bloqueada.
5. Escriba un Tftulo y la informacion de Resumen para la definicion. Estos campos son para su
uso en la organizacion de definiciones.
6. Para poner la definicion en una Categona, seleccione una categona existente de la lista
desplegable o escriba una nueva categona en el campo.
7. Si asf lo desea, especifique una version determinada o un intervalo de versiones de la

aplicacion determinados que desee bloquear. Esta opcion solo esta disponible para
dispositivos que utilicen un sistema operativo de Windows. Se ignora cuando la definicion se
aplica en un Mac.
8. Seleccione Plataformas afectadas para limitar el numero de dispositivos que rastrean en

busca de la definicion.
669
9. Haga clic en la pestana Bloquear estado para ajustar el estado para la definicion. Por defecto,
la definicion es Bloquear (global).
670
GUÍA DE USUARIO
NOTE: Para cambiar el estado despues de crear la definicion, arrastre la definicion desde la carpeta actual hasta
la nueva carpeta del arbol de aplicaciones bloqueadas.

Importar y exportar definiciones personalizadas
La herramienta de Parches ycumplimiento brinda un modo para la importacion y exportacion de
definiciones personalizadas ysus reglas de deteccion. La importacion y exportacion resulta util si
desea compartir definiciones personalizadas con otros servidores centrales. La exportacion hace
posible que guarde una copia de seguridad de una definicion que desee eliminartemporalmente de la
Las definiciones personalizadas se exportan e importan como archivos en formato XML. No podra
importar ni exportar definiciones de vulnerabilidades conocidas del sector.
Tambien puede utilizar la caractenstica de exportacion e importacion para exportar una definicion,
modificar manualmente el archivo exportado como plantilla y guardar distintas variaciones de la
definicion para luego importar las nuevas definiciones de vulnerabilidad. Si la definicion es
compleja, este procedimiento puede ser mas rapido y facil que la creacion de varias definiciones en
la consola.
NOTE: Restauracion de definiciones personalizadas exportadas

Si elimina una definicion de vulnerabilidad personalizada que se ha exportado anteriormente como archivo
XML, puede restaurar esa definicion importandola de regreso a la base de datos a traves de la
herramienta de Parches y cumplimiento.
Para exportar definiciones personalizadas

1. Desde una lista de Definiciones personalizadas, seleccione una o mas definiciones
personalizadas.
2. Haga clic en el boton de la barra de herramientas Exportar. (O bien, haga clic con el boton
derecho en las definiciones seleccionadas y luego en Exportar).
3. Escriba la ruta a la carpeta en la que desea exportar las definiciones como archivo XML
individual.

Para importar definiciones personalizadas
1. En Parches ycumplimiento, haga clic en el boton de la barra de herramientas Importar
definiciones personalizadas.
2. Ubique y seleccione una o mas definiciones (en el archivo XML que desee importar) y haga
clic en Abrir. Si la definicion ya existe en la base de datos central, se le solicitara que
confirme si desea sobrescribirla. Consulte la ventana de estado para ver si la definicion se
importo satisfactoriamente.
671
Otras tareas de parches y cumplimiento

Consulte las siguientes secciones para obtener mas informacion acerca de los informes y las alertas
de parches y cumplimiento.
• "Ver la informacion sobre parches y cumplimiento de los dispositivos rastreados" (670)
• "Uso de la reputacion de archivos para restringir aplicaciones" (671)
• "Crear una tarea de reinicio programada" (676)
• "Utilizar la lmea de comandos del rastreador de seguridad" (676)
• "Configurar las alertas de Parches y cumplimiento" (680)
• "Generar informes de Parches y cumplimiento" (681)

Ver la informacion sobre parches y cumplimiento de los dispositivos rastreados
Una forma de ver la informacion del rastreo de seguridad es por dispositivo. Para hacer esto, haga
doble clic en un solo dispositivo o grupo de dispositivos seleccionados, y luego en Informacion de
seguridad y revisiones.
Esta pagina presenta muchas funciones utiles. Al seleccionar uno o mas dispositivos, podra:
• Ver una lista de definiciones detectadas
• Ver informacion detallada sobre cuando y como ocurrio la deteccion
• Ver listas de actualizaciones de software y revisiones instaladas
• Ver informacion detallada sobre cuando se instalo o desinstalo la revision
• Borrar el estado de instalacion de la revision
• Ver o borrar la informacion del historial reparacion

Tambien puede hacer clic en el boton derecho en las definiciones y reglas de deteccion en sus
respectivas listas de elementos para ejecutar tareas comunes para uno o mas dispositivos
afectados.
Ver las fechas de los rastreos de seguridad mas recientes en el inventario de dispositivos
Para ver cuando se ejecuto el ultimo rastreo en un dispositivo, haga clic con el boton derecho en
dicho dispositivo, seleccione Inventario y, a continuacion, desplacese hasta las distintas Fechas de
ultimo rastreo en el panel de la derecha de la vista del inventario.
verificacion del estado de reparacion
Tras realizar la reparacion en los dispositivos afectados, Parches y cumplimiento responde acerca
del estado de cada instalacion de revision. Puede comprobar el estado de la instalacion de revision
por vulnerabilidad/definicion o por dispositivo destino.
Para verificar la instalacion de una revision en un dispositivo
672
GUÍA DE USUARIO
1. Ejecute el rastreador de seguridad en el dispositivo.

2. Haga clic con el boton derecho en el dispositivo reparado en la vista de red y, a
continuacion, haga clic en Information de seguridad y revisiones.
3. Haga clic en el objeto Limpiar/Reparar historial en el panel a la izquierda.

El campo Accion realizada correctamente indica si la instalacion se realizo correctamente. Entre los
posibles estados se incluyen: Correcto, Error y Error en la descarga.
Borrar el estado de rastreo o reparacion de vulnerabilidades segun la vulnerabilidad

Si se produjo un error durante la instalacion de la revision, antes de intentar la reinstalacion debe
borrar la informacion del estado de la instalacion. Puede borrar el estado de la instalacion
(reparacion) del dispositivo seleccionado haciendo clic en Borrar en el cuadro de dialogo
Informacion de seguridad y revisiones. Tambien puede borrar el estado de la instalacion de la
revision por vulnerabilidad.
Puede borrar la informacion de estado de rastreo o reparacion de todos los dispositivos afectados
por la vulnerabilidad mediante el dialogo Borrar estado de rastreo/reparacion. Como se explica
anteriormente, si se ha producido un error en la instalacion de la revision, el estado de la instalacion
(o reparacion) se debe borrar antes de intentar instalar de nuevo la revision.
Tambien puede utilizar este dialogo para eliminar la informacion de rastreo de vulnerabilidad de la
base de datos correspondiente a una o mas vulnerabilidades.
Para borrar el estado de rastreo o reparacion de la vulnerabilidad

1. Haga clic con el boton derecho en la vulnerabilidad, y luego seleccione Borrar estado de
rastreo/reparacion.
2. Seleccione las opciones deseadas.

3. Haga clic en Borrar.
Uso de la reputacion de archivos para restringir aplicaciones
En la seguridad y el cumplimiento de normativas, la funcion de reputacion de archivos ayuda a
garantizar que los archivos del sistema de archivos de los dispositivos no sean software
malintencionadoy que no se hayan manipulado. Si bien la proteccion por control del
comportamiento de las aplicaciones puede ayudar a proteger los dispositivos administrados,
pueden producirse falsos positivos en las aplicaciones legftimas en funcion de lo que estas hagan.
La reputacion de archivos da la opcion de crear perfiles individuales de control del comportamiento
de las aplicaciones para archivos con buena reputacion conocida que omitan este control.
De forma predeterminada, la reputacion de archivos esta deshabilitada. Si habilita esta funcion, la

informacion anonima de la reputacion de los archivos de los dispositivos administrados se enviara
de forma segura al servidor de reputacion de archivos en la nube de IVANTI, lo que mejora la
precision y la cobertura de la reputacion de archivos para todos los usuarios de esta funcion.
Si habilita la reputacion de archivos, cada vez que el dispositivo ejecute una aplicacion, el agente
comprobara la base de datos local para ver si los archivos de aplicacion coinciden con los hash
buenos conocidos. Si no hay coincidences, el agente envfa al servidor principal una solicitud con
673
datos acerca de esos archivos. El servidor principal comprueba su base de datos para ver si hay
informacion sobre la reputacion de esos archivos. Si no hay, el servidor principal envfa una solicitud
al servidor de reputacion de archivos en la nube de IVANTI. Si los hash del archivo coinciden con los
resultados de este servidor, este devuelve la informacion sobre la reputacion de los archivos al
servidor principal yal cliente.
El sistema de reputacion de archivos utiliza la base de datos de informacion sobre archivos alojada
en la nube de IVANTI que contiene los hash de nombres, tamanos, metadatos y SHA-1. La base de
datos de reputacion de archivos esta poblada, mayormente, con datos de la National Software
Reference Library (NSRL). Para obtener mas informacion, visite su sitio web:
http://www.nsrl.nist.gov/new.html.
Los archivos pueden tener una de estas tres reputaciones:

• Buena: el archivo coincide con una entrada de la base de datos de la NSRL o IVANTI ha
reunido suficiente informacion para pensar que el archivo es seguro.
• Mala: el archivo no coincide con ninguna entrada de la base de datos de la NSRLo IVANTI ha
reunido suficiente informacion para pensar que el archivo no es seguro.
• Sin determinar: no hay coincidencias con el archivo o no hay suficientes coincidencias para
decidir si su reputacion es buena o mala.
Entre otros factores, el algoritmo de reputacion de archivos tiene en cuenta la frecuencia con la que
ser repiten las coincidencias de archivos y la antiguedad de esas coincidencias, asf como quien
firmo los archivos y con que frecuencia las repeticiones aparecen en las listas blancas o estan
bloqueadas en Endpoint Manager.
Para utilizar el seguimiento de la reputacion de archivos en los dispositivos administrados, es

necesario dar los siguientes pasos.
1. Descargar las actualizaciones de IVANTI para la reputacion de archivos

2. Cree una configuracion de agente de control de aplicaciones que utilice la reputacion de
archivos.
-O-
Incluir las definiciones de reputacion como parte de la lista de archivos de la aplicacion
3. Desplegar los ajustes en los dispositivos administrados
Para descargar las actualizaciones de IVANTI para la reputacion de archivos

2. Haga clic en el boton Descargar actualizaciones de la barra de herramientas.
3. En la lista Tipos de definiciones, haga clic en Actualizaciones de la reputation de archivos de
IVANTI.
4. En el cuadro de dialogo de confirmacion, lea las condiciones de uso de la reputacion de

archivos. Si esta de acuerdo, haga clic en Acepto. Si hace clic en No acepto, la casilla de
674
GUÍA DE USUARIO
verificacion Actualizaciones de la reputacion de archivos de IVANTI se desactivara.
5. Haga clic en el boton Descargar ahora o Aplicar.
Para utilizar la reputacion de archivos con Control de aplicaciones

1. Haga clic en Herramientas > Seguridad y cumplimiento > Configuration de agentes.
2. En el arbol, en Configuracion de agentes > Configuracion de mi agente > Endpoint Security,

haga clic con el boton derecho en Control de aplicaciones, y haga clic en Nuevo o haga doble
clic en una configuracion existente.
3. En la pagina Ajustes generales, seleccione Tratar archivos con buena reputacion como si
estuvieran en la lista de archivos de confianza asociada.
4. Haga clic en el boton Comportamiento de aplicacion con buena reputacion.
5. Configure el comportamiento de Control de aplicacionesydel firewall de IVANTIque

desee utilizar para los archivos con buena reputacion.
6. Hagaclicen Aceptaryen Guardar.
Para utilizar la reputacion de archivos con una lista de archivos de aplicaciones

1. Haga clic en Herramientas > Seguridad y cumplimiento > Configuracion de agentes.
2. En el arbol, en Configuracion de agentes > Configuracion de mi agente > Seguridad >

Endpoint Security, haga clic con el boton derecho en Lista de archivos de aplicaciones, y
haga clic en Nuevo o haga doble clic en una lista existente.
3. Active las opciones de la parte superior del cuadro de dialogo para que Incluyan
automaticamente los archivos de "buena reputacion" cuando envie la lista a los clientes o
Incluir automaticamente los archivos de "mala reputacion" cuando envê la lista a los
clientes.
4. Si incluye los archivos de buena reputacion, haga clic en el boton de comportamiento de la

aplicacion permitida para configurar el Control de aplicaciones y los comportamientos de
IVANTI firewall que desee para los archivos con buena reputacion.
Para agregar archivos a una lista de archivos de aplicaciones

2. Haga clic en el boton de la barra de herramientas Configurar valores y a continuacion, haga

clic en Reputaciones de archivos.
3. Haga doble clic sobre la lista de archivos de aplicaciones que desee modificar o cree una
nueva.
4. En la barra de herramientas Lista de archivos de aplicaciones haga clic en y en Agregar
archivo buscandolo o Agregar archivo bloqueado introduciendo un nombre.
5. Segun la opcion que escoja, busque el archivo que deseey haga clic en Guardar o introduzca
675
los detalles del archivo manualmente y haga clic en Aceptar.
Para desplegar la configuracion del agente de reputacion de archivos en los dispositivos

administrados
1. En la ventana Configuracion de agentes, haga clic en el boton de la barra de herramientas
Crear tarea y a continuacion, haga clic en Cambiar configuracion.
2. Seleccione una tarea programada o una polftica de acuerdo con sus preferencias para el tipo
de tarea de cambio de configuracion.
3. En la lista de configuraciones al lado de Seguridad de terminales, seleccione la configuracion

de seguridad de terminales que utiliza la configuracion de control de aplicaciones que ha
guardado.
4. Haga clic en Aceptary termine de configurar la tarea en la ventana Tareas programadas.
Para reemplazar las reputaciones de archivos existentes

2. Haga clic en el boton de la barra de herramientas Configurar valores y a continuacion, haga

clic en Reputaciones de archivos. Para ordenar la lista de archivos, utilice las casillas de la
parte superior de la pagina y haga clic en Aplicar filtro.
3. Seleccione los archivos cuya reputacion desee modificar y haga clic en el boton Reemplazar
reputacion.
4. Asegurese de que Configuracion de reemplazo de la reputacion de IVANTI esta marcado y

seleccione la Reputacion deseada.
Para importar desde otras listas de archivos de aplicaciones


3- En la barra de herramientas Lista de archivos de aplicaciones, haga clic en * y en Importar

desde otras listas de archivos de aplicaciones.
4. Aplique los filtros, en caso necesario, y seleccione los archivos que desee importar. Haga
clic en
Siguiente.
5. Configure los comportamientos de aplicacion que desee para los archivos seleccionados y
6. Haga clic en Aceptar para guardar los cambios de la lista de archivos de aplicaciones.
Para importar las listas de archivos de un archivo .csv
676
GUÍA DE USUARIO


desde archivo .csv
4. Busque el archivo .csv que contenga la informacion de la lista de archivos de aplicaciones y

haga clic en Abrir.
5. Configure los archivo importados, en caso necesario, y clic en Aceptar.
Nota: El formato del archivo .csves el siguiente: "Nombre de archivo" "Tamano de

archivo", "Version", "Nombre del fabricante", "Nombre del producto", "Comando base64
Hash MD5", "Comando SHA1", "Comando SHA256", "Permisos"
Para importar las listas de archivos desde dispositivos de confianza


desde dispositivos de confianza.
4. Seleccione los dispositivos que quiera y haga clic en Importar archivos desde dispositivos
especficos.
5. Si desea llevar a cabo un rastreo exhaustivo de archivos .exe desde esos dispositivos, haga
clic en SL
6. Configure los archivo importados, en caso necesario, y clic en Aceptar.

Para combinar listas de archivos de aplicaciones
haga clic en Combinar archivos de aplicaciones.
3. Seleccione la lista de archivos de aplicaciones que desee como Lista de origen.

4. Seleccione si desea combinar las diferencias o reemplazar los archivos de las aplicaciones.
5. Seleccione la lista de destinos para la operacion de combinacion.
Crear una tarea de reinicio programada
Parches ycumplimiento proporciona una herramienta que permite la creacion de una tarea de
reinicio del dispositivo. Una tarea de reinicio del dispositivo puede resultar util cuando se desea
677
instalar revisiones sin reiniciar, en un proceso individual, y luego reiniciar los dispositivos
reparados en otra tarea independiente. Por ejemplo, puede ejecutar un rastreo o una instalacion de
una revision durante el dfa, y luego implementar una tarea de solo reiniciar en algun momento mas
conveniente para los usuarios finales.
Para crear una tarea de reinicio

2. Haga clic en el boton de la barra de herramientas Crear una tarea y luego haga clic en
Reiniciar.
3. Especifique si el reinicio es una polftica o tarea programada, o ambas.
4. Seleccione una configuracion de rastreo y reparacion en la lista disponible (o cree una
configuracion personalizada solamente para esta tarea de rastreo), para especificar la forma
en que el rastreador opera en los dispositivos de usuario final. (NOTA: Solo la configuracion
de reinicio en la configuracion de rastreo y reparacion se utiliza en una tarea de reinicio.)
5. Haga clic en Aceptar. Para una tarea programada, ahora puede agregar dispositivos de
destino y configurar las opciones de programacion en la herramienta de Tareas
programadas. Para una polftica, la nueva aparece en la venta de Administracion de poifticas
de aplicacion con el nombre de la tarea especificado mas arriba, donde se puede agregar
destinos estaticos (usuarios o dispositivos) y dinamicos (resultados de consultas), asf como
configurar la frecuencia y el tipo de polftica.
Utilizar la lmea de comandos del rastreador de seguridad

IVANTI Security Suite incluye la herramienta de Parches ycumplimiento como el componente
principal de su solucion global de administracion de seguridad. Utilice esta herramienta para
descargar actualizaciones de varias definiciones de seguridad y revisiones; crear, configurar y
ejecutar rastreos de evaluacion de seguridad, rastreos de cumplimiento yde reparacion; habilitar
alertas de seguridad; generar informes de seguridad y mucho mas. Para obtener mas informacion,
consulte "Parches ycumplimiento" (619) y "Ayuda de Parches ycumplimiento" (681).
Esta seccion presenta informacion adicional acerca del uso del rastreador de seguridad de Parches
y cumplimiento.
Parametros de lmea de comando del rastreador de seguridad

El rastreador de seguridad se llama vulscan.exe. El rastreador admite los siguientes parametros en
la lmea de comandos:
678
GUÍA DE USUARIO
Nombre del parametro Descripcion
Parametros generales /AgentBehavior=ScanRepairSettingsID Sobrescribe el comportamiento predeterminado del

rastreador
de seguridad (configuracion de rastreo y reparacion) solamente en la tarea
actual de rastreo. El Id. de ScanRepairSettings tiene un valor numerico.
/ChangeBehaviors Cambia la configuracion predeterminada de rastreo y reparacion en todas las

/AgentBehavior=ScanRepairSettingsID tareas subsiguientes de evaluacion de seguridad o de rastreo de reparacion
mediante la escritura de la configuracion de rastreo y reparacion en el registro
local del dispositivo. Utilice la sintaxis exacta a la izquierda, con ambos
conmutadores en la lmea de comandos. El Id. de ScanRepairSettings tiene un
valor numerico.
NOTA: Utilice esta opcion para cambiar la configuracion predeterminada de

rastreo y reparacion de un dispositivo, sin necesidad de volver a implementar
una configuracion de agente completa en el mismo.
/ShowUI Muestra la interfaz del usuario del rastreador en el dispositivo de

usuario final.
/AllowUserCancelScan Muestra el boton Cancelar en la interfaz del usuario del

rastreador, que permite que el usuario final cancele el rastreo.
/AutoCloseTimeout=Numero Valor del tiempo de espera en segundos.
NOTA: Si el valor se establece en -1, la interfaz del usuario del rastreador

espera a que el usuario final lo cierre de forma manual.
/Scan=Codigo de numero (0-8) Identifica que tipo de contenido de seguridad se rastrea. Los
codigos numericos para los distintos tipos de contenido de seguridad son:
0 - vulnerabilidad
1 - spyware
2 - amenaza de seguridad
3 - actualizaciones de IVANTI
4 - definicion personalizada
5 - aplicacion bloqueada
6 - actualizaciones de software
7 - actualizaciones de controladores
8 - antivirus
679
Nombre del
Descripcio
parametro n
100 -todos lostipos
/Group=GroupID
Especifica el grupo personalizado que se debe rastrear. Localice la Id.
del grupo personalizado seleccionando el grupo, haciendo clic y
seleccionando Info y localizando la Id. unica.
/AutoFix=True o False Activa o desactiva la funcion de reparacion automatica.

Parametros de reparacion
/Repair (Group=GroupID o Indica al rastreador que grupo o vulnerabilidad reparar. Puede especificar
Vulnerability=VulnerabilitylD o Vulnerabil All (Todas) para reparartodas las vulnerabilidades detectadas en lugar de
ity=Al l) una sola vulnerabilidad con su ID.
/RemovePatch=Nombre de revision Elimina la revision especificada del deposito de revisiones.
/RepairPrompt=MessageText
Permite visualizar un mensaje de texto que pregunta al usuario final que
desea hacer.
/AllowUserCancelRepair
Cadena que permite al usuario final cancelar la reparacion en caso de que
utilice un indicadorde reparacion.
/AutoRepairTimeout=Number
Valor del tiempo de espera del indicador de reparacion en segundos. Si se
establece en -1, la interfaz del usuario espera a que el usuario lo cierre de
forma manual.
/DefaultRepairTimeoutAction
Cadena que establece la accion predeterminada de vulscan si vence el
tiempo de espera del indicadorde reparaciones. Los valores aceptables
incluyen inicio y cierre.
/StageOnly
Una cadena de caracteres que permite recuperar las revisiones necesarias
para efectuar reparaciones, pero sin instalarlas.
/Local (obtiene archivos de iguales) Permite solo la descarga entre iguales.
/PeerDownload Igual que /local.
/SadBandwidth=Number
Porcentaje maximo del ancho de banda que se utilizara para las descargas.
Parametros de reinicio
/RebootIfNeeded Utilice este parametro para reiniciarun dispositivo, en caso necesario.
680
GUÍA DE USUARIO
Nombre del
Descripcio
parametro n
/RebootAction
Una cadena que determina el comportamiento de reinicio de vulscan
durante la reparacion. Valores posibles: siempre, nunca
Una cadena que le muestra al usuario final un mensaje de texto en un aviso

/RebootMessage
de reinicio.
/AllowUserCancelReboot
Una cadena que le permite al usuario cancelarel reinicio si se utiliza un
aviso de reinicio.
/AutoRebootTimeout=Number
Valor del tiempo de espera del aviso de reinicio en segundos. Si se
establece en -1, la interfaz del usuario espera a que el usuario lo cierre de
forma manual.
/DefaultRebootTimeoutAction
Cadena que determina la accion que vulscan debe seguir si se supera el
valor del tiempo de espera del indicador de reinicio. Valores aceptables:
reiniciar, cerrar, aplazar.
/SnoozeCount=Number
Numero de aplazamientos. Vulscan se reduce cada vez que el usuario hace
clic en Aplazar en el reinicio del sistema.
/SnoozeInterval=Numero
Cantidad de segundos que vulscan debe esperar entre los aplazamientos.
Parametros MSI
/OriginalMSILocation=ruta Ruta hasta la ubicacion original de MSI.
/Username=nombre de usuario Nombre de usuario para el directorio MSI.
/Password=contrasena Contrasena para el directorio MSI.

Parametros de desactivacion
/NoElevate Ejecuta vulscan con los permisos del usuario que ha iniciado
sesion actualmente.
/NoSleep Impide la suspension durante el rastreo de vulnerabilidades.
/NoSync No admite la exclusion multiple y rastrea varias instancias.
/NoUpdate No recibe una nueva version de vulscan.
/NoXML No busca msxml.
/NoRepair Igual que autofix=false. Anula la configuracion de reparacion automatica, en

caso de estar presente.
681
Parametros de los archivos de datos
/Dump Descarta los datos de vulnerabilidades directamente del servicio Web.
/Data Obtiene los datos de vulnerabilidad (desde /dump).
/O=Ruta\Nombre de archivo Muestra los resultados de rastreo en el archivo especificado en lugar de

/I=Ruta\Nombre de archivo Ingresa los resultados del rastreo.
/Log=Ruta\Nombre de archivo Reemplaza el nombre de archivo del registro y la ubicacion.
/CoreServer=Nombre de servidor Identifica el nombre del servidor central.
/Reset Elimina la configuracion y archivos del cliente. Esto no elimina los

archivos de registro.
/Clear o /ClearScanStatus Borra toda la informacion de rastreo de vulnerabilidades del servidor

central. Esto elimina el historial de rastreo.
Configurar las alertas de Parches y cumplimiento

La siguiente seccion describe otras tareas que puede realizar con la herramienta de Parches y
cumplimiento.
Configurar las alertas de parches y cumplimiento

Puede configurar alertas de parches y cumplimiento para que pueda recibir notificaciones si se
detectan vulnerabilidades especificas en los dispositivos administrados. Las alertas sobre
vulnerabilidad de Parches y cumplimiento utilizan la herramienta de alertas estandar de IVANTI.
Para que una definicion de vulnerabilidad genere una alerta cuando se detecta, en primer lugar
debe realizar una copia de la definicion en el grupo Alertas. Al colocar una vulnerabilidad en el
grupo de Alertas se realiza una copia ytambien reside en el grupo Rastrear. Tras colocar las
definiciones de vulnerabilidad deseadas en el grupo de Alertas (ya sea de forma manual o
mediante la especificacion del nivel de gravedad en el cual se colocaran automaticamente las
vulnerabilidades durante las descargas), puede configura el intervalo de alerta en el cuadro de
dialogo Configurar alertas.
Para configurar alertas

1. Especifique las vulnerabilidades que generaran una alerta mediante la colocacion manual
de las definiciones de vulnerabilidad descargadas en el grupo de Alertas.
2. O bien, haga clic en el boton Configurar ajustes de la barra de herramientas y luego en

Configuracion de alertas.
3. Especifique un intervalo de alertas mfnimo.
682
GUÍA DE USUARIO
4. Para configurar las alertas de seguridad, seleccione las definiciones (por nivel de seguridad)
que desea colocar automaticamente en el grupo Alertas durante el proceso de descarga.
Puede seleccionar uno o varios niveles de gravedad de vulnerabilidad. Estas definiciones de
vulnerabilidad tambien se colocan de forma automatica en el grupo Rastrear.
5. Si desea configurar alertas de antivirus, seleccione los eventos de antivirus para los cuales
desea generar alertas.
Generar informes de Parches y cumplimiento
La informacion de Parches y cumplimiento se puede ver mediante el uso de varios informes de la

herramienta de Informes. Estos informes proporcionan informacion util sobre la evaluacion de
riesgos a la seguridad, cumplimiento, despliegue de revisiones y estado de reparacion de los
dispositivos rastreados en la red y para cada uno de los diferentes tipos de contenido de riesgos a
la seguridad.
Para acceder a la herramienta de Informes y poder generar y ver los mismos, los usuarios de deben
tener derechos de administrador de IVANTI (lo que implica derechos absolutos) o roles de Informes
espedficos.
Ayuda de Parches y cumplimiento
La herramienta de Parches y cumplimiento (Herramientas > Seguridad y cumplimiento > Parches y

cumplimiento) es donde se realizan tareas de rastreo de seguridad, reparacion yotras tareas
relacionadas. Puede descargary administrar el contenido de seguridad, configurar rastreos de
seguridad y cumplimiento, configurar la reparacion, personalice y aplique la configuracion de
pantalla/interaccion del rastreador de seguridad y ver informacion relacionada con la seguridad
integral de los dispositivos rastreados.
La seccion principal de "Parches y cumplimiento" (619) presenta esta herramienta de administracion

de seguridad. En esa seccion encontrara una introduccion e informacion sobre la suscripcion de
contenido de seguridad, asf como instrucciones detalladas de como utilizartodas las funciones de la
herramienta, incluyendo una descripcion de la interfazy el funcionamiento de la herramienta,
consulte "Abrir y utilizar la herramienta de Parches y cumplimiento" (624). Para obtener informacion
acerca de la configuracion de Parches, consulte "Configuracion del agente: Distribucion y revision"
(821).
Esta seccion contiene los siguientes temas de ayuda que describen los cuadros de dialogo de
Parches y cumplimiento. Desde la interfaz de la consola, puede acceder a estos temas de ayuda
haciendo clic en el boton Ayuda del cuadro de dialogo respectivo.
• "Ayuda de la ventana de la herramienta de Parches y cumplimiento" (682)
• "Ayuda de Descargar actualizaciones del contenido de seguridad" (683)
683
• "Ayuda de Propiedades de las definiciones" (687)
684
GUÍA DE USUARIO
• "Ayuda de Propiedades de las reglas de deteccion" (692)
• "Ayuda detareas Parches y cumplimiento" (701)
• "Ayuda de la barra de herramientas de Parches y cumplimiento" (714)
Ayuda de la ventana de la herramienta de Parches y cumplimiento
Acerca del cuadro de dialogo Seleccionar columnas

Utilice este cuadro de dialogo para configurar las columnas de datos de las listas de elementos de la
ventana de la herramienta de Parches y cumplimiento. Usted decide que columnas de datos se
muestran para poder revisar listas largas de definiciones de seguridad descargadas y encontrar de
forma facil y rapida la informacion que necesita para una tarea o situacion espedfica.
NOTE: Uso de la columna de datos de ID de CVE

IVANTI Security Suite admite el estandar de nombres CVE (Vulnerabilidades y Exposiciones Comunes). Con
Parches y cumplimiento puede buscar vulnerabilidades por el nombre de CVE y ver la informacion de CVE de
las definiciones de vulnerabilidades descargadas. Para obtener mas informacion sobre la convencion de
nombres de CVE, la compatibilidad de IVANTI con el estandar CVE, y la forma de usar la identificacion CVE
para buscar definiciones de vulnerabilidades de seguridad individuales en Parches y cumplimiento, consulte
"Buscar vulnerabilidades segun el nombre de CVE" (642).
Si se agregan y quitan columnas de datos y se las desplaza hacia arriba y hacia abajo en la lista
(hacia la izquierda y hacia la derecha en la vista de la columna), garantiza que la informacion mas
importante se ubique al centro en el frente.
• Columnas disponibles: muestra una lista de las columnas de datos que actualmente no se
muestran en la ventana de la herramientas de Parches y cumplimiento, pero que se
encuentran disponibles para agregarlas a la lista de Columnas seleccionadas.
• Columnas seleccionadas: presenta las columnas de datos que se muestran actualmente en

la ventana de Parches y cumplimiento. Las columnas de datos se muestran en una lista de
definiciones de seguridad descargada de izquierda a derecha en el mismo orden en que
aqm aparecen de arriba a abajo.
• Valores predeterminados: restaura las columnas de datos mostradas predeterminadas.
Acerca del cuadro de dialogo Administrar filtros
Utilice este cuadro de dialogo para administrar filtros que puede usar para personalizar el contenido
de seguridad que se muestra en la lista de elementos de la ventana de Parches y cumplimiento.
Puede utilizar los filtros para racionalizar una larga lista.
• Nuevo: abre el cuadro de dialogo Propiedades del filtro donde se pueden configurar las
opciones del nuevo filtro.
• Editar: abre el cuadro de dialogo Propiedades del filtro donde se puede modificar y guardar
el filtro seleccionado.
685
• Eliminar: Quita el filtro seleccionado de la base de datos de forma permanente.
• Utilizar filtro: aplica el filtro seleccionado a la lista de elementos actuales. Los filtros
aplicados persisten aun cuando se hace clic en diversos grupos en la vista de arbol.
Acerca del cuadro de dialogo Propiedades del filtro

Utilice este cuadro de dialogo para crear o modificar filtros de listas de contenido de seguridad. Se
puede filtrar por sistema operativo, gravedades del riesgo de seguridad o cualquier combinacion de
ambas.
• Nombre del filtro: identifica el filtro con un nombre unico. Dicho nombre aparecera en la
lista desplegable del filtro.
• Filtrar sistemas operativos: especifica los sistemas operativos cuyas definiciones desee
mostrar en las listas de elementos. Solo se muestran los elementos asociados con los
sistemas operativos seleccionados.
• Filtrar gravedades: especifica las gravedades cuyas definiciones desee mostrar en las listas
de elementos. Solo se muestran los elementos que coinciden con las gravedades
seleccionadas.
Ayuda de Descargar actualizaciones del contenido de seguridad

Acerca del cuadro de dialogo Descargar actualizaciones
Este cuadro de dialogo se emplea para configurar la descarga de actualizaciones de contenido de
seguridad, el servidor proxy, la ubicacion de descarga del archivo de revision, la reparacion
automatica de spyware y las actualizaciones y copias de seguridad de antivirus.
Luego de especificar las actualizaciones de tipo de contenido que desee descargar y las otras
opciones en las paginas del cuadro de dialogo Descargar actualizaciones:
• Para realizar una descarga inmediata, haga clic en Descargar ahora. Si hace clic en
Aplicar, la configuracion que especifica se guardara y aparecera la proxima vez que abra
este cuadro de dialogo. Si hace clic en Cerrar, el sistema preguntara si desea guardar la
configuracion.
• Para programar una tarea de contenido de seguridad de descarga, haga clic en Programar
descarga. Introduzca un nombre para la tarea, verifique la informacion y haga clic en
Aceptar para agregar la tarea a Tareas programadas.
• Puede hacer clic en Ver registro para abrir el archivo de registro.
Para guardar los cambios en cualquier pagina de este cuadro de dialogo, haga clic en Aplicar.
El cuadro de dialogo Descargar actualizaciones contiene las siguientes paginas:
• "Acerca de la pagina de Actualizaciones" (684)

• "Acerca de la pagina Configuracion de proxy" (686)
• "Acerca de la pagina Ubicacion de parches" (687)
686
GUÍA DE USUARIO
• "Acerca de la pagina IVANTI Antivirus" (687)
• "Ayuda de Parches ycumplimiento" (681)
• "Ayuda de Parches ycumplimiento" (681)
IMPORTANTE: Consideraciones especiales relativas a la descarga de contenidos de seguridad
Suscripcion a los contenidos de Security Suite

La instalacion basica de IVANTI Endpoint Manager le permite descargary rastrear las actualizaciones
de software de IVANTI y crear sus propias definiciones personalizadas. Para el resto de los tipos de
contenido de seguridad, tales como las vulnerabilidades, spyware, etc. espedficas de la plataforma,
debera tener la suscripcion al contenido de IVANTI Security Suite para poder descargar las
definiciones asociadas.
comurnquese con su distribuidor de IVANTI o visite el sitio web de IVANTI: Pagina de Inicio de
IVANTI
Configuracion global y especifica a las tareas

Observe que solo los tipos de definicion, los idiomas y la configuracion de descarga de definiciones
y parches se guardan y asocian con una tarea especfica cuando se crea la misma. Esas tres
configuraciones se consideran espedficas de la tarea.
Sin embargo, la configuracion de las otras pestanas del cuadro de dialogo de Descargar
actualizaciones es global, lo cual significa que se aplican a todas las tareas de descarga de
contenido de seguridad posteriores. La configuracion general incluye: ubicacion de la descarga de
parches, servidor proxy, reparacion automatica de spyware, alertas de seguridad y antivirus.
Siempre que se cambia una configuracion global, dicho cambio se aplica a todas las tareas de
descarga del contenido de seguridad desde ese punto en adelante.
Acerca de la pagina de Actualizaciones

• Seleccione el sitio de origen de la actualization: especifica el servidor de contenido de
IVANTI al cual se accede para descargar las ultimas definiciones, reglas de detection y
parches asociados a la base de datos. Seleccione el servidor mas cercano a su ubicacion.
• Tipos de definiciones: identifica que definiciones de contenido de seguridad estan

actualizadas. Solo estan disponibles aquellos tipos de definiciones para los que se tiene
una suscripcion. Cuantas mas tipos de definiciones se seleccionen, mas durara el proceso
de descarga.
Despues de descargar el contenido de seguridad, puede usar la lista desplegable Tipo en la

ventana principal de la herramienta de Parches ycumplimiento para determinar que tipos de
definiciones apareceran en las listas. Para obtener mas informacion sobre como usar las
opciones de lista, consulte "Abrir y utilizar la herramienta de Parches ycumplimiento" (624).
• Idiomas: identifica las versiones de idioma de los tipos de definiciones seleccionadas que
687
se actualizan.
Ciertas vulnerabilidades y otros tipos de definiciones, asf como cualquier revision asociada,
son de idioma neutral o independientes, lo que significa que son compatibles con cualquier
version de idioma del SO o aplicacion a la que se aplique dicha definicion. Es decir, no es
necesario disponer de una revision espedfica de idioma unico para reparar las
vulnerabilidades, ya que la revision engloba todos los idiomas admitidos. Por ejemplo, las
plataformas Linux utilizan solamente definiciones y revisiones neutras al idioma. Sin
embargo, las revisiones y definiciones de vulnerabilidad de las plataformas Microsoft
Windows y Apple Macintosh tienen casi siempre idiomas espedficos.
Cuando descarga contenido de cualquier plataforma (con la suscripcion apropiada al

contenido de seguridad), todas las definiciones de vulnerabilidad con idioma neutro se
actualizan de forma automatica. Si ha seleccionado un tipo de contenido de plataforma
Windows o Mac, tambien debe seleccionar los idiomas espeoficos cuyas definiciones desee
actualizar. Si ha seleccionado una plataforma Linux o Sun Solaris, no es necesario
seleccionar un idioma especfico debido a que el contenido es neutro al idioma y se
actualizara de forma automatica.
• Descargar revisiones para las definiciones seleccionadas arriba: descarga automaticamente

los archivos ejecutables de la revision en la ubicacion de descarga especificada (consulte la
pagina de Ubicacion de las revisiones), de acuerdo con una de las siguientes opciones de
descarga:
• Solo para definiciones detectadas: descarga unicamente las revisiones asociadas con
vulnerabilidades, amenazas de seguridad o actualizaciones de IVANTI detectadas por el
ultimo rastreo de seguridad (p. ej., definiciones que residen actualmente en el grupo
Detectadas).
• Para todas las definiciones descargadas: descarga TODAS las revisiones asociadas con
la vulnerabilidad, las amenazas de seguridad y las actualizaciones de software de
IVANTI que actualmente se encuentran en el grupo Rastrear.
• Habilitar el despliegue automatico de parches mediante Process Manager: Le permite

configurar la base de datos de IVANTI Process Manager que se requiere para usar la funcion
integrada de despliegue automatico de parches.
• IVANTI Process Manager: Abre el cuadro de dialogo de despliegue de parches automatico

que describe la capacidad integrada entre IVANTI Process Managery la herramienta de
Parches ycumplimiento. Desde aqrn puede crear un flujo de trabajo que automatice el
despliegue de parches en los dispositivos de destino. Tambien tiene la opcion de ver un
tutorial que le mostrara los pasos para este procedimiento, asf como temas de ayuda.
• Coloque definiciones nuevas en el grupo No asignadas (a menos que esten sobrescritas en la
configuration del grupo Definition): coloca de forma automatica las nuevas definiciones y
las reglas de deteccion asociadas en el grupo No asignadas en lugar del grupo Rastrear.
Seleccione esta opcion si desea poder mover de forma manual contenido hacia y desde el
688
GUÍA DE USUARIO
grupo Rastrear para personalizar el rastreo de seguridad.
NOTE: las definiciones que tienen dependencia con otra definicion que ya existe en un grupo diferente, como los
grupos de Rastrear o No rastrear, se colocan automaticamente en tal grupo aunque se haya seleccionad esta
opcion. En otras palabras, la relacion de dependencia anula esta opcion de modo que la (nueva) definicion
descargada mas recientemente este en el mismo grupo que la definicion con la cual tiene la dependencia.
NOTE: Las definiciones queya ha seleccionado para colocarlas en el grupo de Alertas (en el cuadro de dialogo
Configurar Alertas), tambien se colocan automaticamente en el grupo de Rastreo, aun si esta opcion esta
seleccionada, de modo que se den las alertar apropiadas.
NOTE: en el tipo aplicacion bloqueada, la ubicacion de descarga predeterminada es diferente. Las definiciones
bloqueadas se descargan del grupo No asignadas de manera predeterminada, no del grupo Rastrear. Por lo
tanto, no es necesario seleccionar esta opcion si esta descargando solo definiciones de aplicaciones bloqueadas.
• Configuracion del grupo Definicion: abre el cuadro de dialogo de configuracion del grupo
Definicion en el cual puede crear, administrary seleccionar los grupos de definiciones.
Puede utilizar la configuracion de este grupo de definiciones para automatizar el estado de
rastreo, descargar la ubicacion y para el modo en que se descargan las definiciones de
seguridad (contenido) que coinciden con los criterios de tipo y gravedad que se han
especificado.
Acerca de la pagina Configuracion de proxy
Si la red emplea un servidor proxy para transmisiones externas (por ejemplo, acceso a Internet),
utilice esta pagina para habilitary establecer los valores de configuracion del servidor proxy. El
acceso a Internet es necesario tanto para actualizar la informacion de vulnerabilidad como para la
descargar los archivos de parches de los servicios web adecuados.
• Utilizar servidor proxy: habilita la opcion de servidor proxy (de forma predeterminada, esta
opcion se encuentra desactivada). Si se habilita un servidor proxy, se deben llenar los
siguientes campos de direccion y puerto.
• Servidor: identifica la direccion IPy el numero del puerto del servidor proxy.
• Proxy basado en HTTP: habilita el servidor proxy, si se trata de un servidor proxy basado en
HTTP (como Squid), de modo que pueda establecer conexion para la descarga de parches
de sitios FTP. (Los parches alojados en algunos sitios FTP no se pueden descargar
mediante servidores proxy basados en HTTP, a menos que primero se habilite esta opcion).
• Inicio de sesion necesario: permite escribir un nombre de usuario y contrasena si el
servidor proxy dispone de credenciales en lugar de ser un servidor proxy transparente.
Acerca de la pagina Ubicacion de parches
Utilice esta pagina para especificar el lugar donde se descargan los ejecutables de las revisiones.
• Ruta UNC donde se almacenan los parches: especifica el lugar donde se pueden descargar
689
los archivos de revision. La ubicacion predeterminada es la carpeta \LDLogon\Patch del

servidor central. Se puede introducir una ruta UNC distinta para descargar las revisiones,
aunque se debe asegurar el acceso a dicha ubicacion indicando credenciales de
autenticacion validas en los siguientes campos.
• Credenciales para almacenar parches: identifica una contrasena y nombre de usuario

validos para acceder a una ubicacion distinta al servidor central. Si se encuentra
descargando revisiones a la ubicacion predeterminada en el servidor central, no se aplica el
nombre de usuario y contrasena.
• Direccion web de URL donde los clientes tienen acceso a los parches: especifica una
direccion web en la cual los dispositivos pueden acceder a los parches descargados para
realizar su despliegue. La ubicacion predeterminada es la carpeta \LDLogon\Patch del
servidor central. Normalmente esta ubicacion sera la misma que la ruta UNC especificada
anteriormente.
• Comprobar configuration: realiza una prueba de conectividad a la direccion URL

especificada.
• Restablecer valores predeterminados: restaura tanto la ruta UNC como la direccion URL a la
ubicacion predeterminada, la cual es la carpeta \LDLogon\Patch del servidor central.
Acerca de la pagina IVANTI Antivirus
Utilice esta pagina para configurar las opciones de descarga de archivos de definiciones de
virus de IVANTI Antivirus. Recuerde que esta pagina se aplica solamente a los archivos de
definiciones de virus reales que utiliza IVANTI Antivirus; no se aplica al contenido de deteccion
del rastreador de antivirus (actualizaciones de antivirus) que estan disponibles en la lista de
definiciones de la pagina
Actualizaciones.
Para obtener informacion detallada, consulte "Acerca de la pagina de IVANTI Antivirus en el cuadro
de dialogo de Descargar actualizaciones" (789).
Ayuda de Propiedades de las definiciones
Acerca del cuadro de dialogo Propiedades de definiciones
Utilice este cuadro de dialogo para ver las propiedades de los tipos de definiciones de contenido
que se descargaron, incluyendo vulnerabilidades, spyware, amenazas a la seguridad,
actualizaciones de software, etc.
Tambien puede utilizar esta pagina para crear las definiciones personalizadas.
Esta informacion es de solo lectura para las definiciones que se descargaron. En las definiciones
personalizadas, los campos de este dialogo se pueden modificar. Puede introducir informacion
detallada de las reglas de deteccion, identificacion y atributo (para una definicion personalizada)
usando los campos disponibles en este cuadro de dialogo yen el de Propiedades de las reglas de
deteccion.
690
GUÍA DE USUARIO
Utilice los botones de flecha derecha e izquierda (<, >) para ver la informacion de propiedades para
la anterior o la siguiente definicion en el orden en que se incluyen actualmente en la ventana
principal.
El cuadro de dialogo Propiedades de definicion contiene las siguientes paginas:
• "Acerca de laDefinicion: Pagina general" (688)
• "Acerca de laDefinicion: Pagina de descripcion" (689)
• "Acerca de laDefinicion: Pagina de dependencias" (689)
• "Acerca de laDefinicion: Pagina de Variables personalizadas" (690)

Acerca de la Definicion: Pagina general
• id: identifica la definicion seleccionada como codigo alfanumerico unico, definido por el
proveedor (o por el usuario, en el caso de una definicion personalizada).
• Tipo: identifica el elemento seleccionado como vulnerabilidad, amenaza de seguridad,

definicion personalizada, etc.
• Fecha de publication: indica la fecha en que el proveedor publico la definicion seleccionada

(o en que el usuario la creo).
• Tftulo: describe la naturaleza o el destino de la definicion seleccionada en una breve cadena

de texto.
• Gravedad: indica el nivel de gravedad de la definicion. Para contenido descargado, este

nivel de gravedad lo asigna el proveedor. Para una definicion personalizada, la gravedad la
asigna quien la haya creado. Los niveles de gravedad posibles incluyen: Service Pack,
Crftica, Alta, Media, Baja, No aplica y Desconocida. Utilice esta informacion para evaluar un
riesgo representado por la definicion, y la forma en que el rastreo y reparacion urgente
estan configurados para su red.
• Estado: indica el estado de la definicion en la ventana de Seguridad y Revisiones. Los tres

indicadores de estado son los siguientes: Rastrear indica que el elemento seleccionado se
incluira en el siguiente rastreo de seguridad; No rastrear indica que no se producira ningun
rastreo; y No asignada indica que se encuentra en un area de espera temporal y que no se
rastreara. Para obtener mas informacion sobre estos estados o grupos, consulte "Abriry
utilizar la herramienta de Parches y cumplimiento" (624).
• Idioma: indica el idioma de la plataforma identificada por la definicion. Para las definiciones
personalizadas, INTLes el valor predeterminado, lo que significa que es independiente del
idioma y no se puede modificar.
• Categona: indica una categona mas espedfica dentro de un tipo de contenido de seguridad
individual (consulte arriba).
• Reglas de deteccion: muestra las reglas de deteccion asociadas con la definicion
691
seleccionada. Observe que la opcion Descargada indica si los archivos de revision

asociados se descargan en el deposito local e Instalacion en segundo plano indica si la
revision se instala sin interaccion por parte del usuario.
Puede hacer clic con el boton derecho en una regla de deteccion para descargar su revision
asociada (o revisiones), habilitar o deshabilitar la regla de deteccion del rastreo de seguridad,
desinstalar sus revisiones asociadas o ver sus propiedades. Puede hacer doble clic en una regla de
deteccion para ver sus propiedades.
Si trabaja con una definicion personalizada, haga clic en Agregar para crear una nueva regla de
deteccion, en Modificar para modificar la regla seleccionada, o en Eliminar para quitar la regla
seleccionada.
Acerca de la Definicion: Pagina de descripcion

• Descripcion: proporciona informacion adicional detallada acerca de la definicion
seleccionada. Esta informacion proviene de estudios y notas de pruebas realizadas por los
proveedores (o por el usuario que creo la definicion personalizada).
• Mas informacion en: proporciona un vfnculo HTTP a una pagina web especfica de un
proveedor (o definida por el usuario); suele ser un sitio de asistencia tecnica con
informacion adicional sobre la definicion seleccionada.
• Mas informacion sobre la ID de CVE: (Se aplica solo a las vulnerabilidades) Proporciona la
ID de CVE (nombre) de la vulnerabilidad seleccionada y un vfnculo a la pagina web de CVE
de esa ID de CVE especfica. Para obtener mas informacion, consulte "Buscar
vulnerabilidades segun el nombre de CVE" (642).
Acerca de la Definicion: Pagina de dependences

Esta pagina solo se muestra si la definicion seleccionada posee una definicion de requisitos previos
asociados o si otra definicion depende de la definicion seleccionada antes de que se pueda ejecutar.
Puede utilizar esta pagina para asegurarse de que el rastreo de seguridad contenga todas las
definiciones necesarias para operar adecuadamente antes de rastrear los dispositivos.
Puede existir una relacion de dependencia solo para los siguientes tipos de definiciones de
seguridad:
• Requisitos previos: enumera todas las definiciones que tienen que ejecutarse ANTES de la
definicion seleccionada que pueden controlarse en dispositivos. Si alguna de las
definiciones en esta lista no se incluyen en su tarea de rastreo, el rastreador de seguridad
no detectara la definicion seleccionada.
• Dependences: enumera las definiciones que el rastreador de seguridad no detectara hasta

DESPUES de que se ejecute la definicion seleccionada. Observe que la definicion
seleccionada se rastreara aun si estas definiciones no estan incluidas en la tarea de rastreo
de seguridad. No obstante, si desea que la tarea de rastreo detecte con exito una definicion
en esta lista, la definicion seleccionada debe ejecutarse primero.
Acerca de la Definicion: Pagina de Variables personalizadas
692
GUÍA DE USUARIO
Esta pagina SOLO aparece si la definicion de seguridad seleccionada incluye la configuracion o los
valores que se pueden modificar. Algunas definiciones de amenaza a la seguridad de la
configuracion del sistema tienen valores variables que pueden cambiar antes de incluirlos en un
rastreo de seguridad. Generalmente, las definiciones de antivirus tambien tienen ajustes con
Con las variables personalizadas puede ajustar el rastreo de las amenazas a la seguridad
modificando los valores de uno o mas ajustes para que el rastreador busque las condiciones que
defina y determine que un dispositivo es vulnerable solo si se cumple con esa condicion (por
ejemplo, si se detecta el valor especificado).

Para modificar los ajustes de las variables personalizadas, el usuario debe tener el derecho de administracion
basado en funciones Modificar variables personalizadas. Los derechos se configuran con la herramienta
Usuarios.
Cada definicion de seguridad con variables que se puedan personalizartiene un conjunto unico de
valores espedficos que pueden modificarse. En cada caso, sin embargo, la pagina Variables
personalizadas mostrara la siguiente informacion comun:
• Nombre: identifica la variable personalizada. No se puede modificar el nombre.
• Valor: indica el valor actual de la variable personalizada. A menos que la variable sea de
solo lectura, puede hacer doble clic en este campo para cambiar el valor.
• Agregar variable: abre un cuadro de dialogo en el cual puede crear su propia variable
personalizada. (NOTA: Antes de que se pueda crear una variable personalizada para una
definicion de vulnerabilidades, la definicion debe contener al menos una regla de
deteccion.)
• Modificar variable: le permite modificar la variable personalizada seleccionada.
• Eliminar variable: elimina la variable personalizada seleccionada.
693
• Descripcion: provee informacion adicional util del fabricante de la definicion sobre las
• Valor predeterminado: suministra el valor predeterminado si lo modifico y desea restaurarlo

a su valor original.
Para cambiar una variable personalizada, haga doble clic en el campo Valory seleccione un valor, si
hay una lista desplegable disponible, o modifique manualmente el valory luego haga clic en Aplicar.
Observe que algunas variables son de solo lectura y no se pueden modificar (esto generalmente se
indica en la descripcion).
La informacion sobre la configuracion de reemplazo de variable personalizada puede verse en la

vista Inventario del dispositivo.
NOTE: Configuracion de reemplazo de variable personalizada

Es posible que en algunos casos quiera ignorar los ajustes de variables personalizadas, utilizando una funcion
llamada Configuracion de reemplazo de variable personalizada. Puede especificar que el escaner ignore
determinadas variables personalizadas cuando rastree los dispositivos para que no se las detecte como
vulnerables ni se las repare aunque cumplan con las condiciones reales de las reglas de deteccion de una
definicion. El usuario debe tener derecho a Modificar variables personalizadas para crear o modificar esta
configuracion de reemplazo. Puede crear las configuraciones que desee y aplicarlos a los dispositivos con la
tarea Cambiar configuracion. Para obtener mas informacion, consulte "Ayuda de Parches y cumplimiento"
(681).
Acerca del cuadro de dialogo Agregar/Modificar variable personalizada
Utilice este dialogo para crear y modificar sus propias variables personalizadas que corresponden a
las definiciones de las vulnerabilidades personalizadas. Con las variables personalizadas puede
ajustar el rastreo de las amenazas a la seguridad mediante la modificacion de uno o mas valores de
ajuste para que el rastreador busque las condiciones que defina y determine que un dispositivo es
vulnerable solo si se cumple con esa condicion (por ejemplo, si se detecta el valor especificado).
IMPORTANT: Antes de que se pueda crear una variable personalizada para una definicion de vulnerabilidades,
la definicion debe contener primero al menos una regla de deteccion.
• Nombre: identifica la variable personalizada.
• Descripcion: le permite proporcionar informacion util y adicional sobre la variable

personalizada.
• Tipo: Identifica el tipo de recurso que se utiliza para definir la variable personalizada (los
tipos incluyen: cadena de caracteres, cadena cifrada, cadena de valor multiple, entero,
enumeracion, booleana).
694
GUÍA DE USUARIO
• Valores posibles: introduzca todos los valores posibles que se pueden considerar como
validos de la variable personalizada que esta creando (en funcion del tipo que se especifico
anteriormente).
• Valor predeterminado: introduzca el valor predeterminado de la variable personalizada.

Ayuda de Propiedades de las reglas de deteccion
Acerca del dialogo de propiedades de las Reglas de deteccion

Utilice este cuadro de dialogo para ver las propiedades de las reglas de deteccion del contenido de
seguridad descargadoy para creary modificar reglas de deteccion personalizadas.
Esta informacion es de solo lectura para las reglas de deteccion que pertenecen a definiciones
descargadas. En las definiciones personalizadas, los campos de este dialogo se pueden modificar.
Especifique la configuracion de la regla de deteccion yconfigurar las opciones en cada pagina para
crear reglas de deteccion personalizadas. Aun mas, si la regla de deteccion personalizada permite la
reparacion, puede agregar comandos especiales que se ejecuten durante la reparacion (instalacion
o desinstalacion de la revision).
Puede utilizar los botones de flecha derecha e izquierda (<, >) para ver la informacion de
propiedades para la anterior o la siguiente regla de deteccion en el orden en que se incluyen
actualmente en la ventana principal.
El cuadro de dialogo Propiedades de la regla de deteccion contiene las siguientes paginas:

• "Acerca de la Regla de deteccion: Pagina de informacion general" (693)
• "Acerca de la Logica dedeteccion: Pagina Plataformas afectadas" (693)
• "Acerca de la Logica dedeteccion: Pagina Productos afectados" (693)
• "Acerca de la Logica dedeteccion: Pagina Archivos utilizados para deteccion"(694)

• "Acerca de la Logica dedeteccion: Configuracion del registro usado para la pagina de
deteccion" (695)
• "Acerca de la Logica de deteccion: Pagina Secuencia de comandos personalizada" (695)
• "Acerca de la pagina Informacion sobre parches" (697)
• "Acerca de la Deteccion de la revision: Archivos utilizados para la pagina de deteccion de

revisiones instalada" (698)
• "Acerca de la Deteccion de la revision: Configuracion del registro usado para la pagina de

deteccion de revisiones instalada" (698)
• "Acerca de la pagina Comandos de instalacion de parches" (699)
• "Acerca de la pagina de Comandos para desinstalar revisiones" (701)

Acerca de la Regla de deteccion: Pagina de informacion general
• Nombre: muestra el nombre de la regla de deteccion.
695
• Estado: indica si la regla de deteccion se ha definido en rastrear o no rastrear. Estos dos

estados corresponden a los grupos Rastrear y No rastrear (dentro de las Reglas de
deteccion de la ventana de Parches ycumplimiento).
• id: muestra el Id. de la definicion asociada con esta regla.
• Tftulo: muestra el tftulo de la definicion asociada con esta regla.
• Description: muestra la descripcion de la definicion asociada con esta regla.

• Comentarios: proporciona informacion adicional del proveedor, si se encuentra disponible.
Si se encuentra creando o editando una definicion personalizada, puede introducir sus
propios comentarios.
Paginas de logica de deteccion
Las paginas siguientes hacen referencia a la logica de deteccion utilizada por la regla de deteccion
seleccionada para determinar si la vulnerabilidad (u otro tipo de definicion) existe en el servidor
rastreado.
Acerca de la Logica de deteccion: Pagina Plataformas afectadas
Identifica los sistemas operativos en los que se ejecutara el rastreador de seguridad para verificar la
definicion asociada con esta regla. En otras palabras, solo los dispositivos que coinciden con las
plataformas seleccionadas intentaran procesar esta regla. Debe seleccionarse al menos una
plataforma. Si un dispositivo de destino utiliza un sistema operativo distinto, el rastreo de seguridad
se interrumpe.
Acerca de la Logica de deteccion: Pagina Productos afectados
• Productos: Enumera los productos que desea revisar con la regla de deteccion que
determine si la definicion asociada existe en los dispositivos rastreados. Seleccione un
producto en la lista para ver la informacion de nombre, proveedor y version. No necesita
tener un producto asociado a las reglas de deteccion. Los productos asociados actuan
como filtros durante el proceso de rastreo de seguridad. Si de los productos asociados
especificados se encuentra en el dispositivo, el rastreo de seguridad se interrumpe. No
obstante, si no se especifican productos, el rastreo continua con la verificacion de archivos.
Si esta creando o editando una regla de deteccion personalizada, haga clic en Configurar para abrir
un nuevo cuadro de dialogo que le permita agregary eliminar productos en la lista. La lista de
productos disponibles es determinada por el contenido de seguridad que actualizo mediante el
servicio web de IVANTI Security Suite.
• Nombre: proporciona el nombre del producto seleccionado.
• Proveedor: proporciona el nombre del proveedor.

• Version: proporciona el numero de version del producto seleccionado.
Acerca de la Logica de deteccion: Pagina Archivos utilizados para deteccion
696
GUÍA DE USUARIO
• Archivos: enumera las condiciones de archivo (existencia, version, fecha, tamano, etc.) que
se utilizan para determinar si la definicion asociada esta presente en los dispositivos
rastreados. Seleccione un archivo en la lista para ver el metodo de verificacion y los
parametros esperados. Si se cumplen todas las condiciones del archivo, el dispositivo no
se encuentra afectado. Lo que significa que si NO se cumple cualquiera de estas
condiciones de archivo, se determina que existe vulnerabilidad en el dispositivo. Si no
existen condicione de archivo en la lista, el rastreo continua con la verificacion del registro.
Si esta creando o editando una regla de deteccion personalizada, haga clic en Agregar para
hacer que los campos se puedan modificar, lo cual permite configurar una condicion de
archivo nueva y los valores o parametros esperados. Una regla puede incluir una o mas
condiciones de archivo, segun la complejidad que desee. Para guardar una condicion de
archivo, haga clic en Actualizar. Para eliminar una condicion de archivo de la lista,
seleccionela y haga clic en Eliminar.
• Verificar con: indica el metodo utilizado para verificar si la condicion de archivo prescrita se
satisface en los dispositivos rastreados. Por ejemplo, una regla de deteccion podna rastrear
la existencia del archivo, la version, la fecha, el tamano, etc. Los parametros esperados que
aparecen debajo del metodo de verificacion son determinados por el metodo mismo (vea la
lista siguiente).
Si esta creando o editando una regla de deteccion personalizada, seleccione el metodo de

verificacion en la lista desplegable Verificar con. Como se explica anteriormente, los
campos de parametro son distintos para cada metodo de verificacion, como lo describe la
lista siguiente:
Observe que la opcion Buscar archivo repetidamente aplica a todos los metodos de
verificacion excepto los MSI, y causa que el rastreo busque archivos en la ruta de ubicacion
espedfica y en todas las subcarpetas que existiesen.
• Solo existe el archivo: realiza la verificacion mediante el rastreo del archivo especificado.
Los parametros son: Ruta (ubicacion del archivo en la unidad del disco duro, incluye el
nombre de archivo) y Requisito (debe existir o no debe existir).
• Version del archivo: realiza la verificacion mediante el rastreo del archivo especificado y el
numero de version. Los parametros son: Ruta, Version mfnima y Requisito (debe existir, no
debe existir o podna existir).
Observe que para los parametros Version del archivo, Fecha y Tamano puede hacer clic en
el boton Recolectar datos, luego de especificar la ruta y nombre del archivo a fin de
completar los campos con los valores correspondientes.
• Fecha del archivo: realiza la verificacion mediante el rastreo del archivo especificado y la
fecha. Los parametros son: Ruta, Fecha mmima y Requisito (debe existir, no debe existir o
podna existir).
• Tamano y/o Suma de comprobacion: realiza la verificacion mediante el rastreo del archivo
especificado y el tamano o el valor de la suma de comprobacion. Los parametros son: Ruta,
697
Suma de comprobacion, Tamano de archivo y Requisito (debe existir, no debe existir o

podna existir).
• ID de Producto MSI instalado: realiza la verificacion mediante el rastreo a fin de

cerciorarse de que el producto MSI esta instalado (un producto instalado mediante la
utilidad Microsoft Installer). Los parametros son: Guid (identificador unico global del
producto).
• ID de Producto MSI no instalado: realiza la verificacion mediante el rastreo a fin de

asegurarse de que el producto MSI no esta instalado. Los parametros son: Guid.
Acerca de la Logica de deteccion: Configuracion del registro usado para la pagina de deteccion
• Registro: muestra una lista de las condiciones de clave de registro que se utilizan para
determinar si existe la vulnerabilidad asociada (u otro tipo) en un dispositivo rastreado.
Seleccione una clave de registro en la lista para ver los parametros esperados. Si NO se
cumple cualquiera de estas condiciones, se determina que existe la vulnerabilidad en el
dispositivo.
IMPORTANT: Si no hay condiciones de registro en la lista Y no hay condiciones de archivo en la pagina de j

Archivos, el rastreo fallara. Una regla de deteccion debe tener al menos una condicion de archivo o de registro.
Si esta creando o editando una regla de deteccion personalizada, haga clic en Agregar para
configurar una condicion de clave de registro nueva y los parametros esperados. Una regla
puede incluir una o mas condiciones de registro. Para guardar una condicion de registro,
haga clic en Actualizar. Para eliminar una condicion de registro de la lista, seleccionela y
haga clic en Eliminar.
• Clave: identifica la carpeta y la ruta esperadas de la clave de registro.
• Nombre: identifica el nombre de clave esperado.
• Valor: identifica el valor de clave esperado.
• Requisito: indica si la clave de registro debe o no existir en los dispositivos de destino.

Acerca de la Logica de deteccion: Pagina Secuencia de comandos personalizada
Utilice esta pagina si desea escribir una secuencia de comandos VB que busque otras condiciones
en los dispositivos rastreados. Las propiedades del rastreador de seguridad a las cuales se puede
tener acceso mediante una secuencia personalizada para reportar sus resultados son: Detectadas,
Razones, Esperadas y Encontradas.
Haga clic en el boton Utilizar editor para abrir la herramienta predeterminada de edicion de
secuencias de comandos asociada con este tipo de archivo. Cuando cierra la herramienta se le
indica que guarde los cambios en la pagina Secuencia de comandos. Si desea utilizar otra
herramienta debe cambiar la asociacion del tipo de archivo.
Acerca de las propiedades del productode la vulnerabilidad personalizada: Pagina de informacion

general
698
GUÍA DE USUARIO
Utilice estos cuadros de dialogo cuando cree una definicion de vulnerabilidad personalizada que
incluya un producto personalizado.
Puede escribir un nombre, proveedoryel numero de version, y luego definir la logica de deteccion
que determine las condiciones para que exista la vulnerabilidad.
Estos cuadros de dialogo son similares a los cuadros de dialogo de propiedades de las definiciones
de vulnerabilidad publicadas y descargadas. Consulte las secciones correspondientes mas arriba.
Esta pagina incluye las siguientes opciones:
• Productos afectados: Menciona los productos afectados por la definicion de vulnerabilidad

personalizada.
• Productos disponibles: Muestra todos los productos descargados.
• Filtrar productos disponibles por plataformas afectadas: Restringe la lista de productos

disponibles solo a aquellos que se asocian con las plataformas que selecciono en Logica
de deteccion: Pagina Plataformas afectadas.
• Agregar: Abre el cuadro de dialogo Propiedades en el cual puede crear una definicion
personalizada de productos.
Acerca del producto de la vulnerabilidad personalizada: Pagina de logica de deteccion
Las paginas siguientes hacen referencia a la logica de deteccion utilizada por la regla de deteccion
seleccionada para determinar si la vulnerabilidad (u otro tipo de definicion) existe en el servidor
rastreado.
Estos cuadros de dialogo son identicos a los cuadros de dialogo de la logica de deteccion para las
definiciones de vulnerabilidad descargadas yconocidas de las aplicaciones y SO publicadas por los
proveedores descritos anteriormente. Para obtener mas informacion acerca de las opciones,
consulte las secciones correspondientes mas arriba.
Acerca del productode la vulnerabilidad personalizada: Logica de deteccion: Pagina Archivos

utilizados para deteccion
Consulte la Logica de deteccion: Pagina Archivos utilizados para deteccion anterior.
Acerca del productode la vulnerabilidad personalizada: Logica de deteccion: Claves de

configuracion del registro usadas para la pagina de deteccion
Consulte la Logica de deteccion: Configuracion del registro usado para la pagina de deteccion
anterior.
Acerca del productode la vulnerabilidad personalizada: Logica de deteccion: Pagina de Secuencia
personalizada de comandos de deteccion
Consulte la Logica de deteccion: Pagina Secuencia de comandos personalizada anterior.
Acerca de la pagina Informacion sobre parches
Utilice esta pagina para definir y configurar el archivo de revision asociado a la regla (si se requiere
699
uno para la reparacion) y la logica utilizada para detectar si la revision ya existe. Tambien se pueden
configurar comandos adicionales de instalacion o desinstalacion del archivo de revision para
reparaciones personalizadas.
Esta pagina y las que se encuentran debajo de ella hacen referencia al archivo de revision necesario
para reparar una vulnerabilidad. Estas paginas se aplican solamente si la regla de deteccion
seleccionada permite la reparacion mediante la implementacion de un archivo de revision. Si la regla
de deteccion se limita solamente al rastreo, o si el tipo de contenido de seguridad no utiliza archivos
para la reparacion, como en el caso de las amenazas de seguridad, o el spyware, entonces estas
paginas no son importantes.
• Reparar solamente mediante revision o deteccion: Haga clic en alguna de estas opciones
para especificar si la regla de deteccion simplemente buscara la presencia de la definicion
asociada (solo deteccion), o si tambien puede reparar la definicion al implementar e instalar
la revision requerida.
• Informacion de la descarga de la revision:
• URL de la revision: muestra el nombre y ruta completa del archivo de revision necesario
para reparar la definicion seleccionada, si se detecta. La ubicacion de la cual se
descarga el archivo de revision.
• Descargable de manera automatica: indica si el archivo de revision puede descargarse

de forma automatica desde el servidor que lo almacena. Esta opcion puede utilizarse
con reglas de deteccion personalizadas si desea prevenir que los archivos de revision
se descarguen, mediante el menu contextual de la regla. Por ejemplo, puede necesitar
prevenir la descarga automatica de una revision si existe un cortafuegos que bloquee el
acceso al servidor de almacenamiento.
• Descarga: Si esta creando o editando una regla de deteccion personalizada, la cual

tambien realiza la reparacion, y ha escrito el nombre de archivo y la URL de la revision,
haga clic en Descargar para intentar la descarga del archivo de revision en este
momento. Puede descargar el archivo de revision posteriormente, si lo desea.
• Nombre de archivo unico: identifica el nombre unico del archivo ejecutable de la revision.
700
GUÍA DE USUARIO
Se recomienda que si descarga un archivo de revision cree un hash para el archivo de

revision. Para ello, haga clic en Generar MD5 Hash. (La mayona de los archivos de revision
asociados de las vulnerabilidades conocidas contienen un hash.) Debe descargarse el
archivo de revision antes de crear un hash. El archivo hash se utiliza para garantizar la
integridad del archivo de revision durante la reparacion (por ejemplo, cuando se despliega e
instala en un dispositivo afectado). El rastreador de seguridad realiza esto mediante la
comparacion del codigo hash creado al hacer clic en el boton Generar MD5 hash con un
hash nuevo generado inmediatamente antes de que se intenta instalar el archivo de revision
a partir del deposito de parches del cliente. Si los dos archivos hash coinciden, se continua
con la reparacion. Si los dos archivos hash no coinciden, quiere decir que el archivo de
revision ha cambiado de algun modo desde que se descargo en el deposito y se interrumpe
el proceso de reparacion.
• Requiere reinicio: indica si el archivo de revision requiere que el dispositivo reinicie antes
de terminar sus procesos de instalacion y configuracion en el mismo.
• Instalacion en segundo plano: indica si el archivo de revision puede completar su

instalacion sin la interaccion con el usuario final.
Paginas de deteccion de parches

Las paginas siguientes hacen referencia a la logica de deteccion utilizada por la regla para verificar
si la revision ya se encuentra instalada en los dispositivos.
IMPORTANT: Para detectar la instalacion del archivo de revision en un dispositivos, se deben satisfacer
todas las condiciones especificadas para la configuracion de ambos archivos y del registro.
Acerca de la Deteccion de la revision: Archivos utilizados para la pagina de deteccion de revisiones

instalada
Esta pagina especifica las condiciones de archivo que se utilizan para determinar si un archivo de
revision ya se encuentra instalado en un dispositivo. Las opciones de esta pagina son las mismas
que las de la pagina Archivos de la definicion de la logica de deteccion (vease mas arriba). Sin
embargo, la logica funciona al reves cuando se esta detectando una instalacion de revision. En
otras palabras, al verificar la instalacion de una revision, deben satisfacerse todas las condiciones
de archivo especificadas en esta pagina para determinar la instalacion.
Acerca de la Deteccion de la revision: Configuracion del registro usado para la pagina de deteccion
de revisiones instalada
Esta pagina especifica las condiciones de clave de registro que se utilizan para determinar si un
archivo de revision ya se encuentra instalado en un dispositivo. Las opciones de esta pagina son
las mismas que las de la pagina Configuracion del registro de la definicion de la logica de deteccion
(vease mas arriba). No obstante, la logica funciona de forma inversa en este caso. En otras palabras,
al verificar la instalacion de una revision, deben satisfacerse todas las condiciones de registro
especificadas en esta pagina para determinar la instalacion.
IMPORTANT: Para detectar la instalacion del archivo de revision en un dispositivos, se deben satisfacer todas
las condiciones especificadas para la configuracion de ambos archivos y del registro.
701
Paginas para instalar y desinstalar revisiones
Las paginas siguientes le permiten configurar comandos adicionales que se ejecutan cuando el
parche se instala o desinstala de los dispositivos afectados.
Esta opcion esta disponible solo para las definiciones personalizadas que permiten la reparacion.
Estos comandos son utiles si necesita programar acciones espedficas en los dispositivos de
destino para asegurar una reparacion satisfactory. Los comandos adicionales no son requeridos. Si
no configura comandos adicionales, el archivo de revision se auto ejecuta de forma predeterminada.
Recuerde que si no configura uno o mas comandos adicionales, debera incluir un comando que
excluya el archivo de revision actual con el comando Ejecutar.
Acerca de la pagina Comandos de instalacion de parches
Utilice esta pagina para configurar comandos adicionales para cada tarea de instalacion de parches.
Los comandos disponibles son los mismos para la instalacion y desinstalacion de las revisiones.
• Comandos: incluye los comandos en el orden en que se ejecutan en dispositivos remotos.

Seleccione un comando para ver los argumentos. Puede cambiar el orden de los comandos
con los botones Subiry Bajar. Para eliminar un comando de la lista, seleccionelo y haga clic
en
Quitar.
• Agregar: abre un cuadro de dialogo que le permite seleccionar un tipo de comando para
agregara la lista Comandos.
• Argumentos de Comando: muestra los argumentos que definen el comando seleccionado.

Los valores de los argumentos se pueden modificar. Para modificar un argumento, haga
doble clicen el campo Valoryescriba el argumento directamente en el campo. Paratodos
lostipos de comandos, tambien puede hacer clic con el boton derecho en el campo Valor
para seleccionar e insertar una macro o variable en el argumento.
La siguiente lista describe los comandos y sus argumentos:
• Copiar: copia un archivo del origen especificado al destino especificado en el disco duro
del dispositivo destino. Este comando se puede utilizar antes y/o despues de la ejecucion
del archivo de revision en sf mismo. Por ejemplo, luego de extraer el contenido de un
archivo comprimido con el comando Descomprimir, copie los archivos desde donde se
encuentran hasta otra ubicacion.
Los argumentos del comando Copiar son los siguientes: Dest (ruta completa de donde
desea copiar el archivo, no incluye el nombre de archivo) y Fuente (ruta completa y nombre
del archivo que desea copiar).
• Ejecutar: ejecuta el archivo de revision, o cualquier otro archivo ejecutable, en los
Los argumentos del comando Ejecutar son los siguientes: Ruta (la ruta completa y el
nombre de archivo, donde reside el archivo ejecutable; para el archivo de parche puede
702
GUÍA DE USUARIO
utilizar las variables %SDMCACHE% y %PATCHFILENAME%), Argumentos (Opciones de

lmea de comandos del archivo ejecutable, este campo no es obligatorio), Tiempo de espera
(numero de segundos para esperar que el ejecutable finalice antes de continuar con el
proximo comando en la lista, si el argumento Esperar se establece como verdadero), y
Esperar (valor verdadero o falso que determina si debe esperar a que el ejecutable finalice
antes de continuar con el proximo comando de la lista).
• ButtonClick: hace clic automaticamente en un boton espedfico que aparece cuando se

ejecuta un archivo ejecutable. Puede utilizar este comando para programar el clic en un
boton si se necesita esa interaccion con el ejecutable.
Para que el comando ButtonClick funcione correctamente, el argumento Esperar para el

comando precedente Ejecutar debe establecerse en falso, a fin de que el ejecutable finalice
antes de continuar con la accion del clic en el boton.
Los argumentos del comando ButtonClick son los siguientes: Requerido (valor verdadero o
falso que indica si se debe hacer clic en el boton antes de proceder, si selecciona verdadero
y no se puede hacer clic en el boton por alguna razon, se cancela la reparacion. Si se
selecciona falso, y no se puede hacer clic en el boton, la reparacion continuara),
ButtonIDorCaption (identifica el boton en que se desea hacer clic de acuerdo con su
etiqueta de texto o su Id. de control), Espera (numero de segundos que le toma al boton en
que se desea hacer clic para que aparezca cuando se ejecuta el ejecutable)
yWindowCaption (identifica la ventana o cuadro de dialogo donde se encuentra el boton en
que se desea hacer clic).
• ReplaceInFile: edita el archivo basado en texto en los dispositivos de destino. Utilice este
comando para realizar alguna modificacion a un archivo basado en texto, como por ejemplo
un valor especfico en un archivo .INI, antes o despues de la ejecucion de un archivo de
revision para asegurarse que se ejecute correctamente.
Los argumentos del comando ReplaceInFile son los siguientes: Filename (nombre y ruta
completa del archivo que desee modificar), ReplaceWith (cadena de texto exacta que desee
agregar al archivo) y Original Text (cadena de texto exacta que desee eliminar del archivo).
• StartService: inicia el servicio en los dispositivos de destino. Utilice esta opcion para
comenzar un servicio requerido a fin de que se ejecute la revision, o reinicie el servicio que
se requena detener para que se ejecute el archivo de revision.
Los argumentos del comando StartService son los siguientes: Service (nombre del
servicio).
• StopService: detiene el servicio en los dispositivos de destino. Utilice este comando si debe
detenerse en un dispositivo un servicio para que pueda instalarse el archivo de revision.
Los argumentos del comando StopService son los siguientes: Service (nombre del
servicio).
• Unzip: descomprime un archivo comprimido en el dispositivo de destino. Por ejemplo,
puede utilizar este comando si la reparacion requiere que se ejecute mas de un archivo o
703
que se copie a los dispositivos de destino.
Los argumentos del comando Descomprimir son los siguientes: Dest (ruta completa hacia
donde se desee extraer los contenidos de un archivo comprimido en el disco duro de un
dispositivo) y Fuente (ruta completa del archivo comprimido).
• WriteRegistryValue: escribe un valor en el registro.
Los argumentos de WriteRegistryValue son los siguientes: Clave, Escribir, ValueName,

ValueData, WritelfDataEmpty
Acerca de la pagina de Comandos para desinstalar revisiones

Utilice esta pagina para configurar comandos adicionales para cada tarea de desinstalacion de
parches. Los comandos disponibles son los mismos para la instalacion y desinstalacion de las
revisiones. Sin embargo, la pagina de comandos de desinstalacion de parches incluye dos opciones
unicas:
• La revision puede desinstalarse: indica si el archivo de revision puede desinstalarse de los

dispositivos reparados.
• Se necesita la revision original para la desinstalacion: indica si el archivo ejecutable original

de revision debe ser accesible desde el servidor central para poder desinstalarlo de los
dispositivos rastreados.
Para obtener mas informacion sobre los comandos, consulte "Acerca de la pagina Comandos de
instalacion de parches" (699).
Ayuda de tareas Parches y cumplimiento

Acerca del cuadro de dialogo Crear tarea de rastreo de seguridad
Utilice este cuadro de dialogo para crear y configurar una tarea que ejecute el rastreador de
seguridad en los dispositivos de destino.
Tambien puede ejecutar un rastreo de seguridad o cumplimiento inmediato a peticion en uno o mas
de los dispositivos de destino. Haga clic con boton derecho en el dispositivo seleccionado (o en
hasta 20 dispositivos multiples seleccionados) y haga clic en Rastreo de seguridad y revisiones y
seleccione una configuracion de rastreo y reparacion, o bien haga clic en Rastreo de cumplimiento y
luego en Aceptar. Un rastreo de cumplimiento busca en los dispositivos de destino en busca de
cumplimiento con la polftica de seguridad basada en los contenidos del Grupo de cumplimiento.

• Nombre: escriba un nombre unico que identifique la tarea de rastreo de seguridad.
• Crear una tarea programada: agrega la tarea de rastreo de seguridad en la ventana Tareas
programadas, donde puede configurar sus opciones de programacion y recurrencia y
asignarles dispositivos de destino.
• Crear una polftica: agrega la tarea de rastreo de seguridad como poiftica en la ventana de
Tareas programadas, en la cual puede configurar las opciones de las polfticas.
704
GUÍA DE USUARIO
• Ajustes de analisis y reparation: especifica la configuracion de rastreo y reparacion que se

utiliza para la tarea de rastreo. Estos ajustes determinan si se muestra el rastreador de
seguridad en los dispositivos durante la ejecucion, las opciones de reinicio, la interaccion
con el usuario y los tipos de contenido de seguridad rastreados. Seleccione una
configuracion de rastreo y reparacion de la lista desplegable para asignarla a la tarea de
rastreo de seguridad que creo.
Acerca del cuadro de dialogo Tarea de cambio de configuracion

Utilice este cuadro de dialogo para crear y configurar una tarea que cambie la configuracion
predeterminada de los servicios de Parches ycumplimiento en los dispositivos de destino,
incluyendo:
• Ajustes de rastreo y reparacion
• Configuracion de seguridad de cumplimiento (se aplica solo a rastreos de seguridad de

cumplimiento)
• Configuracion de reemplazo de variable personalizada
Con una tarea de cambio de configuracion usted puede cambiar de forma conveniente la
configuracion predeterminada (que se encuentra escrita en el registro local del dispositivo) de un
dispositivo administrado sin tener que implementar nuevamente una configuracion de agente
completa.
• Nombre de la tarea: escriba un nombre unico para identificar la tarea.
• Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede
configurar sus opciones de programacion y recurrencia y asignarles dispositivos de
destino.
• Crear una polftica: agrega la tarea como una polftica a la ventana de Tareas programadas,
donde puede configurar las opciones de polftica.
• Ajustes de analisis y reparacion: especifica los ajustes de rastreo y reparacion utilizados

para las tareas de rastreo de seguridad. Estos ajustes determinan si se muestra el
rastreador en los dispositivos durante la ejecucion, las opciones de reinicio, la interaccion
con el usuario y los tipos rastreados de contenido de seguridad. Seleccione una de las
configuraciones de la lista desplegable. Para obtener mas informacion, consulte "Ayuda de
Parches ycumplimiento" (681).
• Configuration de cumplimiento: especifica la configuracion de cumplimiento utilizada para
las tareas de rastreo de cumplimiento. La configuracion de cumplimiento determina cuando
y como tiene lugar un rastreo de cumplimiento, si la reparacion ocurre en forma automatica
y/o que hacer cuando IVANTI Antivirus detecta una infeccion con virus en dispositivos de
destino.
• Configuracion de reemplazo de variables personalizadas: especifica la configuracion de

reemplazo de variables personalizadas utilizada en dispositivos de destino cuando son
705
analizados en busca de definiciones de seguridad que incluyen variables personalizadas

(como amenazas a la seguridad y virus). La configuracion de reemplazo de variables
personalizadas le permite especificar los valores que desee ignorar u omitir durante un
rastreo de seguridad. Esto es muy util en aquellas situaciones en las que usted no desea
que un dispositivo analizado sea identificado como vulnerable de acuerdo con la
configuracion de variables personalizadas predeterminada de una definicion. Seleccione
una de las configuraciones de la lista desplegable. Desde la lista desplegable puede
tambien seleccionar la eliminacion de la configuracion de reemplazo de variables
personalizadas de los dispositivos de destino. La opcion Quitar configuracion de variables
personalizadas le permite borrar un dispositivo de manera que esa configuracion de
variables personalizadas este en plena vigencia. Para obtener mas informacion, ver
"Configuracion del agente: Variables personalizadas para reemplazar" (817).
Acerca del cuadro de dialogo Crear una tarea de reinicio
Utilice este cuadro de dialogo para crear yconfigurar una tarea generica de reinicio.
Una tarea de reinicio del dispositivo puede resultar util cuando se desea instalar revisiones (sin
reiniciar) como un proceso individual y luego reiniciar los dispositivos reparados como otra tarea
independiente. Por ejemplo, puede ejecutar un rastreo o una instalacion de una revision durante el
dfa, y luego implementar una tarea de solo reiniciar en algun momento mas conveniente para los
usuarios finales.
• Nombre de la tarea: identifica la tarea con un nombre unico.
• Crear una tarea programada: crea una tarea de reinicio en la ventana Tareas programadas
cuando hace clic en Aceptar.
• Crear una polftica: crea una polftica de reinicio cuando hace clic en Aceptar.
• Ajustes de analisis y reparacion: especifica cuales opciones de reinicio de la configuracion

de rastreo y reparacion se utilizan en la tarea a fin de determinar los requisitos y las
acciones de reinicio en los dispositivos de destino.
Acerca del cuadro de dialogo Crear una tarea de reinicio
Utilice este dialogo para crear yconfigurar una tarea de reparacion (remedio) para los siguientes
tipos de definiciones: vulnerabilidades, spyware, actualizaciones de software de IVANTI,
definiciones personalizadas y amenazas de seguridad con una revision asociada. La opcion de
programar reparacion no se aplica a las aplicaciones bloqueadas.
Este cuadro de dialogo incluye las paginas siguientes:
• "Acerca de Crear una tarea de reparacion: Pagina general" (704)
• "Acerca de Crear una tarea de reparacion: Pagina de parches" (705)
Acerca de Crear una tarea de reparacion: Pagina general
• Nombre de la tarea: identifica la tarea de reparacion con un nombre unico. El valor

predeterminado es el nombre de la definicion seleccionada o el grupo personalizado. Si lo
706
GUÍA DE USUARIO
prefiere puede modificar el nombre.
• Reparar como tarea programada: crea una tarea de reparacion de seguridad en la ventana
Tareas programadas cuando hace clic en Aceptar.
• Separar en tareas en fases y tareas de reparacion: (opcional) crea dos tareas separadas en
la herramienta Tareas programadas: una tarea de preparacion de los archivos de revision
necesarios en la memoria cache local del dispositivo de destino y una tarea para la
instalacion de dichas revisiones en los dispositivos afectados.
• Equipos seleccionados a reparar: especifica cuales dispositivos debe agregar a la tarea

de reparacion programada. Puede elegir Ningun dispositivo, todos los dispositivos
afectados (dispositivos cuya definicion se detecto durante el ultimo rastreo) o solo los
dispositivos afectados que tambien se seleccionen (esta ultima opcion se encuentra
disponible solo cuando se accede al cuadro de dialogo Programar reparaciones desde
un cuadro de dialogo de Informacion de seguridad y revisiones de un dispositivo).
• Utilizar multidifusion: habilita esta funcion para la implementacion de parches en

dispositivos. Haga clic en esta opcion, luego en Opciones de multidifusion si desea
configurar las opciones de multidifusion. Para obtener mas informacion, consulte
"Acerca del cuadro de dialogo Opciones de multidifusion" (705).
• Reparar como polftica: crea una poiftica de seguridad de reparacion cuando hace clic en
Aceptar.
• Agregar consulta representando los dispositivos afectados: crea una nueva consulta,
basada en la definicion seleccionada, yaplica la polftica. La polftica basada en
consultas buscara dispositivos afectados por la definicion seleccionada, e
implementara la revision asociada.
• Descargar la Revision entre iguales: restringe la implementacion de la revision de modo

que solo se pueda llevar a cabo si el archivo de revision se ubica en la cache local del
dispositivo o en un igual de la misma subred. Esta opcion permite conservar el ancho
de banda de red. No obstante, para que la instalacion de la revision se realice
correctamente, el archivo de revision debe residir actualmente en uno de estos dos
lugares.
• Solo descargar revision (sin reparar): descarga la revision en el deposito de parches,
pero no implementa la revision. Puede utilizar esta opcion si desea recuperar el archivo
de revision para fines de pruebas previo a la implementacion en sf misma.
• Ajustes de analisis y reparacion: especifica cual configuracion de rastreo y reparacion se

esta utilizando en la tarea de reparacion, para asf determinar si el rastreo de seguridad se
muestra en los dispositivos al ejecutarse.
Acerca de Crear una tarea de reparacion: Pagina de parches

Utilice esta pagina para mostrar ya sea solo las revisiones necesarias o todas las revisiones
707
asociadas con la vulnerabilidad seleccionada. (NOTA: Los campos en esta pagina son identicos a
los de "Ayuda de Parches y cumplimiento" (681).)
Para descargar revisiones directamente de esta pagina, si aun no se han descargadoycolocado el

deposito de parches, haga clic en Descargar.
Acerca del cuadro de dialogo Opciones de multidifusion

Utilice este cuadro de dialogo para configurar las siguientes las siguientes opciones de
multidifusion dirigida de alguna tarea de reparacion de seguridad programada:
• Deteccion de dominios de multidifusion:
• Usar deteccion de dominio de multidifusion: permite que la multidifusion dirigida lleve

a cabo una deteccion de dominio para este trabajo. Esta opcion no guarda el resultado
de la deteccion de dominio para utilizarla en un futuro.
• Usar deteccion de dominio de multidifusion y guardar los resultados: permite a la

multidifusion dirigida realizar una deteccion de dominio para este trabajo y guardar el
multidifusiones.
• Usar los resultados de la ultima deteccion de dominio de multidifusion: permite a la

multidifusion dirigida llevar a cabo una deteccion de dominio desde los resultados
guardados de la ultima deteccion.
• Hacer que los representantes de dominio reactiven los equipos: permite que los
dispositivos compatibles con la tecnologfa Wake On LAN se activen para recibir
la multidifusion.
• Numero de segundos que se esperara tras la funcion Wake On LAN: establece la cantidad
de tiempo que esperan los representantes de dominio para realizar la multidifusion tras
enviar el paquete Wake On LAN. El intervalo de tiempo predeterminado es de 120 segundos.
Si algunos dispositivos de la red tardan mas de 120 segundos en iniciar, se recomienda
aumentar este valor. El valor maximo permitido es 3600 segundos (una hora).
Las siguientes opciones permiten configurar los parametros de multidifusion dirigida espedficos de
la tarea. Los valores predeterminados deben ser adecuados para la mayona de multidifusiones.
• Numero maximo de representantes de dominio de multidifusion funcionando
activamente una multidifusion al mismotiempo.
• Limitar el procesamiento de los equipos con error en la multidifusion: si un dispositivo no

recibe el archivo a traves de la multidifusion, descargara el archivo proveniente del servidor
de archivos o el sitio web. Este parametro se puede utilizar para limitar el numero de
dispositivos que obtienen el archivo a la vez. Por ejemplo, si el numero maximo de
subprocesos es 200y el numero maximo de subprocesos con error de multidifusion es 20,
el cuadro de dialogo Trabajo personalizado procesara un maximo de 20 dispositivos en el
708
GUÍA DE USUARIO
momento en que falle la multidifusion. El cuadro de dialogo Trabajo personalizado procesa

hasta 200 dispositivos a la vez si reciben correctamente la multidifusion, aunque como
maximo 20 de los 200 subprocesos corresponderan a dispositivos en los que fallo la tarea
de multidifusion. Si este valor se establece como 0, el cuadro de dialogo Tarea
personalizada no realizara la parte de la tarea correspondiente a la distribucion de ningun
dispositivo en el que haya fallado la multidifusion.
• Numero de dâs que el archivo permanece en el cache: cantidad de tiempo que puede
permanecer el archivo de multidifusion en la cache de los dispositivos del cliente.
Transcurrido este penodo de tiempo, el archivo se purgara automaticamente.
• Numero de dâs que permaneceran los archivos en la cache del representante de dominio
de multidifusion: cantidad de tiempo que puede permanecer el archivo de multidifusion en
la cache del representante de dominio de multidifusion. Transcurrido este penodo de
tiempo, el archivo se purgara automaticamente.
• Numero mmimo de milisegundos entre las transmisiones de paquetes (WAN o Local):

cantidad de tiempo mfnima que debe transcurrir entre el envfo de diferentes paquetes de
multidifusion.
Este valor solo se utiliza cuando el representante de dominio no transfiere el archivo desde su
propia cache. Si no se especifica este parametro, se utilizara el tiempo de espera mfnimo
predeterminado almacenado en el dispositivo representante de dominio/subred. Puede utilizar este
parametro para limitar el uso de ancho de banda en la red WAN.
• Numero maximo de milisegundos entre las transmisiones de paquetes (WAN o Local):

cantidad de tiempo maxima que debe transcurrir entre el envfo de diferentes paquetes de
multidifusion.
Acerca del cuadro de dialogo Desinstalar revision

Utilice este cuadro de dialogo para creary configurar una tarea de desinstalacion de las revisiones
que se implementaron en los dispositivos afectados.
• Nombre de la tarea: identifica la tarea con un nombre unico. De forma predeterminada, se

utiliza el nombre de la revision. Si lo prefiere puede modificar el nombre.
• Desinstalar como tarea programada: crea una tarea de desinstalacion de revision en la
ventana Tareas programadas cuando hace clic en Aceptar.
• Seleccionar destinos: especifica cuales dispositivos se deben agregar a la tarea de

desinstalacion de revision. Puede elegir Ningun dispositivo, todos los dispositivos con
la revision instalada o solo los dispositivos con la revision instalada que tambien se
seleccionen (esta ultima opcion solo esta disponible cuando accede al cuadro de
dialogo Desinstalar revision desde el dialogo Informacion de seguridad y revisiones de
un dispositivo).
709
• Si se requiere la revision original:
• Utilizar multidifusion: habilita esta funcion para la tarea de implementacion de la

desinstalacion de la revision en dispositivos. Haga clic en esta opcion, luego en
Opciones de multidifusion si desea configurar las opciones de multidifusion. Para
obtener mas informacion, consulte "Acerca del cuadro de dialogo Opciones de
multidifusion" (705).
• Desinstalar como polftica: crea una polftica de desinstalacion de revision en la ventana

Tareas programadas cuando hace clic en Aceptar.
• Agregar consulta representando los dispositivos afectados: crea una nueva consulta,
basada en la revision seleccionada,y aplica la polftica. Esta polftica basada en
consultas buscara los dispositivos que tengan instalada la ruta seleccionada y la
desinstalara.
• Ajustes de analisis y reparacion: especifica cual configuracion de rastreo y reparacion se

esta utilizando en la tarea de instalacion, para asf determinar si el rastreo de seguridad se
muestra en los dispositivos, en las opciones de reinicio, en la informacion de ubicacion
MSI, etc.
Acerca del cuadro de dialogo Recopilar informacion historica
Utilice este cuadro de dialogo para compilar datos sobre las vulnerabilidades rastreadas y
detectadas en los dispositivos administrados. Esta informacion se utiliza en los informes de
seguridad. Puede recopilar los datos inmediatamente o bien, crear una tarea para recopilar los datos
durante un lapso de tiempo especificado.
• Nombre de la tarea: identifica la tarea con un nombre unico.
• Mantener datos historicos por: especifica la cantidad de tiempo (en dfas) durante los cuales
se recopilan los datos. Puede especificar de 1 a 3.000 dfas.
• Generar informe de datos de definiciones publicadas menos de: restringe el informe a los
datos sobre vulnerabilidades que se publicaron dentro del penodo de tiempo especificado.
• Advertir: muestra un mensaje en la consola del servidor central si no se ha ejecutado

alguna tarea en el penodo de tiempo especificado.
710
GUÍA DE USUARIO
• Recopilar ahora: recopila inmediatamente los datos actuales de vulnerabilidades

detectadas, rastreadas y no rastreadas.
• Crear tarea: agrega la tarea a la ventana Tareas programadas, donde puede configurar sus
opciones de programacion y recurrencia yasignarles dispositivos de destino.
• Purgar: elimina por completo los datos sobre vulnerabilidades recopilados hasta este
punto.
Ayuda de la configuracion de Parches y cumplimiento
Acerca del cuadro de dialogo Configurar rastreo y reparacion (y cumplimiento)
Utilice este cuadro de dialogo para administrar la configuracion de rastreo y reparacion (y

cumplimiento). Una vez configurado, puede aplicar la configuracion a las tareas para rastreos de
seguridad y cumplimiento, reparaciones, desinstalaciones y reinicios.
• Nuevo: abre el cuadro de dialogo en el cual puede configurar las opciones pertinentes al
tipo de configuracion especificado.


NOTE: en este momento, la configuracion seleccionada puede estar asociada con una o mas tareas o
dispositivos administrados. Si elimina un ajuste, los dispositivos con dicho ajuste aun lo tendran y continuaran
usandolo hasta que se despliegue una nueva tarea de configuracion. Las tareas programadas y las tareas del
programador local con dicho ajuste seguiran ejecutandose en los dispositivos de destino hasta que se
despliegue una nueva tarea de configuracion.
Ayuda para Instalar o actualizar componentes de seguridad
Acerca del cuadro de dialogo Instalar o actualizar tarea de componentes de seguridad

Utilice este cuadro de dialogo para configurar una tarea que instale los componentes de seguridad
(vfa el agente de Seguridad de punto final compartido) en dispositivos de destino que todavfa no lo
tienen instalado, o actualizar la version existente de los componentes de seguridad en los
NOTE: la instalacion la ejecuta el rastreador de seguridad.

O
711
Esta tarea permite implementaryactualizar de forma conveniente los componentes de seguridad de

un dispositivo administrado (y la configuracion asociada) sin tener que volver a implementar una
configuracion completa del agente.

• Nombre de la tarea: escriba un nombre unico para identificar la tarea.
• Crear una tarea programada: agrega la tarea a la ventana Tareas programadas, donde puede
configurar sus opciones de programacion y recurrencia y asignarles dispositivos de
destino.
• Crear una polftica: agrega la tarea como una polftica a la ventana de Tareas programadas,
donde puede configurar las opciones de polftica.
• Tipo: identifica el componente de seguridad.
• Seguridad de terminales: especifica la configuracion de Seguridad de punto final asociada

con esta tarea de cambio de configuracion particular. Tenga presente que aunque
Seguridad de punto final sea un agente individual que se despliega en dispositivos de
destino, le proporciona servicios a varios componentes de seguridad, incluyendo
Reconocimiento de ubicacion (conexiones de red), HIPS, IVANTI Firewall y Device Control.
• Antivirus: especifica la configuracion del antivirus para las tareas de rastreo del antivirus.
La configuracion del antivirus determina si el icono de IVANTI Antivirus aparece en la
bandeja del sistema del dispositivo, la disponibilidad de las opciones interactivas para los
usuarios finales, la habilitacion del analisis de correo electronico y de la proteccion en
tiempo real, los tipos de archivo a analizar, los archivos y carpetas a excluir, la cuarentena y
la copia de seguridad de los archivos infectados, los analisis programados del antivirus y
las actualizaciones programadas de los archivos de definiciones de virus. Para obtener mas
informacion, consulte 'Acerca del cuadro de dialogo de Configuracion de IVANTI Antivirus"
(794).
• Servidor de seguridad de Windows: especifica la configuracion del Firewall de Windows en

los dispositivos de destino. Puede habilitary deshabilitar el barrera de seguridad y
configurar sus valores, tales como excepciones, reglas de entrada y reglas de salida (para
dispositivos, puertos, programas).
Acerca del cuadro de dialogo Configurar los ajustes de reemplazo de variables personalizadas
Utilice este cuadro de dialogo para administrar su configuracion reemplazo de variable
personalizada. Una vez configurada, puede aplicar la configuracion de reemplazo de variable
personalizada a una tarea de cambio de configuracion e implementarla en los dispositivos de
destino para cambiar (o quitar) su configuracion predeterminada de reemplazo de variable
personalizada.
La configuracion de reemplazo de variables personalizadas le permite configurar excepciones para

los valores de las variables personalizadas. Utilfcelos para ignorar u omitir una condicion espedfica
de variable personalizada para que el dispositivo rastreado no se determine como vulnerable.
712
GUÍA DE USUARIO
713
• Nuevo: abre el cuadro de dialogo de configuracion de reemplazo de variable personalizada

en el cual puede configurar las opciones.
• Editar: abre el cuadro de dialogo de configuracion para reemplazar variables

personalizadasen el cual puede modificar la configuracion de reemplazo de la variable
personalizada seleccionada.

NOTE: en este momento, la configuracion seleccionada puede estar asociada con una o mas tareas o
dispositivos administrados. Si eliminan los ajustes, los dispositivos con dichos ajustes aun los tendran y
continuaran usandolos hasta que se despliegue una nueva tarea de configuracion. Las tareas programadas y las
tareas del programador local con dichos ajustes seguiran ejecutandose en los dispositivos de destino hasta que
se despliegue una nueva tarea de configuracion.
Puede ver la informacion de configuracion de reemplazo de variables personalizadas en la vista

Inventario del dispositivo.
Acerca del cuadro de dialogo Configuracion del grupo Definicion
Utilice este cuadro de dialogo para crear, modificar yseleccionar las configuraciones que controlan
la
forma y el lugar en que se descargan las definiciones de seguridad en funcion de su tipo y
gravedad.
• Filtros de tipo y gravedad de la definicion: Menciona la configuracion del grupo definicion.

• Tipo: Muestra el tipo de definicion para la configuracion del grupo seleccionado.
• Gravedad: Muestra la gravedad de la definicion para la configuracion del grupo

seleccionado.
• Estado: Muestra el estado (No Rastrear, Rastreo y No asignadas) para las definiciones que
coinciden con las configuraciones del grupo cuando se descargan. El estado corresponde a
los nodos de grupo en la vista de arbol. No asignadas es el estado predeterminado.
• Grupo(s): Muestra el grupo o grupos donde se colocan las definiciones de seguridad que
coinciden con los criterios de tipo y gravedad especificados anteriormente. Podra agregar y
eliminartantos grupos personalizados como desee.
• Reparation automatica: Si especifico que las definiciones de seguridad descargadas se

establecen en el estado Rastreo (ubicado en el grupo Rastreo), seleccione esta opcion si
desea que las vulnerabilidades tengan habilitada la opcion reparacion automatica.
714
GUÍA DE USUARIO
Acerca del cuadro de dialogo Propiedades del filtro de definiciones
Use este cuadro de dialogo para definir la configuracion del grupo definicion. Esta configuracion
controla la forma y el lugar en que se descargan las definiciones basadas en el tipo y gravedad.
• Filtro: define el contenido de seguridad (definiciones) que se colocara en el grupo o grupos

seleccionados anteriormente.
• Tipo de definicion: Seleccione el tipo de definicion que desea descargar con el estado y
la ubicacion deseados.
• Gravedad: Seleccione la gravedad para el tipo de definicion especificado. Si el tipo

coincide pero la gravedad no, esta configuracion no filtrara la definicion.
• Action: Define lo que desea hacer con las definiciones descargadas y el lugar en que desea
colocarlas.
• Establecer el estado: Seleccione el estado para las definiciones descargadas. Entre las
opciones se incluyen: No rastrear, Rastrear y No asignadas.
• Establecer la reparation automatica: Seleccione la reparacion automatica si el estado es

Rastrear y si desea reparar automaticamente el riesgo de seguridad en el momento que
lo detecta.
• Coloque la definicion en grupos personalizados: Seleccione uno o mas grupos con los
botones Agregary Eliminar. Puede seleccionar los grupos personalizados que creo, el
grupo de Alertas, el grupo Compatible y varios de los grupos del sector de seguridad
disponibles.
Acerca del cuadro de dialogo Configuracion de alertas
Utilice este cuadro de dialogo para configurar las alertas relacionadas con la seguridad de los
dispositivos rastreados, entre ellas las alertas de vulnerabilidad y antivirus.
El cuadro de dialogo de Configuracion de alertas contiene las siguientes paginas:
Pagina de definiciones
Utilice esta pagina para configurar los avisos de seguridad. Si agrego definiciones de seguridad al
grupo de Alertas, entonces Parches ycumplimiento le avisara cuando alguna de estas definiciones
se detecte en los dispositivos rastreados.
• Intervalo minimo de alertas: especifica el intervalo de tiempo mas corto (en minutos u
horas) en el que se envfan avisos sobre vulnerabilidades detectadas. Es posible utilizar esta
configuracion si no desea recibir alertas con demasiada frecuencia. Establezca el valor en
cero si desea recibir alertas instantaneas y en tiempo real.
• Agregar a grupo de Alertas: indica que vulnerabilidades, por nivel de seguridad, se ubican
de manera automatica en el grupo de Alertas durante un proceso de descarga de
715
contenidos. Cada definicion que se ubica en el grupo de Alerta tambien se ubica de manera
predeterminada y automatica en el grupo Rastrear (para incluir aquellas definiciones en una
tarea de rastreo de seguridad).
Pagina de antivirus
Utilice esta pagina para configurar las alertas de antivirus.
• Nivel mmimo de alerta: especifica el intervalo de tiempo mas corto (en minutos u horas) en
el que se envfan alertas sobre virus detectados. Es posible utilizar esta configuracion si no
desea recibir alertas con demasiada frecuencia. Establezca el valor en cero si desea recibir
alertas instantaneas y en tiempo real.
• Alerta activa: indica que eventos de antivirus generan alertas.
Acerca del cuadro de dialogo Configuracion del servidor central
Utilice este cuadro de dialogo para habilitary configurar el reenvfo automatico de los resultados del
rastreo de seguridad mas reciente a un servidor central de resumen en la red. El reenvfo de datos de
seguridad le permite ver el estado de las vulnerabilidades en tiempo real de todos los dispositivos
administrados en una gran red corporativa distribuida sin necesidad de recuperar manualmente
esos datos directamente desde el servidor central principal.
Cada vez que el rastreador de seguridad se ejecuta, este escribe un archivo con los resultados del
rastreo en una carpeta denominada VulscanResults en el servidor central yavisa al servicio web de
IVANTI Security Suite, el cual agrega el archivo a la base de datos central. Si la configuracion del
servidor central de resumen esta habilitada y se identifica un servidor de resumen valido, este lee el
archivo de resultados del rastreo en su propia base de datos y proporciona un acceso mas rapido a
la informacion de vulnerabilidades crfticas.
• Resultados del rastreo:
• Mantener los resultados del rastreo en la carpeta de resultados de vulscan despues del
procesamiento: guarda los archivos de resultados del rastreo de seguridad en la
carpeta de vulscan predeterminada.
• Descomprimir los archivos si es necesario: permite la descompresion automatica de los

archivos de resultados del rastreo si estos estan comprimidos.
• Cantidad de reintentos de reparacion automatica:
• Cantidad de intentos de reparacion automatica antes de desistir: especifica la cantidad

de veces que el servidor central intentara realizar correcciones a traves de la reparacion
automatica antes de que se agote el tiempo de espera.
716
GUÍA DE USUARIO
• Intentar la reparation automatica indefinidamente: Indica que el servidor central tratara

de realizar correcciones a traves de la reparacion automatica hasta que logre hacerlo o
hasta que alguien detenga el proceso.
• Servidor central de resumen:
• Enviar resultados del rastreo a la base de datos central de resumen (Rollup core)
inmediatamente: habilita el reenvfo inmediato de los resultados del rastreo de
seguridad al servidor central especificado mediante el uso del metodo descrito
anteriormente.
• Utilizar la URL de resumen predeterminada: Permite utilizar la URL predeterminada

cuando se envfe el archivo con los resultados del rastreo desde el servidor central al
servidor central de resumen. Escriba el nombre del servidor central y luego seleccione
esta casilla para insertar automaticamente la secuencia de comandos y la direccion web
en el campo URL de resumen.
• Nombre de servidor central de resumen: identifica al servidor central de resumen que

desea que reciba los resultados del rastreo de seguridad mas reciente proveniente de
• URL de resumen: especifica la direccion web del servidor central de resumen que
recibe los resultados del rastreo de seguridad y la carpeta de destino del archivo de los
resultados del rastreo en el servidor central de resumen. La direccion URL de resumen
se puede introducir marcando la casilla de verificacion Utilizar la URL de resumen
predeterminada o se puede modificar manualmente desmarcando la casilla de
verificacion e introduciendo la URL que desee.
Acerca del cuadro de dialogo Permisos
Utilice este cuadro de dialogo para ver los permisos vigentes de la herramienta de Parches y
cumplimiento que corresponden al administrador que inicio sesion. Estas opciones de los permisos
se configuran con la herramienta de Administracion de usuarios. Tambien, un administrador de
IVANTI puede cambiar los permisos basados en roles que se necesitan para modificar e importar las
definiciones de vulnerabilidades personalizadas.
IMPORTANT: SOLO un administrador de IVANTI puede cambiar los permisos basados en roles. !
Usuario:
• Ver: indica que el usuario tiene la capacidad de ver el contenido de los parches de
seguridad.
• Editar: indica que el usuario tiene la capacidad de modificar el contenido de los parches de
seguridad.
717
• Desplegar: indica que el usuario tiene la capacidad de desplegar el contenido de los

parches de seguridad.
• Modificar publico: indica que el usuario tiene la capacidad de modificar el contenido de las
vulnerabilidades personalizadas.
Como interpretar los permisos basados en roles:
• Requerir el permiso de Modificar publico para modificar las definiciones personalizadas:

Especifica que se requiere tener el permiso de Modificar publico para que un usuario pueda
modificar las definiciones de vulnerabilidades personalizadas.
• Requerir el permiso de Modificar publico para importar las definiciones: Especifica que se
requiere tener el permiso de Modificar publico para que un usuario pueda importar las
definiciones de seguridad.
Ayuda de la barra de herramientas de Parches y cumplimiento
Acerca del cuadro de dialogo Purgar las definiciones de parches y cumplimiento
Utilice este cuadro de dialogo para eliminar revisiones de forma definitiva (y sus reglas de deteccion
asociadas) de la base de datos.
IMPORTANT: Requiere el derecho de administrador de IVANTI

El usuario debe contar con el derecho de administrador de IVANTI para realizar esta tarea.
Puede eliminar las definiciones si se convierten en obsoletas, si no funcionan correctamente, o si el

riesgo de seguridad relacionado se resolvio en su totalidad.
• Plataformas: especifica las plataformas cuyas definiciones desee eliminar de la base de

datos. Si una definicion se asocia con varias plataformas, debe seleccionarlas todas para
poder eliminar la definicion ysu informacion de regla de deteccion.
• Idiomas: especifica las versiones de idiomas de las plataformas seleccionadas cuyas

definiciones desee eliminar de la base de datos. Si selecciono una plataforma de Windows o
Macintosh, debe especificar los idiomas cuya informacion de definicion desea eliminar. Si
eligio una plataforma UNIX o Linux, es necesario especificar la opcion Idioma neutral para
poder eliminar la informacion de definiciones independientes de los idiomas de la
plataforma.
• Tipos: especifica los tipos de contenidos cuyas definiciones desee eliminar.
• Purgar: elimina definitivamente la definicion y la informacion de regla de deteccion para los

tipos que selecciono que pertenecen a las plataformas especificadas y los idiomas que
selecciono. Esta informacion solo puede restaurarse al descargar nuevamente el contenido.
• Cerrar: cierra el cuadro de dialogo sin guardar los cambios ni eliminar la informacion de
definicion.
718
GUÍA DE USUARIO
Acerca de la vista de informacion del rastreo de Seguridad

Use este cuadro de dialogo para ver informacion detallada sobre actividad de despliegue de parches
y estado de los dispositivos rastreados de la red.
Puede ver resultados de rastreo de:

• Dispositivos sobre los que no se ha informado recientemente
• Dispositivos sin resultados
• Dispositivos que necesitan revisiones segun el tipo de severidad seleccionado

Acerca del cuadro de dialogo Configuracion del umbral
Utilice este cuadro de dialogo para definir los penodos de tiempo en los cuales deben aparecer los
resultados del rastreo de antivirus (despliegue de revisiones) en el cuadro de dialogo Informacion
de rastreo de seguridad.
• Umbral de no rastreado recientemente: Indica la cantidad maxima de dfas para verificar los
dispositivos en los que no se han rastreado para desplegar revisiones.
Acerca del cuadro de dialogo Informacion de Seguridad y revisiones

Utilice este cuadro de dialogo para ver la informacion detallada de seguridad de los dispositivos
seleccionados. Puede ver los resultados de los rastreos, las definiciones de seguridad detectadas,
las revisiones instaladas y las que faltan (o las actualizaciones de software) y el historial de
reparacion de un dispositivo.
Utilice el boton Borrar para eliminar toda la informacion de rastreo de los dispositivos
seleccionados existente en la base de datos.
Tambien se puede hacer clic con el boton derecho en una vulnerabilidad (y otro tipo de contenidos
de seguridad) de esta vista ycrear directamente una tarea de reparacion, o bien, habilitar o
desactivar la opcion Reparacion automatica en los tipos de contenido de seguridad que aplique.
La informacion que se presenta tiene como base el tipo de contenido de seguridad seleccionado.
Los nombres de grupos y los campos de informacion que se muestran en esta pagina son
dinamicos y dependen del tipo de contenido de seguridad que se seleccione de la lista desplegable
Tipos. Por ejemplo, si selecciona vulnerabilidades, se muestra la siguiente informacion de campos:
• Revisiones faltantes (Vulnerabilidades detectadas): enumera todas las vulnerabilidades

detectadas en el dispositivo durante el ultimo rastreo.
• Revisiones instaladas: muestra una lista de todas las revisiones instaladas en el

dispositivo.
• Historial de reparacion: muestra la informacion sobre las tareas de reparacion que se
intentaron en el dispositivo. Esta informacion es muy util al resolver problemas de
dispositivos.
Para borrar esta informacion, haga clic en Purgar historial de reparaciones, especifique la
configuracion de dispositivos y el lapso de tiempo, y luego haga clic en Purgar.
719
• Informacion de vulnerabilidad:
• Tftulo: muestra el tftulo de la vulnerabilidad seleccionada.
• Detectada: indica si se detecto la vulnerabilidad seleccionada.

• Detectada por primera vez: muestra la fecha y la hora en que la vulnerabilidad se detecto
originalmente en el dispositivo. Esta informacion resulta util si ha realizado varios
rastreos.
• Motivo: describe el motivo de la deteccion de la vulnerabilidad seleccionada. Esta

informacion puede resultar util a la hora de decidir si el riesgo de seguridad es lo
suficientemente relevante para indicar una reparacion inmediata.
• Esperado: muestra el numero de version del archivo o la clave de registro que busca el
rastreador de vulnerabilidad. Si el numero de version del archivo o la clave de registro
del dispositivo rastreado coincide con este numero, no existe vulnerabilidad.
• Encontrados: muestra el numero de version del archivo o la clave de registro

localizados en el dispositivo rastreado. Si este numero es distinto al numero esperado,
existe vulnerabilidad.
• Informacion de revision:
• Requiere revision: muestra el nombre del archivo del ejecutable de revision necesario
para reparar la vulnerabilidad seleccionada.
• Revision instalada: indica si la revision fue instalada.
• Ultima accion: muestra la fecha y la hora en que la revision se instalo en el dispositivo.
• Accion: indica si la ultima accion fue de instalar o desinstalar.

• Detalles: indica si la implementacion e instalacion se han realizado correctamente. Si se
ha producido un error en la instalacion, esta informacion de estado se debe borrar antes
de intentar instalar de nuevo la revision.
• Borrar: Borra la informacion de fecha y estado de la instalacion de revision actual del

dispositivo seleccionado, que es necesario para intentar desplegar e instalar el parche
de nuevo.
720
GUÍA DE USUARIO
Rollout projects
Overview of rollout projects
Rollout projects are a simplified method for managing vulnerability patching or software
distribution. A rollout project is a set of steps to automate deployment. For each step, you can
perform actions (such as a scheduled task), set criteria for when the content should move to the
next step (such as an 80% success rate), and send notification emails.
When the patches or software packages have completed the actions in a step and pass the exit
criteria, they are moved to the next step in the project. A project can be completely automatic, or
you can require administrator intervention to make sure content doesn't progress until you approve
it. And since you can set up email notices when a step succeeds or fails, you may not need to
monitor the project as closely.
Use a rollout project for a distribution task that has multiple steps that can be automated. For
example, applying patches in phases, or distributing new software to a pilot group before general
distribution. Rollout projects are especially useful in situations where the task is frequently repeated
or requires minimal oversight.
To use a rollout project, complete the following steps:
• Create a scheduled task for the project processor. The rollout project processor applies the
actions on the content in the project, evaluates if the content meets exit criteria, and moves
content from step to step. For more information about how the project processor works, see
"How a rollout project works" (719).
• Create the rollout project. Choose whether you want the project to be for software packages
or patch definitions. For information about the options when creating a rollout project, see
"Creating and editing a rollout project" (721).
• Add steps to the project. Steps contain the information about the actions that you want
performed. For more information, see "Adding steps to a rollout project" (723).
• Add content to the project. Once you have the project created, add the definitions or
software packages to the project. You can copy and paste the content, or automatically add
definitions using a download definitions filter. For more information, see "Adding content to
a rollout project" (729).
Once the project is created and has content, make sure it is in the Play state. When the scheduled
task runs, the project processor applies the actions.
721
Example software package rollout project
To perform a staged rollout for new software, you can set up a rollout project to deliver the software
to a small group first, and then after it has been installed on 80% or more of those devices, wait for a
week to make sure things are working as designed. If the software fails to install on a significant
percentage of devices within 2 weeks, set up the rollout project to send an email warning and don't
push the software to a larger group. However, if everything works as planned, push the software to a
larger group.
This example has two steps:
• Step One
• Action: A scheduled task that distributes the software package to a small group.
• Exit criteria: An 80% success rate, meaning that the package cannot move to Step Two
until the success rate has been matched or exceeded.
• Email: You get an email if the package is still in Step One after 2 weeks.
• Step Two
• Action: A scheduled task that distributes the software package to a larger group.
Example patch rollout project
To create a rollout project to automate deploying IVANTI patches, set up the definition download
settings to always add IVANTI patches to the rollout project. Apply the patches to your pilot group,
send an email that the patches have been downloaded and applied, then wait until an administrator
confirms that the patches are working successfully. Deploy the patches to a larger group, and then
when the patches are installed on 85% of the devices, set the patches to Autofix and tag them with
an Autofix tag to make them easy to identify.
In this example, you change the definition download settings to add content automatically to a
rollout project. When you use this feature, the downloaded content is added to the project and
automatically begins to move through the project steps the next time the project processor runs.
Since this feature requires no administrative oversight after it is set up, you'll probably choose to do
this only in situations where you trust the content or you have an approval built into the project.
This example has three steps:
• Step One
• Action: A scheduled task that applies the patch to your pilot group.
• Exit criteria: An 85% success rate, meaning that the patch must be installed on 85% of
devices.
• Exit criteria: Administrator approval.
722
GUÍA DE USUARIO
• Email: After the success rate has been met, you get an email saying that the content is
waiting for approval.
• Step Two
• Action: A policy-supported push task that applies the patch to a larger group.
• Exit criteria: An 85% success rate, meaning that the patch must be installed on 85% of
devices.
• Step Three
• Action: Set the patch to Autofix.
• Action: Tag the patch as Autofix.
How a rollout project works

A rollout project is a set of steps to automate deployment. For each step, you can perform actions,
set criteria for when the content should move to the next step, and send notification emails. When
the patches or software packages have completed the actions in a step and pass the exit criteria,
they are moved to the next step in the project. A project can be completely automatic, or you can
require administrator intervention to make sure content doesn't progress until you approve it. And
since you can set up email notices when a step succeeds or fails, you may not need to monitor the
project as closely.
The rollout project processor applies the actions on the content in the project, evaluates if the
content meets exit criteria, and moves content from step to step. Schedule the project processor to
run as frequently as you think content needs to move from step to step.
If you have actions in the project that are scheduled tasks, such as a software deployment, the
project processor uses a template to create the task. It creates a new task each time the action is
applied to content. The template it uses to create the scheduled task is specified when you create
the step. For more information about the options available when you're creating steps, see "Adding
steps to a rollout project" (723).
The action for a step is only applied to content once. After the action has been applied, the content
either moves to the next step or stays in the step until the exit criteria are met. If content stays in a
step, the project processor does not reapply the actions the next time it runs; it only re-evaluates if
the exit criteria have been met and if an email needs to be sent.
IMPORTANT: Content does not move to the next step as soon as it meets the exit criteria. It moves to the next
step after it has met the exit criteria AND the project processor runs as a scheduled task.
The steps in a rollout project must be linear. You cannot create branches or force content to skip
steps. If a step is paused, content may move into the paused step, but the actions for that step are
not applied to the content. Content does not skip a paused step.
723
If there are no exit criteria set for a step, the action for the step is applied and the content is
immediately moved to the next step. Content can progress through multiple steps each time the
project processor runs.
Creating a scheduled task for the project processor

Schedule the rollout project processor to run as a scheduled task. Each time it runs, it processes
every rollout project that is active. For information about how the project processor handles content
that is paused, see "Creating and editing a rollout project" (721).
To create a scheduled task for the project processor

1. From the management Consola, click Tools > Security and Compliance > Rollout projects or
Tools > Distribution > Rollout projects. Both paths open the same Rollout projects tool.
2. In the Rollout projects toolbar, click Create a task > Scheduled project processing.
3. Create a name for the task, and if you choose to, select the owner for the task. The scope
used is based on the owner for the task.
4. Click the Schedule task page on the left, and configure the options for when the task runs
and how frequently it runs.
5. Click Save.
Run the project processor on demand

Fortroubleshooting ortesting a rollout project, you may want to run the processor immediately,
process just one project or one step, or apply an action to content more than once.
To run the project processor on demand

1. From the Rollout projects tool, right-click a project or step and select Process now.
IMPORTANT: If you try to process an item and the Process now option isn't available, make sure that the step
and the project are both set to Play and are not paused.
2. A prompt asks if you want to Re-apply actions even if they are already applied. When you re-
apply actions, the project processor runs just for that step and applies the actions to all
content currently in the step, even if they have already met the success criteria for the step.
Whether or not you choose re-apply actions, click OK to run the project processor.
The project processor runs for the selected step or project.
• If actions are re-applied, the Applied actions timestamp is changed, the minimum
duration and post duration timers are reset, and if there are scheduled tasks in
the project or step, they are created again.
724
GUÍA DE USUARIO
• If actions are not re-applied, content is evaluated to see if exit criteria have been met or if
emails need to be sent. Only content that is newto a step has actions applied.
NOTE: Emails associated with a project step are not considered an action and may be sent regardless of whether
or not actions are re-applied.
Pause and play a project, step, or content

Rollout projects, steps, and content in a project all have a state assigned: either play or pause. The
state affects whether or not it is processed when the project processor runs. The icons in the
Rollout projects tool have a play or pause overlay to indicate the current state of the item.
To change the state of a project, step, or content, right-click it and select either Play or Pause.
NOTE: You must pause a rollout project or a step before you can edit it.
O
• When a project is paused: The project processor excludes the project. No actions for the
project are applied, no notifications are sent, no content moves from step to step.
• When a step is paused: The project processor does not process the content in the step.
Content can be moved into the step (either manually or by advancing from the previous
step) but actions are not applied. Content in a paused step does not advance to the
following step even if it meets all of the exit criteria. If the step is paused after an action is
applied, timers continue to run even while the step is paused. For content that does not
have actions applied, any minimum duration or other timers do not start until the actions are
applied.
• When content is paused: No actions are applied to the content, no notifications are sent
regarding the content, and the project processor does not move it from the step it is
currently in. If an action has been applied and a timer is associated with the current step,
the timer continues to run.
Creating and editing a rollout project

A rollout project can be created for either a software distribution or patch management task. You
must choose which type of project it is before you can begin adding steps, because some steps are
specific to the project type.
NOTE: You can use rollout projects if you have either the Software Distribution role or the
Patch Management role.
You must pause a rollout project or a step before you can edit it. When a project is first created, it
defaults to a paused state. If the project has already been created, right-click it and select Pause
(exclude project from processing). For more information on what happens when a project is paused,
see "How a rollout project works" (719).
725
When you create a rollout project, it has the following project options:
General
• Project type: Select the project type. You must select the project type and save the project
before you can add steps to it.
• State: Determine whether the content in the project is processed by the project processor. If
the project is set to Pause, the project processor ignores the project and content stays in
the step it is assigned to. When the project is set to Active, the project processor evaluates
the content in each step and determines which content needs to move to the next step.
• User scope when creating tasks: When you create tasks associated with the project, the
tasks are limited to the scope set for the project. Rollout projects use the same scopes that
are used in the rest of Endpoint Manager.
Email defaults
To edit the sender's address, email server address, username and password, click the Email send
options link at the bottom of the page.
NOTE: These email settings are independent of other SMTP server settings that may be configured in other
O places in the Endpoint Manager Consola.
• Sender's address: The address that appears in the From field. Generally, people use this
field to either indicate the purpose of the email, or an email address that the recipient can
respond to if there are questions about the email.
• SMTP server: The address of the SMTP server.
• User name: A username to access the SMTP server.
• Password: A password to access the SMTP server.

• Addresses: The email recipients for the emails sent out for rollout projects. This list is for all
rollout projects. Every time an email is sent for any rollout project, it is sent to the
addresses in this list. If you want to send emails to a recipient only for a specific rollout
project, use the Recipients page instead.
• Step duration exceeded: Configure the expected duration of the step, and send an email if
content stays in the step longer than expected.
• Exit criteria met: Send an email when content has met the exit criteria for the step.
• Approval: Send an email when content has met all the other criteria for the step, but needs
to be approved by an administrator before it can move to the next step.
726
GUÍA DE USUARIO
• Recipients: The email recipients for the emails sent out for the selected rollout project. This list
is onlyforthe rollout project that you are currently editing. When an email is sent out for the
project, it goes to the addresses on this list and the addresses on the global list (configured
on the Addresses page of the project properties).
Action history
The Action history page allows you to view what actions have been performed by the rollout project,
and what content was involved. Each time content enters a step, has actions applied, or is evaluated
against exit criteria, that information is tracked in the action history.
Use the Action history page to search actions, or sort actions based on date, success or failure, or if
they were performed for the entire project, a step, or content.
To create a rollout project

1. From the management Consola, click Tools > Security and Compliance > Rollout projects or
Tools > Distribution > Rollout projects. Both paths open the same Rollout projects tool.
2. Click the New proj'ect or proj'ect step button in the Rollout projects toolbar.
3. Provide a name for the project, select the project type, and click Apply. The project defaults
to a Pause state, and is not processed by the project processor until you change the state.
NOTE: You must select the project type and save the project before you can add steps to the project. This is
because there are different steps available depending on the project type.
After you have selected the project type and saved the project, you can edit the project
settings, add steps, and change the state to Play. For information about adding steps to a
rollout project, see "Adding steps to a rollout project" (723).
Adding steps to a rollout project

A rollout project is a set of automated steps for a software distribution or patch management task.
When content is added to a rollout project, it progresses through the steps. For each step, you can
perform actions, set criteria for when the content should move to the next step, and send
notification emails. The project processor is a scheduled task that applies the actions, moves
content from step to step, and sends the emails. For information about how the project processor
works, see "How a rollout project works" (719).
You must select the project type and save the project before you can add steps to the project. This
is because there are different steps available depending on the project type.
The following options are available, depending on the type of rollout project you have created.
727
Patch
management
Actions
• Autofix settings: Changes the Autofix setting for the definition. This can enable or disable
either global or scoped autofix.
• Group membership: Changes the group membership for the definition.
• Scan settings: Changes the scan status for the definitions. This may include changing that
status to scan, do not scan, unassigned, or approved for scoped scan, or it may change the
scopes that scan for the definitions.
• Tags: Adds or removes tags from the content.
• Patch task template: Selects the task template to use when creating tasks associated with
this step. Tasks created for a rollout project can be viewed in the task scheduler, located in
the Auto-generated rollout project tasks folder. The tasks are created when the step has
content in it and the project processor runs.
NOTE: This option refers to a scheduled patch task created by the project processor when the project runs. It is
not the same as the project processor scheduled task.
• Targets: Selects the targets for the patch task.
Exit criteria
All of the exit criteria for the step must be met AND the project processor (a scheduled task) must
run in order for content to move to the next step in the project. Content does not move to the next
step as soon as criteria are met; it remains in the current step until the project processor runs. For
information about how the project processor works, see "How a rollout project works" (719).
To see if a definition has met the exit criteria for the step it is currently in, find the definition in the
Rollout projects tool, right-click the definition, and select Properties.
728
GUÍA DE USUARIO
Summary
Content type: Vulnerability
Step name: timed task Last evaluated: 11/9/201510:06:27 AM
Step order: 5 Last applied actions: 11/6/20152:36:35 PM
Met criteria Settings Current value
Exit criteria
A Not met
Minimum duration A Not met 4 weeks. 0 days. 0 hours, 0 minutes 10%
Success criteria ✓ 11/ST2015 2:36:35 PM Target list type: Task 100%
Target list:
Verify by: Not vulnerable
Minimum success rate: 80%
Target sample size: 5 1/1
Success count: 1
Total count: 1
Rost duration J 11/9/201510:06:27 AM 5 hours. 0 minutes 100%
Approval Approval not required
Date time window Not set
• Keep content together: On the Exit criteria page, the Keep content together when advancing
to next step option forces all content that enters the step simultaneously to leave the step
simultaneously. This option allows an administratorto keep similar or associated content all
in the same step, making it easier to track. When the Keep content together option is set for
a step, content cannot progress to the next step unless all of the content with the same
Applied actions timestamp is ready to move to the next step. If you want to keep content
together through the entire project, enable the Keep content together option for each step of
the project.
• Minimum duration: Determine the minimum length of time that content must remain in the
step.
• Success rate: Determine the percentage of target devices that must either have the patch
successfully installed, or are not vulnerable. To check the success rate, the project
processor examines the scan results for target devices. For tasks that are targeting large
groups, we recommend limiting the number of devices that are checked, and using the
success rate of the limited sample rather than trying to determine the success rate for all of
the targeted devices.
• Additional duration: Requires the content to remain in the step for the specified time after
the success rate has been met.
NOTE: If you configure both Minimum duration and Additional duration, the two timers can run
simultaneously. For example, if a step has a minimum duration of four weeks, but the definition meets the
success rate after one week, the Additional duration timer begins as soon as the success rate is met, even
though the Minimum duration timer is still running.
729
• Approval: Blocks the content from advancing to the next step until a IVANTI administrator
approves the content for advancement. To approve content, find the content in the rollout
projects tool, right-click it, and select Approve.
• Date time window: Restricts the date or time that content can leave this step and move to
the next step. Content does not automatically move to the next step during the date time
window. When you use a date time window, the content must meet all of the exit criteria
and the project processor must run during the date time window for content to advance to
the next step. Make sure that the project processor runs during the date time window that
you create, or else the content will never leave the step.
Email
There are two lists for email recipients: one for all rollout projects and one for individual
projects. When you add recipients to the address list from the step properties, you're adding
them to the project recipient list. You cannot create an email recipient list for a specific step.
When content is in a step that has email options set, the project processor sends an email when the
expected duration has been exceeded, the exit criteria have been met, or the content needs
approval.
• Duration exceeded: Sends an email to the addresses on the project email list when the
content has been in the step for longer than expected. Configure the amount of time you
expect the content to stay in the step. If content stays in the step past that time, recipients
receive an email each time the project processor runs and the content is still in the step.
You can restrict how frequently emails are sent by setting a minimum interval, but that
interval only applies to the current step.
• Exit criteria met: Sends an email to the addresses on the project email list when the
content has met the exit criteria for the step. The content progresses to the next step
without administrator action.
• Approval: For this option, you must enable the Approval exit criterion. When all other exit
criteria have been met but approval is still required, the project sends an email requesting
approval. If content stays in the step, recipients receive an email each time the project
processor runs and the content is still in the step. You can restrict how frequently emails
are sent by setting a minimum interval, but that interval only applies to the current step.
Action history
The action history displays the actions associated with the step and the content in it. You do not
configure anything on the Action history page.
730
GUÍA DE USUARIO
Software
distribution Actions
• Schedule distribution task template: Selects the task template to use when creating tasks
associated with this step. Tasks created for a rollout project can be viewed in the task
scheduler, located in the Auto-generated rollout project tasks folder. The tasks are created
when the step has content in it and the project processor runs.
NOTE: This option refers to a scheduled software distribution task created by the project processor when the
project runs. It is not the same as the project processor scheduled task.
• Targets: Selects the targets for the distribution task.

Exit criteria
All of the exit criteria for the step must be met AND the project processor (a scheduled task) must
run in order for content to move to the next step in the project. Content does not move to the next
step as soon as criteria are met; it remains in the current step until the project processor runs. For
information about how the project processor works, see "How a rollout project works" (719).
To see if a definition has met the exit criteria for the step it is currently in, find the definition in the
Rollout projects tool, right-click the definition, and select Properties.
• Keep content together: On the Exit criteria page, the Keep content together when advancing
to next step option forces all content that enters the step simultaneously to leave the step
simultaneously. This option allows an administratorto keep similar or associated content all
in the same step, making it easier to track. When the Keep content together option is set for
a step, content cannot progress to the next step unless all of the content with the same
Applied actions timestamp is ready to move to the next step. If you want to keep content
together through the entire project, enable the Keep content together option for each step of
the project.
• Minimum duration: Determine the minimum length of time that content must remain in the
step.
• Success rate: Determine the percentage of target devices that must have the software
successfully installed.
• Additional duration: Requires the content to remain in the step for the specified time after
the success rate has been met.
NOTE: If you configure both Minimum duration and Additional duration, the two timers can run
simultaneously. For example, if a step has a minimum duration of four weeks, but the definition meets the
success rate after one week, the Additional duration timer begins as soon as the success rate is met, even
though the Minimum duration timer is still running.
731
• Approval: Blocks the content from advancing to the next step until a IVANTI administrator
approves the content for advancement. To approve content, find the content in the rollout
projects tool, right-click it, and select Approve.
• Date time window: Restricts the date or time that content can leave this step and move to
the next step. Content does not automatically move to the next step during the date time
window. When you use a date time window, the content must meet all of the exit criteria and
the project processor must run during the date time window for content to advance to the
next step. Make sure that the project processor runs during the date time window that you
create, or else the content will never leave the step.
Email
• Duration exceeded: Sends an email to the addresses on the project email list when the
content has been in the step for longer than expected. Configure the expected duration and
how often the email recipients receive emails for the rollout project. This reduces email
traffic when several definitions complete steps at the same time.
• Exit criteria met: Sends an email to the addresses on the project email list when the content
has met the exit criteria for the step.
• Approval: For this option, you must enable the Approval exit criterion. When all other exit
criteria have been met but approval is still required, the project sends an email requesting
approval. If content stays in the step, recipients receive an email each time the project
processor runs and the content is still in the step. You can restrict how frequently emails
are sent by setting a minimum interval, but that interval only applies to the current step.
Action history
The action history displays the actions associated with the step and the content in it. You do not
configure anything on the Action history page.
To create a new step in a rollout project
1. Select the rollout project, and make sure that the project is paused. You cannot add steps to
a project while it is active.
2. Click the New project or project step button in the toolbar.

3. In the Project step properties dialog, provide a name for the new step and configure the
options. On some pages, you must enable the checkbox in the upper left corner before you
can edit the options on the page.
NOTE: By default, when a step is created, it becomes the first step in the project. To move the step to a different
position in the project, you can either change the Run order option at the top of the Project step properties dialog,
or save and close the step properties and drag the step into the correct position.
4. Click OK to save the step.
732
GUÍA DE USUARIO
5. Change the state of the project back to Play. If the project is paused, content will not be
processed the next time the project processor runs.
Adding content to a rollout project
Add definitions or software packages to a rollout project by either dragging and dropping the
content, or copying and pasting it. If you add content to a specific step, the content will start
processing at the step where you put it. If you add content to the project, it will start processing in
the first step in the project.
Content can be in more than one rollout project at a time, and it can be in more than one step of a
project at a time. For example, if an administrator doesn't notice that a definition has already
progressed to step 6 and he adds it to step 1, the actions for both step 6 and step 1 are applied to
the definition.
However, if you try to add a definition or package to a step where it already exists, the project
detects it and ignores the duplicate. If you want to reapplythe actions in a step to content (usually
fortesting purposes), right-click the step and select Process now. In the dialog box that appears,
enable the Reapply actions even if they are already applied option and click OK. The project
processor will process just that step of the project and apply the actions to all the content in the
step.
To see a summary of the current state or action history for a definition or package, find the content
in the Rollout projects tool, right-click it, and select Properties. The Gantt chart page displays any
differences between the expected duration (how long content spent in a step) and the actual
duration. To configure the expected duration for a step, select the step, click Properties, and edit the
Expected step duration on the Exit criteria page.
Adding patch definitions automatically
For Patch and Compliance, you can also add content to a rollout project automatically using a
definition filter. When definitions are downloaded, the content matching the definition filter is
automatically added to the specified rollout projects.
To automatically add downloaded definitions to a rollout project

1. Make sure you have already created a Patch rollout project.
2. From the Patch and Compliance tool, click the Download updates button in the toolbar. If
you haven't already, select the definitions that you want to download, and configure other
download settings as desired.
3. On the Updates tab, click the Definition download settings button.

4. In the Definition download settings dialog, click New.
5. Configure the rule to match the content that you want added to the rollout project.
6. On the Rollout projects tab, enable the Add definition to projects check box and click the
Add button. Select the rollout project you want to add the content to.
733
When content is downloaded, all content that matches the filter is added to the rollout
project. If the rollout project is in an active state, the next time the project processor runs,
the content will have the actions for the first step applied.
Deferring content
When you copy or drag content into a project, you have an option to wait before processing the
content. A dialog asks if you want to defer the actions until a specified date and time. When actions
are deferred, the content does not progress through the project steps and no actions are applied to
the content until after the deferral time has passed. The deferral is only applied to the content you
just added. It is not a project setting.
If you decide you do not want the deferral prompt each time you add content, make sure the Prompt
to defer actions when dropping/pasting vulnerabilities or packages into a rollout project option is
not selected when you click OK. You will still be able to defer content or enable the option again.
To defer content after it has been added to a project, find the definition in the Rollout projects tool,
right-click it, and select Defer start.
734
GUÍA DE USUARIO
Security configurations
Informacion general sobre la configuracion del agente
La configuracion del agente controla la manera en que los servicios de IVANTI Endpoint Managery
otros componentes actuan sobre los dispositivos administrados. Estos componentes y las
configuraciones asociadas se pueden desplegar en los dispositivos administrados como parte de
la configuracion de agente inicial, de tareas de instalacion y actualizacion separadas y de tareas de
Si se instala un componente en un dispositivo administrado, los cambios que se realicen a la

configuracion de ese componente no requieren que se vuelva a desplegar todo el agente. La
configuracion se guarda como un archivo XMLy el dispositivo administrado solo necesita un
archivo XML actualizado para volver a configurar la manera de operar del componente instalado.
Los cambios que se llevan a cabo en un componente se propagan automaticamente en todos los
dispositivos que tengan esa configuracion instalada.
Utilice la configuracion del agente para desplegar por primera vez o modificar los componentes
instalados de Endpoint Manager. Utilice la configuracion del agente para modificar el
funcionamiento de los componentes instalados de Endpoint Manager.
735
Crear tareas para cambiar configuraciones

Los componentes de una configuracion de agente requieren los perfiles de configuracion
correspondientes. IVANTI Endpoint Manager se envfa con los perfiles de configuracion
predeterminados para todos los componentes. Se puede utilizar la configuracion de componente
predeterminada o crear una personalizada. Si modifica un perfil de configuracion de componente
que se haya desplegado en un dispositivo administrado, esas modificaciones se propagaran
automaticamente le proxima vez que se ejecute el escaner de vulnerabilidad del dispositivo que
utilice ese perfil.
Puede utilizar una tarea de cambio de configuracion para cambiar la configuracion de un

componente a un perfil de configuracion diferente. La herramienta de Configuracion del agente
ofrecen un modo para hacer esto sin necesidad de volver a implementar una configuracion del
agente completamente nueva. Cuando se crea una tarea de cambio de configuracion, los ajustes
que se modifiquen se enviaran al dispositivo en formato XMLy los cambios se aplicaran sin que sea
necesario reiniciar el equipo ni llevar a cabo mas modificaciones en los archivos del agente.
736
GUÍA DE USUARIO
IVANTI Endpoint Manager 9.6 ha mejorado mucho esta funcion. Casi todas las preferencias de
componentes que se han almacenado en la configuracion del agente, se han trasladado a
Configuracion del agente. Utilice una configuracion del agente para el despliegue inicial del agente
y, a continuacion, utilice la Configuracion del agente para administrar los cambios de preferencias
de componentes futuros.
Tenga en cuenta que la Configuracion del agente solo funciona con los componentes incluidos en
la configuracion del agente de un dispositivo. Si desea agregar o eliminar componentes del agente,
debera desplegar una nueva configuracion del agente desde Herramientas > Configuracion >
Configuracion del agente.
Para crear una tarea de cambio de configuracion

2. En la barra de herramientas, haga clic en el boton Crear una tarea y en Cambiar ajustes.
0- 6 |Q & X O
Cambiar configuracion...
Instalar o actualizar los componentes de seguridad,,,
Eliminar componentes de seguridad...
Tarea de IVANTI Antivirus...
Rastreo de seguridad...
Rastreo de cumplimiento...
737
3. Aparecera el cuadro de dialogo Tarea de cambio de configuration.
4. Junto al componente que desee cambiar, seleccione el ajuste que desee aplicar. Haga
clic en Editar para modificar el ajuste seleccionado. Haga clic en Configurar para
administrar los ajustes de ese componente.
5. Puede configurar inmediatamente las opciones de destino y programacion de tarea en el resto
de paginas del cuadro de dialogo, o puede hacer clic en Guardary hacerlo mas tarde en la
ventana Tareas programadas.
Crear una tarea para instalar o actualizar componentes de

seguridad
Si desea instalar o actualizar componentes de seguridad, tambien puede hacerlo mediante una
tarea aparte.
738
GUÍA DE USUARIO
Para crear una tarea para instalar o actualizar componentes de seguridad
1. En la consola, haga clic en Herramientas > Configuration > Configuration de agentes.

2. Haga clic en el boton Crear una tarea de la barra de herramientas y luego en Instalar o
actualizar componentes de seguridad.
m- c |o & x Q
Instalar o actualizar los componentes de seguridad...

Eliminar componentes de seguridad...
Tarea de LAN DESK Antivirus,,,
Rastreo de seguridad...
739
3. Aparecera el cuadro de dialogo Instalar o actualizartarea de componentes de seguridad
Revision y comprobacion: tarea de componentes de seguridad de instalacion/desinst..

N ombre:
Instalar o actualizar componentes de seguridadl
Configuracion del componente de Informadon de tarea heredada

s 0- Configuradon de tareas
@ Crear paquete heredado y metodo de entrega de versiones anteriores a la 9.60
Configuradon del portal
Valores del agente Dispositivos de
destino Pnogramar tarea 0
Configuradon heredada (anterior a
Componentes de seguridad para instalar
Metodo de entrega
Modificar ajustes haciendo clic en el elemento de la columna de configuracion
Componente Configuracion
□ IVANTI Antivirus Mantener los ajustes del agente actual

1 1 IVANTI Antivirus - Mac Mantener los ajustes del agente actual
1 1 Seguridad de punto terminal Mantener los ajustes del agente actual
® Llnea de comandos Windows O Linea de comandos Mac
| | Mostrar dialogo de progreso er el clierte
Solucion de problemas de instalacion de IVANTI Antivirus usando modo interactivo
□ Forzar la reinstalacion detodos los componentes de IVANTI Antivirus aun si la misma
Modificar... Configurar...
Opciones de tareas (solo Windows)

version ya esta instalado
Guardar Cancelar Ayuda
4. Escriba un nombre para la tarea.

5. Seleccione el componente que desee instalar. Para crear una configuracion nueva o modificar
una existente, haga clic en Configurar.
6. Si desea mostrar el progreso de la instalacion en el dialogo del rastreador de seguridad de los

dispositivos de destino, seleccione la opcion Mostrar dialogo de progreso en el cliente.
7. Seleccione una configuracion de Rastreo y reparacion en la lista para aplicar su configuracion

de reinicio (solamente) a la configuracion de agente que esta creando. Para crear una
740
GUÍA DE USUARIO
configuracion nueva o modificar una existente, haga clic en Configurar. Recuerde que
solamente las opciones de reinicio especificadas en la configuracion de rastreo y reparacion
que ha seleccionado se utilizan en esta implementacion de agente de Seguridad de punto final
en los dispositivos de destino. Puede utilizar configuraciones de Rastreo y reparacion
existentes que ya incluyan la configuracion de reinicio que desee o bien, crear una nueva
configuracion de Rastreo y reparacion espedfica para la implementacion del agente.
741
8. Puede configurar las opciones de destino y programacion de tarea en el resto de paginas

del cuadro de dialogo, o puede hacer clic en Guardary hacerlo mas tarde en la ventana
Tareas programadas.
Crear una tarea para eliminar componentes de seguridad

Si desea eliminar componentes de seguridad de los dispositivos administrados, tambien puede
hacerlo como una tarea aparte desde la consola.
Para crear una tarea para eliminar componentes de seguridad
1. En la consola, haga clic en Herramientas > Configuration > Configuration de agentes.

2. Haga clic en el boton Crear una tarea de la barra de herramientas y luego en Eliminar
componentes de seguridad.
06 Q
Instalar o actualizar los componentes de seguridad...
Eliminar componentes de seguridad,,,
Tarea de LAN DESK Antivirus...
Rastreo de seguridad,,,
742
GUÍA DE USUARIO
3. Aparecera el cuadro de dialogo Eliminar la tarea de componentes de seguridad.

5. Seleccione el componente que desee eliminar.
6. Si desea mostrar el progreso de la instalacion en el dialogo del rastreador de seguridad de los
dispositivos de destino, marque la opcion Mostrar dialogo de progreso en el cliente.
7. Seleccione una configuracion de rastreo y reparacion de la lista disponible para aplicar su

configuracion de reinicio a la tarea que esta creando. Para crear una configuracion nueva o
modificar una existente, haga clic en Configurar. La tarea utilizara solamente las opciones de
reinicio de la configuracion de rastreo y reparacion seleccionadas, las cuales determinan los
requisitos de reinicio y las acciones en los dispositivos de destino durante la eliminacion del
agente.
8. Puede configurar las opciones de destino y programacion de tarea en el resto de paginas del
cuadro de dialogo, o puede hacer clic en Guardary hacerlo mas tarde en la ventana Tareas
programadas.
743
Configurar las opciones de Windows Firewall

La herramienta de Configuracion del agentetambien le permite crear, configurar ydesplegar una
configuracion de Windows Firewall para administrar Windows Firewall en los dispositivos de destino.
Para crear una configuracion de Windows Firewall

2. Haga clic con el boton derecho en Seguridad > Windows Firewall, haga clic en Nuevo,
seleccione la plataforma de Windows deseada y luego haga clic en Aceptar.
Una vez configurada, se pueden desplegar los ajustes en los dispositivos de destino mediante
una tarea de actualizacion o instalacion, o una tarea de configuracion de cambios.
744
GUÍA DE USUARIO
Ayuda de Windows Firewall

Acerca del cuadro de dialogo Crear configuracion de Windows Firewall
Utilice estos cuadros de dialogo para configurar los ajustes de la barrera de seguridad de Windows.
La configuracion de la barrera de seguridad de Windows esta asociada con una tarea para cambiar
configuracion para habilitar/deshabilitar el firewall y para configurar los valores del firewall tales
como excepciones, reglas de entrada y reglas de salida (para servicios, puertos, programas).
Puede utilizar esta funcion para implementar una configuracion en Windows firewall en las
siguientes versiones de Windows:
• Windows 2003
• Windows XP (SP2 o superior)
• Windows Vista
Acerca de Windows Firewall (XP/2003): Pagina general
Utilice esta pagina para configurar los valores generales de la barrera de seguridad.
Acerca de Windows Firewall (XP/2003): Pagina de excepciones
Utilice esta pagina para configurar las excepciones de la barrera de seguridad.

• Excepciones actuales: enumera programas, puertos y servicios cuyas conexiones y
comunicaciones no estan bloqueadas por el servidor de seguridad. El servidor de seguridad
previene el acceso no autorizado a los dispositivos, excepto para los elementos en la lista.
• Agregar programa: permite agregar un programa espedfico a la lista de excepciones para
permitir la comunicacion.
• Agregar puertos: permite agregar un puerto especfico a la lista de excepciones para permitir
la comunicacion.
• Editar: permite modificar las propiedades de la excepcion seleccionada, incluso el alcance
de los dispositivos afectados.
• Eliminar: quita la excepcion seleccionada de la lista.
• Aceptar: guarda los cambios y cierra el cuadro de dialogo.
Definiciones de amenazas a la seguridad del firewall de Windows

IVANTI Security Suite provee definiciones predefinidas de amenazas a la seguridad que le permiten
rastrear, detectary configurar valores de la barrera de seguridad en dispositivos administrados que
ejecuten plataformas especficas de Windows. Las siguientes definiciones de amenazas a la
seguridad le permiten rastrear y modificar la configuracion del firewall:
• ST000102: definicion de amenaza a la seguridad para Windows Firewall en Windows 2003 y
Windows XP.
745
• ST000015: definicion de amenaza a la seguridad para el firewall de Conexion a Internet en

Windows 2003 y Windows XP.
Las propiedades de las amenazas a la seguridad de Windows Firewall contienen variables

personalizadas que le permiten configurar los valores de Windows Firewall. Puede utilizar estas
definiciones de amenazas a la seguridad para rastrear su configuracion espedfica y regresar a la
condicion de vulnerabilidad si esa configuracion no coincide. Despues puede usar la definicion
personalizada en una tarea de reparacion, a fin de activar o desactivar el firewall o reconfigurar sus
valores en el dispositivo rastreado.
Acerca de Windows Firewall (Vista): Pagina de reglas generales Utilice esta pagina para configurar
las reglas generales de firewall.
Acerca de Windows Firewall (Vista): Reglas de entrada
Utilice esta pagina para configurar las reglas de entrada de la barrera de seguridad.
Acerca de Windows Firewall (Vista): Reglas de salida
Utilice esta pagina para configurar las reglas de salida de la barrera de seguridad.
Generar codigos de autorizacion de seguridad

Cree un codigo de autorizacion que permitira que algun usuario final realice una operacion que esta
bloqueada durante un breve penodo de tiempo. Puede usar un codigo de autorizacion para
proporcionar acceso temporal a algun usuario especfico o a un administrador de TI para tener el
acceso a algun dispositivo administrado.
Por ejemplo, si un usuario intenta conectar un dispositivo USB que no esta permitido por la
configuracion de Control de Dispositivo, aparecera un mensaje en el dispositivo de usuario final
que incluye un codigo de operacion. El usuario le proporcionana dicho codigo de operacion al
administrador, quien lo usana para generar un codigo de autorizacion que se le regresa al usuario
final. Esto les permite realizar la accion de manera temporal.
Para generar un codigo de autorizacion
1. En la herramienta Configuracion del agente, haga clic en el boton Configurar opciones de la

barra de herramientas y luego en Genere el codigo de autorizacion.
2. Introduzca el codigo de operacion proporcionado por el usuario final.

3. Si el codigo de operacion es valido, se genera un codigo de autorizacion automaticamente.
4. Introduzca el tipo de operacion que el usuario final desea realizar.
5. Entregue el nuevo codigo de autorizacion al usuario final. El usuario introduce el codigo de
autorizacion cuando se le solicite para realizar la operacion que estaba bloqueada.
746
GUÍA DE USUARIO
CAUTION: Mensajes emergentes inexactos

Cuando se le entrega a un usuario acceso a traves de un codigo de autorizacion, puede aparecer un mensaje
en el dispositivo de usuario final indicando que HIPS ha sido desactivado independientemente de la accion real
que tomo el usuario. Este mensaje puede ignorarse.
Ajustes adaptables
Los ajustes adaptables permiten que las configuraciones de agente cambien de forma dinamica en
los dispositivos en funcion de la ubicacion (geolimitacion) o de la direccion IP. Estan destinados
fundamentalmente a dispositivos moviles y ordenadores portatiles. Por ejemplo, puede haber un
conjunto de configuraciones de agente cuando los dispositivos estan conectados a la red
corporativa, pero otro conjunto mas restrictivo cuando se conectan a redes externas.
Los ajustes adaptables en funcion de la direccion IPfuncionan con dispositivos Windows. La

geolimitacion utiliza la API de localizacion de Windows 8 y solo funciona con dispositivos con
Windows 8,
Al habilitar los ajustes adaptables, .NET 4.0 se instala con el agente.
Creacion de ajustes adaptables

Los ajustes adaptables tienen tres partes:
1. Desencadenador: el geolimitador coordina y establece un rango o el comienzo y el final de

un rango de direcciones IP.
2. Regla: la combinacion del desencadenador yde la configuracion del agente reemplaza la

activacion del desencadenador.
3. Ajustes adaptables: lista de reglas que se van a supervisar, ordenadas por prioridad. Se
despliegan en los dispositivos con la configuracion del agente.
Siga estos pasos para iniciar los ajustes adaptables:
1. Cree un desencadenador.
2. Cree una regla.
3. Cree un ajuste adaptable.
4. En una configuracion de agente, habilite los ajustes adaptables y seleccione uno de ellos.
5. Despliegue la configuracion de agente que ha modificado.
Las tareas de cambio de ajustes no se pueden utilizar en el despliegue inicial de los ajustes
adaptables. En primer lugar, debe desplegar los ajustes adaptables con una configuracion de
agente. Si despues desea cambiar el ajuste adaptable al que hace referencia una configuracion de
agente de un dispositivo, utilice una tarea de cambio de ajustes.
747
Los ajustes adaptables sacan partido de la tecnologâ de comportamiento de agentes de IVANTI.

Cuando se ha desplegado un ajuste adaptable en los dispositivos, cualquier cambio posterior al
ajuste adaptable que utilice esos dispositivos se distribuira automaticamente a los dispositivos
afectados. No es necesario programar mas despliegues de agente ni tareas de cambio de ajustes
para actualizar los ajustes adaptables desplegados.
Desencadenadores de ajustes adaptables
Existen dos tipos de desencadenadores de ajustes adaptables:
• la geolimitacion (Requiere Windows 8y un dispositivo con GPS.)
• el intervalo de direcciones IP (para cualquier dispositivo Windows)
748
GUÍA DE USUARIO
En la geolimitacion, el radio del drculo objetivo predeterminado es de 10 metros. Aumente el radio

si desea incorporar un area corporativa, una ciudad, etc.
La precision mfnima del dispositivo de geolimitacion determina la exactitud que debe tener la
lectura del GPS para que se active el desencadenador. Si la exactitud con la que informa el GPS
excede el valor especificado, el desencadenador no se activa.
La opcion Verificar si hay servidores centrales en la red del intervalo de direcciones IP puede
ayudar a impedir la falsificacion de la red ya que garantiza que el servidor central IVANTI Endpoint
Manager este visible para el dispositivo. No utilice esta opcion con intervalos de direcciones IP que
no tengan acceso al servidor central.
Para configurar el desencadenador de ajustes adaptables de la geolimitacion

2. En la barra de herramientas de la ventana Configuracion de agentes, haga clic en el boton
Ajustes de la configuracion (O T) y a continuacion, haga clic en Editar reglas de ajustes
adaptables.

4. Haga clic en Nuevo al lado de la lista Selection de desencadenadores.
5. Introduzca un nombre de desencadenador.
6. Seleccione el tipo de desencadenador Geolimitacion.
7. Haga clicy arrastre el mapa hasta que la cruz filar roja este sobre la ubicacion que desea
limitar geograficamente. Utilice las barras de desplazamiento para acercarse y alejarse.
8. Ajuste el Radio y la Precision mmima del dispositivo. El drculo que rodea la cruz filar roja
indica el area cubierta.

Reglas de ajustes adaptables
Las reglas de ajustes adaptables asocian un desencadenador con uno o mas ajustes de agente que
se reemplazaran cuando se active el desencadenador, ademas de acciones puntuales tales como el
749
bloqueo de pantalla.
Para crear una regla de ajustes adaptables
1. Haga clicen Herramientas > Configuration > Configuration del agente.

2. En la barra de herramientas de la ventana Configuracion del agente, haga clic en el boton
Configurar ajustes (0 T) y a continuation, haga clic en Editar reglas de ajustes adaptables.
4. Introduzcaun nombre de regla.
5. Seleccione un desencadenador o haga clic en Nuevo y configure un desencadenador nuevo.
Para obtener mas informacion, consulte la seccion siguiente.
6. En la lista de configuraciones, seleccione la configuracion de agente que desea utilizar para
750
GUÍA DE USUARIO
cada tipo.
7. Seleccione las acciones puntuales que desee aplicar a esta regla. Para obtener mas
informacion, consulte "Acciones puntuales de los ajustes adaptables" (748).
Creadon de ajustes adaptables

Un ajuste adaptable son una o mas reglas de ajustes adaptables ordenadas por prioridad. En la
configuracion del agente de ajustes adaptables, se pueden seleccionar varias reglas de la lista de
reglas disponibles. El agente del dispositivo administrado comprobara los desencadenadores de
cada regla de la lista de reglas seleccionada, comenzando por el principio. Se aplicara la primera
regla que el agente encuentre que tenga un desencadenador que coincida y el procesamiento de
reglas se detendra Solamente se puede activar una regla a la vez. Si no se desencadenan reglas, se
aplican los ajustes predeterminados indicados en la pagina de configuracion del agente.
En los ajustes adaptables se puede definir el intervalo Comprobar ubicacion del GPS cada. La
frecuencia predeterminada es dos minutos. Las comprobaciones frecuentes reducen la duracion de
la batena del dispositivo.
751
Para crear un ajuste adaptable

2. En el arbol Configuracion del agente, haga clic con el boton derecho en Ajustes adaptables y
a
continuacion, haga clic en Nuevo.
3. En el cuadro de dialogo Ajustes adaptables, mueva las reglas que desee aplicar desde la lista
Reglas disponibles a la lista Reglas seleccionadas. Haga clic en Subiry Bajar para cambiar el
orden.
4. Si no se aplica ninguna regla, se pueden utilizar los ajustes predeterminados de la
configuracion de agente (es decir, no cambiar nada) o especificar que regla aplicar.
5. Si lo desea, seleccione Bloquear sesion de Windows si los servicios de ubicacion estan
deshabilitados. De esta forma se bloquea el dispositivo si se activa, por ejemplo, el modo
avion.
752
GUÍA DE USUARIO
Acciones puntuales de los ajustes adaptables

Las reglas de los ajustes adaptables pueden tener acciones puntuales que se ejecutan cuando la
regla se activa. Por ejemplo, puede utilizarse la accion Bloquear sesion de Windows cuando el
dispositivo abandone la oficina.
Se puede elegir entre las siguientes acciones puntuales:
• Aplicar configuracion de bloqueo de seguridad del BIOS recomendada por HP: solo funciona
en dispositivos HP. Es necesario proporcionar la contrasena del BIOS.
• Bloquear sesion de Windows: bloquea la sesion de forma que el usuario tenga que volver a
iniciar sesion. Ayuda a impedir los accesos no autorizados cuando el dispositivo abandona
un area segura.
• Ejecutar analisis de seguridad: ejecuta el analisis de seguridad seleccionado.
Aplicacion de los ajustes adaptables a configuraciones de agente

Cuando haya configurado un ajuste adaptable, es necesario crear o modificar una configuracion de
agente para utilizar los ajustes adaptables.
Para habilitar ajustes adaptables:
2. Edite o cree una configuracion de agente Windows nueva.

3. En la lista situada a la izquierda, haga clic en Ajustes adaptables.
4. Seleccione Aplicar ajustes adaptables a esta configuracion. Tenga en cuenta que esta accion
instalara .NET en los dispositivos.
5. Seleccione el ajuste adaptable que se va a desplegar con esta configuracion de agente.

7. Despliegue la configuracion de agente.
Ayuda de configuracion del agente

Configuracion del agente: Ajustes adaptables
Herramientas > Configuracion > Configuracion del agente > Ajustes adaptables
Un ajuste adaptable son una o mas reglas de ajustes adaptables ordenadas por prioridad. En la
configuracion del agente de ajustes adaptables, se pueden seleccionar varias reglas de la lista de
reglas disponibles. El agente del dispositivo administrado comprobara los desencadenadores de
cada regla de la lista de reglas seleccionada, comenzando por el principio. Se aplicara la primera
regla que el agente encuentre que tenga un desencadenador que coincida y el procesamiento de
reglas se detendra Solamente se puede activar una regla a la vez. Si no se desencadenan reglas, se
aplican los ajustes predeterminados indicados en la pagina de configuracion del agente.
753
Los ajustes adaptables permiten que las configuraciones de agente cambien de forma dinamica en
los dispositivos en funcion de la ubicacion (geolimitacion) o de la direccion IP. Estan destinados
fundamentalmente a dispositivos moviles y ordenadores portatiles. Por ejemplo, puede haber un
conjunto de configuraciones de agente cuando los dispositivos estan conectados a la red
corporativa, pero otro conjunto mas restrictivo cuando se conectan a redes externas.
Para obtener mas informacion, consulte "Ajustes adaptables" (742).
NOTE: Al habilitar los ajustes adaptables, .NET 4.0 se instala con el agente.
O
El cuadro de dialogo Ajuste adaptable contiene las siguientes opciones:
• Nombre: Nombre de este ajuste adaptable.
• Reglas: Mueva las reglas que desee aplicar desde la lista Reglas disponibles a la lista Reglas
seleccionadas. Haga clic en Subiry Bajar para cambiar el orden. Haga clic en Nuevo... para
abrir el cuadro de dialogo Editar reglas de ajustes adaptables.
• Si no hay ninguna regla de aplicacion: Si no se aplica ninguna regla, se pueden utilizar los
ajustes predeterminados de la configuracion de agente (es decir, no cambiar nada) o
especificar que regla aplicar desde la lista de Aplicar la siguiente regla.
• Bloquear la sesion de Windows si los servicios de ubicacion estan deshabilitados: Haga clic
en el dispositivo cuando los servicios de ubicacion esten deshabilitados, como cuando
alguien se va del edificio de su empresa o si alguien activa el modo de avion.
• Comprobar la ubicacion GPS cada: La frecuencia predeterminada es dos minutos. Las
comprobaciones frecuentes reducen la duracion de la batena del dispositivo.
• Ajustar como predeterminado en la configuracion del agente: Convierte este ajuste adaptable
en el ajuste predeterminado para las nuevas configuraciones de agentes.
Acerca del cuadro de dialogo Editar regla de ajustes adaptables

Si hace clic en Nuevo o en Editar en el cuadro de dialogo de Ajustes adaptables aparecera el cuadro
de dialogo Editar regla de ajustes adaptables. Las reglas de ajustes adaptables asocian un
desencadenador con uno o mas ajustes de agente que se reemplazaran cuando se active el
desencadenador, ademas de acciones puntuales tales como el bloqueo de pantalla.
Para obtener mas informacion, consulte "Ajustes adaptables" (742).
754
GUÍA DE USUARIO
El cuadro de dialogo Editar regla de ajustes adaptables contiene las siguientes opciones:
• Nombre de la regla: Nombre de esta regla.
• Seleccionar activador: Muestra los activadores disponibles. Utilice Nuevo si no hay
activadores o si desea crear uno nuevo. Los activadores pueden ser de intervalo
geolimitacion o de direccion IP.
• Nuevo... abre el cuadro de dialogo Editar activador, donde podra configurar un nuevo
activador.
• Editar... Edita el activador seleccionado.
• EliminarElimina el activador seleccionado.
755
• Tipo/Ajustes: En la lista de configuraciones, seleccione la configuracion de agente que desea

utilizar para cada tipo.
• Al activar la regla, llevar a cabo las siguientes acciones puntuales: Las reglas de los ajustes
adaptables pueden tener acciones puntuales que se ejecutan cuando la regla se activa.
Seleccione las acciones puntuales que desee aplicar a esta regla.
• Aplicar configuracion de bloqueo de seguridad del BIOS recomendada por HP: solo
funciona en dispositivos HP. Es necesario proporcionar la contrasena del BIOS.
• Bloquear sesion de Windows: bloquea la sesion de forma que el usuario tenga que
volver a iniciar sesion. Ayuda a impedir los accesos no autorizados cuando el
dispositivo abandona un area segura.
• Ejecutar analisis de seguridad: ejecuta el analisis de seguridad seleccionado. Haga
clic en Configurary seleccione un analisis.
• Ejecutar un archivo de lotes o un comando de powershell: Haga clic en Configurar y
seleccione un archivo de lotes o un comando de powershell.
Acerca del cuadro de dialogo Editar activador
El cuadro de dialogo Editar activador contiene las siguientes opciones:
• Nombre del activador: Nombre de este activador.

• Seleccionar tipo: una de las opciones siguientes:
• Geofence: Requiere Windows 8y un dispositivo con GPS. Haga clicy arrastre el mapa
hasta que la cruz filar roja este sobre la ubicacion que desea limitar geograficamente.
Utilice las barras de desplazamiento para acercarseyalejarse. El radio del drculo
objetivo predeterminado es de 10 metros. Aumente el radio si desea incorporar un
area corporativa, una ciudad, etc. La precision mmima del dispositivo determina la
exactitud que debe tener la lectura del GPS para que se active el desencadenador. Si
la exactitud con la que informa el GPS excede el valor especificado, el
desencadenador no se activa.
• Intervalo de la direction IP: Funciona con cualquier dispositivo de Windows. La opcion
Verificar si hay servidores centrales en la red puede ayudar a impedir la falsificacion
de la red ya que garantiza que el servidor central IVANTI Endpoint Manager este visible
para el dispositivo. No utilice esta opcion con intervalos de direcciones IP que
notengan acceso al servidor central.
Configuracion del agente: Salud del agente

Herramientas > Configuracion > Configuracion del agente > Salud del agente
Utilice el ajuste de agente Salud del agente para administrar la salud del agente en los dispositivos.
Con la salud del agente, el escaner de vulnerabilidad se asegurara de que los componentes del
agente permanecen instalados, estan al dfa y tienen la Configuracion del agente adecuada. Si los
usuarios deshabilitan los servicios del agente o eliminan los archivos, la salud del agente restaurara
el estado del atente y los archivos para que sigan funcionando.
La salud del agente utiliza una definicion de vulnerabilidad para cada componente de agente que
proviene del servidor de actualizaciones de software de IVANTI. Cuando el escaner de
756
GUÍA DE USUARIO
vulnerabilidad se ejecuta en dispositivos administrados que utilicen la salud del agente, el escaner
utilizara estas definiciones para verificar el estado del agente, ademas de otras tareas. De forma
predeterminada, el escaner se ejecuta una vez al dfa.
Los cambios que se lleven a cabo a los ajustes de componentes que formen parte de un ajuste de
salud del agente se aplican automaticamente durante las comprobaciones de la salud del agente. Si
un ajuste forma parte de un ajuste de salud de agente activo, no necesitara programar un tarea por
separado si los ajustes de ese componente se modifican.
La salud del agente tambien ejecuta IVANTIAgentBootstrap.exe una vez al dfa en los dispositivos
que utilizan la salud del agente. Este programa comprueba si el escaner de vulnerabilidad esta
presenteyfunciona. Si se ha manipulado o no esta disponible, este programa se vuelve a instalary
utiliza el escaner de vulnerabilidad para restaurar la salud del agente.
La salud del agente tiene tres partes principales:
1. Los componentes del agente y el estado de instalacion

2. Cumplimiento
3. Los ajustes del agente que se aplican para cada componente
Para configurar la salud del agente

2. En el arbol Configuracion del agente, haga clic con el boton derecho sobre Salud del agente
y haga clic en Nuevo, o doble clic sobre el ajuste de salud del agente existente.
3. Configure la salud del agente tal ycomo se describe en las siguientes secciones.
Descargar las definiciones de vulnerabilidad de salud del agente
Antes de utilizar la salud del agente, debera descargar las definiciones de vulnerabilidad de salud
del atente.
Para descargar las definiciones de vulnerabilidad de salud del agente
2. En la barra de herramientas, haga clic en el boton Descargar actualizaciones * .

3. En el arbol Tipos de definiciones de la pestana Actualizaciones, acceda a Windows >
Actualizaciones de software > IVANTI 2017 Salud del agente. Haga clic sobre ella.
4. Haga clic en Descargar ahora o programelo para que se descargue mas adelante.
Acerca de la salud del agente: Generalidades
Utilice la pagina Generalidades para ajustar las anulaciones del comportamiento global de la
Reparacion automatica y del Reinicio.
• Reparacion automatica: Si un componente utiliza la opcion de reparar automaticamente el
escaner de seguridad, puede mantener a nivel global el ajuste de reparacion automatica
existente, permitirla o deshabilitarla.
757
• Reiniciar: Se deja el comportamiento de reinicio tal y como este configurado, a nivel global,
permite a IVANTI reiniciar o deshabilita el reinicio de IVANTI. Cuando se deshabilita el
reinicio, los agentes de IVANTI no reiniciaran los dispositivos aunque se lleve a cabo una
accion que requiera el reinicio. En este caso, los dispositivos se deberan reiniciar
manualmente.
Acerca de la salud del agente: Componentes
Utilice la pagina de Componentes para configurar las acciones del estado de instalacion para cada
componente del agente. La mayona de componentes pueden tener estos estados de instalacion:
• No hacer nada: No modifica el componente, tanto si esta instalado como si no.

• Instalar: Se asegura de que el componente este instalado y permanece instalado.
• Quitar: Elimina el componente si este se encuentra instalado. Esta accion no elimina los
archivos asociados con el componente, pero sf desactiva el componente en el dispositivo
administrado. Esta opcion no esta disponible para el componente Agente base.
Acerca de la salud del agente: Cumplimiento
Utilice la pagina de Cumplimiento para especificar las definiciones de vulnerabilidad que se

utilizaran cuando se administre la salud del agente.
Escanear regularmente en busca de problemas de salud del agente, mediante el grupo siguiente:
Habilite esta opcion si quiere que la salud del agente se administre de manera activa, bien con un
programa controlado por eventos o con un programa basado en la hora. Cuando se habilite, debera
seleccionar un grupo de vulnerabilidad. Para utilizar las definiciones predeterminadas de salud del
agente de IVANTI, haga clicen el boton Explorary seleccione Grupos predefinidos > Salud del
agente. No sera necesario seleccionar este grupo a menos que haya descargado previamente las
definiciones de vulnerabilidad de salud del agente de IVANTI.
Si ha habilitado esta opcion, puede configurar en que momento se producira el analisis de salud del
agente.
Acerca de la salud del agente: Configuracion
Utilice la pagina de Configuracion para asignar una configuracion de ajustes espedfica a los
componentes del agente. Solo puede asignar ajustes a componentes que haya ajustado al estado
"Instalar" en la pagina Componentes.
Aplicar los ajustes indicados a continuacion

• Solo si los ajustes asociados no se especifican: Cuando se seleccionad, los ajustes del
componente que configure bajo esta opcion solo se asignaran si el componente se instala
pero no tiene un ajuste asignado. Si un componente ya cuenta con un ajuste, este no se
reemplazara.
• Siempre: El ajuste del componente que configure a continuacion siempre se aplicaran,

incluso si el componente ya tiene un ajuste diferente.
Especificar la lista de ajustes
Los componentes que ajuste al estado "Instalar" en la pagina Componentes apareceran en esta
758
GUÍA DE USUARIO
lista, junto con los ajustes predeterminados asociados con ese componente.
Haga clic en el nombre de un ajuste para mantener el ajuste del componente actual o para
seleccionar otro ajuste de componente existente.
Haga clic en Editar para modificar el ajuste seleccionado o Configurar para administrar la lista de
ajustes disponibles para ese componente.
Configuracion del agente: Vigilante del agente

Herramientas > Configuracion > Configuracion del agente > Vigilante del agente
Utilice este cuadro de dialogo para creary modificar la configuracion del Vigilante del agente.
La configuracion del vigilante del agente determina que servicios y archivos se supervisan y con
que frecuencia, asf como tambien si la utilidad permanece residente en el dispositivo.

• El Vigilante del agente permanece residente: indica si LDRegwatch.exe (el ejecutable del
Vigilante del agente) permanece residente en la memoria todo el tiempo. Si no selecciona
esta opcion, LDRegwatch.exe permanecera en la memoria solamente el tiempo necesario
para verificar los servicios y archivos seleccionados en los tiempos programados.
• Supervisar estos servicios: especifica que servicios crrticos se van a supervisar con la
• Supervisar estos archivos: especifica que archivos crfticos se van a supervisar con la
• Intervalo de muestreo: especifica la frecuencia con la que el Vigilante del agente va a
supervisar los servicios y archivos seleccionados. El valor mmimo de este intervalo es 30
segundos.
• Buscar cambios a esta configuracion en el servidor central: compara automaticamente la
version actual de la configuracion del vigilante del agente seleccionada con la que se
implemento en los dispositivos de destino (en el intervalo de tiempo especificado a
continuacion). Si la configuracion se modifica durante dicho penodo, se implementa la nueva
configuracion yse reinicia el Vigilante del agente con estos nuevos ajustes.
• Intervalo de verification: especifica el penodo de tiempo de la comparacion periodica
de la configuracion del Vigilante del Agente.
IMPORTANT: No se deben seleccionar servicios que no se van a implementar para que el vigilante del j
Cuando configure el Vigilante del agente, no seleccione servicios que no piense instalar en los dispositivos
de destino. De lo contrario, el servidor central recibira alertas para servicios no instalados que no se instalaron a
no se envian alertas diciendo que el servicio no puede reiniciarse o que su tipo de inicio no puede cambiarse
759
Configuracion del agente: IVANTI Antivirus

Se puede tener acceso a las funciones de IVANTI Antivirus desde la ventana de herramientas
Configuracion del agente (Herramientas > Seguridad y cumplimiento > Configuracion del agente).
En la ventana de Configuracion del agente, haga clic con el boton derecho en IVANTI Antivirus de la
carpeta de Seguridad y luego haga clic en Nueva...
Antivirus le permite descargar y administrar el contenido de antivirus (archivos de definiciones de

virus), configurar los analisis del antivirus y personalizar la pantalla o la configuracion de
interaccion del analizador del antivirus, lo cual determina como el analizador aparece y opera en los
dispositivos de destino, y que opciones interactivas hay disponibles para los usuarios finales.
Tambien se puede ver informacion relativa al antivirus de los dispositivos analizados, habilitar las
alertas del antivirus y generar informes del antivirus.
La seccion principal de IVANTI Antivirus presenta esta herramienta de administracion de seguridad

complementaria, la cual es un componente de IVANTI Endpoint Manager y IVANTI Security Suite. En
esa seccion encontrara una introduccion e informacion sobre la suscripcion de contenido de
antivirus, asi- como tambien instrucciones paso a paso sobre como utilizartodas las funciones de
Antivirus.
Esta seccion contiene los siguientes temas de ayuda que describen los dialogos de Configuracion
del antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda haciendo clic
en el boton Ayuda de cada cuadro de dialogo.
Acerca de la pagina general de IVANTI Antivirus

Utilice esta pagina para configurar las opciones del rastreador de IVANTI Antivirus en los

• Nombre: Identifica la configuracion de antivirus con un nombre unico. Este nombre aparecera
en la lista de Configuracion del agente en la consola yen el cuadro de dialogo detareas de
rastreo del Antivirus.
760
GUÍA DE USUARIO
• Proteccion:
• Antivirus de archivos: habilita el rastreo en tiempo real de archivos en los dispositivos
de destino.
• Antivirus de correo electronico: habilita el analisis de mensajes de correo electronico
en tiempo real en los dispositivos de destino. El rastreo de correo electronico en
tiempo real monitoriza continuamente los mensajes entrantes y salientes y busca
virus en el cuerpo del mensaje y en los datos y mensajes adjuntos. Se eliminan los
virus detectados.
• Antivirus Web: habilita el rastreo en tiempo real del trafico web, las direcciones URL
de sitio web y los enlaces en los dispositivos de destino.
• Antivirus de mensajes instantaneos: habilita el rastreo en tiempo real de mensajes
instantaneos en los dispositivos de destino.
• Bloqueador de ataques a la red: habilita el Bloqueador de ataques a la red, el cual
detecta y agrega los equipos atacados a la lista de dispositivos bloqueados durante
un periodo de tiempo especificado.
• Vigilante del sistema: habilita el servicio del Vigilante del sistema, el cual supervisa las
actividades de las aplicaciones en los dispositivos de destino.
• Interfaz de usuario:
• Mostrar el icono de IVANTI Antivirus en la bandeja del sistema: Hace que el icono de
IVANTI Antivirus aparezca en la bandeja del sistema del dispositivo. La apariencia del
icono depende del estado de la proteccion de antivirus e indica si la proteccion en
tiempo real esta habilitada. Si el icono de flecha es amarillo, la proteccion en tiempo
real se encuentra habilitada y por lo tanto se supervisa el dispositivo continuamente
en busca de virus. Si el icono es gris, la proteccion de tiempo real no esta habilitada.
• Habilita los mensajes de aviso de base de datos desactualizada y obsoleta: Permite a
IVANTI Antivirus mostrar mensajes de aviso cuando la base de datos esta
desactualizada u obsoleta. Especifica el numero de dfas para cada estado.
• No enviar el estado de reinicio de IVANTI Antivirus: Seleccione esta opcion si no desea que
IVANTI Antivirus envfe el estado de reinicio al servidor central. IVANTI Antivirus envfa, de
manera predeterminada, una actualizacion de estado, independientemente de que necesite
un reinicio para completar una instalacion o una actualizacion. El estado aparecera en
Actividad de seguridad | IVANTI Antivirus | Actividad y el servidor central ajustara la
informacion del inventario "Reinicio necesario" que se encuentra en Equipo | Administration
de IVANTI.
• Establecer como predeterminado: establece como predeterminada la configuracion en todas
las paginas del cuadro de dialogo de IVANTI Antivirus. El nombre que introdujo aparecera en
la consola con el icono predeterminado i^junto a el. No puede eliminar una configuracion que
esta marcada como predeterminado. Cuando crea una nueva configuracion de agente, las
configuraciones se seleccionaran por defecto. A menos que la tarea de analisis del antivirus
tenga una configuracion de antivirus espedfica asociada, IVANTI Antivirus utilizara la
761
configuracion predeterminada durante las tareas de analisis ydefinicion de las tareas de

actualizacion.
Acerca de la pagina de permisos de IVANTI Antivirus
Utilice esta pagina para configurar la configuracion de los permisos de IVANTI Antivirus en los
• Permite que el usuario desactive componentes de proteccion hasta por: especifica el penodo
de tiempo durante el cual el usuario puede desactivar los componentes de proteccion que se
listan en la pagina Proteccion.
• Permitir al usuario actualizar definiciones: permite al usuario actualizar los archivos de
definicion de antivirus.
• Permitir al usuario restaurar objetos: permite al usuario restaurar objetos en cuarentena con
copia de seguridad.
• Permitir al usuario cambiar la configuracion: permite al usuario configurar los ajustes y
modificar las tareas.
• Permitir al usuario programar analisis: permite al usuario programar analisis.
• Permitir al usuario excluir objetos del analisis: permite al usuario
• Permitir a los usuarios agregar URL web: permite al usuario
• Permitir a los usuarios configurar exclusiones en Bloqueador de ataques a la red:
Permite al usuario hacer una lista de direcciones IPen las que IVANTI Antivirus
confiara. IVANTI Antivirus no bloqueara ataques de red de estas direcciones IP, pero
seguira registrando la informacion de los ataques.
Acerca de la pagina de Proteccion de IVANTI Antivirus
Utilice esta pagina para configurar la configuracion de la proteccion de IVANTI Antivirus en los
• Iniciar IVANTI Antivirus al inicio del equipo: Habilita el inicio automatico de IVANTI Antivirus
tras la carga del sistema operativo, lo que hace que el equipo quede protegido durante toda
la sesion. Esta opcion se selecciona de forma predeterminada. Si deshabilita esta opcion,
IVANTI Antivirus no se iniciara hasta que el usuario lo inicie manualmente y los datos del
usuario queden expuestos a amenazas.
762
GUÍA DE USUARIO
• Activar la Tecnologia de desinfeccion avanzada: Si selecciona esta opcion, cuando IVANTI

Antivirus detecte actividad danina en el sistema operativo, aparecera un mensaje que le
sugerira que lleve a cabo un proceso de desinfeccion avanzado especial. Cuando el usuario
autorice este proceso, IVANTI Antivirus neutralizara la amenaza. Una vez completado el
proceso de desinfeccion avanzado, IVANTI Antivirus reiniciara el equipo. La tecnologfa de
desinfeccion avanzada utiliza importantes recursos informaticos, que es posible que
ralenticen otras aplicaciones. Si deja esta opcion sin seleccionar (configuracion
predeterminada), cuando IVANTI Antivirus detecte actividad danina en el sistema operativo,
llevara a cabo un proceso de desinfeccion, de acuerdo con la configuracion de aplicaciones
actual. Despues de que IVANTI Antivirus neutralice la amenaza, el equipo no se reiniciara.
• Amenazas: especifica los objetos a detectar.
• Malware: IVANTI Antivirus, de manera predeterminada, busca virus, gusanos y
programas troyanos. En esta pestana, puede especificar si desea buscar herramientas
malignas o no.
• Adware, marcadores automaticos, otros programas: especifica si controlar o no el
adware y las aplicaciones legftimas que es posible que hayan sufrido un acceso por
parte de intrusos, para danar el equipo o los datos del usuario. Seleccione Otro para
protegerse de objetos como clientes de chat de Internet, programas de descargas, de
seguimientoyaplicaciones de administracion remota.
• Archivos comprimidos: especifica si analizar o no los archivos agrupados que puedan
producir danos asf como objetos de varios paquetes.
763
• Exclusiones: especifica los archivos, carpetas o extensiones que IVANTI Antivirus excluira
del analisis. IVANTI Antivirus analizara la carpeta \LDClient y\Shared files en busca de
archivos .exe. Si IVANTI Antivirus firma esos archivos, automaticamente los excluira detodos
los analisis y los agregara a la lista de Aplicaciones de confianza.
• Tiempo real: especifica los archivos, carpetas o extensiones que desee excluir del
analisis en tiempo real. Haga clic en Agregar... para abrir el dialogo Agregar ruta de
acceso excluida, donde podra especificar el tipo de archivo y buscar los objetos que
desee excluir.
• Rastreo de virus: especifica los archivos, carpetas o extensiones que desee excluir
del analisis del antivirus. Haga clic en Agregar... para abrir el dialogo Agregar ruta de
acceso excluida, donde podra especificar el tipo de archivo y buscar el objeto u
objetos que desee excluir.
• Puertos monitorizados: especifica que puertos monitorizar.
• Monitorizar todos los puertos de la red: secuencias de datos de monitorizacion de los
componentes de proteccion que se transmiten a traves de los puertos de red abiertos
del equipo.
• Monitorizar solo los puertos seleccionados: los componentes de proteccion solo
monitorizan los puertos especificados por el usuario. Los que aparezca en la lista de
puertos de red se incluira y se comprobara en el cliente. Este modo de monitorizacion
de puertos de red se selecciona de manera predeterminada. Haga clic en
Configuracion para abrir el dialogo Puertos de red, donde podra crear una lista de
puertos de red de monitorizacion y una lista de aplicaciones.
• Lista de puertos de red: esta lista contiene los puertos de red que se suelen
utilizar para la transmision del trafico de correos electronicos y de red.
Seleccione un puerto para que IVANTI Antivirus monitorice el trafico de red que
pasa a traves de este puerto de red, mediante cualquier protocolo de red. Haga
clic en Agregar... para introducir un nuevo numero de puerto ydescripcion.
• Monitorizar todos los puertos en busca de aplicaciones especficas: especifica
si se monitorizan todos los puertos de red de las aplicaciones que se
especifican en la lista de aplicaciones.
• Lista de aplicaciones: esta lista contiene aplicaciones que tienen los puertos de
red que IVANTI Antivirus monitorizara. Para cada aplicacion, la lista de
aplicaciones especifica la ruta al archivo ejecutable correspondiente. Haga clic
en Agregar... para seleccionar una aplicacion de la base de datos o para buscar
una aplicacion en la ubicacion del archivo.
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de archivos
Utilice esta pagina para configurar el modo de funcionamiento de Antivirus de archivos con IVANTI
Antivirus en los dispositivos de destino.
764
GUÍA DE USUARIO
• Habilitar el Antivirus de archivos: inicia el Antivirus de archivos con IVANTI Antivirus. El

Antivirus de archivos permanece activo siempre en la memoria del equipo y analiza todos los
archivos que se abran, guarden o se inicien en el equipo. De manera predeterminada, el
Antivirus de archivos esta habilitado y configurado con la configuracion recomendada.
• Nivel de seguridad: especifica uno de los tres niveles de seguridad de archivos (alta,
recomendada o baja). Puede configurar un nivel de seguridad de archivos personalizado,
seleccionando la configuracion en las pestanas General, Rendimiento y Adicional.
Alto: el Antivirus de archivos utiliza el control mas estricto de todos los archivos abiertos,
guardados e iniciados. El Antivirus de archivos analiza todos los tipos de archivos de todos
los discos duros, discos de red y almacenamiento extrafble del equipo. Tambien analiza los
archivos, los paquetes de instalacion y los objetos OLE incrustados.
Recomendado: El Antivirus de archivos analiza solo los tipos de archivos especificados de

todos los discos duros, discos de red y almacenamiento extrafble del equipo. Tambien
analiza los objetos OLE incrustados. Con la configuracion recomendada, el Antivirus de
archivos no analiza los paquetes de archivos ni de instaladores.
Bajo: Garantiza la velocidad maxima de analisis. Con esta configuracion, el Antivirus de

archivos analiza solo los archivos con la extension especificada en todos los discos duros,
discos de red y almacenamiento extrafble del equipo. El Antivirus de archivos no analizara
los archivos compuestos.
Si escoge crear un nivel de seguridad personalizado, asegurese de tener en cuenta las

condiciones de trabajo y la situacion actual.
• General: Especifica si el Antivirus analizara por formato o extension de archivo o ambos.

• Tipos de archivo: algunos formatos de archivo (como .txt) tienen pocas
probabilidades de intrusion de codigos maliciosos y de activaciones
subsiguientes. Sin embargo, hayformatos de archivos que contienen o pueden
contener codigo ejecutable (como .exe, .dll y .doc). El riesgo de intrusion y de
activacion de codigo malicioso en estos archivos es bastante alto. Un intruso
puede enviar un virus u otros programas malignos al equipo, mediante un
archivo ejecutable que se haya renombrado con la extension .txt. Si selecciona
analizar los archivos por extension, ese archivo se omitina en el analisis. Si se
selecciona analizar los archivos por formato, independientemente de la
extension, el Antivirus de archivos analizara la cabecera del archivo. Este
analisis puede revelar que el archivo tiene un formato .exe. Estos archivos se
analizan totalmente en busca de virus y otro tipo de malware.
• Ambito de protection: especifica los discos que analizar.
765
• Desempeno: especifica los metodos de analisis, si se analizaran solo los archivos

nuevos, y como manejar los archivos compuestos.
• Analisis heunstico: esta tecnologfa detecta los archivos que pueden estar
infectados con un virus desconocido. Si el Antivirus detecta codigo malicioso
en un archivo durante un analisis heunstico, marcara el archivo
comoposiblemente infectado.
• Analizar solo archivos nuevos y modificados: habilita el Antivirus de archivos
para que analice solo los nuevos archivos y los archivos que se han modificado
desde el analisis anterior.
• Analizar archivos: habilita el Antivirus de archivos para que analice archivos
RAR, ARJ, ZIP, CAB, LHA, JARy ICE.
• Analizar instalacion: habilita el Antivirus de archivos para que analice los
paquetes de instalacion.
• Analizar objetos OLE incrustados: habilita el Antivirus de archivos para
analizar los archivos que esten incrustados en otro archivo, como las hojas
de calculo de Microsoft® Office Excel® , las macros incrustadas en los
archivos de Microsoft® Office Word® o los archivos adjuntos de correos
electronicos.
• Adicional...: abre el cuadro de dialogo Archivos compuestos, donde podra
especificar si desempaquetar los archivos compuestos en segundo plano y
ajustar un lfmite de tamano para los archivos compuestos.
766
GUÍA DE USUARIO
• Adicional: especifica el modoytecnologâ que Antivirus de archivos utilizara y cuando

pausara.
• Modo de analisis: el modo de analisis predeterminado es Modo inteligente, en
que el Antivirus de archivos analiza los archivos analizando las operaciones
que un usuario, una aplicacion o el sistema operativo llevan a cabo con un
archivo. En el modo Al acceder y modificar, el Antivirus de archivos analiza los
archivos cuando el usuario, una aplicacion o el sistema operativo intenta abrir o
modificar los archivos. En el modo Al acceder, el Antivirus de archivos solo
analiza los archivos cuando el usuario, una aplicacion o el sistema operativo
intenta abrir los archivos. En el modo Al ejecutar, el Antivirus de archivos solo
intenta ejecutar los archivos.
• Tecnologias de analisis: especifica las tecnologfas de analisis que utiliza el
Antivirus de archivos cuando analiza archivos. De manera predeterminada, las
tecnologfas de iCheckery iSwift son complementarias. Esto acelera el analisis
de objetos de varios sistemas de archivo y de sistemas operativos.
• Tarea de pausa: especifica cuando pausar el Antivirus de archivos. La opcion
Por programa le permite pausar el Antivirus de archivos durante un tiempo
especificado. Esta funcion puede reducir la carga en el sistema operativo. Haga
clic en Programar... para abrir la ventana Pausar la tarea. En esta ventana puede
especificar el intervalo de tiempo para el que se pausara Antivirus de archivos.
La opcion Al inicio de la aplicacion pausa el Antivirus de archivos mientras el
usuario trabaja con aplicaciones que requieren pocos recursos del sistema
operativo. Esta opcion no se selecciona de forma predeterminada. Haga clic en
Seleccionar... para abrir la ventana Aplicaciones, donde podra crear una lista de
aplicaciones que pausen el Antivirus de archivos cuando se esten ejecutando.
• Accion: especifica la accion que lleva a cabo el Antivirus de archivos si se detectan archivos
infectados. Antes de intentar desinfectar o eliminar un archivo infectado, el Antivirus de
archivos crea una copia de seguridad para restauraciones y desinfecciones siguientes.
• Seleccionar una accion automaticamente: habilita un Antivirus de archivos para llevar
a cabo la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar.
Eliminar si la desinfeccion falla".
• Realizar acciones: habilita el Antivirus de archivos para que intente automaticamente
desinfectar todos los archivos infectados que detecte. Si la desinfeccion falla, el
Antivirus de archivos eliminara esos archivos.
• Desinfectar: habilita el Antivirus de archivos para que intente automaticamente
desinfectar todos los archivos infectados que detecte. El Antivirus de archivos
aplica la accion Eliminar a los archivos que forman parte de la aplicacion de
Windows Store.
• Eliminar si la desinfeccion falla: habilita el Antivirus de archivos para que
elimine automaticamente todos los archivos infectados que detecte.
767
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de correo
Utilice esta pagina para configurar el modo de funcionamiento de Mail Antivirus con IVANTI
• Activar el Antivirus de correo: inicia Mail Antivirus con IVANTI Antivirus. Mail Antivirus
permanece activo constantemente en la memoria del equipo y analiza todos los mensajes de
correo que se transmiten a traves de protocolos POP3, SMTP, IMAP, MAPI y NNTP. De
manera predeterminada, Mail Antivirus esta habilitadoyconfigurado con la configuracion
recomendada.
768
GUÍA DE USUARIO
recomendada o baja). Puede configurar un nivel de seguridad de correo personalizada,
Alto: Mail Antivirus analiza los mensajes de correo electronico en profundidad. Mail Antivirus
analiza los mensajes entrantesysalientesylleva a cabo un analisis heunstico profundo. Es
recomendable un nivel de seguridad de correos alto cuando se trabaja en un entorno
peligroso, como una conexion a un servicio de correo electronico gratuito, desde una red
domestica que no este protegida por una proteccion de correo electronico centralizada.
Recomendado: Proporciona el equilibrio perfecto entre el rendimiento de IVANTI Antivirus y

la seguridad de correo electronico. Mail Antivirus analiza los mensajes entrantes y salientes
y lleva a cabo un analisis heunstico de intensidad media. Este nivel de seguridad de trafico
de correo es el que recomienda IVANTI. Esta es la configuracion predeterminada.
Bajo: Solo analiza los mensajes de correo electronico entrantes, lleva a cabo analisis
heunsticos suaves y no analiza los archivos adjuntos a un correo electronico. Con este nivel
de seguridad de correo, Mail Antivirus analiza los mensajes de correo electronico a la mayor
velocidad y utiliza los recursos mfnimos del sistema operativo. El nivel de seguridad de
correo bajo se recomienda para un entorno bien protegido, como un entorno LAN con
seguridad de correo electronico centralizada.

• General:
• Ambito de proteccion: Especifica si se deben analizar los mensajes de entrada y
de salida o solo los mensajes de entrada.
• Trafico de POP3 / SMTP / NNTP/ IMAP: Habilita a Mail Antivirus para que analice
los correos electronicos antes de que el equipo los reciba. Si desmarca esta
opcion, Mail Antivirus no analizara los mensajes que se transfieran mediante
protocolos POP3, SMTP, NNTPe IMAP antes deque lleguen al equipo. En lugar
de eso, los complementos de Mail Antivirus incrustados en Microsoft Office
Outlook y los clientes de correo electronico de jEl Bat! analizaran los mensajes
despues de que lleguen al equipo.
• Adicional: Complemento (plug-in) de Microsoft Office Outlook: Habilita el

acceso a la configuracion de Mail Antivirus desde Microsoft Office Outlook para
que pueda configurar el componente para que analice los mensajes de correo
electronico en busca de virus y de otro malware. Se habilita a un complemento
incrustado en Microsoft Office Outlook para que analice los mensajes de correo
electronico que setransmiten a traves de protocolos POP3, SMTP, NNTP, IMAPy
MAPI, despues de que lleguen al equipo.
769
• Adicional: Complemento de jEl Bat!: Habilita el complemento incrustado en jEl

Bat! para que rastree los mensajes de correo electronico que se transmiten a
traves de protocolos POP3, SMTP, NNTP, IMAPy MAPI, despues de recibirlos en
el equipo.
• Rastrear archivos adjuntos: Habilita Mail Antivirus para que rastree los archivos
que se adjuntan a los mensajes de correo electronico. Puede especificar el
tamano de los archivos que se rastrearan y el tiempo asignado para analizar los
archivos adjuntos de los correos electronicos archivados.
• Filtro de archivos adjuntos:
• Deshabilitar filtrado: Especifica si Mail Antivirus filtrara los archivos adjuntos
de los mensajes de correo electronico.
• Modificar el nombre de los tipos de archivos adjuntos especificados: Permite a
Mail Antivirus sustituir el ultimo caracter de los archivos adjuntos de los tipos
especificados con el sfmbolo barra baja (_).
• Eliminar el nombre de los tipos de archivos adjuntos especificados: Permite a
Mail Antivirus eliminar los archivos adjuntos de los tipos especificados en los
mensajes de correo electronico. Puede especificar los tipos de archivos
adjuntos que se eliminaran de los correos electronicos de la lista de Extension.
• Adicional: Especifica si Mail Antivirus utilizara el analisis heunstico durante el rastreo
del correo electronico. esta tecnologfa detecta los archivos que pueden estar
infectados con un virus desconocido. Si el Antivirus detecta codigo malicioso en un
archivo durante un analisis heunstico, marcara el archivo como posiblemente infectado.
Desplace el control deslizante en el eje horizontal para cambiar el nivel de detalle del
analisis heunstico. El nivel de detalle del analisis heunstico ajusta el equilibrio entre la
minuciosidad de la busqueda de nuevas amenazas, la carga sobre los recursos del
sistema operativo y la duracion del analisis heunstico. Estan disponibles los niveles
siguientes de detalle del analisis heunstico:
Rastreo ligero: El Analizador heunstico no lleva a cabo todas las instrucciones de los
archivos ejecutables mientras rastrea los correos electronicos en busca de codigos
daninos. En este nivel de detalle, la probabilidad de detectar amenazas es menor que
en los niveles de rastreo medio y profundo. El rastreo de correos electronicos es mas
rapido y utiliza menos recursos.
Rastreo medio: Cuando se rastrean archivos en busca de codigos daninos, el
Analizador heunstico lleva a cabo una serie de instrucciones en los archivos
ejecutables que vienen recomendadas por IVANTI, El nivel de detalle del rastreo medio
se selecciona de manera predeterminada.
770
GUÍA DE USUARIO
Rastreo profundo: Cuando se rastrean archivos en busca de codigo danino, el

Analizador heunstico lleva a cabo mas instrucciones en los archivos ejecutables que
con los niveles de rastreo ligero y medio. En este nivel de detalle, la probabilidad de
detectar amenazas es mayor que en los niveles de rastreo ligero y medio. El rastreo de
correos electronicos consume mas recursos del sistema y dura mas tiempo.
* Accion:
• Seleccionar una accion automaticamente: habilita a Mail Antivirus para llevar a cabo la
accion predeterminada que especifica IVANTI. Esta accion se lleva a cabo para
desinfectar todos los mensajes de correo electronico infectados y, en caso de fallar la
desinfeccion, eliminarlos.
• Realizar acciones: Mail Antivirus intenta desinfectar automaticamente todos los
mensajes de correo electronico infectados que se detecten. Si la desinfeccion falla,
Mail Antivirus eliminara esos mensajes. Si se selecciona esta opcion, Mail Antivirus
intenta desinfectar automaticamente todos los mensajes de correo electronico
infectados que se detecten. Si la desinfeccion falla, Mail Antivirus los pondra en
Cuarentena.
• Desinfectar: Mail Antivirus intenta desinfectar automaticamente todos los
mensajes de correo electronico infectados que se detecten. Si la desinfeccion
falla, Mail Antivirus los pondra en Cuarentena.
• Eliminar: Mail Antivirus eliminar automaticamente todos los mensajes de correo
electronico infectados que se detecten.
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de web
Utilice esta pagina para configurar el modo de funcionamiento de Web Antivirus con IVANTI
• Activar el Antivirus de web: Web Antivirus se inicia con IVANTI Antivirus y protege la
informacion que llega al equipo a traves de los protocolos HTTP y FTP. De manera
predeterminada, Web Antivirus esta habilitadoy configurado con la configuracion
recomendada.
771
recomendada o baja). Puede configurar un nivel de seguridad web personalizado,
seleccionando los ajustes en las pestanas Metodos y optimizacion del rastreo y URL de
confianza.
Alto: Web Antivirus lleva a cabo un rastreo maximo del trafico web que el equipo recibe a
traves de los protocolos HTTP y FTP. Web Antivirus rastrea en detalletodos los objetos de
trafico web, mediante un conjunto completo de bases de datos de aplicaciones, y lleva a
cabo el analisis heunstico mas profundo posible. Esta tecnologfa se desarrollo para detectar
amenazas que no se pueden detectar mediante la version actual de las bases de datos de
IVANTI. Detecta archivos que puedan estar infectados con un virus desconocido o con una
nueva variedad de un virus conocido. Los archivos en los que se detecte codigo danino
durante el analisis heunstico se marcan como posiblemente infectado.

la seguridad de trafico web. Web Antivirus lleva a cabo un analisis heunstico a un nivel de
rastreo medio. Este nivel predeterminado de seguridad de trafico web es el que recomienda
IVANTI.
Bajo: Garantiza el rastreo mas rapido de trafico web. Web Antivirus lleva a cabo un analisis
heunstico a un nivel de rastreo ligero.

• Metodos y optimizacion del rastreo:

• Verificar si los enlaces estan en la lista de la base de datos de direcciones URL
sospechosas: Especifica si se rastrearan las URL en la base de datos de
direcciones web daninas. Comprobar las URL en la base de datos de
direcciones web daninas ayuda a detectar aquellas paginas web que estan en la
lista negra de direcciones web.

de phishing: Especifica si se rastrearan las URL en la base de datos de
direcciones web de phishing. La base de datos de URL de phishing incluye las
direcciones web de paginas web conocidas actualmente, que se utilicen para
iniciar ataques de phishing.
772
GUÍA DE USUARIO
* Analisis heunstico para detectar virus: Especifica si se utilizara el analisis

heunstico cuando se rastree el trafico web en busca de virus yotros programas
daninos. Esta tecnologâ se desarrollo para detectar amenazas que no se
pueden detectar mediante la version actual de las bases de datos de
aplicaciones de IVANTI. Detecta archivos que puedan estar infectados con un
virus desconocido o con una nueva variedad de un virus conocido. Los
archivos en los que se detecte codigo danino durante el analisis heunstico se
marcan como posiblemente infectado.
* Analisis heunstico de enlaces de phishing: Especifica si se llevara a cabo el
analisis heunstico cuando se rastreen paginas web en busca de enlaces de
phishing.
• Limitar el tiempo en cache del trafico Web: Rastrea los fragmentos en cache de
los objetos de trafico de web durante un segundo. Si se desmarca esta opcion,
Web Antivirus llevara a cabo un rastreo mas profundo del trafico web. El acceso
a los objetos de trafico web se puede ralentizar durante el rastreo.
• Direcciones URL de confianza:
• No rastrear el trafico web de las direcciones URL de confianza: Especifica si se
rastreara el contenido de aquellas paginas web cuyas direcciones se incluyan
en la lista de URL de confianza. Haga clic en Agregar para abrir la ventana
Mascara de direccion (URL), donde podra introducir una URLy habilitarla o
deshabilitarla. Si se deshabilita una URL, Web Antivirus la excluira
temporalmente de la lista de URL de confianza.
• Accion:
• Seleccionar una accion automaticamente: Habilita a Web Antivirus para que lleve
a cabo la accion predeterminada especificada por IVANTI cuando detecta un
objeto infectado en el trafico web. La accion predeterminada es "Bloquear la
descarga".
• Bloquear la descarga: Habilita a Web Antivirus para que bloquee el acceso a un objeto
infectado ymuestra un aviso acerca del objeto.
• Permitir la descarga: Habilita a Web Antivirus para permitir la descarga de un objeto
infectado al equipo.
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de mensajes instantaneos
Utilice esta pagina para configurar el modo de funcionamiento de Antivirus de mensajes

instantaneos
con IVANTI Antivirus en los dispositivos de destino.
• Activar el Antivirus de mensajes instantaneos: Antivirus de mensajes instantaneos se inicia

con IVANTI Antivirus, permanece constantemente en la RAM del equipo y rastrea todos los
mensajes que lleguen a traves de clientes de mensajena de internet. Antivirus de mensajes
instantaneos garantiza el funcionamiento seguro de las aplicaciones de mensajena
773
instantanea, incluidas ICQ, MSN® Messenger, AIM, Mail.Ru Agent, e IRC.

• Ambito de protection: Especifica el tipo de mensajes de clientes de mensajena instantanea
que rastreara Antivirus de mensajes instantaneos.
• Mensajes entrantes y salientes: Antivirus de mensajes instantaneos rastrea los
mensajes instantaneos de entrada y de salida, en busca de objetos daninos o de URL
que esten en la base de datos de direcciones daninas o de phishing. Esta es la
configuracion predeterminada.
• Mensajes entrantes solamente: Antivirus de mensajes instantaneos rastrea solo los
mensajes instantaneos de entrada, en busca de objetos daninos o de URL que esten
en la base de datos de direcciones daninas o de phishing. Antivirus de mensajes
instantaneos no rastrea los mensajes de salida.
• Metodos de rastreo: Especifica los metodos que Antivirus de mensajes instantaneos utiliza
cuando rastrea los mensajes que llegan a traves de clientes de mensajena instantanea.
sospechosas: Especifica si se rastrearan las URL de los mensajes de clientes de
mensajena instantanea en la base de datos de URL daninas.
• Verificar si los enlaces estan en la lista de la base de datos de direcciones URL de
phishing: Especifica si se rastrearan las URL de los mensajes de clientes de
mensajena instantanea en la base de datos de URL de phishing.
• Analisis heunstico: Especifica si Antivirus de mensajes instantaneos utilizara el
analisis heunstico durante el rastreo de mensajes de clientes de mensajena
instantanea. esta tecnologfa detecta los archivos que pueden estar infectados con un
virus desconocido. Si el Antivirus detecta codigo malicioso en un archivo durante un
analisis heunstico, marcara el archivo como posiblemente infectado. Desplace el control
deslizante en el eje horizontal para cambiar el nivel de detalle del analisis heunstico. El
nivel de detalle del analisis heunstico ajusta el equilibrio entre la minuciosidad de la
busqueda de nuevas amenazas, la carga sobre los recursos del sistema operativo y la
duracion del analisis heunstico. Estan disponibles los niveles siguientes de detalle del
analisis heunstico:
Rastreo ligero: El Analizador heunstico rastrea los mensajes instantaneos en busca

de amenazas, mediante un conjunto mfnimo de atributos. El rastreo es mas rapido y
utiliza menos recursos, con el numero mas bajo de falsos positivos.
Rastreo medio: El Analizador heunstico rastrea los mensajes instantaneos en busca

de amenazas, mediante el numero de atributos que garantice el equilibrio optimo entre
la velocidad y el detalle de rastreo, yevita un gran numero de falsos positivos. Este
nivel de detalle de analisis heunstico se ajusta de manera predeterminada.
Rastreo profundo: El Analizador heunstico rastrea los mensajes instantaneos en

busca de amenazas, mediante un conjunto maximo de atributos. El rastreo se lleva a
cabo en detalle, utiliza mas recursos del sistema operativo y dura mas tiempo. Hay
774
GUÍA DE USUARIO
probabilidad de falsos positivos.

Acerca de la proteccion de IVANTI Antivirus: Pagina del Bloqueador de ataques a la red
Utilice esta pagina para configurar el Bloqueador de ataques a la red que IVANTI Antivirus utiliza en
los dispositivos de destino para detectar y agregar equipos de ataque a la lista de dispositivos
bloqueados durante un periodo detiempo especificado.

• Activar el Bloqueador de ataques a la red: El Bloqueador de ataques a la red se inicia con
IVANTI Antivirus y rastrea el trafico de red entrante en busca de actividad de red
caractenstica de los ataques a la red. Despues de detectar un intento de ataque a la red, el
Bloqueador de ataques a la red bloquea la actividad de red de un equipo agresor que tenga
como objetivo el equipo del usuario.
• Agregar el siguiente equipo a la lista de equipos bloqueados por (minutes): Especifica el
numero de minutos que el Bloqueador de ataques a la red bloqueara la actividad de red de un
equipo agresor. Este bloqueo protege automaticamente el equipo del usuario contra los
posibles ataques de red futuros desde la misma direccion. El valor predeterminado es de 4
minutos.
• Configurar las direcciones de exclusion: Especifica las direcciones IP desde las que no se
bloquearan los ataques de red, aunque la informacion de dichos ataques quedara registrada.
Haga clic en el boton Exclusiones... para abrir la ventana de Exclusiones, donde podra
agregar las direcciones IP.
Acerca de la proteccion de IVANTI Antivirus: Pagina del Vigilante del sistema

Utilice esta pagina para configurar el Vigilante del sistema que utiliza IVANTI Antivirus para
monitorizar la actividad de las aplicaciones en los dispositivos de destino. El Vigilante del sistema
solo se aplicara a partir del reinicio siguiente.

• Activar el Vigilante del sistema: Habilita la funcion especificada en la configuracion del
Vigilante del sistema.
• Habilitar la Prevencion de explotacion: Habilita a IVANTI Antivirus para llevar un seguimiento
de los archivos ejecutables que inician las aplicaciones vulnerables. Cuando detecta que el
iniciado no ha iniciado un intento para ejecutar un archivo ejecutable desde una aplicacion
vulnerable, IVANTI Antivirus bloquea el inicio del archivo. IVANTI Antivirus guarda la
informacion acerca del bloqueo del inicio de los archivos ejecutables en el informe de
Prevencion de explotacion.
• Registrar la actividad de aplicaciones para la base de datos de BSS: Habilita el registro de la
actividad de la informacion. Esta informacion se utiliza para actualizar la base de datos de
BSS (Firmas de flujo de comportamiento). El Vigilante del sistema registra la actividad de las
aplicaciones de manera predeterminada.
• No supervisar la actividad de las aplicaciones que tengan una firma digital: IVANTI Antivirus
agrega las aplicaciones firmadas digitalmente al grupo de Confianza y no monitoriza las
actividades de las aplicaciones de este grupo.
775
• Reversion de las acciones de malware: Permite realizar una reversion en las acciones del
malware en el sistema operativo cuando se esta llevando a cabo una desinfeccion. Esta
opcion se selecciona de forma predeterminada.
• Defensa proactiva: Especifica si IVANTI Antivirus analizara la actividad de una aplicacion y

que accion llevara a cabo si determina que se trata de una actividad danina.
• Usar firmas de flujo de comportamiento (BSS): Especifica si se utilizara la tecnologâ

BSS (Firmas de flujo de comportamiento), que incluye analizar el comportamiento de
las aplicaciones mediante la informacion que se recopila acerca de sus actividades. El
Vigilante del sistema busca similitudes entre las acciones de una aplicacion y las
acciones del malware. Si el Vigilante del sistema analiza la actividad de una aplicacion
y determina que es maligna, llevara a cabo la accion que haya especificado en la lista
Al detectar actividad de malware.
• Al detectar actividad de malware: Especifica la accion que IVANTI Antivirus lleva a

cabo al detectar la actividad danina.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevar

a cabo la accion predeterminada que especifica IVANTI. De manera
predeterminada, IVANTI Antivirus pone en Cuarentena el archivo ejecutable de
una aplicacion danina.
• Poner archivo en cuarentena: IVANTI Antivirus pone en Cuarentena el archivo

ejecutable de una aplicacion danina.
• Cerrar el programa danino: IVANTI Antivirus cierra la aplicacion.
• Omitir: IVANTI Antivirus no lleva a cabo ninguna accion en el archivo ejecutable

de una aplicacion danina.
Acerca de IVANTI Antivirus: Pagina de tareas programadas
Utilice esta pagina para crear una tarea programada que llevara a cabo la herramienta del
programador local de IVANTI. Estas tareas van por separado de las tareas que se pueden programar
a traves del cliente de IVANTI Antivirus en el dispositivo administrado. Tenga en cuenta que las
notificaciones de tareas que aparecen en la interfaz del cliente hacen referencia al programador
nativo del cliente de IVANTI Antivirus, no a la herramienta del Programador local del servidor
central.
• Tareas programadas: Crea una tarea programada IVANTI Antivirus llevara a cabo en el
dispositivo administrado. Estas tareas van por separado de las tareas que se pueden
programar a traves de la herramienta de Programador local de IVANTI.
• Actualizar: Especifica cuando se actualizan las definiciones de virus. Haga clic en

Cambiar programa... para abrir la ventana Programar actualizaciones de definiciones
de virus periodicas, donde podra seleccionar los eventos que activaran una
actualizacion, la hora de la misma y los filtros.
• Rastreo completo: Especifica cuando se llevara a cabo un rastreo completo. Haga clic
776
GUÍA DE USUARIO
en Cambiar programa... para abrir la ventana Programar rastreos de definiciones de

virus periodicas, donde podra seleccionar los eventos que activaran un rastreo, la
hora del mismoylosfiltros.
• Rastreo de las areas crfticas: Especifica cuando se rastrearan solo las areas crfticas.
Haga clic en Cambiar programa... para abrir la ventana Programar rastreos de
definiciones de virus periodicas, donde podra seleccionar los eventos que activaran
un rastreo, la hora del mismoy los filtros.
• Tareas de rastreo en el fondo: Especifica si se llevara a cabo el rastreo de la memoria del
sistema en segundo plano, en los objetos de inicio,yen la particion del sistema, durante la
inactividad del equipo para optimizar el uso de los recursos del equipo.
• Realizar rastreo durante inactividad: Inicia una tarea de rastreo para los objetos que se
ejecutan automaticamente, RAM, y para la particion del sistema operativo, cuando el
equipo esta bloqueado o cuando el salvapantallas esta activo durante 5 minutos o
mas, si una de las condiciones siguientes es verdad:
• No se ha llevado a cabo un rastreo durante la inactividad del equipo desde la
instalacion de IVANTI Antivirus.
• El ultimo rastreo durante la inactividad del equipo se llevo a cabo hace mas de 7
dfas.
• El ultimo rastreo durante la inactividad del equipo se interrumpio durante una
actualizacion de la base de datos y los modulos de la aplicacion.
• El ultimo rastreo durante la inactividad del equipo se interrumpio durante un
rastreo a peticion.
• Rastrear las unidades extraibles al conectarse: Especifica si se rastreara una unidad
extrafble cuando esta se conecte al equipo.
• Accion al conectarse una unidad extrafole: Le permite seleccionar la accion que
IVANTI Antivirus llevara a cabo cuando conecte una unidad extrafble al equipo.
• No rastrear: IVANTI Antivirus no ejecutara un rastreo y no le indicara que
seleccione una accion a llevar a cabo cuando se conecte una unidad extrafble.
• Rastreo completo: IVANTI Antivirus inicia un rastreo completo de la unidad
extrafble segun los ajustes de las tareas de Rastreo completo.
• Rastreo rapido: IVANTI Antivirus inicia un rastreo de la unidad extrafble segun
los ajustes de las tareas de Rastreo de las areas crfticas.
• Tamano maximo de unidad extrafole (MB): Especifica el tamano de las unidades
extrafbles en las que IVANTI Antivirus llevara a cabo la accion seleccionada en la lista
Accion al conectarse una unidad. El tamano predeterminado es 4096 MB.
777
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de actualizacion
Utilice esta pagina para configurar la programacion de las actualizaciones de archivos de

definiciones (patrones) de virus, las opciones de descarga del usuario y las opciones de acceso
para los dispositivos de destino con configuracion de estos antivirus. Para programar una
actualizacion, seleccione Actualizaren la pagina de Tareas programadas.
• Descargar la version piloto de archivos de definiciones de virus: Descargar archivos de

definiciones de virus de la carpeta de prueba piloto en lugar de hacerlo desde el deposito
predeterminado\LDLogon\Antivirus8\Win\BasesEP del servidor central. Un conjunto
restringido de usuarios puede descargar las definiciones de virus de la carpeta piloto para
probar las definiciones de virus antes de implementarlas en toda la red. Cuando crea una
tarea de analisis del antivirus, tambien puede seleccionar descargar las ultimas
actualizaciones de las definiciones de virus, entre ellas las que residen en la carpeta de
prueba piloto, luego asociar una configuracion de antivirus con esta opcion habilitada para
garantizar que los equipos de prueba reciban los ultimos archivos conocidos de definiciones
de virus. Si se selecciona esta opcion, no se descargan los archivos de definiciones de virus
de la carpeta predeterminada (\LDLogon\Antivirus8\Win\BasesEP).
• Descargar actualizaciones de definiciones de virus: Especifica el sitio web de origen
(servidor central o servidor de contenido de Kaspersky) desde el que se descargan los
archivos de definicion de virus.
• Servidor preferido/Opciones de descarga de pares: Le permite configurar el servidor central
si se ha seleccionado una de las opciones de sitio de origen de descarga anteriores que
incluye el servidor central.
• Intentar descarga punto a punto: previene descargas de archivos de definicion de
virus a traves de descarga de pares (el cache local o un par en el mismo dominio de
multidifusion).
• Intentar servidor preferido: previene descargas de archivo de definicion de virus a
traves de un servidor preferido. Para obtener mas informacion sobre los servidores
preferidos, consulte "Acerca de la distribucion de software" (299).
• Amplitud de banda usada por el servidor central o el preferido (WAN): Especifica el ancho de
banda utilizado. Puede desplazar el control deslizante o introducir un valor en el cuadro de
porcentajes.
• Amplitud de banda usada entre pares (Local): Especifica el ancho de banda utilizado. Puede
desplazar el control deslizante o introducir un valor en el cuadro de porcentajes.
778
GUÍA DE USUARIO
* Configuracion de la actualizacion de aplicaciones: Especifica si se actualizaran los modulos

de las aplicaciones.
* Actualizar los modulos de la aplicacion: Habilita las descargas de las actualizaciones
de los modulos de la aplicacion, junto con las actualizaciones de la base de datos del
antivirus. Si se selecciona, IVANTI Mac Antivirus incluye las actualizaciones de los
modulos de la aplicacion que se encuentran en el paquete de actualizaciones, cuando
la aplicacion ejecuta la tarea de actualizacion. Esta opcion se selecciona de forma
predeterminada.
• Rastrear las unidades extraibles al conectarse: Especifica si se rastreara una unidad extrafble
cuando esta se conecte al equipo.
IVANTI Antivirus llevara a cabo cuando conecte una unidad extrafble al equipo.
• No rastrear: IVANTI Antivirus no ejecutara un rastreoy no le indicara que
extrafble segun los ajustes de las tareas de Rastreo completo.
los ajustes de las tareas de Rastreo de las areas criticas.
Acerca del cuadro de dialogo Programar analisis periodicos de antivirus
Si desea que esta configuracion de antivirus incluya un analisis del antivirus periodico,
utilice este cuadro de dialogo para especificar la hora de inicio, la frecuencia, la restriccion
de tiempo y la configuracion de los requisitos de banda ancha. Las tareas de analisis del
antivirus (y las tareas de cambio de configuracion) asociadas con esta configuracion de
antivirus utilizaran las reglas definidas aqrn.
Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de
dialogo que esta configurando. Por ejemplo, si configura una programacion que se repite
todos los dfas entre las 8y las 9 en punto con un Estado del equipo de El equipo de escritorio
debe bloquearse, la tarea solo se ejecutara entre las 8 y las 9 en punto Ysi el equipo esta
bloqueado.
• Ejecutar cuando el usuario inicia sesion: El rastreo se producira cuando el usuario

inicie sesion en el equipo.
• Ejecutar siempre que cambie la direccion IP del equipo: El rastreo se producira
779
cuando cambie la direccion IP del equipo.

• Inicio: marque esta opcion para mostrar un calendario en el que puede seleccionar el
dâ de inicio de la tarea. Despues de elegir un dfa, tambien puede introducir un
horario. El valor predeterminado de estas opciones es la fecha y hora actuales.
• Repetir despues de: Programa el analisis para que se repita periodicamente.
Seleccione el numero de minutos, horas ydâs para controlar la frecuencia de
repeticion de la tarea.
• Rango horario: si desea que la tarea se ejecute dentro de cierto horario, seleccione las
horas de inicio y fin. Las horas estan en formato horario de 24 horas (militar).
• Semanalmente entre: si desea que la tarea se ejecute entre ciertos dâs de la semana,
• Mensualmente entre: si desea que la tarea se ejecute entre ciertas fechas del mes,
seleccione las fechas de inicio y fin.
• Ancho de banda minimo: Al configurar los comandos del programador local, puede
especificar el criterio de ancho de banda mfnimo necesario para que se ejecute la
tarea.
La prueba del ancho de banda consiste en creartrafico de red en el dispositivo
especificado. Cuando llega el momento de ejecutar la tarea, cada dispositivo que
ejecuta la tarea del programador local envfa una pequena cantidad de trafico de red
ICMP al dispositivo especificado yevalua el rendimiento de la transferencia. Si el
dispositivo de destino de prueba no esta disponible, la tarea no se ejecuta. Las
opciones de Ancho mfnimo de banda son:
• RAS: la tarea se ejecuta si la conexion de red del dispositivo al dispositivo de
destino tiene al menos una velocidad RAS o de acceso telefonico, tal como se
detecta a traves del API de red. Normalmente, si se selecciona esta opcion, la
tarea siempre se va a ejecutar si el dispositivo tiene una conexion de red de
algun tipo.
• WAN: la tarea se ejecuta si la conexion del dispositivo al dispositivo de destino
es al menos una velocidad WAN. La velocidad WAN se define como una
conexion no RAS que es mas lenta que el umbral LAN.
• LAN: La tarea se ejecuta cuando la conexion del dispositivo al dispositivo de
destino excede la configuracion de velocidad LAN. La velocidad LAN se define
como cualquier velocidad mayor a 262,144 bps, de forma predeterminada.
Puede definir el umbral LAN en la configuracion del agente (Herramientas >
Configuracion > Agente de Configuracion > Detection de ancho de banda).
Los cambios que realice entran en efecto cuando se implementa la
configuracion actualizada en los dispositivos.
• Al nombre del equipo: identifica el equipo a utilizar para probar el ancho de
banda del dispositivo. La transmision de prueba es entre un dispositivo de
destino y este equipo.
• Estado del equipo: si desea que los criterios de ejecucion de la tarea incluyan un
780
GUÍA DE USUARIO
estado de equipo, seleccione alguno en la lista desplegable.

* Retraso aleatorio adicional una vez que se superan todos los demas filtros: si desea
un retraso aleatorio adicional, utilice esta opcion. Si selecciona un retraso aleatorio
que se extienda mas alia de los lmites horarios configurados para la tarea, esta puede
no ejecutarse si el valor aleatorio coloca a la tarea por fuera de los tfmites horarios
configurados.

• Y de al menos: si desea que la tarea aguarde al menos cierta cantidad de
minutos antes de ejecutarse, seleccione esta opcion. Por ejemplo, si programa
un analisis de inventario, puede introducir un cinco aqm, de manera que el
equipo tenga tiempo para terminar el inicio antes de que comience el analisis,
con lo que se mejora la reaccion del equipo para el usuario.
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de rastreo completo
Utilice esta pagina para configurar el modo en que IVANTI Antivirus lleva a cabo el rastreo completo
de los dispositivos de destino. Para programar un rastreo completo, seleccione Rastreo completo
en la pagina de Tareas programadas.
recomendada o baja).
Alto: Si la probabilidad de infeccion de un equipo es muy alta, seleccione este nivel de

seguridad de archivo. IVANTI Antivirus rastreara todos los tipos de archivos. Cuando se
rastrean los archivos compuestos, IVANTI Antivirus tambien rastrea los archivos de formato
de correo.
Recomendado: IVANTI Antivirus analiza solo los tipos de archivos especificados de todos
los discos duros, discos de red y almacenamiento extrafble del equipo, asf como los objetos
OLE incrustados. IVANTI Antivirus no rastreara los archivos ni los paquetes de instalacion.
Bajo: Garantiza la velocidad maxima de rastreo. IVANTI Antivirus rastrea solo los archivos
nuevos o modificados con las extensiones especificadas en todos los discos duros, discos
de red y almacenamiento extrafble del equipo, asf como los objetos OLE incrustados. IVANTI
Antivirus no rastreara los archivos, los paquetes de instalacion ni los archivos compuestos.
• Alcance: Puede ampliar o restringir el ambito del rastreo, anadiendo un eliminando los
objetos de rastreo o modificando el tipo de archivos que se van a rastrear. De manera
predeterminada, un rastreo completo incluye la memoria del sistema, los objetos de
inicio, los sectores de arranque del disco, el almacenamiento de las copias de
seguridad del sistema, los correos electronicos, los discos duros y las unidades
extrafbles.
• Tipos de archivo: Especifica si se rastrearan los archivos por formato,

extension o ambos. algunos formatos de archivo (como .txt) tienen pocas
781
subsiguientes. Sin embargo, hay formatos de archivos que contienen o pueden

contener codigo ejecutable (como .exe, .dll y .doc). El riesgo de intrusion yde
activacion de codigo malicioso en estos
archivos es bastante alto. Un intruso puede enviar un virus u otros programas
malignos al equipo, mediante un archivo ejecutable que se haya renombrado
con la extension .txt. Si selecciona analizar los archivos por extension, ese
archivo se omitina en el analisis. Si se selecciona analizar los archivos por
formato, independientemente de la extension, IVANTI Antivirus analizara la
cabecera del archivo. Este analisis puede revelar que el archivo tiene un
formato .exe. Estos archivos se analizan totalmente en busca de virus y otro
tipo de malware.
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Antivirus para
que rastree solo los nuevos archivos y los archivos que se han modificado
• Omitir los archivos que se rastreen durante un tiempo superior a: Especifica, en
segundos, el tiempo de rastreo de un archivo antes de omitirlo.
• Analizar archivos: habilita a IVANTI Antivirus para que analice archivos RAR,
ARJ, ZIP, CAB, LHA, JARy ICE. En un rastreo completo, esta opcion se habilita
de manera predeterminada.
• Rastrear paquetes de instalacion: habilita a IVANTI Antivirus para que analice
los paquetes de instalacion. En un rastreo completo, esta opcion se habilita de
• Analizar objetos OLE incrustados: habilita IVANTI Antivirus para analizar los
archivos que esten incrustados en otro archivo, como las hojas de calculo de
Microsoft® Office Excel® , las macros incrustadas en los archivos de
Microsoft® Office Word® o los archivos adjuntos de correos electronicos. En
un rastreo completo, esta opcion se habilita de manera predeterminada.
• Analizar formatos de correo electronico: Habilita IVANTI Antivirus para analizar
los formatos de correo electronico durante el rastreo.
• Rastrear archivos protegidos por contrasena: habilita a IVANTI Antivirus para
que analice archivos RAR, ARJ, ZIP, CAB, LHA, JARe ICE que esten protegidos
por contrasena.
• Adicional: Haga clic en este boton para abrir la ventana de Archivos
compuestos, donde podra especificar si desempaquetar los archivos
compuestos en segundo planoy ajustar un lfmite de tamano para los archivos
compuestos.
782
GUÍA DE USUARIO
• Adicional: Especifica el metodoy la tecnologâ que IVANTI Antivirus utilizara durante

un rastreo completo.
• Metodos de rastreo: El analisis heunstico detecta los archivos que pueden estar
comoposiblemente infectado. Desplace el control deslizante en el eje horizontal
para cambiar el nivel de detalle del analisis heunstico. El nivel de detalle del
analisis heunstico ajusta el equilibrio entre la minuciosidad de la busqueda de
nuevas amenazas, la carga sobre los recursos del sistema operativo y la
duracion del analisis heunstico. Estan disponibles los niveles siguientes de
detalle del analisis heunstico:
• Rastreo ligero: El Analizador heunstico no lleva a cabo todas las
instrucciones de los archivos ejecutables durante el rastreo. En este
nivel de detalle, la probabilidad de detectar amenazas es menor que en
los niveles de rastreo medio y profundo. El rastreo es mas rapido y utiliza
menos recursos.
• Rastreo medio: Durante el rastreo, el Analizador heunstico lleva a cabo
una serie de instrucciones en los archivos ejecutables que vienen
recomendadas por IVANTI, El nivel de detalle del rastreo medio se
selecciona de manera predeterminada.
• Rastreo profundo: Durante el rastreo, el Analizador heunstico lleva a
cabo mas instrucciones en los archivos ejecutables que con los niveles
de rastreo ligero y medio. En este nivel de detalle, la probabilidad de
detectar amenazas es mayor que en los niveles de rastreo ligero y medio.
El rastreo consume mas recursos del sistema y dura mas tiempo.
• Tecnologias de analisis: especifica las tecnologfas de rastreo que utiliza IVANTI
Antivirus cuando analiza archivos. De manera predeterminada, las tecnologfas
de iCheckery iSwift son complementarias. Estas tecnologfas optimizan la
velocidad de rastreo de archivos, excluyendo los archivos que no se han
modificado desde el rastreo mas reciente.
783
• Accion: especifica la accion que lleva a cabo IVANTI Antivirus si se detectan archivos
infectados durante el rastreo. Antes de intentar desinfectar o eliminar un archivo infectado,
IVANTI Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevara

cabo la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar.
Eliminar si la desinfeccion falla". Esta accion se selecciona de forma predeterminada.
• Realizar acciones: IVANTI Antivirus intenta desinfectar automaticamente todos los

archivos infectados que detecte. Si la desinfeccion falla, IVANTI Antivirus eliminara
esos archivos.
• Desinfectar: IVANTI Antivirus intenta desinfectar automaticamente todos los

archivos infectados que detecte. IVANTI Antivirus aplica la accion Eliminar a
los archivos que forman parte de la aplicacion de Windows Store.
• Eliminar si la desinfeccion falla: habilita a IVANTI Antivirus para queelimine

automaticamente todos los archivos infectados que detecte.
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de Rastreo de las areas criticas
Utilice esta pagina para configurar el modo de funcionamiento de IVANTI Antivirus en el rastreo de
las areas crfticas de los dispositivos de destino. Para programar un rastreo de las areas crfticas,
seleccione Rastreo de las areas crfticas en la pagina de Tareas programadas.

de correo.
de red y almacenamiento extrafble del equipo, asf como los objetos OLE incrustados.
IVANTI Antivirus no rastreara los archivos, los paquetes de instalacion ni los archivos
compuestos.
• Alcance: Puede ampliar o restringir el ambito del rastreo, anadiendo un eliminando

los objetos de rastreo o modificando el tipo de archivos que se van a rastrear. De
manera predeterminada, el rastreo de areas crfticas incluye solo la memoria del
784
GUÍA DE USUARIO
sistema, los objetos de inicio y los sectores de arranque del disco.

extension, IVANTI Antivirus analizara la cabecera del archivo. Este analisis
puede revelar que el archivo tiene un formato .exe. Estos archivos se analizan
totalmente en busca de virus y otro tipo de malware.
ARJ, ZIP, CAB, LHA, JARy ICE. En un rastreo de areas cnticas, esta opcion se
deshabilita de manera predeterminada.
los paquetes de instalacion. En un rastreo de areas cnticas, esta opcion se
un rastreo de areas cnticas, esta opcion se habilita de manera predeterminada.
los formatos de correo electronico durante el rastreo. En un rastreo de areas
cnticas, esta opcion se habilita de manera predeterminada.
por contrasena.
compuestos.
785
• Adicional: Especifica el metodoy la tecnologfa que IVANTI Antivirus utilizara durante un

rastreo completo.
menos recursos.
recomendadas por IVANTI,
El rastreo consume mas recursos del sistema y dura mas tiempo. Para el
rastreo de areas cnticas, este es el nivel de analisis heunstico
predeterminado.
786
GUÍA DE USUARIO
siguientes.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevara cabo
la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar. Eliminar
si la desinfeccion falla". Esta accion se selecciona de forma predeterminada.
esos archivos.
archivos infectados que detecte. IVANTI Antivirus aplica la accion Eliminar a los
archivos que forman parte de la aplicacion de Windows Store.
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de rastreo personalizado

Utilice esta pagina para configurar los rastreos personalizados en los dispositivos de destino.

de correo.
objetos de rastreo o modificando el tipo de archivos que se van a rastrear.
787

• Rastrear solo archivos nuevos y modificados: habilita IVANTI Antivirus para que
rastree solo los nuevos archivos y los archivos que se han modificado desde el
analisis anterior.
ARJ, ZIP, CAB, LHA, JARy ICE.
los paquetes de instalacion.
Microsoft® Office Word® o los archivos adjuntos de correos electronicos.
por contrasena.
compuestos.
788
GUÍA DE USUARIO

un rastreo personalizado.
menos recursos.
789
siguientes.
esos archivos.
Acerca de IVANTI Antivirus: Pagina de configuracion avanzada
Utilice esta pagina para configurar la configuracion avanzada de IVANTI Antivirus en los
dispositivos
de destino.
• Habilitar defensa personal: Previene las modificaciones o la eliminacion de los archivos de la

aplicacion en el disco duro, los procesos de memoria y las entradas en el registro del
sistema.
• Desactivar la administration externa del servicio del sistema: Bloquea cualquier intento de
administrar IVANTI Antivirus a distancia. Si se lleva a cabo un intento de administrar los
servicios de las aplicaciones a distancia, se visualizara una notificacion en la barra de tareas
de Microsoft Windows, sobre el icono de la aplicacion (a menos que el usuario haya
deshabilitado el servicio de notificaciones).
• Enviar archivos descartados y de seguimiento a IVANTI para ser analizados: Envia archivos
descartados y de seguimiento a IVANTI, donde se analizara el motivo de los bloqueos. Si
selecciona esta opcion, se abrira la ventana Cargar la informacion de soporte en el servidor
cuando IVANTI Antivirus se reinicie despues de un bloqueo. En esta ventana, podra
seleccionar los archivos descartados yde seguimiento de la lista y enviarlos a IVANTI para
que sean analizados.
790
GUÍA DE USUARIO
• Modo de funcionamiento: Le permite configurar el consumo optimo de eneâ y de recursos

del equipo durante el funcionamiento de IVANTI Antivirus.
• No iniciar las tareas programadas mientras se ejecute con la bateria: El equipo rastrea
las tareas y las tareas de actualizacion de la base de datos que suelen consumir
recursos considerables y que tardan muchotiempo en completarse. Esta opcion
habilita el modo de conservacion de energfa cuando se esta utilizando un equipo
portatil con alimentacion de la batena, lo que pospone las tareas de rastreo y de
actualizacion. En caso necesario, el usuario puede iniciar manualmente las tareas de
rastreo y actualizacion.
• Conceder recursos a otras aplicaciones: Cuando IVANTI Antivirus ejecuta tareas
programadas, es posible que se aumente la carga de trabajo en la CPU yen el
subsistema del disco, lo que ralentiza el rendimiento de otras aplicaciones. Esta
opcion suspende las tareas programadas cuando detecta un aumento en la carga de la
CPU y libera los recursos del sistema operativo para las aplicaciones del usuario.
Acerca de la configuracion avanzada de IVANTI Antivirus Pagina de informes y almacenamientos
Utilice esta pagina para configurar la configuracion avanzada de los informes y del almacenamiento
de
IVANTI Antivirus en los dispositivos de destino.
• Parametros de informes: Especifica el tiempo que se almacenara un informe y el tamano

maximo del mismo.
• Almacenar informes por no mas de âs): Especifica el termino maximo de
almacenamiento de informes con un numero de dfas. El termino maximo
predeterminado es de 30 dfas. Transcurrido ese periodo, IVANTI Antivirus eliminara
automaticamente las entradas mas antiguas del archivo del informe.
• Tamano maximo de archivo (MB): Especifica el tamano maximo para el archivo del
informe en megabytes. De manera predeterminada, el tamano maximo del archivo es
1024 MB. Para evitar superar el tamano maximo del archivo, cuando se alcanza el
tamano maximo, IVANTI Antivirus elimina automaticamente las entradas mas antiguas
del archivo del informe.
791
• Opciones de cuarentena local y copia de seguridad: Permite configurar las cuarentenas y las
copias de seguridad. El almacenamiento de datos consta de un catalogo de cuarentena yde
un almacenamiento para los archivos de las copias de seguridad.
• Volver a rastrear la cuarentena tras una actualizacion: Habilita el rastreo automatico de
los archivos en cuarentena despues de cada actualizacion de las bases de datos y de
los modulos de software de la aplicacion de IVANTI Antivirus. Si selecciona esta
opcion, IVANTI Antivirus iniciara un rastreo de los archivos en cuarentena despues de
cada actualizacion de las bases de datos y de los modulos de software de la
aplicacion.
• Almacenar objetos por no mas de: Especifica el termino maximo de almacenamiento
para los archivos de cuarentena y para los archivos de las copias de seguridad. El
termino de almacenamiento maximo se mide en dfas. El termino maximo
predeterminado para los archivos es de 30 dfas. Transcurrido este termino de
almacenamiento maximo, IVANTI Antivirus eliminara los archivos mas antiguos de la
Cuarentena yde las Copias de seguridad.
• Tamano maximo de almacenamiento: Especifica el tamano maximo para el
almacenamiento de datos en megabytes. De manera predeterminada, el tamano
maximo es 100 MB. Para no superar el tamano de almacenamiento de datos maximo,
cuando el almacenamiento de datos alcanza el tamano maximo, IVANTI Antivirus
elimina automaticamente los archivos mas antiguos.
Acerca de la configuracion avanzada de IVANTI Antivirus Pagina de interfaz
Utilice esta pagina para configurar los ajustes avanzados de la interfaz que IVANTI Antivirus utilizara
en los dispositivos de destino.
• Mostrar "Protegido por Kaspersky Lab" en la pantalla de inicio de sesion de Microsoft

Windows: Habilita el mensaje "Protegido por Kaspersky Lab" en la pantalla de inicio de
sesion de Microsoft Windows. Esta opcion se selecciona de forma predeterminada. Si la
aplicacion esta instalada en un equipo que utiliza un sistema operativo de la familia de
Microsoft Windows Vista, esta opcion no estara disponible.
• Usar animacion del icono durante la ejecucion de tareas: Cuando las tareas se estan
ejecutando, se habilita la animacion del icono de la aplicacion en el area de notificaciones de
la barra de tareas de Microsoft Windows. Esta opcion se selecciona de forma
predeterminada.
Acerca de la configuracion avanzada de IVANTI Antivirus Pagina de configuracion de Kaspersky
Utilice esta pagina para configurar el modo en que IVANTI Antivirus importara la configuracion de
Kaspersky en los dispositivos de destino.
• Importar el archivo de configuracion proveniente de un cliente antivirus de Kaspersky: Le

permite importar la configuracion desde un equipo cliente. Para importar la configuracion,
792
GUÍA DE USUARIO
especifique la configuracion de Kaspersky en un cliente y guardela como un archivo .CFG.

Desde la consola, busque el archivo .CFG. Las opciones que se enumeran en el archivo .CFG
se ajustaran en primer lugary luego se ajustara IVANTI Antivirus. Tenga en cuenta que
IVANTI Antivirus no buscara una nueva actualizacion de .CFG para actualizarla. Si desea
importar una configuracion diferente, debera actualizar manualmente el archivo .CFG.
. Configuracion actual importada de: El boton Explorar [...] abre la ventana Seleccionar un
archivo de configuracion de Kaspersky guardado anteriormente. Busque la carpeta \ldlogon,
haga clic en el archivo .CFG y en Abrir.
• Eliminar la contrasena despues de la importation: Permite a los usuarios modificar la

configuracion de Kaspersky sin la contrasena del archivo de configuracion.
• En la fecha: La fecha de la importacion actual.

• Notas: Notas acerca del archivo .CFG.
Configuracion del agente: Antivirus heredado

Antivirus permite descargar y administrar el contenido de antivirus (archivos de definiciones de

La seccion principal de "Informacion general de IVANTI Antivirus" (929) presenta esta herramienta
de administracion de seguridad complementaria, la cual es un componente de IVANTI Endpoint
Manager y IVANTI Security Suite. En esa seccion encontrara una introduccion e informacion sobre
la suscripcion de contenido de antivirus, asf como tambien instrucciones paso a paso sobre como
utilizar todas las funciones de Antivirus.
Antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda haciendo clic en el
boton Ayuda del cuadro de dialogo respectivo.
• "Ayuda para descargar actualizaciones del antivirus" (789)

• "Ayuda de Tareas del antivirus" (793)
• "Ayuda de configuracion de antivirus" (794)
793
Ayuda para descargar actualizaciones del antivirus

Acerca de la pagina de IVANTI Antivirus en el cuadro de dialogo de Descargar actualizaciones
Utilice la pagina IVANTI Antivirus del cuadro de dialogo Descargar actualizaciones para configurar la
descarga de las actualizaciones de los archivos de definiciones de virus. Puede seleccionar
descargar el contenido de Antivirus (archivos de definiciones/patrones de virus), especificar cuando
los archivos de definiciones de virus van a estar disponibles para distribuirlos en los dispositivos
administrados (inmediatamente o despues del penodo de prueba piloto) y si se realiza copia de
seguridad de los archivos de definiciones.
Tenga en cuenta que la pagina Actualizaciones del cuadro de dialogo Descargar actualizaciones
incluye varias actualizaciones de Antivirus en la lista de tipos de definiciones. En Actualizaciones de
antivirus de IVANTI hay unjuego de archivos de patrones para cada version. Cuando se selecciona
IVANTI AV [version delsistema operativo], se descarga el contenido de deteccion del analizador Yde las
actualizaciones de los archivos de definiciones de virus.
Las actualizaciones de antivirus son definiciones del analizador que detectan:

• La instalacion de motores analizadores de antivirus comunes (entre ellos el agente de IVANTI
Antivirus)
• El estado del analisis en tiempo real (habilitado o deshabilitado)
• Versiones de los archivos de patrones espedficos del analizador (actualizadas o anteriores)
• Fecha del ultimo analisis (si el ultimo analisis se encuentra dentro del maximo penodo de
tiempo permitido especificado por el administrador)
NOTE: Contenido de deteccion del analizador del antivirus en comparacion con el contenido de
definiciones de virus
Las actualizaciones de antivirus no implican archivos de definiciones (o patrones) de virus reales. Cuando se
descargan actualizaciones de antivirus de terceros, solo el contenido de deteccion del analizador puede
descargarse en el deposito predeterminado ya que los archivos de definiciones de virus espedficos del
analizador no se descargan. Sin embargo, cuando se descargan las actualizaciones de IVANTI Antivirus, se
descargan el contenido de deteccion del analizador y los archivos de definiciones de virus espedficos de IVANTI
Antivirus. Los archivos de definiciones de virus de IVANTI Antivirus se descargan en una ubicacion aparte en el
servidor central. El repositorio predeterminado de los archivos de definiciones de virus es la carpeta
\LDLogon\Antivirus\Bases.
Debe tener la suscripcion adecuada al contenido de IVANTI Security Suite para poder descargar los
distintos tipos de contenido de seguridad.
La instalacion basica de IVANTI Endpoint Manager le permite descargary analizar las

actualizaciones de software de IVANTI y crear sus propias definiciones personalizadas. Para todos
los otros tipos de contenido de seguridad, como vulnerabilidades especficas de la plataforma,
spyware, y archivos de definiciones (patrones) de virus, DEBE tener una suscripcion al contenido de
IVANTI Security Suite para poder descargar las definiciones correspondientes.
794
GUÍA DE USUARIO
comurnquese con su distribuidor o visite el sitio web de IVANTI:
Luego de especificar el tipo de contenido que desea descargar y las otras opciones en el cuadro de
dialogo Descargar actualizaciones:
• Para realizar una descarga inmediata, haga clic en Actualizar ahora. Si hace clic en
configuracion.
• Para programar una tarea de descarga de contenido de seguridad, haga clic en Programar
actualizacion para abrir el cuadro de dialogo Informacion de actualizacion programada.
Escriba un nombre para la tarea, verifique la informacion de la tarea y luego haga
clic en Aceptar para agregarla a Tareas programadas.
IMPORTANT: Configuracion esperifica de la tarea y configuracion global

Observe que solo la configuracion de la descarga de los tipos de definiciones, idiomas y definiciones y parches
se guardan y asocian con una tarea espedfica cuando la crea. Esas tres configuraciones se consideran espedficas de
la tarea. Sin embargo, los ajustes de configuracion de las otras pestanas del j cuadro de dialogo Descargar
de seguridad. La configuracion general incluye: ubicacion de la descarga de parches, servidor proxy, reparacion
automatica de spyware, alertas de seguridad y antivirus. Siempre que se cambia una configuracion global, dicho
cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante.
Para guardar los cambios en cualquier pagina de este cuadro de dialogo en cualquier momento,
haga clic en Aplicar.
La pagina de IVANTI Antivirus contiene las siguientes opciones:
• Actualizaciones de definiciones de virus: Las carpetas predeterminadas son:

IVANTI AV 10.0:\IVANTI\ManagementSuite\ldlogon\antivirus8\Win\basesEP10
IVANTI AV 9.5 y 9.6: \IVANTI\ManagementSuite\ldlogon\antivirus8\Win\basesEP
Mac: \IVANTI\ManagementSuite\ldlogon\antivirus8\Mac\basesEP
• Aprobar inmediatamente (hacerlas disponibles a todos los equipos): Descarga

definiciones de virus directamente a la carpeta predeterminada. Las definiciones de
virus descargadas a la carpeta predeterminada estan aprobadas y pueden
implementarse en los dispositivos de destino para el analisis del antivirus.
795
• Restringirlas a una prueba piloto: Descarga archivos de definiciones de virus a la

carpeta piloto para fines de prueba. Las definiciones de virus de la carpeta piloto
pueden implementarse en los equipos de prueba designados antes de hacerlo en los
• Obtener las definiciones mas recientes: Abre el cuadro de dialogo Seleccionar
la version de IVANTI Antivirus, donde podra seleccionar cada definicion de virus
que desee descargar. Haga clic en Aceptar para iniciar la descarga inmediata de
la seleccion, independientemente de la lista Descargar actualizaciones. El
cuadro de dialogo Actualizando definiciones muestra el progreso de la
descarga.
• Aprobar ahora: Le permite mover los archivos de definiciones de virus desde la
carpeta piloto a la carpeta predeterminada de definiciones de virus para poder
implementarlas en el analisis del antivirus de los dispositivos de destino.
• Programar aprobacion: abre la herramienta Tareas programadas con una nueva
tarea en la cual se pueden especificar las opciones de programacion (empezar
ahora, o iniciar en un dfa y hora particular, yestablecer la frecuencia). Esta tarea
programada mueve automaticamente los archivos de definicion de virus que se
descargaron de la carpeta piloto a la carpeta predeterminada de los archivos de
definicion de virus. NOTA: Esta opcion se encuentra disponible solo si se
restringen las actualizaciones de los archivos de definiciones de virus a una
prueba piloto. Ademas, permite automatizar la aprobacion de los archivos de
definiciones. Si no se habilita esta opcion, los archivos de definiciones de virus
de la carpeta piloto deben aprobarse de forma manual con el boton Aprobar
ahora.)
• Crear copias de seguridad de las definiciones anteriores: Guarda las descargas de los
archivos de definiciones de virus anteriores. Esto puede resultar util si necesita volver
a un archivo de definiciones mas antiguo para analizar o limpiar archivos infectados o
para restaurar un archivo de definiciones de virus que resolvio un problema en
particular. (Las copias de seguridad de los archivos de definiciones de virus se
guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de
creacion. Las copias de seguridad se guardan en las carpetas siguientes:
IVANTI AV 10.0: \IVANTI\ManagementSuite\ldlogon\antivirus8\Win\backupsEP10
IVANTI AV 9.5 y 9.6: \IVANTI\ManagementSuite\ldlogon\antivirus8\Win\backups
Mac:\IVANTI\ManagementSuite\ldlogon\antivirus8\Mac\backups
• Numero de copias de seguridad a mantener: Especifica el numero de descargas de
archivos de definiciones de virus a guardar.
• Actualizar listas de copias de seguridad: Elimina las copias de seguridad guardadas
para que coincidan con el numero especificado en el campo Numero de copias de
seguridad a mantener. Por ejemplo, si guardaba 10 copias de seguridad y cambio el
valor a 3, podra hacer clic en el boton Actualizar listas de copias de seguridad para
eliminar inmediatamente las 7 listas de copias de seguridad mas antiguas. Si no hace
clic en este boton, las copias de seguridad adicionales se eliminaran la siguiente vez
796
GUÍA DE USUARIO
que descargue las definiciones de virus.

• Aprobado para distribution: Muestra la fecha yel numero de version de los archivos de
definiciones de virus aprobados mas recientemente que se encuentran disponibles para
distribuirlos a los dispositivos administrados. Los archivos de definiciones de virus
aprobados se ubican en la carpeta predeterminada, desde donde se implementan en los
dispositivos de destino como parte de los analisis del antivirus a peticion y programados. El
tiempo exacto de la actualizacion de los archivos de definiciones de virus (descargados del
servicio de IVANTI Security Suite, el cual tiene los ultimos archivos de patron conocidos) se
puede observar debajo de este campo.
• Piloto: observe que esta lista solo aparece si se selecciono la opcion Restringirlas primero a
una prueba piloto. Esta lista muestra la fecha y el numero de version de los archivos de
definiciones de virus que actualmente residen en la carpeta piloto, siempre y cuando se
hayan descargado en esa ubicacion. La prueba piloto ayuda a verificar la validezy la utilidad
de un archivo de definiciones de virus antes de usarlo para analizar virus en los dispositivos
administrados. Las definiciones de virus que se han descargado en la carpeta de prueba
piloto pueden desplegarse en los dispositivos de destino "de prueba".
• Notificar mediante IVANTI Antivirus action center: Abre el cuadro de dialogo IVANTI Antivirus
action center donde puede configurar sobre quejuego de archivos de patrones desea recibir
notificaciones.
• Historial: Ofrece una lista de las copias de seguridad de los archivos de definiciones de virus
disponibles.
• Restaurar: Mueve la copia de seguridad del archivo de definiciones de virus seleccionada a la
carpeta predeterminada del antivirus para poder distribuirla en los dispositivos de destino.
• Eliminar: Quita del servidor central la copia de seguridad del archivo de definiciones de virus
en forma permanente.
• Descargar ahora: descarga inmediatamente los tipos de contenido de seguridad
seleccionados. El cuadro de dialogo Actualizacion de definiciones muestra el progreso y el
estado de la descarga.
• Programar descarga...: abre el cuadro de dialogo Information de actualizaciones
programadas, en el cual puede escribir un nombre unico para esta tarea de descarga,
verificar la configuracion de descarga y hacer clic en Aceptar para guardar la tarea en la
herramienta Tareas programadas. (Observe que solo los tipos de definiciones, los idiomas y
la configuracion de descarga de definicion y de revisiones se guardan y asocian cuando crea
una tarea en particular. La configuracion de descarga de las otras paginas de este cuadro de
dialogo, como la ubicacion de descarga de revisiones, configuracion de proxyy configuracion
de alertas, son generales, es decir, se aplican a todas las tareas de descarga de contenido de
seguridad. No obstante, es posible modificar esa configuracion en cualquier momento y esta
se aplicara a todas las tareas de descarga de contenido de seguridad a partir de este punto.)
• Ver registro historico...: permite seleccionar la ubicacion yel nivel del detalle en un archivo
historico que contiene informacion sobre la descarga de archivos de definicion de virus.
• Aplicar: guarda la configuracion de la descarga seleccionada para aplicarla al cuadro de
797
dialogo Descargar actualizaciones y aparece la proxima vez que abra dicho cuadro.
798
GUÍA DE USUARIO
• Cerrar: Cierra el cuadro de dialogo sin guardar los ultimos cambios hechos en la
configuracion.
Para obtener una descripcion de las opciones de las otras paginas del cuadro de dialogo Descargar
actualizaciones, consulte "Acerca del cuadro de dialogo Descargar actualizaciones" (683).
Ayuda de Tareas del antivirus
Acerca del cuadro de dialogo Crear tarea de IVANTI Antivirus
Use este cuadro de dialogo para crear una tarea que actualice los archivos de definicion de virus,
configurar analisis del antivirus en dispositivos de destino (con la configuracion de antivirus) o
ambas actividades. La configuracion de Antivirus determina el comportamiento del analizador, los
objetos analizados y las opciones de usuario final.
NOTE: Analisis de antivirus a peticion

Tambien puede ejecutar un analisis del antivirus a peticion en un dispositivo mediante el menu de acceso directo
al dispositivo.
• Nombre de la tarea: Identifica la tarea de analisis del antivirus con un nombre unico.
• Acciones a efectuar: especifica lo que la tarea va a hacer. Puede seleccionar una de las
acciones o ambas.
• Actualizar definiciones de virus: especifica que la tarea actualizara los archivos de
definicion de virus con base en la configuracion de la pagina de antivirus del cuadro
de dialogo de Descargar actualizaciones.
• Iniciar analisis del antivirus: especifica que la tarea ejecutara un analisis del antivirus
• Crear una tarea programada: Agrega la tarea de analisis a la ventana de Tareas programadas,
donde puede configurar sus opciones de programacion y repeticion y asignarles dispositivos
de destino.
• Seleccionar automaticamente todos los equipos con IVANTI Antivirus: agrega los
dispositivos administrados que se han configurado con el agente de IVANTI Antivirus
a la lista de dispositivos de destino de la tarea.
• Iniciar ahora: ejecuta el analisis del antivirus en los dispositivos con el agente de
IVANTI Antivirus ylo agrega a la herramienta de Tareas programadas al hacer clicen
Aceptar.
• Actualizar definiciones de virus (inclusive las piloto) en el servidor central: actualiza
automaticamente los archivos de patrones de virus antes de ejecutar el analisis,
incluso los archivos de definiciones de virus que residen actualmente en la carpeta
piloto. (Nota: la opcion de Actualizar definiciones de virus de arriba se debe
seleccionar para usar esta opcion.)
• Crear una polftica: Agrega la tarea de analisis del antivirus como una polftica a la ventana de
Tareas programadas, donde puede configurar las opciones de polftica.
799
• Configuracion de IVANTI Antivirus especifica la configuracion del antivirus que se utiliza en

las tareas de analisis. La configuracion del antivirus determina si el icono de IVANTI
Seleccione una de las configuraciones de la lista desplegable. Haga clic en Modificar para
modificar las opciones de la configuracion seleccionada. Haga clic en Configurar para crear
una configuracion nueva.
• Archivos de definicion de virus: muestra informacion sobre los archivos de definicion

descargados actualmente. Haga clic en Descargar actualizaciones para ir a la pagina de
Antivirus IVANTI del dialogo Descargar actualizaciones para configurar y programar la
descarga de un archivo de definicion de virus.
Acerca del cuadro de dialogo Tarea de analisis ahora de IVANTI Antivirus
Utilice este cuadro de dialogo para ejecutar un analisis del antivirus inmediato a peticion en uno o
mas dispositivos de destino.

seleccionados al tiempo) y luego haga clic en Analizar ahora con IVANTI Antivirus.
2. Seleccione una configuracion de antivirus.

3. Especifique si hay que actualizar los archivos de definicion de virus antes de analizar. (Nota:
esta opcion actualiza automaticamente los archivos de patrones de virus antes de ejecutar el
analisis, incluso los archivos de definiciones de virus que residen actualmente en la carpeta
piloto.)
Ayuda de configuracion de antivirus
Acerca del cuadro de dialogo de Configuracion de IVANTI Antivirus

Utilice este cuadro de dialogo para crear y modificar cualquier configuracion de antivirus. La
configuracion del antivirus determina si el icono de IVANTI Antivirus aparece en la bandeja del
sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la
habilitacion del analisis de correo electronico y de la proteccion en tiempo real, los tipos de archivo
a analizar, los archivos y carpetas a excluir, la cuarentena y la copia de seguridad de los archivos
infectados, los analisis programados del antivirus y las actualizaciones programadas de los
archivos de definiciones de virus.
Si desea modificar la configuracion predeterminada del antivirus de un dispositivo sin volver a

implementar una tarea de analisis antivirus, realice los cambios deseados en cualquier
configuracion en las diversas paginas del cuadro de dialogo de configuracion de Antivirus, asigne
la nueva configuracion a una tarea de cambio de configuracion y luego desplieguela en los
800
GUÍA DE USUARIO
Una vez configurado, puede aplicar la configuracion del antivirus a las tareas de analisis del
antivirus y a las tareas de cambio de configuracion.
. "Acerca del Antivirus: Pagina de configuracion general" (795)

• "Acerca del Antivirus: Pagina de proteccion en tiempo real" (796)
• "Acerca del Antivirus: Pagina de analisis de virus" (798)
• "Acerca del Antivirus: Pagina de analisis programados" (801)
• "Acerca del Antivirus: Pagina de actualizaciones de definiciones de virus" (803)
• "Acerca del Antivirus: Pagina de Actualizaciones de definiciones de virus de legado" (804)
• "Acerca del Antivirus: Pagina de cuarentena/copia de seguridad" (805)
Acerca del Antivirus: Pagina de configuracion general
Utilice esta pagina para configurar los valores basicos del analizador de antivirus en los
• Nombre: Identifica la configuracion de antivirus con un nombre unico. Este nombre aparece
en la lista desplegable de configuracion en un cuadro de dialogo de tarea de analisis del
antivirus.
• Mostrar el icono de IVANTI Antivirus en la bandeja del sistema: Hace que el icono de IVANTI
Antivirus aparezca en la bandeja del sistema del dispositivo. La apariencia del icono depende
del estado de la proteccion de antivirus e indica si la proteccion en tiempo real esta
habilitada. Si el icono de flecha es amarillo, la proteccion en tiempo real se encuentra
habilitada y por lo tanto se supervisa el dispositivo continuamente en busca de virus. Si el
icono es gris, la proteccion de tiempo real no esta habilitada.
NOTA: Los usuarios finales pueden hacer doble clic en el icono para abrir el cliente de
Antivirus IVANTI y realizar tareas. Tambien pueden hacer clic con el boton derecho sobre el
icono para acceder al menu de acceso directoy seleccionar ejecutar un analisis yactualizar
los archivos de antivirus.
• Habilitar analisis de mensajes de correo electronico: habilita el analisis de mensajes de

correo electronico en tiempo real en los dispositivos de destino. El analisis de mensajes de
correo electronico en tiempo real supervisa continuamente los mensajes entrantes y
salientes (las aplicaciones admitidas incluyen: Microsoft Outlook) y busca virus en el cuerpo
del mensaje y en cualquier archivo y mensaje adjunto. Se eliminan los virus detectados.
• Habilitar analisis con clic derecho del raton: Proporciona una opcion en el cliente de IVANTI
Antivirus que le permite a los usuarios finales seleccionar un archivo, un grupo de archivos,
una carpeta o un grupo de carpetas y hacer clic con el boton secundario en la seleccion para
realizar un analisis del antivirus.
• Analizar software peligroso y virus (base de datos ampliada): Proporciona una opcion en el
801
cliente de IVANTI Antivirus que permite que los usuarios finales analicen software peligroso
(por ejemplo, FTP, IRC utilidades de control remoto, etc.) con una base de datos ampliada
que se carga en el dispositivo administrado.
• Permitir que el usuario agregue archivos y carpetas a la lista de elementos de confianza:
Proporciona una opcion en el cliente de IVANTI Antivirus que le permite a los usuarios
identificar archivos y carpetas en los que no deseen realizar el analisis de virus. El analisis
del antivirus omite los archivos y las carpetas que se encuentran en esta lista. Se debe
alertar a los usuarios de que solo coloquen archivos seguros en su lista de elementos de
confianza.
• Uso de la CPU durante el analisis: Permite controlar el uso de la CPU en los equipos de
destino cuando IVANTI Antivirus ejecuta un analisis del antivirus.
• Propietario: le permite especificar el propietario de la configuracion de antivirus para evitar
modificaciones no autorizadas. Solamente el propietario y los usuarios con derecho de
administradortienen acceso a la configuracion y pueden modificarla. Los demas usuarios
solamente pueden verla. La opcion de usuario publico permite el acceso universal a la
configuracion.
• Establecer como predeterminado: establece esta configuracion de antivirus (con la
configuracion de opciones en todas las pestanas de los cuadros de dialogo de la
configuracion de Antivirus) como la predeterminada en los dispositivos de destino. A menos
que la tarea de analisis del antivirus tenga una configuracion de antivirus espedfica
asociada, la configuracion predeterminada se utiliza durante las tareas de analisis
yactualizacion de los archivos de definiciones.
• Restaurar predeterminados: Restaura la configuracion predeterminada definida
anteriormente en todas las opciones de antivirus de las pestanas del cuadro de dialogo.
Acerca del Antivirus: Pagina de proteccion en tiempo real
Utilice esta pagina para habilitary configurar la proteccion de archivos en tiempo real, seleccionar
que archivos se deben proteger y excluir y notificar al usuario final.
La proteccion en tiempo real supone un analisis continuo (en segundo plano) de los archivos, las
carpetas y los tipos de archivos por extension especificados. Cuando se ejecuta la proteccion en
tiempo real, se analizan los archivos en busca de virus siempre que estos se abren, cierran,
acceden, copian o guardan.
Cuando se habilita la proteccion en tiempo real, el icono de la bandeja del sistema de IVANTI
Antivirus es amarillo. Si la proteccion en tiempo real se encuentra apagada, el icono es gris.
• Habilitar proteccion de archivos en tiempo real: Activa la proteccion de archivos en tiempo

real en los dispositivos de destino. La proteccion de archivos en tiempo real se ejecuta en
segundo plano yanaliza virus conocidos de acuerdo con los archivos de definiciones de
virus descargados
• Mostrar mensajes en tiempo real en el cliente: muestra mensajes en los dispositivos de
destino para notificar a los usuarios sobre ciertas actividades de IVANTI Antivirus. Se
802
GUÍA DE USUARIO
notifica a los usuarios finales siempre que un archivo infectado se detecta, se pone en
cuarentena, se elimina, se omite o se limpia. Los cuadros de dialogo de mensajes muestran
la ruta de acceso, el nombre del archivo, el nombre del virus y una nota que le informa al
usuario final que debe comunicarse con el administrador de red.
• Permite que el usuario deshabilite el analisis en tiempo real hasta: Proporciona una opcion
en el cliente de IVANTI Antivirus que le permite al usuario final desactivar la proteccion de
archivos en tiempo real durante un penodo de tiempo especificado. Debe mantener este
penodo de tiempo al mfnimo para que los usuarios no puedan deshabilitar la proteccion en
tiempo real a largo plazo.
• Excluir rutas de acceso de red: limita el analisis de archivos en tiempo real en las unidades
locales y no incluye unidades de red asignadas.
• Analizar todos los tipos de archivos: Especifica que todos los tipos de archivos del
dispositivo de destino se analicen por medio de un analisis del antivirus. Esto puede tardar
bastante por lo tanto se recomienda analizartodos los tipos de archivos con un analisis a
peticion en lugar de una proteccion en tiempo real.
• Analizar solo archivos infectables: Especifica que solo se analicen los archivos infectables.
Los archivos infectables son aquellos tipos de archivos conocidos por ser vulnerables a las
infecciones de virus. Resulta mas eficiente analizar solo los archivos infectables que analizar
todos, ya que algunos virus afectan solo a determinados tipos de archivos. No obstante,
debe acostumbrarse a analizar periodicamente todos los archivos con un analisis a peticion
para asegurarse de que los dispositivos esten limpios.
NOTA: Los tipos de archivo infectables se identifican por su identificador de formato en el

encabezado del archivo en lugar de la extension del archivo, lo cual garantiza que se
analicen los archivos cuyos nombres hayan cambiado. Los archivos infectables incluyen:
archivos de documentos tales como archivos de Word y Excel, archivos de plantillas
asociados con archivos de documentos y archivos de programa, tales como bibliotecas de
vrnculos dinamicos (.DLL), archivos de comunicacion (.COM), archivos ejecutables (.EXE) y
otros archivos de programas. Mas adelante se presenta una lista completa de los tipos de
archivos infectables.
• Utilizar heunsticos para analizar archivos sospechosos: Utiliza la capacidad de analisis de

heunsticos del analizador cuando analiza los dispositivos de destino. El analisis de
heunsticos intenta detectar archivos sospechosos de estar infectados con un virus a traves
del analisis de comportamientos sospechosos, tales como un programa que: se modifica a sf
mismo, intenta buscar inmediatamente otros ejecutables o se modifica despues de terminar.
(NOTA: el uso del analisis de heunsticos puede afectar negativamente el rendimiento de los
dispositivos administrados.)
• Excluir los siguientes archivos y carpetas:
• Agregar: abre el cuadro de dialogo Agregar ruta de acceso excluida donde puede
crear exclusiones nuevas para especificar los archivos, las carpetas o los tipos de
archivos (por extension) que desee excluir del analisis del antivirus asociado con esa
803
configuracion.
• Editar: abre la exclusion seleccionada para modificar la ruta de acceso, el nombre y la
extension de un archivo y las variables.
• Eliminar: quita la exclusion seleccionada de la configuracion de antivirus.
Acerca del cuadro de dialogo Agregar ruta de acceso excluida
Utilice este cuadro de dialogo (al cual se tiene acceso desde el cuadro de dialogo de proteccion en
Tiempo real) para agregar exclusiones que especifican que no se estan analizando los virus de los
objetos ni a traves del analisis del antivirus ni a traves de la proteccion en tiempo real. Las tareas de
analisis del antivirus (y las tareas de cambio de configuracion) asociadas con esta configuracion de
antivirus utilizaran estas exclusiones.
Puede excluir archivos espedficos, carpetas enteras y tipos de archivos por sus extensiones.
• Tipo: Indica el tipo de objeto que se desea excluir del analisis del antivirus. Seleccione un
tipo y luego introduzca sus atributos especficos en el campo Objeto.
• Objeto: escriba la ruta de acceso completa y el nombre (o examine y seleccione) del archivo
o la carpeta que desea excluir. Si selecciona el tipo de extension del archivo, escriba los
caracteres de la extension en el campo Objeto.
• Insertar variable: Permite utilizar las variables del entorno del sistema para identificar la ruta
de acceso a una carpeta o un objeto que deseana excluir del ambito del analisis del antivirus
o de la proteccion.
Acerca del Antivirus: Pagina de analisis de virus
Utilice esta pagina para especificar en que archivos se deben analizar virus, cuales hay que excluir
del analisis y si sevan a usar heunsticos para analizar archivos sospechosos.
para asegurarse de que los dispositivos esten limpios. Mas adelante se presenta una lista
completa de los tipos de archivos infectables.
* Utilizar heunsticos para analizar archivos sospechosos: Utiliza la capacidad de analisis de
804
GUÍA DE USUARIO

mismo, intenta buscar inmediatamente otros ejecutables o aparece modificado despues de
terminar. El uso del analisis de heunsticos puede afectar negativamente el rendimiento de los
* Excluir los siguientes archivos y carpetas

configuracion.


* Limpiar el registro: especifica que se incluya el registro en el analisis del antivirus.
IMPORTANT: analisis de puntos de reparacion del sistema

IVANTI Antivirus analizara los archivos en cualquiera de los archivos de puntos de reparacion del
sistema que puedan existir en el dispositivo administrado.
Tipos de archivos infectables
Los tipos de archivo infectables se identifican por su identificador de formato en el encabezado del
archivo en lugar de la extension del archivo, lo cual garantiza que se analicen los archivos cuyos
nombres hayan cambiado.
Los archivos infectables incluyen: archivos de documentos tales como archivos de Word y Excel,
archivos de plantillas asociados con archivos de documentos y archivos de programa, tales como
bibliotecas de vfnculos dinamicos (.DLL), archivos de comunicacion (.COM), archivos ejecutables
(.EXE) y otros archivos de programas. La lista siguiente contiene los tipos de archivos infectables
segun el estandar del formato de archivo o la extension del archivo original.
• ACM
• ACV
• ADT
• AX
• BAT
• BIN
• BTM
• CLA
• COM
• CPL
. CSC .
CSH .
805
DLL .
DOC .
DOT .
DRV .
EXE .
HLP .
HTA .
HTM .
HTML .
HTT .
INF . INI
. JS .
JSE .
JTD .
MDB .
MSO .
OBD .
OBT .
OCX .
PIF . PL
. PM .
POT .
PPS .
PPT .
RTF .
SCR .
SH .
SHB .
SHS .
SMM .
SYS .
VBE
806
GUÍA DE USUARIO
. VBS
. VSD
. VSS
. VST .
VXD .
WSF .
WSH
Acerca del Antivirus: Pagina de analisis programados
Utilice esta pagina para habilitary configurar un analisis del antivirus programado para ejecutarse
con cierta frecuencia en los dispositivos de destino.
NOTE: Tipos de analisis de IVANTI Antivirus

Puede analizar los virus en sus dispositivos administrados con analisis programados, analisis a peticion y
proteccion de archivos y mensajes de correo electronico en tiempo real. Los usuarios finales tambien pueden
realizar analisis a peticion en sus propios equipos.
• Hacer que IVANTI Antivirus busque virus en dispositivos a una hora especifica: Habilita un
analisis del antivirus periodico y programado que se ejecuta en los dispositivos de destino
de acuerdo con la hora de inicio, la frecuencia, la restriccion de tiempo y los requisitos de
ancho de banda que se especifiquen.
• Cambiar configuration: Abre el cuadro de dialogo Programar, donde puede establecer las
opciones de programacion.
• Permitir al usuario programar analisis: Le permite al usuario final crear un analisis del
antivirus programado local en su propio equipo.
Si desea que esta configuracion de antivirus incluya un analisis del antivirus periodico, utilice este
cuadro de dialogo para especificar la hora de inicio, la frecuencia, la restriccion de tiempo y la
configuracion de los requisitos de banda ancha. Las tareas de analisis del antivirus (y las tareas de
cambio de configuracion) asociadas con esta configuracion de antivirus utilizaran las reglas
definidas aqrn.
entre las 8
y las 9 en punto con un Estado del equipo de El equipo de escritorio debe bloquearse, la tarea solo
se ejecutara entre las 8 y las 9 en punto Ysi el equipo esta bloqueado.
807
808
GUÍA DE USUARIO

. Repetir despues de: Programa el analisis para que se repita periodicamente. Seleccione el
numero de minutos, horas y dâs para controlar la frecuencia de repeticion de la tarea.
de inicioyfin. Las horas estan en formato horario de 24 horas (militar).
las fechas de inicioyfin.
especificar el criterio de ancho de banda mfnimo necesario para que se ejecute la tarea. La
prueba del ancho de banda consiste en creartrafico de red en el dispositivo especificado.
Cuando llega el momento de ejecutar la tarea, cada dispositivo que ejecuta la tarea del
programador local envfa una pequena cantidad de trafico de red ICMP al dispositivo
especificado y evalua el rendimiento de la transferencia. Si el dispositivo de destino de
prueba no esta disponible, la tarea no se ejecuta. Las opciones de Ancho mfnimo de banda
son:
• RAS: la tarea se ejecuta si la conexion de red del dispositivo al dispositivo de destino
tiene al menos una velocidad RAS o de acceso telefonico, tal como se detecta a traves
del API de red. Normalmente, si se selecciona esta opcion, la tarea siempre se va a
ejecutar si el dispositivo tiene una conexion de red de algun tipo.
• WAN: la tarea se ejecuta si la conexion del dispositivo al dispositivo de destino es al
menos una velocidad WAN. La velocidad WAN se define como una conexion no RAS
que es mas lenta que el umbral LAN.
• LAN: La tarea se ejecuta cuando la conexion del dispositivo al dispositivo de destino
excede la configuracion de velocidad LAN. La velocidad LAN se define como cualquier
velocidad mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN
en la configuracion del agente (Herramientas > Configuracion > Agente de
Configuracion > Detection de ancho de banda). Los cambios que realice entran en
efecto cuando se implementa la configuracion actualizada en los dispositivos.
• Al nombre del equipo: identifica el equipo a utilizar para probar el ancho de banda del
dispositivo. La transmision de prueba es entre un dispositivo de destino yeste equipo.
• Estado del equipo: si desea que los criterios de ejecucion de la tarea incluyan un estado de
equipo, seleccione alguno en la lista desplegable.
809
extienda mas alia de los lmites horarios configurados para la tarea, esta puede no ejecutarse
si el valor aleatorio coloca a la tarea por fuera de los lmites horarios configurados.

• Y de al menos: si desea que la tarea aguarde al menos cierta cantidad de minutos
antes de ejecutarse, seleccione esta opcion. Por ejemplo, si programa un analisis de
inventario, puede introducir un cinco aqrn, de manera que el equipo tenga tiempo para
terminar el inicio antes de que comience el analisis, con lo que se mejora la reaccion
del equipo para el usuario.
Acerca del Antivirus: Pagina de actualizaciones de definiciones de virus

para los dispositivos de destino con configuracion de antivirus.

predeterminado (\LDLogon\Antivirus\Bases) del servidor central. Un conjunto restringido de
usuarios puede descargar las definiciones de virus de la carpeta piloto para probar las
definiciones de virus antes de implementarlas en toda la red. Cuando crea una tarea de
analisis del antivirus, tambien puede seleccionar descargar las ultimas actualizaciones de las
definiciones de virus, entre ellas las que residen en la carpeta de prueba piloto, luego asociar
una configuracion de antivirus con esta opcion habilitada para garantizar que los equipos de
prueba reciban los ultimos archivos conocidos de definiciones de virus. Si se selecciona
esta opcion, no se descargan los archivos de definiciones de virus de la carpeta
predeterminada (\LDLogon\Antivirus\Bases).
• Los usuarios pueden descargar actualizaciones de definiciones de virus: Provee a los

usuarios finales de los dispositivos de destino la opcion de descargar archivos de
definiciones de virus por sf solos. Esta opcion aparece en el cliente de IVANTI Antivirus y se
puede tener acceso a ella desde ese cuadro de dialogo o haciendo clic con el boton derecho
en el icono de la bandeja del sistema de IVANTI Antivirus.
NOTA: cuando un usuario final descarga las actualizaciones de los archivos de definiciones
de virus, el dispositivo intenta conectarse a los servidores en el siguiente orden: 1) servidor
preferido (si se configuro uno); 2) servidor central; 3) servidor de contenido de IVANTI
Security Suite.
810
GUÍA DE USUARIO
• Descargar actualizaciones de definiciones de virus: especifica el sitio de origen desde el cual

los archivos de definicion de virus se descargan. Dependiendo de la opcion que seleccione
en la lista desplegable aqm, una o ambas opciones del sitio de origen de descarga (servidor
central y servidor de contenido de seguridad de Internet) descritos a continuacion quedan
habilitadas y se pueden configurar. (NOTA: las opciones de descarga de Internet se
configuran en la pagina Actualizaciones de definiciones de virus de legado.)
• Opciones de descarga del servidor central: le permite configurar el servidor central si se ha
seleccionado una de las opciones de sitio de origen de descarga anteriores que incluye el
servidor central.
• Desactivar descarga de par: previene descargas de archivos de definicion de virus a
traves de descarga de pares (el cache local o un par en el mismo dominio de
multidifusion).
• Desactivar el servidor preferido: previene descargas de archivo de definicion de virus
a traves de un servidor preferido. Para obtener mas informacion sobre los servidores
• Programar actualizaciones de definiciones de virus: Habilita una actualizacion periodica y
programada de los archivos de definiciones de virus que se ejecutan en los dispositivos de
destino de acuerdo con la hora de inicio, la frecuencia, la restriccion de tiempo y los
requisitos de ancho de banda que especifique.
• Cambiar programa: Abre el cuadro de dialogo Programar en el cual puede especificar las
definidas aqm.
Acerca del Antivirus: Pagina de Actualizaciones de definiciones de virus de legado
Utilice esta pagina para configurar las actualizaciones de definiciones de virus de legado, asf como
la configuracion del servidor de contenido de IVANTI Security Suite si se selecciono una de las
opciones de ubicacion de fuente de descarga de arriba, entre las que se incluye el Internet.
• Descargar actualizaciones en un solo archivo si el cambio en el conteo de archivos es mayor

que: especifica el numero maximo de archivos de definicion de virus individuales nuevos o
actualizados que se pueden descarga por separado antes de que se descarguen como un
archivo individual.
• Opciones de descarga de Internet: le permite configurar las opciones del servidor de
contenido de seguridad si se selecciono una de las opciones de ubicacion de fuente de
descarga de arriba, entre las que se incluye el Internet.
811
• Sitio de origen: especifica el servidor de contenido de seguridad al que se accede para

descargar las ultimas definiciones a la base de datos. Seleccione el servidor mas
cercano a su ubicacion.
• Volver al sitio de origen alternativo en caso de error: Intenta descargar
automaticamente las actualizaciones desde otro servidor de contenido de seguridad,
en el cual residen las firmas de antivirus, si el sitio de origen especificado no puede
transmitir los archivos.
IMPORTANT: La configuration de legado solo se aplica a los clientes de IVANTI Antivirus mas antiguos
La configuracion de las actualizaciones de definiciones de virus de legado que se especifique en esta pagina
solo afecta las versiones anteriores del cliente de IVANTI Antivirus que se hayan desplegado en sus dispositivos
administrados. Normalmente, las versiones anteriores del cliente son instaladas por una version del servidor
central IVANTI 8.8 SP3 o anterior.
• Tamano maximo: Especifica el tamano maximo de la carpeta compartida cuarentena/copia de
seguridad en los dispositivos con el agente de IVANTI Antivirus.
• Restaurar objetos: especifica los derechos de usuario final para restaurar objetos que han
sido puestos en cuarentena.
• Permitir que el usuario restaure objetos sospechosos: Le provee a los usuarios finales
la opcion de restaurar objetos sospechosos detectados por el analisis del antivirus o
por la proteccion en tiempo real. Los objetos sospechosos son aquellos que
contienen un codigo que se encuentra modificado o que recuerda al de un virus
conocido. Los objetos sospechosos se colocan en cuarentena automaticamente. Si se
seleccione esta opcion, los usuarios finales pueden mover el archivo original de la
carpeta de cuarentena a una carpeta de destino espedfica o a su ubicacion original,
donde se almaceno antes de la cuarentena, la desinfeccion o la eliminacion. Observe
que si se esta ejecutando la proteccion en tiempo real, el archivo restaurado se analiza
y si aun sigue infectado se lo vuelve a poner en cuarentena.
• Permite que el usuario restaure objetos infectados y software peligroso: provee a los
usuarios finales la opcion de restaurar objetos infectados detectados por el analisis
del antivirus o por la proteccion en tiempo real. Los objetos infectados son aquellos
que contienen un codigo peligroso detectado por un archivo de definiciones (patrones
o firmas) de virus conocido. Los objetos infectados pueden danar aun mas los
dispositivos administrados. El software peligroso es simplemente el software cliente
que tiene la posibilidad de ser peligroso para el usuario final. Por ejemplo: Software
FTP, IRC, MIrc, RAdmin, o utilidades de control remoto. (En el caso de un resultado de
analisis falso- positivo, el usuario final puede sentirse seguroy comodo para restaurar
el archivo. Esta opcion le permite a los usuarios restaurar archivos a los recursos
compartidos de la red. Si restauran un archivo infectado a su ubicacion original, el
proximo analisis del antivirus detectara el mismo virus, aunque sea falso-positivo, y lo
volvera a poner en cuarentena.)
• El usuario debe introducir una contrasena para restaurar objetos: Los usuarios deben
introducir la contrasena especificada antes de poder restaurar los objetos
812
GUÍA DE USUARIO
sospechosos o infectados o el software peligroso. Se le pide al usuario que introduzca

la contrasena antes de intentar restaurar el objeto desde la carpeta cuarentena/copia
de seguridad. Si habilita esta opcion para proteger con contrasena los objetos en
cuarentena, debe compartir la misma con los usuarios que usted desea que puedan
restaurar dichos objetos.
• Contrasena: introduzca la contrasena que necesitan los usuarios para restaurar los
objetos en cuarentena.
• Eliminar archivos: especifica si los archivos se eliminan automaticamente.
• Eliminar automaticamente archivos en cuarentena: indica que todos los archivos en
cuarentena mayores al penodo especificado se eliminaran automaticamente.
• Eliminar automaticamente archivos de copia de seguridad: indica que todos los
archivos de copia de seguridad mayores al penodo especificado se eliminaran
automaticamente.
Configuracion del agente: Control de aplicaciones
Herramientas > Seguridad y cumplimiento > Configuracion del agente > Seguridad > Seguridad
Endpoint > Control de aplicaciones
Utilice este cuadro de dialogo para creary modificar las opciones de HIPS (archivo de
configuracion). Cuando se crean configuraciones de HIPS, primero se definen los requisitos y las
acciones generales y luego se agregan las certificaciones de archivos espedficas. Se pueden
creartantas configuraciones de HIPS como se deseey modificarlas en cualquier momento.
Si desea modificar la configuracion predeterminada de HIPS del dispositivo sin volver a instalar el
agente de HIPS o volver a implementar una configuracion completa del agente, realice los cambios
deseados en cualquiera de las opciones del cuadro de dialogo de Configuracion de HIPS, asigne la
nueva configuracion a una tarea de cambio de configuracion y luego implemented en los

• "Acerca de la pagina Configuracion general" (807)
• "Acerca de la pagina Configuracion de modo" (809)
• "Acerca de la pagina Reglas de proteccion de archivos" (810)
Acerca de la pagina Configuracion general

Utilice esta pagina para configurar las opciones de proteccion general y las acciones de HIPS.
• Nombre: Identifica la configuracion de HIPS con un nombre unico. Este nombre aparece en la
lista Configuracion de HIPS en un cuadro de dialogo con tareas de seguridad para instalar o
actualizar.
813
• Configuracion de proteccion: proporciona dos tipos de proteccion: HI PS y lista blanca. Puede

seleccionar una o ambas. Ambos tipos de proteccion utilizan el mismo modo de
funcionamiento, el cual se selecciona en la pagina de configuracion de Modo. (NOTA: Esta
aplicacion de proteccion general tiene una excepcion. Si se especifica el modo de proteccion
Aprender y se selecciona la opcion de aprendizaje se solo Lista blanca, solamente se
aprenden las aplicaciones de la lista blanca y la proteccion HIPS se establece en el modo de
bloqueo automatico.)
• Habilitar la proteccion del comportamiento de aplicaciones: Activa la proteccion HIPS,
que permite que todos los programas se ejecuten (excepto cuando la operacion de un
programa amenaza la seguridad del sistema) de acuerdo con lo definido por las reglas
de proteccion predefinidas. Puede conceder derechos especiales a los archivos de
programa a traves de listas de archivos de confianza mediante la configuracion de las
certificaciones de archivo personalizadas. La proteccion HIPS observa el
comportamiento de la aplicacion (si la aplicacion puede modificar otro ejecutable,
modificar el Registro y asf sucesivamente) y hace cumplir las normas de seguridad.
• Usar la Proteccion contra desbordamientos de bufer: protege los dispositivos de
explotaciones de la memoria del sistema que se aprovechan de un programa o
proceso que este en espera de la entrada del usuario.
NOTA: Se puede habilitar la Proteccion contra desbordamientos de bufer (BOP)

en un dispositivo de Windows 32 bites sin tener en cuenta si el procesador es
compatible con NX/XD (No eXecute/ eXecute desactivado). Si el procesador no
es compatible con NX/XD, se emula. Sin embargo, si el procesador es
compatible con NX/XD, pero esta apagado en el BIOS o en la configuracion de
inicio, el BOP no se puede habilitar. Note que el cliente de Seguridad de punto
final muestra si el BOP esta activado o desactivado en el dispositivo de usuario
final. BOP no es compatible con dispositivos de Windows de 64 bits porque la
funcion de Proteccion de Revision de Kernel (KPP) impide la aplicacion de
revisiones al kernel.
IMPORTANTE: Recomendamos que pruebe primero la Proteccion de

desbordamiento de bufer (BOP) en sus configuraciones de hardware espedficas
antes de hacer un despliegue a gran escala en los dispositivos administrados
de su red.
• Habilitar la proteccion de lista blanca: activa la proteccion de lista blanca. Esto
significa que solo las aplicaciones que esten en una lista de archivos de confianza, y
cuya certificacion de archivo tiene habilitada la opcion de permitir la ejecucion, se
pueden ejecutar.
• Evitar que Windows Explorer modifique o elimine archivos ejecutables: Active esta
opcion si no desea que Windows pueda modificar o eliminar los archivos ejecutables.
• Tratar archivos con buena reputacion como si estuvieran en la lista de archivos de
confianza asociada. Los archivos de la lista blanca que se encuentran en la base de
814
GUÍA DE USUARIO
datos alojada con IVANTI de archivos de confianza. Para obtener mas informacion,
consulte "Uso de la reputacion de archivos para restringir aplicaciones" (671).
• Tratar archivos con mala reputacion como si estuvieran en la lista negra. Los archivos
de la lista negra que se encuentran en la base de datos alojada con IVANTI de archivos
malos.
• Accion a tomar: determina la accion que se realiza cuando se agrega un programa a la
carpeta de Inicio del dispositivo. Esta opcion proporciona una segunda lfnea de defensa en
los procesos de autorizacion de la carpeta de inicio del sistema. HIPS supervisa el contenido
del inicio ysi encuentra un proceso nuevo, realiza la accion que se seleccione
(Alertarysolicitar una accion; Siempre permitir que el programa se ejecute; o eliminar el
programa del inicio sin generar alertas).
• Establecer como predeterminado: Asigna esta opcion como la opcion predeterminada para
las tareas que utilizan la configuracion de HIPS.
• id: identifica esta configuracion particular. Esta informacion se almacena en la base de datos
principal yse utiliza para llevar un control de cada configuracion.
• Guardar: guarda los cambios y cierra el cuadro de dialogo.
• Cancelar: cierra el cuadro de dialogo, sin guardar los cambios.
Acerca de la pagina Configuracion de modo
Use esta pagina para configurar el modo de operacion de la proteccion HIPS.
• Modo de prevention de intrusion de host: Especifica el comportamiento de proteccion

cuando la este habilitada proteccion HIPS. Seleccione uno de los metodos de operacion
siguientes:
• Bloqueo: se bloquean las violaciones a la seguridad Yse registran en un
archivo historico de acciones en el servidor central.
• Aprendizaje: Todas las violaciones a la seguridad de las aplicaciones se permiten,
pero se observa (o aprende) el comportamiento de las aplicaciones y se envfa esta
informacion de regreso a la base de datos central en una Lista de archivos de
confianza. Utilice este modo para descubrir el comportamiento de aplicaciones en un
dispositivo o conjunto de dispositivos espedficos, y luego utilice esa informacion para
personalizar las polfticas de HIPS antes de implementarlas y aplicar la proteccion de
HIPS en toda la red.
• Solo registro: se permiten las violaciones a la seguridad Y se registran en un archivo
historico de acciones en el servidor central.
• Silencio: se bloquean las violaciones a la seguridad, Y NO se registran en un archivo
• Modo de lista blanca: Especifica el comportamiento de proteccion cuando se habilita la
proteccion de lista blanca, solo las aplicaciones de una Lista de archivos de confianza y con
la designacion de lista blanca (aplicaciones cuyo archivo de certificacion tiene habilitada la
opcion de permitir la ejecucion) se pueden ejecutary aprender. Seleccione uno de los
815
metodos de operacion siguientes:

• Bloqueo: se bloquean las violaciones a la seguridad Yse registran en un archivo
confianza. Utilice este modo para descubrir el comportamiento de aplicaciones en un
dispositivo o conjunto de dispositivos espedficos, y luego utilice esa informacion para
personalizar las polfticas de HIPS antes de implementarlas y aplicar la proteccion de
HIPS en toda la red.
• Solo registro: se permiten las violaciones a la seguridad Y se registran en un archivo
• Silencio: se bloquean las violaciones a la seguridad, Y NO se registran en un archivo
Acerca de la pagina Reglas de proteccion de archivos
Utilice esta pagina para ver, administrary dar prioridad a las reglas de proteccion de archivos. Las
reglas de proteccion de archivos son un conjunto de restricciones que evita que los programas
ejecutables especificados realicen ciertas acciones en los archivos especificados. Con las reglas de
proteccion de archivos, puede permitir o denegar el acceso, la modificacion, la creacion y la
ejecucion de cualquier programa o archivo.
• Reglas de proteccion: muestra todas las reglas de proteccion de archivos predefinidas
(predeterminadas) que proporciona IVANTI, asf como todas las reglas de proteccion de
archivos que se han creado.
• Nombre de la regla: identifica la regla de proteccion de archivos.
• Restricciones: visualiza las acciones especficas de los programas en los archivos
restringidos por la regla de proteccion de archivos.
• Programas: muestra los programas ejecutables protegidos por la regla de proteccion.
• Subir \ Bajar: Determina la prioridad de la regla de proteccion de archivos superior en la lista
precede a la regla que esta debajo en la lista. Por ejemplo, podna crear una regla que
restrinja que un programa tenga acceso o modifique cierto archivo o tipo de archivo, pero
luego crear otra regla que permita una excepcion a dicha restriccion a uno o mas de los
programas designados. Siempreycuando la segunda regla permanezca mas arriba en la lista
de reglas, esta tendra efecto.
• Restablecer: restaura las reglas de proteccion de archivos predefinidas (predeterminadas)
que proporciona IVANTI.
• Agregar: abre el cuadro de dialogo Configurar regla de proteccion de archivos en el que
puede agregar o quitar programas y archivos, y especificar las restricciones.
816
GUÍA DE USUARIO
• Editar: abre cuadro de dialogo Configurar regla de proteccion de archivos en el que puede
modificar una regla de proteccion de archivos existente.
• Eliminar: elimina la regla de proteccion de archivos de la base de datos principal.
NOTE: Las reglas de proteccion de archivos se guardan en el archivo FILEWALL.XML, ubicado en: Archivo de
programas\IVANTI\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP 20 21
Acerca del cuadro de dialogo Configurar regla de proteccion de archivos

Utilice esta pagina para configurar las reglas de proteccion de archivos.
• Nombre de la regla: identifica la regla de proteccion de archivos con un nombre descriptivo.

• Programas supervisados
• Todos los programas: especifica que todos los programas ejecutables estan
restringidos para realizar las acciones seleccionadas a continuacion en los archivos
especificados abajo.
• Programas mencionados: especifica que solo en los programas ejecutables en la lista
se han aplicado las restricciones seleccionadas a continuacion.
• Agregar: le permite elegir los programas restringidos por la regla de proteccion de
archivos. Puede utilizar nombres de archivos y comodines.
• Editar: le permite modificar el nombre del programa.
• Eliminar: Elimina el programa de la lista.
• Excepciones
• Permitir excepciones de programas certificados: permite que cualquiera de los
programas ejecutables que pertenecen actualmente a la lista de archivos certificados
omitan las restricciones asociadas a la regla de proteccion de archivos.
• Proteger los archivos
• Cualquier archivo: especifica que todos los archivos tienen proteccion de los
programas especificados anteriormente segun sus restricciones.
21 Archivos mencionados: especifica que solo los archivos de la lista estan protegidos.
• Agregar: le permite elegir el archivo o archivos protegidos por la regla. Puede utilizar
nombres de archivos o comodines.
• Editar: le permite modificar el nombre del archivo.

• Eliminar: Elimina el archivo de la lista.
• Aplicar tambien a subdirectorios: aplica las reglas de proteccion de archivos a
cualquier subdirectorio de un directorio mencionado.
817
• Acciones restringidas en los archivos protegidos

• Acceso de lectura: impide que los programas especificados anteriormente tengan
acceso a los archivos protegidos.
• Modification: impide que los programas especificados anteriormente realicen cambios

en los archivos protegidos.
• Creation: impide que los programas especificados anteriormente creen los archivos.
• Ejecucion: impide que los programas especificados anteriormente ejecuten los
archivos protegidos.
Configuracion del agente: Personalizacion de marcas
El cuadro de dialogo Personalizacion de marcas le permite personalizar los cuadros de dialogo de

clientes para analizar, reparar y reiniciar los dispositivos.
El cuadro de dialogo de Personalizacion de marcas contiene las siguientes opciones:
• Vista previa...: Haga clic aqm para acceder a la lista de cuadros de dialogos de clientes para
previsualizarlos. Seleccione Dialogo reparar, Dialogo estado o Dialogo reiniciar para verel
cuadro de dialogo con el icono y banner personalizados que vera el usuario.
• Cargar...: Haga clic para explorar un archivo LdCustomIcon.ico o LdCustomBanner.png o

LdCustomBanner.jpg personalizado. Los archivos deben tener exactamente esos nombres
de archivo para sustituir el icono y el banner predeterminados.
• Eliminar: Haga clic para eliminar un archivo personalizado y, en lugar de ese, utilizar el icono
o el banner predeterminados.
Configuracion del agente: Conectividad del cliente
Herramientas > Configuracion > Configuracion del agente > Conectividad del cliente
Utilice el cuadro de dialogo Ajustes de conectividad del cliente para especificary guardar una
recopilacion de ajustes de conectividad del cliente.
Acerca de la pagina General
Utilice la pagina General para dar un nombre al ajuste de la conectividad del cliente que esta
configurando. Se pueden tener varios perfiles de ajustes de conectividad del cliente pero uno debe
ser el predeterminado para las configuraciones de agente. Si selecciona la opcion Establecer como
predeterminado, el ajuste sera la seleccion predeterminada en la herramienta Configuracion de
agente.
Acerca de la pagina de Information del servidor central
Utilice esta pagina para configurar la seguridad basada en certificados y el ambito quetendran los
dispositivos que utilicen esta configuracion.
Certificados del servidor central en los que confiara el cliente
Seleccione los certificados del servidor central que desee que los dispositivos acepten. Los
dispositivos solo se comunicaran con servidores centrales y consolas para los que tengan
818
GUÍA DE USUARIO
certificados. Para obtener mas informacion sobre los certificados y la forma de copiarlos desde
otros servidores centrales de modo que se puedan seleccionar aqm, consulte "Seguridad del
agentey certificados de confianza" (120).
Debajo de la casilla de certificados de confianza puede modificar el servidor central con el que se
comunicaran los dispositivos que utilizan esta configuracion de agente. De forma predeterminada,
esta casilla contiene el servidor central actual. El nombre del servidor central puede ser el nombre
de un equipo Windows, una direccion IPo un nombre de dominio completamente calificado. El
nombre de dominio completamente calificado de un servidor central puede ser necesario si se
envfan las configuraciones de agente a dispositivos de diversos dominios o siempre que el
dispositivo no pueda resolver el nombre del servidor central, a menos que este completamente
calificado. Los dispositivos administrados utilizaran la informacion que se introduzca aqm para
comunicarse con el servidor central. Por lo tanto, asegurese de que el nombre que introduzca pueda
resolverse desde todos los dispositivos que recibiran esta configuracion.
El nombre del servidor central que especifique aqm como parte de la configuracion de un agente se
agrega al registro del dispositivo bajo:
. HKLM\Software\Intel\IVANTI\LDWM\CoreServer
Una vez que haya seleccionado los certificados de confianza y haya cambiado el nombre del
servidor central si fuese necesario, puede probarlos. Cuando hace clic en Probar, aparece una
casilla de mensaje que indica si el nombre o la direccion IP del dispositivo que introdujo pudieron
resolverse. Tenga en cuenta que el boton Probar no hace ping en el dispositivo que introdujo ni
comprueba si el nombre o la direccion IP pertenecen a un servidor central.
Direccion del servidor central

Dbe ser un nombre resoluble o una direccion IPque utilizaran los dispositivos administrados para
comunicarse con el servidor central.
Ubicacion (ambito)
Si desea que los dispositivos se incluyan en ambitos basados en directorios personalizados,
escriba una ruta de directorio en el campo Ruta. La ruta especificada define el atributo de inventario
de ubicacion del equipo del dispositivo. La administracion basada en roles de Endpoint Manager
hace uso de los ambitos para controlar el acceso de los usuarios a los dispositivos y se puede
basar en esta ruta de directorio personalizada.
Las rutas de directorio personalizadas utilizan un formato similar a una ruta de archivo, pero con
barras inclinadas como separadores. Si desea utilizar ambitos basados en directorios
personalizados, en primer lugar decida como desea clasificar los dispositivos para la
administracion basada en roles. Puede clasificar los dispositivos segun la ubicacion geografica, el
departamento, el nombre del grupo o cualquier otro detalle de organizacion que prefiera.
Las rutas de directorio que especifique como parte de la configuracion de un agente se agregan al
registro del dispositivo bajo:
• HKLM\Software\Intel\IVANTI\Inventario\ComputerLocation
819
No es necesario completar este campo. Si lo deja en blanco, el atributo de ubicacion del equipo del
dispositivo se define con la ruta de Active Directory o NetWare Directory.
Cuando el analizador de inventario se ejecuta en un dispositivo, registra el atributo de inventario de

ubicacion del equipo del dispositivo. Si especifica una ruta de directorio personalizada en el campo
Ruta, dicha ruta es el directorio que registra el analizador. Si dejo la ruta de directorio personalizada
en blanco, el analizador intentara llenar el atributo de inventario de ubicacion del equipo con la ruta
de Active Directory o eDirectory del dispositivo. Si no se encuentra una ruta de directorio
personalizada ni un directorio compatible con LDAP, el atributo de ubicacion del equipo no se
definira. No obstante, el dispositivo aun se puede incluir en los ambitos de consulta y en los
ambitos de grupos de los dispositivos.
Para obtener mas informacion sobre la forma de utilizar los ambitos en la administracion basada en
roles de Endpoint Manager y la forma de definir ambitos con las rutas de directorio personalizadas,
consultar "Informacion general sobre la administracion basada en roles" (54).
Acerca de la pagina de Cloud Services Appliance
La pagina Cloud Services Appliance (CSA) incluye las siguientes funciones:
• Habilitar la comunicacion con Cloud Services Appliance: seleccione esta opcion si ha

instalado uno o mas CSAy desea que una configuracion de agente utilice Cloud Services
Appliance para conectarse al servidor principal.
• Elementos disponibles y Elementos seleccionados: Enumera los CSA disponibles y
seleccionados que se han configurado para este servidor principal. Seleccione la que desea
utilizar. No hay un lfmite de numero de CSA que puede agregar.
Utilice la Polftica de conmutacion de error de CSA para el equilibrio de carga de CSA para ajustar lo
que sucede si se produce un fallo de conexion cuando un cliente intenta comunicarse con un CSA.
Cuando se produce un fallo de conexion, el cliente intentar conectarse a otro CSA de la lista de
Elementos seleccionados. Cuando se produzca un fallo de conexion de CSA, el cliente no intentara
utilizar ese CSA durante 24 horas.
• Usar la lista ordenada como se muestra en los elementos seleccionados: Los clientes
intentaran conectarse al primer CSA de la lista de Elementos seleccionados. Si se produce
un fallo, los clientes se conectaran al siguiente CSA de la lista hasta que hayan intentado
conectarse a todos los CSA.
Utilice este modo cuando prefiera un CSA para los clientes. Por ejemplo, es posible que
desee que los equipos para aquellos empleados que trabajen en un pafs utilicen un CSA
de ese pafs, como prioritario, pero podran utilizar los de otros pafses como sistemas de
copia de seguridad.
• Usar orden aleatorio: Los clientes se conectaran a un CSA aleatorio de la lista de Elementos
seleccionados. Si se produce un fallo, los clientes se conectaran aleatoriamente al siguiente
CSA de la lista hasta que hayan intentado conectarse a todos los CSA.
Utilice este modo cuando existan varios CSA de nivel de preferencia igual para un cliente,
pero desee propagar la carga de trabajo en estos CSA. Por ejemplo, los dispositivos de los
trabajadores de un pafs pueden tenertres CSA. Mediante la seleccion aleatoria, normalmente
820
GUÍA DE USUARIO
se distribuye la carga de trabajo en estas CSA y se sigue proporcionando la conmutacion de

error si uno deja de funcionar.
Cuando la comunicacion de Cloud Services Appliance esta habilitada, existen tres formas de
conectarse al servidor principal:
• Determinar dinamicamente la ruta de conexion: es la opcion predeterminada y la mas

flexible. Si el agente puede, se conecta directamente. Si no puede conectarse directamente,
intenta utilizar el CSA. Este modo puede tardar mas en establecer la conexion dado que
intenta cada uno de los modos de conexion.
• Conectarse directamente al servidor LDMS principal: siempre se conecta directamente al

servidor principal.
• Conectarse utilizando Cloud Services Appliance: siempre se conecta al servidor central

mediante el CSA.
Acerca de la pagina Descargas
Utilice la pagina Descargas para bloquear descargas punto a punto en los adaptadores que se
indiquen. Se pueden excluir los adaptadores inalambricos. Tambien se pueden excluir adaptadores
utilizando palabras clave que distinguen mayusculas de minusculas. Si se encuentra alguna de las
palabras clave introducidas en el campo de descripcion del adaptador, no utilizara ese adaptador.
Como puede verse en las palabras clave, este metodo se utiliza para deshabilitar las descargas
punto a punto desde adaptadores VPN.
Tambien se puede cambiar el numero de dfas que los archivos permanecen en la cache de descarga
de los clientes.
Acerca de la pagina del Servidor preferido
Utilice la pagina Servidor preferido para controlar su comportamiento:
• Actualizar la lista de servidores preferidos desde el servidor principal cada: intervalo de

actualizacion de la lista de servidores preferidos. Cantidad maxima de tiempo durante el que
los clientes utilizaran la lista de servidores preferidos antes de utilizar el servidor central para
acceder a una posible lista nueva. De forma predeterminada es una vez al dfa. La lista de
servidores preferidos tambien se descarta cada vez que cambia la direccion IP.
• Cantidad de intentos de servidores preferidos antes de volver a utilizar el origen: el valor

predeterminado es 3 servidores.
• Cantidad de archivos no encontrados en el servidor preferido antes de que el servidor se

mueva al final de la lista de prioridades de servidores preferidos: el valor predeterminado es
3 archivos no encontrados.
Acerca de la pagina de servicios de subred de eleccion automatica
Acerca de la pagina de deteccion de dispositivos extendidos (bajo los servicios de subred de

eleccion automatica)
821
Acerca de la pagina Programador local

Utilice la pagina Programador local para configurar la regularidad con que el programador local
comprueba las tareas y el ancho de banda de red.
El agente del programador local le permite a Endpoint Manager iniciartareas de dispositivo basadas
en la hora o el ancho de banda disponible. El agente programador local resulta de mayor utilidad en
el caso de dispositivos que no se estan siempre conectados a la red o que se conectan a ella
mediante acceso telefonico. Por ejemplo, se puede utilizar el programador local de modo que la
distribucion de paquetes en dispositivos portatiles solo se realice cuando dichos dispositivos se
encuentren conectados a la red WAN.
Al programar la distribucion de paquetes de software o al crear las directivas de las aplicaciones, se

puede especificar el ancho de banda mfnimo que necesitaran los paquetes o las directivas antes de
que se apliquen.
El programador local funciona como un servicio en los dispositivos de Windows.

La pagina Programador local incluye las siguientes funciones:
• Frecuencia general: frecuencia con la que el Programador local consulta las tareas. El valor
es de 10 segundos. El intervalo de consulta seleccionado se almacena en el dispositivo local.
• Frecuencia de deteccion del ancho de banda: frecuencia con la que el Programador local
debe comprobar el ancho de banda. El valor es de 120 segundos. Las comprobaciones de
ancho de banda se producen unicamente cuando existe una tarea programada pendiente.
El programador local tambien habilita la deteccion de ancho de banda entre los dispositivos y el
servidor central. puede limitar las acciones de Endpoint Manager, tales como la distribucion de
software basada en el ancho de banda disponible. Utilice esta opcion si existen dispositivos
remotos o dispositivos que se conectan a la red a traves de un vrnculo lento.
• ICMP o PDS: seleccione utilizar ICMP o PDS para la deteccion del ancho de banda. El
protocolo ICMP envfa solicitudes de eco ICMP de distintos tamanos al dispositivo remoto y
utiliza el tiempo de ida y vuelta de estas solicitudes/respuestas de eco para determinar el
ancho de banda aproximado. El protocolo ICMPtambien distingue entre conexiones LAN (de
alta velocidad) y WAN (de baja velocidad, pero no conexiones telefonicas). No obstante, no
todos los enrutadores o dispositivos admiten las solicitudes de eco ICMP.
Si la red no esta configurada para permitir las solicitudes de eco ICMP, puede seleccionar
PDS. Las pruebas de ancho de banda de PDS no son tan detalladas, pero detectan una
conexion de
red de area local o una conexion de tipo RAS de ancho de banda bajo (generalmente de
acceso telefonico). El metodo PDS solamente funciona si el servicio PDS se ejecuta en el
servidor de paquetes. Puede instalar este servicio mediante el despliegue del agente de
IVANTI estandar en el servidor de paquetes.
• Umbral LAN de detection de ancho de banda: umbral que clasifica una conexion como WAN
en lugar de LAN. El valor predeterminado es de 262 144 bps.
822
GUÍA DE USUARIO
Configuracion del agente: Cumplimiento de normativas
Herramientas > Configuracion > Configuracion del agente > Cumplimiento
La configuracion de cumplimiento son un subconjunto de ajustes de distribucion y revision. Estos

ajustes solo se utilizan cuando un dispositivo realiza un analisis de cumplimiento. Un analisis de
cumplimiento solo rastrea las definiciones que se encuentran en el grupo de Cumplimiento.
Configuracion del agente: Variables personalizadas para reemplazar
Herramientas > Configuracion > Configuracion del agente > Variables personalizadas para
reemplazar
Utilice el cuadro de dialogo Variables personalizadas para reemplazar para crear excepciones en la
configuracion de variables personalizadas. Algunas definiciones de amenaza a la seguridad de la
configuracion del sistema tienen valores variables que pueden cambiar antes de incluirlos en un
rastreo de seguridad. Generalmente, las definiciones de antivirus tambien tienen ajustes con
Con las variables personalizadas puede ajustar el rastreo de las amenazas a la seguridad mediante
la modificacion de uno o mas valores de ajuste para que el rastreador busque las condiciones que
defina y determine que un dispositivo es vulnerable solo si se cumple con esa condicion (por
ejemplo, si se detecta el valor especificado). Las variables personalizadas son una configuracion
global. Por lo tanto, cuando se buscan definiciones de seguridad que tengan variables
personalizadas, estas siempre se determinaran como vulnerables si se cumple con la condicion de
las mismas.

Para modificar los ajustes de las variables personalizadas, el usuario de IVANTI debe tener el derecho de
administracion basado en funciones Modificar variables personalizadas. Los derechos se configuran con la
herramienta Usuarios.
Configuracion del agente: Control de dispositivos
Endpoint > Control de dispositivos
Utilice este cuadro de dialogo para crear y modificar la configuracion de Control de dispositivos.
Este cuadro de dialogo contiene las siguientes paginas.

Use esta pagina para asignar un nombre a la configuracion y habilitar el control de dispositivos en
un cliente configurado con las opciones.
• Nombre: identifica la configuracion. Este nombre aparece en la ventana principal de Control

de dispositivos.
• Habilitar Control de dispositivos: enciende el Control de dispositivos en un cliente
configurado con la opcion.
823
Acerca de la pagina Volumenes de almacenamiento

Use esta pagina para especificar las opciones de volumenes de almacenamiento que se conecten
con un cliente configurado con esta opcion.
• Volumenes de almacenamiento: especifica el nivel de acceso de cualquier volumen de

almacenamiento que no estaba presente en el cliente cuando se instalo la configuracion.
(Observe que si un dispositivo que contema un volumen se encontraba conectado cuando se
instalo la configuracion, el servicio de Seguridad de terminales de IVANTI admitira dicho
dispositivo en el futuro, aunque sea extrafble.)
• Acceso completo: da acceso de lectura y escritura en volumenes de almacenamiento
que se conecten.
• Acceso de solo lectura: da acceso de lectura pero no de escritura en volumenes de
almacenamiento que se conecten.
• Forzar codificacion: obliga a codificar archivos en volumenes de almacenamiento que
se conecten. Se despliega una herramienta de codificacion que habilita la codificacion
de archivos en cualquier dispositivo de almacenamiento USB que se conecte a un
cliente que tenga esta configuracion. Los archivos se cifran cuando se escriben en un
dispositivo de almacenamiento y se decodifican cuando se leen. El acceso queda
habilitado solo si se proporciona la contrasena correcta, la cual se define cuando se
cree una carpeta cifrada en el dispositivo de almacenamiento USB.
IMPORTANTE: En primer lugar, cree una carpeta cifrada en el dispositivo USB.

Cuando se configura un dispositivo de almacenamiento para que se codifiquen sus
archivos, el usuario debe crear una carpeta cifrada antes de poder copiar archivos en
el dispositivo con la herramienta de codificacion (vaya a Inicio de IVANTI Management
> Utilidad de cifrado de IVANTI). Indique una contrasena al crear la carpeta cifrada. Si
esta habilitada la opcion Permitir sugerencias de contrasena (ver abajo), el usuario
tendra la opcion de introducir una sugerencia que le ayude a recordar la contrasena,
aunque no se solicite esa sugerencia. 22
• Excepciones: Haga clic para crear excepciones en el nivel de acceso de los volumenes de
almacenamiento. Puede agregar excepciones basadas en el Id. de hardware, numero de serie
de medios o tipo de bus.
• Opciones de codificacion:
• Espacio de almacenamiento asignado a la codificacion: especifica la cantidad de
espacio en un dispositivo de almacenamiento que puede utilizarse para guardar los
archivos cifrados.
• Permitir sugerencias de contrasena: permite que el al usuario final introduzca una

sugerencia que le ayude a recordar la contrasena de la carpeta codificada. Esta
22 Sin acceso: previene el uso de volumenes de almacenamiento si se conectan a un

cliente que se configuro con esta configuracion de control de dispositivos. Con la
opcion siguiente puede personalizar que tipos de dispositivo aun se permiten
mediante la seleccion del tipo de dispositivo espedfico en la pagina de Dispositivo.
824
GUÍA DE USUARIO
sugerencia no puede coincidir con la contrasena misma. La sugerencia de contrasena

no puede superar 99 caracteres. (Observe que aunque el campo de sugerencia de
contrasena este disponible para introducirtexto, el usuario notiene que hacerlo.)
• Notificar a usuarios finales: muestra un cuadro de mensajes cuando un usuario conecta un

dispositivo de almacenamiento no autorizado.
Acerca del cuadro de dialogo Configurar excepciones (para volumenes de almacenamiento)
Use este cuadro de dialogo para crear una excepcion en el nivel de acceso de los volumenes de
almacenamiento.
• Descripcion: Introduzca alguna descripcion para identificar esta excepcion.

• Parametro: Seleccione el tipo de parametro (ID de hardware, volumen serial o tipo de bus).
• Valor: si se selecciona el parametro de ID de hardware, introduzca un valor.
• Acceso: especifica el nivel de acceso de esta excepcion (acceso completo, acceso de solo
lectura, solo codificado, sin acceso).
Acerca de la pagina de Dispositivos
Utilice las fichas de esta pagina para configurar dispositivos e interfaces y administrar excepciones.
Pestana Dispositivo
Seleccione un dispositivo y, en la columna Acceso, seleccione Permitir, Bloquear o Permitir
siempre.
Notificar a usuarios finales: muestra un cuadro de mensaje cuando un usuario conecta un
Pestana Interfaces
Seleccione una interfazy, en la columna Acceso, seleccione Permitir o Bloquear.
Bloquear LAN inalambrica 802.11X: bloquea una conexion inalambrica de LAN802.11X.

Notificar a usuarios finales: muestra un cuadro de mensaje cuando un usuario conecta un
Pestana Excepciones
Utilice esta pestana para configurar excepciones en los dispositivos detectados. Una excepcion
permite que un dispositivo especfico se conecte incluso si esa clase de dispositivo esta bloqueada.
Utilice los filtros de la parte superior de la ventana Configurar excepcion para filtrar la lista.
Seleccione los dispositivos a los que va a aplicar una excepcion ydecida si se basara en la ruta de
acceso de la instancia o en el Id. de hardware. Agregue las excepciones seleccionadas haciendo clic
en Agregar a la lista de excepciones.
Acerca de la pagina Instantaneas

Utilice esta pagina para habilitary configurar la instantanea en los dispositivos administrados que se
configuraron con este ajuste.
La instantanea permite rastrear que archivos se han copiado en el dispositivo o desde el mediante
825
la creacion de un duplicado (o instantanea) de dichos archivos en un directorio local.
• Habilitar la instantanea: activa la instantanea en los dispositivos administrados que tengan

esta configuracion.
• Registrar eventos solamente: indica que solo se registra la actividad de copia de archivos en
el historico, no los archivos que se estan copiando.
• Configuracion de cache local: especifica la ubicacion de la unidad local en la cual se
almacenan los archivos de las instantaneas y el archivo historico.
• Excepciones: Haga clic para crear excepciones. Puede agregar excepciones basadas en el Id.
de hardware, numero de serie de medios o tipo de bus.
Acerca de la pagina CD/DVD/Blu-ray

Utilice esta pagina para controlar las conexiones CD/DVD/Blu-ray.
• Controladores de CD/DVD/Blu-ray: seleccione el nivel de acceso de estos dispositivos. Haga
clic en Excepciones si desea aplicar excepciones a unidades de disco espedficas o a tipos
de unidad de disco.
• Dispositivos/Interfaces: use las casillas de verificacion para bloquear el acceso al cliente por
parte de dispositivos e interfaces.
• Excepciones: haga clic para crear excepciones a dispositivos e interfaces bloqueados.
Puede agregar excepciones basadas en id_de_hardware, clase, servicio, enumerador,
id_de_proveedor, id_de_dispositivo o id_de_dispositivo de proveedor.
• Unidades de CD/DVD: especifica el nivel de acceso de unidades CD / DVD.
• Excepciones: haga clic para crear excepciones en el nivel de acceso de las unidades CD/
DVD. Puede agregar excepciones basadas en el Id. de hardware, numero de serie de medios
o tipo de bus.
• Notificar a usuarios finales: muestra un cuadro de mensaje cuando un usuario conecta un
Configuracion del agente: Distribucion y revision
Herramientas > Configuracion > Configuracion del agente > Distribucion y revision
El dialogo de configuracion del agente de Distribucion y revision le permite controlar como IVANTI
Endpoint Manager instala paquetes, ejecuta analisis y repara archivos.
Configuracion general
En la pagina Configuracion general, introduzca un nombre que se asociara a los ajustes que
especifique en todas las paginas de este dialogo. Este nombre aparecera en la lista de ajustes del
agente de la consola.
Configuracion de red
Utilice esta pagina para personalizar el modo en que los paquetes de distribucion afectaran al
trafico de red. Para obtener mas informacion, consulte Acerca de la Descarga de archivos.
• Intentar descargar punto a punto: Permita a los paquetes descargarse si ya se encuentran en
826
GUÍA DE USUARIO
un par de la misma subred. De este modo se reducira el trafico de red. Por ejemplo, si tiene
varias oficinas satelite, puede seleccionar un dispositivo en cada oficina para que reciba el
paquete a traves de la red. Entonces, los otros dispositivos de cada oficina recibinan el
paquete directamente desde el primer dispositivo, en lugar de descargarlo desde la red.
• Intentar servidor preferido: permite el redireccionamiento automatico a los paquetes
compartidos mas cercanos. De este modo se reducira la carga en el servidor central.
• Permitir origen: Descargar desde el servidor central si los archivos no se encuentran en un
par o en un servidor preferido. Si los archivos no se encuentran en una de esas ubicaciones
y esta opcion no esta seleccionada, se producira un error en la descarga.
• Utilizar multidifusion: Utilice la multidifusion dirigida para enviar archivos a varios
dispositivos de forma simultanea. Introduzca un valor para la cantidad de tiempo que se
debera esperar en cada subred antes de iniciar la descarga.
• Amplitud de banda usada por el servidor central o el preferido: Especifique el porcentaje de
ancho de banda que se utilizara para no sobrecargar la red. Puede limitar el ancho de banda
ajustando el porcentaje maximo de ancho de banda de la red que se utilizara para la
distribucion. El control deslizante ajusta la prioridad de esta tarea espedfica sobre el resto de
trafico de red. Entre mayor sea el porcentaje que se ponga en el control deslizante, mayor
sera la cantidad de amplitud de banda usada por esta tarea sobre el resto de trafico. Las
conexiones de WAN son por lo general mas lentas, por lo cual casi siempre es mejor poner
este control deslizante en un porcentaje bajo.
• Ancho de banda usado entre pares: especifique el porcentaje de ancho de banda a usar a
nivel local. Este valor suele ser mas alto que el ancho de banda que se utiliza del servidor
central o del servidor preferido debido a la proximidad ffsica.
• Enviar estados de tareas detallados: haga clic para enviar informacion al servidor central
acerca de la tarea. Esto aumenta el trafico de red, asf que si selecciona esta opcion para
ayudar a solucionar un problema determinado, es posible que quiera desmarcarlo cuando
haya solucionado el problema.
Programa de sincronizacion de polfticas

Utilice la pagina de Programa de sincronizacion de polfticas para especificar cuando comprobara el
cliente el servidor central para ver si hay algun paquete disponible para su descarga.
• Programa de sincronizacion de polfticas

• Por eventos
• Cuando el usuario inicia sesion: haga clic para ejecutar la sincronizacion de
polfticas cuando el usuario inicie sesion.
• Cuando cambia la direccion IP: haga clic para ejecutar la sincronizacion de
polfticas cuando cambie la direccion IP.
• Retraso arbitrario maximo: especifique una cantidad de tiempo para
retrasar el analisis y asf evitar descargar el paquete simultaneamente en
todos los dispositivos, lo que sobrecargana la red.
• Por programas
• Usar un programa recurrente: haga clic solo para descargar paquetes de
distribucion durante un tiempo especificado. De forma predeterminada es una
827
vez al dfa.
• Cambiar configuracion...: haga clic para abrir el Dialogo Comando del
programador local, donde podra crear un programa diferente.
Notificacion
Utilice la pagina Notificacion para especificar que informacion se mostrara al usuario y que
acciones podra llevar a cabo.
• Opciones de notificacion antes de instalar/eliminar

• La descarga se inicia automaticamente: Inicia la descarga del paquete de distribucion
sin notificar al usuario.
• Notificar al usuario antes de la descarga: le notifica al usuario antes de que algun
dispositivo administrado inicie la descarga del paquete. Esta opcion es util en
particular para usuarios moviles si se utiliza con las opciones de aplazamiento con el
fin de evitar que el usuario sea obligado a descargar una aplicacion grande mediante
una conexion lenta.
• Iniciar la instalacion/eliminacion automaticamente: inicia la instalacion del paquete de
distribucion sin notificar al usuario.
• Notificar al usuario antes de la instalacion/eliminacion: muestra el dialogo de
instalacion o eliminacion antes de que un dispositivo administrado inicie la instalacion
o eliminacion del paquete.
* Notificar solo al usuario si se deben detener los procesos: solo muestra un dialogo
si se debe parar un proceso antes de que el dispositivo administrado inicie la
instalacion o eliminacion del paquete.
* Detener procesos que necesiten detenerse antes de iniciar la actualizacion: haga clic
para detener los procesos que se deban parar antes de instalar el paquete.
* Prevenir la ejecucion de los mismos procesos durante la actualizacion: haga clic
para asegurarse de que los procesos no pueden reiniciarse hasta que se haya
completado la instalacion del paquete.
* Si se aplaza hasta el bloqueo/cierre de sesion: especifica el tiempo de espera antes
de instalar el paquete.
* Opciones de progreso
* Mostrar progreso: seleccionar no mostrar nunca el progreso de instalacion; mostrar
solo cuando se instalen o eliminen archivos o mostrar cuando se instale o elimine y
cuando se analicen los archivos.
* Permitir al usuario cancelar el rastreo: si escoge mostrar siempre el progreso al
usuario, se habilitara esta opcion. Haga clic para dar al usuario la capacidad de
cancelar el rastreo.
* No hay opciones de tiempo de espera de respuesta: estas opciones se habilitan sin permite
al usuario aplazar o cancelar.
* Esperar la respuesta del usuario antes de comenzar una reparacion, instalacion o
desinstalacion: si permite al usuario aplazar o cancelar, se habilitara esta opcion.
828
GUÍA DE USUARIO
Haga clic para forzar al agente a esperar la respuesta de un usuario antes de

continuar. Es posible que esto supere el tiempo de espera de la tarea.
* Despues del tiempo de espera, de forma automatica: haga clic para iniciar, aplazar o
cancelar automaticamente la tarea una vez supera el tiempo de espera que haya
especificado.
Mensaje de usuario
Utilice esta pagina para crear un mensaje personalizado que el usuario vera si selecciona Notificar
al usuario antes de la descarga o Notificar al usuario antes de la instalacion/eliminacion en la pagina
Notificacion.
Cuando programe una tarea, existe una opcion para sobrescribir este mensaje.
Configuracion solo de distribucion
Utilice esta pagina para especificar que mostrar al usuario y durante cuanto tiempo aplazar una
instalacion. Estas opciones dependen de la configuracion que seleccione en la pagina Notificacion.
Tambien puede utilizar la pagina de configuracion solo de distribucion para seleccionar la ubicacion
de aplicaciones virtualizadas.
• Respuesta
• Mostrar la interfaz completa del paquete: haga clic para mostrar al usuario todo lo que
muestra la instalacion. Esta opcion es solo para usuarios avanzados.
• Mostrar al usuario final el estado correcto o fallido: haga clic para mostrar al usuario
solo el resultado de la instalacion.
• Aplazar hasta el siguiente inicio de sesion: haga clic para permitir a los usuarios posponer la
instalacion hasta la siguiente vez que inicien sesion en el dispositivo.
• Aplazar durante un periodo de tiempo especifico: especifica el tiempo maximo que el
usuario puede aplazar una instalacion.
• Limitar el numero de aplazamientos de usuario: haga clic para introducir un
numero maximo de veces que el usuario puede aplazar una instalacion.
• Seleccionar la ubicacion para guardar las aplicaciones virtualizadas de IVANTI
• Destino del cliente: haga clic para instalar el paquete en un entorno nuevo en lugar de
instalarlo en el dispositivo.
• Habilitar el direccionamiento de grupo LDAP: haga clic para seleccionar un destino para la
distribucion de los grupos que ha ajustado en el dominio de Microsoft, en lugar de tener
como destino los dispositivosynombres de usuarios de IVANTI.
• Permitir la resolution de LDAP a traves de CSA: haga clic para seleccionar un destino para la
distribucion de objetos en el dominio de Microsoft, mientras pasa por Cloud Service
Appliance.
Fuera de linea
Utilice esta pagina para especificar que hacer si un dispositivo administrado no puede contactar
con el servidor central durante la instalacion de un paquete.
829
• Esperar a que el dispositivo pueda comunicarse con el servidor central administrado: haga
clic para detener la instalacion hasta que el dispositivo pueda contactar con el servidor
central.
• Instalar los paquetes sin conexion: haga clic para crear una tarea programada que descargue
los archivos en el dispositivo pero que no los instale.
Opciones para usuarios desconectados
Utilice esta pagina para especificar si desea instalar si el usuario esta desconectado del dispositivo.
• Comportamiento del usuario desconectado

• Continuar instalacion: haga clic para instalar el paquete de distribucion si el usuario
esta desconectado.
• Interrumpir instalacion: haga clic para no intentar instalar el paquete de distribucion si
el usuario esta desconectado.
• Ejecutar en el proximo inicio de sesion: haga clic para no intentar realizar la
instalacion del paquete de distribucion cuando el usuario este desconectado e iniciar
la instalacion cuando este vuelva a iniciar sesion.
Opciones de descarga
Utilice la pagina Opciones de descarga para especificar si un cliente debera descargar el parche y
luego instalarlo o ejecutar la instalacion desde el servidor.
. Ejecutar desde origen: haga clic para instalar el parche desde el servidor preferido o desde el
central. Esta opcion es util si el equipo del cliente no tiene suficiente memoria para descargar
el parche.
• Descargar y ejecutar: haga clic para descargar el parche al cliente y luego instalarlo. Esta
opcion reduce la carga en el servidor.
Configuracion solo de revision

Utilizar la pagina configuracion solo de revision para seleccionar las opciones reiniciary alternar
servidor cuando se analicen, reparen o descarguen archivos.
• Cuando no se necesita reiniciar

• Solicitar una entrada al usuario final antes de cerrar seleccione esta opcion para que el
dialogo de notificaciones permanezca visible hasta que el usuario responda.
• Cerrar al expirar el tiempo de espera: seleccione esta opcion para cerrar el cuadro de
dialogo despues de una cuenta atras espedfica.
• Servidor central alternativo
• Comunicarse con un servidor central alternativo: haga clic para seleccionar un
servidor si el servidor central predeterminado no esta disponible.
• Cuando se instala a traves de CSA haga clic sobre una opcion de la lista desplegable para
especificar como instalara el escaner a traves del portal Cloud Service Applicance (antes
conocido como Puerta de enlace). Esto es util si tiene gente fuera de la red, como empleados
que trabajan en la carretera y que necesitan comunicarse con el servidor central.
830
GUÍA DE USUARIO
• Descargar parches desde el servidor central: esto precisa de un paso adicional y

puede provocar retrasos o problemas de red.
• No descargar parches. Cancelar la solicitud: esto reprogramara la descarga.
Seleccione esta opcion si existe un problema de ancho de banda.
• Descargar parches del proveedor. En caso de error, volver al servidor central: esto
intentara descargar el parche directamente desde el fabricante, como Microsoft, antes
de hacerlo a traves del servidor central. Esto utilizara menos ancho de banda de la red.
• Descargar parches del proveedor. No volver en caso de error: esto intentara descargar
el parche directamente desde el fabricante, como Microsoft. Si no lo consigue,
reprogramara la descarga.
• Uso de la CPU durante el analisis: ajuste el control deslizante para especificar si permite el
uso alto o bajo de la CPU durante el analisis.
• Registro de tareas programadas: especifique que informacion enviara el escaner al servidor
central. Por ejemplo, si tiene un problema, es posible que desee enviar la informacion de
depuracion para intentar solucionarlo.
No molestar
Utilice esta pagina para especificar los procesos cnticos para la mision, de manera que no se
produzca un analisis cuando se esten ejecutando. Por ejemplo, para garantizar que el escaner no se
ejecuta durante una presentacion, puede aplicar el filtro para que el reinicio ocurra con PowerPoint
abierto pero no si se esta ejecutando en pantalla completa.
• Agregar procesos predeterminados: rellena la lista con los procesos predeterminados.

• Agregar...: Abre el cuadro de dialogo Especificar filtro del proceso, donde podra introducir el
nombre del proceso y especificar si desea aplicar el filtro en algun momento durante la
ejecucion del proceso o solo cuando el proceso se este ejecutando en pantalla completa.
• Editar...: Abre el cuadro de dialogo Especificar filtro del proceso, donde podra cambiar el
filtro para un proceso que ya este en la lista.
• Eliminar...: Elimina un proceso de la lista.
• Configuration de la interruption del usuario para el agente de Mac de Legacy Si ha
actualizado el cliente de Mac, son compatibles todos los ajustes de la pagina No molestar. No
obstante, si no ha actualizado el cliente de Mac, puede utilizar las siguientes opciones:
• Ocultar el dialogo de progreso del analisis cuando se este ejecutando una
presentacion: haga clic para mantener el dialogo de progreso del analisis en segundo
plano, para que no interrumpa la presentacion.
• Atrasar la reparation cuando se este ejecutando una presentacion: haga clic para
posponer las reparaciones hasta que se complete la presentacion.
Opciones de rastreo
Utilice esta pagina para especificar si el analisis de seguridad analizara por grupo o portipo de
vulnerabilidad.
831
• Rastrear por
• grupo: Seleccione un grupo personalizado y preconfigurado en la lista desplegable.
• Reparar inmediatamente todos los elementos detectados: indica que todos los
riesgos a la seguridad identificados por este rastreo de grupo espedfico seran
reparados en forma automatica.
• Tipo: especifica los tipos de contenidos que desea buscar en esta tarea de rastreo.
Puede seleccionar solo aquellos tipos de contenido para los cuales hay una
suscripcion al contenido de IVANTI Security Suite. Tambien, las definiciones actuales
de seguridad que se rastrean dependen de los contenidos del grupo Rastrear de la
ventana de Parches ycumplimiento. En otras palabras, si en este cuadro de dialogo
selecciona vulnerabilidades y amenazas de seguridad, solo se rastrearan aquellas
vulnerabilidades y amenazas de seguridad que se encuentran en el momento en sus
respectivos grupos de Rastrear.
• Habilitar reparacion automatica: indica que el rastreador de seguridad implementara e
instalara de forma automatica los archivos de revision necesarios asociados con las
vulnerabilidades o definiciones personalizadas que detecte en los dispositivos rastreados.
Esta opcion solo se aplica con las tareas de rastreos de seguridad. Para que funcione la
reparacion automatica, la definicion tambien debe tener activada la reparacion automatica.
Programar
Utilice esta pagina para especificar el periodo durante el que se ejecutara el analisis de seguridad
como una tarea programada. Despues de seleccionar los ajustes, esta pagina muestra un resumen
del programa.
• Por eventos
• Cuando el usuario inicia sesion: haga clic para rastrear y reparar las definiciones
cuando el usuario inicie sesion.
• Retraso arbitrario maximo: especifique una cantidad de tiempo para retrasar el
analisis y as^ evitar analizar simultaneamente todos los dispositivos, lo que
sobrecargana la red.
• Por programas
• Usar un programa recurrente: haga clic para analizar y reparar solo las definiciones
durante un tiempo especificado.
• Cambiar configuracion...: Abre el cuadro de dialogo Comando para el programador
local, donde puede definir los parametros del rastreo de seguridad. Varias tareas de
administracion de IVANTI comparten este cuadro de dialogo. Haga clic en el boton
Ayuda para obtener detalles.
Rastreo frecuente
Utilice esta pagina para que el agente pueda comprobar las definiciones en un grupo espedfico mas
a menudo de lo normal. Esto es util cuando tiene un brote de virus yotro parche con limitacion
temporal que necesite distribuirse lo antes posible. Por ejemplo, es posible que quiera que un
cliente lleve a cabo un analisis cada 30 minutos y cada inicio de sesion para un grupo espeafico que
832
GUÍA DE USUARIO
pueda contener vulnerabilidades graves. El analisis frecuente es opcional.
• Habilite el rastreo de alta frecuencia y las definiciones de reparacion para el grupo siguiente:
Habilita las funciones de rastreo de seguridad frecuente. Una vez marcada esta opcion,
necesitara seleccionar un grupo personalizado de la lista desplegable.
• Instalar (reparar) inmediatamente todos los elementos aplicables: haga clic para
habilitar el agente para que instale un parche si localiza uno en la carpeta que usted
haya especificado.
833
• Programar
. Por eventos
. Cuando el usuario inicia sesion: haga clic para rastrear y reparar las
definiciones cuando el usuario inicie sesion.
retrasar el analisis y as^ evitar analizar simultaneamente todos los
dispositivos, lo que sobrecargana la red.
• Por programas
• Usar un programa recurrente: haga clic para analizar y reparar solo las
definiciones durante un tiempo especificado.
• Cambiar configuracion...: Abre el cuadro de dialogo Comando para el
programador local, donde puede definir los parametros del rastreo de
seguridad. Varias tareas de administracion de IVANTI comparten este cuadro
de dialogo. Haga clic en el boton Ayuda para obtener detalles.
• Sobrescribir ajustes: en el cuadro desplegable, seleccione los ajustes que desee
sobrescribir con la configuracion que haya especificado en el dialogo Distribucion y
revision.
• Editar...: haga clic para abrir el dialogo Configuracion de distribucion y revision para
ese ajuste concreto.
• Configurar: haga clic para abrir el dialogo Configurar la configuracion de distribucion
y revision. Para obtener mas informacion, haga clic en Ayuda.
Configuracion piloto
Utilice la pagina de Configuracion piloto para probar las definiciones de seguridad en un grupo
pequeno antes de llevar a cabo un despliegue mas amplio en toda la red. Por ejemplo, es posible
que desee instalar un nuevo parche de Microsoft solo en los dispositivos del grupo de TI para
asegurarse de que no provoca problemas antes de que se envfe a toda la organizacion. El uso de
un grupo piloto es opcional.
• Definiciones periodicas de rastreo y reparation en el siguiente grupo: Habilita las funciones
de rastreo de seguridad piloto. Una vez marcada esta opcion, necesitara seleccionar un
grupo personalizado de la lista desplegable.
834
GUÍA DE USUARIO
* Programar
. Por eventos
• Cuando el usuario inicia sesion: haga clic para rastrear y reparar las
definiciones cuando el usuario inicie sesion.

retrasar el analisis y as^ evitar analizar simultaneamente todos los
dispositivos, lo que sobrecargana la red.
• Por programas
• Usar un programa recurrente: haga clic para analizar y reparar solo las
definiciones durante un tiempo especificado.
• Cambiar configuracion...: Abre el cuadro de dialogo Comando para el

programador local, donde puede definir los parametros del rastreo de
seguridad. Varias tareas de administracion de IVANTI comparten este cuadro de
dialogo. Haga clic en el boton Ayuda para obtener detalles.
Rastreo de spyware
Use esta pagina para reemplazar (o sobrescribir) la configuracion de spyware de la configuracion de

agente de algun dispositivo.
La deteccion de spyware en tiempo real supervisa los procesos nuevos iniciados que intentan
modificar el registro local. Si se detecta spyware, el analizador de seguridad del dispositivo le envfa
un mensaje al usuario final para que elimine el spyware.
• Sobrescribir la configuracion de la configuracion de cliente: reemplaza la configuracion de

spyware existente en los dispositivos se configuraron inicialmente a traves de una
configuracion de agente. Use las opciones siguientes para especificar la nueva
configuracion de spyware que desee desplegar en los dispositivos de destino.
835
• Configuracion
• Habilitar el bloqueo de spyware en tiempo real: activa la supervision y el bloqueo de
spyware en tiempo real en los dispositivos con esta configuracion de agente.
NOTA: para que funcione el analisis y la deteccion de spyware en tiempo real, debe
activar manualmente la funcion de reparacion automatica de cualquier definicion de
spyware descargada que desee incluir en el analisis de seguridad. Las definiciones de
spyware descargadas no tienen activada la funcion de reparacion automatica de forma
predeterminada.
• Notificar al usuario cuando se ha bloqueado spyware: muestra un mensaje que le

informa al usuario final que se ha detectado y reparado un programa de spyware.
• Si una aplicacion no se reconoce como spyware, se le debe solicitar al usuario su

aprobacion antes de instalarla: aunque el proceso detectado no se reconozca como
spyware de acuerdo con la lista actual de definiciones de spyware del dispositivo, se
le preguntara al usuario final antes de instalar el software en el equipo.
Opciones de instalacion/eliminacion
Utilice las Opciones de instalacion/eliminacion para especificar lo que el agente debera llevar a cabo
una vez se haya determinado la necesidad del parche.
• Un reinicio ya esta pendiente: haga clic en esta opcion si desea iniciar la instalacion de un
parche independientemente de que el dispositivo haya solicitado un reinicio.
Continuacion
Utilice la pagina Continuacion para permitir al agente instalar o eliminar inmediatamente los
parches, en cuanto cumpla con unos criterios espedficos. Por ejemplo, si necesita instalar diez
parches para eliminar una unica vulnerabilidad, continuacion proporciona un metodo de instalarlos
uno tras otro.
• Continuar automaticamente las acciones de instalacion/eliminacion despues de cumplir los

requisitos previos: haga clic para que el agente instale o elimine automaticamente los
parches en cuanto cumpla con cualquier requisito previo.
• Recuento de reparacion automatica adicional: por defecto, se permiten 5 reparaciones

automaticas, lo que equilibra la urgencia de instalar el parche y permitir a los usuarios
completar su trabajo.
Ventana de mantenimiento
Utilice esta pagina para especificar los parametros para el momento en que el agente pueda llevar a
cabo cualquier accion de instalacion, reparacion o eliminacion.
• El equipo debe estar en este estado: haga clic para especificar si el usuario debe estar
conectado o si el dispositivo debe estar bloqueado durante un tiempo determinado.
• Retrasar: utilice esta opcion si desea retrasar la accion durante unos minutos para
836
GUÍA DE USUARIO
asegurarse de que el usuario no va a volver al dispositivo.

• El equipo debe estar en esta ventana de tiempo: haga clic para configurar la ventana de
mantenimiento, ajustando una programacion detallada. Especifique la hora del dâ, los dâs
de la semana y los dfas del mes. El agente solo se ejecutara cuando se cumplan todos los
criterios.
Secuencia previa a la reparacion

Utilice la pagina Secuencia previa a la reparacion para ejecutar un comando personalizado antes de
instalar el parche. Por ejemplo, si desea que el entorno este listo para el parche apagando un
servicio determinado, puede utilizar una secuencia.
• Cancelar la instalacion o desinstalacion del parche si falla esta secuencia: especifique si

desea cancelar la instalacion del parche en caso de que no se ejecute la secuencia.
• Introducir secuencia de muestra...: haga clic para seleccionar una secuencia de VBScript,
PowerShell o un archivo masivo para incluirla en la secuencia previa a la reparacion.
• Introducir el metodo de llamada...: haga clic para abrir una lista de metodos de llamada que
desee agregar a la secuencia previa a la reparacion. Haga clic sobre un metodo de llamada
de la lista para trasladarlo al cuadro de Contenido de secuencias.
• Usar editor...: haga clic para abrir Notepad, donde podra escribir una secuencia
personalizada.
Secuencia posterior a la reparacion
Utilice la pagina Secuencia posterior a la reparacion para ejecutar un comando personalizado
despues de instalar el parche. Por ejemplo, si ha utilizado una secuencia para apagar el servicio AC
antes de instalar un parche, puede utilizar la secuencia posterior a la reparacion para volver a
activarlo.
• Ejecutar esta secuencia aunque falle la reparacion previa: especifique si desea instalar el
parche en caso de que no se ejecute la secuencia posterior a la reparacion.
• Introducir secuencia de muestra...: haga clic para seleccionar una secuencia de VBScript,
PowerShell o un archivo masivo para incluirla en la secuencia posterior a la reparacion.
• Introducir el metodo de llamada...: haga clic para abrir una lista de metodos de llamada
que desee agregar a la secuencia posterior a la reparacion. Haga clic sobre un metodo de
llamada de la lista para trasladarlo al cuadro de Contenido de secuencias.
• Usar editor...: haga clic para abrir Notepad, donde podra escribir una secuencia
personalizada.
Informacion de MSI
Utilice esta pagina si el archivo de parches necesita acceso a su recurso de instalacion de producto
que lo origino para instalar cualquier archivo suplementario que se pueda necesitar. Por ejemplo,
puede necesitar proporcionar esta informacion cuando intente aplicar una revision para Microsoft
Office u otro cualquier paquete de software.
• Ubicacion original del paquete: introduzca la ruta UNC a la imagen del producto.
837
• Credenciales a usar al referirse a la ubicacion del paquete original: escriba un nombre de

usuario y contrasena validos para autenticarse en el recurso compartido de red que se
especifica mas arriba.
838
GUÍA DE USUARIO
• Omitir la opcion de lmea de comandos /overwriteoem: indica que se omitira el comando para
sobrescribir las instrucciones espedficas de OEM. En otras palabras, se ejecutan las
instrucciones de OEM.
• Ejecutar como information: credenciales para ejecutar revisiones: Especifique un nombre de

usuario y una contrasena validos para identificar las revisiones en ejecucion del usuario que
ha iniciado una sesion.
Personalizacion de marcas
La pagina Personalizacion de marcas le permite personalizar el dialogo de estado que notificara al

usuario de un analisis y otras tareas programadas. Para obtener informacion acerca de como
ocultar o mostrar el dialogo, consulte Notificacion.
El cuadro de dialogo de Personalizacion de marcas contiene las siguientes opciones:
• Personalizar el tftulo de la ventana: introduzca un trtulo para el dialogo.

• Vista previa...: haga clic para ver el cuadro de dialogo con el icono y banner personalizados
que vera el usuario.
Configuracion del agente: Configuracion de reinicio
Herramientas > Configuracion > Configuracion del agente > Configuracion de reinicio
Ahora los administradores cuentan con un mejor control sobre el reinicio. Con la Configuracion de
reinicio, los administradores pueden crear polfticas de reinicio que sean coherentes a lo largo de las
tareas programadas. Esta configuracion reemplazara la configuracion del agente predeterminado en
el cliente.
NOTE: La configuracion global del cuadro de dialogo Ajustes de agente reemplaza cualquier configuracion que
especifique en el cuadro de dialogo Configuracion de reinicio. La configuracion global No reiniciar nunca se
selecciona por defecto en la nueva configuracion del agente de Windows. Para modificar esta configuracion,
haga clic en Herramientas > Configuracion > Ajustes de agente > Agente estandar de IVANTIy desmarque la
casilla No reiniciar nunca.
NOTE: La configuracion de reinicio no se aplica a la tarea de reinicio que inicie desde la lista de dispositivos. Si
hace clic con el boton derecho sobre la lista de dispositivos del equipo y hace clic en Reiniciar, esa tarea
intentara reiniciar el dispositivo inmediatamente, reemplazando todas las configuraciones de reinicio y globales
del cuadro de dialogo de la configuracion del agente.
839
Utilice la pagina General para especificar cuando se debe iniciar el proceso de reinicio. Una vez
seleccionadas estas opciones en las otras paginas del cuadro de dialogo, la pagina General muestra
un resumen de la configuracion.
La pagina General contiene las siguientes funciones:
• Nombre: Introduce un identificador unico para la configuracion de reinicio que especifique en

todas las paginas del dialogo.
• Cuando decidir si es necesario un reinicio
• Actuar como si el reinicio se necesitase SIEMPRE: Fuerza el reinicio incluso cuando

ni el SO de Windows ni el agente de IVANTI indican la necesidad de uno. Por
ejemplo, si hay un virus o malware, es posible que desee instalar un parche yforzar
un reinicio, por motivos de seguridad.
• Detectar si es necesario un reinicio: Verifica con el SO de Windows y con el agente de
IVANTI e inicia un reinicio si alguno de los dos lo recomienda. Por ejemplo, una vez
que haya instalado los agentes en los dispositivos, es probable que estos deban
reiniciarse para finalizar la configuracion de los agentes.
• Actuar como si el reinicio no se necesitase NUNCA: Deshabilita todas las otras
configuraciones de reinicio para que las tareas de IVANTI no reinicien el equipo,
incluso cuando el SO de Windows o el agente IVANTI recomienden un reinicio.
• Suprimir las notificaciones de reinicio de Windows Update: Evita que el servicio de
Windows Update muestre las notificaciones de reinicio en la carpeta de tareas. El
usuario final no vera ningun mensaje de reinicio desde Windows Update.
Acerca de la pagina avisos
Utilice la pagina de avisos para personalizar el dialogo de reinicio que se mostrara en el equipo del
usuario final.
NOTE: El aviso solo aparecera si el usuario ha iniciado sesion y el equipo no esta bloqueado. En caso contrario,
el equipo se reiniciara sin mostrar ningun aviso. 23 24
• Mostrar el icono de la bandeja del sistema cuando se requiera un reinicio: Muestra el
La pagina de avisos contiene las siguientes opciones:
• Preguntar al usuario antes de reiniciar: Haga clic para introducir un mensaje personalizado
que el usuario vera en el aviso de reinicio antes de que este se produzca.
• Utilizar mensaje predeterminado: Haga clic para eliminar el mensaje personalizado que
haya introducido y restaurar el mensaje predeterminado.
24 Permitir a los usuarios aplazar (repetir): Especifica el periodo de tiempo durante el
cual el usuario podra posponer el reinicio. El usuario podra escoger cuantas veces
posponer y cuanto tiempo esperar dentro de este periodo de tiempo. Cuando aparezca
el aviso, el usuario debera reiniciar o posponer.
840
GUÍA DE USUARIO
icono de la bandeja del sistema, que permite al usuario acceder al aviso de reinicio.
Por ejemplo, si un usuario escoge posponer el reinicio durante cuatro horas, pero
luego tiene tiempo para llevarlo a cabo una hora mas tarde, el icono de la bandeja del
sistema le permitira realizar el reinicio antes de lo que especifico previamente.
• Personalizar el tftulo de la ventana: Haga clic para introducir el texto que aparecera en
la barra del tftulo del aviso de reinicio.
• Vista previa...: Haga clic para ver el aviso que el usuario visualizara: Utilice esta
opcion para comprobar las opciones de personalizacion de marcas que haya
seleccionado.
• Acceder a "Personalizacion de marcas": Haga clic para abrir el cuadro de dialogo de
Personalizacion de marcas, donde podra seleccionar imagenes personalizadas para el
iconoyel banner.
Acerca de la pagina Reinicio automatico
Utilice la pagina de reinicio automatico para especificar las circunstancias en que se forzara el
reinicio.
La pagina de Reinicio automatico contiene las siguientes opciones:

• Reiniciar automaticamente si se selecciona alguna de estas opciones: El reinicio se producira
si el equipo se encuentra con alguna de las opciones seleccionadas, independientemente de
la que se produzca primero.
• No ha iniciado sesion durante: El equipo se reiniciara si el usuario no ha iniciado
sesion durante el tiempo especificado.
• Bloqueado o no ha iniciado sesion durante: El equipo se reiniciara si este esta
bloqueado o sin iniciar sesion durante el tiempo especificado. Utilice esta opcion si
desea reiniciar mientras el equipo esta bloqueado, como por ejemplo durante la hora
de la comida o mientras el usuario este en una reunion.
• No responder a los avisos de reinicio para: El equipo se reiniciara si el usuario no
pospone o reinicia el equipo durante el tiempo especificado.
• Reiniciar al sobrepasar la fecha lfmite: El equipo se reiniciara si el usuario no reinicia
antes de ese periodo de tiempo. Por ejemplo, si tiene una actualizacion de seguridad
importante que se deba producir en los proximos tres dfas, ajuste la fecha lfmite a tres
dfas. La fecha lfmite de reinicio debe ser igual o superior a la fecha Permitir a los
usuarios aplazar en la pagina de avisos.
• Limitar el reinicio automatico en la ventana de tiempo especificada: El equipo solo se
reiniciara si se encuentra dentro de esa ventana, aunque la fecha lfmite de reinicio ya
se haya sobrepasado. Especifique la ventana de mantenimiento, ajustando una
programacion semanal. Por ejemplo, puede ajustarlo para que se reinicie durante el fin
de semana, si tiene un equipo de punto de venta que no se puede reiniciar en periodo
laboral.
Acerca de la pagina No molestar
841
Utilice la pagina No molestar para reemplazar la configuracion de las otras paginas en lo referente
al dialogo Reiniciar.
La pagina de No molestar contiene las siguientes opciones:
* No reiniciar ni avisar del reinicio si se estan ejecutando los procesos especificados:

Especifique los procesos cnticos para que no se produzca un reinicio cuando se esten
ejecutando.
• Agregar...: Abre el cuadro de dialogo Especificar filtro del proceso, donde podra
introducirel nombredel proceso y especificar si desea aplicar el filtro en algun
momento durante la ejecucion del proceso o solo cuando el proceso se este
ejecutando en pantalla completa. Por ejemplo, para garantizar que un equipo no se
reinicia durante una presentacion, puede aplicar el filtro para que el reinicio solo se
pueda llevar a cabo con PowerPoint abierto pero no si se esta ejecutando en pantalla
completa.
• Editar...: Abre el cuadro de dialogo Especificar filtro del proceso, donde podra cambiar
el filtro para un proceso que ya este en la lista.
• Eliminar...: Elimina un proceso de la lista.
• Importar...: Abre el cuadro de dialogo Importar, donde podra seleccionar los procesos
de la lista No molestar de los otros ajustes, como uno de Distribucion y revision.
Configuracion del agente: Seguridad de punto de final

• Actualizar configuracion del servidor central: le permite actualizar la configuracion de
Seguridad de terminales en los dispositivos de destino que se establecio con esta
configuracion de agente.
Configuracion del agente: Deteccion extendida de dispositivos
El dialogo Configurar la deteccion de ARP contiene las siguientes opciones:
• Nombre de la configuracion:
• Duration de las entradas ARP de estad^sticas en cache:
• Retraso maximo:
• Frecuencia de actualization de la tabla de ARP en cache:
• Nivel de registro:
• Forzar el nivel de registro:
El dialogo Configurar la deteccion de WAP contiene las siguientes opciones:
842
GUÍA DE USUARIO
* Nombre de la configuracion:
* Frecuencia de rastreo de WAP:

* Nivel de registro:
* Forzar el nivel de registro:
Configuracion del agente: Borrado seguro remoto

Herramientas > Configuracion > Configuracion del agente > Borrado seguro remoto de HP
Utilice este cuadro de dialogo para crear perfiles de ajustes de borrado seguro remoto de HP.
* Nombre: el nombre que desea dar a este ajuste.

* Reaprovisionar el dispositivo con el paquete seleccionado: haga clic en el cuadro de lista
desplegable para ver la lista de las claves RSE que se han generado en el servidor principal.
* Eliminar el paquete y restablecer los ajustes predeterminados de fabrica del dispositivo: al
seleccionary aplicar este ajuste a un dispositivo, elimina la informacion de RSE del BIOS.
* Iniciar: Muestra el cuadro de dialogo Administrador de paquetes de borrado seguro remoto

de HP. Esta opcion solo esta disponible en las consolas del servidor principal.
Acerca del cuadro de dialogo Administrador de paquetes de borrado seguro remoto de HP
Utilice este cuadro de dialogo (Configurar > Administrador de paquetes de borrado seguro remoto
de
HP) para crear, importary exportar remotamente paquetes de borrado de manera segura. Solo puede
iniciar este cuadro de dialogo en el servidor principal.
* Nombre de la empresa: puede ser cualquier cadena. Se introduce en el BIOS. Debe tener 20
caracteres o menos de byte unico o de doble byte.
* Nombre de paquete: este nombre aparece en las listas desplegables y en los menus. Es
conveniente que sea descriptivo. Debe tener 20 caracteres o menos de byte unico o de doble
byte.
* Crear: despues de introducir el nombre de la empresa y del paquete, haga clic en Crear para
generar las claves y la imagen del BIOS de RSE. Hace que la nueva clave pueda exportarse.
Haga una copia de seguridad de las claves exportadas lo antes posible.
* Importar un paquete de aprovisionamiento de borrado remoto seguro de HP creado en otro
servidor principal: muestra todas las claves copiadas manualmente en la carpeta de claves
de RSE (C:\Program Files\IVANTI\Shared Files\Keys\Rse) que todavfa no se hayan importado.
Seleccione la clave que desea importar y haga clic en Importar. Esto agrega la clave
seleccionada a la base de datos y la elimina de la lista.
* Importar: si hay paquetes de borrado seguro de otro servidor principal que no haya copiado
en este servidor principal, aparecen en la lista. Si los importa, se eliminan de la lista y se
agregan a la base de datos de RSE. Copie la carpeta que contiene las claves y paquetes
generados en la siguiente carpeta del servidor principal: C:\Program Files\IVANTI\Shared
Files\Keys\Rse.
* Seleccionar el paquete que se exportara: muestra la lista de las claves de RSE que conoce
este servidor principal. Seleccione la clave que desee exportar desde esta lista.
843
• Exportar: exporta el paquete de primer aprovisionamiento del borrado remoto seguro de HP

que seleccione. La lista muestra las claves de RSE que estan en la base de datos de RSE.
Aparecera un cuadro de dialogo que permite seleccionar la ubicacion de los archivos
exportados. Los archivos exportados constituyen el paquete de aprovisionamiento
(hprse.desc, rse.bin, y LDProvisionSecureErase.exe). Copie los archivos exportados en la
rafz de una unidad USB FAT o FAT32 para utilizarla en el
aprovisionamiento/reaprovisionamiento.
Configuracion del agente: BIOS de HP
Herramientas > Configuracion > Configuracion del agente > HP > Configuracion de la BIOS de HP
Utilice este cuadro de dialogo para configurar las opciones de BIOS que luego se pueden
implementar en los dispositivos administrados de HP.
IMPORTANT: Se requiere un nuevo rastreo de inventario para que los cambios aparezcan en el
inventario
Cualquier cambio que realice en este cuadro de dialogo y despliegue a un dispositivo de destino de HP no se
reflejaran en el inventario del dispositivo hasta despues del siguiente rastreo de inventario. 25 26

• Selection de ajustes:
• Aplicar solo los ajustes modificados a los clientes de destino: asegura que solo las
opciones de BIOS que han cambiado con esta configuracion se aplican a los
dispositivos HP de destino.
• Aplicar todos los ajustes a los clientes de destino: asegura que todas las opciones de
BIOS contenidas en esta configuracion se aplican a los dispositivos HP de destino.
• Lista de funciones:
• Funcion: el nombre de los componentes de HP BIOS.
• Configuracion actual: el valor del componente especificado del HP BIOS basado en el
ultimo rastreo de Inventario.
• Nueva configuracion: el valor cambiado que se desea aplicar al componente
especificado de HP BIOS.
• Acceso al BIOS:
• Contrasena actual de BIOS: permite el acceso a los datos de HP BIOS.
26 Confirmar contrasena: se requiere para acceder a los datos del BIOS HP.
• Cargar la configuracion predeterminada del BIOS: borra los valores existentes de los
componentes de HP BIOS y restablece a los valores predeterminados del sistema.
• Nombre del paquete que se va a crear:

• Nombre del paquete de Distribution de software: identifica el paquete de software con
un nombre unico.
844
GUÍA DE USUARIO
• Aceptar: cierra el cuadro de dialogo y guarda el paquete de software en la herramienta de

Distribucion de software de IVANTI.
• Cancelar: cierra el cuadro de dialogo sin guardar ninguno de los cambios.
Temas relacionados
Para obtener instrucciones paso a paso sobre como configurar las opciones de HP BIOS que
pueden desplegarse a los dispositivos de destino, consulte Creary desplegar ajustes de HP BIOS a
dispositivos HP.
Configuracion del agente: Pollticas de software de HP
Herramientas > Configuracion > Configuracion del agente > HP > Pollticas de software de HP
Utilice este dialogo para configurar las opciones de HP Power Assistant que luego se pueden
implementar en los dispositivos administrados de HP.
IMPORTANT: Se requiere un nuevo rastreo de inventario para que los cambios aparezcan en el inventario
Cualquier cambio que realice en este cuadro de dialogo y despliegue a un dispositivo de destino de HP no se
reflejaran en el inventario del dispositivo hasta despues del siguiente rastreo de inventario. 27
• Nombre: identifica la configuracion de polfticas con un nombre unico.

• Programar un evento:
• Nombre del evento: identifica un evento en particular en las polfticas de HP Power
Assistant. Puede agregar uno o mas eventos personalizados con el fin de construir
una polftica de energfa.
• Accion: especifica la accion que este evento va a realizar (Hibernacion, Suspension,
Encendido).
• Nombre del perfil: especifica el perfil de energfa predeterminado de HP (Ahorro de
energfa, Equilibrado, Optimizado o Alto rendimiento) del evento que se esta
definiendo.
• Dâ: indica en que dfa(s) se activara este evento en los dispositivos de destino.
• Hora: indica la hora del dfa en la cual se iniciara este evento en los dispositivos de
destino.
27 Agregar: guarda el evento en el cuadro de lista. Puede agregar tantos eventos como
desee al configurar una polftica de energfa.
• Actualizar: guarda los cambios despues de hacer clic en el icono del lapiz y realizar
cambios a un evento.
• Guardar: guarda la polftica y cierra el cuadro de dialogo.
• Cancelar: cierra el dialogo sin guardar los cambios.
Acerca de la pagina Configuracion del rastreador
Utilice la pagina de configuracion del rastreador para personalizar el comportamiento del rastreador.
845
Temas relacionados
Para obtener instrucciones paso a paso sobre como configurar las opciones de HP Software Policy
que pueden desplegarse a los dispositivos de destino, consulte Creary desplegar ajustes de HP
Software Policy a dispositivos HP.
Configuracion del agente: Configuracion del inventario

Herramientas > Configuracion > Configuracion del agente > Configuracion del inventario
Utilice el cuadro de dialogo de Configuracion del inventario para personalizar el comportamiento del
agente del inventario en los dispositivos administrados.
Acerca de la pagina Ajustes generales de Configuracion del inventario
La pagina Ajustes generales controla algunos ajustes de cliente relacionados con el inventario.
* Habilitar mantenimiento del historial de tareas programadas: establece el numero de dias del
historial de tareas programadas que se guardan en la base de datos del cliente.
* Ejecutar el analisis de inventario automaticamente despues de la instalacion de paquetes de
software: utilicelo para actualizar los datos del inventario despues de instalar paquetes sin
tener que esperar al intervalo de analisis de inventario habitual. El retraso del analisis puede
configurarse despues de la instalacion.
Acerca de la pagina Informacion de la ubicacion de Configuracion del inventario
Utilice la pagina Informacion de la ubicacion para habilitar que se informe de la ubicacion y

configurar los intervalos de recopilacion de datos.
Si activa la informacion de la ubicacion ydespliega el agente actualizado en un dispositivo, la

informacion de la ubicacion no ocurrira a menos que el usuario de ese dispositivo active el ajuste
de privacidad de Windows 8 Permitir que las aplicaciones utilicen mi ubicacion.
El intervalo estandar de recopilacion de datos es de cuatro horas.
Para los dispositivos de Hewlett Packard, si el dispositivo se marca como perdido (en el cuadro de
dialogo del Inspector del dispositivo, pagina Hewlett-Packard), se activa el intervalo de coleccion Al
perderse, lo que proporciona actualizaciones de la ubicacion mas frecuentes. Para obtener mas
informacion, consulte Trabajar con tabletas ElitePad en la consola.
NOTE: Los dispositivos que tienen la opcion Informacion de la ubicacion habilitada, deben tener Microsoft
.NET 4.0 instalado. Microsoft .NET 4 puede instalarse como parte del agente. Para ello, seleccione la opcion
de instalar .NET en la pagina Inicio de Configuracion de agentes.
• Enviar todos los archivos ejecutados: Habilite esta opcion si desea vertodos los datos de
archivo ejecutados y no solo los datos de los archivos que aparecen en la lista de software
supervisado.
• Enviar datos de utilizacion de archivos: Datos de utilizacion del software devuelto por los
rastreos de inventario que ha recopilado el supervisor de software.
846
GUÍA DE USUARIO
• Forzar el analisis de archivos exhaustivo: Analiza todas las extensiones de los archivos, lo
que puede ralentizar los analisis y resultar en archivos de analisis de inventario muy
voluminosos. Normalmente no recomendamos activar esta opcion.
• Actualizar el archivo LDAppl automaticamente Los dispositivos administrados guardan
informacion relativa a lo que debena buscar el rastreador del inventario, como cualquier
modificacion que se haya realizado en la herramienta Lista de software administrado. Esta
opcion sincroniza esa lista con el servidor central, de manera que la lista local siempre esta
actualizada.
• No enviar fechas de evento de inicio de sesion/bloqueo: El analisis puede devolver datos de
eventos de inicio de sesion/bloqueo del SO. Si le preocupa la privacidad de esto o si no
quiere estos datos, desactive esta opcion.
• Servicio Publicar en web: En lugar de copiar los archivos de rastreo en una carpeta del
servidor central, esta opcion envfa los archivos de rastreo directamente a un servicio web.
Esto es mas eficazyes un nuevo ajuste predeterminado.
• Cambiar el almacenamiento del historial: El analisis del inventario utiliza analisis delta para
monitorizar los cambios en un archivo XML. De manera predeterminada, este archivo guarda
datos de 90 dfas. Para obtener mas informacion acerca del historial de cambios, consulte
"Visualizacion del registro de los cambios en el inventario de un dispositivo" (162).
• Frecuencia del analisis de software: La regularidad con la que desea llevar a cabo analisis en
busca de cambios del software. El valor predeterminado es un dfa. Los analisis de software
son mas lentos que el analisis de inventario basico y puede afectar al rendimiento del
dispositivo.
• Extensiones de los archivos de datos: Si tiene archivos de datos espedficos para una
organizacion de la empresa, puede incluirlos aqrn. Incluya el periodo principal y separe cada
extension del archivo de datos con un espacio. El campo Extensiones heredadas muestra las
extensiones de archivos de datos globales que se ajustan en la herramienta Lista de software
administrado.
Acerca de la pagina Monitor de utilizacion de software
La pagina Monitor de utilizacion de software se usa para rastrear las estadfsticas de utilizacion del
Monitor de licencias de software. Esta funcion recopila informacion sobre tres tipos de datos:
estadfsticas de utilizacion provenientes del supervisor de licencias de software, informacion de
inventario adicional y capacidades del bloqueo de aplicaciones.
847
Cuando se desplieguen agentes en las imagenes de disco de la interfaz de escritorio virtual (VDI)
que no son persistentes, debe establecer una ruta de acceso UNC en la cual se almacenaran los
archivos de datos del supervisor de software. Si no establece una ruta de acceso, el supervisor de
licencias de software almacenara los datos de la supervision en el registro. En un entorno no-
persistente, los datos se perderan cuando se restablezca la imagen. Para obtener mas informacion,
consulte "Implementacion de agentes que no persistentes VDI imagenes" (125).
La pagina Supervisor de utilizacion de software contiene las siguientes opciones:
• Usar el supervisor de software: habilita el analisis del software a traves del supervisor de
licencias de software, de analisis de inventario y del bloqueo de aplicaciones mediante la
funcion de bloqueo de aplicaciones.
• Registrar las estadisticas de utilizacion de software en una ubicacion de red: seleccione esta
funcion y configure las opciones relacionadas si desea desplegar esta configuracion de
agente a una imagen VDI no persistente.
• Ruta de acceso UNC en la cual se almacenaran los archivos de datos del supervisor de
software: la ruta de acceso UNC que desee utilizar, con el formato\\nombre de
servidor\recurso compartido.
• Nombre de dominio y de usuario: Las credenciales de usuario que permitira el acceso a la
ruta de acceso UNC.
• Contrasena y Confirmar contrasena: la contrasena de la cuenta de usuario que se ingreso.
Acerca de la pagina Programar
Utilice la pagina Programar para configurar cuando se ejecutaran los analisis del inventario.
• Cuando el usuario inicia sesion: ejecuta el analizador de inventario cuando el usuario inicia
sesion en el dispositivo administrado.
• Retraso arbitrario maximo: especifica un intervalo de tiempo durante el cual la tarea
se puede ejecutar. Este retraso permite que las tareas que se ejecutan durante el
inicio de sesion no se ejecuten al mismo tiempo, suponiendo que el intervalo de
retraso tenga el tiempo suficiente.
• Cuando la direccion IP cambia (analisis corto solamente): El activador de direcciones IP
solo envfa un analisis corto al Servidor central, lo cual hace que el inventario sea mucho
mas rapido cuando la direccion IPcambia.
• Cambiar configuracion: cambia la configuracion y configura un programa local
personalizado basado en la hora, el dfa de la semana o el mes, si el usuario ha iniciado
sesion o no, los cambios en la direccion IPy el ancho de banda de red disponible. El
programa predeterminado consiste en ejecutar un analisis cuando hay una direccion
IPytambien ejecutarlo a diario con un retraso arbitrario de hasta una hora.
848
GUÍA DE USUARIO
Acerca del cuadro del cuadro de dialogo Configurar ajustes de inventario

Utilice el cuadro de dialogo Configurar ajustes de inventario para administrar los perfiles de ajustes.
Puede crear varios perfiles de ajustes yseleccionar uno como predeterminado para las nuevas
configuraciones del agente.
• Nuevo: crea un nuevo perfil de ajustes.

• Editar: modifica un perfil existente.
• Copiar: abre el perfil seleccionado e inserta "Copia de" al principio del Nombre del perfil
seleccionado. Cuando haga clic en Guardar, se guardara como un perfil nuevo.
• Eliminar: elimina el perfil seleccionado. Se le pedira que confirme la eliminacion.
• Usar seleccionado: cierra el cuadro de dialogo Configurar ajustes de control remoto y
convierte el perfil elegido en la seleccion del cuadro de lista desplegable Elegir que
configuracion de control remoto se va a aplicar.
Configuracion del agente: IVANTI Firewall

Endpoint > IVANTI Firewall
La herramienta de IVANTI Firewall es un componente importante de Endpoint Security (Seguridad de

punto final) que le permite proteger los dispositivos administrados de operaciones de aplicaciones y
conexiones no autorizadas.
Con la configuracion de IVANTI Firewall, puede crear y configurar programas (aplicaciones) de

confianza, ambitos de confianza de red y reglas de conexion para proteger los dispositivos
administrados de intrusiones no autorizadas.
IMPORTANT: Compatibilidad de IVANTI Firewall con Windows Firewall

La Barrera de seguridad de IVANTI complementa la Barrera de seguridad de Windows, y se pueden habilitar
ambas y ejecutar al mismo tiempo en los dispositivos administrados. 28 29
Uso de la configuracion de IVANTI Firewall
La configuracion de Firewall le permite controlar la forma en que opera IVANTI Firewall en los
Componente de Endpoint Security

IVANTI Firewall es uno de los componentes de la solucion integral de Seguridad de punto final, junto
con las herramientas de Prevencion de intrusion de host (HIPS)y Control de dispositivos. Para
habilitar IVANTI Firewall, abra el cuadro de dialogo Seguridad de punto final y, en la pagina Politica
predeterminada, maque IVANTI Firewall.
Lea este capftulo para obtener informacion sobre:

29 "Uso de la configuracion de IVANTI Firewall" (843)
• "Ayuda de la configuracion de IVANTI Firewall" (844)
849
Esta seccion describe como creary administrar la configuracion de Firewall.
Crear configuracion de IVANTI Firewall
Para crear una configuracion de IVANTI Firewall
1. En la ventana de la herramienta Configuracion del agente, haga clic con el boton derecho en
IVANTI Firewall yluego haga clicen Nueva.
2. En la pagina Configuracion general, escriba un nombre para la configuracion, habilite el

servicio de IVANTI Firewall yluego especifique el modo de proteccion. Para obtener
informacion sobre una opcion, haga clic en Ayuda.
3. En la pagina Ambito de confianza, agregue y modifique los archivos ejecutables de las
aplicaciones que desee para poderse conectar a, o desde, la red e Internet. Tambien
puede definir el ambito de confianza.
4. En la pagina Reglas de conexion defina las reglas de conexion (de entrada o de salida y accion)
por puerto, protocolo o intervalo de IP.
Una vez configurada, se pueden desplegar los ajustes en los dispositivos de destino mediante una
850
GUÍA DE USUARIO
tarea de actualizacion o instalacion, o una tarea de configuracion de cambios.

Ayuda de la configuracion de IVANTI Firewall
Utilice este dialogo para creary modificar una configuracion de IVANTI Firewall. Cuando se crea la
configuracion de Firewall, primero se define el modo de proteccion general, y luego se agregan y
configuran los programas de confianza, los ambitos de confianza y las reglas de conexion espedficos.
Puede creartantas configuraciones como deseey modificarlas en cualquier momento.
Si desea modificar la configuracion predeterminada del dispositivo sin volver a instalar el agente de
Endpoint Security o a implementar una configuracion completa del agente, realice los cambios
deseados en cualquier opcion del cuadro de dialogo de configuracion, asigne la nueva configuracion
a una tarea de cambio de configuracion y luego implemented en los dispositivos de destino.
Use esta pagina para habilitar la Barrera de seguridad IVANTI yconfigurar el modo de proteccion. Esta
pagina contiene las siguientes opciones:
• Nombre: identifica la configuracion de Firewall con un nombre unico.

• Habilitar IVANTI Firewall: permite que todos los programas se ejecuten excepto cuando la
operacion de un programa amenaza la seguridad del sistema de acuerdo con lo definido por
reglas de proteccion predefinidas.
• Modo de proteccion: especifica el comportamiento cuando se producen violaciones de
seguridad en dispositivos administrados.
• Modo automatico: Todas las violaciones de seguridad se bloquean automaticamente.
En otras palabras, todo los programas de confianza, las reglas de conexion (es decir,
los permisos) y los ambito de confianza que haya creado se hacen cumplir.
• Utilice el modo de aprendizaje para: Le permite al administrador especificar un
penodo de tiempo en el cual el usuario final puede ejecutar alguna de las
aplicaciones en su equipo. Durante este penodo, se observan las aplicaciones
que se ejecuten.
NOTA: Estas dos opciones de tiempo se ejecutan sucesivamente. En otras

palabras, si se seleccionan ambas, se ejecuta primero el penodo del modo de
aprendizaje y cuando caduca se ejecuta el penodo del modo de monitor.
• Utilice el modo de monitor para: especifica un penodo de tiempo durante el
cual las aplicaciones que se ejecuten se registran en un archivo de historial de
acciones en el servidor central.
• Modo de aprendizaje: todas las aplicaciones se pueden ejecutar. Ademas, se aprenden
todas las aplicaciones que se ejecutan en el dispositivo y se agregan a la lista de
archivos de confianza.
851
• Modo de monitor: se permiten las violaciones a la seguridad, pero se registran en un

• Modo de bloqueo: se bloquean las violaciones a la seguridad, pero se registran en un
• Compartir archivos: especifica los privilegios para compartir archivos permitidos por la
configuracion de Firewall de IVANTI.
• Permitir el uso compartido de archivos provenientes del ambito de aplicacion de
confianza (red): Permite que se compartan los archivos dentro del ambito de confianza
que se haya definido.
• Permitir el uso compartido de archivos provenientes de fuera del ambito de aplicacion
de confianza (Internet): Permite que se compartan los archivos fuera del ambito de
confianza que se haya definido.
Acerca de la pagina ambito de confianza
Utilice esta pagina para configurary manejar ambitos de confianza. Un ambito de confianza esta hecho
de una coleccion de direcciones de red, por direccion IP, intervalo de IPo subred.
• Subred del cliente de confianza: agrega el intervalo de subred del dispositivo de destino a la
lista de ambito de confianza. Se permite la comunicacion a traves de ese intervalo de subred.
• Ambitos de confianza: presenta una lista de todos los ambitos de confianza.
• Importar: Le permite importar intervalos de subred provenientes de los dispositivos
administrados incluidos en el inventario de la base de datos central.
• Agregar: le permite agregar una condicion a la lista. Agregar una condicion por direccion IP,
intervalo de IPo subred.
• Editar: le permite modificar la ubicacion de la condicion seleccionada.
• Eliminar: elimina la condicion seleccionada.
Acerca de la pagina Reglas de conexion
Utilice esta pagina para ver, administrary dar prioridad a las reglas de conexion. Las normas de
conexion pueden permitir o impedir las conexiones con base en el puerto o el intervalo de direcciones
IP, si el programa es de confianza y si la comunicacion esta dentro del ambito de la red de confianza.
• Reglas de conexion: presenta una lista de todas las reglas de conexion.
. Subir: determinar la prioridad de la regla de conexion. Una regla de conexion superior en la lista
precede a cualquier regla que este mas bajo en la lista.
• Bajar: determinar la prioridad de la regla de conexion.

• Restablecer: restablece el orden de las reglas.
• Agregar: abre un cuadro de dialogo en el cual se puede configurar una nueva regla de
852
GUÍA DE USUARIO
conexion.
• Editar: le permite modificar la regla de conexion seleccionada.

• Eliminar: elimina la regla de conexion de la base de datos.
Acerca del cuadro de dialogo Configurar reglas de conexion
Utilice esta pagina para configurar las reglas de conexion.
• Nombre: identifica la regla de proteccion de archivos mediante un nombre descriptivo.

• Puertos: permite definir restricciones de puertos de la regla de conexion.
• Aplicar a estos puertos locales: especifica los puertos locales a los cuales se aplican la
direccion y la accion (seleccionada a continuacion). Por ejemplo, si se selecciona
Entrante y se selecciona Aceptar, se permiten las conexiones con los puertos locales
que se especifiquen aqrn.
• Aplicar a estos puertos remotos: especifica los puertos locales a los cuales se aplican la
direccion y la accion (seleccionada a continuacion).
• Protocolo: especifica el protocolo de comunicaciones de los puertos seleccionados.

• Intervalo de IP: le permite definir las restricciones del intervalo de direcciones IP de la regla de
conexion.
• Aplicar a estas direcciones remotas: especifica el intervalo de direcciones IP remotas a

las cuales se aplican la direccion y la accion (seleccionada a continuacion).
• Direccion: indica si la regla de conexion restringe las conexiones entrantes o las salientes.
• Accion: indica si la regla de conexion permite (acepta) o impide (rechaza) las conexiones.
• Permitir que los programas de confianza omitan: Le permite dar a los programas de confianza
la posibilidad de ignorar u omitir esta regla de conexion.
• Solo para ambito de confianza: limita la capacidad de los programas de confianza para
omitir la regla de conexion solo si la comunicacion es en el ambito de la red de
confianza.
• Aceptar: guarda las opciones y agrega la regla a la lista de reglas de conexion.

853
Configuracion del agente: IVANTI Mac Antivirus

Se puede tener acceso a las funciones de IVANTI Mac Antivirus desde la ventana de herramientas
En la ventana de Configuracion del agente, haga clic con el boton derecho en IVANTI Mac Antivirus:
Mac y luego haga clic en Nueva...
IVANTI Mac Antivirus le permite descargary administrar el contenido de antivirus (archivos de

definiciones de virus), configurar los analisis del antivirus y personalizar la pantalla o la
configuracion de interaccion del analizador del antivirus, lo cual determina como el analizador
aparece y opera en los dispositivos de destino, y que opciones interactivas hay disponibles para los
usuarios finales. Tambien se puede ver informacion relativa al antivirus de los dispositivos
analizados, habilitar las alertas del antivirus y generar informes del antivirus.
La seccion principal de IVANTI Mac Antivirus presenta esta herramienta de administracion de

seguridad complementaria, la cual es un componente de IVANTI Endpoint Managery IVANTI Security
Suite. En esa seccion encontrara una introduccion e informacion sobre la suscripcion de contenido
de antivirus, asf como tambien instrucciones paso a paso sobre como utilizar todas las funciones
de Antivirus.
Esta seccion contiene temas de ayuda que describen el cuadro de dialogo de configuracion de
IVANTI Mac Antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda
haciendo clic en Ayuda de cada cuadro de dialogo.
Acerca de la pagina general de IVANTI Mac Antivirus

Utilice esta pagina para configurar las opciones del rastreador de IVANTI Mac Antivirus en los

• Nombre: Identifica la configuracion de Antivirus con un nombre unico. Este nombre aparece
en la lista de configuracion del cuadro de dialogo de tareas del rastreador del Antivirus, en
otros dialogos yen la consola.
• Protection:
de destino. Si no habilita File Antivirus, las estadfsticas recopiladas apareceran en la
seccion de Tareas completadas de la ventana del informe. Cuando se ejecuta el
componente, este generara un nuevo informe. De manera predeterminada, el Antivirus
de archivos esta habilitado y configurado con la configuracion recomendada.
854
GUÍA DE USUARIO
• Permisos:
• Permite que el usuario desactive componentes de proteccion hasta por: Especifica
el penodo de tiempo durante el cual el usuario puede pausar o detener los
componentes de proteccion que se listan en la pagina Proteccion.
• Permitir al usuario actualizar definiciones: permite al usuario actualizar los archivos
de definicion de antivirus.
• Permitir al usuario restaurar objetos: Permite al usuario restaurar los objetos en
cuarentena y los objetos de la copia de seguridad.
• Permitir al usuario cambiar la configuracion: Permite al usuario programar los
rastreos y modificar las listas de exclusion y de aplicaciones de confianza.
• Establecer como predeterminado: Establece como predeterminada la configuracion de todas
las paginas del cuadro de dialogo de IVANTI Mac Antivirus. El nombre que introdujo
aparecera en la consola con el icono predeterminado i^junto a el. No puede eliminar una
configuracion que esta marcada como predeterminado. Cuando crea una nueva
configuracion de agente, las configuraciones se seleccionaran por defecto. A menos que la
tarea de analisis del antivirus tenga una configuracion de antivirus espedfica asociada,
IVANTI mac Antivirus utilizara la configuracion predeterminada durante las tareas de analisis
y definicion de las tareas de actualizacion.
Acerca de la pagina de IVANTI Mac Antivirus Protection
Mac Antivirus en los dispositivos de destino.
• Habilitar el Antivirus de archivos: habilita el rastreo en tiempo real de archivos en los

dispositivos de destino. Si no habilita File Antivirus, las estadfsticas recopiladas apareceran
en la seccion de Tareas completadas de la ventana del informe. Cuando se ejecuta el
componente, este generara un nuevo informe. De manera predeterminada, el Antivirus de
archivos esta habilitadoyconfigurado con la configuracion recomendada.
855
• Nivel de seguridad: Especifica uno de los tres niveles de seguridad de archivos: Proteccion
maxima, recomendada o velocidad maxima. Para seleccionar un nivel de seguridad, desplace
el control deslizante hacia arriba o hacia abajo de la escala. Si ninguno de los niveles de
seguridad predeterminados cumplen con sus necesidades, puede personalizar la
configuracion de rastreo seleccionando las pestanas General, Ambito de proteccion y
Adicional. Esto cambiara el nombre del nivel de seguridad a Personalizado. Seleccione el
nivel que mas se acerque a sus requisitos, como base, y modifique la configuracion de este
nivel.
Proteccion maxima: Proporciona el rastreo mas completo de los archivos que abra, guarde o
inicie.
Recomendado: Contiene la configuracion recomendada por IVANTI, que permite el rastreo

de: programas y objetos por contenido, solo objetos nuevos y objetos modificados desde el
ultimo rastreo, y objetos incrustados en OLE. Este nivel se selecciona de forma
predeterminada.
Velocidad maxima: Le permite trabajar comodamente con las aplicaciones que requieren
muchos recursos del sistema, ya que el intervalo de archivos rastreados es mas pequeno.
856
GUÍA DE USUARIO
* General:
• Tipos de archivo: Especifica si se van a rastreas todos los archivos, si se va a
rastrear por contenido o por extension.
• Rastrear todos los archivos: Especifica que formatos de objetos se deben
rastrear en busca de virus cuando se abren, se ejecutan o se guardan.
• Rastrear programas y documentos (por contenido): Permite rastrear solo
los objetos potencialmente infectados o los archivos a los que un virus
pueda acceder. Se rastrea el encabezamiento interno del archivo para
identificar el formato (TXT, DOC, EXE, etc.). Si el rastreo pone de
manifiesto que un archivo de ese formato no puede infectarse, no se
rastreara en busca de virus e, inmediatamente, se hace accesible para el
usuario. Si el formato es susceptible a los virus, se lleva a cabo un
rastreo.
• Rastrear programas y documentos (por extension): Permite rastrear solo
los objetos potencialmente infectados, pero el formato del archivo se
determina por su extension. Los archivos sin extension siempre se
rastrean, independientemente del tipo de archivo seleccionado.
NOTE: No olvide que alguien podria enviar un virus a su equipo con la extension .txt,
aunque en realidad seria un archivo ejecutable cuyo nombre se ha modificado con el de
un archivo .txt. Si selecciona la opcion Rastrear programas y documentos (por
extension), el rastreador omitira estos archivos. Si selecciona la opcion Rastrear
programas y documentos (por contenido), IVANTI Mac Antivirus analizara el
encabezamiento del archivo, determinara que el archivo tiene el formato .exe y lo
rastreara en busca de virus. 30
30 Analizar solo archivos nuevos y modificados: habilita el Antivirus de

archivos para que analice solo los nuevos archivos y los archivos que se
han modificado desde el analisis anterior. Este modo se aplica tanto a
archivos sencillos como a archivos compuestos.
• Rastrear paquetes de instalacion: Habilita File Antivirus para que rastree los
archivos de extraccion automatica.
• Rastrear objetos incrustados: Habilita File Antivirus para que rastree los
documentos incrustados en otro archivo, como hojas de calculo de Excel,
macros y archivos adjuntos de correos electronicos.
857
* Posponer la extraction si el tamano del archivo es superior a: Ajusta una

restriccion al rastreo de objetos grandes. Cualquier archivo compuesto de un
tamano superior al valor tfmite especificado se rastreara como objeto unico (se
rastreara el encabezamiento). Los objetos que contenga se rastrearan mas
tarde. Si no selecciona esta opcion, el acceso a los archivos con un tamano
superior al indicado se bloquearan hasta que se hayan rastreado. Esta opcion
se habilita de manera predeterminada con el valor 0 MB.
• No procesar los archivos con un tamano superior a: Ajusta una restriccion en
los archivos grandes. Cualquier archivo compuesto con un tamano superior al
valor lmite especificado se omitira y no se rastreara en busca de virus. Esta
opcion se habilita de manera predeterminada con el valor 8 MB.
• Ambito de protection: Especifica si se rastrearan las unidades extrafbles, todos los
discos duros o todas las unidades de red.
858
GUÍA DE USUARIO
• Adicional: especifica el modoytecnologâ que Antivirus de archivos utilizara y cuando

pausara.
• Modo de analisis: En el modo de analisis predeterminado es Modo inteligente,
en que el Antivirus de archivos analiza los archivos analizando las operaciones
• Tecnologia iSwift: especifica la tecnologfa de analisis que utiliza el Antivirus de
archivos cuando analiza archivos. La tecnologfa iSwift permite a File Antivirus
excluir determinados objetos del rastreo mediante un algoritmo especial, para
aumentar la velocidad del rastreo. El algoritmo tiene en consideracion la fecha
de publicacion de las bases de datos del antivirus, la fecha mas reciente del
rastreo de un objetoyotros cambios que se hayan realizado a la configuracion
del rastreo. Esta tecnica funciona con objetos de cualquier formato, tamano y
tipo.
• Utilizar el analizador heunstico: Este ajuste define la profundidad del analisis
heunstico. El nivel de rastreo garantiza el equilibrio entre la minuciosidad de las
busquedas de nuevas amenazas, la carga sobre los recursos del sistema
operativo y el tiempo de rastreo. Para ajustar un nivel de rastreo, desplace el
control deslizante a lo largo de la escala.
• Nivel de protection optimo: El analizador heunstico, imita la operation de
la aplicacion que se rastrea, lleva a cabo las operaciones necesarias para
detectar una amenaza con un valor de probabilidad aceptable. Mientras
este proceso este en funcionamiento, la CPU no se sobrecargara, para
que el rendimiento de otras aplicaciones no se vea afectado. Este nivel
de rastreo se selecciona de forma predeterminada.
• Nivel de proteccion alto: El analizador heunstico, imita la operacion de la
aplicacion que se rastrea, lleva a cabo las operaciones necesarias para
detectar una amenaza con un valor de probabilidad alto. Mientras este
proceso este en funcionamiento, aumentara la carga sobre la CPU y el
rastreo tardara mas tiempo.
• Nivel de proteccion maximo: El analizador heunstico, imita la operacion
de la aplicacion que se rastrea, lleva a cabo las operaciones necesarias
para detectar una amenaza con un valor de probabilidad maximo.
Mientras este proceso este en funcionamiento, el rastreo tarda mas
tiempo y requiere muchos recursos de la CPU. El rendimiento de otras
859
aplicaciones se reduce significativamente.

• Avisar para una accion: File Antivirus muestra un aviso de advertencia con la
informacion sobre que codigo danino ha infectado o puede infectar el archivo, y le
ofrece la seleccion de otras acciones. Estas acciones pueden variar segun el estado
del objeto.
• Bloquear acceso: File Antivirus bloquea el acceso a los objetos infectados o
potencialmente infectados, sin trasladarlos a otra carpeta. La informacion de esta
accion se registra en el informe, en la pestana Detectado. Para obtener acceso,
procese los objetos del informe.
• Desinfectar: Habilita la desinfeccion automatica en todos los objetos infectados
que se hayan detectado. File Antivirus bloquea el acceso al objeto infectado e
intenta desinfectarlo. Se guarda una copia de seguridad del objeto en el
Almacenamiento de copias de seguridad. Si se desinfecta correctamente, se
restaura para su uso normal. File Antivirus notraslada el objeto si el intento de
cura no es satisfactorio. La informacion de esta accion se registra en el informe,
en la pestana Detectado. Para obtener acceso, procese los objetos del informe.
• Eliminar si la desinfeccion falla: Habilita la opcion para eliminar
automaticamente los objetos infectados, si falla el intento de recuperacion. La
casilla se marca por defecto si selecciona la accion de Bloquear acceso y se
marca la casilla Desinfectar.
Acerca de la pagina de IVANTI Mac Antivirus Scan
Ademas de la proteccion del sistema de archivos proporcionado por File Antivirus en modo de
tiempo real, es muy importante rastrear el equipo frecuentemente en busca de virus. Esto es
necesario para evitar que se propaguen los programas daninos que File Antivirus no ha detectado.
Por ejemplo, esto sena necesario si el nivel de proteccion seleccionado fuera muybajo.
IVANTI Mac Antivirus tiene integradas las siguientes tareas de rastreo de virus:
• Rastreo de virus: Busca virus en elementos individuales, como archivos, carpetas, discos,
dispositivos de conectar y usar.
• Rastreo completo: Busca virus en el equipo mediante un rastreo completo de todos los
discos duros.
• Rastreo rapido: Rastrea solo las areas cnticas del equipo en busca de virus, incluidas las
carpetas con archivos del sistema operativoy las bibliotecas del sistema.
Si desea programar un rastreo rapido o completo del cliente, cambie el modo Ejecutar de la pagina
deRastreo completo o la pagina de Rastreo rapido.
860
GUÍA DE USUARIO
maxima, recomendada o velocidad maxima.
861
Proteccion maxima: Nivel de seguridad que proporciona el rastreo mas completo de los
archivos que abra, guarde o inicie.
Recomendado: Nivel de seguridad predeterminado que permite el rastreo de las

siguientes categonas de objetos: programas y objetos por contenido, solo objetos
nuevos y objetos modificados desde el ultimo rastreo, y objetos OLE incrustados en ■.
Velocidad maxima: Nivel de seguridad que le permite trabajar comodamente con las
aplicaciones que requieran utilizar muchos recursos. El intervalo de archivos que se rastrean
con este nivel es reducido.
• Tipos de archivo: Especifica si se van a rastreas todos los archivos, si se va a rastrear

por contenido o por extension.
• Todos los archivos: Si haceclicen esta opcion, IVANTI Mac Antivirus rastreara
todos los archivos del equipo.
• Rastrear programas y documentos (por contenido): IVANTI Mac Antivirus solo

rastrea los objetos potencialmente infectados, como los archivos que hayan
podido quedar infectados por un virus. En primer lugar, se rastrea el
encabezamiento interno del archivo para identificar el formato (txt, doc, exe,
etc.). Si el rastreo pone de manifiesto que un archivo de ese formato no puede
infectarse, no se rastreara en busca de virus e, inmediatamente, se hace
accesible para el usuario. Si el formato del archivo permite un riesgo de
infeccion, el archivo se rastreara en busca de virus.
• Rastrear programas y documentos (por extension): IVANTI Mac Antivirus solo

rastreara los archivos potencialmente infectados, pero el formato del archivos
se determinara por extension. Los archivos sin extension siempre se rastrean,
independientemente del tipo de archivo que seleccione.
NOTE: No olvide que alguien podria enviar un virus a su equipo con la extension .txt, aunque en
realidad sena un archivo ejecutable cuyo nombre se ha modificado con el de un archivo .txt. Si
selecciona la opcion Rastrear programas y documentos (por extension), el rastreador omitira
estos archivos. Si selecciona la opcion Rastrear programas y documentos (por contenido),
IVANTI Mac Antivirus analizara el encabezamiento del archivo, determinara que el archivo tiene
el formato .exe y lo rastreara en busca de virus.
862
GUÍA DE USUARIO
* Optimization:
• Omitir si el rastreo dura mas de: Especifica, en segundos, el tiempo de rastreo
de un archivo antes de omitirlo.
• No rastrear los archivos con un tamano superior a: Excluye los archivos
grandes del rastreo. El valor se ajusta, de manera predeterminada, a 100 MB.
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Mac Antivirus
para que rastree solo los nuevos archivos y los archivos que se han modificado
desde el analisis anterior. Este modo se aplica tanto a archivos sencillos como
a archivos compuestos.
• Tecnologia iSwift: Habilita el uso detecnologâ iSwift, que permite a IVANTI Mac
Antivirus excluir determinados objetos del rastreo mediante un algoritmo
especial, para aumentar la velocidad del rastreo. El algoritmo tiene en
consideracion la fecha de publicacion de las bases de datos del antivirus, la
fecha mas reciente del rastreo de un objeto y otros cambios que se hayan
realizado a la configuracion del rastreo. Esta tecnica funciona con objetos de
cualquier formato, tamano y tipo. Existen limitaciones para iSwift: esta
vinculado a una ubicacion de archivos espedfica del sistema de archivos y solo
se aplica a objetos de HFS.
• Archivos compuestos:
• Analizar archivos: habilita IVANTI Mac Antivirus para que analice archivos RAR,
de manera predeterminada. Algunos archivos determinados (como los archivos
.ha, .uue, .tar) no se pueden eliminar automaticamenteya que IVANTI Mac
Antivirus no soporta su desinfeccion, incluso cuando se selecciona la opcion
Desinfectary eliminar si la desinfeccion falla. Para eliminar esos archivos, haga
clic en el boton Eliminar archivo en la ventana de aviso de deteccion de objetos
peligrosos. Esta notificacion se muestra en la pantalla despues de que la
aplicacion empiece a procesar los objetos detectados durante el rastreo.
Tambien puede eliminar manualmente los archivos infectados.
• Rastrear objetos incrustados: Habilita IVANTI Mac Antivirus para que rastree los
objetos incrustados en un archivo, como hojas de calculo de Excel, macros,
archivos adjuntos de correos electronicos, etc.
• Rastre los archivos con formato de correo electronico: Habilita el rastreo de
archivos con formato de correo electronico y las bases de datos de correo
electronico. IVANTI Mac Antivirus examina el archivo con formato de correo
electronico y rastrea cada componente (cuerpo, archivos adjuntos) en busca de
virus. Si desmarca esta opcion, IVANTI Mac Antivirus rastreara el archivo de
correo electronico como objeto unico.
• Rastrear archivos protegidos por contrasena: Habilita el rastreo de archivos
protegidos con una contrasena. Haga clic sobre esta opcion para visualizar la
ventana de solicitud de contrasena en la pantalla, antes de rastrear los objetos
del archivo. En caso contrario, IVANTI Mac Antivirus omitira los archivos
863
protegidos por contrasena cuando lleve a cabo un rastreo.

• Analizador heuristico: Define la profundidad del analisis heunstico. El nivel de rastreo
garantiza el equilibrio entre la minuciosidad de las busquedas de nuevas amenazas, la
carga sobre los recursos del sistema operativoyel tiempo de rastreo. Para ajustar un
nivel de rastreo, desplace el control deslizante a lo largo de la escala.
• Accion: especifica la accion que lleva a cabo IVANTI Mac Antivirus si se detectan archivos
IVANTI Mac Antivirus crea una copia de seguridad para restauraciones y desinfecciones
siguientes.
• Avisar de una accion cuando se complete el rastreo: Una vez completado el rastreo,
IVANTI Mac Antivirus muestra un aviso de advertencia con la informacion sobre que
codigo danino ha infectado o puede infectar el archivo, y le ofrece la seleccion de
otras acciones. Estas acciones pueden variar segun el estado del objeto.
• Avisar de una accion durante el rastreo: Durante el rastreo, IVANTI Mac Antivirus
muestra un aviso de advertencia con la informacion sobre que codigo danino ha
infectado o puede infectar el archivo, y le ofrece la seleccion de otras acciones. Estas
acciones pueden variar segun el estado del objeto.
• No alertary solicitar accion
• Desinfectar: IVANTI Mac Antivirus intenta desinfectar automaticamentetodos
los archivos infectados que detecte. IVANTI Mac Antivirus bloquea el acceso al
objeto infectado e intenta desinfectarlo. Se guarda una copia de seguridad del
objeto en el Almacenamiento de copias de seguridad. Si se desinfecta
correctamente, se restaura para su uso normal. Notraslada el objeto si el intento
de cura no es satisfactorio. La informacion de esta accion se registra en el
informe, en la pestana Detectado. Para obtener acceso, procese los objetos del
informe.
• Eliminar si la desinfeccion falla: IVANTI Mac Antivirus elimina automaticamente
los objetos infectados, si falla el intento de recuperacion.
Acerca de la pagina de IVANTI Mac Antivirus Scan: Pagina de rastreo completo
discos duros.
864
GUÍA DE USUARIO
Utilice esta pagina para configurar el modo en que IVANTI Mac Antivirus lleva a cabo el rastreo
completo de los dispositivos de destino. Si desea programar un rastreo rapido del cliente, cambie el
modo Ejecutar de la pagina deRastreo rapido.

Recomendado: Nivel de seguridad predeterminado que permite el rastreo de las siguientes

categonas de objetos: programas y objetos por contenido, solo objetos nuevos y objetos
modificados desde el ultimo rastreo, y objetos OLE incrustados en ■.

selecciona la opcion Rastrear programas y documentos (por extension), el rastreador omitira
estos archivos. Si selecciona la opcion Rastrear programas y documentos (por contenido),
IVANTI Mac Antivirus analizara el encabezamiento del archivo, determinara que el archivo tiene
el formato .exe y lo rastreara en busca de virus.
865
* Optimization:
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Mac Antivirus para
desde el analisis anterior. Este modo se aplica tanto a archivos sencillos como a
archivos compuestos.
• Tecnologia iSwift: Habilita el uso de tecnologfa iSwift, que permite a File
fecha mas reciente del rastreo de un objetoyotros cambios que se hayan
cualquier formato, tamano y tipo. Existen limitaciones para iSwift: esta vinculado
a una ubicacion de archivos espedfica del sistema de archivos y solo se aplica a
objetos de HFS.
• Archivos compuestos:
• Analizar archivos: habilita IVANTI Mac Antivirus para que analice archivos RAR,
• Rastrear objetos incrustados: Habilita IVANTI Mac Antivirus para que rastree los
objetos incrustados en un archivo, como hojas de calculo de Excel, macros,
866
GUÍA DE USUARIO

siguientes.
codigo danino ha infectado (infectado potencialmente) el archivo, y le ofrece la
seleccion de otras acciones. Estas acciones pueden variar segun el estado del objeto.
• Desinfectar: IVANTI Mac Antivirus intenta desinfectar automaticamentetodos
los archivos infectados que detecte. IVANTI Mac Antivirus bloquea el acceso al
informe.
• Modo ejecutar: De manera predeterminada, IVANTI Mac Antivirus lleva a cabo un rastreo
diario. Para modificar el programa, haga clic en Editar... para abrir el cuadro de dialogo Modo
editar. En la lista de Frecuencia, seleccione la regularidad con que IVANTI Mac Antivirus
llevara a cabo el rastreo, a continuacion, especifique los detalles adicionales que desee
aplicar a la frecuencia seleccionada.
Acerca de la pagina de IVANTI Mac Antivirus Scan: Pagina de rastreo rapido
867
868
GUÍA DE USUARIO
discos duros.
Utilice esta pagina para configurar el modo de funcionamiento de IVANTI Mac Antivirus en el rastreo
de las areas cnticas de los dispositivos de destino. Si desea programar un rastreo completo del
cliente, cambie el modo Ejecutar de la pagina deRastreo completo.
Recomendado: Nivel de seguridad predeterminado que permite el rastreo de las siguientes

categonas de objetos: programas y objetos por contenido, solo objetos nuevos y objetos
modificados desde el ultimo rastreo, y objetos OLE incrustados en ■.



selecciona la opcion Rastrear programas y documentos (por extension), el
869
rastreador omitira estos archivos. Si selecciona la opcion Rastrear programas y documentos (por
contenido), IVANTI Mac Antivirus analizara el encabezamiento del archivo, determinara que el
archivo tiene el formato .exe y lo rastreara en busca de virus.
* Optimization:
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Mac Antivirus para
desde el analisis anterior. Este modo se aplica tanto a archivos sencillos como a
archivos compuestos.
• Tecnologia iSwift: Habilita el uso de tecnologfa iSwift, que permite a File
fecha mas reciente del rastreo de un objetoyotros cambios que se hayan
cualquier formato, tamano y tipo. Existen limitaciones para iSwift: esta
vinculado a una ubicacion de archivos espedfica del sistema de archivos y solo
se aplica a objetos de HFS.
870
GUÍA DE USUARIO
* Archivos compuestos:
. Analizar archivos: habilita IVANTI Mac Antivirus para que analice archivos RAR,
• Rastrear objetos incrustados: Habilita IVANTI Mac Antivirus para que rastree
los objetos incrustados en un archivo, como hojas de calculo de Excel, macros,
871
siguientes.
codigo danino ha infectado (infectado potencialmente) el archivo, y le ofrece la
seleccion de otras acciones. Estas acciones pueden variar segun el estado del objeto.
• Desinfectar: IVANTI Mac Antivirus intenta desinfectar automaticamentetodos los
archivos infectados que detecte. IVANTI Mac Antivirus bloquea el acceso al
informe.
• Modo ejecutar: De manera predeterminada, IVANTI Mac Antivirus lleva a cabo un rastreo
diario. Para modificar el programa, haga clic en Editar... para abrir el cuadro de dialogo Modo
editar. En la lista de Frecuencia, seleccione la regularidad con que IVANTI Mac Antivirus
llevara a cabo un rastreo. En la seccion Programar, especifique los detalles adicionales que
se apliquen a la frecuencia seleccionada.
Acerca de la pagina de IVANTI Mac Antivirus Threats
Utilice esta pagina para configurar el modo en que IVANTI Mac Antivirus maneja los diferentes tipos
de malware.
• Categorias de malware: Le permite crear una lista de amenazas que desee detectar,
habilitando el control de los tipos de malware mas peligrosos.
• Virus, gusanos, troyanos, herramientas de pirateo: Este grupo incluye las categonas
de malware mas frecuentes y peligrosas. IVANTI Mac Antivirus siempre controla el
malware desde este grupo. Esta opcion se selecciona de manera predeterminada y no
se puede cancelar.
• Spyware y adware: Habilita el control de software peligroso. Esta opcion se selecciona
de forma predeterminada.
872
GUÍA DE USUARIO
• Marcadores automaticos: Habilita el control de programas que establecen

conexiones telefonicas a traves de un modem, en modo oculto. Esta opcion se
selecciona de forma predeterminada.
• Otros programas: Habilita el control de programas que no son daninos ni peligrosos
pero que, en determinadas circunstancias, pueden utilizarse para danar el equipo.
• Zona de confianza: Especifica los objetos que IVANTI Mac Antivirus excluira del rastreo.
Haga clic en Agregar... para especificar el tipo de objeto, amenaza y el componente para
cada elemento de confianza.
• Objeto: Especifica todos los objetos o introduce la ruta hasta un objeto de confianza.
Se puede especificar el nombre de un archivo, carpeta o mascara de archivo como un
objeto.
• Tipo de amenaza: Especifica todas las amenazas o introduce un nombre de amenaza.
El cuadro que hayjunto a cada elemento de la lista habilita o elimina esta regla de
exclusion. De forma predeterminada, se marcan todas las casillas. La lista de objetos
de la zona de confianza estan en blanco, de manera predeterminada.
• Componente: Especifica si se excluira o no el elemento de confianza de File Antivirus,
de Virus scan o de ambos.
Acerca de la pagina de IVANTI Mac Antivirus: Pagina de tareas programadas
Utilice esta pagina para programar las actualizaciones del archivo de patrones del cliente para
equipos de Mac. Los equipos de Mac utilizan el servicio OS X 'launchd' para descargar e instalar
estas actualizaciones del servidor central o del sitio web de Kaspersky. Si desea programar un
rastreo rapido o completo del cliente, cambie el modo Ejecutar de la pagina deRastreo completo o la
pagina de Rastreo rapido.
• Tareas programadas:
de virus,
donde podra seleccionar la regularidad y la hora de una actualizacion.
Acerca de las tareas programadas de IVANTI Mac Antivirus: Pagina de actualizacion

actualizacion, haga clic en Actualizar en la pagina de Tareas programadas.
• Descargar la version piloto de archivos de definiciones de virus: Haga clic en esta opcion
para descargar los archivos de definicion de virus desde la carpeta piloto, en lugar de desde
la ubicacion predeterminada del servidor central. Un conjunto restringido de usuarios puede
descargar las definiciones de virus de la carpeta piloto para probar las definiciones de virus
873
antes de implementarlas en toda la red. Cuando crea una tarea de analisis del antivirus,
tambien puede escoger descargar las ultimas actualizaciones de las definiciones de virus,
entre ellas las que residen en la carpeta de prueba piloto, luego asociar una configuracion de
antivirus con esta opcion habilitada para garantizar que los dispositivos de prueba reciban
los ultimos archivos conocidos de definiciones de virus. Si se selecciona esta opcion, no se
descargan los archivos de definiciones de virus de la carpeta predeterminada.
• Amplitud de banda usada por el servidor central o el preferido (WAN): Especifica el ancho
de banda utilizado. Puede desplazar el control deslizante o introducir un valor en el cuadro
de porcentajes.
• Actualizar los modulos de la aplicacion: Habilita las descargas de las actualizaciones de los
modulos de la aplicacion,junto con las actualizaciones de la base de datos del antivirus. Si se
selecciona, IVANTI Mac Antivirus incluye las actualizaciones de los modulos de la aplicacion
que se encuentran en el paquete de actualizaciones, cuando la aplicacion ejecuta la tarea de
actualizacion. Esta opcion se selecciona de forma predeterminada.
• Volver a rastrear la cuarentena tras una actualizacion: Habilita el rastreo del contenido en
cuarentena despues de cada actualizacion. La cuarentena almacena los objetos cuyo
contenido incluye malware que no se haya identificado correctamente mediante File Antivirus
o durante una tarea de rastreo de virus. Despues de actualizar las bases de datos, IVANTI
Mac Antivirus sera capaz de identificar con claridad la amenaza y eliminarla.
Acerca de la pagina de IVANTI Mac Antivirus Reports
Utilice esta pagina para configurar las opciones del rastreador de IVANTI Mac Antivirus Reports en
los dispositivos de destino.
• Informes:
• Registrar eventos no cnticos: Habilita el registro de eventos de tipo informativo.
Generalmente, estos eventos no son importantes para la seguridad.
• Mantener solo eventos recientes: Habilita el registro unicamente de eventos
importantes, que se hayan producido durante la ultima ejecucion de la tarea. Si se
marca la casilla, la informacion se actualizara cada vez que se reinicie la tarea. Al
hacerlo, la informacion importante, como entradas de objetos daninos detectados, se
guardara, y la informacion no crftica se eliminara.
• Eliminar informes despues de: Especifica el termino maximo de almacenamiento de
874
GUÍA DE USUARIO
informes con un numero de dfas. El termino maximo predeterminado es de 30 dfas.

Transcurrido ese periodo, IVANTI Mac Antivirus eliminara automaticamente las
entradas mas antiguas del archivo del informe.
• Almacenamiento de cuarentena y de copias de seguridad: Permite configurar las cuarentenas

y las copias de seguridad. El almacenamiento de datos consta de un catalogo de cuarentena
yde un almacenamiento para los archivos de las copias de seguridad.
• Eliminar objetos despues de: Especifica el termino maximo de almacenamiento para

los archivos de cuarentena y para los archivos de las copias de seguridad. El termino
de almacenamiento maximo se mide en dfas. El termino maximo predeterminado para
los archivos es de 30 dfas. Transcurrido este termino de almacenamiento maximo,
IVANTI Mac Antivirus eliminara los archivos mas antiguos de la Cuarentena y de las
Copias de seguridad.
Acerca de la pagina de IVANTI Mac Antivirus Service
Utilice esta pagina para configurar el servicio que IVANTI Mac Antivirus utilizara en los dispositivos
de destino.
• Ejecutar automaticamente: Especifica si IVANTI Mac Antivirus se ejecutara durante el inicio

del equipo. De forma predeterminada, dicha opcion esta seleccionada.
• Bateria: Especifica si se deshabilitaran los rastreos programados cuando se este utilizando

la alimentacion con la batena. De forma predeterminada, dicha opcion esta seleccionada.
Acerca de la pagina de IVANTI Mac Antivirus Appearance
Utilice esta pagina para configurar la apariencia que IVANTI Mac Antivirus utilizara en los
• En la barra del menu Muestra el icono de IVANTI Mac Antivirus en la barra del menu. Esta
• En el Dock; muestra el icono de IVANTI Mac Antivirus en el Dock. Las modificaciones que
realice a la ubicacion del icono apareceran despues de reiniciar la aplicacion.
• En ningun lugar: Haga clic en esta opcion si no desea que aparezca el icono de IVANTI Mac
Antivirus.
Acerca de la pagina de configuracion de Importar Kaspersky para IVANTI Mac Antivirus
Utilice esta pagina para configurar el modo en que IVANTI Mac Antivirus importara la configuracion
de Kaspersky en los dispositivos de destino.

permite importar la configuracion desde un dispositivo cliente. Para importar la configuracion,
875
especifique la configuracion de Kaspersky en un cliente y guardela como un archivo de

configuracion. Desde la consola, busque el archivo de configuracion. Las opciones que se
enumeran en el archivo se ajustaran en primer lugary luego se ajustara IVANTI Antivirus.
NOTE: IVANTI Antivirus no buscara un nuevo archivo de configuracion ni lo actualizara

automaticamente. Si desea importar una configuracion diferente, debera actualizar el archivo de
configuracion manualmente.
• Configuracion actual importada de: El boton Explorar [...] abre la ventana Seleccionar un
haga clic en el archivo de configuracion yen Abrir.
• Eliminar la contrasena despues de la importacion: Permite a los usuarios modificar la

• En la fecha: La fecha de la importacion.

• Notas: Notas acerca del archivo de configuracion.
Configuracion del agente: Perfil de configuracion de Mac
Herramientas > Configuracion > Configuracion del agente > Perfil de configuracion de Mac
Utilice el cuadro de dialogo del Perfil de configuracion de Mac para seleccionar los perfiles de
configuracion que desee aplicar a dispositivos de Macintosh OS X. Para obtener mas informacion,
consulte "Applying Mac configuration profiles" (540).
• Nombre: Escriba un identificador unico para las configuraciones.

• Reglas:
• Configuraciones disponibles: Mueva una o mas Configuraciones disponibles a la lista
Configuraciones seleccionadas para seleccionarlas por el nombre del ajuste.
• Importar...: Abre el cuadro de dialogo de Importar nuevo perfil de configuracion de Mac,

donde podra buscar un archivo .mobileconfig existente. De un nombre para mostrar
descriptivo y haga clic en Importar. En este punto, se importan los contenidos del archivo
.mobileconfig en la base de datos de LDMS.
NOTE: La consola de LDMS no tiene visor XML para este contenido, por lo que debe mantener una copia del
archivo para referencias futuras, incluso si el servidor central y la consola dejan de necesitarlo. 31
31 Modo: Seleccione Anexar o Reemplazar el perfil de configuracion. Anexar mantiene los

ajustes existentes del perfil. Reemplazar elimina todos los ajustes existentes del perfil,
incluidos los ajustes que no se modifican, y los reemplaza por los ajustes especificados.
876
GUÍA DE USUARIO
• Establecer como predeterminado: Establece todos los ajustes del cuadro de dialogo del Perfil
de configuracion de Mac como configuracion predeterminada. El nombre que introdujo
aparecera en la consola con el icono predeterminado ,ijunto a el. No puede eliminar una
configuracion que esta marcada como predeterminado. Cuando crea una nueva
configuracion de agente, las configuraciones se seleccionaran por defecto.
Configuracion del agente: Exchange/Office 365
Herramienta > Configuracion > Configuracion de agente > Movilidad > Exchange/Office 365
El cuadro de dialogo Mobile Exchange/Office 365 le permite configurar los ajustes del servidor de
correo para dispositivos iOS. Despues de que un dispositivo se conecte por primera vez, aplica
estos ajustes y el usuario puede acceder a su cuenta de correo.
El cuadro de dialogo Mobile Exchange/Office 365 contiene las siguientes opciones:
• Nombre de la cuenta: El nombre de la cuenta en el telefono. Esto solo se configurara si va a

crear configuracion de agente para usuarios individuales.
• Servidor de Microsoft Exchange/Office 365: El nombre de dominio o direccion del servidor.
• Permitir mover: Permite al usuario mover los mensajes a una cuenta diferente del
dispositivo, o responder o reenviar mensajes mediante una cuenta de correo diferente.
• Permitir sincronizar la direccion reciente: Permite sincronizar las direcciones que se han
utilizado recientemente con otros dispositivos, incluido iCloud.
• Utilizar solo en la aplicacion de correo: permite solo enviar mensajes desde la aplicacion de
correo, no desde otras aplicaciones del telefono, como Photos o Safari.
• Utiliza SSL: utiliza una conexion SSL cifrada para enviar correos al servidor Exchange.
• Dâs pasados de correos para sincronizar: el numero de dfas transcurridos de correos para
sincronizar con el dispositivo.
• Utilizar el correo electronico del Active Directory de la empresa: utiliza la direccion de

correo electronico que aparece para el usuario de Active Directory para iniciar sesion en la
cuenta de correo electronico del dispositivo del usuario. Esta direccion de correo
electronico reemplaza el nombre de usuario y la direccion de correo electronico del perfil de
Exchange del dispositivo. Esta opcion solo esta disponible si se ha configurado una
conexion con el servidor de Active Directory. (Para configurar la informacion del servidor de
Active Directory, vaya a la vista de red, haga clic con el boton derecho sobre el nodo del
directorio y luego haga clic en Administrar directorio).
Para empresas que utilicen Microsoft Office 365 y que quieran que Active Directory utilice
las direcciones de correo electronico existentes, configure la cuenta de Office 365 para la
sincronizacion con Active Directory.
Si ya ha configurado Active Directory con direcciones de correo electronico, esta es la
opcion que recomendamos para sincronizar las cuentas de correo electronico con los
877
dispositivos.
• Dominio de empresa alojado en un servidor Exchange externo: genera una direccion de

correo electronico desde el nombre de usuarioy el valor de este campo si utiliza un servidor
de correo externo, como Microsoft Office 365. Esta direccion de correo electronico
reemplaza el nombre de usuario y la direccion de correo electronico del perfil de Exchange
del dispositivo. Para que esto funcione, todos los nombres de usuario se tienen que
importar al servidor de correo externo, como Office 365. Por ejemplo, si un usuario aparece
en Active Directory como jdoe y recibe una carga util en la que este valor sea
mycompany.onmicrosoft.com, la aplicacion de correo intentara iniciar sesion en la bandeja
de entrada mediante la direccion de correo electronico:
jdoe@mycomany.onmicrosoft.com
Esta opcion solo esta disponible si tiene IVANTI Mobility Managery esta configurado con la
informacion de Active Directory.
Configuracion del agente: Conectividad movil

Herramientas > Configuracion > Configuracion del agente > Movilidad > Conectividad movil
El cuadro de dialogo Conectividad movil le permite configurar los certificados y WiFi de
dispositivos. Estos ajustes se aplican despues de que un dispositivo se conecte por primera vez.
La pagina General le permite proporcionar un nombre para los ajustes yestablecerlo como
No todas las opciones son compatibles en todos los tipos de dispositivos. Si deshabilita opciones
despues de distribuir los ajustes a los dispositivos, los ajustes se eliminaran de aquellos.
Pagina de certificados
Actualmente, los certificados son compatibles con los dispositivos iOS. Para eliminar un certificado
de un dispositivo despues de distribuirlo, puede eliminar el certificado desde esta pagina y
sincronizar el dispositivo, deshabilitar los ajustes del certificado y sincronizar el dispositivo o llevar
a cabo un borrado del dispositivo.
• Habilitar los ajustes del certificado: permite distribuir certificados a dispositivos moviles.
• Quitar: eliminar un certificado de la configuracion de agente.
• Agregar certificado: agrega o valida un certificado PKCS12. Busque el archivo del

certificado en el sistema de archivos y proporcione la contrasena del archivo.
Pagina WiFi
• Habilitar los ajustes de WiFi: permite distribuir los ajustes de WiFi a dispositivos moviles.
• Agregar: agregar una red WiFi y la informacion de autenticacion.
878
GUÍA DE USUARIO
• Nombre de configuracion: nombre que identifica la configuracion.
Pestana Autenticacion
• SSID: el identificador del servicio para la red WiFi.
• Union automatica: el dispositivo se une automaticamente a la red cuando esta esta

disponible.
• Red oculta: permite al dispositivo localizar la red cuando no esta abierta ni emitiendo.
• Tipo de autenticacion: el tipo de autenticacion compatible con la red.
• Contrasena: la contrasena que se utiliza para unirse a la red.

• Protocolos: el protocolo o protocolos de autenticacion compatibles con la red. Si
habilita el TTLS, asegurese de elegir el tipo de Identidad interna en el menu desplegable.
Si habilita EAP-FAST y Usar PAC, debera habilitar Aprovisionar PAC o distribuir el PAC
de otro modo.
• Autenticacion: credenciales para acceder a la red. Si el dispositivo debe proporcionar

un certificado de identidad, debera configurarlo en la pagina de Certificados antes de
poder seleccionarlo en el menu desplegable Certificado de identidad.
• Confianza: cuando la red establece una conexion con un tunel seguro, es posible que el
dispositivo necesite conocer la identidad del servidor de autenticacion. Proporcione los
certificados presentados por los servidores RADIUS. Los certificados aparecen en el
cuadro Certificados de confianza una vez se han agregado a la pagina Certificado.
Pestana proxy
• Tipo de Proxy: determina si la informacion del proxy se ajusta manual o

automaticamente. Cuando se utiliza el modo automatico, se debe proporcionar la URL
del servidor proxy.
• URL del servidor proxy: URL del servidor proxy.
• Servidor y puerto proxy: URLy numero de puerto del servidor proxy.
• Usuario de autenticacion: nombre de usuario para autenticar el servidor proxy. Este

campo solo se utiliza en los dispositivos iOS que utilicen un proxy manual. 32
• Omitir proxy (solo en Android): Direcciones o dominios de trafico que debera omitir el
servidor proxy. Por ejemplo, es posible que quiera omitir el servidor proxy cuando se
comunique con el servidor de Active Directory.
32 Contrasena: contrasena para autenticar el servidor proxy. Este campo solo se utiliza en
los dispositivos iOS que utilicen un proxy manual. Si no proporciona una contrasena, el
usuario final debera proporcionarla para acceder al proxy.
879
IMPORTANT: No todos los dispositivos son compatibles con los ajustes de proxy. Si utiliza un proxy manual, es
posible que deba crear ajustes separado para dispositivos Android e iOS, ya que los sistemas no manejan los
proxies del mismo modo.
Configuracion del agente: Seguridad movil

Herramientas > Configuracion > Configuracion del agente > Movilidad > Seguridad
El cuadro de dialogo Seguridad movil le permite configurar los ajustes de seguridad en dispositivos
moviles.
La pagina General le permite proporcionar un nombre para los ajustes yestablecerlo como
Si deshabilita opciones despues de distribuir los ajustes a los dispositivos, los ajustes se eliminaran
de aquellos. Si deshabilita el requisito de contrasena, el requisito se eliminara del dispositivo, pero
no asf la contrasena.
Pagina de contrasena
• Calidad minima de la contrasena: Una contrasena Simple se podra adivinar facilmente,
como 1111 o ABCD. Si ajusta la contrasena de menos calidad como Alfanumerica, la
contrasena debera incluir al menos una letra y un numero.
• Longitud minima de la contrasena: ajusta una longitud mfnima de la contrasena.
• Bloquear pantalla despues: el tiempo, en minutos, de inactividad antes de que se bloquee la

pantalla.
• Numero maximo de intentos de introducir la contrasena erroneamente antes de que se

borre el dispositivo: el numero de intentos fallidos para desbloquear el dispositivo antes
de que se borren todos los datos del dispositivo.
Pagina de restricciones de iOS

Las opciones de restricciones de iOS le permiten controlar el uso del dispositivo. Algunas opciones
solo estan disponibles si el dispositivo esta en modo Supervisado. Para obtener informacion acerca
de como ajustar el dispositivo en modo Supervisado, consulte la documentacion de Apple.

• Habilitar la configuracion de restricciones de iOS: aplica la configuracion de las paginas
Funcion del dispositivo, Aplicacion, Modo de aplicacion unica, iCloud y Seguridad y
Privacidad.
Pagina Funcion del dispositivo
• Permitir instalar aplicaciones: permite al usuario instalar aplicaciones. Desmarcar esta
opcion no evita que los usuarios eliminen aplicaciones del dispositivo. Mobility Manager no
puede evitar la eliminacion de aplicaciones a nivel de dispositivo.
880
GUÍA DE USUARIO
• Permitir el uso de la camara: permite al usuario iniciar la aplicacion de la camara.
• Permitir FaceTime: permite al usuario hacer o recibir llamadas de FaceTime.
• Permitir capturas de pantalla: permite al usuario guardar una captura de pantalla.

• Permitir la sincronizacion automatica con roaming: permite al dispositivo sincronizar
cuentas automaticamente aunque el dispositivo este con roaming.
• Permitir Siri: permite al usuario utilizar Siri, comandos de voz o dictados.
• Permitir Siri durante el bloqueo: permite al usuario utilizar Siri sin introducir una contrasena
cuando el dispositivo esta bloqueado.
• Permitir las consultas de Siri de contenido generado por usuarios (solo bajo supervision):
permite acceder al contenido de Siri que hayan agregado otros usuarios.
• Permitir marcacion por voz: permite al usuario marcar con comandos de voz.
• Permitir Passbook con el dispositivo bloqueado: permite al dispositivo mostrar las

notificaciones de Passbook cuando el dispositivo esta bloqueado.
• Permitir compras desde la aplicacion: permite al usuario hacer compras mediante las
aplicaciones instaladas.
• Obligar al usuario a introducir una contrasena para todas las compras: obliga al usuario a
escribir su contrasena de la cuenta de iTunes Store cada vez que realice una compra.
• Permitir los juegos multijugador: permite al usuariojugar a juegos de multijugador en el

Game Center.
• Permitir agregar amigos al Game Center: permite al usuario agregar amigos en el Game
Center.
• Permitir el Centro de control durante el bloqueo: permite al usuario deslizar la pantalla hacia
arriba para ver el Centro de control aunque el dispositivo este bloqueado.
• Permitir la vista Notificaciones durante el bloqueo: permite al usuario ver notificaciones

aunque el dispositivo este bloqueado. 33
• Permitir iBooks Store: permite al usuario acceder a iBooks Store. Esta opcion solo se aplica
si el dispositivo esta en modo Supervisado.
• Permitir el uso de AirDrop: permite al usuario acceder a AirDrop. Esta opcion solo se aplica
si el dispositivo esta en modo Supervisado.
• Permitir el cambio de cuentas: permite al usuario cambiar la configuracion de la cuenta.

Esta opcion solo se aplica si el dispositivo esta en modo Supervisado.
33 Permitir la vista Hoy durante el bloqueo: permite al usuario deslizar la pantalla hacia abajo
para ver la vista Hoy aunque el dispositivo este bloqueado.
881
• Permitir a las aplicaciones utilizar los datos del movil: permite que las aplicaciones del
dispositivo utilicen una conexion de datos del telefono movil. Esta opcion solo se aplica si
el dispositivo esta en modo Supervisado.
Pagina Aplicaciones
• Permitir el uso de iTunes Store: permite al usuario acceder a iTunes Store.
• Permitir el explorador web: permite al usuario iniciar Safari. Cuando esta opcion se
deshabilita, el usuario no puede iniciar Safari pero sf podra iniciar otros exploradores web,
como Chrome.
• Habilitar Autorrellenar: permite al usuario activar la funcion de autorrelleno de Safari.
• Limitar el rastreo publicitario: evita que la Id. del dispositivo se utilice para rastreo
publicitario.
• Forzar la notificacion de fraude: cuando el usuario visita una web fraudulenta o peligrosa,
Safari muestra una notificacion.
• Permitir JavaScript: permite que las paginas web a las que accede el usuario con Safari
ejecuten JavaScript.
• Bloquear ventanas emergentes: ajusta Safari para que bloquee mensajes.
• Aceptar cookies: permite a Safari aceptar todas las cookies, rechazarlas todas o aceptar
solo las de los sitios a los que acceda directamente.
• Permitir cambiar FindMyFriends (solo Supervisado): permite a las aplicaciones acceder a

Find My Friends.
Modo de aplicacion unica (Kiosko)

• Habilitar el modo kiosko: tambien conocido como acceso guiado, esta opcion limita al
dispositivo para que solo pueda ejecutar la aplicacion especificada. Cuando se habilita el
modo kiosko, el dispositivo solo iniciara la aplicacion especificada y bloqueara las otras.
Para especificar la aplicacion del modo kiosko, utilice Id. de Apple. Para salir del modo
kiosko, un administrador debera modificar la configuracion de agente para apagar el modo
kiosko y actualizar el dispositivo. El modo kiosko solo esta disponible para dispositivos que
esten en
modo Supervisado. Para obtener mas informacion, consulte la documentacion de Apple.
• Id. de Apple de la aplicacion que se va a ejecutar: la Id. de Apple de la aplicacion que se

puede ejecutar en modo kiosko.
• Deshabilitar autobloqueo: evita que el dispositivo se bloquee automaticamente.
• Deshabilitar rotation del dispositivo: evita que la pantalla cambie la orientacion cuando se
gira el dispositivo.
882
GUÍA DE USUARIO
• Deshabilitar el cambio de tono: desactiva cualquier funcion asociada con el cambio de tono.
• Deshabilitar el boton reposo/activacion: desactiva cualquier funcion asociada con el boton

reposo/activacion.
• Deshabilitar funcion tactil: desactiva la funcion tactil de la pantalla.
• Deshabilitar el boton de volumen: desactiva la funcion del boton de volumen.
• Permitir Assistive Touch: permite al usuario utilizar las funciones de Assistive Touch para
que el dispositivo sea mas accesible. Esta opcion es para usuarios que tienen problemas
para tocar la pantalla o pulsar los botones.
• Permitir el ajuste de Assistive Touch: permite al usuario configurar las opciones de

Assistive Touch.
• Permitir invertir los colores: permite al usuario invertir los colores de la pantalla.
• Permitir al usuario ajustar la inversion de colores: permite al usuario configurar las opciones
de inversion de colores.
• Permitir audio mono: permite al usuario cambiar la salida de audio a mono.
• Permitir Reproducir selection: permite al usuario seleccionartexto y utilizar la funcion

Reproducir seleccion para la conversion de texto a voz.
• Permitir VoiceOver: permite al usuario utilizar las funciones de VoiceOver para que el
dispositivo sea mas accesible. Esta opcion es para usuarios que necesitan una presentacion
de audio del material o los menus de la pantalla. 34
• Id. de aplicaciones permitidas con autonomia para ejecutarse: permite que las aplicaciones
identificadas por las Id. masivas entren en el modo de aplicacion unica. Esta opcion solo se
aplica si tiene aplicaciones con la capacidad de entrar en modo de aplicacion sencilla.
Mobility Manager no hace que las aplicaciones entren en modo de aplicacion sencilla, solo
permite que la aplicacion lo haga por sf misma.
Pagina de iCIoud
• Permitir copias de seguridad: permite al usuario realizar copias de seguridad del dispositivo
con iCloud.
• Permitir la sincronizacion de documentos: permite al usuario guardar documentos en

iCloud.
34 Permitir al usuario ajustar VoiceOver: permite al usuario configurar las opciones de

VoiceOver.
• Permitir zoom: permite al usuario utilizar la funcion de zoom.
• Permitir al usuario cambiar el zoom: permite al usuario cambiar la configuracion del zoom.
883
• Permitir Photo Stream: permite al usuario utilizar Photo Stream. Si Photo Stream se
deshabilita despues de que el usuario haya compartido fotos con Photo Stream, se
eliminaran las fotos que se hayan compartido.
• Permitir fotos compartidas de photo stream: permite al usuario compartir sus fotos de photo
stream yver las de otros usuarios.
Pagina de seguridad y privacidad

• Permitir el desbloqueo con Touch ID: permite al usuario utilizar Touch ID para desbloquear
el dispositivo.
• Permitir el emparejamiento del host (solo con supervision): permite emparejar el dispositivo
con equipos diferentes a los que se utilizan para poner el dispositivo en modo Supervisado.
• Permitir el envfo de los datos de diagnostico a Apple: permite que el dispositivo envfo datos
de diagnostico a Apple.
• Permitir al usuario aceptar certificados de no confianza: permite al usuario aceptar

certificados TLS que no se pueden verificar. Esta configuracion se implementa para Safari,
Correo, Contactos y Calendario. 35
NOTE: para que funcione el analisis y la deteccion de spyware en tiempo real, debe activar manualmente la
funcion de reparacion automatica de cualquier definicion de spyware descargada que desee incluir en el
884
GUÍA DE USUARIO
• Permitir abrir desde aplicaciones/cuentas no administradas a administradas: permite al

usuario cambiar de aplicaciones o cuentas administradas desde una aplicacion o cuenta no
administrada. Por ejemplo, si la aplicacion de correo electronico se administra pero la del
explorador, no, el usuario podna hacer clic en un vrnculo de la pagina web que iniciarfa la
aplicacion de correo electronico.
• Permitir actualizaciones de PKI por transmision terrestre: permite las actualizaciones de

infraestructuras publicas clave. Si no se habilita esta opcion, el usuario podna tener
problemas con cualquier aplicacion que dependa de certificados, incluidos los
exploradores de Internet.
• Permitir la interaccion durante la instalacion del perfil de configuracion (solo con

supervision): permite al administrador de manera perfiles de configuracion en segundo
plano, sin la interaccion del usuario.
• Forzar las copias de seguridad cifradas: Fuerza al usuario a cifrar las copias de seguridad
mediante iTunes.
Configuracion del agente: Otros ajustes de seguridad

Herramientas > Seguridad y cumplimiento > Configuracion del agente > Seguridad > Otros ajustes
de seguridad
Utilice el cuadro de dialogo Otros ajustes de seguridad para especificary guardar una recopilacion
de ajustes de seguridad.
Acerca de la pagina Spyware

Utilice esta pagina para habilitar la deteccion de spyware y la notificacion en tiempo real en los
dispositivos con esta configuracion de agente.
La deteccion de spyware en tiempo real solo verifica las definiciones de spyware que residen en el
grupo Analizar yquetienen la reparacion automatica activada. Puede habilitar de forma manual la
opcion de reparacion automatica de las definiciones de spyware descargadas o bien puede
configurar las actualizaciones de la definicion de spyware para que la opcion de reparacion
automatica se habilite automaticamente cuando estas se descarguen.
La deteccion de spyware en tiempo real supervisa los procesos nuevos iniciados que intentan
modificar el registro local. Si se detecta spyware, el analizador de seguridad del dispositivo le envfa
un mensaje al usuario final para que elimine el spyware.

• Habilitar el bloqueo de spyware en tiempo real: activa la supervision y el bloqueo de spyware
en tiempo real en los dispositivos con esta configuracion de agente.
885
analisis de seguridad. Las definiciones de spyware descargadas no tienen activada la funcion de

reparacion automatica de forma predeterminada.
• Notificar al usuario cuando se ha bloqueado spyware: muestra un mensaje que le informa al

usuario final que se detecto y reparo un programa de spyware.
• Si una aplicacion no se reconoce como spyware, se le debe solicitar al usuario su aprobacion

antes de instalarla: aunque el proceso detectado no se reconozca como spyware de acuerdo
con la lista actual de definiciones de spyware del dispositivo, se le preguntara al usuario final
antes de instalar el software en el equipo.
Acerca de la pagina Bloqueador de aplicaciones
Utilice esta pagina para habilitar el bloqueo de aplicaciones no autorizadas y la notificacion en

tiempo real. El bloqueador de aplicaciones en tiempo real verifica solo las aplicaciones que residen
en el grupo Analizar.
Con el bloqueo de la aplicacion en tiempo real, la reparacion no es una tarea aparte. El bloqueo de
aplicaciones se produce como parte del analisis de seguridad mismo. Para ello edita el registro en
el disco duro local a fin de deshabilitar el acceso de los usuarios a las aplicaciones no autorizadas.
Servicios de seguridad utiliza la funcion softmon.exe para denegar el acceso a determinados
ejecutables de aplicaciones, incluso si el nombre de archivo del ejecutable ha sido modificado,
debido a que softmon.exe lee la informacion del encabezado del archivo.
• Habilitar el bloqueo de aplicaciones no autorizadas: activa el bloqueo de aplicaciones en

tiempo real en los dispositivos con esta configuracion de agente.
• Notificar al usuario cuando se ha bloqueado una aplicacion: muestra un mensaje que le

informa al usuario final que han intentado iniciar una aplicacion no autorizada y que el
acceso se ha denegado.
Configuracion del agente: Administrador del portal
Herramientas > Configuracion > Configuracion del agente > Administrador del portal
Utilice el cuadro de dialogo Ajustes del administrador del portal para especificary guardar una
recopilacion de ajustes del administrador del portal. El nombre que asigne a estos ajustes aparecera
en la lista de la pagina del Administrador del portal del cuadro de dialogo Ajustes de agente.
Las opciones de esta pagina determinan como aparece la ventana del Administrador del portal y si
los usuarios finales pueden cambiarla.
• Permitir el cambio de tamano: el usuario final puede cambiar el tamano de la ventana.

• Permitir cerrar: el usuario final puede cerrar la ventana. Si esta casilla de verificacion se
desactiva, el Administrador del portal se ejecuta mientras el usuario este conectado.
886
GUÍA DE USUARIO
• Iniciar maximizado: la ventana del Administrador del portal se abre a pantalla completa.
. Establecer como predeterminado: La configuracion del Administrador del portal que ha
configurado debe ser la predeterminada para nuevas configuraciones de agentes.
• Ver: seleccione la vista predeterminada cuando se abra el Administrador del portal, Lista,
Iconos pequenos o Iconos grandes.
• Tipos disponibles: los tipos de contenido que desee que esten visibles en el Administrador
del portal. Puede seleccionar Aplicaciones, Documentos y Enlaces.
Acerca de la pagina de aplicaciones
Utilice esta pagina para determinar que aplicaciones aparecen en el Administrador del portal para
que
el usuario final las seleccione.
• Aplicaciones disponibles: seleccione una aplicacion de esta lista y haga clic en >> para que
aparezca en el Administrador del portal.
• Mostrar en el Administrador del portal: las aplicaciones de esta lista se muestran en el
Administrador del portal. Para eliminar una aplicacion, seleccionela y haga clic en <<. Para
cambiar el orden en que aparecen las aplicaciones, seleccione una y haga clic en Subiry
Bajar.
• Nuevo: haga clic en este boton para definir una aplicacion nueva que se va a mostrar en el
Administrador del portal.
• Editar: seleccione una aplicacion y haga clic en este boton para cambiar su definicion.
• Copiar: seleccione una aplicacion y haga clic en este boton para crear una aplicacion nueva
que sea similar a una existente.
• Eliminar: seleccione una aplicacion y haga clic en este boton para eliminarla de la lista de
aplicaciones disponibles.
Para definir que aplicacion se va a utilizar en el Administrador del portal
1. Haga clic en el boton Nuevo o Editar de la pagina Aplicaciones.

2. Escriba el nombre de aplicacion que desea que aparezca en el Administrador del portal.
3. Introduzca una informacion sobre herramientas para anadir ayuda adicional.
4. Escriba la ruta de acceso a la aplicacion.I
5. Para las aplicaciones ejecutables, en el cuadro Parametros, especifique que parametros se
van a ejecutar cuando se inicien.
6. Para las aplicaciones WPF DLL, se puede especificar el nombre de clase en el cuadro
Nombre de clase.
7. Haga clic en Examinar para seleccionar el icono de la aplicacion. La seleccion aparece en el
cuadro Imagen.
Acerca de la pagina de Personalizacion de marcas
Use esta pagina para personalizar la apariencia de la ventana del Administrador del portal.
887
• Tftulo de la aplicacion: el nombre que aparece en la barra de tftulo. Haga clic en Elegir color
del titulo para seleccionar el color del tftulo y el nombre de usuario que aparecen en la
ventana del Administrador del portal.
• Elegir el icono de la barra de tareas: haga clic aqm para seleccionar el icono de la barra de
tareas. Elija un archivo .ICO.
• Elegir el logotipo corporativo: haga clic para seleccionar la imagen que va a aparecer en la
esquina superior izquierda de la ventana. El tamano preferido es de 135 x 52 pfxeles o
inferior.
• Elegir imagen de fondo: haga clic para seleccionar la imagen que va a aparecer como fondo
de la ventana.
• Vista preliminar de personalizacion de marca: haga clic para ver las opciones de
personalizacion de marca en una ventana vada.
Configuracion del agente: Administracion de energla
Herramientas > Seguridad y cumplimiento > Configuracion del agente > Administracion de eneâ >
Ajustes de administracion de eneâ
La administracion de energfa utiliza una gestion basada en polfticas para enviar instrucciones de
espera, hibernacion, apagado y encendido a los equipos administrados. Las polfticas de
administracion de energfa le permiten controlar equipos y grupos de equipos especficos.
Para especificar los ajustes de una nueva politica de administracion de energfa
1. En la ventana Configuracion del agente, haga clic en Administracion de eneiâ para

expandirla. Haga clic con el boton derecho sober Ajustes de administracion de eneâ y haga
clic en Nuevo...
2. Escriba un nombre y una descripcion para la politica.
3. Agregue al menos un esquema de energfa a la politica. Seleccione las opciones en las seis
listas
(Acciones, Dispositivos, Activadores de inactividad, Origen, Dfa y Hora)y luego haga clicen
Agregar esquema de enerâ.
Puede agregar varios esquemas de energfa, segun sea necesario. Para eliminar un esquema
de energfa de una politica, haga clic en el boton Eliminar (^) junto al esquema.
4. Ampliar Opciones en la columna de la izquierda. Seleccione los valores en las seis paginas
de opciones.
5. Cuando todas las opciones esten definidas, haga clic en Guardar.
Acerca de la pagina Configuracion de energfa

• Accion: seleccione la accion a realizar en el equipo administrado, es decir, hibernar, en
espera, encender, apagar o en alerta.
• Dispositivo: seleccione el dispositivo sobre el cual desea realizar la accion (por ejemplo,
equipo).
888
GUÍA DE USUARIO
• Activador de inactividad: seleccione el lapso que debe transcurrir antes de que se ejecute la
accion (desde 1 minuto hasta 5 horas, o nunca). Nota: si selecciona Apagar en la lista de
Acciones, el tftulo de esta lista cambiara de Activador de inactividad a Tipo de apagado
(ffsico o por software).
• Origen: seleccione la fuente de energfa que utiliza el dispositivo (conexion, batena, ninguna).
• Dâ: seleccione el dâ o dfas de la semana para la ejecucion de la accion.
• Hora: seleccione la hora u horas del dfa para la ejecucion de la accion.
Acerca de la pagina Opciones

• Opciones: Desactivar el protector de pantalla, Habilitar la activacion local, Retrasar el
apagado y Monitorizar.
• Activador por procesos: habilite esta opcion para retrasar la polftica de energfa si se detecta
alguno de los procesos enumerados. La polftica continuara si no se detecta ninguna polftica
despues de la cantidad de minutos especificados. Para agregar procesos a esta lista, utilice
boton la Lista de activadores sensibles al proceso de la barra de herramientas.
• Monitor de utilization: habilite esta opcion para hacer cumplir la polftica de energfa si se
cumplen las condiciones especificadas en el dialogo. Las condiciones que se pueden
especificar son Utilizacion de CPU y Trafico de Red. Si una o ambas alcanzan algun
porcentaje espedfico menor que el maximo, la polftica de energfa se hara cumplir.
• Terminar proceso: habilite esta opcion para terminar los procesos de la lista durante el
proceso de apagado. Para agregar procesos a esta lista, utilice boton la Lista de procesos a
finalizar de la barra de herramientas.
• Botones de encendido: active esta opcion para configurar las acciones que se realizaran
cuando un usuario pulse los botones de encendido de un dispositivo administrado.
Seleccione que accion se va a realizar con cada tipo de boton cuando el equipo este
enchufado o con batena. Para cada situacion, las acciones que se pueden elegir son No
hacer nada, Suspension, Hibernar o Apagar.
• Lfmite de CPU: active esta opcion para configurar el lmite de CPU (limitando los niveles de
potencia de la CPU) de una polftica de energfa desplegada. Seleccione un nivel de
rendimiento cuando el equipo este enchufado o con batena. Las opciones de rendimiento
son Alto (mmimo 100, maximo 100), Adaptable (mmimo 5, maximo 100), Bajo (mmimo 5,
maximo 50) o Mas bajo (mmimo 5 maximo 33).
Uso de la accion de Encendido con Wake on LAN
La administracion de energfa utiliza la tecnologfa de activacion de Wake on LAN (WOL) o de Intel

vPro para encender en forma remota un equipo a fin de ejecutartareas programadas. Para que la
administracion de energfa pueda utilizar WOL, los equipos administrados deben contar con
adaptadores de red configurados correctamentey compatibles con WOL.
La Administracion de eneâ no puede configurar la funcion de WOL de los adaptadores de red. Si en
el adaptador de red de un equipo no esta habilitada esta funcion, se producira un error en la poiftica
de administracion de energfa de ese equipo, que incluye una accion de "encendido" en su esquema
de energfa. La Administracion de eneâ no incluye una opcion para monitorizar si la funcion del
889
adaptador WOL esta habilitado.
Uso de la Hibernacion en Windows 2000 y Windows XP SP2

La administracion de energfa no puede habilitar en forma automatica la funcion de hibernacion en
equipos con Windows 2000y Windows XP SP2. Los usuarios de equipos administrados deben
habilitar la funcion de hibernar en forma manual a traves del Panel de control.
1. En el Panel de control, haga doble clic en Opciones de energia.

2. En el cuadro de dialogo de Propiedades de opciones de eneâ, haga clic en la pestana
Hibernar.
3. Marque la casilla de verificacion Habilitar hibernacion y haga clic en Aceptar.
Configuracion del agente: Control remoto

Herramientas > Configuracion > Configuracion del agente > Control remoto
Utilice el dialogo de Ajustes de control remoto para especificary guardar una recopilacion de ajustes
de control remoto.

El cuadro de dialogo Ajustes del control remoto de la pagina Ajustes generales contiene las
siguientes opciones:
• Permitir acceso de HTML: le permite al agente de control remoto recibir solicitudes HTML de
control remoto. Para obtener mas informacion, consulte "Control remoto de HTML" (290).
• Permitir el acceso del control remoto heredado: permite que el agente de control remoto
reciba solicitudes de control remoto heredado desde la aplicacion del visor de control
remoto de Windows. Para obtener mas informacion, consulte "Uso del visor de control
remoto" (277).
Hay dos conjuntos de permisos de control remoto que pueden concederse. Uno afecta solo a la
aplicacion/agente del visor de control remoto de Windows. El otro afecta tanto al visor/agente de
control remoto de Windows como al visor/agente HTML de control remoto.
Permisos heredados
• Control remoto: otorga permiso para controlar el dispositivo.
• Dibujar: otorga permiso para utilizar las herramientas de dibujo de la ventana del visor en el
dispositivo.
• Chat: otorga permiso para hablar con el dispositivo.
• Ejecutar programas en dispositivo remoto: otorga permiso para ejecutar programas en el
dispositivo.
• Ejecutar como administrador: inicia los programas con permisos de administrador.
Permisos heredados y HTML
• Solo vista de control remoto: Las sesiones de control remoto solo pueden verse. El visor de
control remoto solo puede ver el equipo remoto y no puede tomar el control.
890
GUÍA DE USUARIO
• Reiniciar: el visor de control remoto puede arrancar de nuevo el equipo remoto.

• Transferencia de archivos: el visor de control remoto puede intercambiar archivos con el
equipo remoto.
Acerca de la pagina Configuracion del indicador
El cuadro de dialogo Ajustes del control remoto de la pagina Configuracion del indicador contiene
las siguientes opciones:
• Icono flotante en el escritorio: muestra el icono del agente de control remoto en la pantalla
del dispositivo siempre o solo cuando se lo controla de forma remota. Cuando el control lo
ejerce la consola, el icono cambia para mostrar una lupa y la barra de tftulo cambia a color
rojo.
• Icono en la bandeja del sistema: coloca el icono del agente de control remoto en la bandeja
del sistema. Una vez mas, el icono se puede ver siempre o solo mientras se lleva a cabo el
control remoto.
Acerca de la pagina Configuracion de permisos
El cuadro de dialogo Ajustes del control remoto de la pagina Configuracion de permisos contiene
• No hacen falta permisos, acceso total

• El usuario final debe dar permisoy debe haber iniciado sesion
• El usuario final debe dar permiso, pero solo si ha iniciado sesion
• El usuario final debe dar permiso
• Mostrar un mensaje personalizado:
le presenta al usuario un mensaje personalizado creado aqrn para solicitar permiso para
efectuar alguna de las siguientes opciones:
• Control remoto
• Conversacion
• Ejecucion remota
• Transferencia de archivos
• Reiniciar
• Todos los permisos
• Solicita permiso para usar todas las funciones a la vez
• Cerrar cuadro de mensajes de permiso despues de: permite que el usuario le acepte o niegue
el permiso (en segundos) al dispositivo administrado. Este es un valor de tiempo
configurable con relacion a cuanto tiempo permanece abierta la ventana de permisos cuando
se solicita permiso para controlar remotamente un dispositivo administrado.
891
Acerca de la pagina Configuracion de seguridad
Al implementar el control remoto, es necesario considerar que modelo de seguridad se desea

utilizar.
Dispone de las siguientes opciones:
• Plantilla local: constituye el nivel de seguridad mas basico, el cual utiliza las configuraciones
de control remoto especificadas en el dispositivo. Este modelo no precisa ninguna otra
autenticacion o pertenencia a un grupo.
• Seguridad de Windows NT/plantilla local: solo permite que los miembros del grupo de
operadores de control remoto inicien conexiones de control remoto en los dispositivos
remotos desde la consola. Los usuarios autorizados de todos modos deben utilizar los
permisos establecidos en la pagina Configuracion de permisos de este cuadro de dialogo.
Puesto que el Grupo de operadores de control remoto es un grupo local, cada dispositivo
dispone de su propia copia del grupo. Para evitar la administracion del grupo de operadores
de control remoto de cada dispositivo de forma individual, incluya grupos globales (nivel de
dominio) con cada grupo local. Los usuarios con permisos todavfa utilizan las opciones de
control remoto del dispositivo, tales como el permiso requerido.
• Seguridad integrada: esta es la opcion mas segura y es la predeterminada. La seguridad
integrada se describe en la siguiente seccion.
Acerca de la Seguridad integrada
La seguridad integrada es el nuevo modelo de seguridad predeterminado. A continuacion se incluye

un esquema del flujo de comunicacion de control remoto de la seguridad integrada:
1. El visor del control remoto se conecta con el agente de control remoto del dispositivo
administrado. Sin embargo, el agente responde que la seguridad integrada debe estar
autentificada.
2. El visor le pide derechos de control remoto al servidor central.
3. El servidor central calcula los derechos de control remoto segun el ambito del visor, los
derechos administrativos basados en funciones y los derechos de Active Directory. Luego, el
servidor central crea un documento firmado seguro que envfa al visor.
4. El visor envfa este documento a un agente de control remoto del dispositivo administrado,
que comprueba el documento firmado. Si todo es correcto, el agente le permite al control
remoto comenzar a funcionar.
WARNING: La seguridad integrada necesita el servidor central

Con el control remoto de seguridad integrado, si el servidor central no se encuentra disponible, las consolas no
podran controlar de forma remota los dispositivos. El control remoto de la seguridad integrada necesita al
servidor central para funcionar.
892
GUÍA DE USUARIO
Si selecciona Seguridad de Windows NT/Plantilla local como modelo de seguridad, los cuadros
Grupo de operadores de control remoto y Grupo de solo ver incluyen los usuarios para la consola o
para el dominio de Windows NT seleccionado. Los usuarios que se seleccionen aqm tendran acceso
de control remoto a los dispositivos que reciben la configuracion definida en este archivo de
valores de configuracion. Los usuarios del Grupo de solo ver solamente pueden ver los dispositivos
remotos. No pueden tomar control del raton o del teclado.
Al agregar usuarios a uno de los grupos de control remoto, la consola utiliza las credenciales de
Windows del usuario que ha iniciado la sesion y no las credenciales del usuario de la consola de
IVANTI, para hacer una lista de los usuarios de un dominio. Si el cuadro Lista de usuarios de no
muestra el dominio que desea, inicie una sesion en Windows como usuario con derechos en ese
dominio.
Para realizar la seleccion en un servidor o dominio existente
1. En la pagina Control remoto, haga clic en Seguridad y plantilla local de Windows NT y luego
en el boton Agregar.
2. En el cuadro Enumerar usuarios de, seleccione el nombre del servidor central o un nombre
de dominio de Windows NT que contenga cuentas de usuario.
3. En la lista de usuarios, seleccione uno o varios usuarios y haga clic en Insertar para
agregarlos a la lista Nombres insertados.
4. Seleccione Aceptar para agregar los nombres seleccionados al grupo de operadores de
control remoto en cada dispositivo que reciba estos valores de configuracion.
5. Si desea que algunos de estos usuarios pertenezcan al Grupo de solo ver, seleccionelos y
muevalos. Los usuarios solamente pueden pertenecer a un grupo.
Para introducir nombres de forma manual
Para escribir nombres de forma manual, haga clic en la lista Nombres insertados y utilice cualquiera
de los siguientes formatos para escribirlos. Utilice puntos y comas para separar los nombres.
• DOMINIO\nombredeusuario; DOMINIO es el nombre de cualquier dominio al que puede
acceder el dispositivo de destino.
• MAQUINA\nombredeusuario; MAQUINA es el nombre de cualquier dispositivo en el mismo
dominio que el dispositivo de destino.
• DOMINIO\nombredegrupo; DOMINIO es el nombre de cualquier dominio al que puede acceder
el dispositivo de destino y nombredegrupo es el nombre de un grupo de administracion de
dicho dominio.
• MAQUINA\nombredegrupo; MAQUINA es el nombre de cualquier dispositivo en el mismo
dominio que el nodo administrado y nombredegrupo es el nombre del grupo de
administracion en dicho dispositivo.
Si no especifica ningun nombre de dispositivo o dominio, se asume que el usuario o grupo
especificado pertenece al dispositivo local.
Haga clic en Aceptar para agregar los nombres al grupo de usuarios de operadores de control
893
remoto en el dispositivo de destino.
Acerca de la pagina Configuracion de la sesion
El cuadro de dialogo Ajustes del control remoto de la pagina Configuracion de seguridad contiene
• Bloquear el equipo controlado remotamente al terminar la sesion: coloca el dispositivo

administrado en modo seguro independientemente de si el usuario inicio sesion o no.
• Terminar el acceso remoto si el usuario cierra sesion o bloquea el equipo: finaliza el acceso
remoto si el usuario cierra sesion o bloquea el equipo.
• Permitir que el usuario final termine la sesion: si se selecciona esta opcion, los usuarios que
se controlan en remoto pueden utilizar el icono flotante del control remoto o el icono de la
bandeja del sistema para detener las sesiones de control remoto. Si no se selecciona esta
opcion, los usuarios no podran detener las sesiones activas.
• Cerrar sesion inactiva despues de: si no se transmite actividad del raton o del teclado
mediante el visor de control remoto durante el tiempo de espera, la sesion termina.
Configuracion del agente: Inquilino
Utilice el dialogo de Inquilino para administrar las configuraciones de inquilino. Para obtener mas
informacion, consulte "Informacion general sobre la Administracion de inquilinos" (1149).
Este cuadro de dialogo contiene las siguientes opciones:
• Asignar un inquilino a esta configuracion:
• Inquilinos disponibles
• Elegir un inquilino:
Configuracion del agente: Servidor de seguridad de Windows
Herramientas > Seguridad y cumplimiento > Seguridad > Windows Firewall
Para obtener informacion acerca de estas paginas del cuadro de dialogo, consulte "Configurar las
opciones de Windows Firewall" (739).
Configuracion del agente: Listas de archivos de confianza
Herramientas > Seguridad y cumplimiento > Seguridad > Seguridad de punto final > Listas de
archivos de confianza
Acerca del cuadro de dialogo Lista archivos de confianza
Utilice este cuadro de dialogo para administrar la lista de archivos de confianza. Las listas de
archivos de confianza contienen archivos que se han configurado con un conjunto espedfico de
derechos (privilegios o autorizaciones) que permiten y niegan ciertas acciones que pueden ser
realizadas sobre ese archivopor alguna aplicacion.
894
GUÍA DE USUARIO
• Nombre: identifica la lista de archivos de confianza con un nombre unico. Puede utilizar la
funcion Buscar para ubicar elementos que contengan palabras o frases espedficas en una
lista. La lista resultante muestra solo los elementos que coinciden con los criterios de
busqueda.
• Agregar: Abre un cuadro de dialogo de exploracion de archivos donde se puede navegary
seleccionar el archivo que se desee configurar con las certificaciones de archivos.
• Editar: Permite modificar las certificaciones del archivo seleccionado.
• Eliminar: Elimina el archivo seleccionado y sus certificaciones.
• Mover: Abre un cuadro de dialogo que le permite seleccionar uno o mas archivos de
confianza y luego moverlos o copiarlos a otra lista.
• Establecer como predeterminado: Asigna esta lista como la lista de archivos de confianza
predeterminada de las tareas que utilizan esta configuracion de HIPS (o Firewall).
• id: identifica esta lista en particular. Esta informacion se almacena en la base de datos y se
utiliza para llevar un control de cada lista.
Acerca del cuadro de dialogo Archivos de confianza
Utilice este cuadro de dialogo para configurar los derechos de HIPS o IVANTI Firewall de un archivo
de aplicacion especfico.
• Nombre de archivo: Identifica la aplicacion a la que se estan asignando las certificaciones.

• Ruta completa: Especifica la ubicacion del archivo.
• Tamano de archivo: Especifica el tamano (en KB) del archivo.
• Fecha del archivo: Indica la fecha y hora de creacion del archivo.
• Version: Indica el numero de version del archivo, si esta disponible.
• Certificado: Indica la fecha y hora en que se crearon o se modificaron por ultima vez las
certificaciones del archivo.
• Hash de MD5: Muestra el hash de MD5 del archivo. El archivo hash se utiliza para garantizar
la integridad del archivo.
• Descripcion: Proporciona un cuadro de texto para escribir una descripcion del archivo.
• Omitir toda la proteccion: Permite todos los privilegios del archivo de aplicacion. El archivo
no emplea ningun tipo de filtro o supervision.
• Omitir la proteccion contra desbordamientos de bufer: Le permite omitir la proteccion contra
desbordamientos de bufer. Deseara utilizar esta opcion para archivos (procesos) que tienen
certificacion yen los que conffa.
895
• Seguridad del sistema

• Modificar archivos ejecutables: Otorga a la aplicacion el derecho para modificar otros
archivos ejecutables.
• Modificar archivos protegidos: Otorga a la aplicacion el derecho para modificar
archivos protegidos. Puede generar una lista de los archivos protegidos, tales como
los agentes de dispositivos de IVANTI Endpoint Manager.
• Modificar claves de registro protegidas: Otorga a la aplicacion el derecho para
modificar claves de registro protegidas. Las claves protegidas previenen las
infecciones por programas daninos.
• Seguridad de red
• Enviar mensajes de correo electronico: Permite que la aplicacion envfe mensajes de
correo electronico. (NOTA: HIPS reconoce las aplicaciones de cliente de correo
electronico estandar y las certifica de forma automatica para que puedan enviar
mensajes de correo electronico.)
• Archivos en disco
• Agregar al inicio del sistema: Otorga a la aplicacion el derecho para agregar archivos
al inicio del sistema.
• Permitir ejecucion: Permite que la aplicacion (proceso) se ejecute en el dispositivo.
Los archivos certificados tienen habilitada automaticamente la opcion permitir
ejecucion. Ademas, si el certificado de un archivo proporciona derechos parciales,
entonces se habilita automaticamente la opcion permitir ejecucion.
• Reglas de seguridad avanzadas
• Proteger la aplicacion en la memoria: Impone la proteccion en la aplicacion cuando se
ejecuta en la memoria. La aplicacion tiene proteccion contra terminaciones o
modificaciones.
• Heredar a procesos secundarios: Asigna las mismas certificaciones de archivos
(derechos) a cualquier proceso subordinado que sea ejecutado por esta aplicacion.
Por ejemplo, se puede utilizar con un ejecutable de configuracion o instalacion para
que pase los mismos derechos a los procesos subsiguientes que ejecute el programa
de configuracion.
• Instalador autorizado: Indica que la aplicacion puede realizar la instalacion o
implementacion del software. Este es el caso de la herramienta de distribucion de
software de IVANTI Endpoint Manager, ytambien se puede aplicar a otras aplicaciones
de distribucion de software.
• Opciones de aprendizaje
• Bloquear archivos de confianza (los derechos de archivo no se actualizaran a traves
del modo de aprendizaje):
• Hacer coincidir esta entrada con base en el nombre de archivo unicamente:
• Aceptar: Guarda las certificaciones del archivo y lo agrega a la lista de archivos certificados
en el cuadro de dialogo Configuracion de HIPS principal.
• Cancelar: Cierra el cuadro de dialogo sin guardar las certificaciones de archivo.
896
GUÍA DE USUARIO
Temas relacionados
Informacion general sobre la configuracion del agente

La configuracion del agente controla la manera en que los servicios de IVANTI Endpoint Managery
otros componentes actuan sobre los dispositivos administrados. Estos componentes y las
configuraciones asociadas se pueden desplegar en los dispositivos administrados como parte de la
configuracion de agente inicial, de tareas de instalacion y actualizacion separadas y de tareas de
Si se instala un componente en un dispositivo administrado, los cambios que se realicen a la

configuracion de ese componente no requieren que se vuelva a desplegar todo el agente. La
configuracion se guarda como un archivo XMLy el dispositivo administrado solo necesita un
archivo XML actualizado para volver a configurar la manera de operar del componente instalado.
Los cambios que se llevan a cabo en un componente se propagan automaticamente en todos los
dispositivos que tengan esa configuracion instalada.
Utilice la configuracion del agente para desplegar por primera vez o modificar los componentes
instalados de Endpoint Manager. Utilice la configuracion del agente para modificar el
funcionamiento de los componentes instalados de Endpoint Manager.
897
898
GUÍA DE USUARIO
Security activity
Informacion general sobre Actividad de seguridad
La nueva herramienta de Actividad de seguridad proporciona una conveniente ventana individual en
la cual puede ver el estadoy la informacion de actividad de varios servicios de IVANTI Security Suite
que se ejecutan en los dispositivos administrados.
Actividad de seguridad le permite ver el estado y la informacion de actividad de:
. IVANTI Antivirus
• Prevencion de Intrusion de Host (HIPS)
. IVANTI Firewall
• Control de dispositivos
Tambien puede ver las siguientes tareas:
• Configurar las opciones del umbral de actividad de seguridad

• Purgar informacion de actividad de seguridad
Ver el estado y la actividad de seguridad
La herramienta de Actividad de seguridad le permite ver informacion sobre servicios de IVANTI

SecuritySuite.
Las herramientas de seguridad que se pueden ver se describen en las siguientes secciones.
Ver la Informacion de la actividad y el estado de IVANTI Antivirus
Si el rastreador de IVANTI Antivirus detecta alguna de las definiciones de virus seleccionadas en
899
los dispositivos de destino, esta informacion se transmite al servidor central. Puede utilizar
cualquiera de los siguientes metodos para ver la informacion de seguridad detectada tras la
ejecucion del rastreo.
Esta ventana muestra informacion de actividad y estado de antivirus segun las siguientes
categonas:
• Infecciones por equipo
• Infecciones por virus
• Infecciones en cuarentena por equipo
• Infecciones en cuarentena por virus
• Elementos de confianza por equipo
• Equipos que recientemente no han informado actividad de antivirus
• Actividad de antivirus reciente por equipo
• Actividad de antivirus reciente por virus
Ademas, haga clic con el boton derecho en el dispositivo rastreado, seleccione Informacion de
seguridad y revisiones, yen la lista desplegable Tipo seleccione Antivirus. Se puede ver:
• Actualizaciones de antivirus faltantes

• Nodetectado
• Actualizaciones del antivirus no rastreadas
• Actualizaciones de antivirus instaladas
• Limpiar/reparar historial
Acerca del cuadro de dialogo Informacion de actividad y estado de antivirus
Utilice este cuadro de dialogo para ver en detalle la informacion sobre la actividad y el estado del
antivirus en todos los dispositivos administrados que tengan el agente de IVANTI Antivirus. Los
datos de resultado de este rastreo se utilizan para generar informes de IVANTI Antivirus que se
encuentran disponibles en la herramienta Informes.
Para personalizar el ambito y el enfoque de los datos que se muestran, haga clic en Umbrales y
cambie los umbrales del penodo de tiempo de la actividad de antivirus reciente de los dispositivos
rastreados y de los que no se han rastreado recientemente.
En esta vista, tambien puede hacer clic con el boton derecho sobre un dispositivo yacceder a su
menu de acceso directo y desde alif realizar directamente las tareas disponibles.

• Actualizar: Actualiza los campos del cuadro de dialogo con la ultima informacion sobre el
rastreo de antivirus de la base de datos.
• Umbrales: Abre el cuadro de dialogo Configuracion de umbrales, donde puede definir la
duracion (en dâs) de la actividad de antivirus recienteydel rastreo de antivirus "no reciente".
Los umbrales determinan el penodo de tiempo en el que los resultados del rastreo de
antivirus se recopilan y muestran para las dos categonas de muestra espedficas del equipo.
900
GUÍA DE USUARIO
• Infecciones por equipo: Detalla en el panel derecho los dispositivos en los que se detectaron
infecciones de virus durante el ultimo rastreo del sistema. Seleccione un dispositivo para ver
los virus espedficos que lo infectaron.
• Infecciones por virus: Detalla en el panel derecho los virus que se detectaron en los
dispositivos administrados durante el ultimo rastreo del sistema. Seleccione una definicion
de virus para ver que dispositivos ha infectado.
• Equipos en los que no se han rastreado vulnerabilidades de antivirus recientemente:

Detalla todos los dispositivos que tienen el agente de IVANTI Antivirus yen los cuales no se
han buscado virus durante el penodo de tiempo especificado en el cuadro de dialogo
Configuracion de umbrales. Si desea ejecutar un rastreo de antivirus inmediatamente, haga
clic con el boton derecho sobre el dispositivo, haga clic en Rastreo de IVANTI Antivirus
ahora, seleccione una configuracion de antivirus y luego haga clic en Aceptar.
• Equipos con reciente actividad de antivirus: Detalla todos los dispositivos que tienen el
agente de IVANTI Antivirus y que se han rastreado y han devuelto actividad de antivirus
durante el penodo de tiempo especificado en el cuadro de dialogo Configuracion de
umbrales. Seleccione un dispositivo para ver sus actividades especficas de antivirus,
incluyendo deteccion de virus, eliminacion, cuarentena de objeto infectados, copia de
seguridad y restauracion.
Ver actividad de HIPS
Si HI PS detecta violaciones en sus reglas y en los derechos de certificacion, dicha informacion se

informa al servidor central. Puede usar los metodos siguientes para ver la actividad de HIPS
detectada.
Para obtener informacion acerca de la actividad de HI PS en la red, en la herramienta de Actividad

de seguridad, abra el grupo Prevencion de intrusion de host. La ventana muestra la actividad de
HIPS segun las siguientes categonas:
• Prevenciones por equipo

• Prevenciones por aplicacion
• Prevenciones por accion
Tambien puede ver la actividad de intrusion de host especfica en la parte inferior de la ventana,
donde se incluyen los detalles siguientes:
• Fecha de la accion
• Accion
• Descripcion
• Aplicacion
• Tamano de archivo
• Modo
901
• Hash de MD5
Acerca del cuadro de dialogo de Actividad HIPS
Utilice este cuadro de dialogo para ver en detalle la actividad de HIPS en todos los dispositivos
administrados que tengan el agente de IVANTI HIPS. Los datos se utilizan para generar informes de
IVANTI HIPS que se encuentran disponibles en la herramienta Informes.
Para personalizar el alcance y el enfoque de los datos que se visualizan, haga clic en Umbrales y
cambie el umbral de penodo detiempo para el almacenamiento de la informacion de actividad de
HIPS en la base de datos central, y para la cantidad de elementos que se visualizan en las listas de
la ventana de actividad de HIPS.
En esta vista, tambien puede hacer clic con el boton derecho sobre un dispositivo y acceder a su
menu de acceso directo y desde allf realizar directamente las tareas disponibles.

• Actualizar: Actualiza los campos del cuadro de dialogo con la ultima informacion sobre el
rastreo de antivirus de la base de datos.
• Umbrales: Abre el cuadro de dialogo Configuration de umbrales, donde puede definir la
duracion (en dfas) para el almacenamiento de los datos de HIPS en la base de datos central y
la cantidad de elementos a visualizar en las listas de actividad de HI PS.
• Purgar: Elimina de forma total y permanente los datos de actividad de HI PS tanto en la
ventana de visualizacion como en la base de datos central.
• Prevenciones por equipo: Enumera en el panel derecho los dispositivos en los cuales se
detectaron violaciones de HIPS. Seleccione un dispositivo para ver las violaciones
espedficas.
• Prevenciones por aplicacion: Enumera en el panel derecho las aplicaciones que se
detectaron en los dispositivos administrados. Seleccione una aplicacion para ver los
dispositivos donde se detecto la misma.
• Prevenciones por action: Enumera en el panel derecho las acciones que se realizaron en los
dispositivos administrados. Seleccione una accion para ver los dispositivos donde se realizo
la misma.
Ver la actividad de IVANTI Firewall

La ventana muestra la actividad de la Barrera de seguridad segun las siguientes categonas:
• Prevenciones por equipo

• Prevenciones por aplicacion
• Prevenciones por accion
Ver la actividad del Control de dispositivos
La ventana muestra la actividad de Control de dispositivos segun las siguientes categories:
• Dispositivos de almacenamiento bloqueados
• Dispositivos de CD/DVD bloqueados
902
GUÍA DE USUARIO
• Otros dispositivos bloqueados

• Archivos de copia de respaldo
Configurar las opciones del umbral de actividad de

seguridad
La informacion sobre las actividades de seguridad de los dispositivos administrados pueden
acumularse rapidamente y repercutir negativamente en el rendimiento de la base de datos central.
Utilice este cuadro de dialogo para definir periodos de tiempo de recoleccion de datos y controlar la
cantidad de datos relativos a la seguridad que se almacenan en la base de datos central de las
herramienta de IVANTI Antivirus, HIPS, Firewall. Esta informacion apareceen las vistas
correspondientes de Actividad de seguridad.
Acerca del cuadro de dialogo Configuracion del umbral

• Umbrales comunes:
• Umbral de las vistas de actividad reciente: especifica el periodo de tiempo (en dias)
para recopilar la actividad de seguridad en los dispositivos que se han rastreado y han
regresado la actividad de antivirus.
• Al visualizar los resultados, truncar las listas en: indica la cantidad maxima de
entradas que se deben visualizar en las listas de dialogos de actividad. Puede
especificar de 1 a 999,999 elementos.
• IVANTI Antivirus:
• Archivos de patrones caducados si son mayores de:
• Umbral de la advertencia de caducidad de la licencia:
• Umbral de no rastreado recientemente: especifica el periodo de tiempo (en dias) para
recopilar informacion de dispositivos en todos los dispositivos configurados con
antivirus que no se han rastreados.
• Purga automatica (HIPS / Barrera de seguridad de IVANTI solamente):
• Eliminar automaticamente la actividad de mas de: Indica la cantidad maxima de dias
que se debe conservar la actividad de HIPS y IVANTI Firewall de los dispositivos
protegidos en la base de datos central. Puede especificar de 1 a 999 dias.
(IMPORTANTE: IVANTI recomienda vigilar cuidadosamente la cantidad de datos que
se envian al servidor central para determinar la cantidad optima de dias a fin de que
los datos de HIPS no utilicen demasiado espacio ni alteren el rendimiento de la base
de datos central.)
Purgar la actividad de seguridad
De vez en cuando, puede necesitar purgar informacion de actividad de seguridad de los diferentes
componentes de seguridad. Puede hacer esto con el boton Purgar actividad de la barra de
herramientas de Actividad de seguridad.
903
Purgar la actividad de seguridad es una tarea unica, no es una tarea programada o poiftica.
Acerca del cuadro de dialogo Purgar actividad de seguridad
Utilice este cuadro de dialogo para eliminar completamente los registros de actividad de la consola
y base de datos principal.
• Seleccionar tipos de actividad: especifica que informacion de actividad de componente de

seguridad desea purgar.
• Seleccionar equipos... especifica que actividad de seguridad de los dispositivos
administrados se purga. (Nota: Debe ser un usuario administrador para realizar esta tarea.)
• Seleccionar intervalo de fechas: especifica la fecha mas temprana en la cual se purga la
actividad de seguridad. O, simplemente puede purgartoda la informacion de actividad
existente con la opcion Todos los registros.
• Purgar: elimina completamente los registros de actividad de las actividades de seguridad

que haya seleccionado.
904
GUÍA DE USUARIO
Configurar alertas de seguridad

Puede configurar alertas de relacionado con la seguridad para recibir una notificacion si se detectan
eventos espedficos en los dispositivos administrados del sistema. Security Antivirus utiliza la
herramienta de alertas estandar de IVANTI.
El dialogo de configuracion de alertas contiene opciones tanto para alertas de vulnerabilidades

como para alertas de antivirus.
Alertas de antivirus
La configuracion de las alertas de Antivirus se encuentra en la pestana Antivirus del cuadro de

dialogo Configuracion de alertas.
Primero debe configurar las alertas de antivirus en la herramienta Configuracion de alertas de la

consola. Las alertas de antivirus incluyen:
• Error en la accion activada por alerta

• Accion correcta activada por alerta
• Alerta de brotes de virus (por virus)
Los siguientes eventos de antivirus pueden generar alertas de antivirus:
• Error al eliminar virus

• Correcta eliminacion del virus
• Error al poner en cuarentena
• Cuarentena correcta
• Error al eliminar
• Eliminacion correcta
Seleccione las alertas que desea que se generen. La opcion del intervalo de tiempo le permite evitar
recibir demasiadas alertas. Mas de una alerta (para cualquier activacion de antivirus) durante el
intervalo de tiempo especificado se ignora.
Puede visualizar el historial completo de alertas de antivirus de un dispositivo en el cuadro de

dialogo Informacion de Seguridad yrevisiones. Haga clic con el boton derecho en un dispositivo,
seleccione Informacion de seguridad yrevisiones, seleccione el tipo de antivirus en la lista Tipoy
luego seleccione el objeto Historial de antivirus.
Alertas de vulnerabilidades
Para obtener informacion sobre las alertas de vulnerabilidades, consulte "Configurar las alertas de
Parches ycumplimiento" (680).
905
Endpoint security
Informacion general sobre Endpoint Security
La nueva herramienta de Endpoint Security es un conjunto de funciones y configuraciones
complementarias que le permiten configurar e implementar una solida seguridad del sistema en los
dispositivos administrados en la red. Puede restringir las conexiones a la red de los dispositivos
administrados, restringir el acceso a estos equipos por otros tipos de dispositivos y utilizar las
herramientas de Host Intrusion Prevention (HIPS) y IVANTI Firewall para evitar operaciones de
aplicaciones no autorizadas.
Endpoint Security proporciona una defensa impenetrable en todos los dispositivos protegidos dentro
de su red de IVANTIy el penmetro de esta, asf como a los usuarios moviles, con lo cual se brinda un
control completo sobre el acceso a estos dispositivos y desde ellos, y lo que se permite que suceda
en ellos. Puede definir ubicaciones de confianza (conexiones de red) en los dispositivos
administrados, crear configuraciones para cada uno de los componentes de Endpoint Security
mencionados, y utilizar las configuraciones en funcion de si el dispositivo esta dentro de la ubicacion
de red de confianza o fuera de ella.
Componentes de la Seguridad de punto final

Los componentes de Seguridad de punto final son los siguientes:
• Reconocimiento de ubicacion: brinda control de conexion de red con reconocimiento de

ubicacion yfunciones de ubicacion de confianza. Para obtener mas informacion, consulte
"Ayuda de Endpoint Security" (901).
• Control de aplicaciones: evita intrusiones no autorizadas. Para obtener informacion, consulte
"Control de aplicaciones" (903).
• IVANTI Firewall: evita las operaciones de aplicaciones y conexiones no autorizada. Para
obtener informacion, consulte "Configuracion del agente: IVANTI Firewall" (842).
• Control de dispositivos: restringe el acceso en los volumenes de almacenamiento,
dispositivos, interfaces, etc. Para obtener informacion, consulte la "Control de dispositivos"
(920).
• Lista blanca y la lista de archivos de confianza: Proporciona listas de archivos configurados
con un conjunto espedfico de derechos (privilegios o autorizaciones) que permiten y niegan
ciertas acciones que pueden ser realizadas sobre ese archivopor alguna aplicacion
Aunque Endpoint Security es un agente unico y consolidado que se despliega en dispositivos de

destino, se puede configurar totalmente y le proporciona servicios a varios componentes de
seguridad. Puede configurar estos componentes independientemente o en despliegues combinados.
Por ejemplo, puede implementar el control de aplicaciones solo o con control de dispositivos (a traves
de sus respectivos ajustes), o cualquier otra combinacion de componentes de seguridad.
906
GUÍA DE USUARIO
Habilitary desplegar Endpoint Security

Endpoint Security se habilita en los dispositivos administrados a traves del despliegue de una
configuracion de seguridad de terminales.
Endpoint Security se puede habilitar en dispositivos administrados a traves de la configuracion

de agente inicial. Tambien puede usar una tarea de cambiar configuracion para instalar o
actualizar la configuracion de Endpoint Security en dispositivos de destino.
Crear configuracion de Endpoint Security

Para crear una configuracion de Endpoint Security
1. Haga clic en Herramientas > Configuracion > Configuracion del agente. En la ventana de
herramientas Configuracion del agente, haga clic con el boton derecho en Endpoint Securityy
luego haga clic en Nueva.
2. En la pagina Configuracion general, escriba un nombre para la configuracion y luego

especifique los requisitos y las acciones generales. Para obtener informacion sobre una
opcion, haga clic en Ayuda.
3. En la pagina Firmas digitales, configure como se van a tratar las aplicaciones firmadas.
907
4. En la pagina Polfticas predeterminadas, seleccione que componentes de Endpoint Security

desea desplegar en los dispositivos de destino mediante la configuracion de Seguridad de
terminales.
5. En la pagina Polfticas de ubicacion, configure las polfticas conscientes de la ubicacion que
desee utilizar.
6. En la pagina Carpetas de confianza, indique las carpetas en cuyo contenido desee confiar
automaticamente.
Lo que sucede en los dispositivos con Endpoint Security

Esta seccion describe la forma en que el cliente de Seguridad de punto final aparece en los
dispositivos administrados, lo que sucede en los dispositivos de usuario final cuando ellos estan
protegidos por Seguridad de punto final y las acciones que los usuarios finales pueden realizar
cuando se detecta una violacion de seguridad.
Interfaz de usuario cliente
Una vez que Seguridad de punto final se haya implementado en los dispositivos administrados, se
puede tener acceso al clienteya sea a traves del menu Inicio o del icono de la bandeja del sistema.
IMPORTANT: Proteccion de contrasena de administrador

Si el administrador ha habilitado la opcion de proteccion de contrasena en la configuracion de Seguridad de punto
final, debe escribirse la contrasena correcta a fin de tener acceso y utilizar ciertas funciones del cliente.
Acciones del usuario final
El cliente se muestra en una ventana que incluye los siguientes elementos:
• Ver el estado de proteccion de los componentes de Endpoint Security (vista de inicio)

• Ver la actividad del programa (vista de informes, Actividad del programa)
• Ver las aplicaciones de inicio (vista de informes, Aplicaciones de inicio)
• Ver la lista de archivos de confianza de IVANTI (vista de informes, Lista de archivos de
confianza)
• Ver el registro de actividad detallada de Endpoint Security del equipo (vista de informes,
Actividad detallada)
• Solicitar que el IVANTI administrador genere una excepcion para un archivo bloqueado (vista
de informes, Actividad detallada, haga clic sobre la notificacion del archivo bloqueado y haga
clic en Solicitar excepcion)
908
GUÍA DE USUARIO
Notificaciones del administrador en la actividad de Endpoint Security
Utilice la seccion Control de aplicacion de las herramientas de actividad de seguridad (Herramientas >
Seguridad y cumplimiento > Actividad de seguridad) para ver las notificaciones de Endpoint Security.
Si existen acciones de endpoint security que necesiten su atencion, tambien vera una notificacion
cuando inicie sesion en la Endpoint Manager consola.
Ayuda de Endpoint Security

Utilice este cuadro de dialogo (Herramientas > Configuracion > Configuracion de agente > Endpoint
Security) para creary modificar los ajustes de Endpoint Security.
• "Acercade Seguridad de punto final: Pagina de configuracion general"(901)

• "Acercade Seguridad de punto final: Pagina de Firmas digitales" (902)
• "Acercade Seguridad de punto final: Polftica predeterminada" (902)
• "Acercade Seguridad de punto final: Pagina de Carpetas de confianza"(903)
• "Acerca de Endpoint Security: Pagina Carpetas monitorizadas" (903)
Acerca de Seguridad de punto final: Pagina de configuracion general
Use esta pagina para configurar el reconocimiento de ubicacion (red de confianza) y otras
configuraciones de acceso.

• Administrador: especifica la contrasena yopciones del administrador.
• Utilizar una contrasena para el administrador: especifica la contrasena requerida en los
dispositivos que se configuraron con los valores de Seguridad de punto final para
realizar ciertas acciones en el dispositivo protegido.
• Permitir que Windows Service Control Manager detenga el servicio de Seguridad de

punto final: Permite que el usuario detenga el servicio de Seguridad de punto final del
cliente.
909
• Interfaz de cliente: especifica como se muestra el cliente de Endpoint Security en los

• Mostrar icono en el area de notificaciones de la barra de tareas: muestra el icono del
area de notificacion en la interfaz del cliente.
• Mostrar globos de sugerencias de infracciones: muestra un mensaje en el dispositivo
de usuario final si se efectua una operacion bloqueada.
• Mostrar el acceso directo del menu Inicio en el grupo de IVANTI Management:
muestra un icono del programas del cliente de Endpoint Security en el menu Inicio
(haga clicen Inicio > Programas > IVANTI Management)
• Teclas de acceso rapido global: especifica las teclas de acceso directo que se utilizan para
iniciar determinadas funciones de Seguridad de punto final.
• Tecla de acceso directo para omitir Device Control: permite definir una secuencia de
teclas que le permite a los administradores de sistemas tener acceso temporal a un
dispositivo bloqueado. Las teclas de acceso predeterminadas son Ctrl+Shift + F1. Para
introducir la secuencia de teclas deseada, coloque el cursor en el cuadro de texto y
luego pulse (y mantenga) las teclas en el orden que desee.
Acerca de Seguridad de punto final: Pagina de Firmas digitales
Utilice esta pagina para ver y administrar las aplicaciones y proveedores con firma digital de
confianza.
• No confiar en las aplicaciones con firma digital: No confiar automaticamente en las
aplicaciones con firma digital. Deshabilita el resto de las opciones del cuadro de dialogo.
• Confiar en todas las aplicaciones con firma digital: Confiar automaticamente en las
aplicaciones con firma digital. Tenga cuidado cuando utilice esta opcion. Aunque las firmas
digitales implican cierto nivel de credibilidad, no garantiza que una aplicacion deba estar en
su entorno.
• Confiar en las aplicaciones con firma digital de estos proveedores: Confiar solo en las
aplicaciones con firma digital de los proveedores que indique. En la lista de Proveedores de
confianza aparece una lista basica de proveedores acreditados predeterminados. Puede
utilizar los botones que aparecen bajo la lista para modificarla.
• Proveedores detectados: proveedores localizados mediante el analisis de software del
inventario en dispositivos administrados.
• Proveedores de confianza: Nombres de proveedores de confianza. Utilice asteriscos para
asegurarse de que el nombre del proveedor cumple con las variaciones del nombre que
aparece en las aplicaciones con firma digital.
• Agregar, editar y eliminar: utilice estos botones para administrar los nombres de
proveedores de la lista de proveedores.
Acerca de Seguridad de punto final: Polftica predeterminada
Utilice esta pagina para configurar la configuracion de agente del componente del agente de
seguridad y la configuracion de la lista de archivos de confianza.
Componentes: seleccione la configuracion del agente que desee usar para cada componente.
910
GUÍA DE USUARIO
. Listas de archivos de confianza: utilice los botones de Agregary Editar para configurar las
listas de archivos de confianza que desee utilizar
• Lista de aprendizaje: Cuando se ajusta un componente en modo de aprendizaje, la
informacion del archivo de aprendizaje se agrega a esta lista.
• Agregar una actividad de aprendizaje a la lista de aprendizaje unicamente: solo actualiza la
lista de aprendizaje indicada.
• Agregar una actividad de aprendizaje a cada lista en la cual ya exista el mismo archivo:
actualiza todas las listas de archivos de confianza que tienen una entrada de archivo de
aprendizaje.
Acerca de Seguridad de punto final: Pagina de Carpetas de confianza
Utilice este cuadro de dialogo para especificar las rutas de las carpetas de los dispositivos
administrados que se deban considerar como de confianza.
Haga clic en Agregary especifique una ruta de carpeta y los derechos que desee dar a la carpeta y
todas las carpetas secundarias.
Acerca de Endpoint Security: Pagina Carpetas monitorizadas
Utilice este cuadro de dialogo para especificar las rutas de las carpetas de los dispositivos
administrados que se deban monitorizar. Se monitorizan todos los archivos y carpetas secundarias
que se encuentran en una carpeta monitorizada. Utilice la seccion Control de aplicacion de las
herramientas de actividad de seguridad (Herramientas > Seguridad y cumplimiento > Actividad de
seguridad) para ver las notificaciones de las carpetas monitorizadas. Si existen acciones de
endpoint security que necesiten su atencion, tambien vera una notificacion cuando inicie sesion en
la Endpoint Manager consola.
Haga clic en Agregary especifique una ruta de acceso a la carpeta, los patrones de archivos,
exclusiones y actividades de archivos que desee monitorizar.
Control de aplicaciones
Informacion general de control de aplicaciones
El control de aplicaciones ofrece otra capa de proteccion, ademas de la de administracion de

parches, antivirus, antispyware, y configuracion de la barrera de seguridad, para evitar la intrusion
de actividad danina en sus dispositivos administrados. El control de aplicaciones supervisa de
forma continua los procesos, los archivos, las aplicaciones y las claves de registro especificados
con el fin de evitar comportamientos no autorizados. Usted controla que aplicaciones se ejecutan en
los dispositivos y la forma en que se permite su ejecucion.
Debido a que es un sistema basado en reglas y no en definiciones (es dedr, basado en firmas), el
control de aplicaciones es mas eficaz en la proteccion de sistemas en contra de ataques de dâ cero
(la explotacion danina de codigo vulnerable antes de que se detecten y definan las exposiciones, y
de que hayan revisiones disponibles).
A diferencia de la deteccion yreparacion de vulnerabilidades, la deteccion yeliminacion de spyware
911
o el rastreo y la cuarentena de antivirus, la proteccion del control de aplicaciones no requiere

actualizaciones permanentes de archivos (tales como archivos de revisiones, de definiciones y
patrones o de bases de datos de firmas).
El control de aplicaciones protege los servidores y las estaciones de trabajo mediante la colocacion
de agentes de software entre las aplicaciones y el kernel de sistema operativo. Con las reglas
predeterminadas que se basan en el comportamiento habitual de los ataques de malware, estos
sistemas evaluan actividades tales como solicitudes de conexion de red, intentos de lectura o
escritura en la memoria o intentos de acceso a aplicaciones espedficas. Se permite el
comportamiento que se sabe que es aceptable, el comportamiento conocido como inaceptable se
bloquea y el comportamiento sospechoso se marca para su posterior evaluacion.
Se accede a la configuracion del control de aplicaciones desde la consola principal (Herramientas >
Seguridad y cumplimiento > Configuracion del agente). La herramienta de Configuracion del agente
de control de aplicaciones le permite creartareas de instalacion, actualizacion y eliminacion del
agente de control de aplicaciones; configurar las opciones de control de aplicaciones que se
pueden implementar en los dispositivos de destino que desea proteger y personalizar las opciones
de visualizacion e interaccion de control de aplicaciones que determinan la forma en que este
aparece y funciona en los dispositivos administrados, al igual que las opciones interactivas que
estan disponibles para los usuarios finales. tambien puede ver la actividad de HI PS y la informacion
del estado de los dispositivos protegidos de la herramienta de Actividad de seguridad
(Herramientas > Seguridad y cumplimiento > Actividad de seguridad).

El control de aplicaciones es uno de los componentes de toda la solucion de Endpoint Security,
junto con las herramientas de Reconocimiento de ubicaciones (control de conexion de red), Control
de dispositivos y IVANTI Firewall.
Seguridad preventiva
El control de aplicaciones protege de forma proactiva sus dispositivos administrados de las
siguientes maneras:
• Ofrece proteccion a nivel del kernel contra aplicaciones que intenten modificar los archivos
binarios (o cualquier archivo que especifique) en el equipo o la memoria de aplicacion de los
procesos en ejecucion. Tambien bloquea los cambios en ciertas areas del registro y puede
detectar los procesos de rootkit.
• Utiliza la proteccion de la memoria contra desbordamientos de bufer y explotaciones de pila.
• Ejecuta esquemas de proteccion a fin de evitar que un atacante generey ejecute codigo en un
segmento de datos.
• Vigila el acceso no autorizado o no habitual a los archivos.
• Ofrece proteccion en tiempo real en los equipos sin depender de las bases de datos de
firmas.
Seguridad a nivel de sistemas
El control de aplicaciones ofrece la siguiente seguridad a nivel de sistemas:
912
GUÍA DE USUARIO
• Nivel Kernel, proteccion a nivel de sistemas basada en reglas

• Proteccion del registro
• Control de inicio
• Deteccion de rootkits indetectables
• Filtro de red
• Certificacion de procesos, archivos y aplicaciones
• Las reglas de proteccion de archivos que restringen las acciones que los programas
ejecutables pueden realizar en archivos espedficos
Funciones de la consola de control de aplicaciones

El control de aplicaciones le brinda a los administradores la capacidad para definiry administrar
perfiles distintos para los diferentes grupos de usuarios con configuraciones de control de
aplicaciones. Las configuraciones de HIPS satisfacen las necesidades de todos y cada uno de los
grupos de usuarios, ya que permite que los administradores creen varias configuraciones altamente
flexibles de los diversos perfiles de usuario.
La configuracion de control de aplicaciones puede incluir una proteccion de contrasena

personalizada, administracion de WinTrust, modo de proteccion, dispositivos permitidos, polfticas
de control de acceso de red y aplicacion, certificaciones de archivos y reglas de proteccion de
archivos.
Funciones del cliente de control de aplicaciones

El cliente de Endpoint Security (desplegado a los dispositivos administrados) les ofrece a los
administradores una nueva y potente herramienta para controlar las aplicaciones que se ejecutan en
los equipos de escritorio y los servidores empresariales y la forma en que dichas aplicaciones
pueden ejecutarse.
El software de cliente de control de aplicaciones utiliza tecnicas comprobadas heunsticas y de

reconocimiento de comportamiento que identifican patrones y acciones habituales de codigo
malicioso. Por ejemplo, se podna bloquear un archivo que intente escribir en el registro del sistema
y marcarlo como con potencial malicioso. El componente de control de aplicaciones utiliza una
variedad de tecnicas privadas con el fin de detectar el malware de manera fiable aun antes de que se
haya identificado una firma.
Plataformas de dispositivo compatibles y productos de antivirus

Para obtener informacion detallada y actualizada sobre que plataformas de dispositivos y productos
de antivirus admiten control de aplicaciones (HIPS), consulte la pagina de inicio de HIPS en la
IMPORTANT: HIPS no es compatible con los servidores centrales ni los servidores centrales de resumen
j No debe instalar o implementar HIPS en servidores centrales o en servidores centrales de resumen. No obstante,
puede implementar HIPS en una consola adicional.
913
NO implemente el control de aplicaciones en dispositivos que tengan instalado cualquier otro

antivirus.
Asignacion de licencias de control de aplicaciones
Para utilizar Endpoint Securityy el control de aplicaciones, primero debera activar el servidor central
con una licencia que permita su uso.
Para obtener informacion sobre las licencias, comurnquese con su distribuidor o visite la pagina
web de IVANTI:
Administracion basada en roles con HIPS
HIPS, al igual que Revisiones y cumplimiento, usa la administracion basada en roles para permitir a
los usuarios el acceso a las funciones. La administracion basada en roles constituye el marco de
acceso y seguridad que le permite a los Administradores de IVANTI restringir el acceso de los
usuarios a las herramientas y los dispositivos. Cada usuario recibe roles y ambitos espedficos que
determinan las funciones que puede utilizary los dispositivos que puede administrar.
de la consola. HIPS esta incluido en el derecho de Configuracion del agente, el cual aparece bajo el
grupo de derechos de Seguridad en el cuadro de dialogo de Roles. Para poder very utilizar las
funciones de HIPS, los usuarios deben tener los derechos de acceso de Configuracion del agente
necesarios.
Con el derecho de Configuracion del agente, puede dar a los usuarios la capacidad para:
• Ver las funciones Host Intrusion Prevention System (HIPS) ytener acceso a ellas en el menu
Herramientas y en el cuadro de herramientas de la consola
• Configurar dispositivos administrados para la proteccion de HIPS
• Administrar configuraciones de HIPS (proteccion de contrasena, administracion de codigo
firmado, accion, modo de proteccion, certificaciones de archivos, reglas de proteccion de
archivos, etc.)
• Implementartareas de instalacion o actualizacion de HIPS ytareas de cambio de
configuracion
• Ver la actividad de HIPS en los dispositivos protegidos
• Definir opciones de umbral de datos de HIPS para registraryvisualizar la actividad de HIPS
Esquema principal de las tareas de HIPS
La lista siguiente describe las principales tareas involucradas en la configuracion, implementacion y

el uso de la proteccion HIPS. Consulte los temas de ayuda especficos de la funcion para obtener
informacion conceptual y de procedimiento.
• Configurar dispositivos administrados para implementar proteccion de HIPS (desplegar el
agente HIPS a los dispositivos de destino).
• Configurar las opciones de HIPS mediante la configuracion de HIPS, tales como
administracion de codigo firmado, modo de proteccion, dispositivos permitidos (aplicaciones
914
GUÍA DE USUARIO
permitidas para ejecutar en dispositivos), certificaciones de archivos, reglas de proteccion de

archivos y opciones interactivas de usuario final.
• Detectar el comportamiento de archivos y aplicaciones en los dispositivos con el modo de
aprendizaje de HIPS.
• Aplicar la proteccion de HIPS en los dispositivos administrados con el modo automatico de
bloqueo de HIPS.
• Ver la actividad de HIPS en los dispositivos protegidos.
Configurar dispositivos para la proteccion de Endpoint Security
Para proteger los dispositivos administrados contra ataques de dfa de lanzamiento, estos deben
tener instalado el agente de Endpoint Security. El agente de Endpoint Security es un servicio unico
de agente que administra todos los componentes de Endpoint Security, incluso el control de
aplicaciones.
Puede configurar dispositivos para implementar Endpoint Security durante la configuracion de
agente inicial del dispositivo o con otra tarea de instalacion o actualizacion.
Para instalar o actualizar Endpoint Security en dispositivos administrados mediante una
configuracion de agente

2. Haga clic en el boton Ventanas nuevas de la barra de herramientas.
3. Luego de especificar los ajustes deseados para la configuracion de agente, primero debe
hacer clic en la pagina Inicio y seleccionar la opcion Endpoint Security bajo Seguridad. (Esto
despliega el agente en los dispositivos de destino, pero todavfa tiene que seleccionar una
configuracion de control de aplicaciones).
4. Ahora puede acceder a las opciones de la pagina Distribution y revision > Seguridad y
cumplimiento > Endpoint Security
5. Seleccione una de las configuraciones de la lista disponibleyaplfquela a la configuracion de
agente que esta creando. Para crear una configuracion nueva o modificar una existente, haga
clic en Configurar. Asegurese de que selecciona los componentes de Endpoint Security que
desee utilizaren la pagina Polftica predeterminada.
6. Termine de especificar la configuracion del agente y luego haga clic en Guardar.
Descripcion del modo de aprendizaje de control de aplicaciones
Se puede ejecutar HIPS en uno de los siguientes modos de proteccion: Deshabilitado, aprendizaje,
inicio de sesion o bloqueado.
Uso del modo de aprendizaje de control de aplicaciones
A continuacion se describe el proceso del modo de aprendizaje de control de aplicaciones:
• En el modo de aprendizaje, el control de aplicaciones aprende que tipo de aplicaciones estan

instaladas en el dispositivo, su comportamientoysus derechos (o privilegios).
• El control de aplicaciones supervisa la actividad en el dispositivo y registra informacion en
915
un archivo de historial de acciones.
• Los datos del historial de acciones se envfan del dispositivo al servidor central.
• Los administradores leen la historia de acciones para ver cuales aplicaciones estan haciendo
que en el dispositivo. (Los archivos o las aplicaciones, y los derechos asociados que figuran
en el archivo historico de acciones (XML) se muestran en la pagina de Certificaciones de
archivos del cuadro de dialogo Configuracion de control de aplicaciones).
• Los administradores pueden personalizar la configuracion de control de aplicaciones para

permitiry denegar privilegios en las aplicaciones relevantes.
El modo de aprendizaje se puede aplicar a dispositivos administrados, lo que por lo general permite
que ocurran violaciones en el control de aplicaciones hasta que se implementa una nueva
configuracion de control de aplicaciones, o el modo de aprendizaje se puede aplicar inicialmente
durante un penodo especificado detiempo para descubrir las aplicaciones que se ejecutan ysu
comportamiento y para crear una lista blanca (aplicaciones que se pueden ejecutar en los
dispositivos). Si el modo de proteccion general es el bloqueo automatico, todavfa podra utilizar el
modo de aprendizaje para descubrir el comportamiento de aplicaciones y luego volver a aplicar el
modo de bloqueo una vez que caduque el penodo de aprendizaje.
IMPORTANT: Tenga en cuenta que tanto el servidor central como el dispositivo administrado deben operar en
el modo de aprendizaje para que se produzca la comunicacion con el historial de acciones.
Ayudade HIPS
Utilice este cuadro de dialogo para crear ymodificar las opciones de HIPS (archivo de
configuracion). Cuando se crean configuraciones de HIPS, primero se definen los requisitos y las
acciones generales y luego se agregan las certificaciones de archivos espedficas. Se pueden crear
tantas configuraciones de HIPS como se deseey modificarlas en cualquier momento.
Si desea modificar la configuracion predeterminada de HIPS del dispositivo sin volver a instalar el
agente de HIPS o volver a implementar una configuracion completa del agente, realice los cambios
deseados en cualquiera de las opciones del cuadro de dialogo de Configuracion de HIPS, asigne la
nueva configuracion a una tarea de cambio de configuracion y luego implemented en los
• "Acerca de HIPS: Pagina de configuracion general" (909)

• "Acerca de HIPS: Pagina de configuracion de modo" (911)
• "Acerca de HIPS: Pagina de Reglas de proteccion de archivos" (912)
. "Acerca de HIPS: Cuadro de dialogo de Configurar reglas de proteccion de archivos" (913)
Acerca de HIPS: Pagina de configuracion general
Utilice esta pagina para configurar las opciones de proteccion general y las acciones de HIPS.

• Nombre: Identifica la configuracion de HIPS con un nombre unico. Este nombre aparece en la
916
GUÍA DE USUARIO
lista Configuracion de HIPS en un cuadro de dialogo con tareas de seguridad para instalar o
actualizar.
917
• Configuration de protection: Haydostipos de proteccion: HIPSylista blanca. Puede seleccionar

una o ambas. Ambos tipos de proteccion utilizan el mismo modo de funcionamiento, el cual
se selecciona en la pagina de configuracion de Modo. (NOTA: Hay una excepcion a esta
aplicacion de proteccion general. Si se especifica el modo de proteccion Aprendery se
selecciona la opcion de aprendizaje se solo Lista blanca, solamente se aprenden las
aplicaciones de la lista blanca y la proteccion HIPS se establece en el modo de bloqueo
automatico.)
• Habilitar la prevention de intrusion de host: activa la proteccion HIPS. permite que
todos los programas se ejecuten (excepto cuando la operacion de un programa
amenaza la seguridad del sistema) de acuerdo con lo definido por las reglas de
proteccion predefinidas. Puede conceder derechos especiales a los archivos de
programa a traves de listas de archivos de confianza mediante la configuracion de las
certificaciones de archivo personalizadas. La proteccion HIPS observa el
comportamiento de la aplicacion (si la aplicacion puede modificar otro ejecutable,
modificar el Registro y asf sucesivamente) y hace cumplir las normas de seguridad.
• Usar la Proteccion contra desbordamientos de bufer: protege los dispositivos de
explotaciones de la memoria del sistema que se aprovechan de un programa o
proceso que este en espera de la entrada del usuario.
NOTA: Se puede habilitar la Proteccion contra desbordamientos de bufer (BOP)

en un dispositivo de Windows 32 bites sin tener en cuenta si el procesador es
compatible con NX/XD (No eXecute/ eXecute desactivado). Si el procesador no
es compatible con NX/XD, se emula. Sin embargo, si el procesador es
compatible con NX/XD, pero esta apagado en el BIOS o en la configuracion de
inicio, el BOP no se puede habilitar. Note que el cliente de Seguridad de punto
final muestra si el BOP esta activado o desactivado en el dispositivo de usuario
final. BOP no es compatible con dispositivos de Windows de 64 bits porque la
funcion de Proteccion de Revision de Kernel (KPP) impide la aplicacion de
revisiones al kernel.
IMPORTANTE: Recomendamos que pruebe primero la Proteccion de

desbordamiento de bufer (BOP) en sus configuraciones de hardware
espedficas antes de hacer un despliegue a gran escala en los dispositivos
administrados de su red. Algunas configuraciones de procesadores anteriores
(antes de Pentium 4 con HT o HyperThreading) que ejecutan ciertas versiones
de SO de Windows podnan no sertotalmente compatibles con la Proteccion de
desbordamiento de bufer.
918
GUÍA DE USUARIO
• Habilitar la proteccion de lista blanca: activa la proteccion de lista blanca. Esto

significa que solo las aplicaciones que esten en una lista de archivos de confianza, y
cuya certificacion de archivo tiene habilitada la opcion de permitir la ejecucion, se
pueden ejecutar.
• Evitar que Windows Explorer modifique o elimine archivos ejecutables: Active
esta opcion si no desea que Windows pueda modificar o eliminar los archivos
ejecutables.
• Accion a tomar: determina la accion que se realiza cuando se agrega un programa a la
carpeta de Inicio del dispositivo. Esta opcion proporciona una segunda lfnea de defensa en
los procesos de autorizacion de la carpeta de inicio del sistema. HIPS supervisa el contenido
del inicio ysi encuentra un proceso nuevo, realiza la accion que se seleccione
(Alertarysolicitar una accion; Siempre permitir que el programa se ejecute; o eliminar el
programa del inicio sin generar alertas).
• Establecer como predeterminado: Asigna esta opcion como la opcion predeterminada para
las tareas que utilizan la configuracion de HIPS.
• id: identifica esta configuracion particular. Esta informacion se almacena en la base de datos
y se utiliza para llevar un control de cada configuracion.
• Cancelar: cierra el cuadro de dialogo, sin guardar los cambios.
Acerca de HIPS: Pagina de configuracion de modo
Use esta pagina para configurar el modo de operacion de la proteccion HIPS.

• Modo de prevention de intrusion de host: Especifica el comportamiento de proteccion
cuando la este habilitada proteccion HIPS. Cuando el modo HIPS esta activado, puede elegir
entre uno de los siguientes metodos de funcionamiento.
• Bloqueo: se bloquean las violaciones a la seguridad y se registran en un
confianza. Utilice este modo de operacion para descubrir el comportamiento de
aplicaciones en un dispositivo o conjunto de dispositivos espedficos, y luego utilice
esa informacion para personalizar las polfticas de HIPS antes de implementarlas y
aplicar la proteccion de HIPS en toda la red.
• Solo registro: se permiten las violaciones a la seguridad yse registran en un archivo
• Silencio: se bloquean las violaciones a la seguridad y NO se registran en ningun
• Modo de lista blanca: especifica el comportamiento de proteccion cuando la este habilitada
la proteccion lista blanca. Proteccion de Lista blanca significa que solo las aplicaciones de
919
una Lista de archivos de confianza y con la designacion de lista blanca (aplicaciones cuyo
archivo de certificacion tiene habilitada la opcion de permitir la ejecucion) se pueden
ejecutary aprender. Cuando el modo de Lista blanca esta activado, puede elegir entre uno de
los siguientes metodos de funcionamiento.
• Bloqueo: se bloquean las violaciones a la seguridad y se registran en un archivo
confianza. Utilice este modo de operacion para descubrir el comportamiento de
aplicaciones en un dispositivo o conjunto de dispositivos espedficos, y luego utilice
esa informacion para personalizar las polfticas de HIPS antes de implementarlas y
aplicar la proteccion de HIPS en toda la red.
• Solo registro: se permiten las violaciones a la seguridad yse registran en un archivo
• Silencio: se bloquean las violaciones a la seguridad y NO se registran en ningun
Acerca de HIPS: Pagina de Reglas de proteccion de archivos
Utilice esta pagina para ver, administrary dar prioridad a las reglas de proteccion de archivos. Las
reglas de proteccion de archivos son un conjunto de restricciones que evita que los programas
ejecutables especificados realicen ciertas acciones en los archivos especificados. Con las reglas de
proteccion de archivos, puede permitir o denegar el acceso, la modificacion, la creacion y la
ejecucion de cualquier programa en algun archivo.
• Reglas de proteccion: muestra todas las reglas de proteccion de archivos predefinidas

(predeterminadas) que proporciona IVANTI, asf como todas las reglas de proteccion de
archivos que se han creado.
• Nombre de la regla: identifica la regla de proteccion de archivos.
• Restricciones: visualiza las acciones especficas de los programas en los archivos
restringidos por la regla de proteccion de archivos.
• Programas: muestra los programas ejecutables protegidos por la regla de proteccion.
• Subir \ Bajar: determinar la prioridad de la regla de proteccion de archivos. Una regla de
proteccion de archivos superior en la lista precede a la regla que esta debajo en la lista. Por
ejemplo, podna crear una regla que restrinja que un programa tenga acceso o modifique
cierto archivo o tipo de archivo, pero luego crear otra regla que permita una excepcion a
dicha restriccion a uno o mas de los programas designados. Siempreycuando la segunda
regla permanezca mas arriba en la lista de reglas, esta tendra efecto.
920
GUÍA DE USUARIO
• Restablecer: restaura las reglas de proteccion de archivos predefinidas (predeterminadas)

que proporciona IVANTI.
• Agregar: abre el cuadro de dialogo Configurar regla de proteccion de archivos en el que
puede agregar o quitar programas y archivos, y especificar las restricciones.
• Editar: abre cuadro de dialogo Configurar regla de proteccion de archivos en el que puede
modificar una regla de proteccion de archivos existente.
• Eliminar: elimina la regla de proteccion de archivos de la base de datos.
NOTE: Las reglas de proteccion de archivos se guardan en el archivo FILEWALL.XML, ubicado en: Archivo
de programas\IVANTI\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP 36 37
Acerca de HIPS: Cuadro de dialogo de Configurar reglas de proteccion de archivos

Utilice esta pagina para configurar las reglas de proteccion de archivos.
• Nombre de la regla: identifica la regla de proteccion de archivos con un nombre descriptivo.

• Programas supervisados
• Todos los programas: especifica que todos los programas ejecutables estan
restringidos para realizar las acciones seleccionadas a continuacion en los archivos
especificados abajo.
• Programas mencionados: especifica que solo en los programas ejecutables en la lista
se han aplicado las restricciones seleccionadas a continuacion.
• Agregar: le permite elegir los programas restringidos por la regla de proteccion de
archivos. Puede utilizar nombres de archivos y comodines.
• Editar: le permite modificar el nombre del programa.
37 Eliminar: Elimina el programa de la lista.
• Excepciones
• Permitir excepciones de programas certificados: permite que cualquiera de los
programas ejecutables que pertenecen actualmente a la lista de archivos certificados
omitan las restricciones asociadas a la regla de proteccion de archivos.
921
* Proteger los archivos

• Cualquier archivo: especifica que todos los archivos tienen proteccion de los programas
especificados anteriormente segun sus restricciones.
• Archivos mencionados: especifica que solo los archivos de la lista estan protegidos.
• Agregar: le permite elegir el archivo o archivos protegidos por la regla. Puede utilizar
nombres de archivos o comodines.
• Editar: le permite modificar el nombre del archivo.

• Eliminar: Elimina el archivo de la lista.
• Aplicar tambien a subdirectorios: aplica las reglas de proteccion de archivos a cualquier
subdirectorio de un directorio mencionado.
• Acciones restringidas en los archivos protegidos

• Acceso de lectura: impide que los programas especificados anteriormente tengan
acceso a los archivos protegidos.
• Modification: impide que los programas especificados anteriormente realicen cambios

en los archivos protegidos.
• Creation: impide que los programas especificados anteriormente creen los archivos.
• Ejecucion: impide que los programas especificados anteriormente ejecuten los archivos
protegidos.
IVANTI Firewall
Configuracion de las opciones de IVANTI Firewall
La nueva herramienta de IVANTI Firewall es un componente importante de Endpoint Security

(Seguridad de punto final) que le permite proteger los dispositivos administrados de operaciones de
aplicaciones y conexiones no autorizadas.
Con la configuracion de IVANTI Firewall, puede creary configurar programas (aplicaciones) de

confianza, ambitos de confianza de red y reglas de conexion para proteger los dispositivos
administrados de intrusiones no autorizadas.
IMPORTANT: Compatibilidad de IVANTI Firewall con Windows Firewall

■■ La Barrera de seguridad de IVANTI complementa la Barrera de seguridad de Windows, y se pueden habilitar ambas
y ejecutar al mismo tiempo en los dispositivos administrados.
IVANTI Firewall es uno de los componentes de la solucion integral de Seguridad de punto final, junto
con las herramientas de Prevencion de intrusion de host (HIPS)y Control de dispositivos.
Lea este capftulo para obtener informacion sobre:
922
GUÍA DE USUARIO
• "Uso de la configuracion de IVANTI Firewall" (915)

• "Ayuda de la configuracion de IVANTI Firewall" (916)
Uso de la configuracion de IVANTI Firewall
La configuracion de Firewall le permite controlar la forma en que opera IVANTI Firewall en los
Esta seccion describe como creary administrar la configuracion de Firewall.

Crear configuracion de IVANTI Firewall
Para crear una configuracion de IVANTI Firewall
1. En la ventana de la herramienta Configuracion del agente, haga clic con el boton derecho en
IVANTI Firewall yluego haga clicen Nueva.
2. En la pagina Configuracion general, escriba un nombre para la configuracion, habilite el

servicio de IVANTI Firewall yluego especifique el modo de proteccion. Para obtener
informacion sobre una opcion, haga clic en Ayuda.
3. En la pagina Lista archivos de confianza, agregue y modifique los archivos ejecutables de las
aplicaciones que desee para poderse conectar a, o desde, la red e Internet. Tambien puede
definir el ambito de confianza.
923
4. En la pagina Reglas de conexion defina las reglas de conexion (de entrada o de salida y accion)
por puerto, protocolo o intervalo de IP.
Ayuda de la configuracion de IVANTI Firewall
Utilice este dialogo para creary modificar una configuracion de IVANTI Firewall. Cuando se crea la
configuracion de Firewall, primero se define el modo de proteccion general, y luego se agregan y
configuran los programas de confianza, los ambitos de confianza y las reglas de conexion espedficos.
Puede creartantas configuraciones como desee ymodificarlas en cualquier momento.
Si desea modificar la configuracion predeterminada del dispositivo sin volver a instalar el agente de
Endpoint Security o a implementar una configuracion completa del agente, realice los cambios
deseados en cualquier opcion del cuadro de dialogo de configuracion, asigne la nueva configuracion
a una tarea de cambio de configuracion y luego implementela en los dispositivos de destino.
Use esta pagina para habilitar la Barrera de seguridad IVANTI yconfigurar el modo de proteccion. Esta
pagina contiene las siguientes opciones:
• Nombre: identifica la configuracion de Firewall con un nombre unico.

• Habilitar IVANTI Firewall: permite que todos los programas se ejecuten excepto cuando la
operacion de un programa amenaza la seguridad del sistema de acuerdo con lo definido por
reglas de proteccion predefinidas.
• Modo de proteccion: especifica el comportamiento cuando se producen violaciones de
seguridad en dispositivos administrados.
• Bloqueo: Todas las violaciones de seguridad se bloquean automaticamente. En otras
palabras, todo los programas de confianza, las reglas de conexion (es decir, los
permisos) y los ambito de confianza que haya creado se hacen cumplir.
• Modo de aprendizaje para: Le permite al administrador especificar un penodo de
tiempo en el cual el usuario final puede ejecutar alguna de las aplicaciones en su
equipo. Durante este penodo, se observan las aplicaciones que se ejecuten.
NOTE: Estas dos opciones de tiempo se ejecutan sucesivamente. En otras palabras, si se

seleccionan ambas, se ejecuta primero el penodo del modo de aprendizaje y
924
GUÍA DE USUARIO
cuando caduca se ejecuta el periodo del modo de inicio de sesion.
• Modo de inicio de sesion para: especifica un periodo de tiempo durante el cual las
aplicaciones que se ejecuten se registran en un archivo de historial de acciones
en el servidor central.
• Aprendizaje: todas las aplicaciones se pueden ejecutar. Ademas, se aprenden todas las
aplicaciones que se ejecutan en el dispositivo y se agregan a la lista de archivos de
confianza.
• Solo registro: se permiten las violaciones a la seguridad, pero se registran en un archivo
• Silencio: se bloquean las violaciones a la seguridad, pero se registran en un archivo
• Compartir archivos: especifica los privilegios para compartir archivos permitidos por la
configuracion de Firewall de IVANTI.
• Permitir el uso compartido de archivos provenientes del ambito de aplicacion de
confianza (red): Permite que se compartan los archivos dentro del ambito de confianza
que se haya definido.
• Permitir el uso compartido de archivos provenientes de fuera del ambito de aplicacion
de confianza (Internet): Permite que se compartan los archivos fuera del ambito de
confianza que se haya definido.
Acerca de la pagina Listas de archivos de confianza
Use esta pagina para crear y manejar listas de archivos de confianza y ambitos de confianza.

• Ambito de confianza: presenta una lista de los ambitos de red que tienen reglas de conexion
configuradas en la proteccion de la barrera de seguridad.
• Listas de archivos de confianza muestra las listas de archivos que tienen archivos con
derechos configurados para HIPS.
• Agregar: Abre el cuadro de dialogo Configuracion de listas de archivos de confianza en
el cual puede manejar su listas de archivos de confianza.
• Modificar: le permite modificar las listas de archivos de confianza seleccionadas. 38
38 Quitar: le permite modificar las listas de archivos de confianza seleccionadas.
925
• Opciones de las actividades de aprendizaje: especifica como se controla la actividad de los

archivos cuando el modo de proteccion este en aprender.
• Lista de aprendizaje: Muestra la lista de archivos de confianza a la cual se aplica la
actividad de los archivos de aprendizaje.
• Agregar una actividad de aprendizaje a la lista de aprendizaje unicamente: limita la
actividad de los archivos aprendidos para que se aplique unicamente a la lista de
archivos especificada.
• Agregar una actividad de aprendizaje a cada lista en la cual ya exista el mismo
archivo: permite que la actividad de los archivos aprendidos se aplique a cualquier
lista de archivos que contenga ese archivo.
Acerca del cuadro de dialogo Configurar aplicacion de confianza
Utilice esta pagina para configurar las reglas de conexion de una aplicacion espedfica.

• Detalles de la aplicacion: identifica la aplicacion a la que se estan asignando las
certificaciones (es decir, los permisos). Puede introducir una descripcion del archivo.
• Conexion saliente
• Permitir que la aplicacion se conecte al ambito de confianza (red): permite que la
aplicacion se conecte a ubicaciones dentro del ambito de confianza que se definio.
• Permitir que la aplicacion se conecte fuera del ambito de confianza (Internet):
permite que la aplicacion se conecte a ubicaciones dentro del ambito de confianza
que se definio.
• Conexion entrante
• Permitir que la aplicacion reciba conexiones provenientes del ambito de confianza
(red): permite que la aplicacion reciba conexiones provenientes de las ubicaciones
dentro del ambito de confianza que se definio.
• Permitir que la aplicacion reciba conexiones provenientes de fuera del ambito de
confianza (Internet): permite que la aplicacion reciba conexiones provenientes de las
ubicaciones dentro del ambito de confianza que se definio.
• Aplicacion de confianza bloqueada: asegura que la aplicacion conserve las reglas de
conexion que se asignen aqrn, aunque se le permitan otras operaciones a la aplicacion
durante el modo de aprendizaje.
• Aceptar: guarda las reglas de conexion y agrega la aplicacion a la lista de los programas de
confianza. 39
39 Cancelar: cierra el dialogo sin guardar los cambios.
Acerca del cuadro de dialogo Ambito de confianza
Utilice esta pagina para configurar y manejar ambitos de confianza. Un ambito de confianza esta
hecho de una coleccion de direcciones de red, por direccion IP, intervalo de IPo subred.
926
GUÍA DE USUARIO
• Subred del cliente de confianza: agrega el intervalo de subred del dispositivo de destino a la
lista de ambito de confianza. Se permite la comunicacion a traves de ese intervalo de subred.
• Ambito de confianza: presenta una lista de todos los ambitos de confianza.

• Agregar...: le permite agregar una ubicacion de confianza a la lista. Agregar una ubicacion de
confianza por direccion IP, intervalo de IPo subred.
• Editar...: le permite modificar la ubicacion de confianza seleccionada.

• Eliminar: elimina la ubicacion de confianza seleccionada.
• Importar direcciones IP por lotes... Le permite seleccionar multiples
• Importar...: Le permite importar intervalos de subred provenientes de los dispositivos
administrados incluidos en el inventario de la base de datos central.
Acerca del cuadro de dialogo Reglas de conexion
Utilice esta pagina para ver, administrary dar prioridad a las reglas de conexion. Las normas de
conexion pueden permitir o impedir las conexiones con base en el puerto o el intervalo de
direcciones IP, si el programa es de confianza y si la comunicacion esta dentro del ambito de la red
de confianza.
• Reglas de conexion: presenta una lista de todas las reglas de conexion.

• Subir: determinar la prioridad de la regla de conexion. Una regla de conexion superior en la
lista precede a cualquier regla que este mas bajo en la lista.
• Bajar: determinar la prioridad de la regla de conexion.

• Restablecer: restablece el orden de las reglas.
• Agregar: abre un cuadro de dialogo en el cual se puede configurar una nueva regla de
conexion.
• Modificar: le permite modificar la regla de conexion seleccionada.

• Eliminar: elimina la regla de conexion de la base de datos.
Acerca del cuadro de dialogo Configurar reglas de conexion
Utilice esta pagina para configurar las reglas de conexion.
• Nombre: identifica la regla de proteccion de archivos mediante un nombre descriptivo.
• Direccion: indica si la regla de conexion restringe las conexiones entrantes o las salientes.
• Accion: indica si la regla de conexion permite (acepta) o impide (rechaza) las conexiones.
• Protocolo: especifica el protocolo de comunicaciones de los puertos seleccionados.
927
• Puertos: permite definir restricciones de puertos de la regla de conexion.

• Aplicar a estos puertos locales: especifica los puertos locales a los cuales se aplican
la direccion y la accion (seleccionada a continuacion). Por ejemplo, si se selecciona
Entrante y se selecciona Aceptar, se permiten las conexiones con los puertos locales
que se especifiquen aqm.
• Aplicar a estos puertos remotos: especifica los puertos locales a los cuales se aplican
la direccion y la accion (seleccionada a continuacion).
• Intervalo de la direccion IP: le permite definir las restricciones del intervalo de direcciones IP
de la regla de conexion.
• Aplicar a estas direcciones remotas: especifica el intervalo de direcciones IP remotas

a las cuales se aplican la direccion y la accion (seleccionada a continuacion).
• Permitir que los programas de confianza omitan: Le permite dar a los programas de
confianza la posibilidad de ignorar u omitir esta regla de conexion.
• Solo para ambito de confianza: limita la capacidad de los programas de confianza para
omitir la regla de conexion solo si la comunicacion es en el ambito de la red de
confianza.
• Aceptar: guarda las opciones y agrega la regla a la lista de reglas de conexion.

Control de dispositivos
Informacion general sobre el control de dispositivos
La nueva herramienta Control de dispositivos es un componente importante de Seguridad de

terminales que permite controlar y restringir el acceso a los dispositivos de E/S. Con Control de
dispositivos, puede restringir el uso de dispositivos que permiten el acceso de datos al dispositivo,
tales como puertos, modems, unidades y conexiones inalambricas.
Para implementar el control de dispositivos en clientes de la red, se crea y despliega la

configuracion de Control de dispositivos que administra el USB, el modem, el puerto de entrada-
salida, la unidad de CD/DVD, inalambrico y otras conexiones.
Puede configurar restricciones USB ya sea mediante el bloqueo de una clase completa de
dispositivos USB, tales como dispositivos de almacenamiento o mediante excepciones para
restringir ciertos dispositivos USB con base en los parametros y valores que se especifiquen.
Control de dispositivos es uno de los componentes de la solucion integral de Seguridad de

terminales, junto con las herramientas de Prevencion de intrusion de host (HIPS)y IVANTI Firewall.
Plataformas compatibles
Control de dispositivos funciona con los dispositivos administrados que ejecutan versiones de
928
GUÍA DE USUARIO
Windows compatibles.
Restringir el acceso a dispositivos mediante la configuracion de Control de dispositivos
Para que Control de dispositivos funcione en un dispositivo, deben haberse implementado el agente
de programador local y el agente estandar en el dispositivo. Cada vez que el dispositivo inicie una
conexion de dispositivo o haga cambios a una conexion de dispositivo, el agente aplica las reglas
de configuracion. Estas reglas incluyen la terminacion de conexiones no permitidas y el envfo de
alertas al servidor central.
De forma predeterminada, la configuracion del control de dispositivos puede restringir diversos

tipos de dispositivos. Puede utilizar la configuracion avanzada de USB para restringir cualquier
dispositivo USB o clase de dispositivo USB que especifique. Entre los dispositivos que puede
restringir se encuentran:
• Android, BlackBerryyApple iOS

• USB, tales como controladores, teclados, ratones, impresoras y escaneres
• Telefonos y otros dispositivo moviles
• Volumenes de red
• Redes de area personal de Bluetooth
• Redes inalambricas 802.11x
• Modems
• Dispositivos PCMCIA
• Puertos serie, paralelos, infrarrojos y FireWire 1394
• Unidades de disqueteyde CD/DVD
929
Crear la configuracion de control de dispositivos
Para crear la configuracion de control de
dispositivos
1. Haga clic en Herramientas > Seguridad y cumplimiento > Configuracion del agente.
2. Bajo Configuracion de todos los agentes, haga clic con el boton derecho en Control de
dispositivos y luego haga clic en Nuevo.
3. En la pagina de Configuracion general, introduzca un Nombre.

4. Seleccione la casilla de verificacion Habilitar control de dispositivos.
5. En las otras paginas, personalice las opciones que desee. Para obtener mas informacion
sobre las opciones del cuadro de dialogo, consulte "Configuracion del agente: Control de
dispositivos" (817).
6. Haga clic en Guardar para guardar esta configuracion.

7. Bajo Seguridad de terminales, haga doble clic en la configuracion de seguridad de
terminales que desee aplicar a la configuracion de control de dispositivos.
8. En la pagina Polfticas predeterminadas, compruebe Control de dispositivos y seleccione la

configuracion que desee aplicar.
9. Haga clic en Guardar para guardar esta configuracion.
930
GUÍA DE USUARIO
Desplegar la configuracion de control de dispositivos

Una vez que haya creado una configuracion de control de dispositivos, debe desplegarse en los
dispositivos administrados para activarla.
El control de dispositivos se despliega por medio de una configuracion de Seguridad de terminales.

Para desplegar la configuracion de control de dispositivos
1. Haga clic en Herramientas > Seguridad y cumplimiento > Configuracion del agente.
2. En la ventana de la herramienta Configuraciones de agente, haga clic en el boton Crear una
tarea de la barra de herramientas y luego en Cambiar ajustes.
3. Bajo Tipo de tarea, seleccione una opcion.
4. En la lista de ajustes, seleccione Seguridad de terminales y los ajustes que habilitan la
configuracion de control del dispositivo que desee.
6. La configuracion se agrega a la ventana Tareas programadas. En esa ventana, arrastre los
dispositivos al icono de configuracion.
7. Una vez que se han agregado todos los dispositivos, en el menu contextual de la tarea,
seleccione Propiedades. En el arbol, haga clicen Programar tarea y configure las opciones
de programacion.
Para obtener mas informacion sobre la programacion de tareas, consulte "Programacion de

tareas" (248).
Crear mensajes personalizados cuando se detectan dispositivos o volumenes no autorizados
En el cuadro de dialogo Configuracion del control de dispositivos, puede personalizar el texto del
mensaje que el usuario recibe cuando se detectan dispositivos o volumenes no autorizados. En el
mensaje de texto, puede utilizar estos marcadores de posicion para mostrar informacion sobre el
volumen o dispositivo no autorizado:
• %vol%: numero de serie del volumen

• %desc%: Descripcion
• %service%: servicio
• %hwid%: ID de hardware
• %mfg%: Fabricante
• %loc%: ubicacion
• %class%: clase
Manejo no autorizado de dispositivos
Las configuraciones del Control de dispositivos utilizan el servicio de Seguridad de terminales de
IVANTI en los dispositivos administrados. Cuando el servicio recibe una notificacion del sistema
operativo indicando que se ha insertado un nuevo dispositivo USB, el servicio aplica ciertas reglas
personalizadas y definidas para decidir si se permite el dispositivo. Puede definir reglas simples para
931
permitir solamente cierto tipo de dispositivos, tales como ratones, impresoras y escaneres. Las reglas
mas complejas podnan permitir solamente dispositivos de almacenamiento seguros de un fabricante
determinado o excluir dispositivos de cierto fabricante.
Si detecta un dispositivo no autorizado, el servicio de Seguridad de terminales de IVANTI hara lo

siguiente:
• Elimina el dispositivo del Administrador de dispositivos de Windows para que ya no sea visible
a Windows. Los controladores del dispositivo permanecen instalados.
• En el caso de un volumen o dispositivo USB no autorizado, le muestra un mensaje configurable
al usuario de forma opcional. Para obtener mas informacion, consulte Creacion de mensajes
personalizados cuando se detectan dispositivos o volumenes no autorizados.
Manejo de dispositivos de almacenamiento extralbles

Las conexiones USB en los dispositivos administrados estan restringidas por un servicio llamado
Seguridad de terminales de IVANTI Cuando se monta un nuevo volumen, el servicio recibe una
notificacion del sistema operativo. A continuacion, el servicio utiliza la llamada GetDriveTypeO API
para verificar el tipo de unidad que se monto. Si el SO describe la unidad como "extrafble" o "fija", el
servicio entrara en accion. El servicio tambien verifica en busca de volumenes extrafbles durante el
inicio. Si se encuentra un volumen no autorizado durante el tiempo de inicio, se realizan las mismas
acciones que si el volumen se monta mas adelante.
Las unidades que se consideran extrafbles incluyen (sin limitacion) los dispositivos de
almacenamiento USB. Las unidades de CD (de solo lectura o de lectura y escritura) no se consideran
de almacenamiento extrafble.
El SO no considera las unidades de disco duro como extrafbles. La llamada GetDriveType() las
describe como "unidades fijas" aunque esten conectadas a traves de un puerto USB o de cualquier
otro puerto externo. Para permitir que las unidades de disco duro extrafbles se manejen del mismo
modo que otros dispositivos de almacenamiento extrafbles, el servicio registra la lista de unidades de
disco duro al mismo tiempo que se instala el servicio. Por ejemplo, si un dispositivo tiene dos
unidades de disco duro (C: y D:), al momento en que se instala el servicio, este considera ambas
unidades como fijas y no las verifica. Sin embargo, si mas adelante se encuentra una unidad de disco
duro con la letra E: el servicio la considera como dispositivo extrafble.
Puede controlar los dispositivos extrafbles de control de las siguientes maneras:

• Permitir acceso total
• Permitir acceso de solo lectura
• Forzar codificacion
• Sin acceso
• Mostrar mensaje personalizado cuando se bloquea un dispositivo de almacenamiento no
autorizado.
932
GUÍA DE USUARIO
Configurar alertas de control de dispositivos

La configuracion del control de dispositivos usa el sistema de administracion de alertas para efectuar
las alertas. El control de dispositivos puede iniciar alertas en los siguientes eventos:
• Control de dispositivos: registrador de pulsaciones de teclas de hardware detectado

• Control de dispositivos: reemplazar proteccion
• Control de dispositivos: tamano excesivo del archivo de instantanea
• Control de dispositivos: bloqueado CD/DVD no autorizado
• Control de dispositivos: bloqueado dispositivo no autorizado
• Control de dispositivos: bloqueado volumen no autorizado
Para crear una alerta de control de dispositivos
1. Haga clicen Herramientas > Configuracion > Alertas.

2. En el arbol Alertas, haga clic con el boton derecho en Regla predeterminada de LDMSy a
continuacion, en Modificar.
3. Desplacese hasta las alertas de control de dispositivos.
4. Configure las acciones de alerta que desee. Para obtener mas informacion, consulte "Uso de
las alertas" (1050).
Ver la lista de dispositivos no autorizados

En cada equipo, el control de dispositivos almacena el historial de conexion y acciones de los
dispositivos que se han conectado.
Puede ver esta informacion desde la vista de red haciendo clic en Inventario en el menu de acceso
directo del dispositivo. A continuacion, haga clic en Seguridad > Control de dispositivos.
Ayuda de configuracion de Control de dispositivos

Utilice este cuadro de dialogo para crear y modificar la configuracion de Control de dispositivos.

Use esta pagina para asignar un nombre a la configuracion y habilitar el control de dispositivos en un
cliente configurado con las opciones.
• Nombre: identifica la configuracion. Este nombre aparece en la ventana principal de Control de

dispositivos.
• Habilitar Control de dispositivos: enciende el Control de dispositivos en un cliente configurado
con la opcion.
Acerca de la pagina Volumenes de almacenamiento

Use esta pagina para especificar las opciones de volumenes de almacenamiento que se conecten
con un cliente configurado con esta opcion.
933
• Volumenes de almacenamiento: especifica el nivel de acceso de cualquier volumen de

almacenamiento que no estaba presente en el cliente cuando se instalo la configuracion.
(Observe que si un dispositivo que contema un volumen se encontraba conectado cuando se
instalo la configuracion, el servicio de Seguridad de terminales de IVANTI admitira dicho
dispositivo en el futuro, aunque sea extrafble.)
• Acceso completo: da acceso de lectura y escritura en volumenes de almacenamiento
que se conecten.
• Acceso de solo lectura: da acceso de lectura pero no de escritura en volumenes de
almacenamiento que se conecten.
• Forzar codificacion: obliga a codificar archivos en volumenes de almacenamiento que se
conecten. Se despliega una herramienta de codificacion que habilita la codificacion de
archivos en cualquier dispositivo de almacenamiento USB que se conecte a un cliente
que tenga esta configuracion. Los archivos se cifran cuando se escriben en un
dispositivo de almacenamiento y se decodifican cuando se leen. El acceso queda
habilitado solo si se proporciona la contrasena correcta, la cual se define cuando se cree
una carpeta cifrada en el dispositivo de almacenamiento USB.
IMPORTANTE: En primer lugar, cree una carpeta cifrada en el dispositivo USB.

Cuando se configura un dispositivo de almacenamiento para que se codifiquen sus
archivos, el usuario debe crear una carpeta cifrada antes de poder copiar archivos en el
dispositivo con la herramienta de codificacion (vaya a Inicio de IVANTI Management >
Utilidad de cifrado de IVANTI). Indique una contrasena al crear la carpeta cifrada. Si esta
habilitada la opcion Permitir sugerencias de contrasena (ver abajo), el usuario tendra la
opcion de introducir una sugerencia que le ayude a recordar la contrasena, aunque no
se solicite esa sugerencia. 40
• Opciones de codificacion:
* Espacio de almacenamiento asignado a la codificacion: especifica la cantidad de
espacio en un dispositivo de almacenamiento que puede utilizarse para guardar los
archivos cifrados.
• Permitir sugerencias de contrasena: permite que el al usuario final introduzca una

sugerencia que le ayude a recordar la contrasena de la carpeta codificada. Esta
sugerencia no puede coincidir con la contrasena misma. La sugerencia de contrasena
no puede superar 99 caracteres. (Observe que aunque el campo de sugerencia de
contrasena este disponible para introducirtexto, el usuario notiene que hacerlo.)
40 Sin acceso: previene el uso de volumenes de almacenamiento si se conectan a un

cliente que se configuro con esta configuracion de control de dispositivos. Con la
opcion siguiente puede personalizar que tipos de dispositivo aun se permiten mediante
la seleccion del tipo de dispositivo espedfico en la pagina de Dispositivo.
• Excepciones: Haga clic para crear excepciones en el nivel de acceso de los volumenes de
almacenamiento. Puede agregar excepciones basadas en el Id. de hardware, numero de serie
de medios o tipo de bus.
934
GUÍA DE USUARIO
• Notificar a usuarios finales: muestra un cuadro de mensajes cuando un usuario conecta un

dispositivo de almacenamiento no autorizado. Para obtener mas informacion, consulte la
"Ayuda de configuracion de Control de dispositivos" (925).
Acerca del cuadro de dialogo Configurar excepciones (para volumenes de almacenamiento)
Use este cuadro de dialogo para crear una excepcion en el nivel de acceso de los volumenes de
almacenamiento.
• Descripcion: Introduzca alguna descripcion para identificar esta excepcion.

• Parametro: Seleccione el tipo de parametro (ID de hardware, volumen serial o tipo de bus).
• Valor: si se selecciona el parametro de ID de hardware, introduzca un valor.
• Acceso: especifica el nivel de acceso de esta excepcion (acceso completo, acceso de solo
lectura, solo codificado, sin acceso).
Acerca de la pagina de Dispositivos
Utilice las fichas de esta pagina para configurar dispositivos e interfaces y administrar excepciones.
Pestana Dispositivo
Seleccione un dispositivo y, en la columna Acceso, seleccione Permitir, Bloquear o Permitir siempre.

Notificar a usuarios finales: muestra un cuadro de mensaje cuando un usuario conecta un dispositivo
de almacenamiento no autorizado. Para obtener mas informacion, consulte la "Ayuda de configuracion
de Control de dispositivos" (925).
Pestana Interfaces
Seleccione una interfazy, en la columna Acceso, seleccione Permitir o Bloquear.
Bloquear LAN inalambrica 802.11X: bloquea una conexion inalambrica de LAN802.11X.

Notificar a usuarios finales: muestra un cuadro de mensaje cuando un usuario conecta un dispositivo
de almacenamiento no autorizado. Para obtener mas informacion, consulte la "Ayuda de configuracion
de Control de dispositivos" (925).
Pestana Excepciones
Utilice esta pestana para configurar excepciones en los dispositivos detectados. Una excepcion
permite que un dispositivo especfico se conecte incluso si esa clase de dispositivo esta bloqueada.
Utilice los filtros de la parte superior de la ventana Configurar excepcion para filtrar la lista. Seleccione
los dispositivos a los que va a aplicar una excepcion ydecida si se basara en la ruta de acceso de la
instancia o en el Id. de hardware. Agregue las excepciones seleccionadas haciendo clic en Agregar a
la lista de excepciones.
Acerca de la pagina Instantaneas

Utilice esta pagina para habilitary configurar la instantanea en los dispositivos administrados que se
configuraron con este ajuste.
La instantanea permite rastrear que archivos se han copiado en el dispositivo o desde el mediante la
creacion de un duplicado (o instantanea) de dichos archivos en un directorio local.
935
• Habilitar la instantanea: activa la instantanea en los dispositivos administrados que tengan

esta configuracion.
• Registrar eventos solamente: indica que solo se registra la actividad de copia de archivos en el
historico, no los archivos que se estan copiando.
• Configuracion de cache local: especifica la ubicacion de la unidad local en la cual se
almacenan los archivos de las instantaneas y el archivo historico.
• Excepciones: Haga clic para crear excepciones. Puede agregar excepciones basadas en el Id.
de hardware, numero de serie de medios o tipo de bus.
Acerca de la pagina CD/DVD/Blu-ray

Utilice esta pagina para controlar las conexiones CD/DVD/Blu-ray.
• Controladores de CD/DVD/Blu-ray: seleccione el nivel de acceso de estos dispositivos. Haga
clic en Excepciones si desea aplicar excepciones a unidades de disco espedficas o a tipos de
unidad de disco.
• Dispositivos/Interfaces: use las casillas de verificacion para bloquear el acceso al cliente por
parte de dispositivos e interfaces.
• Excepciones: haga clic para crear excepciones a dispositivos e interfaces bloqueados. Puede
agregar excepciones basadas en id_de_hardware, clase, servicio, enumerador,
id_de_proveedor, id_de_dispositivo o id_de_dispositivo de proveedor.
• Unidades de CD/DVD: especifica el nivel de acceso de unidades CD / DVD.
• Excepciones: haga clic para crear excepciones en el nivel de acceso de las unidades CD/ DVD.
Puede agregar excepciones basadas en el Id. de hardware, numero de serie de medios o tipo
de bus.
• Notificar a usuarios finales: muestra un cuadro de mensaje cuando un usuario conecta un
IVANTI Antivirus
Informacion general de IVANTI Antivirus
IVANTI Antivirus esta compuesto por un analizador de agente de antivirus integrado, una base de
datos actualizada continuamente de firmas de antivirus, yopciones yfunciones de configuracion de
antivirus disponibles en la herramienta de Configuracion del agente.
IMPORTANT: Agente de antivirus

41 42
El agente de Antivirus es caracteristico del explorador de seguridad de Parches y cumplimiento.
Los servicios de IVANTI Security Suite mantienen una base de datos actualizada de archivos de
definiciones/patrones de virus que pueden descargarse, evaluarse, probarse y, por ultimo, distribuirse
en los dispositivos de destino de la red de IVANTI.
Con IVANTI Antivirus podra:
936
GUÍA DE USUARIO
• Descargar las ultimas actualizaciones de los archivos de definiciones y patrones de virus (la
base de datos de firmas de antivirus de IVANTI Security Suite se actualiza varias veces al dia)
• Programar actualizaciones periodicas de archivos de definiciones de virus
• Archivar los archivos con definiciones anteriores de virus
• Crear e implementar las tareas de instalacion del agente de Antivirus
• Ejecutar analisis de antivirus a peticion y programados en los dispositivos de destino
• Configurar el comportamiento del analisis del antivirus y las opciones del usuario final
• Seleccionar que tipos de archivos se deben analizar y si se debe analizar software peligroso
• Habilitar la proteccion en tiempo real de virus en archivos y mensajes de correo electronico
42 Detectar los motores del analizador de antivirus de terceros y habilitar/deshabilitar el analisis
de virus en tiempo real y garantizar archivos de patrones de virus actualizados para los
productos antivirus especificos
• Visualizar la informacion de actividad y estado de antivirus en los dispositivos analizados

• Configurar alertas de antivirus
• Generar informes de antivirus
937
Suscripciones y tipos de contenido de seguridad

Cuando se instala IVANTI Endpoint Manager o IVANTI Security Suite, la herramienta de Parches y
cumplimiento viene incluida de manera predeterminada. Sin embargo, sin la suscripcion al
contenido de Security Suite, solo se puede analizar en busca de actualizaciones de software
ydefiniciones personalizadas de IVANTI. Una suscripcion al contenido de Security Suite le permite
aprovechar al maximo la herramienta de Parches y cumplimiento (y la herramienta de Configuracion
del agente) al otorgar acceso a contenidos adicionales de seguridad (tipos de definiciones),
incluyendo las reglas de deteccion del analizador del antivirus y los archivos actuales de
definiciones de virus de Antivirus de IVANTI que utiliza el analizador del antivirus.
Los tipos de contenidos de seguridad incluyen:

• Actualizaciones de antivirus (en los analizadores de terceros, se incluye solo el contenido de
deteccion del analizador del antivirus; en Antivirus, se incluye el contenido de deteccion del
analizador y los archivos de definiciones de virus, asf como los archivos de definiciones de
software peligroso, los cuales estan disponibles en una base de datos ampliada)
• Aplicaciones bloqueadas (consulte "Aviso legal para los tipos de aplicaciones bloqueadas"
(645))
• Definiciones de vulnerabilidad personalizadas
• Actualizaciones de software de IVANTI
• Amenazas de seguridad (exposiciones de la configuracion del sistema; incluye la deteccion y
configuracion de servidores de seguridad)
• Spyware
• Vulnerabilidades (vulnerabilidades de plataforma conocidas y espedficas de las aplicaciones)
Utilizacion de Descargar actualizaciones

incluye varias actualizaciones de Antivirus en la lista de tipos de definiciones, incluso una
denominada Actualizaciones de IVANTI Antivirus. Cuando selecciona Actualizaciones de IVANTI
Antivirus, se descargan el contenido de deteccion del analizador y las actualizaciones de los
archivos de definiciones de virus de IVANTI Antivirus.
938
GUÍA DE USUARIO
En los motores analizadores de terceros, las actualizaciones de antivirus incluyen definiciones

del analizador que detectan:
. La instalacion de motores analizadores de antivirus comunes (incluyendo la herramienta de

Antivirus)

. Versiones de los archivos de patrones espedficos del analizador (actualizadas o anteriores)
939
En el analizador de Antivirus, las actualizaciones de antivirus incluyen no solo el contenido de

deteccion del analizador mencionado anteriormente sino tambien los archivos de definiciones de
virus que este utiliza.
NOTE: Contenido de deteccion del analizador de antivirus en comparacion con el contenido de

Las actualizaciones de antivirus no implican archivos de definiciones/patrones de virus reales. Cuando se
analizador no se descargan. Sin embargo, cuando se descargan las actualizaciones de Antivirus, se descarga el
contenido de deteccion del analizador y los archivos de definiciones de virus espedficos de IVANTI Antivirus. Los
archivos de definiciones de virus de Antivirus se descargan en una ubicacion aparte en el servidor central. El
repositorio predeterminado de los archivos de definiciones de virus es la carpeta \LDLogon\Antivirus\Bases.
Plataformas de dispositivos compatibles

Para obtener informacion detallada y actualizada sobre que plataformas son compatibles con
IVANTI Antivirus, consulte el documento Matriz de compatibilidad de las funciones del SO en la
Pagina principal de la Comunidad de usuarios de IVANTI
Administracion basada en roles con IVANTI Antivirus

IVANTI Antivirus, al igual que Revisiones y cumplimiento, usa la administracion basada en roles
para permitir a los usuarios el acceso a las funciones. La administracion basada en roles constituye
el marco de accesoy seguridad que le permite a los Administradores restringir el acceso de los
usuarios a las herramientas y los dispositivos. Cada usuario recibe roles y ambitos espedficos que
determinan las funciones que puede utilizary los dispositivos que puede administrar.
de la consola. Antivirus esta incluido en el derecho de Configuraciones de seguridad, el cual
aparece bajo el grupo de derechos de Seguridad en el cuadro de dialogo de Roles. Para podervery
utilizar las funciones de Antivirus, los usuarios deben tener los derechos de acceso de
Configuraciones de seguridad necesarios.
Con el derecho de Configuraciones de seguridad, puede dar a los usuarios la capacidad para:
• Implementar configuraciones de agente con Antivirus en los dispositivos de destino
• Descargar actualizaciones de archivos de definiciones de virus
• Crear actualizaciones programadas
• Crear tareas programadas de rastreo de antivirus
• Crear ajustes antivirus
940
GUÍA DE USUARIO
• Implementartareas de rastreo de antivirus ytareas de cambio de configuracion asociadas con

los ajustes de antivirus
• Habilitar la proteccion en tiempo real de archivos y mensajes de correo electronico
• Configurar rastreos de antivirus para rastrear determinados tipos de archivos
• Excluir determinados archivos, carpetas y tipos de archivos (por extension) de los rastreos
de antivirus
• Visualizar la informacion de actividad y estado de rastreo del antivirus en los dispositivos
rastreados
• Habilitar alertas de antivirus.
• Generar informes de antivirus (tambien requiere roles de Informes)
Flujo de trabajo de las tareas de antivirus

Los pasos que se detallan a continuacion ofrecen un resumen del esquema de los procesos o las
tareas habituales involucrados en la implementacion de la proteccion de antivirus de la red con
IVANTI Antivirus. Todos estos procedimientos se describen detalladamente en las secciones
subsiguientes.
Pasos basicos para implementary utilizar IVANTI Antivirus
1. Configurar los dispositivos administrados para efectuar el rastreo del antivirus

2. Descargar actualizaciones de definicion de virus y definicion de archivo patron provenientes
de un servidor de contenido de seguridad.
3. Determinar si los archivos de definiciones de virus estaran disponibles inmediatamente en
los dispositivos administrados o si antes se evaluaran en un entorno de prueba piloto.
4. Crear tareas y polfticas de rastreo de antivirus a peticion y programadas.
5. Configurar antivirus para determinar la operacion de rastreo y las opciones de usuario final.
6. Rastrear en busca de virus conocidos y archivos sospechosos en los dispositivos
administrados.
7. Ver los resultados de antivirus de los dispositivos rastreados.
8. Configurar alertas de antivirus.
9. Generar informes de antivirus.
Configurar dispositivos para implementar la proteccion de

Antivirus
Antes de poder rastrear en busca de virus los dispositivos administrados y limpiarlos, se debe
instalar el agente de Antivirus en ellos. Esto se puede hacer durante la configuracion de agente
inicial del dispositivo o con otra tarea de instalacion o actualizacion.
941
Consideraciones sobre el despliegue de Antivirus

Si implementa Antivirus en un dispositivo queya tiene otra solucion de antivirus instalada yen
ejecucion, Antivirus no habilitara su funcion de proteccion en tiempo real para prevenir posibles
conflictos de software. Cuando se elimina el otro producto de antivirus se puede habilitar la
proteccion de antivirus en tiempo real del Antivirus.
Puede seleccionar la eliminacion automatica del software de antivirus existente de los dispositivos
de destino mediante la implementacion de IVANTI Antivirus durante la configuracion inicial del
agente o como una tarea de instalacion o actualizacion de Antivirus por separado. Productos
antivirus que se pueden eliminar de los dispositivos, consulte "Lista de productos de antivirus de
terceros que se pueden eliminar automaticamente." (934).
IMPORTANT: Borrar software antivirus protegido con contrasena

Si el software antivirus existente esta protegido con contrasena, primero debe borrar la contrasena para
que IVANTI Antivirus pueda desinstalar el software.
Lista de productos de antivirus de terceros que se pueden eliminar automaticamente.

Los productos de antivirus que se pueden eliminar automaticamente al implementar (o actualizar)
IVANTI Antivirus incluyen:
• Symantec Antivirus (versiones 7,8, 9,10)

• Symantec Endpoint Protection 11
• McAfee Enterprise (versiones 7.0, 8.0i, 8.5)
• McAfee ePolicy Orchestrator EPO
• Trend Micro PC-cillin (versiones 2004, 2005,2006, 2007 15.3 en Windows Vista 64 bits)
• Trend Micro OfficeScan
• Trend Micro ServerProtect
• Trend Micro Internet Security 2008
• CA eTrust Antivirus (versiones 6, 7.x, 8, 8.1)
Configurar dispositivos para implementar la proteccion de Antivirus

Para configurar dispositivos con Antivirus a traves de una configuracion de agente

2. Haga clic en el boton Ventanas nuevas de la barra de herramientas.
3. Luego de especificar los ajustes deseados para la configuracion de agente, primero debe
hacer clic en la pagina Inicio y luego seleccionar la opcion IVANTI Antivirus. Ahora puede
tener acceso a las opciones de la pagina IVANTI Antivirus.
4. Haga clic en el grupo Seguridad y cumplimiento, y luego haga clic en IVANTI Antivirus.
5. Si desea eliminar automaticamente un producto de antivirus existente en los dispositivos de
942
GUÍA DE USUARIO
destino, seleccione la opcion Eliminar agente de antivirus existente. Para ver la lista
actualizada de los antivirus que se pueden eliminar de los dispositivos, consulte "Lista de
productos de antivirus de terceros que se pueden eliminar automaticamente." (934).
6. Seleccione una configuracion de antivirus de la lista disponibleyaptfquela a la configuracion
de agente que esta creando. Para crear una configuracion nueva o modificar una existente,
haga clic en Configurar. La configuracion del antivirus determina si el icono de Antivirus
aparece en la bandeja del sistema del dispositivo, la disponibilidad de las opciones
7. Termine de especificar cualquier otra configuracion del agente y luego haga clic en Guardar.
Tambien puede configurar dispositivos para que tengan Antivirus mediante la herramienta de
Configuraciones de seguridad.
Usar la herramienta de Configuraciones de seguridad
Si desea instalar o actualizar Antivirus mas adelante, puede hacerlo mediante una tarea aparte
desde la consola.
Use la herramienta de Configuraciones de seguridad (Herramientas > Seguridad y cumplimiento >
Configuraciones del agente) para crear tareas de instalacion o actualizacion, eliminar tareas y para
efectuar tareas para actualizar y rastrear archivos de definicion de antivirus.
943
Para instalar o actualizar Antivirus como una tarea aparte
1. En la consola, haga clic en Herramientas > Seguridad y cumplimiento > Configuration del
agente.
2. Haga clic en el boton Crear una tarea de la barra de herramientas y luego en Instalar o
actualizar componentes de seguridad.
4. Especifique si la instalacion es una tarea programada, si se basa en una poiftica o ambas.
5. Seleccione el componente que desea instalar, en este caso seleccione el Antivirus de IVANTI.
Puede seleccionar una configuracion de antivirus de la lista disponibleyaplicarla a la tarea
que este creando. Tambien puede crear configuraciones de antivirus nuevas o modificar las
existentes.
6. Si desea mostrar el progreso de la instalacion en el dialogo del rastreador de seguridad de
los dispositivos de destino, seleccione la opcion Mostrar dialogo de progreso en el cliente.
7. Si desea eliminar automaticamente un producto de antivirus existente en los dispositivos de
destino, seleccione la opcion Eliminar agente de antivirus existente. Para ver la lista
actualizada de los antivirus que se pueden eliminar de los dispositivos, consulte "Lista de
productos de antivirus de terceros que se pueden eliminar automaticamente." (934).
requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacion del
agente de Antivirus.
Eliminar IVANTI Antivirus de los dispositivos

Si desea eliminar Antivirus de los dispositivos administrados, tambien puede hacerlo con una tarea
aparte.
Para eliminar IVANTI Antivirus
1. En la consola, haga clic en Herramientas > Seguridad y cumplimiento > Configuracion del
agente.
2. Haga clic en el boton Crear una tarea de la barra de herramientas y luego en Eliminar
componentes de seguridad.
4. Especifique si la instalacion es una tarea programada, si se basa en una polftica o ambas.
5. Si desea mostrar el progreso de la instalacion en el dialogo del rastreador de seguridad de
los dispositivos de destino, seleccione la opcion Mostrar dialogo de progreso en el cliente.
944
GUÍA DE USUARIO

requisitos de reinicio y las acciones en los dispositivos de destino durante la instalacion del
agente de Antivirus.
Actualizar los archivos de definiciones de virus

Antivirus permite descargar los ultimos archivos de definiciones de virus desde los servidores de
contenido de IVANTI Security Suite. La base de datos de firmas de virus se actualiza varias veces al
dfa para garantizar que esten las ultimas definiciones de virus conocidas para proteger los
dispositivos administrados de estas amenazas que evolucionan rapidamente.
Puede descargar actualizaciones de archivos de definicion de virus desde la consola, bien sea
inmediatamente como una tarea unica o como una tarea programada con regularidad.
Utilizacion de Descargar actualizaciones de archivos de definicion de virus
Utilice Descargar actualizaciones (Configuraciones de Seguridad> Descargar actualizaciones) para

especificar donde se copian los archivos de definicion. Se pueden almacenar en el deposito
predeterminado de archivos de definiciones de virus desde donde se implementan en los
dispositivos de destino o en una carpeta de prueba piloto desde donde pueden implementarse en
un ambito limitado de dispositivos para probarlos antes de la implementacion completa.
Tambien se puede tener acceso a este cuadro de dialogo directamente cuando se crea una tarea de
Antivirus.
945
NOTE: Implementacion de los archivos de definiciones de virus en dispositivos de usuario final

Las actualizaciones de las definiciones de virus que se descarguen pueden implementarse en los dispositivos de
usuario final de forma remota desde el servidor central. Desde sus propios equipos, los usuarios tambien pueden
llevar a cabo la tarea de actualizacion de los archivos de definiciones de virus. De forma predeterminada
descargan archivos desde su servidor central de IVANTI. Sin embargo, si necesitan poder descargar las ultimas
actualizaciones de definiciones de virus mientras no estan conectados a la red (por ejemplo, al estar de viaje o al
utilizar un equipo portatil), se les puede proporcionar la opcion de descargar archivos directamente desde el
servidor de contenido de IVANTI Security Suite a traves de una conexion a Internet.
Para descargar actualizaciones de archivos de definiciones de virus
946
GUÍA DE USUARIO

2. Haga clic en el boton Descargar actualizaciones de la barra de herramientas. El cuadro de
dialogo se abre en la pagina Antivirus. (Tambien puede tener acceso al cuadro de dialogo
Descargar actualizaciones en la herramienta de Revisiones y cumplimiento.)
3. En la pagina de Actualizaciones, seleccione el sito de origen de la actualizacion en la lista de
servidores de contenido disponibles. Seleccione la mas cercana a su ubicacion.
4. En las pagina de Actualizaciones, seleccione Actualizaciones de antivirus en la lista Tipos de
Definicion. (Puede seleccionar mas de un tipo de definiciones para una sola descarga. Sin
embargo, debe tener la correspondiente suscripcion al contenido de IVANTI Security Suite.
Cuantos mas tipos seleccione, mas durara el proceso de actualizacion).
5. En la pagina de Actualizaciones, seleccione los idiomas cuyo contenido desea actualizar en
los tipos especificados.
6. Si desea que el nuevo contenido (el contenido no se encuentra en ningun grupo del arbol) se
ubique automaticamente en el grupo Sin asignar en lugar de la ubicacion predeterminada, la
cual es el grupo Rastrear, seleccione la casilla de verificacion Colocar nuevas definiciones en
el grupo Sin asignar.
7. Ahora haga clic en IVANTI Antivirus para ver el estado actual de los archivos de definicion
de virus y para configurar los valores de las actualizaciones del archivo de definicion del
virus espedfico.
8. Si desea que los archivos de definicion de virus se descarguen en el deposito
predeterminado del servidor central (\LDLogon\Antivirus\Bases) desde donde pueden
implementarse en los dispositivos de destino, haga clic en Aprobar inmediatamente. Sin
embargo, si desea evaluar primero los archivos de definicion de virus, antes de desplegarlos
a los dispositivos administrados, haga clic en Restringir definiciones a una prueba piloto
primero. (Tambien puede establecer un penodo de tiempo de aprobacion automatico, y
penodo de prueba mfnimo, para evitartener que hacerlo manualmente despues de la prueba).
Si selecciona realizar una prueba piloto primero, los archivos de definiciones de virus se
descargan en una carpeta de prueba piloto para implementarlos solo en los dispositivos cuya
configuracion de antivirus diga descargar version "piloto" de los archivos de definiciones.
9. Si usted quiere que aparezca un mensaje en la consola del servidor central cuando los
archivos de definicion de virus no se hayan actualizado durante los ultimos siete dfas, haga
clic en
Mostrarel dialogo de recordatorio si las definiciones estan desactualizadas.
10. Si desea descargar los ultimos archivos de definiciones ahora, haga clic en Obtener las
ultimas definiciones. El cuadro de dialogo Actualizacion de definiciones muestra el estado y
la operacion actual.
11. Si desea aprobar las definiciones de virus que actualmente residen en la carpeta de prueba
piloto, haga clic en Aprobar ahora. Esto mueve los archivos de definiciones desde la carpeta
de prueba piloto hacia la carpeta predeterminada (\LDLogon\Antivirus\Bases).
947
12. Si desea guardar una copia de seguridad de los archivos de definicion de virus que
actualmente residen en la carpeta Bases, marque la opcion Hacer copias de seguridad. Puede
restaurar las copias de seguridad de los archivos de definiciones en cualquier momento. Las
copias de seguridad son utiles para volver a una version anterior de los archivos de
definiciones de virus. (Las copias de seguridad de los archivos de definiciones de virus se
guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de creacion, bajo
\LDLogon\Antivirus\Backups\)
13. Haga clic en Descargar ahora para descargar las actualizaciones de contenido de seguridad
seleccionadas. En el cuadro de dialogo Actualizacion de definiciones se muestra el estado y
la operacion actual. O puede hacer clic en el boton Programar descarga para crear una tarea
programada (verabajo).
14. Una vez completada la actualizacion, haga clic en Cerrar. Tenga en cuenta que si hace clic en
Cancelar antes deque finalice la actualizacion, solamente se descargara en la base de datos
central el contenido de seguridad que se haya procesado hasta ese momento. Tendra que
ejecutar la actualizacion de nuevo para obtener el resto del contenido de seguridad.
IMPORTANT: Siempre que se actualizan los archivos de definicion de virus en los dispositivos administrados,
se ejecuta un minirastreo de los procesos de memoria en los mismos. Este rastreo se realiza para garantizar
que los procesos que se ejecutan en la memoria durante la actualizacion aun esten limpios.
Programacion de actualizaciones automaticas de archivos de definiciones de virus

Tambien puede configurar actualizaciones de archivos de definiciones de virus como tareas
programadas para que se efectuen en un momento establecido en un futuro o como una tarea
recurrente.
Para hacerlo, configure las opciones de descarga de contenido de seguridad en el cuadro de

dialogo Actualizar descargas, asegurese de seleccionar las actualizaciones de IVANTI Antivirus de
la lista de tipos de definiciones en la pestana Actualizaciones, configure las opciones de los
archivos de definiciones de virus en la pestana IVANTI Antivirus y luego haga clic en el boton
Programar actualizacion. El cuadro de dialogo Information de actualizacion programada muestra la
configuracion espedfica de la tarea. Introduzca un nombre para la tarea, y luego haga clic en
Aceptar para crear una tarea Descargar contenido de seguridad en la herramienta de Tareas
programadas, donde puede especificar las opciones de programacion.
NOTE: Configuracion espedfica de la tarea y configuracion global

se guardan y asocian con una tarea espedfica cuando la crea. Esas tres configuraciones se consideran
espedficas de la tarea. Sin embargo, los ajustes de configuracion de las otras pestanas del cuadro de dialogo
Descargar actualizaciones son globales, lo cual significa que se aplican a todas las tareas posteriores de
descarga de contenido de seguridad. La configuracion general incluye: ubicacion de la descarga de parches,
servidor proxy, reparacion automatica de spyware, alertas de seguridad y antivirus.
948
GUÍA DE USUARIO
Siempre que se cambia una configuracion global, dicho cambio se aplica a todas las tareas de descarga del
O contenido de seguridad desde ese punto en adelante.
Evaluar los archivos de definiciones de virus con una

prueba piloto
Es probable que desee evaluar los archivos de definiciones de virus antes de implementarlos en los
dispositivos administrados. Esto puede hacerse muyfacilmente restringiendo las actualizaciones de
los archivos de definiciones de virus a una carpeta de prueba pilotoyaplicando luego una
configuracion de antivirus que tenga seleccionada la opcion Descargar version piloto de los
Para ejecutar una prueba piloto de los archivos de definiciones de virus
1. En la pestana IVANTI Antivirus del cuadro de dialogo Descargar actualizaciones, haga clic en
Restringirlas a una prueba piloto primero.
2. Si no desea mover manualmente los archivos de definicion de virus probados de la carpeta
de prueba piloto a la carpeta predeterminada
(\IVANTI\ManagementSuite\ldlogon\antivirus8\win\bases8), haga clicen Programar aprobacion
para crear una tarea programada que especifique una hora para aprobar los archivos de
prueba piloto. Llene los campos de la tarea que aparece en la herramienta Tareas
programadas. Cuando llega la hora especificada, los archivos de definiciones de virus se
aprueban y mueven automaticamente.
3. Para descargar los archivos de definiciones de virus mas recientes del servidor de contenido
de IVANTI Security Suite, haga clic en Obtener las ultimas definiciones.
4. Si desea aprobar inmediatamente los archivos de definiciones de virus que actualmente
residen en la carpeta de prueba piloto, haga clic en Aprobar ahora. Esto mueve los archivos
de definiciones de la carpeta de prueba piloto a la carpeta predeterminada
(\IVANTI\ManagementSuite\ldlogon\antivirus8\win\bases8).
5. A continuacion, cree una configuracion de antivirus de prueba piloto que le permita
implementar los archivos de definiciones de virus en un grupo limitado de equipos de
prueba. En la pagina Actualizaciones de definiciones de virus de la configuracion de
antivirus, seleccione Descargar version piloto de los archivos de definiciones.
6. Aplique la configuracion de antivirus de prueba piloto a una tarea de rastreo de antivirus que
pueda utilizar para seleccionar su grupo de equipos de prueba de destino. Ahora puede
observar la actividad y los resultados del rastreo de antivirus en estos dispositivos para
evaluar la eficacia de los archivos de definiciones de virus descargados antes de
implementarlos en una audiencia mas amplia.
949
Copia de seguridad de los archivos de definiciones de

virus
Si desea guardar las versiones anteriores de los archivos de definiciones de virus descargados,
utilice la configuracion Copias de seguridad de las definiciones de virus de la pestana IVANTI
Antivirus.
Esto puede resultar muy util si tiene que volver a un archivo de definiciones de virus anterior para
rastreary limpiar archivos infectados espedficos o para restaurar un archivo de definiciones de virus
que resolvio un problema en particular.
Las copias de seguridad de los archivos de definiciones de virus se guardan en carpetas separadas
cuyo nombre corresponde a la fecha y hora en que se guardaron bajo la carpeta padre
LDLogon\Antivirus\Backups\.
Rastrear dispositivos en busca de virus

Esta seccion brinda informacion sobre el rastreo de dispositivos administrados para detectar virus
conocidos y objetos sospechosos.
IMPORTANT: El rastreo requiere una suscripcion al contenido adecuada

Recuerde que para poder rastrear un tipo espedfico de contenido de seguridad, incluso virus, debe tener la
suscripcion adecuada al contenido de IVANTI Security Suite. Para obtener mas informacion sobre las
suscripciones a contenidos, comunfquese con su distribuidor de IVANTI o visite el sitio web de IVANTI:
Metodos de rastreo
Existen varios metodos diferentes para ejecutar un rastreo de antivirus en los dispositivos
administrados que tienen Antivirus instalado:
• Rastreo de antivirus programado

• Rastreo de antivirus a peticion
• Rastreo de antivirus iniciado por el usuario
• Proteccion de archivos en tiempo real
• Proteccion de mensajes de correo electronico en tiempo real
Ejecutar un rastreo de antivirus programado desde la consola
Desde la consola, puede configurar las tareas de rastreo de antivirus para que se ejecuten bien sea
como un rastreo a peticion o como una tarea o polftica programada.
950
GUÍA DE USUARIO
La reparacion de tarea programada se puede considerar como una distribucion de instalacion

automatica, ya que la revision se instala automaticamente desde el servidor central en los
dispositivos; sin embargo, una polftica se considera una instalacion solicitada porque el agente de
poifticas del dispositivo busca en el servidor central polfticas aplicables y, posteriormente, instala la
revision desde el servidor central.
Para crear una tarea de rastreo de antivirus
1. Haga clicen Herramientas > Configuration > Configuraciones deseguridad.

2. Compruebe que los archivos de definiciones de virus se hayan actualizado recientemente.
3. Compruebe que la carpeta predeterminada de archivos de definiciones de virus
951
(\LDLogon\Antivirus\Bases) contenga solo las definiciones que desea rastrear.
4. Haga clic en el boton Crear una tarea de la barra de herramientas y luego en IVANTI
Antivirus.

6. Especifique si desea que esta tarea actualice las definiciones de virus, realice un rastreo de
antivirus o efectue ambas acciones.
7. Especifique si la tarea es una tarea programada, un rastreo basado en la poiftica, o ambos.

8. Si desea rastrear todos los dispositivos administrados que tengan instalado el agente
Antivirus, seleccione una tarea programada y luego seleccione todos los dispositivos de
destino. Tambien puede iniciar inmediatamente el rastreo de antivirus de todos los
dispositivos.
9. Si desea asegurar que el rastreo utiliza los ultimos archivos conocidos de definiciones de
virus, seleccione la opcion Actualizar definiciones de virus.
10. Seleccione una configuracion de antivirus en la lista disponible (tambien puede crear una
configuracion personalizada para este rastreo; para ello haga clic en el boton Configurar),
para especificar la forma en que el rastreador opera en los dispositivos de usuario final. Si
desea que el rastreo de antivirus utilice la configuracion de antivirus local (configuracion
predeterminada) del dispositivo, seleccione dicha opcion en la lista. Para obtener mas
informacion sobre la configuracion del rastreo de antivirus con opciones de antivirus,
consulte "Acerca del cuadro de dialogo de Configuracion de IVANTI Antivirus" (794).
11. Haga clic en Aceptar. (Para una tarea de rastreo programada tfpica, haga clic en Aceptary
luego agregue los dispositivos de destino y configure las opciones de programacion en la
herramienta de Tareas programadas.)
Ejecutar un rastreo de antivirus a peticion desde la consola
Tambien puede ejecutar un rastreo de antivirus inmediato a peticion en uno o mas dispositivos de
destino.
Para ello, haga clic con el boton derecho en el dispositivo seleccionado (o hasta en 20 dispositivos
seleccionados), haga clic en Rastreo de IVANTI Antivirus ahora, seleccione una configuracion de
antivirus, elija si va actualizar los archivos de definiciones de virus antes de realizar el rastreo y
luego haga clic en Aceptar.
Al hacer clic en Aceptar, el cuadro de dialogo Estado de las acciones requeridas muestra la
siguiente informacion:
• Progreso
• Resultados
• Informacion del tiempo de rastreo
952
GUÍA DE USUARIO
Ejecutar un rastreo de antivirus en un dispositivo administrado

Ademas, si ha configurado el antivirus para que el icono de Antivirus aparezca en la bandeja del
sistema del dispositivo, los usuarios finales pueden realizar sus propios rastreos de antivirus a
peticion.
Para hacerlo en el dispositivo administrado, haga clic con el boton derecho en el icono de la barra
de herramientas de IVANTI Antivirus y luego seleccione Rastrear mi equipo. O desde el cuadro de
dialogo de Antivirus, haga clic en Rastrear mi equipo.
Habilitar la proteccion de antivirus en tiempo real

(archivos, correo electronico)
La proteccion de antivirus en tiempo real proporciona rastreos continuos de segundo plano de
archivos, tipos de archivos, mensajes de correo electronico ydatos adjuntos de correo electronico
especificados basados en las definiciones de virus conocidas. Tambien puede habilitar la
notificacion en tiempo real para informar a los usuarios finales sobre archivos infectados.
La proteccion de archivos, el rastreo de mensajes de correo electronico y la notificacion en tiempo

real se encuentran configurados con la configuracion de antivirus.
NOTE: Indicador del icono de la bandeja del sistema de IVANTI Antivirus

Cuando se habilita la proteccion de antivirus en tiempo real, el icono de la bandeja del sistema de IVANTI
Antivirus (en el dispositivo del usuario final) es amarillo. Cuando la habilitacion en tiempo real se encuentra
deshabilitada, el icono es gris. 43 44
Proteccion de archivos en tiempo real

Configure la proteccion de archivos en tiempo real con las opciones que aparecen en la pagina
Proteccion en tiempo real del cuadro de dialogo Configuracion de Antivirus. Para obtener mas
informacion, haga clic en Ayuda.
Cuando se ejecuta la proteccion en tiempo real, se buscan virus en los archivos siempre que los
archivos:
• Se abren
• Se cierran
• Se acceden
• Secopian
44 Seguardan
Rastreo de correo electronico en tiempo real
Configure el rastreo de mensajes de correo electronico en tiempo real con la opcion Habilitar
rastreo de mensajes de correo electronico de la pagina General del cuadro de dialogo Configuracion
de Antivirus.
953
La proteccion de mensajes de correo electronico en tiempo real proporciona un rastreo continuo de

los mensajes entrantes y salientes. Antivirus rastrea el cuerpo del mensaje asf como los cuerpos de
los mensajes adjuntosylos archivos adjuntos.
La proteccion de Antivirus de mensajes de correo electronico en tiempo real es compatible con:

• Microsoft Outlook
Cuando se ejecuta la proteccion de mensajes de correo electronico en tiempo real, los mensajes y
los datos adjuntos:
• Se rastrean cuando se abren o se les hace una vista previa

• No se rastrean cuando estan seleccionados
Si se detecte un mensaje de correo electronico infectado en algun dispositivo administrado, IVANTI
Antivirus intentara limpiarlo. Si se puede limpiar, se coloca un nuevo encabezado en el cuerpo del
mensaje para informarle al usuario final. Si no se puede limpiar el mensaje, se elimina todo el
cuerpo del mensaje y se reemplaza con un nuevo encabezado.
Cuando se detecta un mensaje de correo electronico sospechoso, el cuerpo del mensaje se

transforma a texto simple yse le agrega un encabezado.
Tambien aparece un cuadro de dialogo en el dispositivo del usuario final que muestra:
• Ruta del archivo
• Nombre del virus
• Una nota que le informa al usuario que debe comunicarse con el administrador de red
Notificacion (de archivos infectados) en tiempo real
Se notifica a los usuarios finales siempre que se detecta, se pone en cuarentena, se elimina, se
omite o se limpia un archivo infectado con un virus.
Configure la notificacion de archivos infectados en tiempo real con la opcion que aparecen en la
pagina Proteccion en tiempo real del cuadro de dialogo Configuration de Antivirus.
Aparece un cuadro de dialogo en el dispositivo del usuario final que muestra:

• Ruta del archivo
• Nombre del virus
• Nota que le informa al usuario que debe comunicarse con el administrador de red
954
GUÍA DE USUARIO
Configurar las opciones de rastreo de antivirus con la

configuracion de antivirus
Antivirus ofrece un control completo de la forma en que los rastreos de antivirus se ejecutan en los
dispositivos de destino y de las opciones que se encuentran disponibles para los usuarios finales.
Por ejemplo, segun el proposito o el horario programado del rastreo de antivirus, es probable que
desee mostrar el cliente de Antivirus en los dispositivos del usuario final, permitirle al usuario final
realizar rastreos de antivirus, visualizary restaurar los objetos que se encuentran en cuarentena,
descargar actualizaciones de archivos de definiciones de virus, etc. Puede hacerlo hacer esto
mediante la creacion y aplicacion de la configuracion de antivirus para una tarea de analisis.
Con la configuracion de antivirus se pueden configurar las siguientes opciones:
• Si el icono de Antivirus aparece en las bandejas de los sistemas de los dispositivos (se
otorga acceso al usuario final a las tareas de rastreo de antivirus, visualizacion de
cuarentenas y copias de seguridad y manejo de archivos)
• Rastreo de correo electronico en tiempo real

• Rastreos de boton derecho de usuario final
• Uso de la CPU
• Propietario (para restringir el acceso)
• Rastreos de antivirus programados
• Tamano de la carpeta de cuarentena/copia de seguridad
• Restauracion de objetos infectados ysospechosos
• Especificar que archivos, carpetas y tipos de archivo se van a rastrear
• Exclusiones del rastreo
• Si se va a utilizar el analisis de heunsticos para detectar archivos sospechosos
• Si se debe rastrear el software riesgoso
• Proteccion de archivos en tiempo real (entre ellos archivos para rastrear, heunsticos y
exclusiones)
• Descarga de actualizaciones de archivos de definiciones de virus (versiones de prueba

piloto, descargas programadas, permiso de descarga para los usuarios finales y descargas
directas desde el servidor de contenido de seguridad)
Todas las configuraciones de antivirus que crea se almacenan en el grupo IVANTI Antivirus de la
herramienta de Configuracion.
Utilizacion de la configuracion de Antivirus
Crear configuraciones de antivirus (un conjunto guardado de opciones configuradas) y aplicarlas a

las tareas de rastreo de antivirus. Se pueden crear tantas configuraciones de antivirus como se
desee. Las configuraciones de antivirus pueden disenarse para un proposito, un horario o un
conjunto de dispositivos de destino espedficos.
955
Para crear una configuracion de antivirus
1. En la herramienta Configuraciones de seguridad, haga clic con el boton derecho en el objeto

IVANTI Antivirus, yluego haga clicen Nueva.
2. Introduzca un nombre para la configuracion de antivirus.
3. Especifique la configuracion en las paginas como lo desee para la tarea en particular. Para
obtener mas informacion sobre una opcion, haga clic en Ayuda.
Una vez configurado, puede aplicar la configuracion de antivirus a las tareas de antivirus (o a una
tarea de cambiar configuracion).
Cambio de la configuracion de antivirus predeterminada de un dispositivo

La configuracion predeterminada de antivirus de un dispositivo se implementa como parte de la
configuracion inicial del agente. Cuando se asocia o se asigna una configuracion de antivirus
distinta a una tarea espedfica, la configuracion predeterminada se sobrescribe. Tambien puede
elegir utilizar la configuracion predeterminada del dispositivo seleccionandola cuando cree una
tarea.
Es probable que en algun momento desee cambiar la configuracion predeterminada de antivirus en
956
GUÍA DE USUARIO
ciertos dispositivos. Revisiones y cumplimiento ofrece un modo para hacer esto sin necesidad de
volver a implementar una configuracion de agente completamente nueva. Para ello, utilice la tarea
Cambiar configuracion que se encuentra en la lista desplegable del boton Clear una tarea de la barra
de herramientas. El cuadro de dialogo que aparece permite especificar un nombre unico para la
tarea, indicar si se trata de una tarea o de una polftica programada, y ya sea seleccionar una
configuracion existente como predeterminada o utilizar el boton Modificar para crear una nueva
configuracion predeterminada en los dispositivos de destino.
Visualizacion de la configuracion de antivirus de dispositivos en el inventario
Puede detectary/o verificar la configuracion de antivirus de dispositivos en la vista de inventario.
Para hacer esto, haga clic con el boton derecho en el dispositivo seleccionado y haga clic en
Inventario > IVANTI Management > Configuracion de AV.
Configuracion de que archivos se deben rastrear (solamente archivos infectables, exclusiones, heurlsticos,
software riesgoso)
Puede especificar que archivos (o elementos) desea rastrear y cuales no, tanto con los rastreos de
antivirus como con la proteccion de archivos de antivirus en tiempo real.
Consulte las secciones siguientes para obtener informacion sobre la personalizacion de lo que se
rastrea:
• "Todos los archivos o solamente los archivos infectables" (949)

• "Exclusion de elementos de los rastreos de antivirus yde la proteccion en tiempo real" (951)
• "Uso del analisis de heunsticos para rastrear objetos sospechosos" (952)
• "Rastreo de software riesgoso (base de datos ampliada)" (952)
Todos los archivos o solamente los archivos infectables
Puede rastrear todos los archivos o solo los infectables en las paginas de Rastreo de virus y
Proteccion en tiempo real de alguna configuracion de antivirus.
957
. ACM .
ACV .
ADT .
AX .
BAT .
BIN .
BTM .
CLA .
COM .
CPL .
CSC .
CSH .
DLL .
DOC .
DOT .
DRV .
EXE .
HLP .
HTA .
HTM .
HTML .
HTT .
INF . INI
. JS .
JSE .
JTD
958
GUÍA DE USUARIO
. MDB .
MSO .
OBD .
OBT .
OCX .
PIF . PL
. PM .
POT .
PPS .
PPT .
RTF .
SCR .
SH .
SHB .
SHS .
SMM .
SYS .
VBE .
VBS .
VSD .
VSS .
VST .
VXD .
WSF .
WSH
Exclusion de elementos de los rastreos de antivirus y de la proteccion en tiempo real
Tambien puede especificar que archivos no rastrear mediante los rastreos de antivirus y la
proteccion de archivos en tiempo real. Para configurar las exclusiones del rastreo de antivirus
agregue archivos, carpetas y tipos de archivos a la lista de exclusiones de las paginas de Rastreo
de virus y Proteccion en tiempo real de la configuracion de antivirus.
NOTE: Lista de elementos de confianza en los dispositivos administrados

Observe que tambien puede habilitar una opcion que le permite a los usuarios finales especificar los archivos y
las carpetas que no deseen que IVANTI Antivirus rastree. Esta funcion se denomina lista de
959
elementos de confianza y se configura en la pagina General de la configuration de antivirus.
Uso del analisis de heunsticos para rastrear objetos sospechosos

Puede habilitar el analisis de heunsticos para buscar archivos sospechosos (probablemente
infectados) con los rastreos de antivirus y la proteccion en tiempo real.
Habilite el rastreo de heunsticos en las pestanas de las paginas de Rastreo de virus y Proteccion en
tiempo real de la configuracion de antivirus.
El rastreo del analisis de heunsticos intenta detectar archivos sospechosos de estar infectados con
un virus desconocido (no definido en la base de datos de firmas de virus) mediante la observacion
de su comportamiento sospechoso. El comportamiento sospechoso puede hacer referencia a un
programa que se modifica automaticamente y luego trata de buscar otros ejecutables o que se
modifica despues de terminar. El analisis de heunsticos simula la ejecucion de programas para
hacer protocolos de actividad observada sospechosa y luego los utiliza para identificar posibles
infecciones de virus. Este mecanismo es eficaz y confiable en casi todos los casos y muy pocas
veces genera positivos falsos.
Antivirus utiliza un analizador de heunsticos para verificar archivos que ya se han rastreado
mediante un rastreo de antivirus basado en definiciones de virus conocidas.
Tenga en cuenta que el rastreo de heunsticos puede afectar negativamente el desempeno de los
Rastreo de software riesgoso (base de datos ampliada)

Antivirus le permite habilitar el rastreo en busca de software riesgoso, tambien denominado
riskware, en los dispositivos de destino. El software riesgoso es simplemente el software cliente
cuya instalacion presenta un riesgo posible, pero no definitivo, para el usuario final.
Ejemplos de software riesgoso incluyen software promocional, programas proxy, software

pornografico, utilidades de administracion remota, IRC, marcadores, monitores de actividad,
utilidades de contrasenas y otras herramientas de Internet tales como FTP, Web, ProxyyTelnet.
Cuando se selecciona el rastreo de software riesgoso en dispositivos administrados, Antivirus

carga una base de datos ampliada que contiene los archivos de definicion que se utilizan para
realizar el rastreo. El rastreo de la base de datos ampliada requiere mas tiempo que el rastreo de
antivirus estandar.
Notas adicionales sobre el rastreo de archivos

• Rastreo de puntos de reparation del sistema: Antivirus rastreara los archivos en cualquiera de
las carpetas de puntos de reparacion del sistema que puedan existir en el dispositivo
administrado.
960
GUÍA DE USUARIO
Lo que sucede en un dispositivo durante un rastreo de

antivirus
Esta seccion describe la forma en que Antivirus aparece en los dispositivos de usuario final que
tienen instalado Antivirus y lo que sucede cuando los dispositivos se rastrean en busca de virus
con un rastreo de antivirus o a traves de la proteccion de virus en tiempo real. Se incluyen las
opciones de usuario final posibles, al igual que las acciones que los usuarios finales pueden realizar
si el rastreo detecta un objeto infectado.
Interfaz del cliente y acciones del usuario final de Antivirus
Si se selecciona la opcion Mostrar el icono de IVANTI Antivirus en la bandeja del sistema en la

configuracion de antivirus de un dispositivo, aparece el cliente de Antivirus y muestra los siguientes
elementos:
Icono en la bandeja del sistema

• La proteccion en tiempo real esta habilitada (el icono en la bandeja del sistema esta amarillo)
o deshabilitada (el icono en la bandeja del sistema esta gris)
Ventana de antivirus
• La proteccion en tiempo real esta habilitada o deshabilitada (si la opcion esta habilitada en la
configuracion de antivirus, el usuario final puede deshabilitar la proteccion en tiempo real
durante el tiempo que se especifique)
• El rastreo de mensajes de correo electronico esta habilitado o deshabilitado

• Ultimo rastreo (fecha yhora)
• Rastreo programado (fecha yhora)
• Numero de version del motor de rastreo
• Definiciones de virus (la ultima vez que se actualizaron los archivos de patrones)
• Cuarentena (muestra la cantidad de objetos que se ha puesto en cuarentena. Los usuarios
finales pueden hacer clic en Ver detalles para tener acceso al cuadro de dialogo Objetos en
cuarentena. Si la opcion esta habilitada, el usuario final tambien puede restaurar archivos. Si
la opcion de requisito de contrasena esta habilitada, el usuario final debe especificar dicha
contrasena).
• Copia de seguridad (muestra la cantidad de objetos a los que se les ha realizado copia de
seguridad)
• Elementos de confianza (muestra los elementos que el usuario final ha agregado a su lista de
elementos de confianza y en los que no se realizara el rastreo de virus o software riesgoso)
Acciones del usuario final
Si Antivirus esta instalado en su equipo y su configuracion de antivirus (predeterminada o espedfica

de la tarea) lo permite, los usuarios pueden realizar las siguientes tareas:
• Rastrear mi equipo (pueden ver el estado del rastreo y ademas pausarlo y cancelarlo)
961
. Hacer clic con el boton derecho del raton para realizar un rastreo de antivirus en los archivos y
las carpetas de Windows Explorer (si la configuracion de antivirus tiene la opcion habilitada)
• Ver tareas locales de rastreo de antivirus programadas

• Crear rastreos locales de antivirus programados en sus equipos (si la opcion se ha habilitado
en la configuracion de antivirus)
• Actualizar los archivos de definiciones de virus

• Deshabilitar de forma temporal la proteccion en tiempo real (si la configuracion de agente
tiene la opcion habilitada yse ha limitado a un penodo de tiempo espedfico)
• Ver objetos en cuarentena

• Ver objetos de copia de seguridad
• Ver elementos de confianza
• Restaurar objetos sospechosos (si la configuracion de antivirus tiene la opcion habilitada)
• Restaurar objetos infectados y software riesgoso (si la configuracion de antivirus tiene la
opcion habilitada)
• Agregary eliminar archivos, carpetas o subcarpetas en su lista de elementos de confianza
Observe que los usuarios finales no pueden configurar los ajustes del rastreo de antivirus ni
deshabilitar el rastreo de mensajes de correo electronico.
Cuando se detecta un objeto infectado
Este proceso se aplica a los archivos y a los mensajes de correo electronico infectados.
1. Se efectua copia de seguridad del objeto infectado automaticamente. (El archivo de copia de
seguridad se guarda en la carpeta \LDClient\Antivirus\ con una extension *.bak.)
2. Se intenta limpiar el objeto infectado.

3. Si puede limpiarse, se lo restaura a su ubicacion original.
4. Si no puede limpiarse, se coloca en cuarentena. (Luego se quita la cadena del virus y se
codifica el archivo para que no se pueda ejecutar. El archivo de cuarentena se guarda en la
carpeta \LDClient\Antivirus\con una extension *.qar).
Si los usuarios finales tienen habilitada la opcion correspondiente en la configuracion de antivirus

(predeterminada o especfica de la tarea), pueden restaurar, eliminar yvolver a rastrear los objetos en
cuarentena.
Rastreo automatico de archivos en cuarentena
Cuando se ejecuta un rastreo de antivirus a peticion o cuando se actualizan los archivos de

definiciones de virus, el rastreador de antivirus rastrea automaticamente los objetos que se
encuentran en la carpeta cuarentena para ver si los archivos infectados pueden limpiarse con los
archivos de definiciones de virus actuales.
Si un archivo en cuarentena puede limpiarse, este se restaura automaticamente y se notifica al
usuario.
962
GUÍA DE USUARIO
Los usuarios finales pueden abrir un archivo de copia de seguridad para ver un encabezado que
proporciona informacion sobre la ubicacion original del archivo y la razon por la que se le hizo una
copia de seguridad.
Tenga en cuenta que solo el usuario original (el usuario en sesion cuando se descubre el archivo
infectado) puede eliminar o modificar los archivos de copia de seguridad.
Configurar alertas de antivirus

Puede configurar alertas de antivirus para recibir notificacion si se detectan brotes de virus
espedficos en los dispositivos administrados del sistema. Antivirus utiliza la herramienta de alertas
estandar de IVANTI.
Los parametros de brote de virus se definen con base en el numero de dispositivos administrados
infectados por un virus en un penodo de tiempo especificado.
Para configurar alertas de antivirus
La configuracion de las alertas de Antivirus se encuentra en la pagina Antivirus del cuadro de

dialogo
Configuration de alertas.
Primero debe configurar las alertas de antivirus en la herramienta Configuracion de alertas de la

consola. Las alertas de antivirus incluyen:
• Error en la accion activada por alerta

• Accion correcta activada por alerta
• Alerta de brotes de virus (por virus)
Los siguientes eventos de antivirus pueden generar alertas de antivirus:
• Error al eliminar virus

• Correcta eliminacion del virus
• Error al poner en cuarentena
• Cuarentena correcta
• Error al eliminar
• Eliminacion correcta
Seleccione las alertas que desea que se generen. La opcion del intervalo de tiempo le permite evitar
demasiadas alertas. Mas de una alerta (para cualquier activacion de antivirus) durante el intervalo de
tiempo especificado se ignora.
Puede visualizar el historial completo de alertas de antivirus de un dispositivo en el dialogo

Informacion de seguridad. Haga clic con el boton derecho en un dispositivo, seleccione Informacion
de seguridad, seleccione el tipo de antivirus en la lista desplegable de tipos y luego seleccione el
objeto Historial de antivirus.
963
Generar informes de antivirus

La informacion de Antivirus se puede ver mediante el uso de varios informes de la herramienta de
Informes. Estos informes proporcionan informacion util sobre la actividad de rastreo de antivirus y
el estado de los dispositivos rastreados en la red.
Para acceder a la herramienta de Informes, y poder generar y ver los mismos, los usuarios deben
tener derechos de administrador de IVANTI (lo que implica derechos absolutos) o roles de Informes
espedficos.
Ver la informacion de antivirus en el Tablero de instrumentos ejecutivo

Tambien puede visualizar la informacion del rastreo de antivirus en el Tablero de resultados
ejecutivo de la consola web de IVANTI. Esta informacion resulta util para identificar los brotes de
virus y para mostrar la proteccion de antivirus a lo largo del tiempo.
Los artefactos especficos de IVANTI Antivirus muestran:

• Los cinco principales virus detectados (en los ultimos 10 dfas o semanas)
• Los dispositivos administrados infectados con virus (en los ultimos 10 dfas o semanas)
• Medicion del porcentaje de dispositivos administrados que tienen habilitada la proteccion en
tiempo real
• Medicion del porcentaje de dispositivos administrados que tienen definiciones de virus

actualizadas
IVANTI Antivirus heredado

Configuracion del agente (Herramientas > Seguridad y cumplimiento > Configuration del agente).
Antivirus permite descargar y administrar el contenido de antivirus (archivos de definiciones de

virus), configurar los analisis del antivirus y personalizar la pantalla o la configuracion de interaction
del analizador del antivirus, lo cual determina como el analizador aparece y opera en los
La section principal de "Informacion general de IVANTI Antivirus" (929) presenta esta herramienta
de administration de seguridad complementaria, la cual es un componente de IVANTI Endpoint
Manager y IVANTI Security Suite. En esa seccion encontrara una introduction e informacion sobre la
suscripcion de contenido de antivirus, asf como tambien instrucciones paso a paso sobre como
utilizar todas las funciones de Antivirus.
Antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda haciendo clic en el
964
GUÍA DE USUARIO
boton Ayuda del cuadro de dialogo respectivo.
• "Ayuda para descargar actualizaciones del antivirus" (957)

• "Ayuda de Tareas del antivirus" (961)
• "Ayuda de configuracion de antivirus" (962)
Ayuda para descargar actualizaciones del antivirus

Acerca de la pagina de IVANTI Antivirus en el cuadro de dialogo de Descargar actualizaciones
Utilice la pagina IVANTI Antivirus del cuadro de dialogo Descargar actualizaciones para configurar la
descarga de las actualizaciones de los archivos de definiciones de virus desde los servicios de
IVANTI Security Suite. Puede seleccionar descargar el contenido de Antivirus (archivos de
definiciones/patrones de virus), especificar cuando los archivos de definiciones de virus van a estar
disponibles para distribuirlos en los dispositivos administrados (inmediatamente o despues del
penodo de prueba piloto) y si se realiza copia de seguridad de los archivos de definiciones.
incluye varias actualizaciones de Antivirus en la lista de tipos de definiciones, entre ellas una
denominada Actualizaciones de IVANTI Antivirus. Cuando se selecciona este tipo, se descarga el
contenido de deteccion del analizador y de las actualizaciones de los archivos de definiciones de
virus.
Las actualizaciones de antivirus son definiciones del analizador que detectan:

• La instalacion de motores analizadores de antivirus comunes (entre ellos el agente de IVANTI
Antivirus)
• Versiones de los archivos de patrones espedficos del analizador (actualizadas o anteriores)
NOTE: Contenido de deteccion del analizador del antivirus en comparacion con el contenido de
Las actualizaciones de antivirus no implican archivos de definiciones (o patrones) de virus reales. Cuando se
analizador no se descargan. Sin embargo, cuando se descargan las actualizaciones de IVANTI Antivirus, se
descargan el contenido de deteccion del analizador y los archivos de definiciones de virus espedficos de IVANTI
Antivirus. Los archivos de definiciones de virus de IVANTI Antivirus se descargan en una ubicacion aparte en el
servidor central. El repositorio predeterminado de los archivos de definiciones de virus es la carpeta
\LDLogon\Antivirus\Bases.
Debe tener la suscripcion adecuada al contenido de IVANTI Security Suite para poder descargar los
distintos tipos de contenido de seguridad.
La instalacion basica de IVANTI Endpoint Manager le permite descargary analizar las
965
actualizaciones de software de IVANTI y crear sus propias definiciones personalizadas. Para todos
los otros tipos de contenido de seguridad, como vulnerabilidades espedficas de la plataforma,
spyware, yarchivos de definiciones (patrones) de virus, DEBE tener una suscripcion al contenido de
IVANTI Security Suite para poder descargar las definiciones correspondientes.
comurnquese con su distribuidor o visite el sitio web de IVANTI:

Luego de especificar el tipo de contenido que desea descargar y las otras opciones en el cuadro de
dialogo Descargar actualizaciones:
• Para realizar una descarga inmediata, haga clic en Actualizar ahora. Si hace clic en
configuracion.
• Para programar una tarea de descarga de contenido de seguridad, haga clic en Programar
actualizacion para abrir el cuadro de dialogo Informacion de actualizacion programada.
Escriba un nombre para la tarea, verifique la informacion de la tarea y luego haga clic
en Aceptar para agregarla a Tareas programadas.
IMPORTANT: Configuracion esperifica de la tarea y configuracion global

se guardan y asocian con una tarea espedfica cuando la crea. Esas tres configuraciones se consideran espedficas de
la tarea. Sin embargo, los ajustes de configuracion de las otras pestanas del j cuadro de dialogo Descargar
de seguridad. La configuracion general incluye: ubicacion de la descarga de parches, servidor proxy, reparacion
automatica de spyware, alertas de seguridad y antivirus. Siempre que se cambia una configuracion global, dicho
cambio se aplica a todas las tareas de descarga del contenido de seguridad desde ese punto en adelante. 45 46
• Definiciones de virus actualmente en prueba piloto: observe que esta lista solo aparece si se
selecciono la opcion Restringirlas primero a una prueba piloto. Muestra la fecha y el numero
de version de los archivos de definiciones de virus que actualmente residen en la carpeta
Para guardar los cambios en cualquier pagina de este cuadro de dialogo en cualquier momento,
haga clic en Aplicar.
La pagina de IVANTI Antivirus contiene las siguientes opciones:

46 Definiciones de virus aprobadas para la distribution: Muestra la fecha y el numero de version
de los archivos de definiciones de virus aprobados mas recientemente que se encuentran
disponibles para distribuirlos a los dispositivos administrados. Los archivos de definiciones
de virus aprobados se ubican en la carpeta predeterminada (\LDLogon\Antivirus\Bases),
desde donde se implementan en los dispositivos de destino como parte de los analisis del
antivirus a peticion y programados. El tiempo exacto de la actualizacion de los archivos de
definiciones de virus (descargados del servicio de IVANTI Security Suite, el cual tiene los
ultimos archivos de patron conocidos) se puede observar entre parentesis debajo de este
campo.
966
GUÍA DE USUARIO
piloto, siempre y cuando se hayan descargado en esa ubicacion. La prueba piloto ayuda a
verificar la validezy la utilidad de un archivo de definiciones de virus antes de usarlo para
analizar virus en los dispositivos administrados. Las definiciones de virus que se han
descargado en la carpeta de prueba piloto pueden desplegarse en los dispositivos de destino
"de prueba".
• Actualizaciones de definicion de virus - Cuando nuevos archivos de definicion de virus se
descargan de IVANTI:
• Aprobar inmediatamente (ponerlas a disposition de todos los equipos): descarga las
definiciones de virus directamente a la carpeta predeterminada
(\IVANTI\ManagementSuite\ldlogon\antivirus8\win\bases8). Las definiciones de virus
descargadas a la carpeta predeterminada estan aprobadas y pueden implementarse en
los dispositivos de destino para el analisis del antivirus.
• Restringirlas primero a una prueba piloto: Descarga archivos de definiciones de virus
a la carpeta piloto para fines de prueba. Las definiciones de virus de la carpeta piloto
pueden implementarse en los equipos de prueba designados antes de hacerlo en los
• Obtener las definiciones mas recientes: inicia un proceso inmediato de
descarga de archivos de definiciones de virus. El cuadro de dialogo
Actualizando definiciones muestra el progreso de la descarga.
• Aprobar ahora: Le permite mover los archivos de definiciones de virus desde la
carpeta piloto a la carpeta predeterminada de definiciones de virus para poder
implementarlas en el analisis del antivirus de los dispositivos de destino.
• Programar aprobacion: abre la herramienta Tareas programadas con una nueva
tarea en la cual se pueden especificar las opciones de programacion (empezar
ahora, o iniciar en un dfa y hora particular, yestablecer la frecuencia). Esta tarea
programada mueve automaticamente los archivos de definicion de virus que se
descargaron de la carpeta piloto a la carpeta predeterminada de los archivos de
definicion de virus (\IVANTI\ManagementSuite\ldlogon\antivirus8\win\bases8).
(NOTA: Esta opcion se encuentra disponible solo si se restringen las
actualizaciones de los archivos de definiciones de virus a una prueba piloto.
Ademas, permite automatizar la aprobacion de los archivos de definiciones. Si
no se habilita esta opcion, los archivos de definiciones de virus de la carpeta
piloto deben aprobarse de forma manual con el boton Aprobar ahora.)
967
• Copias de seguridad de las definiciones de virus:

• Crear copias de seguridad de las definiciones anteriores: Guarda las descargas de los
archivos de definiciones de virus anteriores. Esto puede resultar util si necesita volver
a un archivo de definiciones mas antiguo para analizar o limpiar archivos infectados o
para restaurar un archivo de definiciones de virus que resolvio un problema en
particular. (Las copias de seguridad de los archivos de definiciones de virus se
guardan en carpetas separadas cuyo nombre corresponde a la fecha y hora de
creacion bajo: \LDLogon\Antivirus\Backups\)
• Numero de copias de seguridad a mantener: Especifica el numero de descargas de
archivos de definiciones de virus a guardar.
• Historial: Ofrece una lista de las copias de seguridad de los archivos de definiciones
de virus disponibles.
• Restaurar: Mueve la copia de seguridad del archivo de definiciones de virus
seleccionada a la carpeta predeterminada del antivirus para poder distribuirla en los
• Eliminar: Quita del servidor central la copia de seguridad del archivo de definiciones
de virus en forma permanente.
• Descargar ahora: descarga inmediatamente los tipos de contenido de seguridad
seleccionados. El cuadro de dialogo Actualization de definiciones muestra el progreso y el
estado de la descarga.
• Programar descarga: abre el cuadro de dialogo Information de descargas programadas, en el
cual puede escribir un nombre unico para esta tarea de descarga, verificar la configuracion
de descarga y hacer clic en Aceptar para guardar la tarea en la herramienta Tareas
programadas. (Observe que solo los tipos de definiciones, los idiomas y la configuracion de
descarga de definicion y de revisiones se guardan yasocian cuando crea una tarea en
particular. La configuracion de descarga de las otras paginas de este cuadro de dialogo,
como la ubicacion de descarga de revisiones, configuracion de proxyy configuracion de
alertas, son generales, es decir, se aplican a todas las tareas de descarga de contenido de
seguridad. No obstante, es posible modificar esa configuracion en cualquier momentoy esta
se aplicara a todas las tareas de descarga de contenido de seguridad a partir de este punto.)
• Ver registro historico: permite seleccionar la ubicacion y el nivel del detalle en un archivo
historico que contiene informacion sobre la descarga de archivos de definicion de virus.
• Aplicar: guarda la configuracion de la descarga seleccionada para aplicarla al cuadro de
dialogo Descargar actualizaciones y aparece la proxima vez que abra dicho cuadro.
• Cerrar: Cierra el cuadro de dialogo sin guardar los ultimos cambios hechos en la
configuracion.
Para obtener una descripcion de las opciones de las otras paginas del cuadro de dialogo Descargar
actualizaciones, consulte "Acerca del cuadro de dialogo Descargar actualizaciones" (683).
968
GUÍA DE USUARIO
Ayuda de Tareas del antivirus

Acerca del cuadro de dialogo Crear tarea de IVANTI Antivirus
Use este cuadro de dialogo para crear una tarea que actualice los archivos de definicion de virus,
configurar analisis del antivirus en dispositivos de destino (con la configuracion de antivirus) o
ambas actividades. La configuracion de Antivirus determina el comportamiento del analizador, los
objetos analizados y las opciones de usuario final.
NOTE: Analisis de antivirus a peticion

Tambien puede ejecutar un analisis del antivirus a peticion en un dispositivo mediante el menu de acceso directo
al dispositivo. 47 48

• Nombre de la tarea: Identifica la tarea de analisis del antivirus con un nombre unico.
• Acciones a efectuar: especifica lo que la tarea va a hacer. Puede seleccionar una de las
acciones o ambas.
• Actualizar definiciones de virus: especifica que la tarea actualizara los archivos de
definicion de virus con base en la configuracion de la pagina de antivirus del cuadro
de dialogo de Descargar actualizaciones.
• Iniciar analisis del antivirus: especifica que la tarea ejecutara un analisis del antivirus
• Crear una tarea programada: Agrega la tarea de analisis a la ventana de Tareas programadas,
donde puede configurar sus opciones de programacion y repeticion y asignarles
• Seleccionar automaticamente todos los equipos con IVANTI Antivirus: agrega los
dispositivos administrados que se han configurado con el agente de IVANTI Antivirus
a la lista de dispositivos de destino de la tarea.
• Iniciar ahora: ejecuta el analisis del antivirus en los dispositivos con el agente de
IVANTI Antivirus ylo agrega a la herramienta de Tareas programadas al hacer clicen
Aceptar.
48 Actualizar definiciones de virus (inclusive las piloto) en el servidor central: actualiza
automaticamente los archivos de patrones de virus antes de ejecutar el analisis,
incluso los archivos de definiciones de virus que residen actualmente en la carpeta
piloto. (Nota: la opcion de Actualizar definiciones de virus de arriba se debe
seleccionar para usar esta opcion.)
• Crear una polftica: Agrega la tarea de analisis del antivirus como una polftica a la ventana de
Tareas programadas, donde puede configurar las opciones de polftica.
969
• Configuracion de IVANTI Antivirus especifica la configuracion del antivirus que se utiliza en

las tareas de analisis. La configuracion del antivirus determina si el icono de IVANTI
Seleccione una de las configuraciones de la lista desplegable. Haga clic en Modificar para
modificar las opciones de la configuracion seleccionada. Haga clic en Configurar para crear
una configuracion nueva.
• Archivos de definicion de virus: muestra informacion sobre los archivos de definicion
descargados actualmente. Haga clic en Descargar actualizaciones para ir a la pagina de
Antivirus IVANTI del dialogo Descargar actualizaciones para configurar y programar la
descarga de un archivo de definicion de virus.
Acerca del cuadro de dialogo Tarea de analisis ahora de IVANTI Antivirus
Utilice este cuadro de dialogo para ejecutar un analisis del antivirus inmediato a peticion en uno o
mas dispositivos de destino.

seleccionados al tiempo) y luego haga clic en Analizar ahora con IVANTI Antivirus.
2. Seleccione una configuracion de antivirus.
3. Especifique si hay que actualizar los archivos de definicion de virus antes de analizar. (Nota:
esta opcion actualiza automaticamente los archivos de patrones de virus antes de ejecutar el
analisis, incluso los archivos de definiciones de virus que residen actualmente en la carpeta
piloto.)
Ayuda de configuracion de antivirus

Acerca del cuadro de dialogo de Configuracion de IVANTI Antivirus
Utilice este cuadro de dialogo para crear y modificar cualquier configuracion de antivirus. La
configuracion del antivirus determina si el icono de IVANTI Antivirus aparece en la bandeja del
sistema del dispositivo, la disponibilidad de las opciones interactivas para los usuarios finales, la
habilitacion del analisis de correo electronico y de la proteccion en tiempo real, los tipos de archivo
a analizar, los archivos y carpetas a excluir, la cuarentena y la copia de seguridad de los archivos
infectados, los analisis programados del antivirus y las actualizaciones programadas de los
970
GUÍA DE USUARIO
Si desea modificar la configuracion predeterminada del antivirus de un dispositivo sin volver a

implementar una tarea de analisis antivirus, realice los cambios deseados en cualquier
configuracion en las diversas paginas del cuadro de dialogo de configuracion de Antivirus, asigne
la nueva configuracion a una tarea de cambio de configuracion y luego desplieguela en los
Una vez configurado, puede aplicar la configuracion del antivirus a las tareas de analisis del
antivirus y a las tareas de cambio de configuracion.

• "Acerca del Antivirus: Pagina de configuracion general" (963)
• "Acerca del Antivirus: Pagina de proteccion en tiempo real" (964)
• "Acerca del Antivirus: Pagina de analisis de virus" (966)
• "Acerca del Antivirus: Pagina de analisis programados" (969)
• "Acerca del Antivirus: Pagina de actualizaciones de definiciones de virus" (971)
• "Acerca del Antivirus: Pagina de Actualizaciones de definiciones de virus de legado" (972)
• "Acerca del Antivirus: Pagina de cuarentena/copia de seguridad" (973)
Acerca del Antivirus: Pagina de configuracion general
Utilice esta pagina para configurar los valores basicos del analizador de antivirus en los

• Nombre: Identifica la configuracion de antivirus con un nombre unico. Este nombre aparece
en la lista desplegable de configuracion en un cuadro de dialogo de tarea de analisis del
antivirus.
• Mostrar el icono de IVANTI Antivirus en la bandeja del sistema: Hace que el icono de IVANTI
Antivirus aparezca en la bandeja del sistema del dispositivo. La apariencia del icono depende
del estado de la proteccion de antivirus e indica si la proteccion en tiempo real esta
habilitada. Si el icono de flecha es amarillo, la proteccion en tiempo real se encuentra
habilitada y por lo tanto se supervisa el dispositivo continuamente en busca de virus. Si el
icono es gris, la proteccion de tiempo real no esta habilitada.
NOTA: Los usuarios finales pueden hacer doble clic en el icono para abrir el cliente de
Antivirus IVANTI y realizar tareas. Tambien pueden hacer clic con el boton derecho sobre el
icono para acceder al menu de acceso directoy seleccionar ejecutar un analisis yactualizar
los archivos de antivirus. 49
49 Habilitar analisis de mensajes de correo electronico: habilita el analisis de mensajes de

correo electronico en tiempo real en los dispositivos de destino. El analisis de mensajes de
correo electronico en tiempo real supervisa continuamente los mensajes entrantes y
salientes (las aplicaciones admitidas incluyen: Microsoft Outlook) y busca virus en el cuerpo
del mensaje y en cualquier archivo y mensaje adjunto. Se eliminan los virus detectados.
971
• Habilitar analisis con clic derecho del raton: Proporciona una opcion en el cliente de IVANTI
Antivirus que le permite a los usuarios finales seleccionar un archivo, un grupo de archivos,
una carpeta o un grupo de carpetas y hacer clic con el boton secundario en la seleccion para
realizar un analisis del antivirus.
• Analizar software peligroso y virus (base de datos ampliada): Proporciona una opcion en el
cliente de IVANTI Antivirus que permite que los usuarios finales analicen software peligroso
(por ejemplo, FTP, IRC utilidades de control remoto, etc.) con una base de datos ampliada
que se carga en el dispositivo administrado.
• Permitir que el usuario agregue archivos y carpetas a la lista de elementos de confianza:
Proporciona una opcion en el cliente de IVANTI Antivirus que le permite a los usuarios
identificar archivos y carpetas en los que no deseen realizar el analisis de virus. El analisis
del antivirus omite los archivos y las carpetas que se encuentran en esta lista. Se debe
alertar a los usuarios de que solo coloquen archivos seguros en su lista de elementos de
confianza.
• Uso de la CPU durante el analisis: Permite controlar el uso de la CPU en los equipos de
destino cuando IVANTI Antivirus ejecuta un analisis del antivirus.
• Propietario: le permite especificar el propietario de la configuracion de antivirus para evitar
modificaciones no autorizadas. Solamente el propietario y los usuarios con derecho de
administradortienen acceso a la configuracion y pueden modificarla. Los demas usuarios
solamente pueden verla. La opcion de usuario publico permite el acceso universal a la
configuracion.
• Establecer como predeterminado: establece esta configuracion de antivirus (con la
configuracion de opciones en todas las pestanas de los cuadros de dialogo de la
configuracion de Antivirus) como la predeterminada en los dispositivos de destino. A menos
que la tarea de analisis del antivirus tenga una configuracion de antivirus espedfica
asociada, la configuracion predeterminada se utiliza durante las tareas de analisis
yactualizacion de los archivos de definiciones.
• Restaurar predeterminados: Restaura la configuracion predeterminada definida
anteriormente en todas las opciones de antivirus de las pestanas del cuadro de dialogo.
Acerca del Antivirus: Pagina de proteccion en tiempo real
Utilice esta pagina para habilitar yconfigurar la proteccion de archivos en tiempo real, seleccionar
que archivos se deben proteger y excluir y notificar al usuario final.
La proteccion en tiempo real supone un analisis continuo (en segundo plano) de los archivos, las
carpetas y los tipos de archivos por extension especificados. Cuando se ejecuta la proteccion en
tiempo real, se analizan los archivos en busca de virus siempre que estos se abren, cierran,
acceden, copian o guardan.
Cuando se habilita la proteccion en tiempo real, el icono de la bandeja del sistema de IVANTI
Antivirus es amarillo. Si la proteccion en tiempo real se encuentra apagada, el icono es gris.
• Habilitar proteccion de archivos en tiempo real: Activa la proteccion de archivos en tiempo
972
GUÍA DE USUARIO
real en los dispositivos de destino. La proteccion de archivos en tiempo real se ejecuta en

segundo planoyanaliza virus conocidos de acuerdo con los archivos de definiciones de virus
descargados
• Mostrar mensajes en tiempo real en el cliente: muestra mensajes en los dispositivos de
destino para notificar a los usuarios sobre ciertas actividades de IVANTI Antivirus. Se
notifica a los usuarios finales siempre que un archivo infectado se detecta, se pone en
cuarentena, se elimina, se omite o se limpia. Los cuadros de dialogo de mensajes muestran
la ruta de acceso, el nombre del archivo, el nombre del virus y una nota que le informa al
usuario final que debe comunicarse con el administrador de red.
• Permite que el usuario deshabilite el analisis en tiempo real hasta: Proporciona una opcion
en el cliente de IVANTI Antivirus que le permite al usuario final desactivar la proteccion de
archivos en tiempo real durante un penodo de tiempo especificado. Debe mantener este
penodo de tiempo al mfnimo para que los usuarios no puedan deshabilitar la proteccion en
tiempo real a largo plazo.
• Excluir rutas de acceso de red: limita el analisis de archivos en tiempo real en las unidades
locales y no incluye unidades de red asignadas.
NOTA: Los tipos de archivo infectables se identifican por su identificador de formato en el

encabezado del archivo en lugar de la extension del archivo, lo cual garantiza que se
analicen los archivos cuyos nombres hayan cambiado. Los archivos infectables incluyen:
archivos de documentos tales como archivos de Word y Excel, archivos de plantillas
asociados con archivos de documentos y archivos de programa, tales como bibliotecas de
vrnculos dinamicos (.DLL), archivos de comunicacion (.COM), archivos ejecutables (.EXE) y
otros archivos de programas. Mas adelante se presenta una lista completa de los tipos de
archivos infectables.
973

del analisis de comportamientos sospechosos, tales como un programa que: se modifica a
s^ mismo, intenta buscar inmediatamente otros ejecutables o se modifica despues de
terminar. (NOTA: el uso del analisis de heunsticos puede afectar negativamente el
rendimiento de los dispositivos administrados.)
• Excluir los siguientes archivos y carpetas:
configuracion.
Acerca del cuadro de dialogo Agregar ruta de acceso excluida
Utilice este cuadro de dialogo (al cual se tiene acceso desde el cuadro de dialogo de proteccion en
Tiempo real) para agregar exclusiones que especifican que no se estan analizando los virus de los
objetos ni a traves del analisis del antivirus ni a traves de la proteccion en tiempo real. Las tareas de
analisis del antivirus (y las tareas de cambio de configuracion) asociadas con esta configuracion de
antivirus utilizaran estas exclusiones.
Puede excluir archivos espedficos, carpetas enteras y tipos de archivos por sus extensiones.
• Tipo: Indica el tipo de objeto que se desea excluir del analisis del antivirus. Seleccione un
tipo y luego introduzca sus atributos especficos en el campo Objeto.
• Objeto: escriba la ruta de acceso completa y el nombre (o examine y seleccione) del archivo
o la carpeta que desea excluir. Si selecciona el tipo de extension del archivo, escriba los
caracteres de la extension en el campo Objeto.
• Insertar variable: Permite utilizar las variables del entorno del sistema para identificar la ruta
de acceso a una carpeta o un objeto que deseana excluir del ambito del analisis del antivirus
o de la proteccion.
Acerca del Antivirus: Pagina de analisis de virus
Utilice esta pagina para especificar en que archivos se deben analizar virus, cuales hay que excluir
del analisis y si sevan a usar heunsticos para analizar archivos sospechosos.
974
GUÍA DE USUARIO

para asegurarse de que los dispositivos esten limpios. Mas adelante se presenta una lista
completa de los tipos de archivos infectables.
mismo, intenta buscar inmediatamente otros ejecutables o aparece modificado despues de
terminar. El uso del analisis de heunsticos puede afectar negativamente el rendimiento de los
• Excluir los siguientes archivos y carpetas
configuracion.
• Limpiar el registro: especifica que se incluya el registro en el analisis del antivirus.
IMPORTANT: analisis de puntos de reparacion del sistema

IVANTI Antivirus analizara los archivos en cualquiera de los archivos de puntos de reparacion del
sistema que puedan existir en el dispositivo administrado. 50 51

51 ACM
• ACV
• ADT
975
. BAT .
BIN .
BTM .
CLA .
COM .
CPL .
CSC .
CSH .
DLL .
DOC .
DOT .
DRV .
EXE .
HLP .
HTA .
HTM .
HTML .
HTT .
INF . INI
. JS .
JSE .
JTD .
MDB .
MSO .
OBD .
OBT .
OCX .
PIF . PL
. PM .
POT .
PPS .
PPT .
RTF .
SCR
• AX
976
GUÍA DE USUARIO
. SH .
SHB .
SHS .
SMM .
SYS .
VBE .
VBS .
VSD .
VSS .
VST .
VXD .
WSF .
WSH
Acerca del Antivirus: Pagina de analisis programados
Utilice esta pagina para habilitar y configurar un analisis del antivirus programado para ejecutarse
con cierta frecuencia en los dispositivos de destino.
NOTE: Tipos de analisis de IVANTI Antivirus

Puede analizar los virus en sus dispositivos administrados con analisis programados, analisis a peticion y
proteccion de archivos y mensajes de correo electronico en tiempo real. Los usuarios finales tambien pueden
realizar analisis a peticion en sus propios equipos. 52 53
• Hacer que IVANTI Antivirus busque virus en dispositivos a una hora especifica: Habilita un
analisis del antivirus periodico y programado que se ejecuta en los dispositivos de destino
de acuerdo con la hora de inicio, la frecuencia, la restriccion de tiempo y los requisitos de
ancho de banda que se especifiquen.
• Cambiar configuration: Abre el cuadro de dialogo Programar, donde puede establecer las
53 Permitir al usuario programar analisis: Le permite al usuario final crear un analisis del
antivirus programado local en su propio equipo.

definidas aqrn.
977
entre las 8
y las 9 en punto con un Estado del equipo de El equipo de escritorio debe bloquearse, la tarea
solo se ejecutara entre las 8 y las 9 en punto Ysi el equipo esta bloqueado.

• Repetir despues de: Programa el analisis para que se repita periodicamente. Seleccione el
numero de minutos, horas y dfas para controlar la frecuencia de repeticion de la tarea.
de inicio y fin. Las horas estan en formato horario de 24 horas (militar).
las fechas de inicio y fin.
especificar el criterio de ancho de banda mfnimo necesario para que se ejecute la tarea. La
prueba del ancho de banda consiste en creartrafico de red en el dispositivo especificado.
Cuando llega el momento de ejecutar la tarea, cada dispositivo que ejecuta la tarea del
programador local envfa una pequena cantidad de trafico de red ICMP al dispositivo
especificado y evalua el rendimiento de la transferencia. Si el dispositivo de destino de
prueba no esta disponible, la tarea no se ejecuta. Las opciones de Ancho mfnimo de banda
son:
• RAS: la tarea se ejecuta si la conexion de red del dispositivo al dispositivo de destino
tiene al menos una velocidad RAS o de acceso telefonico, tal como se detecta a traves
del API de red. Normalmente, si se selecciona esta opcion, la tarea siempre se va a
ejecutar si el dispositivo tiene una conexion de red de algun tipo.
• WAN: la tarea se ejecuta si la conexion del dispositivo al dispositivo de destino es al
menos una velocidad WAN. La velocidad WAN se define como una conexion no RAS
que es mas lenta que el umbral LAN.
• LAN: La tarea se ejecuta cuando la conexion del dispositivo al dispositivo de destino
excede la configuracion de velocidad LAN. La velocidad LAN se define como cualquier
velocidad mayor a 262,144 bps, de forma predeterminada. Puede definir el umbral LAN
en la configuracion del agente (Herramientas > Configuracion > Agente de
Configuracion > Detection de ancho de banda). Los cambios que realice entran en
efecto cuando se implementa la configuracion actualizada en los dispositivos.
• Al nombre del equipo: identifica el equipo a utilizar para probar el ancho de banda del
dispositivo. La transmision de prueba es entre un dispositivo de destino y este
978
GUÍA DE USUARIO
equipo.
• Estado del equipo: si desea que los criterios de ejecucion de la tarea incluyan un estado de
equipo, seleccione alguno en la lista desplegable.
extienda mas alia de los lmites horarios configurados para la tarea, esta puede no ejecutarse
si el valor aleatorio coloca a la tarea por fuera de los lmites horarios configurados.

• Y de al menos: si desea que la tarea aguarde al menos cierta cantidad de minutos
antes de ejecutarse, seleccione esta opcion. Por ejemplo, si programa un analisis de
inventario, puede introducir un cinco aqrn, de manera que el equipo tenga tiempo para
terminar el inicio antes de que comience el analisis, con lo que se mejora la reaccion
del equipo para el usuario.
Acerca del Antivirus: Pagina de actualizaciones de definiciones de virus

para los dispositivos de destino con configuracion de antivirus.

predeterminado (\LDLogon\Antivirus\Bases) del servidor central. Un conjunto restringido de
usuarios puede descargar las definiciones de virus de la carpeta piloto para probar las
definiciones de virus antes de implementarlas en toda la red. Cuando crea una tarea de
analisis del antivirus, tambien puede seleccionar descargar las ultimas actualizaciones de las
definiciones de virus, entre ellas las que residen en la carpeta de prueba piloto, luego asociar
una configuracion de antivirus con esta opcion habilitada para garantizar que los equipos de
prueba reciban los ultimos archivos conocidos de definiciones de virus. Si se selecciona
esta opcion, no se descargan los archivos de definiciones de virus de la carpeta
predeterminada (\LDLogon\Antivirus\Bases).
• Los usuarios pueden descargar actualizaciones de definiciones de virus: Provee a los

usuarios finales de los dispositivos de destino la opcion de descargar archivos de
definiciones de virus por sf solos. Esta opcion aparece en el cliente de IVANTI Antivirus y se
puede tener acceso a ella desde ese cuadro de dialogo o haciendo clic con el boton derecho
en el icono de la bandeja del sistema de IVANTI Antivirus.
NOTA: cuando un usuario final descarga las actualizaciones de los archivos de definiciones
de virus, el dispositivo intenta conectarse a los servidores en el siguiente orden: 1) servidor
preferido (si se configuro uno); 2) servidor central; 3) servidor de contenido de IVANTI
Security Suite.
979
• Descargar actualizaciones de definiciones de virus: especifica el sitio de origen desde el cual

los archivos de definicion de virus se descargan. Dependiendo de la opcion que seleccione
en la lista desplegable aqm, una o ambas opciones del sitio de origen de descarga (servidor
central y servidor de contenido de seguridad de Internet) descritos a continuacion quedan
habilitadas y se pueden configurar. (NOTA: las opciones de descarga de Internet se
configuran en la pagina Actualizaciones de definiciones de virus de legado.)
• Opciones de descarga del servidor central: le permite configurar el servidor central si se ha
seleccionado una de las opciones de sitio de origen de descarga anteriores que incluye el
servidor central.
• Desactivar descarga de par: previene descargas de archivos de definicion de virus a
traves de descarga de pares (el cache local o un par en el mismo dominio de
multidifusion).
• Desactivar el servidor preferido: previene descargas de archivo de definicion de virus
a traves de un servidor preferido. Para obtener mas informacion sobre los servidores
• Programar actualizaciones de definiciones de virus: Habilita una actualizacion periodica y
programada de los archivos de definiciones de virus que se ejecutan en los dispositivos de
destino de acuerdo con la hora de inicio, la frecuencia, la restriccion de tiempo y los
requisitos de ancho de banda que especifique.
• Cambiar programa: Abre el cuadro de dialogo Programar en el cual puede especificar las
definidas aqm.
Acerca del Antivirus: Pagina de Actualizaciones de definiciones de virus de legado
Utilice esta pagina para configurar las actualizaciones de definiciones de virus de legado, asf como
la configuracion del servidor de contenido de IVANTI Security Suite si se selecciono una de las
opciones de ubicacion de fuente de descarga de arriba, entre las que se incluye el Internet.
• Descargar actualizaciones en un solo archivo si el cambio en el conteo de archivos es mayor

que: especifica el numero maximo de archivos de definicion de virus individuales nuevos o
actualizados que se pueden descarga por separado antes de que se descarguen como un
archivo individual.
• Opciones de descarga de Internet: le permite configurar las opciones del servidor de
contenido de seguridad si se selecciono una de las opciones de ubicacion de fuente de
descarga de arriba, entre las que se incluye el Internet.
980
GUÍA DE USUARIO
• Sitio de origen: especifica el servidor de contenido de seguridad al que se accede para

descargar las ultimas definiciones a la base de datos. Seleccione el servidor mas
cercano a su ubicacion.
• Volver al sitio de origen alternativo en caso de error: Intenta descargar
automaticamente las actualizaciones desde otro servidor de contenido de seguridad,
en el cual residen las firmas de antivirus, si el sitio de origen especificado no puede
transmitir los archivos.
IMPORTANT: La configuration de legado solo se aplica a los clientes de IVANTI Antivirus mas antiguos
La configuracion de las actualizaciones de definiciones de virus de legado que se especifique en esta pagina
solo afecta las versiones anteriores del cliente de IVANTI Antivirus que se hayan desplegado en sus dispositivos
administrados. Normalmente, las versiones anteriores del cliente son instaladas por una version del servidor
central IVANTI 8.8 SP3 o anterior.
• Tamano maximo: Especifica el tamano maximo de la carpeta compartida cuarentena/copia de
seguridad en los dispositivos con el agente de IVANTI Antivirus.
• Restaurar objetos: especifica los derechos de usuario final para restaurar objetos que han
sido puestos en cuarentena.
• Permitir que el usuario restaure objetos sospechosos: Le provee a los usuarios finales
la opcion de restaurar objetos sospechosos detectados por el analisis del antivirus o
por la proteccion en tiempo real. Los objetos sospechosos son aquellos que
contienen un codigo que se encuentra modificado o que recuerda al de un virus
conocido. Los objetos sospechosos se colocan en cuarentena automaticamente. Si se
seleccione esta opcion, los usuarios finales pueden mover el archivo original de la
carpeta de cuarentena a una carpeta de destino espedfica o a su ubicacion original,
donde se almaceno antes de la cuarentena, la desinfeccion o la eliminacion. Observe
que si se esta ejecutando la proteccion en tiempo real, el archivo restaurado se analiza
y si aun sigue infectado se lo vuelve a poner en cuarentena.
• Permite que el usuario restaure objetos infectados y software peligroso: provee a los
usuarios finales la opcion de restaurar objetos infectados detectados por el analisis
del antivirus o por la proteccion en tiempo real. Los objetos infectados son aquellos
que contienen un codigo peligroso detectado por un archivo de definiciones (patrones
o firmas) de virus conocido. Los objetos infectados pueden danar aun mas los
dispositivos administrados. El software peligroso es simplemente el software cliente
que tiene la posibilidad de ser peligroso para el usuario final. Por ejemplo: Software
FTP, IRC, MIrc, RAdmin, o utilidades de control remoto. (En el caso de un resultado de
analisis falso- positivo, el usuario final puede sentirse seguroy comodo para restaurar
el archivo. Esta opcion le permite a los usuarios restaurar archivos a los recursos
compartidos de la red. Si restauran un archivo infectado a su ubicacion original, el
proximo analisis del antivirus detectara el mismo virus, aunque sea falso-positivo, y lo
volvera a poner en cuarentena.)
• El usuario debe introducir una contrasena para restaurar objetos: Los usuarios deben
introducir la contrasena especificada antes de poder restaurar los objetos
981
sospechosos o infectados o el software peligroso. Se le pide al usuario que introduzca

la contrasena antes de intentar restaurar el objeto desde la carpeta cuarentena/copia
de seguridad. Si habilita esta opcion para proteger con contrasena los objetos en
cuarentena, debe compartir la misma con los usuarios que usted desea que puedan
restaurar dichos objetos.
• Contrasena: introduzca la contrasena que necesitan los usuarios para restaurar los
objetos en cuarentena.
• Eliminar archivos: especifica si los archivos se eliminan automaticamente.
• Eliminar automaticamente archivos en cuarentena: indica que todos los archivos en
cuarentena mayores al penodo especificado se eliminaran automaticamente.
• Eliminar automaticamente archivos de copia de seguridad: indica que todos los
archivos de copia de seguridad mayores al penodo especificado se eliminaran
automaticamente.
Configuracion de IVANTI Antivirus
En la ventana de Configuracion del agente, haga clic con el boton derecho en IVANTI Antivirus y
luego haga clic en Nueva...
Antivirus le permite descargar y administrar el contenido de antivirus (archivos de definiciones de

La seccion principal de IVANTI Antivirus presenta esta herramienta de administracion de seguridad

complementaria, la cual es un componente de IVANTI Endpoint Manager y IVANTI Security Suite. En
esa seccion encontrara una introduccion e informacion sobre la suscripcion de contenido de
antivirus, asf como tambien instrucciones paso a paso sobre como utilizartodas las funciones de
Antivirus.
Esta seccion contiene los siguientes temas de ayuda que describen los dialogos de Configuracion
del antivirus. Desde la interfaz de la consola, puede acceder a estos temas de ayuda haciendo clic
en el boton Ayuda de cada cuadro de dialogo.
Acerca de la pagina general de IVANTI Antivirus

Utilice esta pagina para configurar las opciones del rastreador de IVANTI Antivirus en los

• Nombre: Identifica la configuracion de antivirus con un nombre unico. Este nombre aparecera
en la lista de Configuracion del agente en la consola yen el cuadro de dialogo detareas de
982
GUÍA DE USUARIO
rastreo del Antivirus.
983
• Proteccion:
de destino.
• Antivirus de correo electronico: habilita el analisis de mensajes de correo electronico
en tiempo real en los dispositivos de destino. El rastreo de correo electronico en
tiempo real monitoriza continuamente los mensajes entrantes y salientes y busca
virus en el cuerpo del mensaje y en los datos y mensajes adjuntos. Se eliminan los
virus detectados.
• Antivirus Web: habilita el rastreo en tiempo real del trafico web, las direcciones URL
de sitio web y los enlaces en los dispositivos de destino de todos los protocolos
HTTP,
HTTPS y FTP.
• Antivirus de mensajes instantaneos: habilita el rastreo en tiempo real de las
aplicaciones de mensajena instantanea, incluidas ICQ, MSN® Messenger, AIM, Mail.Ru
Agent e IRC.
• Bloqueador de ataques a la red: habilita el Bloqueador de ataques a la red, el cual
detecta y agrega los equipos atacados a la lista de dispositivos bloqueados durante
un periodo de tiempo especificado.
• Vigilante del sistema: habilita el servicio del Vigilante del sistema, el cual supervisa las
actividades de las aplicaciones en los dispositivos de destino.
• Interfaz de usuario:
• Mostrar el icono de IVANTI Antivirus en la bandeja del sistema: Hace que el icono de
IVANTI Antivirus aparezca en la bandeja del sistema del dispositivo. La apariencia del
icono depende del estado de la proteccion de antivirus e indica si la proteccion en
tiempo real esta habilitada. Si el icono de flecha es amarillo, la proteccion en tiempo
real se encuentra habilitada y por lo tanto se supervisa el dispositivo continuamente
en busca de virus. Si el icono es gris, la proteccion de tiempo real no esta habilitada.
• Habilita los mensajes de aviso de base de datos desactualizada y obsoleta: Permite a
IVANTI Antivirus mostrar mensajes de aviso cuando la base de datos esta
desactualizada u obsoleta. Especifica el numero de dfas para cada estado.
• No enviar el estado de reinicio de IVANTI Antivirus: Seleccione esta opcion si no desea que
IVANTI Antivirus envfe el estado de reinicio al servidor central. IVANTI Antivirus envfa, de
manera predeterminada, una actualizacion de estado, independientemente de que necesite
un reinicio para completar una instalacion o una actualizacion. El estado aparecera en
Actividad de seguridad | IVANTI Antivirus | Actividad y el servidor central ajustara la
informacion del inventario "Reinicio necesario" que se encuentra en Equipo | Administration
de IVANTI.
984
GUÍA DE USUARIO
• Establecer como predeterminado: establece como predeterminada la configuracion en todas

las paginas del cuadro de dialogo de IVANTI Antivirus. El nombre que introdujo aparecera en
la consola con el icono predeterminadoEjunto a el. No puede eliminar una configuracion que
esta marcada como predeterminado. Cuando crea una nueva configuracion de agente, las
configuraciones se seleccionaran por defecto. A menos que la tarea de analisis del antivirus
tenga una configuracion de antivirus espedfica asociada, IVANTI Antivirus utilizara la
configuracion predeterminada durante las tareas de analisis ydefinicion de las tareas de
actualizacion.
Acerca de la pagina de permisos de IVANTI Antivirus
Utilice esta pagina para configurar la configuracion de los permisos de IVANTI Antivirus en los
• Permite que el usuario desactive componentes de proteccion hasta por: especifica el

penodo de tiempo durante el cual el usuario puede desactivar los componentes de
proteccion que se listan en la pagina Proteccion.
• Permitir al usuario actualizar definiciones: permite al usuario actualizar los archivos de
definicion de antivirus.
• Permitir al usuario restaurar objetos: permite al usuario restaurar objetos en cuarentena con
copia de seguridad.
• Permitir al usuario cambiar la configuracion: permite al usuario configurar los ajustes y
modificar las tareas.
• Permitir al usuario programar analisis: permite al usuario especificar la fecha y hora
de analisis.
• Permitir al usuario excluir objetos del analisis: permite al usuario identificar los tipos
de archivos que no se incluiran en el analisis.
• Permitir a los usuarios agregar URL web: permite al usuario especificar los sitios que
no se incluiran en el analisis.
• Permitir a los usuarios configurar exclusiones en Bloqueador de ataques a la red:
Permite al usuario hacer una lista de direcciones IPen las que IVANTI Antivirus
confiara. IVANTI Antivirus no bloqueara ataques de red de estas direcciones IP, pero
seguira registrando la informacion de los ataques.
Acerca de la pagina de Proteccion de IVANTI Antivirus
Utilice esta pagina para configurar la configuracion de la proteccion de IVANTI Antivirus en los
• Iniciar IVANTI Antivirus al inicio del equipo: Habilita el inicio automatico de IVANTI Antivirus
tras la carga del sistema operativo, lo que hace que el equipo quede protegido durante toda
la sesion. Esta opcion se selecciona de forma predeterminada. Si deshabilita esta
opcion, IVANTI Antivirus no se iniciara hasta que el usuario lo inicie manualmente y los
985
datos del usuario queden expuestos a amenazas.

• Activar la Tecnologia de desinfeccion avanzada: Si selecciona esta opcion, cuando IVANTI
Antivirus detecte actividad danina en el sistema operativo, aparecera un mensaje que le
sugerira que lleve a cabo un proceso de desinfeccion avanzado especial. Cuando el usuario
autorice este proceso, IVANTI Antivirus neutralizara la amenaza. Una vez completado el
proceso de desinfeccion avanzado, IVANTI Antivirus reiniciara el equipo. La tecnologfa de
desinfeccion avanzada utiliza importantes recursos informaticos, que es posible que
ralenticen otras aplicaciones. Si deja esta opcion sin seleccionar (configuracion
predeterminada), cuando IVANTI Antivirus detecte actividad danina en el sistema operativo,
llevara a cabo un proceso de desinfeccion, de acuerdo con la configuracion de aplicaciones
actual. Despues de que IVANTI Antivirus neutralice la amenaza, el equipo no se reiniciara.
• Amenazas: especifica los objetos a detectar.
• Malware: IVANTI Antivirus, de manera predeterminada, busca virus, gusanos y
programas troyanos. En esta pestana, puede especificar si desea buscar herramientas
malignas o no.
• Adware, marcadores automaticos, otros programas: especifica si controlar o no el
adware y las aplicaciones legftimas que es posible que hayan sufrido un acceso por
parte de intrusos, para danar el equipo o los datos del usuario. Seleccione Otro para
protegerse de objetos como clientes de chat de Internet, programas de descargas, de
seguimientoyaplicaciones de administracion remota.
• Archivos comprimidos: especifica si analizar o no los archivos agrupados que puedan
producir danos asf como objetos de varios paquetes.
986
GUÍA DE USUARIO
• Exclusiones: especifica los archivos, carpetas o extensiones que IVANTI Antivirus excluira
del analisis. IVANTI Antivirus analizara la carpeta \LDClient y\Shared files en busca de
archivos .exe. Si IVANTI Antivirus firma esos archivos, automaticamente los excluira detodos
los analisis y los agregara a la lista de Aplicaciones de confianza.
• Tiempo real: especifica los archivos, carpetas o extensiones que desee excluir del
analisis en tiempo real. Haga clic en Agregar... para abrir el dialogo Agregar ruta de
acceso excluida, donde podra especificar el tipo de archivo y buscar los objetos que
desee excluir.
• Rastreo de virus: especifica los archivos, carpetas o extensiones que desee excluir del
analisis del antivirus. Haga clic en Agregar... para abrir el dialogo Agregar ruta de
acceso excluida, donde podra especificar el tipo de archivo y buscar el objeto u
objetos que desee excluir.
• Puertos monitorizados: especifica que puertos monitorizar.
• Monitorizar todos los puertos de la red: secuencias de datos de monitorizacion de los
componentes de proteccion que se transmiten a traves de los puertos de red abiertos
del equipo.
• Monitorizar solo los puertos seleccionados: los componentes de proteccion solo
monitorizan los puertos especificados por el usuario. Los que aparezca en la lista de
puertos de red se incluira y se comprobara en el cliente. Este modo de monitorizacion
de puertos de red se selecciona de manera predeterminada. Haga clic en
Configuracion para abrir el dialogo Puertos de red, donde podra crear una lista de
puertos de red de monitorizacion y una lista de aplicaciones.
• Lista de puertos de red: esta lista contiene los puertos de red que se suelen
utilizar para la transmision del trafico de correos electronicos y de red.
Seleccione un puerto para que IVANTI Antivirus monitorice el trafico de red que
pasa a traves de este puerto de red, mediante cualquier protocolo de red. Haga
clic en Agregar... para introducir un nuevo numero de puerto ydescripcion.
• Monitorizar todos los puertos en busca de aplicaciones especficas: especifica
si se monitorizan todos los puertos de red de las aplicaciones que se
especifican en la lista de aplicaciones.
• Lista de aplicaciones: esta lista contiene aplicaciones que tienen los puertos de
red que IVANTI Antivirus monitorizara. Para cada aplicacion, la lista de
aplicaciones especifica la ruta al archivo ejecutable correspondiente. Haga clic
en Agregar... para seleccionar una aplicacion de la base de datos o para buscar
una aplicacion en la ubicacion del archivo.
987
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de archivos
• Habilitar el Antivirus de archivos: inicia el Antivirus de archivos con IVANTI Antivirus. El

Antivirus de archivos permanece activo siempre en la memoria del equipo y analiza todos los
archivos que se abran, guarden o se inicien en el equipo. De manera predeterminada, el
Antivirus de archivos esta habilitado y configurado con la configuracion recomendada.
recomendada o baja). Puede configurar un nivel de seguridad de archivos personalizado,
Alto: el Antivirus de archivos utiliza el control mas estricto de todos los archivos abiertos,
guardados e iniciados. El Antivirus de archivos analiza todos los tipos de archivos de todos
los discos duros, discos de red y almacenamiento extrafble del equipo. Tambien analiza los
archivos, los paquetes de instalacion y los objetos OLE incrustados. Este ajuste se
recomienda en entornos hostiles.
Recomendado: El Antivirus de archivos analiza solo los tipos de archivos especificados de

todos los discos duros, discos de red y almacenamiento extrafble del equipo. Tambien
analiza los objetos OLE incrustados. Con la configuracion recomendada, el Antivirus de
archivos no analiza los paquetes de archivos ni de instaladores.
Bajo: Garantiza la velocidad maxima de analisis. Con esta configuracion, el Antivirus de

archivos analiza solo los archivos con la extension especificada en todos los discos duros,
discos de red y almacenamiento extrafble del equipo. El Antivirus de archivos no analizara

988
GUÍA DE USUARIO
• General: Especifica si el Antivirus analizara por formato o extension de archivo o ambos.

. Tipos de archivo: algunos formatos de archivo (como .txt) tienen pocas
subsiguientes. Sin embargo, hayformatos de archivos que contienen o pueden
contener codigo ejecutable (como .exe, .dll y .doc). El riesgo de intrusion y de
extension, el Antivirus de archivos analizara la cabecera del archivo. Este
analisis puede revelar que el archivo tiene un formato .exe. Estos archivos se
analizan totalmente en busca de virus y otro tipo de malware.
• Todos los archivos: configura el analisis de todos los archivos,
independientemente del formato o la extension.
• Archivos analizados por formato: configura el analisis de los archivos de
un formato determinado (archivos infectables). Tanto la extension como
el formato del archivo (indicada en el encabezamiento de un archivo) se
analizan para determinar el formato del mismo y decidir si se rastreara
dicho archivo.
989
• Archivos analizados por extension: configura el analisis de los

archivos con determinadas extensiones. Los archivos sin una
extension se tratan como archivos .exe. Las extensiones incluidas en
el analisis son:
• Archivos sin una extension.
• .com: archivo ejecutable de una aplicacion no superior a 64 KB
• .exe: archivo ejecutable o autoextrafble
• .sys: archivo del sistema de Microsoft Windows
• .prg: dBase, Clipper o prueba del programa Microsoft Visual
FoxPro™, o un archivo de programa de WAVmaker
• .bin: archivo binario
• .bat: archivo por lotes
• .cmd: archivo de comando para Microsoft Windows o OS/2
• .dpi: biblioteca comprimida de Borland Delphi
• .dll: biblioteca de enlaces dinamicos
• .scr: pantalla splach de Microsoft Windows
• .cpl: modulo del panel de control de Microsoft Windows
• .ocx: objeto de Microsoft OLE (vinculacion e incrustacion de
objetos)
• .tsp: programa que se esta ejecutando en modo de tiempo
fraccionado
• .drv: controlador del dispositivo
• .vxd: controlador del dispositivo virtual de Microsoft Windows
• .pif: archivo de informacion del programa
• .lnk: archivo de enlace de Microsoft Windows
• .reg: archivo clave del registro del sistema de Microsoft Windows
• .ini: archivo de configuracion que contiene datos de configuracion
para Microsoft Windows, Window NT y otras aplicaciones
• .cla: clase Java
• .vbs: secuencia de comandos de Visual Basic®
• .vbe: extension devfdeo de BIOS
• .js, .jse: texto de origen de JavaScript
• .htm: documento de hipertexto
• .htt: encabezamiento de hipertexto de Microsoft Windows
• .hta: programa de hipertexto para Microsoft Internet Explorer
• .asp: secuencia de comando para las paginas de Active Server
• .chm: archivo HTML compilado
990
GUÍA DE USUARIO
• .pht: archivo HTML con secuencias de comando PHP integradas .

.php: secuencia de comando integrada con los archivos HTML
• .wsh: archivos de Microsoft Windows Script Host
• .wsf: Secuencia de comandos de Microsoft Windows
• .the: archivos de fondo de escritorio de Microsoft Windows 95
• .hlp: archivo de ayuda de Win
• .eml: mensaje de correo electronico de Microsoft Outlook Express
• .nws: nuevo mensaje de correo electronico de Microsoft Outlook
Express
• .msg: mensaje de correo electronico de Microsoft Mail

• .phg: mensaje de correo electronico
• .mbx: extension para guardar los correos electronicos de
Microsoft Office Outlook
• .doc*_ documentos y archivos de word de Microsoft Office

• .dot*: plantilla de word de Microsoft Office
• .fpm: programa de base de datos, archivo de inicio de Microsoft
Visual FoxPro
• .rtf: documento de Rich Text Format

• .shs: fragmento de Windows Shell Script Object Handler
• .dwg: base de datos de dibujo de AutoCAD™
• .msi: paquete de instalacion de Microsoft Windows
• .otm: proyecto de VBA para Microsoft Office Outlook
• .pdf: documento de Adobe Acrobat
• .swf: objeto del paquete de Shockwave® Flash
• .jpg, .jpeg: formato de graficos de imagen comprimida
• .emf: archivo de formato metarchivo mejorado. La proxima
generacion de metarchivos de SO de Microsoft Windows.
• .ico: archivo del icono de objetos

• .ov?: archivos ejecutables de Microsoft Office Word
• .xl*: documentos y archivos de Microsoft Office Excel
• .pp*: documentos yarchivos de Microsoft Office PowerPoint®
• .md*: documentos y archivos de Microsoft Office Access®
• .sldx: diapositiva de Microsoft PowerPoint 2007
• .sldm: diapositiva compatible con macros de Microsoft PowerPoint
2007
991
• .thmx: tema de Microsoft Office 2007

• Ambito de protection: especifica las unidades que se rastrearan, incluidas las
extrafoles, todos los discos duros o todas las unidades de red.
• Desempeno: especifica los metodos de analisis, si se analizaran solo los archivos
nuevos, y como manejar los archivos compuestos.
• Analisis heunstico: esta tecnologâ detecta los archivos que pueden estar
infectados con un virus desconocido, descargando el archivo en un espacio
virtual y buscando un comportamiento de virus. Si el Antivirus detecta codigo
malicioso en un archivo durante un analisis heunstico, marcara el archivo como
posiblemente infectado.
• Analizar solo archivos nuevos y modificados: habilita el Antivirus de archivos
para que analice solo los nuevos archivos y los archivos que se han modificado
• Analizar instalacion: habilita el Antivirus de archivos para que analice los
paquetes de instalacion.
• Analizar objetos OLE incrustados: habilita el Antivirus de archivos para
analizar los archivos que esten incrustados en otro archivo, como las hojas
de calculo de Microsoft® Office Excel® , las macros incrustadas en los
archivos de Microsoft® Office Word® o los archivos adjuntos de correos
electronicos.
• Adicional...: abre el cuadro de dialogo Archivos compuestos en el que se puede
especificar las opciones siguientes:
• Extraer archivos compuestos en segundo plano: selecciona si se habilita
el analisis asincronico de los archivos y de otros archivos compuestos
de un tamano mfnimo (configurable).
• No desempaquetar archivos compuestos grandes: selecciona si se
excluyen archivos compuestos de un tamano maximo (configurable).
Esta configuracion no afecta al analisis de los archivos que se han
extrafdo de otros archivos.
992
GUÍA DE USUARIO
• Adicional: especifica el modoytecnologfa que Antivirus de archivos utilizara y cuando

pausara.
• Modo de analisis: el modo de analisis predeterminado es Modo inteligente, en
que el Antivirus de archivos analiza los archivos analizando las operaciones
• Tecnologias de analisis: especifica las tecnologfas de analisis que utiliza el
Antivirus de archivos cuando analiza archivos. Las tecnologfas iSwift y
iChecker son complementarias. Esto acelera el analisis de objetos de varios
sistemas de archivo y de sistemas operativos.
• iSwift: Solo se aplica a un sistema de archivos NTFS. Durante el primer
analisis, se proporciona un identificador NTFS a cada objetoyse guarda
en una base de datos de iSwift. A partir de ahf, el archivo se analizara
solo si se modifica, tal y como lo detecte el identificador NTFS. Esta
tecnica se aplica a los objetos de cualquier formato, tamano ytipo. (Si el
archivo se copia o se reubica a un sistema de archivos NTFS desde un
origen no NTFS, este se analiza en ese momento y se le asigna un
identificador NTFS).
• iChecker: Durante el primer analisis, se guarda la informacion de la suma
de comprobacion en una tabla iChecker especial. A partir de ahf, el
archivo se analizara solo si se modifica la suma de comprobacion. Esta
tecnologfa de iChecker solo funciona en un numero limitado de formatos,
entre los que se incluyen .exe, .dll, .lnk, .ttf, .inf, .sys, .com, .chm, .zip,
and .rar. Se aplican restricciones de tamano porque es mas rapido
analizar los archivos grandes que volver a recalcular la suma de
comprobacion.
• Tarea de pausa: especifica cuando pausar el Antivirus de archivos. La opcion
Por programa le permite pausar el Antivirus de archivos durante un tiempo
especificado. Esta funcion puede reducir la carga en el sistema operativo. Haga
clic en Programar... para abrir la ventana Pausar la tarea. En esta ventana puede
especificar el intervalo de tiempo para el que se pausara Antivirus de archivos.
La opcion Al inicio de la aplicacion pausa el Antivirus de archivos mientras el
usuario trabaja con aplicaciones que requieren pocos recursos del sistema
operativo. Esta opcion no se selecciona de forma predeterminada. Haga clic en
993
Seleccionar... para abrir la ventana Aplicaciones, donde podra crear una lista de
aplicaciones que pausen el Antivirus de archivos cuando se esten ejecutando.
• Seleccionar una accion automaticamente: habilita un Antivirus de archivos para llevar
a cabo la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar.
Eliminar si la desinfeccion falla".
• Realizar acciones: permite que File Antivirus intente automaticamente eliminar el virus
del archivo. Si no puede eliminar el virus, File Antivirus elimina el archivo.
• Desinfectar: habilita el Antivirus de archivos para que intente automaticamente
desinfectar todos los archivos infectados que detecte. El Antivirus de archivos
aplica la accion Eliminar a los archivos que forman parte de la aplicacion de
Windows Store.
• Eliminar si la desinfeccion falla: habilita el Antivirus de archivos para que
elimine automaticamente todos los archivos infectados que detecte.
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de correo
Utilice esta pagina para configurar el modo de funcionamiento de Mail Antivirus con IVANTI
• Activar el Antivirus de correo: inicia Mail Antivirus con IVANTI Antivirus. Mail Antivirus
permanece activo constantemente en la memoria del equipo y analiza todos los mensajes de
correo que se transmiten a traves de protocolos POP3, SMTP, IMAP, MAPI y NNTP. De
manera predeterminada, Mail Antivirus esta habilitadoyconfigurado con la configuracion
recomendada.
994
GUÍA DE USUARIO
recomendada o baja). Puede configurar un nivel de seguridad de correo personalizada,
Alto: Mail Antivirus analiza los mensajes de correo electronico en profundidad. Mail Antivirus
analiza los mensajes entrantesysalientesylleva a cabo un analisis heunstico profundo. Es
recomendable un nivel de seguridad de correos alto cuando se trabaja en un entorno
peligroso, como una conexion a un servicio de correo electronico gratuito, desde una red
domestica que no este protegida por una proteccion de correo electronico centralizada.

la seguridad de correo electronico. Mail Antivirus analiza los mensajes entrantes y salientes
y lleva a cabo un analisis heunstico de intensidad media. Este nivel de seguridad de trafico
de correo es el que recomienda IVANTI. Esta es la configuracion predeterminada.
Bajo: Solo analiza los mensajes de correo electronico entrantes, lleva a cabo analisis
heunsticos suaves y no analiza los archivos adjuntos a un correo electronico. Con este nivel
de seguridad de correo, Mail Antivirus analiza los mensajes de correo electronico a la mayor
velocidad y utiliza los recursos mfnimos del sistema operativo. El nivel de seguridad de
correo bajo se recomienda para un entorno bien protegido, como un entorno LAN con
seguridad de correo electronico centralizada.

• General:
• Ambito de proteccion: Especifica si se deben analizar los mensajes de entrada
y de salida o solo los mensajes de entrada.
• Trafico de POP3 / SMTP / NNTP/ IMAP: Habilita a Mail Antivirus para que analice
los correos electronicos antes de que el equipo los reciba. Si desmarca esta
opcion, Mail Antivirus no analizara los mensajes que se transfieran mediante
protocolos POP3, SMTP, NNTPe IMAP antes deque lleguen al equipo. En lugar
de eso, los complementos de Mail Antivirus incrustados en Microsoft Office
Outlook y los clientes de correo electronico de jEl Bat! analizaran los mensajes
despues de que lleguen al equipo.
• Adicional: Complemento (plug-in) de Microsoft Office Outlook: Habilita el

acceso a la configuracion de Mail Antivirus desde Microsoft Office Outlook para
que pueda configurar el componente para que analice los mensajes de correo
electronico en busca de virus y de otro malware. Se habilita a un complemento
incrustado en Microsoft Office Outlook para que analice los mensajes de correo
electronico que setransmiten a traves de protocolos POP3, SMTP, NNTP, IMAPy
MAPI, despues de que lleguen al equipo.
995
• Adicional: Complemento de jEl Bat!: Habilita el complemento incrustado en jEl

Bat! para que rastree los mensajes de correo electronico que se transmiten a
traves de protocolos POP3, SMTP, NNTP, IMAPy MAPI, despues de recibirlos en
el equipo.
• Rastrear archivos adjuntos: Habilita Mail Antivirus para que rastree los archivos
que se adjuntan a los mensajes de correo electronico. Puede especificar el
tamano de los archivos que se rastrearan y el tiempo asignado para analizar los
archivos adjuntos de los correos electronicos archivados.
• Filtro de archivos adjuntos:
• Deshabilitar filtrado: Especifica si Mail Antivirus filtrara los archivos adjuntos
de los mensajes de correo electronico.
• Modificar el nombre de los tipos de archivos adjuntos especificados: Permite a
Mail Antivirus sustituir el ultimo caracter de los archivos adjuntos de los tipos
especificados con el sfmbolo barra baja (_).
• Eliminar el nombre de los tipos de archivos adjuntos especificados: Permite a
Mail Antivirus eliminar los archivos adjuntos de los tipos especificados en los
mensajes de correo electronico. Puede especificar los tipos de archivos
adjuntos que se eliminaran de los correos electronicos de la lista de Extension.
• Adicional: Especifica si Mail Antivirus utilizara el analisis heunstico durante el rastreo
del correo electronico. esta tecnologfa detecta los archivos que pueden estar
infectados con un virus desconocido. Si el Antivirus detecta codigo malicioso en un
archivo durante un analisis heunstico, marcara el archivo como posiblemente
infectado. Desplace el control deslizante en el eje horizontal para cambiar el nivel de
detalle del analisis heunstico. El nivel de detalle del analisis heunstico ajusta el
equilibrio entre la minuciosidad de la busqueda de nuevas amenazas, la carga sobre
los recursos del sistema operativo y la duracion del analisis heunstico. Estan
disponibles los niveles siguientes de detalle del analisis heunstico:
Rastreo ligero: El Analizador heunstico no lleva a cabo todas las instrucciones de los
archivos ejecutables mientras rastrea los correos electronicos en busca de codigos
daninos. En este nivel de detalle, la probabilidad de detectar amenazas es menor que
en los niveles de rastreo medio y profundo. El rastreo de correos electronicos es mas
rapido y utiliza menos recursos.
Rastreo medio: Cuando se rastrean archivos en busca de codigos daninos, el
Analizador heunstico lleva a cabo una serie de instrucciones en los archivos
ejecutables que vienen recomendadas por IVANTI, El nivel de detalle del rastreo medio
se selecciona de manera predeterminada.
996
GUÍA DE USUARIO
Rastreo profundo: Cuando se rastrean archivos en busca de codigo danino, el

Analizador heunstico lleva a cabo mas instrucciones en los archivos ejecutables que
con los niveles de rastreo ligero y medio. En este nivel de detalle, la probabilidad de
detectar amenazas es mayor que en los niveles de rastreo ligero y medio. El rastreo de
correos electronicos consume mas recursos del sistema y dura mas tiempo.
* Accion:
• Seleccionar una accion automaticamente: habilita a Mail Antivirus para llevar a cabo la
accion predeterminada que especifica IVANTI. Esta accion se lleva a cabo para
desinfectar todos los mensajes de correo electronico infectados y, en caso de fallar la
desinfeccion, eliminarlos.
• Realizar acciones: Mail Antivirus intenta desinfectar automaticamente todos los

mensajes de correo electronico infectados que se detecten. Si la desinfeccion falla,
Mail Antivirus eliminara esos mensajes. Si se selecciona esta opcion, Mail Antivirus
intenta desinfectar automaticamente todos los mensajes de correo electronico
infectados que se detecten. Si la desinfeccion falla, Mail Antivirus los pondra en
Cuarentena.
• Desinfectar: Mail Antivirus intenta desinfectar automaticamente todos los

mensajes de correo electronico infectados que se detecten. Si la desinfeccion
falla, Mail Antivirus los pondra en Cuarentena.
• Eliminar: Mail Antivirus eliminar automaticamente todos los mensajes de correo

electronico infectados que se detecten.
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de web
Utilice esta pagina para configurar el modo de funcionamiento de Web Antivirus con IVANTI
• Activar el Antivirus de web: Web Antivirus se inicia con IVANTI Antivirus y protege la
informacion que llega al equipo a traves de los protocolos HTTP y FTP. De manera
predeterminada, Web Antivirus esta habilitadoy configurado con la configuracion
recomendada.
997
recomendada o baja). Puede configurar un nivel de seguridad web personalizado,
seleccionando los ajustes en las pestanas Metodos y optimizacion del rastreo y URL de
confianza.
Alto: Web Antivirus lleva a cabo un rastreo maximo del trafico web que el equipo recibe a
traves de los protocolos HTTP y FTP. Web Antivirus rastrea en detalletodos los objetos de
trafico web, mediante un conjunto completo de bases de datos de aplicaciones, y lleva a
cabo el analisis heunstico mas profundo posible. Esta tecnologfa se desarrollo para detectar
amenazas que no se pueden detectar mediante la version actual de las bases de datos de
IVANTI. Detecta archivos que puedan estar infectados con un virus desconocido o con una
nueva variedad de un virus conocido. Los archivos en los que se detecte codigo danino
durante el analisis heunstico se marcan como posiblemente infectado.

la seguridad de trafico web. Web Antivirus lleva a cabo un analisis heunstico a un nivel de
rastreo medio. Este nivel predeterminado de seguridad de trafico web es el que recomienda
IVANTI.
Bajo: Garantiza el rastreo mas rapido de trafico web. Web Antivirus lleva a cabo un analisis
heunstico a un nivel de rastreo ligero.

• Metodos y optimizacion del rastreo:

sospechosas: Especifica si se rastrearan las URL en la base de datos de
direcciones web daninas. Comprobar las URL en la base de datos de
direcciones web daninas ayuda a detectar aquellas paginas web que estan en la
lista negra de direcciones web.

de phishing: Especifica si se rastrearan las URL en la base de datos de
direcciones web de phishing. La base de datos de URL de phishing incluye las
direcciones web de paginas web conocidas actualmente, que se utilicen para
iniciar ataques de phishing.
998
GUÍA DE USUARIO
* Analisis heunstico para detectar virus: Especifica si se utilizara el analisis

heunstico cuando se rastree el trafico web en busca de virus yotros programas
daninos. Esta tecnologfa se desarrollo para detectar amenazas que no se
pueden detectar mediante la version actual de las bases de datos de
aplicaciones de IVANTI. Detecta archivos que puedan estar infectados con un
virus desconocido o con una nueva variedad de un virus conocido. Los
archivos en los que se detecte codigo danino durante el analisis heunstico se
marcan como posiblemente infectado.
* Analisis heunstico de enlaces de phishing: Especifica si se llevara a cabo el
analisis heunstico cuando se rastreen paginas web en busca de enlaces de
phishing.
• Limitar el tiempo en cache del trafico Web: Rastrea los fragmentos en cache de
los objetos de trafico de web durante un segundo. Si se desmarca esta opcion,
Web Antivirus llevara a cabo un rastreo mas profundo del trafico web. El acceso
a los objetos de trafico web se puede ralentizar durante el rastreo.
• Direcciones URL de confianza:
• No rastrear el trafico web de las direcciones URL de confianza: Especifica si se
rastreara el contenido de aquellas paginas web cuyas direcciones se incluyan
en la lista de URL de confianza. Haga clic en Agregar para abrir la ventana
Mascara de direccion (URL), donde podra introducir una URLy habilitarla o
deshabilitarla. Si se deshabilita una URL, Web Antivirus la excluira
temporalmente de la lista de URL de confianza.
• Accion:
• Seleccionar una accion automaticamente: Habilita a Web Antivirus para que lleve
a cabo la accion predeterminada especificada por IVANTI cuando detecta un
objeto infectado en el trafico web. La accion predeterminada es "Bloquear la
descarga".
• Bloquear la descarga: Habilita a Web Antivirus para que bloquee el acceso a un objeto
infectado ymuestra un aviso acerca del objeto.
• Permitir la descarga: Habilita a Web Antivirus para permitir la descarga de un objeto
infectado al equipo.
Acerca de la proteccion de IVANTI Antivirus: Pagina de Antivirus de mensajes instantaneos
Utilice esta pagina para configurar el modo de funcionamiento de Antivirus de mensajes

instantaneos
con IVANTI Antivirus en los dispositivos de destino.
• Activar el Antivirus de mensajes instantaneos: Antivirus de mensajes instantaneos se inicia

con IVANTI Antivirus, permanece constantemente en la RAM del equipo y rastrea todos los
mensajes que lleguen a traves de clientes de mensajena de internet. Antivirus de mensajes
999
instantaneos garantiza el funcionamiento seguro de las aplicaciones de mensajena

instantanea, incluidas ICQ, MSN® Messenger, AIM, Mail.Ru Agent, e IRC.
• Ambito de protection: Especifica el tipo de mensajes de clientes de mensajena instantanea
que rastreara Antivirus de mensajes instantaneos.
• Mensajes entrantes y salientes: Antivirus de mensajes instantaneos rastrea los
mensajes instantaneos de entrada y de salida, en busca de objetos daninos o de URL
que esten en la base de datos de direcciones daninas o de phishing. Esta es la
• Mensajes entrantes solamente: Antivirus de mensajes instantaneos rastrea solo los
mensajes instantaneos de entrada, en busca de objetos daninos o de URL que esten
en la base de datos de direcciones daninas o de phishing. Antivirus de mensajes
instantaneos no rastrea los mensajes de salida.
• Metodos de rastreo: Especifica los metodos que Antivirus de mensajes instantaneos utiliza
cuando rastrea los mensajes que llegan a traves de clientes de mensajena instantanea.
sospechosas: Especifica si se rastrearan las URL de los mensajes de clientes de
mensajena instantanea en la base de datos de URL daninas.
• Verificar si los enlaces estan en la lista de la base de datos de direcciones URL de
phishing: Especifica si se rastrearan las URL de los mensajes de clientes de
mensajena instantanea en la base de datos de URL de phishing.
• Analisis heunstico: Especifica si Antivirus de mensajes instantaneos utilizara el
analisis heunstico durante el rastreo de mensajes de clientes de mensajena
instantanea. esta tecnologfa detecta los archivos que pueden estar infectados con un
virus desconocido. Si el Antivirus detecta codigo malicioso en un archivo durante un
analisis heunstico, marcara el archivo como posiblemente infectado. Desplace el
control deslizante en el eje horizontal para cambiar el nivel de detalle del analisis
heunstico. El nivel de detalle del analisis heunstico ajusta el equilibrio entre la
minuciosidad de la busqueda de nuevas amenazas, la carga sobre los recursos del
sistema operativo y la duracion del analisis heunstico. Estan disponibles los niveles
siguientes de detalle del analisis heunstico:
Rastreo ligero: El Analizador heunstico rastrea los mensajes instantaneos en busca

de amenazas, mediante un conjunto mfnimo de atributos. El rastreo es mas rapido y
utiliza menos recursos, con el numero mas bajo de falsos positivos.
Rastreo medio: El Analizador heunstico rastrea los mensajes instantaneos en busca

de amenazas, mediante el numero de atributos que garantice el equilibrio optimo entre
la velocidad y el detalle de rastreo, yevita un gran numero de falsos positivos. Este
nivel de detalle de analisis heunstico se ajusta de manera predeterminada.
Rastreo profundo: El Analizador heunstico rastrea los mensajes instantaneos en

busca de amenazas, mediante un conjunto maximo de atributos. El rastreo se lleva a
cabo en detalle, utiliza mas recursos del sistema operativo y dura mas tiempo. Hay
1000
GUÍA DE USUARIO
probabilidad de falsos positivos.

Acerca de la proteccion de IVANTI Antivirus: Pagina del Bloqueador de ataques a la red
Utilice esta pagina para configurar el Bloqueador de ataques a la red que IVANTI Antivirus utiliza en
los dispositivos de destino para detectar y agregar equipos de ataque a la lista de dispositivos
bloqueados durante un periodo detiempo especificado.
• Activar el Bloqueador de ataques a la red: El Bloqueador de ataques a la red se inicia con

IVANTI Antivirus y rastrea el trafico de red entrante en busca de actividad de red
caractenstica de los ataques a la red. Despues de detectar un intento de ataque a la red, el
Bloqueador de ataques a la red bloquea la actividad de red de un equipo agresor que tenga
como objetivo el equipo del usuario.
• Agregar el siguiente equipo a la lista de equipos bloqueados por (minutos): Especifica el
numero de minutos que el Bloqueador de ataques a la red bloqueara la actividad de red de un
equipo agresor. Este bloqueo protege automaticamente el equipo del usuario contra los
posibles ataques de red futuros desde la misma direccion. El valor predeterminado es de 4
minutos.
• Configurar las direcciones de exclusion: Especifica las direcciones IP desde las que no se
bloquearan los ataques de red, aunque la informacion de dichos ataques quedara registrada.
Haga clic en el boton Exclusiones... para abrir la ventana de Exclusiones, donde podra
agregar las direcciones IP.
Acerca de la proteccion de IVANTI Antivirus: Pagina del Vigilante del sistema
Utilice esta pagina para configurar el Vigilante del sistema que utiliza IVANTI Antivirus para
monitorizar la actividad de las aplicaciones en los dispositivos de destino. El Vigilante del sistema
solo se aplicara a partir del reinicio siguiente.
• Activar el Vigilante del sistema: Habilita la funcion especificada en la configuracion del

Vigilante del sistema.
• Habilitar la Prevencion de explotacion: Habilita a IVANTI Antivirus para llevar un seguimiento
de los archivos ejecutables que inician las aplicaciones vulnerables. Cuando detecta que el
iniciado no ha iniciado un intento para ejecutar un archivo ejecutable desde una aplicacion
vulnerable, IVANTI Antivirus bloquea el inicio del archivo. IVANTI Antivirus guarda la
informacion acerca del bloqueo del inicio de los archivos ejecutables en el informe de
Prevencion de explotacion.
• Registrar la actividad de aplicaciones para la base de datos de BSS: Habilita el registro de la
actividad de la informacion. Esta informacion se utiliza para actualizar la base de datos de
BSS (Firmas de flujo de comportamiento). El Vigilante del sistema registra la actividad de las
aplicaciones de manera predeterminada.
• No supervisar la actividad de las aplicaciones que tengan una firma digital: IVANTI Antivirus
1001
agrega las aplicaciones firmadas digitalmente al grupo de Confianza y no monitoriza las

actividades de las aplicaciones de este grupo.
• Reversion de las acciones de malware: Permite realizar una reversion en las acciones del
malware en el sistema operativo cuando se esta llevando a cabo una desinfeccion. Esta
• Defensa proactiva: Especifica si IVANTI Antivirus analizara la actividad de una aplicacion y

que accion llevara a cabo si determina que se trata de una actividad danina.
• Usar firmas de flujo de comportamiento (BSS): Especifica si se utilizara la tecnologâ

BSS (Firmas de flujo de comportamiento), que incluye analizar el comportamiento de
las aplicaciones mediante la informacion que se recopila acerca de sus actividades. El
Vigilante del sistema busca similitudes entre las acciones de una aplicacion y las
acciones del malware. Si el Vigilante del sistema analiza la actividad de una aplicacion
y determina que es maligna, llevara a cabo la accion que haya especificado en la lista
Al detectar actividad de malware.
• Al detectar actividad de malware: Especifica la accion que IVANTI Antivirus lleva a

cabo al detectar la actividad danina.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevar

a cabo la accion predeterminada que especifica IVANTI. De manera
predeterminada, IVANTI Antivirus pone en Cuarentena el archivo ejecutable de
una aplicacion danina.
• Poner archivo en cuarentena: IVANTI Antivirus pone en Cuarentena el archivo

ejecutable de una aplicacion danina.
• Cerrar el programa danino: IVANTI Antivirus cierra la aplicacion.
• Omitir: IVANTI Antivirus no lleva a cabo ninguna accion en el archivo ejecutable

de una aplicacion danina.
Acerca de IVANTI Antivirus: Pagina de tareas programadas
Utilice esta pagina para crear una tarea programada que llevara a cabo la herramienta del
programador local de IVANTI. Estas tareas van por separado de las tareas que se pueden programar
a traves del cliente de IVANTI Antivirus en el dispositivo administrado. Tenga en cuenta que las
notificaciones de tareas que aparecen en la interfaz del cliente hacen referencia al programador
nativo del cliente de IVANTI Antivirus, no a la herramienta del Programador local del servidor
central.
• Tareas programadas: Crea una tarea programada IVANTI Antivirus llevara a cabo en el
dispositivo administrado. Estas tareas van por separado de las tareas que se pueden
programar a traves de la herramienta de Programador local de IVANTI.
1002
GUÍA DE USUARIO
de virus periodicas, donde podra seleccionar los eventos que activaran una
actualizacion, la hora de la misma y los filtros.
• Rastreo completo: Especifica cuando se llevara a cabo un rastreo completo. Haga clic
en Cambiar programa... para abrir la ventana Programar rastreos de definiciones de
virus periodicas, donde podra seleccionar los eventos que activaran un rastreo, la
hora del mismoy los filtros.
• Rastreo de las areas crfticas: Especifica cuando se rastrearan solo las areas crfticas.
Haga clic en Cambiar programa... para abrir la ventana Programar rastreos de
definiciones de virus periodicas, donde podra seleccionar los eventos que activaran
un rastreo, la hora del mismoy los filtros.
• Tareas de rastreo en el fondo: Especifica si se llevara a cabo el rastreo de la memoria del
sistema en segundo plano, en los objetos de inicio,yen la particion del sistema, durante la
inactividad del equipo para optimizar el uso de los recursos del equipo.
• Realizar rastreo durante inactividad: Inicia una tarea de rastreo para los objetos que se
ejecutan automaticamente, RAM, y para la particion del sistema operativo, cuando el
equipo esta bloqueado o cuando el salvapantallas esta activo durante 5 minutos o
mas, si una de las condiciones siguientes es verdad:
• No se ha llevado a cabo un rastreo durante la inactividad del equipo desde la
instalacion de IVANTI Antivirus.
• El ultimo rastreo durante la inactividad del equipo se llevo a cabo hace mas de 7
dfas.
• El ultimo rastreo durante la inactividad del equipo se interrumpio durante una
actualizacion de la base de datos y los modulos de la aplicacion.
• El ultimo rastreo durante la inactividad del equipo se interrumpio durante un
rastreo a peticion.
1003
• Rastrear las unidades extraibles al conectarse: Especifica si se rastreara una unidad extrafole
cuando esta se conecte al equipo.
IVANTI Antivirus llevara a cabo cuando conecte una unidad extrafole al equipo.
• No rastrear: IVANTI Antivirus no ejecutara un rastreoy no le indicara que
Este ajuste se utiliza si los archivos analizados anteriormente no estaban
infectados.
extrafble segun los ajustes de las tareas de Rastreo completo. El analisis se
puede omitir si la opcion se ajusta para que sobrescriba el analisis en una
unidad mas grande que la que se ajusto en la configuracion de Tamano maximo
de la unidad extrafble.
los ajustes de las tareas de Rastreo de las areas criticas. Este analisis se puede
omitir si la opcion se ajusta para que sobrescriba el analisis en una unidad mas
grande que la que se ajusto en la configuracion de Tamano maximo de la
unidad extrafble.
Si desea que esta configuracion de antivirus incluya un analisis del antivirus periodico,
utilice este cuadro de dialogo para especificar la hora de inicio, la frecuencia, la restriccion
de tiempo y la configuracion de los requisitos de banda ancha. Las tareas de analisis del
antivirus (y las tareas de cambio de configuracion) asociadas con esta configuracion de
antivirus utilizaran las reglas definidas aqrn.
Antes de que se ejecute la tarea deben satisfacerse todos los criterios en este cuadro de
dialogo que esta configurando. Por ejemplo, si configura una programacion que se repite
todos los dfas entre las 8y las 9 en punto con un Estado del equipo de El equipo de escritorio
debe bloquearse, la tarea solo se ejecutara entre las 8 y las 9 en punto Ysi el equipo esta
bloqueado.
• Ejecutar cuando el usuario inicia sesion: El rastreo se producira cuando el usuario

inicie sesion en el equipo.
• Ejecutar siempre que cambie la direccion IP del equipo: El rastreo se producira
1004
GUÍA DE USUARIO
cuando cambie la direccion IP del equipo.

dâ de inicio de la tarea. Despues de elegir un dfa, tambien puede introducir un
• Repetir despues de: Programa el analisis para que se repita periodicamente.
Seleccione el numero de minutos, horas ydâs para controlar la frecuencia de
repeticion de la tarea.
• Rango horario: si desea que la tarea se ejecute dentro de cierto horario, seleccione las
horas de inicio y fin. Las horas estan en formato horario de 24 horas (militar).
• Semanalmente entre: si desea que la tarea se ejecute entre ciertos dâs de la semana,
especificar el criterio de ancho de banda mfnimo necesario para que se ejecute la
tarea.
La prueba del ancho de banda consiste en creartrafico de red en el dispositivo
especificado. Cuando llega el momento de ejecutar la tarea, cada dispositivo que
ejecuta la tarea del programador local envfa una pequena cantidad de trafico de red
ICMP al dispositivo especificado yevalua el rendimiento de la transferencia. Si el
dispositivo de destino de prueba no esta disponible, la tarea no se ejecuta. Las
opciones de Ancho mfnimo de banda son:
• RAS: la tarea se ejecuta si la conexion de red del dispositivo al dispositivo de
destino tiene al menos una velocidad RAS o de acceso telefonico, tal como se
detecta a traves del API de red. Normalmente, si se selecciona esta opcion, la
tarea siempre se va a ejecutar si el dispositivo tiene una conexion de red de
algun tipo.
• WAN: la tarea se ejecuta si la conexion del dispositivo al dispositivo de destino
es al menos una velocidad WAN. La velocidad WAN se define como una
conexion no RAS que es mas lenta que el umbral LAN.
• LAN: La tarea se ejecuta cuando la conexion del dispositivo al dispositivo de
destino excede la configuracion de velocidad LAN. La velocidad LAN se define
como cualquier velocidad mayor a 262,144 bps, de forma predeterminada.
Puede definir el umbral LAN en la configuracion del agente (Herramientas >
Configuracion > Agente de Configuracion > Detection de ancho de banda).
Los cambios que realice entran en efecto cuando se implementa la
configuracion actualizada en los dispositivos.
• Al nombre del equipo: identifica el equipo a utilizar para probar el ancho de
banda del dispositivo. La transmision de prueba es entre un dispositivo de
destino y este equipo.
• Estado del equipo: si desea que los criterios de ejecucion de la tarea incluyan un
1005
estado de equipo, seleccione alguno en la lista desplegable.

* Retraso aleatorio adicional una vez que se superan todos los demas filtros: si desea un
retraso aleatorio adicional, utilice esta opcion. Si selecciona un retraso aleatorio que
se extienda mas alia de los lmites horarios configurados para la tarea, esta puede no
ejecutarse si el valor aleatorio coloca a la tarea por fuera de los tfmites horarios
configurados.

• Y de al menos: si desea que la tarea aguarde al menos cierta cantidad de
minutos antes de ejecutarse, seleccione esta opcion. Por ejemplo, si programa
un analisis de inventario, puede introducir un cinco aqrn, de manera que el
equipo tenga tiempo para terminar el inicio antes de que comience el analisis,
con lo que se mejora la reaccion del equipo para el usuario.
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de actualization

actualizacion, seleccione Actualizaren la pagina de Tareas programadas.

predeterminado\LDLogon\Antivirus8\Win\BasesEP del servidor central. Un conjunto
restringido de usuarios puede descargar las definiciones de virus de la carpeta piloto para
probar las definiciones de virus antes de implementarlas en toda la red. Cuando crea una
tarea de analisis del antivirus, tambien puede seleccionar descargar las ultimas
actualizaciones de las definiciones de virus, entre ellas las que residen en la carpeta de
prueba piloto, luego asociar una configuracion de antivirus con esta opcion habilitada para
garantizar que los equipos de prueba reciban los ultimos archivos conocidos de definiciones
de virus. Si se selecciona esta opcion, no se descargan los archivos de definiciones de virus
de la carpeta predeterminada (\LDLogon\Antivirus8\Win\BasesEP).

1006
GUÍA DE USUARIO

• Intentar descarga punto a punto: previene descargas de archivos de definicion de
virus a traves de descarga de pares (el cache local o un par en el mismo dominio de
multidifusion).
• Amplitud de banda usada por el servidor central o el preferido (WAN): Especifica el ancho
de banda utilizado. Puede desplazar el control deslizante o introducir un valor en el cuadro
de porcentajes.
• Amplitud de banda usada entre pares (Local): Especifica el ancho de banda utilizado. Puede
desplazar el control deslizante o introducir un valor en el cuadro de porcentajes.
• Configuration de la actualization de aplicaciones: especifica si se actualizan los modulos de
la aplicacion, no solo los archivos del patron.
• Actualizar los modulos de la aplicacion: Habilita las descargas de las actualizaciones
de los modulos de la aplicacion, junto con las actualizaciones de la base de datos del
antivirus. Si se selecciona, IVANTI Mac Antivirus incluye las actualizaciones de los
modulos de la aplicacion que se encuentran en el paquete de actualizaciones, cuando
la aplicacion ejecuta la tarea de actualizacion. Esta opcion se selecciona de forma
predeterminada.
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de rastreo completo
Utilice esta pagina para configurar el modo en que IVANTI Antivirus lleva a cabo el rastreo completo
de los dispositivos de destino. Para programar un rastreo completo, seleccione Rastreo completo
en la pagina de Tareas programadas.
de correo.
1007
Bajo: Garantiza la velocidad maxima de rastreo. IVANTI Antivirus rastrea solo los
archivos nuevos o modificados con las extensiones especificadas en todos los discos
duros, discos de red y almacenamiento extrafole del equipo, as^como los objetos OLE
incrustados. IVANTI Antivirus no rastreara los archivos, los paquetes de instalacion ni
. Alcance: Puede ampliar o restringir el ambito del rastreo, anadiendo un eliminando los
predeterminada, un rastreo completo incluye la memoria del sistema, los objetos de
inicio, los sectores de arranque del disco, el almacenamiento de las copias de
seguridad del sistema, los correos electronicos, los discos duros y las unidades
extrafbles.
de manera predeterminada.
los paquetes de instalacion. En un rastreo completo, esta opcion se habilita de
un rastreo completo, esta opcion se habilita de manera predeterminada.
1008
GUÍA DE USUARIO

1009

que analice archivos RAR, ARJ, ZIP, CAB, LHA, JARe ICE que esten
protegidos por contrasena.
compuestos en segundo planoy ajustar un tfmite de tamano para los archivos
compuestos.
en un archivo durante un analisis heunstico, marcara el archivo como
posiblemente infectado. Desplace el control deslizante en el eje horizontal para
cambiar el nivel de detalle del analisis heunstico. El nivel de detalle del analisis
heunstico ajusta el equilibrio entre la minuciosidad de la busqueda de nuevas
amenazas, la carga sobre los recursos del sistema operativo y la duracion del
analisis heunstico. Estan disponibles los niveles siguientes de detalle del
analisis heunstico:
los niveles de rastreo medio y profundo. El rastreo es mas rapido y
utiliza menos recursos.
1010
GUÍA DE USUARIO
siguientes.
• Seleccionar una accion automaticamente: habilita a IVANTI Antivirus para llevara

cabo la accion predeterminada que especifica IVANTI. Esta accion es "Desinfectar.
Eliminar si la desinfeccion falla". Esta accion se selecciona de forma predeterminada.

esos archivos.

archivos infectados que detecte. IVANTI Antivirus aplica la accion Eliminar a
los archivos que forman parte de la aplicacion de Windows Store.

Acerca de las tareas programadas de IVANTI Antivirus: Pagina de Rastreo de las areas crfticas
Utilice esta pagina para configurar el modo de funcionamiento de IVANTI Antivirus en el rastreo de
las areas crfticas de los dispositivos de destino. Para programar un rastreo de las areas crfticas,
seleccione Rastreo de las areas crfticas en la pagina de Tareas programadas.

de correo.
de red y almacenamiento extrafble del equipo, asf como los objetos OLE incrustados.
IVANTI Antivirus no rastreara los archivos, los paquetes de instalacion ni los archivos
compuestos.
1011
predeterminada, el rastreo de areas crfticas incluye solo la memoria del sistema, los
objetos de inicio y los sectores de arranque del disco.
ARJ, ZIP, CAB, LHA, JARy ICE. En un rastreo de areas cnticas, esta opcion se
los paquetes de instalacion. En un rastreo de areas cnticas, esta opcion se
un rastreo de areas cnticas, esta opcion se habilita de manera predeterminada.
los formatos de correo electronico durante el rastreo. En un rastreo de areas
cnticas, esta opcion se habilita de manera predeterminada.
por contrasena.
1012
GUÍA DE USUARIO
compuestos.
analisis heunstico:
menos recursos.
recomendadas por IVANTI,
El rastreo consume mas recursos del sistema y dura mas tiempo. Para el
rastreo de areas cnticas, este es el nivel de analisis heunstico
predeterminado.
1013
siguientes.
esos archivos.
Acerca de las tareas programadas de IVANTI Antivirus: Pagina de rastreo personalizado
Utilice esta pagina para configurar los rastreos personalizados en los dispositivos de destino.


de correo.
objetos de rastreo o modificando el tipo de archivos que se van a rastrear.
• Tipos de archivo: Especifica si se rastrearan los archivos por formato, extension
o ambos. algunos formatos de archivo (como .txt) tienen pocas probabilidades
de intrusion de codigos maliciosos y de activaciones subsiguientes. Sin
embargo, hay formatos de archivos que contienen o pueden contener codigo
1014
GUÍA DE USUARIO
ejecutable (como .exe, .dll y .doc). El riesgo de intrusion yde activacion de

codigo malicioso en estos archivos es bastante alto. Un intruso puede enviar
un virus u otros programas malignos al equipo, mediante un archivo ejecutable
que se haya renombrado con la extension .txt. Si selecciona analizar los
archivos por extension, ese archivo se omitina en el analisis. Si se selecciona
analizar los archivos por formato, independientemente de la extension, IVANTI
Antivirus analizara la cabecera del archivo. Este analisis puede revelar que el
archivo tiene un formato .exe. Estos archivos se analizan totalmente en busca
de virus y otro tipo de malware.
• Rastrear solo archivos nuevos y modificados: habilita IVANTI Antivirus para que
rastree solo los nuevos archivos y los archivos que se han modificado desde el
analisis anterior.
ARJ, ZIP, CAB, LHA, JARy ICE.
los paquetes de instalacion.
Microsoft® Office Word® o los archivos adjuntos de correos electronicos.
por contrasena.
compuestos.
1015
• Adicional: Especifica el metodoy la tecnologfa que IVANTI Antivirus utilizara durante un

rastreo personalizado.
analisis heunstico:
menos recursos.
1016
GUÍA DE USUARIO
siguientes.
esos archivos.
Acerca de IVANTI Antivirus: Pagina de configuration avanzada
Utilice esta pagina para configurar la configuracion avanzada de IVANTI Antivirus en los
• Habilitar defensa personal: Previene las modificaciones o la eliminacion de los archivos de la

aplicacion en el disco duro, los procesos de memoria y las entradas en el registro del
sistema.
• Desactivar la administration externa del servicio del sistema: Bloquea cualquier intento de
administrar IVANTI Antivirus a distancia. Si se lleva a cabo un intento de administrar los
servicios de las aplicaciones a distancia, se visualizara una notificacion en la barra de tareas
de Microsoft Windows, sobre el icono de la aplicacion (a menos que el usuario haya
deshabilitado el servicio de notificaciones).
• Enviar archivos descartados y de seguimiento a IVANTI para ser analizados: Envia archivos
descartados y de seguimiento a IVANTI, donde se analizara el motivo de los bloqueos. Si
selecciona esta opcion, se abrira la ventana Cargar la informacion de soporte en el servidor
cuando IVANTI Antivirus se reinicie despues de un bloqueo. En esta ventana, podra
seleccionar los archivos descartados yde seguimiento de la lista y enviarlos a IVANTI para
que sean analizados.
1017
• Modo de funcionamiento: Le permite configurar el consumo optimo de eneâ y de recursos

del equipo durante el funcionamiento de IVANTI Antivirus.
• No iniciar las tareas programadas mientras se ejecute con la bateria: El equipo rastrea
las tareas y las tareas de actualizacion de la base de datos que suelen consumir
recursos considerables y que tardan muchotiempo en completarse. Esta opcion
habilita el modo de conservacion de energfa cuando se esta utilizando un equipo
portatil con alimentacion de la batena, lo que pospone las tareas de rastreo y de
actualizacion. En caso necesario, el usuario puede iniciar manualmente las tareas de
rastreo y actualizacion.
• Conceder recursos a otras aplicaciones: Cuando IVANTI Antivirus ejecuta tareas
programadas, es posible que se aumente la carga de trabajo en la CPU yen el
subsistema del disco, lo que ralentiza el rendimiento de otras aplicaciones. Esta
opcion suspende las tareas programadas cuando detecta un aumento en la carga de la
CPU y libera los recursos del sistema operativo para las aplicaciones del usuario.
Acerca de la configuration avanzada de IVANTI Antivirus Pagina de informes y almacenamientos
Utilice esta pagina para configurar la configuracion avanzada de los informes y del almacenamiento
de
IVANTI Antivirus en los dispositivos de destino.
• Parametros de informes: Especifica el tiempo que se almacenara un informe y el tamano

maximo del mismo.
• Almacenar informes por no mas de âs): Especifica el termino maximo de
almacenamiento de informes con un numero de dfas. El termino maximo
predeterminado es de 30 dfas. Transcurrido ese periodo, IVANTI Antivirus eliminara
automaticamente las entradas mas antiguas del archivo del informe.
• Tamano maximo de archivo (MB): Especifica el tamano maximo para el archivo del
informe en megabytes. De manera predeterminada, el tamano maximo del archivo es
1024 MB. Para evitar superar el tamano maximo del archivo, cuando se alcanza el
tamano maximo, IVANTI Antivirus elimina automaticamente las entradas mas antiguas
del archivo del informe.
1018
GUÍA DE USUARIO
• Opciones de cuarentena local y copia de seguridad: Permite configurar las cuarentenas y las
copias de seguridad. El almacenamiento de datos consta de un catalogo de cuarentena yde
un almacenamiento para los archivos de las copias de seguridad.
• Volver a rastrear la cuarentena tras una actualizacion: Habilita el rastreo automatico de
los archivos en cuarentena despues de cada actualizacion de las bases de datos y de
los modulos de software de la aplicacion de IVANTI Antivirus. Si selecciona esta
opcion, IVANTI Antivirus iniciara un rastreo de los archivos en cuarentena despues de
cada actualizacion de las bases de datos y de los modulos de software de la
aplicacion.
• Almacenar objetos por no mas de: Especifica el termino maximo de almacenamiento
para los archivos de cuarentena y para los archivos de las copias de seguridad. El
termino de almacenamiento maximo se mide en dfas. El termino maximo
predeterminado para los archivos es de 30 dfas. Transcurrido este termino de
almacenamiento maximo, IVANTI Antivirus eliminara los archivos mas antiguos de la
Cuarentena yde las Copias de seguridad.
• Tamano maximo de almacenamiento: Especifica el tamano maximo para el
almacenamiento de datos en megabytes. De manera predeterminada, el tamano
maximo es 100 MB. Para no superar el tamano de almacenamiento de datos maximo,
cuando el almacenamiento de datos alcanza el tamano maximo, IVANTI Antivirus
elimina automaticamente los archivos mas antiguos.
Acerca de la configuration avanzada de IVANTI Antivirus Pagina de interfaz
Utilice esta pagina para configurar los ajustes avanzados de la interfaz que IVANTI Antivirus utilizara
• Mostrar "Protegido por Kaspersky Lab" en la pantalla de inicio de sesion de Microsoft

Windows: Habilita el mensaje "Protegido por Kaspersky Lab" en la pantalla de inicio de
sesion de Microsoft Windows. Esta opcion se selecciona de forma predeterminada. Si la
aplicacion esta instalada en un equipo que utiliza un sistema operativo de la familia de
Microsoft Windows Vista, esta opcion no estara disponible.
• Usar animacion del icono durante la ejecucion de tareas: Cuando las tareas se estan
ejecutando, se habilita la animacion del icono de la aplicacion en el area de notificaciones de
la barra de tareas de Microsoft Windows. Esta opcion se selecciona de forma
predeterminada.
Acerca de la configuracion avanzada de IVANTI Antivirus Pagina de configuracion de Kaspersky
Utilice esta pagina para configurar el modo en que IVANTI Antivirus importara la configuracion de
Kaspersky en los dispositivos de destino.
1019

permite importar la configuracion desde un equipo cliente. Para importar la configuracion,
especifique la configuracion de Kaspersky en un cliente y guardela como un archivo .CFG.
Desde la consola, busque el archivo .CFG. Las opciones que se enumeran en el archivo .CFG
se ajustaran en primer lugary luego se ajustara IVANTI Antivirus. Tenga en cuenta que
IVANTI Antivirus no buscara una nueva actualizacion de .CFG para actualizarla. Si desea
importar una configuracion diferente, debera actualizar manualmente el archivo .CFG.
. Configuracion actual importada de: El boton Explorar [...] abre la ventana Seleccionar un
haga clic en el archivo .CFG y en Abrir.
• Eliminar la contrasena despues de la importacion: Permite a los usuarios modificar la
• En la fecha: La fecha de la importacion actual.
• Notas: Notas acerca del archivo .CFG.
Ayuda de IVANTI Antivirus Action Center / Licencias

Utilice este cuadro de dialogo para configurar las funciones principales de IVANTI Antivirus en el
entorno de red de IVANTI.
IMPORTANT: Se requiere una clave de licencia valida de IVANTI Antivirus

* IVANTI Antivirus requiere una clave de licencia valida para activar el producto en el servidor central y
utilizar la herramienta de IVANTI Antivirus para configurar y proteger los dispositivos de destino.
Puede especificar el plazo vencimiento de la clave de licencia del producto de IVANTI Antivirus y
rastrear los dispositivos de destino para establecer el cumplimiento, importar una nueva clave de
licencia valida, comprobar el estado de los archivos de la definicion actual de antivirus (patron) en
el servidor central ydescargar los ultimos archivos de definicion de antivirus.
Acerca del cuadro de dialogo de IVANTI Antivirus Action Center
• Aceptar que se eliminaran otros programas de software antivirus: Especifica que usted esta
de acuerdo en que el proceso de instalacion de IVANTI Antivirus retirara cualquier otro
software antivirus que se detecte en los dispositivos de destino.
• Se requiere una clave de licencia de IVANTI Antivirus: Se necesita una licencia valida de
IVANTI Antivirus para instalary utilizar plenamente el productode IVANTI antivirus en la red.
• Importar una licencia nueva: le permite importar una clave de licencia valida de
IVANTI Antivirus para activar el producto en el servidor central.
• Revisar si algun cliente se esta acercando al vencimiento de la licencia: puede rastrear los
1020
GUÍA DE USUARIO
dispositivos administrados en la red que esta configurada con IVANTI Antivirus para ver si la
clave de licencia esta cerca de la fecha de caducidad.
• Cambiar: le permite especificar el numero de dfas que quedan antes de que caduque
la clave de licencia de IVANTI Antivirus.
• Importar una licencia nueva: le permite importar una clave de licencia valida de IVANTI
Antivirus para activarel producto en el servidor central.
• Ver clientes: le permite ver que dispositivos administrados se encuentran dentro del
umbral especificado de caducidad de la clave de licencia de IVANTI Antivirus.
• Las definiciones de Antivirus estan actualizadas: indica si las definiciones de antivirus
(archivos de patron o firma) en el servidor central estan actualizadas (segun su plazo
especificado) o no.
• Cambiar...: le permite especificar el numero de dfas que restan, durante los cuales los
archivos existentes de definicion de antivirus (patron) que actualmente residen en el
servidor central se consideran actualizados.
• Ira descargaractualizaciones...: abre el cuadro de dialogo Descargar
actualizacionesdonde se pueden configurar las opciones de descarga y realizar
(programar) una tarea para descargar los archivos de definicion de antivirus.
• Muestra automaticamente este dialogo si se requieren de acciones del antivirus: permite que
el cuadro de dialogo de IVANTI Antivirus Action Center muestre en la consola de IVANTI si
alguno de los parametros especificados en las opciones de arriba se cumplen,
desencadenando, por lo tanto, una accion de recordatorio.
Acerca del cuadro de dialogo de IVANTI Antivirus License Information
Utilice este cuadro de dialogo para ver la informacion actual de la licencia de IVANTI Antivirus e
importar una nueva clave de licencia.
IMPORTANT: Soloadministradoresde IVANTI

■■ Los usuarios del administrador de IVANTI SOLO puede importar una clave de licencia de IVANTI Antivi
rus.
• Importar un nuevo archivo de licencia:

• Ruta de acceso: va a la clave de licencia de IVANTI Antivirus que se recibio de IVANTI.
• Creada en: muestra la fecha de creacion de la clave de licencia.
• Numero de licencia: muestra el numero de clave de la licencia.
• Numero de informacion de la licencia: muestra el numero de informacion de la
licencia.
* informacion de licencia actual:
• Ruta de acceso: muestra la ruta de acceso de archivo a la clave de licencia de IVANTI
Antivirus.
1021
• Creada en: muestra la fecha de creacion de la clave de licencia.

• Numero de licencia: muestra el numero de clave de la licencia.
• Numero de informacion de la licencia: muestra el numero de informacion de la
licencia.
• Informacion de despliegue:
• Nodos activados: indica el numero de dispositivos administrados que se han
configurado con la proteccion de IVANTI Antivirus y los cuales se ejecutan con una
clave de licencia valida.
• Cantidad maxima: indica la cantidad maxima de dispositivos administrados que se
pueden configurar con la proteccion de IVANTI Antivirus segun la licencia que se
recibio de IVANTI y que se utilizo para activar el producto de IVANTI Antivirus en el
servidor central.
• Caducidad proxima: indica la fecha en la cual caducara en realidad la proxima clave de
licencia de IVANTI Antivirus establecida para caducar.
1022
GUÍA DE USUARIO
Power management
Informacion general sobre el Administrador de energia
de IVANTI®
La herramienta Administracion de eneâ de IVANTI le permite supervisar la utilizacion de eneâ en
los equipos administrados desde una base centralizada. Puede crear e implementar con facilidad
directivas de administracion de energfa y generar informes para evaluar los ahorros energeticos y
economicos. Usted controla las condiciones bajo las cuales los equipos y monitores permanecen
en espera, hibernan o se apagan.
El Administrador de energfa cuenta con una caractenstica que permite que los usuarios eviten
acciones espedficas de administracion de energfa (como un apagado ffsico) utilizando una interfaz
de usuario en el lado del cliente. La accion evitada se producira la proxima vez que se ejecute la
polftica o que se actualice en ese equipo.
Funcionamiento
El agente de IVANTI que se despliega a cada dispositivo administrado incluye una opcion de
administracion de energfa. Cuando decida implementar una polftica de administracion de energfa
en algun dispositivo, esta opcion se habilita como parte del agente.
Las polfticas se pueden definir con base en las necesidades especficas de los diferentes tipos de
dispositivos administrados. Luego se pueden desplegar las polfticas a los grupos de dispositivos
de la organizacion. Por ejemplo, se podna definir una polftica para los servidores que necesitan
estar en funcionamiento continuamente y una polftica diferente para los equipos de escritorio que
normalmente no estan en uso durante la noche y los fines de semana.
1023
‘ ~i Lonftqui acion de ad min rat moon lie enerqu
Cwtfauniadn de Is ene-pi Wombre oe poIrtKE

H Qpdanes
|Ecu(:ci de etatoria baaico
Pnxm# Apw **nsW« ■Jizaodn del rnenkr Ternirar praceso Bat ones lie er*«j ia to CPU
|Fohca pa>:rel« equpo dedenatono
Oescripicidfi Politic.*
Acciwi DispcaitivDi Iniciar mscr. idad Grigcn Cia

w
[HtwPTflr j[] | Equipo 3 [ 1 mn dwpjee | r" Ajraggr un «quems ae energia | Guarcar c* wnue~; ce ere-si a |
En esparj Equpo 13 (iqqm-fls Cqnqrt^dn lUivOsm 12 3"H1 Tm / X

Hbemar Equpa
30 mTi
Conectado Lun-Oom 12 am-11 pm y X
despLi'fis
Apagar Monf nr 1 m dcspjffs Conactadg Hurt-Dorn 12am4lpm / X
Apagar Equpd Completg Vte 7 pm sX
CL adsr
Cada polftica contiene uno o mas esquemas de eneâ, los cuales son normas espedficas de las
acciones relacionadas con la administracion de eneâ. Cada esquema se aplica a un tipo de
dispositivo durante un periodo de tiempo espedfico. Por ejemplo, puede
. Aplicar reglas de suspension o hibernacion que se apliquen a un equipo de escritorio o

portatil durante las horas de uso regular
. Definir esquemas para que los monitores se apaguen despues de un periodo de inactividad •
Definir esquemas para apagar automaticamente los dispositivos durante ciertas horas
Si el usuario esta trabajando en un equipo cuando la polftica normalmente apagana el ordenador,
una interfaz de cliente le notifica al usuario, quien puede retrasar el apagado segun sea necesario.
Botones de la barra de herramienta de la administracion de energla

La herramienta de administracion de energfa cuenta con un grupo de botones que le permiten
realizar distintas tareas de administracion de energfa.
1024
GUÍA DE USUARIO
Eliminar:
Eliminar la polftica de administracion de la energfa.
Actualizar: Actualiza los elementos que se muestran en el panel

izquierdo.
Programar: Haga clic para programar el despliegue de la polftica de administracion
de energfa seleccionada.
Elaboration de informes: Haga clic para ejecutar un informe que estime los ahorros en
energfa y costos que se pueden obtener mediante el despliegue de ciertas polfticas de
administracion de eneâ a un grupo espedfico de dispositivos. Tambien se puede ejecutar un
informe que muestre los ahorros en energfa y costos en un intervalo detiempo especfico.
Datos Historicos: Haga clic aqrn para recopilar informacion de utilizacion del cliente
para
estimar con mas precision el uso de la
energfa
Le permite personalizar la configuracion que define el uso general de
Personalizar:
de energfade equipos
fabricantes y modelos
espeaficos.
Le permite administrar los procesos que se
Administracion de aplicaciones: pudieran
encontrar en ejecucion cuando se aplica una polftica de
energfa.
Crear una polftica de administracion de energia
La administracion de energfa utiliza una gestion basada en polfticas para enviar instrucciones
de espera, hibernacion, apagado y encendido a los equipos administrados. Las polfticas de
administracion de energfa le permiten controlar equipos y grupos de equipos espetificos.
Para crear una nueva polftica de administracion de energfa, utilice el Dialogo de administracion
de energia.
Herramientas > Seguridad y cumplimiento > Configuracion del agente > Administracion de
energia > Ajustes de administracion de eneâ
1025
Desplegar una politica de administracion de la energia

Despues de crear una poiftica, debe programar su ejecucion en algun dispositivo o grupo de
dispositivos administrados. Despues de que la tarea se realice satisfactoriamente, el agente de
IVANTI de los dispositivos de destino incluira la polftica de eneâ y utilizara el esquema de energfa
en la polftica.
Para desplegar una polftica de administracion de energia
1. Haga clic en Herramientas > Administracion de energia > Administracion de energia.

2. Haga clic en alguna carpeta de polfticas de la vista de arbol y seleccione la polftica.
3. Haga clic en el boton Programar de la barra de herramientas y seleccione Programar
polftica.
La herramienta Programar tareas se abrira con la polftica de energfa seleccionada.

4. Arrastre los dispositivos o grupos de la vista de red a la polftica.
5. Haga clic con el boton derecho en la polftica y seleccione Iniciar ahora.
6. Para iniciar la tarea en otro momento, seleccione la polftica, haga clic en el boton
Propiedades de la barra de herramientas, y especifique la hora para iniciar la tarea de la
polftica.
Los paneles de estado de tareas mostraran los dispositivos en los cuales se realizo la tarea de
forma correcta. Si la tarea no puede realizar en ninguno de los dispositivos, aparecera el motivo de
esto.
NOTE: El agente de IVANTI de los dispositivos de destino debe tener activada la administracion de energfa para
que la polftica de energfa funcione. Si despliega una polftica y recibe un mensaje de error que indica que la
tarea de polftica no puede iniciar en algun dispositivo, asegurese de que el agente del dispositivo tenga
habilitada la administracion de energfa.
Quitar una politica de administracion de la energia

Puede eliminar las polfticas de administracion de energfa de todos los dispositivos administrados o
de los grupos de dispositivos. Esto se realiza mediante la creacion de una tarea programada que se
aplica a todos los dispositivos. Despues de que la tarea se realice satisfactoriamente, el agente de
IVANTI de los dispositivos de destino ya no tendra la polftica de energfa.
1026
GUÍA DE USUARIO
Para quitar una politica de administracion de energia

2. Haga clic en el boton Programar de la barra de herramientas y seleccione la opcion Apagar
la administracion de eneiâ.
Si selecciona la opcion global, la administracion de energfa se retira de todos los

Si selecciona la opcion de grupo, seleccione el grupo de dispositivos o la consulta en los

cuales desea quitar la administracion de energfa y luego haga clic en Aceptar.
3. En la herramienta Tareas programadas, haga clic con el boton derecho en Apagar la

administracion de enerâ y haga clic en Iniciar ahora.
4. Para iniciar la tarea en otro momento, seleccione la tarea, haga clic en el boton Propiedades
de la barra de herramientas, y especifique la hora para iniciar la tarea de eliminacion.
Los paneles de estado de tareas mostraran los dispositivos en los cuales se realizo la tarea de
forma correcta. Si la tarea no puede realizar en ninguno de los dispositivos, aparecera el motivo de
esto.
Programar una activacion remota

La administracion de energfa puede programar un comando de "encendido" a traves del BIOS de
un dispositivo. Si el BIOS no puede programar eventos de reactivacion, o no se pueden programar
a traves de Windows, entonces el evento de "encendido" no se programara. Cuando esto sucede,
hay varias maneras posibles de resolver el problema:
• Habilitar eventos de Conectar & usar en el BIOS

• Habilitar eventos en el BIOS
• Actualizar el BIOS del fabricante
Algunos sistemas BIOS no admiten esta funcion en absoluto. En ese caso, una tarea programada
de Wake on LAN puede utilizarse para encender dispositivos a una hora espedfica.
Si un dispositivo administrado esta configurado para utilizar la activacion de LAN (WOL) o de Intel
vPro, se puede programar una activacion remota para encender el dispositivo en un momento
determinado. Esta funcion activa los dispositivos que estan en modo de espera o suspension, asf
como los dispositivos que esten apagados.
Si tanto la activacion de LAN (WOL) como la de Intel vPro estan habilitadas, la funcion de Intel vPro
se ejecuta primeroy WOLen segundo lugar.
1027
Para programar una activacion remota

2. Haga clic en el boton Programar de la barra de herramientas y seleccione Programar
activacion remota.
La herramienta Programar tareas se abre con la tarea seleccionada.

3. Arrastre los dispositivos o grupos de la vista de red a la tarea.
4. Haga clic con el boton derecho en la tarea y seleccione Iniciar ahora.
5. Para iniciar la tarea en otro momento, seleccione la tarea, haga clic en el boton Propiedades
de la barra de herramientas, y especifique la hora para iniciar la tarea.
Los paneles de estado de tareas mostraran los dispositivos en los cuales se realizo la tarea de forma
correcta. Si la tarea no puede realizar en ninguno de los dispositivos, aparecera el motivo de esto.
Administracion de las aplicaciones que esten en conflicto

con las politicas de energia
Las aplicaciones que se ejecutan en los dispositivos administrados pueden estar en conflicto con
las polfticas de administracion de energfa que se creen. Algunas aplicaciones deben continuar
funcionando, aunque la poiftica tenga un comando para apagar el dispositivo. Otras aplicaciones no
deben interferir con las polfticas y se deben terminar como parte del proceso de apagado.
El registro de alertas de la administracion de energfa le ayuda a identificar que procesos, de los que
se ejecutan en los dispositivos administrados, pueden estar en conflicto con las polfticas de
energfa. Estos conflictos se registran junto con el nombre del dispositivo, la hora y nombre del
proceso. Revise estas entradas de registro para determinar que aplicaciones estan produciendo
conflictos.
El boton de Administracion de aplicaciones ( ) de la barra de herramientas de la administracion

de energfa incluye tres opciones que permiten gestionar los conflictos potenciales de las
aplicaciones:
• Identificar los activadores sensibles a los procesos: Los procesos que se incluyen en esta
lista se podran ejecutar incluso si la polftica de energfa tiene un comando de apagado. Las
polfticas de energfa esperaran hasta que los procesos hayan terminado luego continuaran
haciendo cumplir las polfticas.
• Identificar procesos a terminar al apagar: Los procesos que se incluyen en esta lista pueden
interferir con las polfticas de energfa, lo cual provoca un estado de "insomnio" (incapacidad
para que el dispositivo se apague o quede en espera). Si estos procesos se estan
ejecutando, las polfticas de energfa los haran terminar de manera que todo pueda continuar.
• Identificar los procesos a ignorar: Los procesos que se incluyen en esta lista no necesita
atencion por parte de las polfticas de energfa y no es necesario incluirlos en los registros de
alertas.
1028
GUÍA DE USUARIO
Las instrucciones para utilizar estas opciones se encuentran en las siguientes secciones:
1029
"Configurar las aplicaciones que no se deben apagar" (1020)
"Configurar las aplicaciones que se deben apagar" (1021)
"Configurar las aplicaciones a ignorar en los registros de alertas" (1021)
Configurar las aplicaciones que no se deben apagar

Use el boton Identificar activadores sensibles al proceso de la barra de herramientas para observar
el procesamiento de cualquier programa de importancia y esperar a que finalice antes de hacer
cumplir las polfticas de energfa.
En algunos entornos, los programas necesitan ejecutarse durante un penodo de tiempo prolongado.
Por ejemplo, el proceso de Revisiones de Endpoint Manager puede ser un proceso de instalacion de
revisiones corto o largo. El periodo de tiempo necesario para que el dispositivo administrado se
encienda es desconocido cuando se trata del despliegue de revisiones. Otros programas pueden
tener parametros similares que no se pueden interrumpir en un entorno.
Para identificar las aplicaciones que no se deben apagar
1. Haga clic en Herramientas > Administracion de eneâ > Administracion de eneâ.

2. Haga clic en el boton Administracion de aplicaciones de la barra de herramientas y
seleccione
Identificar activadores sensibles al proceso.
3. Agregar, modificar o eliminar nombres de proceso a la lista.
4. Cuando la lista este completa, haga clic en Aceptar.
NOTE: La lista que se crea aqu solo se aplicara en un dispositivo gestionado si se activo la opcion
Activador sensible al proceso en la polftica de administracion de energfa de ese dispositivo.
O 54 55
Haga clic aqrn para ver las descripciones de las opciones del cuadro de dialogo Lista de
activadores sensibles al proceso
• Agregar: agrega un proceso que corresponde a un .exe conocido que necesita retrasar las
polfticas de energfa.
• Importar: agrega un proceso proveniente de la informacion recolectada a partir de los
equipos de cliente utilizando la informacion de Datos historicos. Esto incluye los procesos
que se presentan en la lista del registro de alertas de la administracion de energfa.
• Eliminar: elimina el proceso seleccionado de esta lista.
55 Modificar: Haga clic en este boton para cambia el nombre del archivo .exe.
• Todos: selecciona todos los procesos de la lista.
• Ninguno: cancela la seleccion de todos los procesos de la lista.
1030
GUÍA DE USUARIO
Configurar las aplicaciones que se deben apagar

Utilice el boton Identificar los procesos a terminar al apagar de la barra de herramientas para detener
los procesos que pueden retrasar alguna de las opciones de las polrticas de energfa. Algunos
procesos hacen que los equipos no sigan los parametros de las polfticas de eneâ que se
configuraron. Este mismo proceso afecta algunos equipos o muchos de ellos en cuanto al
seguimiento de las polfticas. La administracion de eneâ termina los procesos que evitan que al
dispositivo entre en estado de espera o se apague.
Para identificar las aplicaciones que se deben terminar como parte del proceso de apagado

seleccione Identificar los procesos a terminar al apagar.

NOTE: La lista que se crea aqu solo se aplicara en un dispositivo gestionado si se activo la opcion de la
O lista de procesos a finalizar en la polftica de administracion de energfa de ese dispositivo.
Haga clic aqrn para ver las descripciones de las opciones del cuadro de dialogo Lista de procesos a
finalizar
• Agregar: agrega un proceso que corresponde a un .exe conocido que necesita terminarse.

• Modificar: Haga clic en este boton para cambia el nombre del archivo .exe.
• Todos: selecciona todos los procesos de la lista.
• Ninguno: cancela la seleccion de todos los procesos de la lista.
Configurar las aplicaciones a ignorar en los registros de

alertas
Use el boton Identificar los procesos a ignorar en los registros de excepciones de la barra de
herramientas para designar procesos que no necesitan atencion de parte de las polfticas de energfa.
Cuando se agregan procesos a esta lista, se puede reducir el tamano de los archivos de registro
relativos a la administracion de energfa, lo cual le ayuda a centrarse en las aplicaciones que son de
interes para hacer seguimiento a problemas en la administracion de la energfa.
1031
Para identificar las aplicaciones que se pueden ignorar en los registros de alertas

seleccione
Identificar los procesos a ignorar en los registros de excepciones.
Haga clic aqm para ver las descripciones de las opciones del cuadro de dialogo Procesos a ignorar
• Agregar: agrega un proceso que corresponde a un .exe conocido que se puede ignorar.

• Modificar: Haga clic en este boton para cambia el nombre del archivo .exe.
Ver los informes de administracion de energia

La herramienta de administracion de energfa le permite generary ver informes de energfa, ahorro de
costos e informes historicos. Los informes se componen de calculos compuestos de ahorros en
costos o de energfa en vatios. Se basan en estimaciones de los costos de energfa y un promedio del
uso activo de los equipos seleccionados que se asocien al informe.
Existen dos tipos de informes de ahorros:
• Consumo de eneâ: compara la cantidad de kWh (kilovatios-hora) que se utiliza cuando se

aplican las polfticas de administracion de energfa con la cantidad utilizada si no existieran
polfticas de administracion de energfa.
• Ahorro de dinero: crea un estimado de los ahorros de costos que se obtienen cuando se
aplican las polfticas de administracion de energfa.
Los ahorros pueden calcularse por dfa, semana, mes o ano. Si se han recopilado datos historicos,
pueden ejecutarse informes historicos de los mismos tipos.
Como se crean los informes
Los procesos de administracion de energfa en los dispositivos administrados registran el tiempo de

uso de cada dispositivo cuando esta activo. Los informes se crean a partir de un archivo XML que
recopila la informacion sobre la utilizacion y calcula el promedio de tiempo de uso de los equipos.
1032
GUÍA DE USUARIO
Cada vez que se ejecute un informe, se deben seleccionar dispositivos individuals o grupos de
dispositivos. A continuacion, el informe recoge datos sobre estos dispositivos, y presenta un
resumen de su utilizacion. Las horas de uso se muItiplican por la consumo de eneâ promedio de
cada tipo de dispositivo (informes en vatios) o por los ahorros estimados de costos de mantener el
dispositivo apagado (informes en dinero ahorrado).
Los siguientes elementos contribuyen a los calculos de informes. Puede modificar cualquiera de
estos elementos para que los informes sean mas precisos segun alguna situacion.
• Costo por kWh: se utiliza un promedio estandar como valor predeterminado. Si se conoce el
costo real por kWh de la factura electrica, puede cambiar esta cifra.
• Configuration personalizada del consumo de energia: de forma predeterminada, los informes

utilizan el valor del consumo de energfa promedio en vatios para los equipos de escritorio y
portatiles. Si desea utilizar datos mas espedficos, se pueden utilizar datos de ciertos
fabricantes y modelos.
• Datos de utilizacion del cliente: de forma predeterminada, se utiliza un promedio diario de

utilizacion por parte del cliente para realizar los calculos. Si desea utilizar datos mas
espeaficos, se pueden aplicar los datos historicos provenientes de los dispositivos
administrados para realizar los calculos del informe.
Cuando ejecute un informe de ahorros, utilice el siguiente cuadro de dialogo para seleccionar las
opciones y obtener una vista previa de los resultados.
1033
Ejecutar un informe sobre la administracion de energia

Utilice el boton Informes de la barra de herramientas de administracion de energfa para ejecutar
informes de ahorros e historicos.
NOTE: Los informes requieren que primero se creen grupos de equipos con al menos un dispositivo o se creen
consultas, en la vista de red. Podra utilizar grupos y consultas para seleccionar los dispositivos que se incluiran
en los informes.
Para ejecutar un informe sobre la administracion de energia

2. Haga clic en el boton de Informes de la barra de herramientas y seleccione Informe de
ahorros o Informe historico.
3. Seleccione un nombre de politica del menu desplegable, y haga clic en Seleccionar destinos.
Seleccione los grupos o las consultas de los dispositivos que desee incluir en el informe.
Haga clic en Aceptar.
Los elementos que seleccione se presentaran en una lista, con un costo por kWh asociado.
La cantidad total de equipos de cada grupo tambien aparecera.
4. Si desea realizar el calculo utilizando un costo por kWh diferente, cambie el numero del
campo Costo por kWh. Para eliminar un grupo o una consulta del informe, haga clic en el
boton Eliminar. Haga clic en Actualizar informe para actualizar el grafico despues de realizar
algun cambio.
5. Seleccione un tipo de grafico (en vatios o en dinero).
6. Seleccione el sfmbolo de la moneda con el cual desea que el informe aparezca.
7. En la base del grafico, seleccione el intervalo de tiempo del informe (de 1 dia a 1 ano).
8. Para exportar una copia del informe en formato .htm, haga clic en Exportary especifique la
ubicacion para guardar el archivo.
NOTE: Para ejecutar un informe historico, primero se deben haber recogido datos historicos de los dispositivos
administrados (utilizando el boton Datos historicos de la barra de herramientas). Si no hay datos historicos, el
informe no creara ningun grafico ni exportara el archivo del informe.
Utilizar los datos historicos para realizar informes sobre

energia
Puede recopilar datos de utilizacion de energfa de los dispositivos administrados si desea crear
informes que representen la utilizacion real del dispositivo en un penodo de tiempo. Los datos se
almacenaran en la base de datos y luego se utilizaran cuando se ejecute un informe que incluya los
dispositivos sobre los cuales se recopilaron datos.
1034
GUÍA DE USUARIO
Utilice el boton Datos historicos de la barra de herramientas para iniciar o detener la recopilacion de
datos o eliminarlos de la base de datos.
Despues de haber recopilado los datos de utilizacion de clientes, se pueden sustituir los datos
predeterminados con los datos historicos actuales que se recoja de los dispositivos administrados.
Para reemplazar los supuestos de utilizacion con datos historicos
1. En la barra de herramientas de administracion de energfa, haga clic en el boton Personalizary

seleccione Reemplazar los supuestos de utilizacion de clientes con datos historicos.
2. Seleccione los grupos o las consultas de los cuales desea utilizar los datos historicos.
3. Seleccione un penodo de tiempo, ya sea la ultima semana de datos o un intervalo de tiempo.
4. Haga clic en Generar la tabla de utilizacion predeterminada.
Los nuevos datos se utilizan para generar informes. Esto reemplaza los promedios de los datos de
utilizacion, los cuales se utilizan para estimar los consumos ahorros de forma predeterminada.
Temas relacionados
Las instrucciones para utilizar las opciones de datos historicos se encuentran en las siguientes
secciones:
"Recopilar datos de utilizacion de clientes" (1025)
"Eliminar datos antiguos de utilizacion de clientes" (1026)
Recopilar datos de utilizacion de clientes

Para recopilar los datos de utilizacion de clientes

2. Haga clic en el boton de Datos historicos de la barra de herramientas y seleccione una
accion
(Iniciar la recopilacion de la information de utilizacion de los clientes o Detener la
recopilacion de la informacion de utilizacion de los clientes).
Se abrira una tarea en la ventana de Tareas programadas, identificada con fecha y hora.
3. Arrastre los dispositivos, grupos o consultas individuales de la vista de red a la tarea.
4. Para iniciar la tarea ahora, haga clic con el boton derecho en esta y seleccione Iniciar ahora.
5. Para programar la tarea para que comience a una hora posterior, seleccione la tarea y haga
clic en el boton Propiedades de la barra de Tareas programadas. Haga clic en Tarea
programada > Programar tarea posteriory seleccione las opciones de programacion.
Los dos paneles de la Herramienta de tareas programadas mostraran el progreso de la tarea,

incluyendo aquellos dispositivos que no pudieron realizar la tarea y el motivo.
1035
Eliminar datos antiguos de utilizacion de clientes

Para eliminar los datos antiguos de utilizacion de clientes de la base de datos
Despues de haber recopilado datos durante un penodo de tiempo y luego haber utilizado los datos
para ejecutar informes, puede que sea conveniente eliminar los datos antiguos de la base de
datos. Esto garantiza que los datos historicos sean recientes.
1. Haga clic en Herramientas > Administration de energia > Administration de energia.
2. Haga clic en el boton de Datos historicos de la barra de herramientas y seleccione Eliminar

datos antiguos de utilizacion de clientes.
3. Especifique una fecha y haga clic en Eliminar.
Se eliminaran los datos historicos de consumo de energfa y de utilizacion anteriores a la fecha

especificada.
Configuracion personalizada del consumo de energia

La herramienta de Administracion de energfa cuenta con una funcion que permite personalizar la
configuracion del consumo de energfa de equipos similares para obtener informes de
administracion de energfa mas precisos. Las opciones que se creen y seleccionen en este cuadro
de dialogo se utilizaran en los calculos de los informes.
1036
GUÍA DE USUARIO
Configuracion predeterminada
La configuracion predeterminada que aparece en el cuadro de dialogo Configuracion personalizada
del consumo de energia se basa en el tipo de equipo al cual se hace referencia en un informe.
En un equipo de escritorio, la configuracion personalizada del consumo de energfa en vatios se

basa en la configuracion promedio de un equipo de escritorio tfpico. En equipos portatiles, los
ajustes predeterminados son inferiores porque estos suelen utilizar menos energfa.
Para cambiar la configuracion predeterminada del consumo de energia

2. En la barra de herramientas, haga clic en el boton Personalizar (A) y seleccione
Configuracion personalizada del consumo de eneâ.
3. Seleccione el Tipo de chasis (de escritorio o portatil).
4. En los campos de Equipo, cambie la configuracion del consumo de energfa en vatios para
especificar el consumo que utiliza el tipo de chasis que se selecciono, en los diferentes
estados de utilizacion.
5. En los campos de Monitor, cambie la configuracion del consumo de energfa en vatios para
especificar el consumo que utiliza el monitor cuando esta funcionado y en modo de espera.
Configuracion personalizada de modelos especificos

Puede utilizar una configuracion de energfa personalizada y configurada previamente para que
coincida con el tipo de equipo que esta utilizando. Para su comodidad, se han agregado muchas
configuraciones de energfa para fabricantes de equipos de escritorio y portatiles populares.
Por ejemplo, si esta supervisando la utilizacion de energfa de un equipo de escritorio Dell Inspiron
531s, seleccione Dell Inc. de la lista desplegable Fabricante y Inspiron 531s de la lista desplegable
Modelo. La configuracion de la potencia en vatios para el equipo y su monitor se han agregado con
base en los datos recuperados de un inventario de IVANTI de equipos Inspiron 531s.
Para agregar los valores de consumo de energia de modelos de hardware especificos

2. En la barra de herramientas, haga clic en el boton Personalizar (A, y seleccione
3. Desmarque la casilla Configuracion predeterminada.
4. Seleccione el Fabricante y Modelo del tipo de dispositivo que desea utilizar.
5. Haga clic en Cerrar para guardar los datos de ese modelo.
6. Repita los pasos 2 a 4 en cada uno de los modelos que desee incluir en los calculos de
utilizacion de energfa.
Los valores de consumo de eneâ en vatios guardados se hacen coincidir con los dispositivos
administrados que se incluyen en los informes.
1037
Configuracion personalizada de otros modelos

Cuando se selecciona la casilla de verificacion Configuracion predeterminada, los campos de los
valores de consumo de energfa muestran el uso promedio de eneâ de equipos de escritorio o
portatil dpicos. Si la casilla de verificacion Configuracion predeterminada no se marca, utilice estos
campos para introducir los valores de consumo de energfa en vatios de las marcas y los modelos
de equipos espedficos que no se encuentren en las listas de fabricantes y modelos.
Para agregar valores personalizados de consumo de energia de otros modelos de hardware

Si el tipo de equipo que desea administrar no aparece en las listas desplegables de Information del
sistema preconfiguradas, puede introducir la informacion de manera manual. Para lograr mayor
precision, tendra que recopilar informacion de utilization proveniente de las fuentes de los
fabricantes.
1. Haga clic en Herramientas > Administration de eneâ > Administration de eneâ.

2. En la barra de herramientas, haga clic en el boton Personalizar (A, y seleccione
3. Desmarque la casilla Configuracion predeterminada.
4. Escriba el nombre del Fabricantey el nombre/numero de Modelo del tipo de dispositivo que
desee utilizar.
5. Seleccione el tipo de Chasis que corresponde al dispositivo.
6. Agregue los datos de consumo de energfa del equipo y monitor en los diferentes estados de
uso.
7. Haga clic en Cerrar para guardar los datos de ese modelo.
Generar un archivo XML para realizar los calculos de

utilizacion predeterminados
Los informes de administracion de energfa utilizan datos promedio de diferentes tipos de equipos
(de escritorio, notebook o portatil). Cuando se genera un informe sobre un grupo de equipos, los
equipos de ese grupo se comparan con los datos de consumo de energfa promedio de los tipos de
equipo correspondientes. Por lo tanto, los datos se basan en un promedio, pero no en utilizacion
especfica.
Un archivo XML contiene estos datos promedio. Si se han recopilado datos historicos provenientes
de los dispositivos administrados, se puede generar un nuevo archivo XML que use los datos de
estos dispositivos en lugar de los provenientes de promedios. Este archivo XML sustituye el archivo
predeterminado y, por tanto, refleja la utilizacion de energfa de su organization y proporciona
informes de ahorros mas precisos.
1038
GUÍA DE USUARIO
Para generar un nuevo archivo XML para realizar los calculos de utilizacion
predeterminados
1. Haga clic en Herramientas > Administration de energia > Administration de energia.
2. En la barra de herramientas, haga clic en el boton Personalizar (&) yseleccione Reemplazar

los supuestos de utilizacion de clientes con datos historicos.
3. Seleccione los grupos de dispositivos o consultas que desee utilizar para calcular los datos.
4. Seleccione el penodo de tiempo a partir del cual desea calcular datos nuevos. Puede elegir la
ultima semana o especificar un periodo de tiempo.
5. Haga clic en Generar la tabla de utilizacion predeterminada.
Se creara un nuevo archivo XML. Los datos de este archivo se utilizaran en los calculos de los
informes de ahorros.
NOTE: Para generar un nuevo archivo XML, se deben haber recopilado datos historicos provenientes de los
dispositivos administrados que por lo menos correspondan al penodo de tiempo que se seleccione en este
cuadro de dialogo. Si no hay suficientes datos historicos, no se podra generar un nuevo archivo XML.
Verel registro de alertas de la administracion de energia

Dado que las polfticas de administracion de energfa se ejecutan en los dispositivos administrados,
puede haber situaciones en las cuales los dispositivos no responden a las acciones de energfa
como se esperaba. Por ejemplo, un proceso que se ejecuta en un dispositivo puede continuar
funcionando incluso cuando se ha enviado un comando al dispositivo para cambiar los estados de
energfa.
1039
El registro de alertas muestra una lista de los detalles de este tipo de conflictos. Puede utilizar la
informacion de este registro para administrar las aplicaciones en los dispositivos y especificar
cuales aplicaciones deben poder seguir funcionando o cuales se deben apagar cuando se programa
una accion de energfa para ejecutarse.
Para ver el registro de alertas de la administracion de energia

2. Haga clic en el nodo de Registro de alertas de la vista de arbol.
3. Para encontrar las alertas de un dispositivo espedfico, o de un intervalo de fechas, escriba
una cadena de busqueda en el cuadro Buscary seleccione una columna, o seleccione un
intervalo de fechas, y haga clic en el boton Buscar.
Una vez que haya identificado los procesos que generan conflictos, utilice las opciones de la
Administracion de aplicaciones de la barra de herramientas para cambiar la forma en que las
polfticas de energfa se ejecutan cuando ciertas aplicaciones se estan ejecutando en un dispositivo.
Para obtener mas informacion, consulte "Administracion de las aplicaciones que esten en conflicto
con las polfticas de energfa" (1019)
Configuracion del agente: Administracion de energia

Herramientas > Seguridad y cumplimiento > Configuracion del agente > Administracion de eneâ >
Ajustes de administracion de eneâ
La administracion de energfa utiliza una gestion basada en polfticas para enviar instrucciones de
espera, hibernacion, apagado y encendido a los equipos administrados. Las polfticas de
administracion de energfa le permiten controlar equipos y grupos de equipos especficos.
Para especificar los ajustes de una nueva politica de administracion de energia
1. En la ventana Configuracion del agente, haga clic en Administracion de eneiâ para

expandirla. Haga clic con el boton derecho sober Ajustes de administracion de eneâ y haga
clic en Nuevo...
2. Escriba un nombre y una descripcion para la politica.

3. Agregue al menos un esquema de energfa a la politica. Seleccione las opciones en las seis
listas
(Acciones, Dispositivos, Activadores de inactividad, Origen, Dfa y Hora)y luego haga clicen
Agregar esquema de enerâ.
Puede agregar varios esquemas de energia, segun sea necesario. Para eliminar un
esquema de energia de una politica, haga clic en el boton Eliminar (^) junto al esquema.
4. Ampliar Opciones en la columna de la izquierda. Seleccione los valores en las seis paginas
de opciones.
5. Cuando todas las opciones esten definidas, haga clic en Guardar.

Acerca de la pagina Configuracion de energia
1040
GUÍA DE USUARIO
. Accion: seleccione la accion a realizar en el equipo administrado, es dedr, hibernar, en espera,

encender, apagar o en alerta.
. Dispositivo: seleccione el dispositivo sobre el cual desea realizar la accion (por ejemplo,
equipo).
• Activador de inactividad: seleccione el lapso que debe transcurrir antes de que se ejecute la
accion (desde 1 minuto hasta 5 horas, o nunca). Nota: si selecciona Apagar en la lista de
Acciones, el tftulo de esta lista cambiara de Activador de inactividad a Tipo de apagado
(ffsico o por software).
• Origen: seleccione la fuente de energfa que utiliza el dispositivo (conexion, batena, ninguna).
• Dâ: seleccione el dâ o dfas de la semana para la ejecucion de la accion.
• Hora: seleccione la hora u horas del dfa para la ejecucion de la accion.
Acerca de la pagina Opciones

• Opciones: Desactivar el protector de pantalla, Habilitar la activacion local, Retrasar el
apagado y Monitorizar.
• Activador por procesos: habilite esta opcion para retrasar la polftica de energfa si se detecta
alguno de los procesos enumerados. La polftica continuara si no se detecta ninguna polftica
despues de la cantidad de minutos especificados. Para agregar procesos a esta lista, utilice
boton la Lista de activadores sensibles al proceso de la barra de herramientas.
• Monitor de utilization: habilite esta opcion para hacer cumplir la polftica de energfa si se
cumplen las condiciones especificadas en el dialogo. Las condiciones que se pueden
especificar son Utilizacion de CPU y Trafico de Red. Si una o ambas alcanzan algun
porcentaje espedfico menor que el maximo, la polftica de energfa se hara cumplir.
• Terminar proceso: habilite esta opcion para terminar los procesos de la lista durante el
proceso de apagado. Para agregar procesos a esta lista, utilice boton la Lista de procesos a
finalizar de la barra de herramientas.
• Botones de encendido: active esta opcion para configurar las acciones que se realizaran
cuando un usuario pulse los botones de encendido de un dispositivo administrado.
Seleccione que accion se va a realizar con cada tipo de boton cuando el equipo este
enchufado o con batena. Para cada situacion, las acciones que se pueden elegir son No
hacer nada, Suspension, Hibernar o Apagar.
• Lfmite de CPU: active esta opcion para configurar el lmite de CPU (limitando los niveles de
potencia de la CPU) de una polftica de energfa desplegada. Seleccione un nivel de
rendimiento cuando el equipo este enchufado o con batena. Las opciones de rendimiento
son Alto (mmimo 100, maximo 100), Adaptable (mmimo 5, maximo 100), Bajo (mmimo 5,
maximo 50) o Mas bajo (mmimo 5 maximo 33).
Uso de la accion de Encendido con Wake on LAN
La administracion de energfa utiliza la tecnologâ de activacion de Wake on LAN (WOL) o de Intel
vPro para encender en forma remota un equipo a fin de ejecutartareas programadas. Para que la
administracion de energfa pueda utilizar WOL, los equipos administrados deben contar con
adaptadores de red configurados correctamentey compatibles con WOL.
1041
La Administracion de energfa no puede configurar la funcion de WOL de los adaptadores de red. Si

en el adaptador de red de un equipo no esta habilitada esta funcion, se producira un error en la
poiftica de administracion de energfa de ese equipo, que incluye una accion de "encendido" en su
esquema de energfa. La Administracion de energfa no incluye una opcion para monitorizar si la
funcion del adaptador WOL esta habilitado.
Uso de la Hibernacion en Windows 2000 y Windows XP SP2

La administracion de energfa no puede habilitar en forma automatica la funcion de hibernacion en
equipos con Windows 2000y Windows XP SP2. Los usuarios de equipos administrados deben
habilitar la funcion de hibernar en forma manual a traves del Panel de control.
1. En el Panel de control, haga doble clic en Opciones de energia.

2. En el cuadro de dialogo de Propiedades de opciones de eneâ, haga clic en la pestana
Hibernar.
3. Marque la casilla de verificacion Habilitar hibernacion y haga clic en Aceptar.
Configuracion del agente: Administracion de energia de

Mac
Utilice el cuadro de dialogo de Configuracion de la administracion de eneiâ de Mac para
seleccionar los perfiles de configuracion de energfa que desee aplicar a los dispositivos de
Macintosh.

Utilice la pagina Configuracion general para especificar los ajustes siguientes:
• Nombre de la polftica: Introduzca un identificador unico para la nueva polftica. Este nombre
aparecera en el inventario.
• Descripcion de la polftica: Introduzca una breve descripcion de la polftica para referencia
futura.
1042
GUÍA DE USUARIO
* Pestana Bateria
. Reposo del equipo: especifique el tiempo que el equipo estara inactivo antes de entrar en
reposo.
• Reposo de la pantalla: especifique el tiempo que el equipo estara inactivo antes de que
la pantalla entre en reposo.
• Poner los discos duros en reposo cuando sea posible: permite que el disco duro se
ponga en reposo despues de un periodo de inactividad.
• Atenuar ligeramente la pantalla cuando se este usando la bateria: permite que la pantalla
atenue la luz cuando el equipo este funcionando solo con la bateria.
• Habilitar Power Nap (aplicado a los discos de estado solido): permite utilizar Power Nap
en dispositivos compatibles.
• Pestana Adaptador de eneiâ
• Reposo del equipo: especifique el tiempo que el equipo estara inactivo antes de entrar
en reposo.
• Reposo de la pantalla: especifique el tiempo que el equipo estara inactivo antes de que
la pantalla entre en reposo.
• Poner los discos duros en reposo cuando sea posible: permite que el disco duro se
ponga en reposo despues de un periodo de inactividad.
• Activar para acceso de red: permite activar el equipo cuando la actividad de red se dirige
hacia el. Por ejemplo, para el despliegue de un parche.
• Permitir que el boton de encendido ponga el equipo en reposo (aplicado en OS X
anteriores a 10.9) habilita el boton de encendido para poner el equipo en reposo.
• Iniciar automaticamente despues de un fallo de la alimentacion: En equipos de
sobremesa de Mac, se puede ajustar OS X para que se reinicie automaticamente si se
cortase la conexion a la alimentacion CA. Por ejemplo, si hay un apagon o alguien
desconecta sin darse cuenta el cable de alimentacion, el equipo se volvera a iniciar
cuando vuelva a estar conectado a la alimentacion. Esto es util si suele ajustar el equipo
para que lleve a cabo tareas cuando no esta utilizandolo. En OS X Lion y posterior,
tambien puede ajustar OS X para que abra automaticamente los documentos en los que
estaba trabajando cuando inicia sesion.
• Habilitar Power Nap (aplicado a los discos de estado solido): permite utilizar Power Nap
en dispositivos compatibles.
Acerca de la pagina Programar

Utilice la pagina Programar para especificar los ajustes siguientes:
• Iniciar o activar: especifica la frecuencia y la hora del dfa en que se encendera el equipo.
• Reposo/Reinicio/Apagado: utilice los menus desplegables para programar el momento en el
equipo se pondra en reposo, se reiniciara o se apagara.
1043
Credant Data Protection

Informacion general sobre IVANTI Data Protection
La herramienta Proteccion de datos de IVANTI® con Credant es una solucion integrada de un socio
que permite recopilar, rastreary ver informacion sobre datos de estado de integridad de los
dispositivos administrados a traves de la consola de IVANTI.
IVANTI Data Protection utiliza dos herramientas del socio Credant: el servidor de Credant Enterprise
(ya instaladoyconfigurado)yel software del agente Credant implementado y en ejecucion en los
NOTE: La Proteccion de datos tiene licencia de IVANTI Software, Inc. como complemento para productos IVANTI.
Si no ve la Proteccion de datos como parte de la instalacion, contacte con su distribuidor para comprar una
licencia que active la Proteccion de datos con Credant.
Protegidos por los servicios de Proteccion de datos

Cuando se instala el software del agente de Credant (Proteccion de datos), configurado con una
poiftica de seguridad, y se proporciona suficiente tiempo para aplicar dicha polftica en un dispositivo
de los que se gestionan, el dispositivo se considerara "protegido" por el servicio integrado de
Proteccion de datos de Credant. Los servidores de Credant utilizan un cifrado de datos inteligente
basado en la polftica para asegurar los datos en los dispositivos protegidos. IVANTI simplemente
recopila esta informacion y la pasa a la base de datos central, la cual les permite a los
Administradores de IVANTI ver la informacion de Proteccion de datos en la vista de inventario de la
consola yen un informe predefinido de Proteccion de datos.
El cifrado inteligente de datos tiene las siguientes caractensticas:

• Admite los algoritmos estandar del sector (incluyendo FIPS 140-2 AES 128yAES 256 validados
con FIPS 140-2)
• Complementa el Microsoft Windows BitLocker
• Deposito de claves con cifrado automatico para facilitar la recuperacion de datos sencilla e
inmediata
• Cifra la base de datos local de Security Account Manager (SAM) y el hash de contrasena de
dominio
El servidor central de IVANTI recoge la informacion de la base de datos del servidor de Credant
(Proteccion de datos) como lo determine la configuracion de Proteccion de datos que se haya
introducido en la consola Endpoint Manager. (Tenga en cuenta que funciones las proporciona Credant
y pueden variar segun el diseno del producto).
IMPORTANT: El servidor de Credant Enterprise ya debe estar instalado y configurado

Para poder utilizar las nuevas herramientas y funciones integradas de Proteccion de datos a traves de la
1044
GUÍA DE USUARIO
consola de IVANTI, a traves de la, primero se deben instalar los servidores de Credant Enterprise (Proteccion de
datos) en el entorno de red de IVANTI. En otras palabras, las tareas de instalacion y configuracion del servidor de
Credant deben realizarse antes de configurar los servidores en la consola de IVANTIy crear la conexion de la base
de datos de Proteccion de datos en la base de datos central de IVANTI. Para obtener mas informacion, visite el
sitio web de Credant: Pagina de inicio de Credant Enterprise Edition.
Funciones y beneficios
Con IVANTI Data Protection, se puede:
• Configurar una conexion entre el IVANTI servidor principal y los servidores de Credant que lleve
a cabo la sincronizacion de datos entre las respectivas bases de datos.
• Ver la informacion de Data Protection tanto en la IVANTI vista del Inventario (en el nodo
Proteccion de datos), yen la vista Resumen con el boton derecho (sincroniza los datos
inmediatamente desde la base de datos de Credant a la IVANTI base de datos, mostrando los
resultados en la consola).
• Iniciar la consola web nativa de Credant.
• Crear consultas utilizando la informacion obtenida a partir de las bases de datos de Proteccion
de datos de Credant yde los clientes quetienen instalado el agente de Credant que busquen
atributos espedficos, como se hace con cualquier otro tipo de datos de inventario. Tambien
puede utilizar esta informacion en conjuntos de columnas estandar.
• Crear tareas programadas que automaticamente recopilen informacion de todas las bases de
datos IVANTI de Credant de Proteccion de datos.
• Generar un informe de Proteccion de datos que recopile y muestre toda la informacion de los
dispositivos protegidos en un solo informe grafico.
NOTE: IVANTI Data Protection admite multiples servidores y bases de datos

Los administradores tienen la capacidad de recopilar informacion de datos sobre los dispositivos administrados
proveniente de multiples bases de datos y servidores de Proteccion de datos.
Esquema de las tareas principales de Data Protection

La lista siguiente describe las principales tareas involucradas en la configuracion, implementacion y el
uso de Proteccion de datos. Consulte los temas de ayuda especficos de la funcion para obtener
informacion conceptual y de procedimiento.
1. Configurar los servidores de Credant Enterprise.

2. En la consola de Credant, crear yaplicar reglas de la polftica de proteccion de datos para
dispositivos de clientes.
3. Agregar el servidor de Credant de Proteccion de datos, incluida la informacion de la base de
datos, a la red de IVANTI a traves de la consola.
4. Instalar el software del agente de Credant en los dispositivos administrados.
1045
5. Recopilar IVANTI inventario desde los dispositivos.

6. En el servidor principal, creary ejecutar una tarea programada para sincronizar datos desde las
bases de datos de Credant en la base de datos IVANTI.
7. Ver la informacion sobre proteccion de datos en la vista de Inventario.
8. Ver la informacion de Proteccion de datos en la vista de Resumen
9. Generar informes sobre proteccion de datos.
IMPORTANT: NUNCAdetenga el servicio de Credant en los dispositivos administrados

IVANTI Data Protection ha mejorado el explorador de inventario para detectar si el agente Credant esta instalado
en el dispositivo administrado, los numeros de version y si los servicios estan en ejecucion. NUNCA detenga el
servicio de Credant porque obliga a la maquina a reiniciar el sistema.
Acerca del archivo de registro de Proteccion de datos
El archivo del registro de Proteccion de datos puede ayudar a los administradores del sistema a
solucionar problemas relacionados con el proceso que sincroniza datos desde la base de datos de
Credant con la base de datos Endpoint Manager. La ubicacion predeterminada del archivo del registro
es: c:\Program Files\IVANTI\ManagementSuite\log\DataProtSyncexe.log
Puede navegar a los temas de ayuda de IVANTI Endpoint Manager del Centro de ayuda de IVANTI o
realizar una busqueda de una palabra clave espedfica o una frase para ubicar la informacion que
desee.
La Comunidad de usuarios de IVANTI tiene foros de usuarios y los metodos mejor conocidos de todos
los productos y tecnologfas de IVANTI. Para tener acceso a este valioso recurso, vaya a:
Pagina principal de la Comunidad de usuarios de IVANTI
Temas relacionados
"Prerrequisitos de Proteccion de datos" (1036)
"Uso de la herramienta de Proteccion de datos" (1037)
"Acerca del Servidor de proteccion de datos: Pagina de propiedades del servidor" (1043)
"Acerca del Servidor de proteccion de datos: Pagina de Conexion a la base de datos" (1045)
"Ver la informacion de Proteccion de datos en el inventario" (1039)
"Generar el informe de Proteccion de datos" (1042)
Prerrequisitos de Proteccion de datos

Antes de agregary configurar los servidores de Credant a traves de la consola IVANTI de IVANTI,
asegurese de que se cumplan los siguientes prerrequisitos del sistema.
IMPORTANT: Configuracion del servidor de Credant Enterprise
1046
GUÍA DE USUARIO
IVANTI asume que usted esta familiarizado con los procedimientos de configuracion del servidor de Credant
Enterprise y queya ha realizado esta tarea preliminar. Para obtener mas informacion, visite el sitio web de Credant:
Pagina de inicio de Credant Enterprise Edition.
Requisitos previos
Asegurese de que se cumplen todos los requisitos siguientes antes de configurar los servidores de
datos de Credant en lo relacionado con las tareas de sincronizacion de datos y la recopilacion de
datos de para la Proteccion de datos espedficos de los dispositivos a traves del servidor central de
IVANTI.
• La version IVANTI Endpoint Manager de 2017 debe instalarse en el servidor central. (Esta
instalacion incluye tanto el software del servidor central y la base de datos de apoyo.) Para
obtener instrucciones detalladas, paso a paso, para instalary desplegar un entorno de servidor
central y base de datos de IVANTI Endpoint Manager, visite la Comunidad de usuarios de
soporte de IVANTI en: Pagina principal de la Comunidad de usuarios de IVANTI
• Se debe desplegar la version 2017 del agente estandar de IVANTI en los dispositivos
administrados que se deseen proteger mediante la herramienta de Proteccion de datos.
• Uno o mas servidores de Credant Enterprise Edition (CEE) deben estar instalados y
configurados en la red. Para obtener instrucciones sobre como instalary configurar un servidor
Credant, consulte la documentacion oficial de Credant (ver el enlace de arriba).
Temas relacionados
"Informacion general sobre IVANTI Data Protection" (1034)
Uso de la herramienta de Proteccion de datos

La herramienta integrada de Proteccion de datos le permite recopilar, almacenar, rastreary ver
informacion detallada sobre el estado de integridad de datos de los dispositivos administrados de la
red.
Ventana de la herramienta de Proteccion de datos

Se puede acceder a la herramienta de Proteccion de datos en la IVANTI consola a traves del menu de
Herramientas (Herramientas > Seguridad y Cumplimiento > Proteccion de datos) o el Cuadro de
herramientas.
La ventana de la herramienta de Proteccion de datos enumera los servidores de la Proteccion de datos

que se han agregado a la red.
NOTE: La instalacion y configuracion de un servidor de Proteccion de datos (Credant Enterprise) es una tarea
independiente. Se deben seguir las especificaciones e instrucciones del fabricante para configurar el
1047
servidor. A continuacion, puede agregar el servidor a la red de IVANTI.)

Barra de herramientas de la Proteccion de datos
La ventana de la herramienta de la Proteccion de datos tiene los siguientes botones de la barra de

herramientas:
• Nuevo servidor de Proteccion de datos: le permite agregar la configuracion de un servidor

existente de Proteccion de Datos la red de IVANTI de manera que pueda comunicarse con para
que se pueda comunicar con el servidor central y la base de datos de IVANTI, yenviar
informacion sobre los datos en los dispositivos administrados que tengan instalado el agente
la Proteccion de datos.
• Propiedades: muestra la pagina de propiedades del servidor seleccionado, para poder editarlo.
• Eliminar: elimina el servidor de Proteccion de datos seleccionado del sistema de IVANTI.
• Actualizar: recarga toda la informacion de configuracion de los servidores de Proteccion de
datos en la consola, con los cambios mas recientes o los cambios realizados desde otra
consola IVANTI.
• Consola web (si esta disponible): abre la aplicacion de servidor web de Credant en un
navegador (si el servidor especificado tiene el software instalado como parte de la
configuracion). La consola web de Credant muestra solo la informacion espedfica de Credant,
no el contenido integrado de IVANTI. (NOTA: Microsoft Silverlight debe estar instalado para
poder ver el servidor web.)
• Programar tarea de sincronizacion: crea una tarea programada que sincroniza datos de todos
los servidores de Proteccion de datos que se han agregado o configurado en la consola de
IVANTI. No es necesario programartareas independientes en cada servidor. Esta tarea se anade
a la ventana de herramientas Tareas programadas con una marca de hora yfecha, como parte
del nombre, para identificarla.
IMPORTANT: Frecuencia de tareas sincronizadas programadas

De manera predeterminada, se programa el trabajo para que se ejecute una sola vez. Seguramente quiera
cambiarla para que se trate de un trabajo recurrente y ajustar la frecuencia a un intervalo que se ajuste a su
1048
GUÍA DE USUARIO
entorno. Para la mayoria de usuarios, sirve una sincronizacion diaria.
• Ayuda: abre el Centro de ayuda de IVANTI con relacion a los temas de ayuda Proteccion de
datos.
Temas relacionados
Desplegar el software del agente de Proteccion de datos a

los dispositivos administrados
Este tema de ayuda describe como instalary configurar el software necesario del agente Credant de
Proteccion de datos en los dispositivos administrados. Para que un agente sea activo, debera:
• Aplicar una politica en la consola de Credant

• Instalar el agente
• Dar un tiempo para que la politica se aplique en el dispositivo administrado, esto puede tardar
un tiempo y puede incluir el reinicio del dispositivo.
El software del agente activa la Proteccion de datos en el dispositivo, la recopilacion de informacion

de Proteccion de datos por parte del IVANTI servidor central de IVANTI, y la recopilacion de
informacion en tiempo real que se utiliza para llenar las vistas de Inventarioy Resumen de la consola.
IMPORTANT: Visite el sitio web de Credant para obtener instrucciones sobre el despliegue del software
del agente de Proteccion de Datos
■■ Recomendamos que consulte el procedimiento de despliegue de software del agente que se describe en la
documentacion oficial de Credant. Para acceder a esa documentacion, visite el sitio web de Credant: Pagina de
inicio de Credant Enterprise Edition.
Temas relacionados
"Prerrequisitos de Proteccion de datos" (1036)
"Uso de la herramienta de Proteccion de datos" (1037)
Ver la informacion de Proteccion de datos en el inventario

Puede ver la informacion sobre Proteccion de datos de los dispositivos administrados en la vista de
Inventarioy de resumen de IVANTI.
Ver la informacion sobre Proteccion de datos en la vista de Inventario
Para ver informacion sobre Proteccion de datos de un dispositivo
1049
1. En la consola, haga clic con el boton derecho en un dispositivo administrado para acceder
al menu de accesos directos.
2. Haga clic en Inventario para abrir la vista de Inventario.
3. Abra el componente de Proteccion de datos, que se encuentra en Seguridad,ycompruebe
si los datos del dispositivo estan protegidos.
El componente de Proteccion de datos incluye los siguientes atributos:
• DCID: identifica al equipo con un codigo de identificacion unico. Esto garantiza que la
sincronizacion entre la base de datos de Proteccion de datos y la de IVANTI sea valida y
precisa. El DCID no se creara hasta despues del primer rastreo completo. Podna estar
vado a primera vista, pero se llenara despues de que el agente de Proteccion de datos sea
rastreado completamente por el escaner de Inventario.
• Nombre del Gatekeeper: muestra el nombre de los sistemas del gatekeeper que se
proporciono en la configuracion del agente de Credant.
• Instalados: muestra si el agente de Proteccion de datos esta instalado, o no, en el dispositivo
administrado.
• Hora de la ultima sincromzacion: Muestra la hora de la sincronizacion mas reciente entre la
base de datos de Proteccion de datos y la de IVANTI.
• MCID: El ID de host que establecio la configuracion del agente de Proteccion de datos. Los
1050
GUÍA DE USUARIO
administradores pueden utilizar esta informacion para solucionar problemas si cambian el

nombre del equipo pero este no cambia aquL
• Nombre del producto: El nombre del producto de Proteccion de datos que aparece en el
registro del dispositivo. La finalidad de este campo es proporcionar informacion al
administrador sobre el producto mismo.
• Fecha protegida: muestra la fecha en que el agente de Proteccion de datos en el dispositivo
administrado completo el proceso de cifrado.
• Nombre del servidor: muestra el nombre del servidor de Credant que se ha configurado para su
uso.
• Version del producto: el numero de version que se proporciono en las propiedades para el
ejecutable del servicio de Credant que se ejecuta en el cliente.
• Estado del servidor: Muestra si el servicio de Proteccion de datos se esta ejecutando en el
Ver la informacion de Proteccion de datos en la vista de Resumen
Si el agente de Proteccion de datos esta instalado en un dispositivo administrado, se puede consultar

la Vista de resumen de inventario a traves del menu que aparece al hacer clic con el boton derecho.
Esto proporciona una vista de la informacion actual de Proteccion de datos del dispositivo que se
selecciono. Para proporcionar la informacion mas reciente al IVANTI usuario de la consola, cuando se
muestra este cuadro de dialogo, la informacion de la base de datos de Credant se muestra en la
pantalla y se actualiza en la base de datos IVANTI.
Para acceder a la Vista de resumen de los datos de inventario
1. Haga clic con el boton derecho en el dispositivo seleccionado.

2. Seleccione Resumen de Proteccion de datos. (NOTA: Si el agente de Proteccion de datos no
esta instalado, esta opcion no estara disponible.)
3. Consulte la informacion sobre la Proteccion de datos de ese dispositivo.
La vista de Resumen muestra la siguiente informacion:
• DCID
• Fecha de proteccion
• Version del agente
• Nombre del servidor
• Gatekeeper
• Nombre del producto
• Ultima actualizacion
Temas relacionados
"Generar el informe de Proteccion de datos" (1042)
1051
Generarel informe de Proteccion de datos

La herramienta de proteccion de datos de IVANTI incluye un informe predefinido que se denomina
Informe de proteccion de datos.
El informe de Proteccion de datos muestra la siguiente informacion:
• Dispositivos protegidos
• Agentes (y la version) instalados en los dispositivos
• Los servidores Enterprise de Credant que utilicen los dispositivos
Para generar el informe
1. En la consola de IVANTI, abra la herramienta Informes.

2. Haga clic en Todos los informes y luego seleccione Informe de Proteccion de datos.
1052
GUÍA DE USUARIO
3. Haga doble clic en el Informe de Protection de datos para abrir el informe.
4. Especifique los parametros que desee que tenga el informe de Proteccion de datos.
5. Haga clic en Ver informe.
6. Para obtener un informe mas detallado, haga clic en un grafico del informe. Tambien puede ir a
la segunda pagina del informe para ver la vista detallada de texto.
Temas relacionados
Acerca del Servidor de proteccion de datos: Pagina de

propiedades del servidor
Utilice este cuadro de dialogo para agregar un servidor de Proteccion de datos (que ya se ha
instalado y configurado segun los requisitos e instrucciones del servidor Credant) al entorno de
red IVANTI. El servidor de Proteccion de datos le proporciona informacion acerca de la integridad
de los datos de los dispositivos administrados al IVANTI servidor central, en el cual se puede ver
dicha informacion en la vista de Inventarioy a traves de la herramienta de Informes.
Puede haber uno o mas servidores de Proteccion de datos.
1053
El servidor IVANTI principal crea la conexion entre la base de datos de Proteccion de datos y la base
de datos central de IVANTI, lo cual permite actualizar los datos de la base de datos IVANTI con la
informacion de Proteccion de datos de la base de datos de Credant.
NOTE: Todos los servidores de Proteccion de Datos de se rastrean

Todos los servidores (configurado/agregados) de Proteccion de datos de la lista se leeran y se utilizaran para
rellenar la base de datos central de IVANTI. No se puede especificar un solo servidor. No se puede sincronizar
uno a la vez. Independientemente de cuantos servidores haya en la lista, todos seran sincronizados por la tarea
programada.
• Nombre del servidor: identifica el servidor de Proteccion de datos que se desea agregar. Puede
introducir una direccion IP valida o el nombre de host de dominio completo del servidor
deseado.
• Description: Introduzca la informacion que desee con el fin de distinguir este servidor de
cualquier otro que pudiera agregar.
• Nombre proxy de las polfticas: se utiliza para instalar un cliente del software del agente de
Credant. Este campo se completa automaticamente con un valor predeterminado que se espera
que funcione con la mayona de usuarios.
• Puerto: especifica el numero de puerto que utiliza el servidor de Proteccion de datos para
permitir la sincronizacion de datos con base de datos central de IVANTI. Este campo se
completa automaticamente con un valor predeterminado que se espera que funcione con la
mayona de usuarios.
• URL del servidor de dispositivos: Especifica la direccion web que se utiliza para ejecutar la
consola web de Credant. Este campo se completa automaticamente con un valor
predeterminado que se espera que funcione con la mayona de usuarios.
• Probar: verifica si la informacion del servidor que se introdujo representa un servidor valido de
la red.
• Cancelar la prueba: termina el proceso de verificacion del servidor.
Temas relacionados
1054
GUÍA DE USUARIO
Acerca del Servidor de proteccion de datos: Pagina de

Conexion a la base de datos
Utilice esta pagina para configurar una conexion a la base de datos de Proteccion de datos que
utiliza el IVANTI servidor principal. La conexion a la base de datos de Proteccion de datos solo la
puede leer la cuenta que la utilice, ya que la informacion solo se lee desde esa base de datos, y se
escribe desde la IVANTI base de datos principal.
• Servidor de la base de datos: nombre del servidor que aloja la base de datos de la
Proteccion de datos.
• Nombre de la base de datos: nombre de la base de datos de la Proteccion de datos. Esto
puede incluir el nombre de la instancia con una barra diagonal inversa antes del nombre de
la base de datos, si se utiliza el nombre de una instancia. Por ejemplo, para la base de datos
llamada "dataprot" en la instancia "eng", sena "eng\dataprot".
• Nombre de usuario: introduzca un nombre de usuario valido para la base de datos de
Proteccion de datos que desee agregar (configurar).
• Contrasena: introduzca la contrasena del nombre de usuario que se especifico
anteriormente.
• Probar: verifica si la informacion del servidor que se introdujo representa un servidor valido
de la red. la prueba se iniciara automaticamente si se hace una pausa al ingreintroducir sar
la base de datos del servidor, el nombre, los nombres de usuario o la contrasena. En otras
palabras, no es necesario hacer clic en el boton de Prueba. Los iconos que aparecen a la
derecha indicaran los campos que no se han podido probar.
• Cancelar la prueba: termina el proceso de verificacion del servidor.

Temas relacionados
1055
Alerting
Informacion general sobre las alertas y el monitor
Las alertas y el monitor de IVANTI Endpoint Manager brindan aviso inmediato sobre los eventos de
hardware, software y aplicaciones de los dispositivos que se administran. Cuando tienen lugar
eventos que indican una necesidad de accion o un problema potencial, las alertas inician
soluciones registrando del evento, enviando un correo electronico o un mensaje a un
buscapersonas, ejecutando una aplicacion o apagando el dispositivo.
Los siguientes tipos de vigilancia generales estan disponibles en Endpoint Manager:
• Monitor (enviar ping) de dispositivos para revisar la conectividad de red

• Monitor basico de hardware y software para todos los dispositivos
• Monitor de desempeno de ciertas funciones de hardware
• Supervision que depende del hardware de acuerdo con la tecnologfa de monitorizacion de
los fabricantes
Endpoint Manager proporciona alertas integradas en cada unos de estos tipos de monitor. Las
alertas que seleccionen para aplicarlas a dispositivos espedficos se encuentran en el reglamento de
alertas que usted distribuya.
Todas las alertas y el monitor dependen del tipo de hardware, firmware y funciones relacionadas de
cada dispositivo. Algunas opciones del monitor no son compatibles con los diferentes tipos de
dispositivos. En algunos casos la implementacion de un estandar de hardware puede diferir entre
fabricantes, de manera que lo que funciona en un dispositivo no funciona del mismo modo en otro.
Descripcion de las alertas, las reglas y los reglamentos
Una alerta es un identificador unico que representa un suceso. Puede especificar una accion de alerta
para que se ejecute en forma automatica ante la aparicion del evento, como por ejemplo correo
electronico, aplicaciones u opciones de alimentacion automatizados.
En este producto, a una alerta combinada con una accion se la llama regla dealerta. Algunas alertas
pueden combinarse con reglas de supervision del desempeno que especifican la condicion que activa
un evento. Por ejemplo, puede definir una regla de supervision del espacio libre disponible en las
unidades de disco, de manera que cuando una unidad este llena en un 90% se genere una alerta de
advertencia.
Al definir reglamentos de alertas, usted decide que eventos requieren una accion inmediata o deben
registrarse para su revision posterior. Una regla contiene un grupo de reglas de alerta, cada una de
las cuales cuenta con una accion de alerta correspondiente. Se pueden desplegar reglamentos de
alertas a uno o varios dispositivos para supervisar los elementos que son relevantes para ese tipo
de dispositivo.
1056
GUÍA DE USUARIO
Agentes de alertas y reglamentos

Para generar alertas para un dispositivo administrado, debe implementarse el agente de alertas de
IVANTI en ese dispositivo. Se implementan agentes de alertas yconjuntos de reglas de alerta
predeterminados en cada dispositivo administrado cuando se instala el agente estandar en el
dispositivo. Ese agente sigue las reglas definidas en los reglamentos de alertas para ese
dispositivo.
De forma predeterminada, cada dispositivo administrado cuenta con un reglamento de alertas

estandar. Cuando ha definido un reglamento personalizado, puede implementarlo en los
dispositivos para supervisar elementos espedficos para ese tipo de dispositivo. Puede implementar
varios reglamentos en los dispositivos, si bien debe tener en cuenta que podnan surgir conflictos
entre reglas similares de reglamentos distintos.
NOTE: Cuando instala una consola Win32 adicional en un dispositivo, no se instala ningun agente en ese
dispositivo. Aunque puede administrar otros dispositivos desde esa consola, el dispositivo de la consola en sf no
puede generar alertas, ni como servidor central ni como dispositivo administrado, a menos que tambien instale
agentes de administracion en el mismo.
Descripcion del monitor de desempeno

Algunos eventos de alerta se basan en reglas de supervision del desempeno especficas. El monitor
de desempeno hacer referencia a un evento basado en contadores de desempeno, los cuales se
definen para dispositivos espedficos. Los contadores pueden definirse para componentes y
sensores de hardware, desempeno del sistema operativo, componentes de aplicacion y niveles de
uso.
Para agregar la supervision del desempeno al reglamento de un dispositivo, debe seleccionar la

regla de alerta "Supervision del desempeno" en el reglamento, pero los detalles de lo que se
supervisara se definen en cada dispositivo en particular. Esto se realiza en la Consola de inventario
en tiempo real y supervision de cada dispositivo. Puede seleccionar distintos componentes de
hardware y software y definir los contadores para los elementos a sondear, y despues observar la
informacion de la supervision en tiempo real o en forma historica.
Supervision especfica de hardware

Endpoint Manager es compatible con las siguientes tecnologfas de vigilancia que corresponden a
diferentes fabricantes de hardware:
• IPMI (Intelligent Platform Management Interface) 1.5 y 2.0

• Configuracion de IPMI BMC (Baseboard Management Controller)
• Dell DRAC (Dell Remote Access Controller)
• Tecnologia Intel vPro, incluyendo Intel AMT (Active Management Technology)
1057
Informacion general sobre el Monitor e inventario en

tiempo real
IVANTI Endpoint Manager proporciona actualizaciones en tiempo real de los datos de inventarioy
del monitor mediante la consola Monitor e inventario en tiempo real.
Esta consola esta disponible solo en los dispositivos que tienen el agente de IVANTI con la opcion
Monitor e inventario en tiempo real seleccionada.
Apertura de la consola
Puede abrir la consola Monitor e inventario en tiempo real de dos maneras:
. Haga clic con el boton derecho en el dispositivo administrado en la vista de red y seleccione
Monitor e inventario en tiempo real. Esta opcion no esta disponible si el dispositivo no tiene
la opcion del monitor seleccionada en el agente de IVANTI.
• Abra el Tablero de mantenimiento (haga clic en Herramientas > Informes/Monitor > Tablero de
mantenimiento). Haga clic con el boton derecho en un dispositivo y seleccione Ver detalles.
Se abrira la consola Monitor e inventario en tiempo real de todos los dispositivos, pero no se
suministran los datos en tiempo real si el dispositivo no tiene la opcion Monitor seleccionada
en el agente de IVANTI.
Monitor de dispositivos para supervisar la conectividad de

red
El monitor de dispositivos permite supervisar con regularidad la conectividad de todos los
La configuracion del ping es espedfica del dispositivo que ha seleccionado. Cuando un dispositivo
deja de responder a un ping (cuando queda fuera de lfnea), se agrega una notificacion de alerta en
el registro del servidor central. Si desea ser notificado con otra accion de alerta, como recibir un
correo electronico cuando un dispositivo quede fuera de lfnea, puede configurar una alerta en el
reglamento de alertas del servidor central.
Para supervisar la conectividad de los dispositivos administrados
1. Haga clic en Configurar > Monitor de dispositivos.

2. Haga clic en Agregar. Seleccione uno o varios dispositivos de los que desea supervisar y
luego haga clic en Agregar.
3. Especifique la configuracion de Frecuencia de Ping, el numero de reintentos y el lfmite de
tiempo de espera.
Haga clic aqrn para obtener mas detalles acerca del cuadro de dialogo Configurar la supervision de
dispositivos
Utilice este cuadro de dialogo para configurar las opciones de supervision del dispositivo
1058
GUÍA DE USUARIO
siguientes.
• Supervisar estos dispositivos: Muestra una lista de los dispositivos que se estan
supervisando actualmente.
• Agregar: Abre el cuadro de dialogo Agregar dispositivos supervisados, en el cual se puede

buscary seleccionar los dispositivos administrados que deseen supervisar.
• Quitar: Elimina el dispositivo seleccionado de la lista.

• Frecuencia de ping: Controla cuando y como ocurre la operacion de ping. Esta configuracion
se puede aplicar a todos los dispositivos individualmente.
• Enviar ping cada: Programa un ping periodico en el intervalo de minutos especificado.

• Programar diariamente a: Programa un ping diario a la hora especificada.
• Reintentos: Especifica el numero de intentos de envfo de ping.
• Tiempo de espera: Especifica el numero de segundos del tiempo de espera de los
intentos de envfo de ping.
Configurar las alertas del monitor de dispositivos

Si desea que el monitor de dispositivos le notifique cuando los dispositivos administrados esten en
lfnea o queden fuera de lfnea, tiene que configurar primero un reglamento de alertas que efectue
acciones adicionales (como recibir un correo electronico cuando la alerta se envfa).
Para configurar la alerta de supervision de dispositivos

2. En el arbol de Alertas, amplfe el elemento Reglamentos de alertas.
3. Haga clic con el boton derecho en Reglamentos de alertas del servidor central y haga clic en
Modificar.

Alertas.
5. En el panel de Alertas, bajo la carpeta Estandar, haga clic en Monitor de dispositivos.
6. En el panel derecho, haga clic en Reglas > Agregar.
7. Arrastre la alerta Conectividad del sistema de monitor de dispositivos al pozo de Alertas de
la parte inferior de la pagina.
Acciones y arrastre cualquier accion adicional que desee al pozo de Acciones. La
configuracion predeterminada del administrador de registros de alertas del servidor central
es la accion. Puede seleccionar enviar un correo electronico o una captura de SNMP, o
ejecutar un archivo ejecutable en el servidor central cuando la alerta se reciba. (Debe definir
cada accion, como especificar a donde enviar las alertas por correo electronico.)
9. A la izquierda del panel de Reglamento de alertas de la ventana de Reglamento, hacer clic en

Tiempo y arrastrar Siempre hasta el pozo de Tiempo.
1059
10. Haga clic en el boton Aceptar situadojunto a los pozos.

11. En el panel de Acciones a la derecha, haga clic en Publicar.
12. En el panel de Reglamento de alertas a la derecha, haga clic en Resumen de reglas y haga
doble clic en la regla que se creo.
13. En el dialogo que aparece, marque la casilla de verificacion de Integridad si desea que el
estado de integridad de un dispositivo de la consola cambie cuando se este conectado o
desconectado, luego haga clic en Aceptar.
14. Haga clic en Publicar para publicar cualquier cambio que se haya hecho en el dialogo y
cierre la ventana Reglamento.
NOTE: Cuando se configuran las alertas, la configuracion se aplica a todos los dispositivos que se esten
O supervisando.
Apagado del servicio ModemView

El servicio ModemView es el servicio o controlador que supervisa las llamadas de modem (tanto
entrantes como salientes) y que genera una alerta si se detecta uno. Este servicio utiliza alrededor
de 10 Mb de memoria debido a que utiliza MFC. Es probable que no desee que este en ejecucion,
particularmente si no existe un modem en el dispositivo.
Para apagar el servicio ModemView
1. En el dispositivo (ya sea de forma directa o a traves del control remoto), haga clic en Inicio >
Panel de control > Herramientas administrates > Servicios.
2. Haga doble clic en Servicio controlador de mensajes de IVANTI.

3. En Tipo de inicio, seleccione Manual y haga clic en Aceptar.
Tambien puede hacerclicen Detener en Estado del servicio.
Uso de las alertas

Conceptos basicos sobre Alertas
Para generar alertas para un dispositivo administrado, debe implementarse el agente de alertas de
Endpoint Manager en ese dispositivo. Se implementan agentes de alertas yconjuntos de reglas de
alerta predeterminados en cada dispositivo administrado cuando se instala el agente estandar en el
dispositivo. Ese agente sigue las reglas definidas en los reglamentos de alertas para ese
dispositivo.
Cuando ha definido un reglamento personalizado, puede implementarlo en los dispositivos para

supervisar elementos espedficos para ese tipo de dispositivo. Puede implementar varios
reglamentos en los dispositivos, si bien debe tener en cuenta que podnan surgir conflictos entre
reglas similares de reglamentos distintos.
1060
GUÍA DE USUARIO
Eventos que pueden generar alertas

Este producto incluye una lista exhaustiva de los eventos que pueden generar alertas. Algunos
eventos son problemas que necesitan atencion inmediata, como la falla de componentes o el
apagado del sistema. Otros eventos son los cambios de configuracion, que proporcionan
informacion util al administrador del sistema, como los cambios que afectan el desempeno y la
estabilidad de un dispositivo o que causan problemas con una instalacion estandar.
Algunos ejemplos de los tipos de eventos que puede supervisar son:

• Cambios de hardware: se ha agregado o quitado un componente, como un procesador, una
memoria, una unidad de disco o una tarjeta de red.
• Aplicaciones agregadas o quitadas: un usuario ha instalado o desinstalado una aplicacion en

un dispositivo. Esto resulta util al hacer un seguimiento de las licencias o de la productividad
de los empleados. Se supervisan las aplicaciones registradas en Agregar o quitar programas
de Windows, y el nombre de la aplicacion usado en Agregar o quitar programas es el nombre
que aparece en la notificacion.
• Evento de servicio: se ha iniciado o detenido un servicio en el dispositivo.

• Desempeno: se ha sobrepasado un umbral de desempeno, como la capacidad de una
unidad, la memoria disponible, etc.
• Evento IPMI: se ha producido un evento que puede detectarse en los dispositivos IPMI, lo
cual incluye cambios en los controladores, los sensores, los registros, etc.
• Uso del modem: se ha utilizado el modem del sistema o se ha agregado o quitado un modem.
• Seguridad fisica: se ha detectado la intrusion del chasis, un ciclo de energfa u otro cambio
ffsico.
• Instalacion de paquete: se ha instalado un paquete en el equipo de destino.

• Actividad de control remoto: se ha producido actividad de control remoto, lo cual incluye el
inicio, la detencion o los errores.
Para ver un registro de las alertas de cambios de configuracion, consulte el registro de alertas de la
consola del Monitor e inventario en tiempo real.
Las alertas solamente se generan si los dispositivos estan equipados con el hardware debido. Por
ejemplos, las alertas generadas a partir de lecturas de sensor solo se aplican a los dispositivos
equipados con los sensores correspondientes.
La supervision de hardware depende tambien de la configuracion correcta del hardware. Por

ejemplo, si un disco duro con capacidades de monitoreo S.M.A.R.T. se instala en un dispositivo
pero
S.M.A.R.T.no se encuentra habilitado en la configuracion del BIOS del dispositivo, o si el BIOS del
dispositivo no es compatible con S.M.A.R.T., las alertas no se generaran a partir del monitoreo de
unidades S.M.A.R.T.
Niveles de seguridad para los eventos
Los problemas o eventos del dispositivo pueden asociarse con algunos o con todos los niveles de
1061
gravedad mencionados a continuacion. En algunos lugares de la interfaz del producto, estos

estados se indican con un valor numericoycon un icono relacionado. Los valores numericos estan
entre parentesis.
Informativo (1): admite los cambios de configuracion o los eventos que los fabricantes
podnan incluir en sus sistemas. Este nivel de gravedad no afecta el mantenimiento del
dispositivo.
Aceptable (2): indica que el estado se encuentra en un nivel aceptable.

• — Advertencia (3): brinda advertencia anticipada sobre un problema antes de que alcance un
punto crftico.
• ^ Crftico (4): indica que el problema requiere atencion inmediata.

• Desconocido: el estado de alerta no se puede determinar o el agente de supervision no se ha
instalado en el dispositivo.
Segun la naturaleza del evento, algunos niveles de gravedad no se aplican o no estan disponibles.
Por ejemplo, con el evento de deteccion de la intrusion, el chasis del dispositivo esta abierto o
cerrado. Si esta abierto, puede activarse una accion de alerta, pero solo con una severidad de
Advertencia. Otros eventos, como el espacio en disco y la memoria virtual, presentan tres niveles
de severidad (Aceptable, Advertencia y Crftico), ya que los distintos estados pueden indicarle al
administrador distintos niveles de inquietud.
Puede elegir el nivel de gravedad o umbral que activara algunas alertas. Por ejemplo, puede
seleccionar una accion para un estado de Advertencia y una accion distinta para un estado Crftico
de alerta. El estado desconocido no se puede seleccionar como desencadenante de alertas, sino
que simplemente indica que no se puede determinar el estado.
Acciones de alerta para efectuar notificaciones

Este producto puede notificarle la aparicion de eventos supervisados de alguna de las siguientes
formas:
• La adicion de informacion al registro

• El envfo de un aviso por correo electronico o de un mensaje a un localizador
• La ejecucion de un programa en el servidor central o en un dispositivo individual
• El envfo de una captura SNMP a una consola de administracion SNMP de la red
• El reinicio o apagado de un dispositivo
Las acciones de alerta se configuran cuando se define el reglamento de alertas.
Control de tormentas de alertas
Algunas reglas de alerta asignadas a grupos de dispositivos pueden generar una gran cantidad de
respuestas de forma simultanea. Por ejemplo, puede incluir una regla de alerta para los cambios de
configuracion del equipoyasociarla con una accion de correo electronico. Si se aplica una revision
de distribucion de software a muchos dispositivos con esta configuracion de alerta, se genera una
cantidad de mensajes de correo electronico a partir del servidor central, la cual equivale a la
1062
GUÍA DE USUARIO
cantidad de dispositivos en los que se aplico la revision, lo cual podna desbordar el servidor de
correo electronico con una "tormenta" de notificaciones de alerta.
La funcion de control de tormentas de alertas de este producto limita de forma automatica la

cantidad de veces que ocurre una accion de alerta para una alerta. Si una alerta acciona una accion
5 veces en 5 minutos se interrumpe la accion de alerta, pero las alertas siguen registrandose en el
archivo de registro central. El administrador recibe una notificacion de la tormenta de alertas
mediante un correo electronico automatizado. Cuando la alerta deja de sucedery no lo hace durante
una hora, se restablece el control de tormentas de alertas para esa alerta. Si la alerta aparece
nuevamente mas tarde, las acciones de alerta volveran a accionarse.
Implementacion de reglamentos de alertas

Este producto incluye reglamentos de alertas predefinidos que pueden implementarse en los
dispositivos administrados. Tenga en cuenta que cada dispositivo administrado debe tener
instalado un agente de administracion antes de que usted pueda implementar un reglamento de
alertas en el dispositivo, y antes deque pueda enviar alertas al servidor central.
Reglamento predeterminado
Cuando se instala el agente del monitor en un dispositivo administrado, el reglamento
predeterminado de LDMS se instala para retroalimentar el estado de integridad al tablero de
mantenimiento y a la consola. Este reglamento predeterminado incluye alertas como:
• Adicion o eliminacion de disco

• Espacio de disco
• Uso de la memoria
• Temperatura, ventiladores y voltajes
• Actividades de control remoto
• Supervision del desempeno
• Eventos IPMI (en hardware correspondiente)
• Alertas del rastreador de inventario
• Acciones del administrador de control de conexiones
• Estado del IVANTI Antivirus
• Estado del control del acceso a la red
• Utilidad de base de datos de clientes
• Alertas del Administrador de Seguridad y Revisiones
Puede modificar el reglamento predeterminado de LDMS para incluir las alertas que desee
supervisar.
Implemer reglamentos de alertas
Ademas de los reglamentos predeterminados, puede configurar e implementar reglamentos de
alerta personalizados. Puede incluir acciones de alerta personalizadas que respondan a cualquier
combinacion de eventos. Por ejemplo, puede que desee definir un conjunto de acciones para los
1063
eventos en los dispositivos de escritorio administrados (como el envfo de un correo electronico al

equipo de asistencia de hardware) y un conjunto diferente de acciones para los servidores
administrados (como el envfo de un mensaje al localizador del administrador).
Proceso para implementar reglamentos de alertas

El proceso general para la implementacion de reglamentos de alertas en dispositivos administrados
es el siguiente:
1. Cree o modifique el reglamento.

2. Cree una tarea para programar el despliegue del reglamento.
3. Seleccionar los dispositivos en los cuales va a implementar el reglamento y ejecute la tarea
programada.
4. Si un reglamento incluye alertas del monitor de desempeno, abra la Consola del monitor e
inventario en tiempo real de cada dispositivo que tenga ese reglamento y defina los
contadores del monitor de rendimiento del dispositivo.
Temas relacionados
"Reglamentos de alertas" (1057)
"Implementar un reglamento de alertas" (1054)
"Supervision del desempeno" (1072)
"Operaciones con configuraciones de agentes" (113)
Implementar un reglamento de alertas

Para instalar un reglamento de alerta en uno o mas dispositivos, puede programar una tarea de
implementacion para el reglamento.
Para implementar un reglamento en un dispositivo administrado, primero debe instalar un agente de

administracion en el dispositivo. Cuando implementa el agente de administracion estandar, el
reglamento predeterminado se instala en el dispositivo predeterminado, pero se puede seleccionar
a este o a cualquier otro reglamento disponible para que sea instalado en el dispositivo por el
agente de administracion. Tras completar la configuracion del agente, puede actualizar los
reglamentos predeterminados o implementar reglamentos nuevos mediante la programacion de una
tarea de alerta.
Para implementar un reglamentode alertas

2. En la lista Reglamentos de alertas, haga clic en el reglamento que desee implementar.
3. En la barra de herramientas, haga clic en el icono de Crear una tarea y seleccione Distribuir
reglamentos.
1064
GUÍA DE USUARIO
4. Escriba un nombre para la tarea de alerta.

5. Para agregar el reglamento a dispositivos y mantener los existentes en estos dispositivos,
haga clic en Agregar los reglamentos seleccionados.
Para agregar el reglamento a dispositivos y eliminar los existentes de estos dispositivos,

haga clic en Remplazar los reglamentos existentes.
Si ya implemento el reglamento previamente y desea actualizarlo en los mismos dispositivos,

seleccione la casilla de verification Reenviara los dispositivos con los reglamentos
seleccionados.
6. Para implementar otros reglamentos en la misma tarea, haga clic en el boton Agregary
seleccione los reglamentos.
La nueva tarea se creara en la herramienta Tareas programadas.
8. Arrastre los destinos desde la vista de red a la nueva tarea de alertas.

9. Haga clic con el boton derecho y seleccione Propiedades. Asegurese de tener los
dispositivos de destino correctos, luego seleccione las opciones para programarlo y haga
clic en Guardar.
1065
Notas
• Puede implementar reglamentos en dispositivos como parte de una configuracion de agente.
Cuando defina una configuracion de agente, puede seleccionar los reglamentos que desee
implementar.
• Si el reglamento que se implementa incluye una regla de Supervision del desempeno, los
detalles de lo que se debe supervisar se definen en cada dispositivo. Esto se realiza en la
Consola de inventario en tiempo real y supervision de cada dispositivo. Puede seleccionar
distintos componentes de hardware y software y definir los contadores para los elementos a
sondear, y despues observar la informacion de la supervision en tiempo real o en forma
historica.
Temas relacionados
"Crear una configuracion de agente" (114)
"Supervision del desempeno" (1072)
Visualizacion de los reglamentos de alertas de un dispositivo
Para visualizar los reglamentos de alertas asignadas a un dispositivo administrado, abra la vista de
inventario completa del dispositivo. Esto muestra el nombre del reglamento y la fecha que se instalo
o se actualizo por ultima vez en el dispositivo.
Para visualizar los reglamentos de alertas instalados en un dispositivo
1. En la vista Todos los dispositivos, haga clic con el boton derecho en el dispositivo y
seleccione
Inventario.
2. En la vista de arbol, expanda IVANTI Management y haga clic en Reglamento de alerta
instalado.
3. Si existe mas de un reglamento, seleccione un reglamento en la vista de arbol para mostrar

los detalles.
NOTE: Puede crear una consulta que devuelva todos los dispositivos que tengan instalados un reglamento de
alertas particular. En la lista de componentes de consulta, siga la misma ruta como se describe anteriormente en
la lista de inventario.
Eliminar todos los reglamentos de un dispositivo
Puede eliminartodos los reglamentos de uno o varios dispositivos sin necesidad de implementar
ningun reglamento nuevo.
Puede quitar todos los reglamentos si ya tiene uno o varios reglamentos funcionado en un
dispositivo y desea reemplazarlos con uno nuevos. Cuando hay varios reglamentos operando en un
dispositivo, se pueden producir resultados impredecibles porque reglas de alerta similares pueden
tener acciones contradictoria y producir resultados inesperados.
1066
GUÍA DE USUARIO
Para eliminar todos los reglamentos existentes

2. En la barra de herramientas, haga clic en el icono de Crear una tarea y seleccione Eliminar
todos los reglamentos.
Migracion de alertas provenientes de versiones anteriores
Las versiones anteriores de IVANTI Endpoint Manager inclman una funcion de alertas con la funcion
Sistema de administracion de alertas (AMS). A partir de la version 8.8, las alertas se basan en un
nuevo conjunto de controladores de alerta, si bien algunas alertas se basan en alertas AMS. Se
deberan crear los reglamentos de alertas para dispositivos administrados mediante la nueva
funcion de alertas.
Para asistirle en la migracion de alertas de versiones anteriores a la 8.8, este producto incluye una
utilidad que extrae la informacion de sus alertas AMS y escribe los datos en un archivo de texto, el
cual puede consultar a medida que cree nuevos reglamentos.
Para utilizar la herramienta de migracion de alertas
1. En el directorio\utilidades del recurso compartido de LDMAIN, ejecute alertexp.exe.

Para mostrar la informacion de ayuda sobre el uso de la utilidad, escriba alertexp. exe
/? en la lmea de comandos. De manera opcional, puede especificar la ruta al archivo
iaobind.dat y una ruta y nombre de archivo para el archivo de salida.
2. Abra el archivo iaobind.txt para observar un resumen de las alertas AMS existentes.
Puede usar la informacion de las alertas existentes para crear nuevos reglamentos de alertas. El
archivo de texto enumera el nombre de cada alerta con la accion y severidad asociadas, junto con la
aplicacion que acciona la alerta y los parametros asociados a la misma.
Reglamentos de alertas
Configuracion de reglamentos de alertas
La pagina Reglamentos de alertas muestra todos los reglamentos de alertas que puede implementar
en los dispositivos administrados. Existen tres reglamentos que aparecen de forma predeterminada,
y pueden crearse reglamentos personalizados para aplicartipos de supervision espedficos a
distintos tipos de dispositivo.
1067
Los reglamentos de alertas que aparecen de forma predeterminada en la pagina Reglamentos de

alertas son:
. Reglamento de alertas centrales: Este reglamento asegura que las alertas que se originan en
el servidor central esten controladas. Este reglamento esta instalado en el servidor central,
pero no es posible instalarlo en otros dispositivos, y solo se puede tener un reglamento de
alerta central. Puede modificar el reglamento pero no puede eliminarlo del servidor central.
Este reglamento contiene un grupo predefinido de tipos de alertas que incluye alertas de
Monitor de dispositivos, de Intel vPro y Sesion serie a traves de LAN.
• Reglamento predeterminado LDMS: Este reglamento se implemento de forma

predeterminada en todos los dispositivos administrados IVANTI Endpoint Manager. Incluye
alertas para funciones de seguridad incluidas en Endpoint Manager, tales como alertas del
Monitor e inventario en tiempo real, control de acceso de red, rastreador de inventario y
Administrador de seguridad y parches.
• Reglamento de aprovisionamiento: Este reglamento contiene alertas relacionadas con tareas

de aprovisionamiento, tales como el inicio y el cese de una tarea, la seccion completada y el
entorno de inicio previo incorrecto del SO. Cuando un dispositivo esta aprovisionado, este
reglamento se utiliza para enviar alertas relacionadas con el progreso de la tarea de
aprovisionamiento. El reglamento viene incluido en el agente de aprovisionamiento y no es
necesario desplegarlo manualmente. Puede modificar este reglamento para cambiar las
acciones asociadas con las alertas de aprovisionamiento (por ejemplo, para ser notificado
por correo electronico cuando una tarea de aprovisionamiento este completada).
1068
GUÍA DE USUARIO
Ademas de estos reglamentos, puede crear reglamentos personalizados para aplicarlos a los grupos
de dispositivos administrados. Puede implementar reglamentos por medio de la programacion de una
tarea de implementacion, o bien puede incluir reglamentos cuando implementa agentes en los
dispositivos mediante el uso de la configuracion de agente. Aunque los reglamentos predeterminados
estan disponibles para la implementacion con agentes, puede optar por no implementar los
reglamentos cuando defina la configuracion de agente.
Conflictos entre reglamentos

Si crea un reglamento personalizado para un dispositivo, tenga en cuenta que si este ya se ha
implementado en el dispositivo, podnan existir reglas superpuestas o conflictivas. Si implementa el
reglamento predeterminado cuando configura el dispositivo administrado y luego implementa otro
reglamento personalizado, se ejecutaran ambos reglamentos en el dispositivo.
Por ejemplo, si ambos reglamentos generan alertas para el mismo tipo de alerta pero efectuan
acciones distintas, podnan realizarse acciones duplicadas o impredecibles como resultado.
Accion de registro predeterminada

Cada vez que se crea una regla de alerta, se crea automaticamente una regla con una accion de
"Configuracion del controlador de registro". Esto se hace para que cada alerta siempre se registre en
Esta regla predeterminada debe estar siempre en el grupo de reglas: no se puede eliminar a menos
que elimine todas las reglas de esa alerta en particular. Es decir, si tiene tres reglas para una alerta, no
puede eliminar la regla predeterminada a menos que elimine las tres reglas, pero sf puede eliminar
cualquiera de las otras dos reglas para esa alerta.
Proceso de configuracion de un reglamento

Los reglamentos contienen un grupo de alertas, acciones y filtros de horario asociados. A medida que
configura un reglamento, definira diversas tareas de accion y filtros de horario que pueden volver a
utilizarse. El procedimiento general para configurar un reglamento incluye los siguientes pasos:
1. Crear un reglamento
2. Agregar nuevas reglas de alerta a un reglamento
3. Definir las acciones de alerta a utilizar en las reglas
4. Definir los filtros de horario a utilizar en las reglas de alerta
5. Modificar reglas de alerta en un reglamento
6. Incluir reglamentos dentro de otros reglamentos
7. Publicar un reglamento
Haga clic aqui para ver un ejemplo de como configurar un reglamento.
Ejemplo: Configuracion de un reglamento de alertas para problemas de espacio en disco

El procedimiento siguiente muestra un ejemplo sencillo del primer paso para configurar
1069
un reglamento de alertas personalizado. En este ejemplo, una sola regla de alerta se

agrega al reglamento.
1. En la consola del servidor central, haga clic en Configuracion > Alertas.

2. En la barra de herramientas, haga clic en Nuevo. Escriba un nombre para el reglamento y una
descripcion (como "Espacio en disco 90% lleno"), y haga clic en Aceptar.
3. En la lista Reglamentos de alertas, haga clic en el nombre del nuevo reglamento y luego en
Modificar en la barra de herramientas.
4. En la ventana Configuracion del reglamento, haga clic en Alertas en la columna izquierda.
Se muestra una vista de arbol de las alertas, con una cuadncula que contiene las alertas y sus
descripciones. Puede hacer clic en Todas las alertas para ver todas las alertas disponibles o en
una categona del arbol para ver un grupo espedfico de alertas. Dependiendo de la resolucion
de la pantalla, de puede cambiar el tamano de las columnas para leer los elementos de las
listas.
5. En la vista de arbol, bajo el grupo Monitor, haga clic en la alerta Espacio en disco.
6. En la cuadncula, seleccione Uso predeterminado del disco y despues haga clicen Modificar en
la columna de la derecha.
7. En el cuadro de dialogo Supervision del espacio en disco puede configurar la frecuencia de
Intervalo de sondeo para modificar con que frecuencia se supervisa el uso del espacio en
disco. Para cambiar los umbrales de activacion de alertas, haga clic en Espacio en disco y
defina los porcentajes para las alertas de advertencia y crfticas. (Estos porcentajes
corresponden al total del espacio en disco disponible que esta lleno.) Para guardar esta
configuracion haga clic en Aceptar.
8. En la pagina de Alertas, en la columna de la derecha, haga clic en Normas > Agregar.
Hay tres "cajas" en la parte inferior de la pagina. Utilice estos pozos para combinar elementos
de alertas, de acciones y de horarios para crear una regla de alerta.
9. Arrastre la alerta Uso predeterminado del disco al pozo Alertas.
10. En la columna izquierda, haga clicen Acciones. Haga clicen la carpeta Estandar. Arrastre
Registrar alerta en el registro de eventos local de NT al cuadro de Acciones.
Por cada regla de alerta que se cree, ya se incluye una accion de Configuracion del controlador
de registro predeterminada en el cuadro de Acciones. Si desea agregar otras acciones, como
por ejemplo el envfo de un correo electronico, debe definir una accion y despues arrastrarla al
pozo Acciones.
11. En la columna izquierda, haga clic en Hora. En la lista Hora, arrastre Siempre al pozo Hora.
12. Haga clic en ACEPTAR, junto a los cuadros, para guardar la regla y de nuevo haga clic en
Aceptar en el mensaje de operacion correcta.
Ahora ya ha creado una regla de alerta que forma parte del reglamento. Para guardar los
cambios, debe publicar el reglamento.
13. En la columna derecha, haga clic en el boton Publicar.
Para ver la regla puede retroceder a la pagina Resumen de reglas y, si lo desea, modificarla.
14. En la columna izquierda, haga clic en Resumen de reglas.
Tenga en cuenta que hay dos listas de reglas. Una es para la regla que se creo (con una accion
Registrar alerta en el registro deeventos NT local), y la otra es una regla predeterminada que
1070
GUÍA DE USUARIO
envfa las notificaciones de alerta al servidor central (con una accion de Configuracion del
controlador del registro). La misma se crea de forma automatica para cada regla que se define,
de manera que todas las alertas quedan registradas en el servidor central. No se puede
eliminar esta regla, a menos que se eliminen todas las reglas de una alerta.
15. Seleccione la regla Uso predeterminado del disco con Registrar evento en el registro de alertas
como la accion, despues haga clic en Reglas > Modificar en la columna derecha. Use este
cuadro de dialogo para cambiar la configuracion de la regla.
16. Para cambiar la accion asociada con la regla, seleccione un elemento distinto de la lista
desplegable Accion.
17. Para cambiar la hora en que la regla de alerta esta activa, seleccione un elemento distinto de la
lista desplegable Tiempo.
18. Para cambiar los niveles de gravedad de las notificaciones de alerta, haga clic en los iconos de
Estado. No se usara un icono atenuado, de manera que para recibir alertas solo por estados
crfticos, haga clic en el icono Advertencia (Estado 2), un triangulo amarillo, para apagarlo.
19. Seleccione la casilla de verificacion de Mantenimiento para incluir el uso del espacio en disco
como una alerta que contribuya al estado de mantenimiento del dispositivo.
20. Haga clic en Aceptar. Ahora puede ver los cambios realizados en la lista de Resumen de reglas.
Para guardar los cambios hechos a este reglamento, debera volver a publicarlo. De esa manera
se guardara y estara disponible para la implementacion en su lista de reglamentos.
21. En la columna derecha, haga clic en Publicar.
Cuando regrese a la consola de administracion, el nuevo reglamento que creo aparecera en una lista
bajo Reglamentos de alertas.
Crear un reglamento de alertas
2. Haga clic en el boton Nuevo reglamento de alertas en la barra de herramientas. Escriba un

nombre en el campo Nombre, escriba una descripcion de la alerta en el campo Descripcion y
3. Para cambiar el nombre o la descripcion del reglamento, seleccionelo en la lista Reglamentos
de alertas y haga clic en el boton Modificar un reglamento de alertas en la barra de
herramientas.
4. Para hacer una copia de un reglamento al que le puede hacer cambios menores, haga clic con
el boton derecho en el reglamento en la lista y seleccione Copiar. Escriba un nombre y una
descripcion nuevos y haga clic en Aceptar.
Cuando se crea un reglamento, luego se puede modificar para agregar alertas yacciones conexas.
Modificar un reglamento de alertas
1. En la lista Reglamentos de alertas, seleccione el reglamento y luego haga clic en Modificar
1071
en la barra de herramientas.
La pagina Resumen de reglas enumera cada alerta del reglamentojunto con las acciones
asociadas y la hora. Cada combinacion de alerta, accion y tiempo esta enumerada como un
elemento independiente en el resumen de reglas.
2. Haga clic en Alertas en la columna izquierda para agregar una regla de alerta al reglamento.
1072
GUÍA DE USUARIO
3. En la columna derecha, haga clic en Reglas > Agregar. Se muestran tres "pozos" en la parte
inferior de la pagina para asociar reglas de alertas, acciones y horario. Localice una alerta en la
lista y arrastrela al pozo de Alertas en la parte inferior de la pagina.
Las alertas se presentan en dos grupos, Estandary Monitor. Haga clic en un elemento bajo uno
de los grupos para ver un grupo de alertas asociadas. Si hace clic en la carpeta Todas las
alertas, todas las alertas estan ordenadas alfabeticamente.
4. Para encontrar una alerta en particular, escriba una cadena de busqueda en el cuadro de texto
Filtro de alertas en la parte superior derecha de la pagina. Todas las alertas que contienen esa
cadena se muestran en la lista.
1073
5. Haga clic en Acciones para asociar una accion de alerta con la alerta que agrego. De forma
predeterminada, cada alerta tiene una accion de Configuration del controlador del registro
asociada con ella, que registra la alerta en el servidor central. Para agregar otra accion,
arrastrela al pozo de Acciones en la parte inferior de la pagina.
La carpeta Estandar contiene acciones predefinidas. Para utilizar otro tipo de accion,
debe definirla primero.
1074
GUÍA DE USUARIO
6. Haga clic en Horario para especificar la frecuencia de supervision de la alerta. Arrastre una
regla de horario (por ejemplo, Siempre) al pozo Horario en la parte inferior de la pagina.
Hay tres reglas de horario disponibles de forma predeterminada. Tambien puede definir
diferentes reglas de tiempo si es necesario.
7. Cuando tenga al menos una alerta con tareas de accion y horario asociadas, haga clic en
boton Aceptar en la parte inferior de la pagina para agregar la regla de alerta al reglamento.
Haga clic de nuevo en Aceptar.
8. En la columna derecha, haga clic en el boton Publicar.

9. En la columna izquierda, haga clic en Resumen de reglas para ver el reglamento actualizado
con las nuevas alertas.
1075
Con una lista de alertas en el reglamento, puede modificar cada elemento para cambiar la accion y
el horario asociados. Tambien puede elegir los niveles de gravedad que deben aplicarse a la alerta,
y puede especificar si esa alerta debe contribuir al mantenimiento del dispositivo.
Los detalles sobre como definir acciones y filtros de tiempo, y modificar las propiedades de la
regla, se encuentran en las siguientes secciones.
Definir o modificar una alerta de Supervision

Se puede definir una alerta en la seccion de Supervision de alertas y tambien editar cualquier alerta
de Supervision existente (por ejemplo, para cambiar la frecuencia de sondeo).
1. En la columna izquierda de la pagina Reglamento de alertas, haga clic en Alertas.

2. En la vista del arbol de alertas, desplacese hacia abajo hasta la seccion Monitor. Solo se
puede crear o editar una alerta que se encuentre bajo el encabezado de Monitor.
3. Seleccione una categona (por ejemplo, Chasis), a continuacion, haga clic en Tareas > Nuevo
en la columna de la derecha.
4. Agregue la informacion en los campos de Nombre, Description e Intervalo de sondeo como
sea necesario y luego haga clic en Aceptar.
La alerta aparecera en la categona que se selecciono y estara disponible para agregarla a algun
reglamento.
1076
GUÍA DE USUARIO
Definir las acciones de alerta a utilizar en las reglas
1. En la columna izquierda de la pagina Reglamento de alertas, haga clic en Acciones.

2. Seleccione un grupo de accion (por ejemplo, Enviar mensaje de correo electronico), luego
haga clic en Tareas > Nueva en la columna derecha.
3. Agregue la informacion necesaria en los campos, luego haga clic en Guardar.
La accion figura bajo el grupo que seleccionoyesta disponible para asociarse con alertas. Los
detalles de los campos en los distintos tipos de acciones se explican a continuacion.
Ejecutar en servidor central/Ejecutar en cliente
Esta accion inicia un archivo ejecutable, ya sea en el servidor central o en el dispositivo

administrado.
. Nombre: el nombre de identificacion de la accion. Sea espedfico para poder distinguir

facilmente entre las acciones.
• Ruta de acceso y nombre de archivo: la ruta y el nombre de archivo completos del ejecutable
que se ejecutara en el servidor central o en el dispositivo administrado. Cuando se active la
alerta, el agente de alerta escribira un comando para ejecutar este archivo.
Cuando seleccione cualquiera de las acciones, observe que los programas pueden no mostrarse
de la forma esperada en el escritorio. Al ejecutar el programa, se inicia como un servicio en
Windows y, en consecuencia, no se visualiza al igual que una aplicacion normal. Los programas
que se ejecutan de este modo no deben contener una interfaz de usuario que requiera interaccion.
Para determinar de forma definitiva si se ejecuto el programa, compruebe el proceso en el
Administrador de tareas de Windows.
Enviar correo electronico
Esta accion envfa un mensaje de correo electronico mediante el servidor SMTP que especifique.
1077
• Nombre: el nombre de identificacion de la accion. Sea especfico para poder distinguir

• Para: la direccion de correo electronico completa de la persona que usted quiere que reciba
la notificacion de correo electronico.
• De: cualquier direccion de correo electronico valida, de preferencia una que indique que el
correo electronico es una notificacion de alerta. Si no es una direccion de correo electronico
valida, el mensaje no se enviara.
• Asunto: un asunto descriptivo de la notificacion de correo electronico.

• Cuerpo: un mensaje para acompanar la notificacion de alerta.
• Servidor SMTP: la ubicacion de un servidor SMTP desde donde puede enviarse el correo
electronico.
• Establecer credenciales: haga clic para especificar un nombre de usuario y contrasena que
puedan utilizarse para registrarse en el servidor SMTP.
El correo electronico se enviara desde el servidor central.
Puede enviar correos electronicos a diversos destinatarios, y puede usar las variables siguientes en
el campo Cuerpo:
• %% = %
• %D = Descripcion
• %N = Nombre del equipo
• %S = Gravedad
1078
GUÍA DE USUARIO
. %T = Horario (UTC)
Enviar captura SN MP
Esta accion envfa una captura SNMPvl cuando se activa la alerta.

• Nombre: el nombre de identificacion de la accion. Sea especfico para poder distinguir
• Nombre del host: el nombre del host SNMP que recibira la captura.
• Cadena de comunidad: una cadena de comunidad v1 que utiliza el host para recibir capturas.
Los niveles de gravedad para alertas se informan en el campo de la captura Tipo de captura
espedfico. Los valores son: 1 = desconocido, 2 = informativo, 3 = normal, 4 = advertencia y 5 =
cntico.
Definir los filtros de horario a utilizar en las reglas de alerta
1. En la columna izquierda de la pagina del Reglamento de alertas, haga clic en Horario.

2. Haga clic en Tareas > Nueva en la columna derecha.
3. En el cuadro de dialogo Nuevo filtro, introduzca los datos en los campos (indicados abajo).
El filtro de horario aparece en la lista y esta disponible para asociarse con las alertas. Los
campos del cuadro de dialogo Nuevo filtro incluyen lo siguiente:
• Nombre del filtro: el nombre de identificacion del filtro.

• Horario: seleccione Horario especfico para usar un filtro que limita el horario y los dfas de
supervision de la alerta. Seleccione A cualquier hora para supervisar la alerta continuamente.
• Desdey Hasta: seleccione una hora de inicioy final durante el dfa para efectuar la supervision
de la alerta.
• En estos dfas de la semana: seleccione los dfas de supervision de la alerta.
1079
Modificar una regla de alerta

Puede modificar reglas de alerta individuales en la pagina Resumen de reglas. Los cambios
posibles incluyen la seleccion de un filtro de horario o accion diferente, la seleccion de los
niveles de gravedad vigentes y la especificacion de si la regla contribuye al estado del
mantenimiento del dispositivo.
1. Haga clic en Resumen de reglas para ver las reglas de alerta en el reglamento actual.
2. Haga clic en la regla de alerta que desea modificar yen Reglas > Modificar en la columna
derecha.
3. Para cambiar la accion o el horario asociados, seleccione una nueva opcion de las listas
respectivas.
4. Para recibir una notificacion de alerta de ciertos niveles de gravedad solamente, haga clic en
los iconos de Estado. Un icono opaco indica que se ignoraran las alertas para ese nivel de
gravedad.
5. Para incluir la regla de alerta como un indicador de mantenimiento del dispositivo,
seleccione la casilla de verificacion de Mantenimiento.
6. Haga clic en Aceptar para guardar los cambios.
Clonar una regla de alerta
Cada regla de alerta puede tener solamente una accion asociada y un filtro de horario. Si desea
crear reglas adicionales para una alerta, haga clic en Clonar en la columna derecha para crear un
duplicado de la regla, luego modifique el duplicado.
Incluir reglamentos dentro de otros reglamentos

Una manera de hacer mas flexible la creacion de reglamentos es crear reglamentos mas pequenos
que luego pueda combinar para distintos usos. Para hacer esto, puede incluir reglamentos dentro
de otros reglamentos.
1. En la parte inferior izquierda de la pagina de Reglamentos de alertas, haga clic en Incluye.

2. En la columna izquierda, haga clic en Incluye.
3. En la columna derecha, haga clic en Incluye > Nueva.
4. En el cuadro de dialogo de Reglamentos disponibles, seleccione uno o mas reglamentos a
incluir en el reglamento actual, despues haga clic en Guardar. Para seleccionar varios
reglamentos, use Ctrl+clic o Mayus+clic.
Los reglamentos se agregan a la lista Incluye.
5. Si quiere quitar un reglamento de la lista Incluye, seleccionelo y haga clic en Incluye >
Eliminar en la columna derecha.
6. Para ver que otros reglamentos incluyen al reglamento actual, haga clic en Incluido por en la
columna derecha.
1080
GUÍA DE USUARIO
Cuando incluye reglamentos, cada reglamento individual se mantiene como un archivo XML
individual. Los archivos XML no se combinan, sino que se relacionan entre sf.
Publicar un reglamento de alertas

Luego de haber agregadoy editado reglas en un reglamento, debe publicar el reglamento. Esto crea
un archivo XML con los datos del reglamento, al que hace referencia el agente de alerta cuando
funciona.
1. En la pagina Resumen de reglas, haga clicen Publicar en la columna derecha.

2. Haga clic en Aceptar para cerrar el mensaje de satisfactorio.
Los archivos XML con datos de reglamentos publicados se guardan en la carpeta compartida
Idlogon en el servidor central, en la carpeta alertrules.
Cuando publica un reglamento, el servicio de alerta recibe una notificacion para volver a cargar los
reglamentos actualizados. Cuando se actualiza un reglamento que ya se haba implementado en los
dispositivos administrados, cada uno de esos dispositivos actualizara automaticamente sus
reglamentos con las reglas modificadas la proxima vez que el agente que alerta se ejecute en esos
dispositivos.
Si no publica un reglamento, el servicio de alerta no recibira senal alguna para volver a cargar el
reglamento, de manera que no se producira la actualizacion automatica del reglamento en los
dispositivos que ya cuentan con el mismo. Se recomienda firmemente que publique los
reglamentos cada vez que los modifique.
1081
Supervision del desempeno

Acerca del monitor de desempeno
Endpoint Manager ofrece varios metodos para supervisar el estado de mantenimiento de los
dispositivos. Mientras que los reglamentos de alertas se definen en la consola del servidor central y
se implementan en varios dispositivos, en los dispositivos individuales tambien pueden definirse
contadores de supervision del desempeno para supervisar problemas de desempeno espedficos.
Pueden definirse contadores de desempeno y supervisar en ellos distintos tipos de datos de los
dispositivos, como:
• Componentes de hardware (como unidades, procesadores y memoria)

• Sensores de hardware (tales como ventiladores, voltajes y temperaturas)
• Componentes del SO (como procesos y servicios)
• Componentes de aplicacion (como los bytes por segundo transferidos por el servidor Web
del sistema)
• Nivelesdeuso
Al seleccionar un contador de rendimiento tambien especifica la frecuencia de sondeo del
elemento, al igual que los umbrales de rendimiento y la cantidad de infracciones que se permiten
antes de generar una alerta. Despues de definir un contador de rendimiento, puede abrir la pagina
Monitor en la Consola de inventario en tiempo real y supervision, yver un resumen de las alertas
supervisadas.
Para recibir alertas sobre elementos con supervision del desempeno en un dispositivo, se debe
incluir una regla de Supervision de desempeno en el reglamento para ese dispositivo.
Proceso para supervisar los elementos de desempeno en los dispositivos

Para supervisar el rendimiento de los distintos elementos en los dispositivos administrados, realice
las siguientes tres tareas generales:
• Instalar un agente de supervision en los dispositivos

• Crear reglas para el monitor de desempeno para cada dispositivo
• Ver datos sobre supervision del desempeno
Notas
• Si solo desea enviar un ping a sus dispositivos en forma periodica para supervisar su
conectividad, use la funcion de monitor del dispositivo.
• La comunicacion con el agente de supervision se realiza mediante HTTP a traves de TCP/IP
en forma de solicitudes GET o POST. Las respuestas a las solicitudes se incluyen en
documentos XML.
• Para ejecutary almacenar una consulta sobre el estado de mantenimiento de los dispositivos
(Computer.Health.State), el estado se representa con un numero en la base de datos. Los
numeros corresponden a los estados siguientes: 4=Cntico, 3=Advertencia, 2=Normal,
1 =Informativo, nulo o 0=desconocido.
1082
GUÍA DE USUARIO
• La supervision de hardware depende de las capacidades del hardware instalado en un

dispositivo, asf como de la configuracion correcta del mismo. Por ejemplo, si un disco duro
con capacidades de monitoreo S.M.A.R.T. se instala en un dispositivo pero S.M.A.R.T.no se
encuentra habilitado en la configuracion del BIOS del dispositivo, o si el BIOS del dispositivo
no es compatible con S.M.A.R.T., la informacion sobre la supervision no se encontrara
disponible.
• Si los informes de un equipo espedfico parecen haberse detenido, puede utilizar

restartmon.exe en la carpeta LDCLIENT para reiniciar el compiladorytodos los proveedores
de supervision. Esta utilidad es para los equipos en los que se instalo la opcion de informes
y donde estos se detuvieron. Utilice esta utilidad para reiniciar el compilador y los
proveedores sin reiniciar el dispositivo.
Temas relacionados
"Uso de las alertas" (1050)
"Monitor de dispositivos para supervisar la conectividad de red" (1048)
Desplegar un agente de supervision en dispositivos
Endpoint Manager ofrece un resumen inmediato del estado de un dispositivo cuando se instala el
agente del Monitor e inventario en tiempo real en el mismo. El agente de supervision es uno de los
componentes de agente que se pueden instalar en los dispositivos administrados.
El agente del Monitor e inventario en tiempo real revisa la configuracion y el hardware del
dispositivo de forma regular y periodica, y refleja los cambios realizados en el estado de integridad
del dispositivo. El estado del dispositivo se muestra en tres lugares:
• El icono de estado de la lista de Dispositivos de la vista de red

• El estado de integridad se muestra en el Tablero de mantenimiento (haga clic en
Herramientas > Informes/Monitor > Tablero de mantenimiento)
• Los datos del dispositivo se muestran en el tablero del Monitor e inventario en tiempo real
(haga clic con el boton derecho en el dispositivo en vista de red y seleccione Monitor e
inventario en tiempo real)
Por ejemplo, un dispositivo supervisado con una unidad de disco que se esta llenando podna
mostrar un icono de estado de advertencia si el disco se llena a un 90% de su capacidad y cambiar
a un icono de estado crftico si se llena a un 95%. Tambien puede recibir alertas para el mismo
estado de unidad de disco si el dispositivo tiene un reglamento de alertas que incluya reglas de
supervision del desempeno para una alerta de espacio de disco.
Crear reglas de supervision del desempeno
Puede elegir los elementos de desempeno que se supervisan en un dispositivo mediante la

definicion de reglas de supervision que especifiquen lo que el agente de supervision verifica en el
dispositivo. Para esto, debe implementar un reglamento en el dispositivo que incluya una regla de
alerta de Supervision del desempeno.
1083
Hay una gran cantidad de contadores de desempeno que pueden supervisarse. Al crear una regla
de supervision del desempeno, puede activar o desactivar cualquiera de estos elementos,
especificar la frecuencia con que se verifican y, para algunos elementos, definir umbrales de
desempeno. Tambien puede seleccionar los servicios que se ejecutan en los dispositivos que desee
supervisar.
El proceso general para la creacion de reglas de supervision del desempeno es el siguiente:
1. Incluir la Supervision del desempeno como regla en el reglamento de alertas del dispositivo.
2. Implementar el reglamento de alertas en el dispositivo. (Puede especificar varios
dispositivos como destino para implementar el reglamento en varios dispositivos, pero
despues debera definir la supervision de rendimiento en cada dispositivo en particular.)
3. Crear reglas de supervision de rendimiento en el dispositivo mediante el uso de la Consola

de inventario en tiempo real y supervision. Algunos eventos tales como los servicios
tambien requieren que seleccione cada servicio que desee supervisar (consulte los pasos
detallados a continuacion).
Para seleccionar el contador de rendimiento a supervisar
1. Haga clicen Herramientas > Informes/Monitor > Tablero de mantenimiento.

2. En la lista de dispositivos, haga doble clic en el dispositivo que desee configurar.
La Consola de inventario en tiempo real y supervision se abre en otra ventana del explorador.
2. En el panel de exploracion izquierdo, haga clic en Supervision.
3. Haga clic en la pestana Configuration del contador de rendimiento.
4. En la columna Objetos, seleccione el objeto que desee supervisar.
5. En la columna Instancias, seleccione la instancia del objeto que desee supervisar, si
corresponde.
6. En la columna Contadores, seleccione el contador espedfico que desee supervisar.

2. Si el contador deseado no aparece en la lista, haga clic en Recargar contadores para
actualizarla con los objetos, instancias o contadores nuevos.
7. Especifique la frecuencia de sondeo (cada n segundos) y la cantidad de dfas que se debe

conservar el historial de conteo.
8. En el cuadro Alertar cuando el contador este fuera del intervalo, especifique la cantidad de
veces que el contador podra sobrepasar los umbrales antes de generar una alerta.
9. Especifique los umbrales superiores e inferiores.

10. Haga clicen Aplicar.
Notas
• Los archivos de registro de rendimiento aumentan de tamano con rapidez; el sondeo de un
solo contador cada dos segundos agrega 2,5 MB de informacion al registro de rendimiento
cada dâ.
• Se genera una alerta de precaucion cuando un contador de rendimiento se encuentra por
debajo de un umbral mfnimo en un dispositivo de Windows o Linux. Cuando un contador
1084
GUÍA DE USUARIO
supera el umbral maximo en un dispositivo Linux, se genera una alerta de precaucion.

Cuando un contador supera el umbral maximo en un dispositivo Windows, se genera una
alerta crftica.
• Cuando se establecen los umbrales, tenga en cuenta que se generaran las alertas sin
importar si se cruza el umbral mfnimo o maximo. En el caso de un factor como el espacio en
el disco, podna desear que se alerte solo si el dispositivo se encuentra ejecutandose muy
bajo. En este caso, podna establecer el umbral maximo en un numero lo suficientemente alto
como para que no se le alerte si queda mucho espacio libre en el disco.
• Al cambiar el valor de Alertar cuando el contador este fuera del intervalo, puede
concentrarse en un asunto si este se convierte en un problema persistente o si se trata de un
evento aislado. Por ejemplo, si supervisa los bytes enviados por un servidor Web, recibira
una notificacion si la cantidad de bytes por segundo es demasiado alta de forma constante.
O bien, puede especificar una cifra baja como 1 o 2 para recibir una alerta cada vez que las
conexiones de FTP anonimas exceden una cierta cantidad de usuarios.
• Cuando modifique los servicios en una regla de configuracion, la lista Servicios disponibles
muestra los servicios conocidos desde la base de datos de inventario. No se muestran
servicios en el cuadro de la lista Servicios disponibles hasta que un agente de no se haya
implementado en uno o mas dispositivos y se haya recuperado un rastreo de inventario en el
servidor central. Por ejemplo, para seleccionar cualquier servicio Linux de la lista, debe
haber implementado un agente en un dispositivo Linux.
Generar un archivo XML de un reglamento
Como parte del proceso de implementacion, se crea una pagina XML con una lista de los
reglamentos implementados y de los dispositivos en los que se implementaron. Este informe se
guarda en el directorio Ldlogon del servidor central y se le asigna un nombre que corresponde a un
numero de secuencia asignado por la base de datos.
Si desea consultar dicha pagina XML de forma separada de la implementacion del reglamento, haga
clic en el boton Generar XML y luego en el vfnculo para ver el archivo XML. La generacion de un
reglamento en formato XMLtambien permite que se visualice el mismo en la lista de reglamentos
disponibles de la Configuracion de agente.
1085
Ver datos sobre supervision del desempeno

La pagina Monitoreo permite supervisar el rendimiento de varios objetos del sistema. Puede
supervisar componentes de hardware espedficos, tales como unidades, procesadores y memoria, o
bien, componentes del SO, tales como procesos o los bytes por segundo transferidos por el
servidor Web. La pagina Supervision incluye un grafico que muestra datos de contadores en tiempo
real o historicos.
A fin de supervisar un contador de rendimiento, primero debe seleccionar el contador, lo cual lo

agrega a la lista de contadores supervisados. Tambien se debe especificar la frecuencia de sondeo
del elemento y definir los umbrales de rendimiento y la cantidad de infracciones que se permiten
antes de que se genere una alerta.
Para ver los contadores de desempeno monitoreados

2. En la lista de dispositivos, haga doble clic en el dispositivo que desee configurar.
La Consola de inventario en tiempo real y supervision se abre en otra ventana del explorador.
2. En el cuadro de herramientas, haga clic en Supervision.
3. Haga clic en la pestana Contadores de rendimiento activos, si es necesario.
4. En la lista desplegable Contadores, seleccione el contador para el cual desea ver el grafico
de rendimiento.
5. Seleccione Ver datos en tiempo real para mostrar un grafico de rendimiento en tiempo real.
6. Para mostrar un grafico de rendimiento a lo largo de un penodo de tiempo, seleccione Ver
datos historicos (Conservar el historial) cuando seleccione el contador.
Notas
En el grafico de rendimiento el eje horizontal representa el tiempo que ha pasado. El eje vertical
representa las unidades que se miden, tales como bytes por segundo (por ejemplo, al supervisar
transferencias de archivos), porcentaje (al supervisar el porcentaje de la CPU que se utiliza) o bytes
disponibles (al supervisar el espacio en la unidad de disco duro). La altura de la lfnea no es una
unidad fija. Esta cambia de con respecto a los extremos de los datos; para un contador, el eje
vertical podna representar de 1 a 100 unidades y para otro podna representar de 1 a 500.000
unidades. Cuando los datos vanan a lo largo de extremos amplios, los cambios mfnimos pueden
aparecer como una lfnea plana.
Los contadores monitoreados se presentan en columnas de acuerdo con la frecuencia en la cual se

revisan, el numero de veces en el cual el contador esta fuera del intervalo como para enviar una
alerta y la configuracion del umbral superiory el umbral inferior.
Al seleccionar otro contador se actualiza el grafico y se restablecen las unidades de medida.
Si recibe una alerta generada por un contador de la lista, haga clic con el boton derecho en el
contador y haga clic en Confirmation para borrar la alerta.
1086
GUÍA DE USUARIO
Detener la supervision de un contador de rendimiento

2. En la lista de dispositivos, haga doble clic en el dispositivo que desee configurar. La Consola
de inventario en tiempo real y supervision se abre en otra ventana del explorador.
2. En el cuadro de herramientas, haga clic en Supervision.

3. Haga clic en la pestana Contadores de rendimiento activos, si es necesario.
4. En Contadores de rendimiento administrados, haga clic con el boton derecho en el contador
y haga clic en Eliminar.
Registros de alertas
Ver el registro global de alertas
Utilice la pagina Registro de alertas global para ver las alertas enviadas al servidor central. El
registro
se ordena segun la hora (GMT) y las alertas mas recientes aparecen en la parte superior.
Para ver el registro global de alertas
1. Haga clicen Herramientas > Informes/Monitor > Registros.

2. Para ordenar las entradas por columna, haga clic en un encabezado de columna.
3. Para ver una descripcion mas detallada de una alerta, haga doble clic en la entrada en la
columna Nombre de alerta.
4. Para obtener una lista de las entradas de registro por nombre, estado o instancia, seleccione
el criterio de filtro en la lista desplegable En columna. Por ejemplo, seleccione Nombre de
alerta y escriba un nombre completo (tal como Desempeno) o uno parcial con el comodfn 56
57 (tal como Remoto*) en el cuadro Buscar. Para buscar por fecha, seleccione Habilitar filtro
de fecha y escriba un intervalo con una fecha inicial. Cuando haya agregado el criterio de
filtro, haga clic en el boton de Buscar.
5. Para borrar el estado de mantenimiento de una alerta, seleccione la columna Nombre de

alerta, haga clic en el boton de Confirmar reception de alerta en la barra de herramientas y
luego en Aceptar.
6. Para eliminar una entrada de registro, haga clic con el boton derecho sobre la alerta y
seleccione Eliminar.
NOTE: Si el nombre del dispositivo no aparece como un nombre completo del dominio, esto se debe a que
este producto no puede resolver el nombre completo de dominio para el dispositivo.
• Hora GMT: la fecha y hora de generacion de la alerta (GMT).
Haga clic aqrn para ver las descripciones de las columnas del registro de alertas.
57 Nombre de la alerta: nombre asociado con la alerta, tal como se ha definido en la pagina
Configuraciones de alertas.
1087
• Estado: el estado de severidad de la alerta, el cual es uno de los siguientes:

• Desconocido: no puede determinate el estado.
• Informativo: admite los cambios de configuracion o los eventos que los fabricantes
podnan incluir en sus sistemas.
• Aceptar: indica que el estado se encuentra en un nivel aceptable.
• Advertencia: brinda advertencia anticipada sobre un problema antes de que alcance
un punto crftico.
• Critico: indica que el problema requiere atencion inmediata.
• Nombre de dispositivo: nombre del dispositivo en el que se genero la alerta. Debe ser un
nombre completamente aceptable.
• Direccion IP: direccion IP del dispositivo en el que se genero la alerta.
• Instancia: proporciona informacion mas detallada en cuanto a la situacion en la cual se
genero la alerta.
Ver el registro de alertas de un dispositivo

Utilice la pagina Registro de alertas para ver las alertas enviadas al dispositivo administrado. El
registro se ordena segun la hora (GMT) y las alertas mas recientes aparecen en la parte superior.
Para ver el registro de alertas de un dispositivo especifico

2. En la lista de dispositivos, haga doble clic en el dispositivo.
3. En el panel de exploracion izquierdo, haga clic en Informacion de sistema.
3. Haga clic en Registro > Registro de alertas.
4. Para ordenar las entradas por hora, nombre o estado, haga clic en el encabezado de la
columna.
6. Para ordenar las entradas del registro por nombre o estado, haga clic en el boton Filtro en la
barra de herramientas y seleccione el criterio de filtro. Por ejemplo, seleccione Nombre de
alerta yescriba un nombre completo (tal como Desempeno) o uno parcial con el comodfn *
(tal como Remoto*). Para buscar por fecha, seleccione Habilitar filtro de fecha yescriba un
intervalo con una fecha inicial. Cuando haya agregado el criterio de filtro, haga clic en
Buscar.
alerta, haga clic en Confirmar reception de alerta en la barra de herramientas y luego en
Aceptar.
8. Para borrar una entrada del registro, haga clic sobre la alerta en la columna Nombre de alerta
y despues en Eliminar entrada en la barra de herramientas.
Tambien puede observar el registro de alertas del dispositivo haciendo clic en el boton Registro de
alertas en la pagina de conjuntos de reglas de la Consola de inventario en tiempo real y supervision.
1088
GUÍA DE USUARIO
Haga clic aqm para ver las descripciones de las columnas del registro de alertas.
• Nombre de la alerta: nombre asociado con la alerta, tal como se ha definido en la pagina
• Hora GMT: la fecha y hora de generacion de la alerta (GMT).
• Estado: el estado de severidad de la alerta, el cual es uno de los siguientes:
• Desconocido: no puede determinarse el estado.
• Informativo: admite los cambios de configuracion o los eventos que los fabricantes

un punto crftico.
genero la alerta.
Supervision del contenido de los archivos de registro

La opcion Supervision de archivos de registro esta disponible en las reglas de supervision del
desempeno. Este agente de supervision rastrea los archivos de registro en los dispositivos de
Windows administrados en busca de cadenas de texto o expresiones espedficas y genera alertas
cuando las encuentra. Esto resulta util si desea recibir alertas cuando exista una condicion
particular que pueda controlarse a traves de un archivo de registro.
Puede supervisar un archivo de texto generado por cualquier aplicacion, incluso archivos .htm y
.xml (pero no se pueden supervisar archivos Unicode). Despues de especificar el archivo que se
supervisara y de definir las reglas utilizando expresiones regulares, el archivo se supervisara
siempre y cuando la regla de supervision de archivos de registro este contenida en un reglamento
que este vigente en dicho dispositivo.
La primera vez que el texto del archivo de registro coincide con una expresion regular, se genera
una alerta. La alerta se genera solamente una vez para dicho archivo aunque hayan varias
coincidencias. Luego, si el archivo cambia para que ya no exista una condicion de coincidencia, el
agente empieza de nuevo el rastreo de la expresion regular y genera una alerta la proxima vez que
se encuentre una coincidencia.
Tambien puede rastrear los archivos de copia de seguridad de registros que se crean cuando un
archivo de registro se torna demasiado grande y las entradas anteriores del archivo se agregan a
otro archivo (es decir un archivo de registro "rodante"). No obstante, no se admiten los archivos de
registro "envueltos", que eliminan las entradas anteriores dentro de un solo archivo de registro a fin
de dar lugar para las entradas nuevas.
Para esta opcion de supervision debe especificar la ubicacion y el nombre exacto del archivo en el
1089
dispositivo administradoy especificar el criterio de busqueda con una expresion regular. Cuando
una cadena del archivo coincide con la expresion, se genera una alerta si se ha definido un tipo de
alerta de Supervision de archivos de registro en el reglamento de alertas correspondiente.
Puede incluir la supervision de archivos de registro en cualquier reglamento de alertas que haya
definido. El procedimiento a continuacion describe los cinco pasos generales para configurar la
supervision de archivos de registro:
1. Cree una regla de supervision de archivos de registro en un reglamento de alertas.

2. Especifique los archivos de registro que se supervisaran en los dispositivos administrados.
3. Defina las reglas de supervision para ese archivo utilizando expresiones regulares.
4. Seleccione un nivel de gravedad para la regla y nombre la instancia de manera que se pueda
identificar en las alertas.
5. Aplique reglas de accion y hora, y guarde la regla en el reglamento de alertas.
Notas
• La supervision de archivos de registro solo es compatible con dispositivos Windows
administrados.
• Cada vez que modifique o elimine una regla, debera publicar el reglamento de alerta en el que
aparece la regla. Los cambios realizados no se aplicaran a los dispositivos hasta la
publicacion del reglamento (o hasta que vuelva a implementar el reglamento con una tarea
programada).
• Esta funcion asigna archivos de registro en la memoria a fin de utilizar menos memoria
durante la busqueda. La memoria de tiempo de ejecucion se asigna para esto a medida que
se realiza una busqueda lineal de la expresion regular. Debido a que Windows bloquea el
archivo cuando esta asignado a la memoria, es probable que se produzcan problemas en
algunas aplicaciones.
Temas relacionados
"Reglamentos de alertas" (1057)
"Configurar una regla de supervision de archivos de registro" (1080)
Configurar una regla de supervision de archivos de registro

2. En Reglamentos de alertas, seleccione el reglamento que desee modificar y despues haga
clic en Modificar en la barra de herramientas.
3. En la columna izquierda de la ventana Reglamento de alertas que se abre, haga clic en Alertas.
Bajo la carpeta Supervisor en la lista de alertas, haga clic en Supervision de archivos de
registro.
4. Haga clic en Tareas > Nueva en la columna derecha.
5. En el cuadro de dialogo Supervision de archivos de registro, escriba un nombre y una
descripcion para la regla de supervision de archivos de registro.
1090
GUÍA DE USUARIO
6. Para cambiar la frecuencia de supervision del elemento, cambie la configuracion de Intervalo de

sondeo.
7. Haga clic en Configuracion del archivo de registro para especificar que archivos de registro son
supervisados, lo que esta supervisando, ycomo se le avisara.
Se utilizan expresiones regulares para definir que contenido del archivo de registro deben ser
monitorizado. Cuando el servicio de supervision concuerde con la expresion regular del archivo
de registro, este sigue las reglas de alerta para notificarle la situacion.
8. Haga clic en Administrar. En el cuadro de dialogo Administration de la expresion regular,
agregue un nombre descriptivoy una expresion regular yluego haga clicen Agregar. Repita el
procedimiento para cada expresion regular que desee usar para la supervision de archivos de
registro. Cuando las haya agregado todas, haga clic en Aceptar.
Puede agregartantas expresiones regulares como desee en el cuadro de dialogo. Observe que
debe crear un nuevo reglamento de alertas para cada expresion que desee buscar, y cada regla
se aplica a un archivo de registro solamente. En otras palabras, cada regla incluye una
expresion regular yun archivo de registro.
9. Seleccione una expresion regular en la lista desplegable Expresion regular.
10. Escriba la ruta y el nombre completo del archivo que desee supervisar en el cuadro Ruta del
archivo de registro. El nombre del archivo debe ser espedfico, y se supervisara solo ese
nombre de archivo (por ejemplo, c:\registros\error.txt)
11. Si desea incluir archivos de copia de seguridad en el archivo de registro, escriba la ruta y el
nombre completo del archivo de copia de seguridad en el cuadro Ruta de acceso de registro de
copia de seguridad (este paso es opcional). Aqrn tambien debe ingresarse la ruta completa y el
nombre de archivo de un archivo espetifico.
12. Escriba un nombre descriptivo para la Instancia. Este identifica la regla del monitor de archivos
de registro en las notificaciones de alertas que recibe.
13. Seleccione el nivel de gravedad que desee aplicar a esta regla de alerta.
14. Si desea supervisar solo nuevas entradas en el archivo de registro (comenzando en el momento
en que la regla de supervision se instala en el dispositivo), haga clic en Supervisar cambios en
los archivos de registro. (Esta opcion se utiliza en los archivos de registro para que el agente
no permanezca rastreando el mismo texto existente.)
Si desea supervisar todas las entradas actuales y nuevas del archivo de registro, haga clic en
Monitorizar todo el archivo de registro. (Esta opcion se utiliza normalmente para supervisar
otros archivos menos dinamicos, como los archivos de configuracion).
15. Haga clic en Aceptar para agregar la regla a la lista de reglas de supervision de archivos de
registro.
16. Repita los pasos 4-15 para agregar otras reglas de supervision del archivo de registro.
Despues de haber creado las reglas de supervision del archivo de registro que desee, debe
agregarlas al reglamento. Puede agregar diversas reglas de supervision yaplicarles reglas de
accion y tiempo, dependiendo de como desea que se le notifique cuando los cambios en el
archivo de registro activen las alertas.
17. En la lista de reglas del Monitor del archivo de registro, haga clic en Regla > Nueva en la
1091
columna de la derecha.
Hay tres cuadros o "cajas" en la parte inferior de la pagina.
18. Arrastre una o mas reglas al cuadro Alertas.
19. Haga clic en Acciones en la columna de la izquierda y arrastre una o mas reglas de accion al
cuadro Acciones. Las acciones que agregue aqm se aplicaran a cada regla que haya
agregado.
20. Haga clic en Hora en la columna de la izquierda y arrastre una regla de hora al cuadro Hora.
21. Haga clic en Aceptar para agregar las reglas nuevas al reglamento.
Para ver las nuevas reglas de supervision del archivo de registro, haga clic en Resumen de
las reglas. Cada regla se muestra en una lmea distinta, y puede modificar las reglas
espedficas o clonar una regla y hacer copias con distintas acciones, reglas de hora o estados
de gravedad. Si desea que la regla de alerta afecte el mantenimiento del dispositivo, haga
doble clic en la lista de Resumen de reglas yseleccione la casilla de verificacion
Mantenimiento.
22. Despues de agregar las reglas de supervision de archivos de registro al reglamento, haga clic
en Publicar para guardar los cambios en el reglamento. Los cambios se aplicaran a los
dispositivos individuales la proxima vez que implemente el reglamento o la proxima vez que
se ejecute el servicio de inventario del dispositivo.
Notas
• La supervision de archivos de registro solo es compatible con dispositivos Windows
administrados.
• Cada vez que modifique o elimine una regla, debera publicar el reglamento de alerta en el que
aparece la regla. Los cambios realizados no se aplicaran a los dispositivos hasta la
publicacion del reglamento (o hasta que vuelva a implementar el reglamento con una tarea
programada).
• Esta funcion asigna archivos de registro en la memoria a fin de utilizar menos memoria
durante la busqueda. La memoria de tiempo de ejecucion se asigna para esto a medida que
se realiza una busqueda lineal de la expresion regular. Debido a que Windows bloquea el
archivo cuando esta asignado a la memoria, es probable que se produzcan problemas en
algunas aplicaciones.
1092
GUÍA DE USUARIO
Supervision especifica de hardware

Administracion de dispositivos Dell DRAC
IVANTI Endpoint Manager incluye integracion de la administracion con dispositivos quetienen
Controlador de acceso remoto de Dell (DRAC). El DRAC es un controlador de hardware remoto que
brinda una interfaz con el hardware de administracion del servidor compatible con IPMI en el
dispositivo Dell. El DRACtiene una direccion IPasignada, la cual se utiliza para identificar el
dispositivo DRAC en la deteccion del dispositivo y en la administracion del mismo.
Los dispositivos que contienen un Dell DRAC se pueden administrar con la misma funcion que los
demas dispositivos compatibles con IPMI. Cuando el dispositivo se ha detectadoyagregado a la lista
de dispositivos administrados, se administra como cualquier otro dispositivo IPMI.
Ademas, Endpoint Manager tiene funciones exclusivas de Dell DRAC.
El OpenManage Server Administrator es una consola basada en Web que Dell suministra para
administrar los dispositivos de Dell DRAC. Normalmente, para obtener acceso a ella se escribe la
direccion IPdel DRAC en un exploradory se inicia una sesion con un nombre de usuarioy una
contrasena. Si un dispositivo Dell DRAC se administra con Endpoint Manager, tambien se puede
abrir esta utilidad directamente desde la interfaz de Endpoint Manager.
Ademas, Endpoint Manager permite administrar nombres de usuarios y contrasenas para el acceso
a OpenManage Server Administrator, y muestra tres registros de esta herramienta en la consola de
informacion del servidor.
Para abrir OpenManage Server Administrator de un dispositivo de Dell DRAC
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo de
Dell DRACy seleccione Monitor e inventario en tiempo real.
2. En la consola de inventario en tiempo real, amplfe Hardwareyhaga clicen Dell DRAC. Se
visualiza la direccion IPdel dispositivoyotra informacion de identificacion.
3. Haga clic en el boton de Iniciar en Utilidad Dell DRAC para abrir la utilidad DRAC
del dispositivo o en el boton de Iniciar del Administrador del servidor DRAC para
abrir OpenManage Server Administrator del dispositivo en una ventana nueva.
Los registros de Dell DRAC estan disponibles en Endpoint Manager

Aparecen tres registros provenientes de la utilidad OpenManage Server Administrator en la consola
de inventario en tiempo real de Endpoint Manager.
• Registro de Dell DRAC: lleva un seguimiento detodos los eventos registrados por
Administrador del servidor, tales como las actividades de inicios de sesion, el estado de las
sesiones, el estado de las actualizaciones de firmware y la interaccion entre el DRAC y los
demas componentes del dispositivo. La informacion que aparece en Endpoint Manager
incluye gravedad de eventos, descripciones y acciones correctivas sugeridas para los
errores.
• Registro de comandos de Dell DRAC: lleva un seguimiento de todos los comandos emitidos
1093
para Server Administrator. Muestra los comandos realizados, quien los emitio y cuando se
emitieron, e incluso los intentos de inicio y cierre de sesion y los errores de acceso.
• Registro de seguimiento de Dell DRAC: es util para hacer seguimiento de detalles sobre
eventos de comunicacion de red, como alertas, busqueda de personas o conexiones de red
realizados porel DRAC.
Para ver los registros de un dispositivo de Dell DRAC
2. En la consola de inventario en tiempo real, amplfe Registros.

3. Haga clic en Registro de Dell DRAC, Registro de comandos de Dell DRAC o Registro de
seguimiento de Dell DRAC.
Administracion de nombres de usuariode dispositivos habilitados para Dell DRAC
Para el acceso a la interfaz de OpenManage Server Administrator, inicie una sesion con el nombre
de usuario y la contrasena definidos para el dispositivo. El usuario predeterminado de la ra^z es el
primer usuario de la lista y no puede eliminarse, pero se le puede cambiar su contrasena. Se pueden
agregar hasta 15 usuarios adicionales. Aunque los nombres de usuario de DRAC pueden tener
distintos niveles de acceso, Endpoint Manager solamente define los nombres de usuario con nivel
de administrador.
Para agregar o modificar nombres de usuarios y contrasenas de un dispositivo habilitado para

DRAC
2. En la consola de inventario en tiempo real, haga clic en Configuracion de hardware.

3. En la consola de configuracion de hardware, amplfe Configuracion de Dell DRAC y haga clic
en Usuarios de Dell DRAC. Se visualiza la lista de usuarios definidos.
4. Para cambiar la contrasena de un usuario, haga clic en el numero de usuario yen Cambiar
contrasena. Escriba y confirme la contrasena nueva, y haga clic en Aplicar. (Para asignar la
misma contrasena a varios usuarios, seleccionelos con Ctrl+clic o Mayus+clic.)
5. Para agregar un usuario, haga clic en Agregar usuario. Escriba un nombre de usuario,
escriba y confirme la contrasena, y haga clic en Aplicar. Se agrega el usuario a la lista.
Si escribe un nombre de usuario que ya esta en la lista, la contrasena nueva que especifica
sobrescribe la contrasena existente del nombre de usuario y no se agrega un segundo
usuario con ese nombre en la lista.
6. Para eliminarun usuario, haga clicen el numero del usuario,yhaga clicen Eliminar usuarioy en
Aceptar. (Para eliminar varios usuarios, seleccionelos con Ctrl+clic o Mayus+clic.)
Todos los usuarios de la lista tienen acceso de nivel de administrador en OpenManage Server
Administrator.
1094
GUÍA DE USUARIO
Compatibilidad con IPMI
IVANTI Endpoint Manager incluye compatibilidad con Intelligent Platform Management Interface
(IPMI) 1.5y2.0. IPMI es una especificacion desarrollada por Intel, Hewlett-Packard, NECy Dell con el
fin de definir la interfaz de mensajes y del sistema correspondiente al hardware habilitado para
administracion. IPMI contiene funciones de supervision y recuperacion que permiten el acceso a
varias funciones independientemente de si el equipo esta encendido o no, o del estado del SO. Si
desea mas detalles sobre IPMI, visite el sitio Web de Intel.
La supervision IPMI es manejada por el BMC (controlador de administracion de placa base). BMC
funciona con alimentacion en espera y consulta el estado del sistema de forma autonoma. Si BMC
detecta que existen elementos fuera del rango, puede configurar las acciones IPMI resultantes, tal
como el registro del evento, la generacion de alertas o la realizacion de acciones de recuperacion
automatica, tales como el encendido o el restablecimiento del sistema.
SMBIOS 2.3.1 o superior debe estar instalado a fin de que se pueda detectar BMC en el sistema. Si
no se detecta BMC, podna omitirse cierta informacion de IPMI en los informes, las exportaciones,
etc.
IPMI define interfaces comunes en el hardware utilizado para supervisar las caractensticas de
integridad ffsica, tales como la temperatura, el voltaje, los ventiladores, las fuentes de alimentacion
y la intrusion del chasis. Ademas de la supervision de la integridad, IPMI incluye otras capacidades
de administracion del sistema, que incluyen las alertas automaticas, el apagado y reinicio
automatico del sistema, las capacidades de reinicio y control de energfa remotos, y el seguimiento
de activos.
Las opciones de menu de Endpoint Manager vanan ligeramente en dispositivos habilitados para
IPMI, segun el estado del sistema operativo.
Funciones de administracion en dispositivos habilitados para IPMI
La supervision de las capacidades depende de lo que se encuentre instalado en el dispositivo que

se supervisa, al igual que del estado del dispositivo. Cualquier dispositivo habilitado para IPMI con
un BMC (Baseboard Management Controller) se puede supervisar con la consola del administrador
de forma limitada sin agentes de administracion adicionales tras la configuracion del BMC. Esto
incluye la administracion fuera de banda cuando el dispositivo esta apagado o el SO no esta
funcionando.
La administracion con todas las funciones esta disponible cuando se instala el agente de
administracion de IVANTI, cuando un BMC esta presente, el dispositivo esta encendido y el SO esta
funcionando. La tabla siguiente compara la funcion disponible con estas configuraciones.
Solo BMC* BMC + Agente (no

agente IPMI)
Administracion fuera de banda X X

activada
1095
IVANTI ENDPOINT MANAGER Solo BMC
BMC + Agente
agente (no IPMI)
Administracion en banda activada Se X X
puede detectarel dispositivo58 Lectura X X X
X X
de detectores de entorno Depende
del
hardware
Apagado y encendido remoto X X X
Lectura y borrado del registro de X X

eventos
X X X
Configuracion de alertas
Lectura de informacion de SO X X
Apagado normal X X
Lectura de informacion de SMBIOS X X
(procesador, ranuras, memoria)
Sincronizacion IP (SO a BMC)
Temporizador de vigilancia
X
BMC se comunica con el servidor X

central
X X
Los componentes locales de Endpoint
Manager se comunican con el servidor
central X X
Gama completa de funciones de

administracion de Endpoint Manager
Estan disponibles las siguientes opciones de configuracion:

• "Cambiar la configuracion del temporizador del vigilante" (1088)
• "Opciones de configuracion de cambio en la alimentacion" (1088)
• "Cambio de la configuracion de usuario BMC" (1089)
• "Cambio de la contrasena BMC" (1089)
• "Cambio de configuraciones de LAN" (1090)
1096
GUÍA DE USUARIO
**Si el BMC no esta configurado, no respondera a los pings ASF que el producto utiliza para
detectar IPMI. Esto significa quetendra que detectarlo como un equipo normal. Cuando se
implementa automaticamente un agente de administracion, la configuracion del servidor rastrea el
sistema, detecta si setrata de IPMI yconfigura el BMC.
Conflictos con otros controladores IPMI

Cuando instala este producto en un dispositivo IPMI, si el dispositivoya tiene instalado un
controlador IPMI espedfico para hardware, y si el controlador es compatible con este producto, se
usara ese controlador.
Si no hay un controlador IPMI en el dispositivo, Endpoint Manager instalara el controlador OSA IPMI.
Si ha instalado otro software de administracion que incluye los controladores IPMI en los
dispositivos que desea administrar con este producto, puede que necesite desinstalar dichos
productos para que pueda implementar los agentes deEndpoint Manager con las funciones de
administracion de IPMI.
Por ejemplo, Microsoft Windows Server 2003 incluye compatibilidad con IPMI a traves de la
instalacion de Windows Remote Management (WinRM), la cual incluye un proveedor de Windows
Management Instrumentation (WMI) y un controlador IPMI. No obstante, Endpoint Manager no
admite la instalacion de dicho controlador de IPMI e instala su propio controlador IPMI. Si WinRM
esta instalado en el dispositivo que desea administrar conEndpoint Manager, primero debe
desinstalar WinRM mediante Agregar o quitar programas de Windows.
Configuracion de IPMI BMC

Utilice la pagina Configuracion de IPMI BMC para personalizar las opciones de comunicacion con
los dispositivos habilitados para IPMI. Las funciones descritas a continuacion estan disponibles
para dispositivos en banda; si un dispositivo esta fuera de banda, solamente esta disponible la
configuracion de alimentacion del usuario BMC.
CAUTION: Se recomienda enfaticamente que no cambie la configuracion de IPMI a menos que este
familiarizado con la especificacion IPMI y entienda las tecnologfas pertinentes a estas opciones. El uso indebido
de estas opciones de configuracion podna evitar que Endpoint Manager se comunique satisfactoriamente con los
dispositivos habilitados para IPMI. 59
59 "Cambio de las configuraciones de serie a traves de LAN (SOL)" (1092)

• "Cambio de las configuraciones de IMM" (1092)
1097
Cambiar la configuracion del temporizador del vigilante
IPMI provee una interfaz para el temporizador de vigilancia BMC. Se puede definir el temporizador
para que se agote de forma periodica e inicie ciertas acciones al agotarse (tal como un ciclo de
energfa). Endpoint Manager se ha configurado para que restablezca el temporizador de forma
periodica de modo que no se agote; si el dispositivo deja de estar disponible (por ejemplo se apaga
o se bloquea), el temporizador no se restablece y luego caduca, lo cual inicia la accion.
Puede especificar el lapso de tiempo que debe transcurrir para que se agote el temporizador y
seleccionar una accion a realizar si se agota. Puede elegir entre no realizar ninguna accion, realizar
un restablecimiento de hardware (apagar y reiniciar el dispositivo), apagar el dispositivo
normalmente o ejecutar un ciclo de energfa (apagado normal seguido de reinicio).
Tambien puede definir el BMC para que detenga la transmision de mensajes de ARP (protocolo de
resolucion de direcciones) mientras el temporizador de vigilancia este activado, lo cual puede
reducir la cantidad de trafico de red que se genera. Si se suspenden los ARP, se reanudaran estos
de forma automatica si se agota el temporizador de vigilancia.
Para cambiar la configuracion del temporizador de vigilancia
1. En la vista de red de Endpoint Manager, haga clic con el boton derecho en el dispositivo IPMI
y seleccione Inventario y supervision en tiempo real.
2. En el panel de exploracion izquierdo de la consola de inventario en tiempo real, haga clic en

Configuracion de hardware.
3. Amph'e Configuracion de IPMI BMC y haga clic en Temporizador de vigilancia.
4. Seleccione Activar el temporizador de vigilancia para habilitar el temporizador.
5. Especifique la frecuencia de verificacion del temporizador (cantidad de minutos o segundos).
6. Seleccione una accion que iniciar cuando el temporizador de vigilancia se agota.
7. Si desea que BMC deje de transmitir mensajes de ARP mientras este activado el
temporizador de vigilancia, seleccione Suspender ARP de BMC.

9. Si ha cambiado la configuracion del temporizador de vigilancia, puede restablecer la
configuracion predeterminada. Para ello, haga clic en Restaurar valores predeterminados.
Opciones de configuracion de cambio en la alimentacion
Cuando se pierde la alimentacion en un equipo habilitado para IPMI, puede especificar la accion a
llevar a cabo cuando se restablece el mismo. Se recomienda que restablezca el equipo a cualquier
estado que se haya encontrado en el momento que se perdio la energfa, pero puede elegir
mantenerlo apagado o siempre encender el equipo.
Para cambiar las opciones de configuracion de cambio en la alimentacion
1098
GUÍA DE USUARIO

3. Ample Configuracion de IPMI BMC y haga clic en Configuracion de alimentacion.
4. Seleccione una opcion para cuando se restablezca la alimentacion.
6. Si ha cambiado la configuracion de alimentacion, puede restablecer la configuracion
predeterminada. Para ello, haga clicen Restaurar valores predeterminados.
Cambio de la configuracion de usuario BMC
Endpoint Manager realiza la autenticacion de BMC mediante una combinacion de nombre de usuario
y contrasena que es unica para el BMC (distinta de cualquier otro nombre de usuario de Endpoint
Manager). Endpoint Manager reserva el primer nombre de usuario para que siempre se comunique
con el BMC. Si BMC permite que se definan otros nombres de usuario, puede definir nombres de
usuarios con contrasenas para la autenticacion BMC.
Tambien puede especificar niveles de privilegios para cada usuario. Para los IMM avanzados, puede
especificar los niveles de privilegio de protocolo (telnet, http y https) para cada canal.
CAUTION: Tenga mucho cuidado al realizar cambios en estas configuraciones. Si la configuracion contiene
errores, puede deshabilitar la comunicacion BMC del dispositivo con este producto.
Para cambiar la configuracion de usuario BMC

3. Amplie Configuracion de IPMI BMC y haga clic en Configuracion de usuario.
4. Para borrar los datos de un nombre de usuario, haga clic en el numero de indice yen Borrar.
5. Para agregar o cambiar un nombre de usuario, haga clic en el numero de indice yen
Modificar. Escriba un nombre de usuario.
7. Para definir una contrasena, seleccione la casilla de verificacion Definir contrasena y a

continuacion, escriba yconfirme la contrasena.
8. Seleccione los niveles de privilegio del acceso LAN y serie.

9. Haga clic en Guardar cambios.
Cambio de la contrasena BMC
Endpoint Manager se autentica en el BMC de un dispositivo mediante un nombre de usuario

predeterminado (usuario 1) y una contrasena. No puede cambiar el nombre de usuario, pero si
puede cambiar la contrasena. Si cambia el valor de la contrasena, el cambio se guarda en la base de
datos y en el BMC.
1099
Para cambiar la contrasena BMC predeterminada

Configuration de hardware.
3. Amplfe Configuracion de IPMI BMC y haga clic en Contrasena.
4. Escriba la contrasena nueva y conffrmela.
Cambio de configuraciones de LAN
Los mensajes de IPMI se pueden conducir directamente a partir del BMC a traves de la interfaz de
LAN, ademas de la interfaz de sistema del dispositivo. Al activar la comunicacion a traves de LAN se
permite que el servidor reciba alertas espedficas a IPMI, aunque el dispositivo se encuentre
apagado. El servidor central mantiene esta comunicacion siemprey cuando el dispositivo tenga una
conexion de red ffsica con una direccion de red valida, siemprey cuando permanezca conectada la
alimentacion principal del dispositivo.
CAUTION: Si elije establecer la configuracion personalizada para efectuar la comunicacion LAN o en serie con el
BMC, sea extremadamente cuidadoso al realizar los cambios en la configuracion. Si la configuracion contiene
Si ha definido un canal LAN, puede utilizar la configuracion predeterminada del BMC del dispositivo
o bien, cambiar la configuracion de direccion IPy de puerta de enlace. Utilice esas opciones para
configurar los destinos de las capturas SNMP que envfa el BMC para cada captura de evento de
plataforma (PET).
Tambien puede cambiar la configuracion de la cadena de comunidad SNMP para el envfo de alertas
a traves de LAN. Al configurar esas opciones, debe especificar la cadena de comunidad SNMP
utilizada en la autenticacion de SNMP. Para cada configuracion, puede modificar la informacion de
destino de captura para especificar donde y como se envfan las capturas, y si se confirma su
recepcion.
Para definir propiedades de la configuracion de canal LAN

3. Amplie Configuracion de IPMI BMC y haga clic en Configuracion de LAN.
4. Seleccione Siempre disponible en la lista desplegable de comunicacion de LAN para
mantener abierto el acceso al BMC. Si selecciona Deshabilitado no tendra acceso LAN al
BMC cuando el dispositivo este fuera de banda.
1100
GUÍA DE USUARIO
5. Seleccione el Nivel de privilegio del usuario correspondiente al canal: El Nivel de

administradortiene acceso a todos los comandos, mientras que el Nivel de usuario
unicamente tiene acceso de solo lectura. Las funciones estaran restringidas si selecciona el
Nivel del usuario.
6. Seleccione Desactivar permanentemente los BMC ARP para desactivar los mensajes del
protocolo de resolucion de direcciones del BMC. De este modo se reduce el trafico de red
pero se podna evitar la comunicacion con el BMC cuando el dispositivo esta fuera de banda.
7. Seleccione Desactivar respuestas de ARP para impedir que el BMC envfe respuestas de
mensajes ARP cuando el SO no esta disponible. Si activa esta opcion podna evitar la
comunicacion con el BMC cuando el dispositivo esta fuera de banda.
8. La configuracion de IP del canal LAN se define automaticamente si el BMC esta sincronizado
con el canal de SO. En caso contrario, se selecciona la casilla de verificacion bajo la pestana
Configuracion de IP. Puede dejar la casilla de verificacion marcada para utilizar la
configuracion de DHCP que se proporciona automaticamente o bien, desmarcarla y modificar
los campos de texto con los valores estaticos. Por lo general, es preferible utilizar los valores
automaticos.
9. Haga clic en la pestana Enviar alertas a traves por LAN para configurar la cadena de la
comunidad de SNMP (vea los detalles mas abajo).
10. Haga clic en Aplicar para guardar los cambios.
NOTE: Si hace clic en el boton Restaurar valores predeterminados en esta pagina, la configuracion en el
encabezado Propiedades para el canal LAN se restauraran a sus valores predeterminados, pero el resto de
las opciones de configuracion en la pagina permaneceran igual. Si cambia alguna informacion en la pestana
Configuracion IPy hace clic en Aplicar, necesitara restablecer manualmente tales opciones de configuracion.
Para cambiar las propiedades del envio de alertas a traves de LAN
1. Abra la pagina Configuracion de LAN (pasos del 1 al 3 mas arriba).

2. Haga clic en la pestana Enviar alertas a traves de LAN.
3. Seleccione la casilla de verificacion Habilitado para activar el envfo de alertas SNMP.
4. Especifique la Cadena de comunidad SNMP que se utilizara para la autenticacion SNMP.
5. Para configurar los destinos de las capturas, haga doble clic en el numero de fndicey abra el
cuadro de dialogo Propiedades.
6. Seleccione Habilitar este destino de alerta. Especifique la direccion IP a la cual BMC enviara
las alertas, al igual que la direccion MAC correspondiente.
7. Especifique la cantidad de reintentos, la frecuencia de los reintentos y la puerta de enlace
preferida que debe utilizarse.
8. Si desea que se confirme la recepcion de las alertas (lo cual aumenta la cantidad de trafico de
red que se genera), marque la casilla de verificacion Confirmar recepcion de alertas.
1101
10. En la pagina Configuracion de LAN, haga clic en Aplicar una vez que haya finalizado la
configuracion.
Cambio de las configuraciones de serie a traves de LAN (SOL)

Utilice las opciones de configuracion de SOL (serie a traves de LAN) para personalizar la
configuracion del modem serie para usos espedficos, como la redireccion de mensajes BIOS POST
al puerto serie. Si se requiere que BMC marque una conexion de modem, deben especificarse
configuraciones de modem especficas como cadenas de inicializacion y marcado.
Para la operacion de modem de serie, es probable que tenga que configurar el BIOS y los puentes
de la placa del dispositivo. Consulte la documentacion del dispositivo particular si necesita detalles.
CAUTION: Si elije establecer la configuracion personalizada para efectuar la comunicacion LAN o en serie con el
BMC, sea extremadamente cuidadoso al realizar los cambios en la configuracion. Si la configuracion contiene
Para cambiar la configuracion de SOL
3. Amplie Configuracion de IPMI BMC y haga clic en Configuracion de SOL.
4. Seleccione Activar la comunicacion de serie a traves de LAN para activar SOL.
5. Seleccione el valor mfnimo de Nivel de usuario necesario para activar SOL.
6. Seleccione la Velocidad en baudios de las sesiones SOL que sea adecuada para la
configuracion de hardware del dispositivo.
Cambio de las configuraciones de IMM
La pagina Configuracion de IMM se muestra solamente para los dispositivos IPMI que estan
equipados con una tarjeta de complemento IMM avanzada. Las opciones de esta pagina permiten
activar o desactivar protocolos y funciones para su uso en el dispositivo habilitado para IMM.
Consulte la documentacion del fabricante para IMM antes de realizar cambios en estas opciones.
Para cambiar las opciones de configuracion de IMM
3. Amplie Configuracion de IPMI BMC y haga clic en Configuracion de IMM.
1102
GUÍA DE USUARIO
4. Seleccione las casillas de verificacion de los protocolos yfunciones que desee activary
agregue cualquier opcion que sea necesaria.
Las opciones disponibles incluyen KVM, SNMP, telnet, alertas de SMTP, HTTPy HTTPS.
1103
Intel vPro
Deteccion de dispositivos vPro
No es necesario un proceso de deteccion separado para identificar dispositivos con capacidad
vPro. Utilice el proceso estandar IVANTI Deteccion de dispositivos no administrados (UDD) para
localizar todos los dispositivos de la red.
vPro y la instalacion del agente

Durante la instalacion del agente IVANTI, se hace una llamada al firmware de vPro para determinar
la informacion de version, estado y capacidad de vPro. Esta informacion se envfa al servidor central
y este determina como aprovisionar vPro en cada equipoy que funciones de vPro son compatibles.
La imagen siguiente muestra el tipo de informacion que se envfa al servidor central durante la
instalacion del agente. Esta informacion se utiliza durante el proceso de aprovisionamiento
ytambien se puede utilizar para informar o para introducir una consulta.
Nombne Valor
5j*] AMT Configuration Mo... Enterprise Mode
AMT Configuration State PKI
AMT Control Mode Admin Control Mode
S| AMT FQDN slc-hain-amt7d2.eng .Ivanti .com

S| AMT QUID 001320F9-B D98-0013-20F9-
BD98001L
S| AMT SKU Full AMT Managebility
S| AMT State Post Provisioning
l-g) Desktop
S5 Fabricante Intel Corporation

S^l Is AMT Configured
1
SSl Is AMT Dynamic DNS ... H
s| Is AMT Enabled In BIOS 1
1104
+ ■■■ 9 Capacidad del sistema GUÍA DE USUARIO
I .... SjJ Copnocesador
+ .. <£> Datos de diagnostico
+- 9 Datos personalizados Entomo
i . is Impnesoras
-- 9 Informacion de AMT
i... § AMT SCS Information
+ IVANTI Management
+ eta Memoria + ■■■ & Modems
+- 9 Motherboard + - ■ P Navegador ra Pmfifisadnr
Aprovisionamiento de dispositivos Intel vPro

Para activar el aprovisionamiento vPro en un entorno IVANTI, tan solo debe introducir una
contrasena en el cuadro de dialogo Configuration general de Intel vPro. En la mayona de casos,
solo se necesita esto para aprovisionar y administrar los equipos vPro en la red.
1105
El cuadro de dialogo de Configuration general de Intel vPro le permite introducir y cambiar la

contrasena que utiliza la cuenta de administrador vPro predeterminada. Esta contrasena se aplica a
todos los nuevos dispositivos de Intel vPro durante el proceso de aprovisionamiento. Tambien
puede cambiar esta contrasena en todos los dispositivos administrados actualmente por Intel vPro.
Si se ha ajustado previamente una contrasena vPro en un dispositivo no administrado por el
servidor central actual, la contrasena no se modificara. El dispositivo no se aprovisionara hasta que
la contrasena local coincida con la contrasena del cuadro de dialogo Configuracion general de Intel
vPro o cuando se haya anulado totalmente el aprovisionamiento del equipo en el ME BIOS.
NOTE: Intel vPro requiere que se utilice una contrasena dificil de descifrar para habilitar comunicaciones
seguras. Las contrasenas deben cumplir con estos requisitos.
Metodos de aprovisionamiento
Existen tres metodos de aprovisionamiento principales en vPro.
1. Aprovisionamiento basado en el host: sin intervencion (version 6.2 y posteriores)

2. Aprovisionamiento remoto: sin intervencion (version 2.3 y posteriores)
3. Opciones disponibles a traves del menu Ctrl-P en el equipo vPro: una intervencion
• Id. de aprovisionamiento/frase de acceso de aprovisionamiento (PID/PPS)
• Activacion vPro manual a traves del firmware
Las primeras dos opciones son sin intervencion. Esto significa que el aprovisionamiento se puede
lograr mediante el acceso por red y no es necesario el acceso fisico al equipo. El tercer metodo
requiere que alguien visite cada dispositivo para activar las opciones de vPro mediante la utilidad
de ajustes. A esta utilidad se accede durante el inicio, antes de cargar el SO.
NOTE: La unica vez que debera utilizar esta tercera opcion es cuando tenga dispositivos vPro viejos (anteriores
a 6.2) y no pueda implementar la infraestructura de certificados necesaria para la configuracion remota.
Versiones de vPro compatibles
IVANTI proporciona soporte para el aprovisionamiento yadministracion de vPro desde la version 2.3
hasta la mas reciente (actualmente 9.x). Tanto el modo de control de clientes como el modo de
control admin. son compatibles con la version 6.2 y posteriores.
El grafico siguiente muestra el tipo de aprovisionamiento disponible para cada version de vPro.
1106
GUÍA DE USUARIO
One Touch
Provisioning
Release Date
NOTE: PID/PPS ya no esta disponible en la version 9. La version 9 tambien requiere un nuevo API - WS- MAN. Los paquetes de saludo
tambien se han cancelado a partir de la version 6.2.
o
Aprovisionamiento basado en el host (aprovisionamiento
automatico)
IVANTI Endpoint Manager aprovisiona automaticamente dispositivos Intel vPro que tienen AMT,
version 6.2 y posterior. Si se introdujo una contrasena en el cuadro de dialogo Configuracion
General de Intel vPro, pero no se ha establecido un PID en los dispositivos o proporcionado un
certificado de aprovisionamiento, los dispositivos se aprovisionaran mediante el uso del modo de
Control de cliente. Este modo limita algunas funciones de Intel vPro, debido al nivel mas bajo de
confianza que se requiere para realizar la configuracion del dispositivo. Si hay un certificado de
aprovisionamiento en el servidor central, el dispositivo se aprovisionara durante el modo de control
admin.
1107
NOTE: El aprovisionamiento basado en el host no requiere ninguna configuracion por parte del cliente. Un
equipo con capacidad vPro (version 6.2 y posterior) se aprovisionara durante la instalacion del agente IVANTI, si
se ha introducido la contrasena vPro en el servidor centra.
1108
GUÍA DE USUARIO
aprovisionamiento remoto (aprovisionamiento sin

intervencion)
Para dispositivos vPro con la version de AMT 2.3 o posterior, aun puede utilizar el
aprovisionamiento sin intervencion. El aprovisionamiento a distancia le permite configurar un
dispositivo de vPro de un estado de fabrica a un estado totalmente aprovisionado (Modo de control
admin.), mediante el uso de certificados SSL creados espedficamente para la administracion de
vPro.
Prerrequisitos de aprovisionamiento remoto
Existen dos requisitos principales para que funcione el aprovisionamiento remoto:
1. Certificado de aprovisionamiento
2. Compatibilidad con DHCPopcion 15
Certificado de aprovisionamiento
Intel requiere cierto nivel de no rechazo para permitir que se produzca el aprovisionamiento de vPro.
Esto elimina las molestias de la verificacion de identidad segura por parte del usuario final. Por
ejemplo, cuando se aprovisiona un equipo en modo de control de clientes, el usuario debera
permitir una sesion KVM. Cuando se inicia esta sesion desde la consola, se indica al usuario un
numero de 6 dfgitos en una ventana emergente. El usuario debera contactar con la persona que
inicio la sesion KVM (normalmente portelefono) y comunicarle el codigo de 6 dfgitos. Esto supone
una molestia en cuanto a la seguridad para el usuario final. Aunque puede ser aceptable en algunos
entornos, muchas organizaciones quieren aprovechar las infraestructuras para proporcionar un
entorno seguro sin necesidad de interrumpir al usuario final. Mediante certificados, se puede
aprovisionar un equipo en modo de control admin. y el usuario final no necesita comunicar el
codigo.
Con los certificados de aprovisionamiento instalados en el servidor central, el aprovisionamiento

remoto se produce de manera fluida y sencilla, mediante un aprovisionamiento basado en el host.
Cuando se instala un agente en el equipo, vPro se aprovisiona en modo de control admin. Esto se
consigue mediante un intercambio de informacion de certificados yaprovecha los nombre de la
empresa.
A continuacion se indican los pasos que se llevan a cabo entre un dispositivo vPro y el servidor
central IVANTI durante la instalacion del agente IVANTI. El primer paso se ha modificado para que
refleje la implementacion IVANTI.
1. Durante la instalacion del agente, el servicio web de IVANTI recibe una solicitud de
aprovisionamiento desde el dispositivo vPro. Esto inicia el proceso de aprovisionamiento.
2. El servidor de aprovisionamiento (servidor central de LDMS) envfa el certificado de

aprovisionamiento al cliente con la cadena de confianza completa del certificado, incluido el
certificado rafz, a traves de una llamada API AMT segura. Este certificado rafz reflejara el
1109
proveedor de certificados autorizado que se haya utilizado e incluira la huella digital del
mismo.
3. El firmware de AMT en el equipo del cliente analiza el certificado de aprovisionamiento,
verifica que la cadena de confianza no se haya roto, extrae la huella digital del certificado rafz
y la compara con la tabla de huellas digitales que hay en el firmware Intel® AMT del cliente. El
aprovisionamiento se detiene aquf si no encuentra ninguna coincidencia.
4. El equipo del cliente obtiene el dominio desde la configuracion DHCP opcion 15 y verifica que
el sufijo coincide con el campo CN del certificado. Las coincidencias se determinan segun la
version de firmware Intel® AMT del cliente y del tipo de certificado utilizado. El
aprovisionamiento se detiene aquf si no encuentra ninguna coincidencia.
5. El certificado de configuracion remota se ha verificado correctamenteyel proceso de
aprovisionamiento continua con normalidad.
Para obtener mas informacion, consulte

http://downloadmirror.intel.com/21729/enq/RemoteConfiqurationCertificateSelection.pdf
Obtener e instalar un Certificado de aprovisionamiento de Intel
Para la configuracion remota es necesario un Certificado de aprovisionamiento de Intel. El

certificado se debe comprar a un proveedor de certificados aprobado (Verisign, GoDaddy, etc) y
debe ser de una clase compatible.
NOTE: Antes de comprar un certificado, verifique que certificados son compatibles con su dispositivo en la
documentacion del proveedor o en la informacion de atencion al cliente.
Cuando compre el certificado, debera proporcionar un archivo CSR (solicitud de firma de

certificados) al proveedor del certificado. Este archivo se genera para su producto IVANTIjunto con
un archivo de claves privadas. Debe especificar la informacion de dominio DNS correcta como parte
del proceso de CSR, para garantizar que coincide con su infraestructura DNS. Despues de recibir
los archivos de certificado del proveedor, el archivo de claves privadas se guarda en un directorio
con un archivo de claves publicas compartido y el archivo de certificado del proveedor.
Una vez obtenido el certificado de aprovisionamiento, se debe almacenar en el servidor central de

IVANTI. Copie en la carpeta todos los archivos del certificado (incluida la clave privada generada por
el proceso CSR):
\\<name of IVANTIcore server>\IVANTI\Endpoint Manager\amtprov\certStore\cert_1
Para mas informacion sobre como obtener y administrar certificados de aprovisionamiento, visite la
pagina de la comunidad IVANTI: https://community.Ivanti.com/support/docs/DOC-23304
DHCP opcion 15
Durante el aprovisionamiento remoto es necesario DHCP opcion 15. Esta opcion devuelve la
informacion del nombre del dominio DNS, como parte de la respuesta DHCP desde el enrutador
adjunto. Como se menciona en el paso 5, el cliente verifica el sufijo que se devuelve mediante DHCP
1110
GUÍA DE USUARIO
(por ejemplo, Ivanti.com) coincide con el campo CN del certificado de aprovisionamiento para otro
nivel de validacion en el proceso de aprovisionamiento.
1111
NOTE: El aprovisionamiento remote solo funcionara si DHCP opcion 15 esta activado en el enrutadory el sufijo
del certificado coincide con la informacion de dominio DNS del cliente en el dispositivo vPro. El servidor central
IVANTI tambien debe disponer del mismo sufijo de dominio DNS que se especifico en el certificado de
aprovisionamiento.
Funciones de administracion de Intel vPro

Despues de aprovisionar un dispositivo Intel vProycuando aparezca en la IVANTI Base de datos del
inventario, se activaran varias funciones de administracion. Para tener acceso a estas funciones,
haga clic con el boton derecho en el nombre del dispositivo de la vista de red y seleccione Opciones
de Intel vPro.
Las funciones activadas y la cantidad de datos visibles dependen de si el dispositivo ha sido

aprovisionado y de si este es en modo de control de clientes o en modo Admin control. La version
de Intel vPro del dispositivo tambien puede determinar que opciones de menu aparecen. El
elemento del menu Opciones de Intel vPro no se visualizaran en dispositivos que no sean vPro.
Los distribuidores de hardware tienen la respondabilidad de la implementacion de vPro en sus

dispositivos. Esto puede resultar en un unico subgrupo de funciones disponible en un dispositivo
particular.
Estado de Intel vPro 3.0

El cuadro de dialogo del estado de Intel vPro muestra informacion actual acerca de las funciones de
Intel vPro que se han activado yestan en vigor en el dispositivo. Esto incluye informacion general,
configuraciones de energfa, perfil inalambrico, presencia de agente, defensa, del sistema, deteccion
de entorno de red, configuraciones de acceso remoto. Las funciones que no son compatibles con el
dispositivo aparecen atenuadas.
Configurar el acceso KVM remoto

Puede utilizar el acceso KVM para administrar remotamente los dispositivos de Intel vPro (AMT
version 6 o posterior). Esto le permite al administrador de TI ver toda la pantalla del dispositivo del
cliente y tener control completo del teclado, raton y vfdeo del dispositivo.
Cuando se aprovisiona un dispositivo de AMT, la funcion KVM esta activada de forma

predeterminada. No obstante, el Consentimiento del usuario esta activado. Para sobrescribir esta
opcion, desactive el KVM predeterminado en el servidor principal. La funcion KVM esta restringida a
una consola o un servidor central con licencia. Un usuario independiente del control remoto no
puede utilizar la funcion KVM.
Para configurar los ajustes de KVM en un cliente
1. Haga clic en Configurar > Opciones Intel vPro > Configuration de KVM.
2. En el cuadro de Activation KVM, haga clic en Activar KVM para permitir el uso de KVM.
1112
GUÍA DE USUARIO
3. En el cuadro de Politicas predeterminadas de consentimiento del usuario, seleccione Activar

consentimiento del usuario y tiempo de espera despues de e introduzca un numero (en
segundos) despues del cual un usuario debe proporcionar una contrasena a la consola del
operador una sola vez.
4. Si decide no utilizar la opcion de consentimiento del usuario, haga clic en Desactivar el

consentimiento del usuario.
5. En el cuadro Tiempo de espera de la sesion, introduzca un numero (en minutos) despues del
cual una sesion TCP a control remoto puede ir a inactividad antes de que la sesion se cierre.
Esto se desactiva si el Consentimiento de usuario esta desactivado (paso anterior).
A KVM se accede desde el menu de boton derecho de la consola IVANTI. La opcion de control
remoto de KVM solo aparecera en dispositivos que dispongan de KVM activado y que sean
compatibles con este.
Nota: vPro KVM solo funcionara en un dispositivo que disponga de graficos integrados. Un equipo
con conjuntos de chips de graficos discretos no se pueden controlar remotamente mediante vPro y
la opcion KVM no aparecera en el menu de boton derecho.
Restricciones de KVM
• KVM no admite la configuracion de las polfticas de control remoto correspondientes.
• No se puede aplicar ninguna poiftica de control remoto de "solo ver" o "se requiere permiso"
a la conexion KVM. Se puede tratar "se requiere permiso" como una opcion de "se requiere
codigo de consentimiento del usuario" de la configuracion de AMT y se debe establecer en la
configuracion de AMT en lugar de la de el RCViewer.
• KVM no admite las opciones de control remoto en la configuracion del agente.

• KVM no admite las funciones de Transferencia de archivos, Ejecucion remota, Conversacion
y Dibujo con la conexion KVM.
• KVM no admite con la opcion de la pantalla en blanco.

• Si el equipo del cliente se aprovisiona en un Modo de control de cliente, el consentimiento
del usuario no se puede desactivar.
Defensa del sistema con reparaciones

La tecnologfa de Defensa del sistema de Intel vPro permite aislar la red en el chip de Intel AMT. Los
sistemas que han estado comprometidos y son una amenaza para la red se pueden poner en
cuarentena de manera remota, y dejar abiertas las direcciones IP de vPro para la reparacion, sin que
presente una amenaza para el resto de la red. Es un proceso manual accesible desde el menu de
opciones de boton derecho de la consola de IVANTI.
Una vez reparado el equipo, puede restaurar la conexion de red del mismo. Esta opcion se
encuentra en el menu de boton derecho y en el dialogo de configuracion general de Intel vPro.
Cuando se selecciona Reparacion de la defensa del sistema, aparece una lista de dispositivos que
1113
se han eliminado de la red. Tan solo debe seleccionar los dispositivos que desea restaurary hacer
clic en Reparar. Vera una ventana emergente que indica el exito o el error de la reparacion.
El cuadro de dialogo Cadenas de notification de cliente permite configurar si se muestra una

notification en el equipo del cliente cuando se elimina y/o restaura en la red.
Acceso de dispositivos con TLS

Al aprovisionar un dispositivo Intel vPro, el servidor central instala un certificado en el dispositivo a
fin de garantizar la comunicacion segura con https. Si el dispositivo se va a administrar en otro
servidor central, debe volver a aprovisionarse mediante el nuevo servidor central. No es necesario
deshacer el aprovisionamiento del dispositivo antes de volver a aprovisionarlo. Determinadas
funciones de vPro no responderan hasta que el dispositivo se haya vuelto a aprovisionar, ya que el
nuevo servidor central no tiene un certificado coincidente. De forma similar, si otro equipo intenta
acceder a la funcion de Intel vPro del dispositivo, no tendra exito debido a que no tiene un
certificado o credenciales coincidentes.
Administracion de energia y redireccion IDE

Endpoint Manager incluye opciones para encendery apagar los dispositivos Intel vPro. Estas
opciones pueden utilizarse aun cuando el sistema operativo del dispositivo no responda, siempre
que el dispositivo se encuentre conectado a la red y tenga alimentation en espera.
Cuando IVANTI Endpoint Manager inicia los comandos de opciones de alimentacion, no siempre es
posible verificar que los comandos sean compatibles con el hardware que recibe el comando. Es
posible que algunos dispositivos con Intel vPro no sean compatibles con todas las funciones de las
opciones de alimentacion (por ejemplo, un dispositivo puede ser compatible con el reinicio IDE-R
desde el CD, pero no desde un disquete). Consulte la documentation del proveedor de hardware si
le parece que una opcion de alimentacion no funciona con un dispositivo en particular. Tambien
puede revisar si hay actualizaciones BIOS o firmware desde Intel para el dispositivo si las opciones
de energfa no funcionan como se espera.
En dispositivos con Intel vPro, cuando usted selecciona Reactivar dispositivos en una tarea
programada, IVANTI Endpoint Manager enviara primero un comando de reactivation de Intel vPro. Si
ese comando no funciona, se enviara entonces un comando normal de "Wake on LAN" al
dispositivo.
Pude simplemente encender o apagar la alimentacion del dispositivo o puede reiniciary especificar
como se reiniciara el dispositivo. Estan disponibles las siguientes opciones de reinicio:
• Apagar: Apaga la alimentacion del dispositivo.

• Encender: Enciende la alimentacion del dispositivo.
• Reinidar Enciende y apaga dclicamente el dispositivo.
• Dispositivo predeterminado: Inicia el dispositivo utilizando cualquier secuencia de inicio que
este establecida como predeterminada en el dispositivo
• Inicio desde un disco duro local: Fuerza un inicio desde el disco duro del dispositivo sin
1114
GUÍA DE USUARIO
importar el modo de inicio predeterminado en el dispositivo

• Inicio desde una unidad local de CD/DVD: Fuerza un inicio desde la unidad de CD o DVD del
dispositivo sin importar el modo de inicio predeterminado en el dispositivo
• Inicio de PXE: Cuando se reinicia, el dispositivo compatible con PXE busca un servidor PXE
en la red y; si lo encuentra, se inicia una sesion de PXE en el dispositivo
• Inicio IDE-R: Reinicia el dispositivo utilizando la opcion de redireccion IDE seleccionada.
• Especificar configuracion del BIOS al encender Cuando se reinicia un dispositivo, le permite
al usuario introducir a la configuracion del BIOS.
• Mostrar Ventana de la Consola de redireccion: Cuando se inicia un dispositivo, se inicia en
serie en el modo LAN para que se muestre en la ventana de la consola de redireccion
• Redireccion IDE: reinicio desde disquete: Cuando se inicia un dispositivo, se inicia desde la
unidad de disquete que se especifique
• Redireccion IDE: reiniciar desde CD/DVD: Cuando se inicia un dispositivo, se inicia desde la
unidad de CD que se especifique.
• Redireccion IDE: reiniciar desde un archivo de imagen especificado: Cuando se inicia un
dispositivo, se inicia desde el archivo de imagen que se especifique. Los archivos de
imagenes de disquetes deben tener el formato .img y los archivos de imagen de CD deben
tener el formato .iso; consulte la seccion siguiente.
Opciones de redireccion IDE
Cuando utilice la redireccion IDE, asegurese de que los archivos de imagen de CDtienen formato
.iso o que estan en un disco CD/DVD ffsico instalado en el equipo local de la consola. Algunos BIOS
pueden requerir que la imagen de CD se encuentre en el disco duro.
Los dispositivos AMT 9 y posteriores son compatibles con el apagado y reinicio normales. Los
dispositivos mas viejos no son compatibles.
Configuracion de dispositivos Intel vPro

Los dispositivos equipados con la funcion de Intel vPro deben configurarse (o "aprovisionarse")
cuando se instalan y encienden por primera vez, a fin de habilitar las funciones de Intel vPro. Este
proceso incluye varias medidas de seguridad que aseguran que solamente los usuarios autorizados
tengan acceso a las funciones de administracion de Intel vPro.
1115
Los dispositivos Intel vPro se comunican con un servidor de aprovisionamiento de la red. Este
servidor de aprovisionamiento escucha los mensajes de los dispositivos de Intel vPro en la red y le
permite al personal de TI administrar los servidores a traves de comunicaciones de banda ancha sin
tener en cuenta el estado en el cual esta el SO del dispositivo. El servidor central actua como un
servidor de aprovisionamiento de los dispositivos de Intel vPro e incluye funciones que le ayudan a
aprovisionar dispositivos cuando usted los configura. Luego puede administrar los dispositivos
con o sin agentes de administracion adicionales.
Opciones de aprovisionamiento de Intel vPro

Hay tres formas generales para aprovisionar dispositivos Intel vPro. El metodo de abastecimiento
que se utilice depende del numero de version de la tecnologfa Intel AMT de los dispositivos
administrados y tambien en sus propias preferencias. La informacion sobre cada metodo de
aprovisionamiento se proporciona en otros temas de ayuda, como se indica a continuacion.
Aprovisionamiento de un toque (mediante los identificadores de aprovisionamiento)

Con el aprovisionamiento de un toque puede utilizar Endpoint Manager para generar un conjunto de
identificadores de aprovisionamiento (PID y PPS). Estos identificadores se especifican en el BIOS
del dispositivo para garantizar una conexion segura con el servidor de aprovisionamiento durante el
proceso de aprovisionamiento inicial. Este proceso de un toque se puede utilizar para configurar
dispositivos que tengan la version 2.0 y posteriores.
Para obtener mas informacion, consulte "Uso de los identificadores de aprovisionamiento

(aprovisionamiento de un toque)" (1109).
Aprovisionamiento sin intervencion (configuracion remota mediante certificados)

Tambien pueden configurarse los dispositivos con versiones 2.2, 2.6ysuperiores mediante la
configuracion remota (tambien llamada aprovisionamiento sin intervencion o "zero-touch"). Este
proceso no necesita la transferencia de identificadores PID/PPS, sino que se inicia en forma
automatica despues de que el servidor de aprovisionamiento (servidor central) recibe el paquete de
saludo del dispositivo, o despues de que el agente de administracion de IVANTI se implementa en el
dispositivo Intel vPro. Para el uso de la configuracion remota debe instalarse un certificado de
instalacion del cliente de Intel proveniente de un proveedor certificados autorizado.
Los dispositivos con Intel vPro version 3.0 y superiores tambien son compatibles con la
configuracion remota "bare metal" o sin agente.
Para obtener mas informacion, consulte "aprovisionamiento remoto (aprovisionamiento sin

intervencion)" (1097).
1116
GUÍA DE USUARIO
Aprovisionamiento automatico para Intel vPro 6.2 y superior

Endpoint Manager aprovisiona automaticamente dispositivos Intel vPro que tienen AMT, version 6.2
y superior. Si se introdujo una contrasena en el cuadro de dialogo Configuracion General de Intel
vPro, pero no se ha establecido un PID en los dispositivos o proporcionado un certificado sin
intervencion, los dispositivos se aprovisionan mediante el uso del modo de Control de cliente. Este
modo limita algunas funciones de Intel vPro, lo cual refleja el menor nivel de confianza que se
requiere para realizar la configuracion del dispositivo.
Si se introdujo una contrasena en el cuadro de dialogo Configuracion General de Intel vPro, y se

establecio un PID en los dispositivos o se proporciono un certificado sin intervencion, los
dispositivos se aprovisionan con el modo Admin Control, el cual notiene limitaciones en la funcion
de Intel vPro, lo cual refleja el nivel mas alto confianza asociado con la configuracion del
dispositivo.
Para obtener mas informacion, consulte "Aprovisionamiento basado en el host (aprovisionamiento

automatico)" (1096).
NOTE: Observe que la informacion en esta seccion es una descripcion general del proceso de configuracion de
Intel vPro. Sin embargo, los fabricantes independientes implementan la funcion de Intel vPro de distintas
maneras, y puede haber diferencias en areas tales como el acceso a las pantallas de Intel AMT o ME BIOS, el
restablecimiento del dispositivo al modo defabrica (anulacion del aprovisionamiento) o la forma de provision de
los pares clave PID/PPS. Antes de iniciar el proceso de configuracion, consulte la documentacion e informacion
de atencion al cliente provista por los fabricantes del dispositivo.
Uso de direcciones IP estaticas con dispositivos Intel vPro

Debido a que los dispositivos de Intel vPro cuentan con dos componentes a los que se les asigna
una direccion IP, el chip de Intel vPro y el sistema operativo del dispositivo, potencialmente puede
tener dos entradas en la lista de dispositivos detectados para el mismo dispositivo de Intel vPro.
Esto sucede solamente si desea utilizar una direccion IP estatica en lugar de DHCP.
Para utilizar direcciones IP estaticas con los dispositivos de Intel vPro, el firmware de Intel vPro
debe estar configurado con su propia direccion MAC. (Para obtener instrucciones sobre la manera
de volver a instalar el firmware yconfigurarlo correctamente, comurnquese con Intel.)
Una vez configurado, el dispositivo de Intel vPro tendra una direccion MAC, una direccion IPyun
nombre de host distintos al sistema operativo del dispositivo. Para poder administrar dispositivos
Intel vPro correctamente, debe utilizar la siguiente configuracion para el DHCPy las direcciones IP
estaticas:
• DHCP: Tanto el sistema operativo como Intel vPro utilizan nombres de DHCPy de host que
son identicos.
• IP estatica: Tanto el sistema operativo como Intel vPro estan configurados para utilizar
direcciones estaticas y son distintas entre sf, las direcciones MAC son diferentes y los
1117
nombres de host tambien son distintos.
1118
GUÍA DE USUARIO
Si un equipo de Intel vPro 2.x se aprovisiona en el modo Empresa, la unica manera de comunicarse
con el es mediante el paquete de saludo que se envâ al servidor de instalacion y configuracion.
Despues de que el equipo es administrado por el software de IVANTI, las operaciones de Intel vPro
pueden realizarse de forma regular. Lo que no debe hacer es detectary administrar direcciones IP
del sistema operativo; caso contrario, tendra dos entradas de equipos que representan al mismo
equipo. Debido a que el unico identificador comun entre los dos dispositivos es el GUID de AMT y a
que el dispositivo del sistema operativo no puede encontrar el GUID de AMT de forma remota, no es
posible combinar las dos entradas.
Si desea instalar los agentes de IVANTI, no puede enviar una Configuracion del agente debido a que
la unica direccion IP en la base de datos es la de Intel vProy el servicio de instalacion automatica
necesita acceso al sistema operativo. En lugar de ello, es necesario extraer los agentes
(provenientes del dispositivo administrado Intel vPro) mediante la asignacion de una unidad al
recurso compartido en el cual se ha guardado un paquete de instalacion de cliente y mediante la
ejecucion de archivo ejecutable con la configuracion del agente.
Antes de extraer los agentes, le recomendamos que cambie un ajuste de la utilidad de

Configuracion de servicios que obliga al servidor central a verificar la presencia del AMT GUID
como parte de la identificacion de un dispositivo.
Para utilizar el AMT GUID como un atributo de identidad
1. Haga clicen Inicio > Todos los programas > IVANTI > Servicios de configuracion de IVANTI.
2. En la pestana Inventario, haga clic en los Identificadores de dispositivo para administrar los
registros duplicados.
3. En la Lista de atributos, amplie la Information de AMT.

4. Baje y mueva el atributo GUID de AMT a la lista de Atributos de identidad.
Esto obliga al GUID de AMT a convertirse en uno de los atributos que puede identificar de
forma unica a un equipo.
Tras modificar esta opcion, cuando el rastreo de Inventario desde el dispositivo administrado por
Intel vPro se importa a la base de datos, el servicio del Inventario hace coincidir el GUID de Intel
AMT del dispositivo que ya se encuentra en la base de datos con la informacion del sistema
operativo en el archivo de rastreo.
Politicas de seguridad de red de Intel vPro

Intel vPro incluye una funcion de Defensa del sistema, la cual impone las polfticas de seguridad de
red en los dispositivos administrados. IVANTI® Endpoint Manager aplica una polftica de Defensa del
sistema a los dispositivos de Intel vPro. Cada dispositivo filtra paquetes de red entrantes y salientes
en funcion de las polfticas definidas.
Cuando el trafico de red coincide con las condiciones de alerta definidas en algun filtro, se genera
1119
una alerta y se bloquea el acceso a la red. El dispositivo se desconecta de la red hasta que se
vuelva a conectar el acceso mediante el uso de la funcion de Reparacion de la Defensa del sistema.
Como se aplican las pollticas de Defensa del sistema Intel vPro

Cuando una polftica de la defensa del sistema se encuentra activa en un dispositivo administrado,
el dispositivo supervisa todo el trafico de red entranteysaliente. Si se detectan las condiciones de
un filtro, se realizan las siguientes acciones:
1. El dispositivo administrado envfa una alerta ASF al servidor central y se agrega una entrada
al registro de alertas.
2. El servidor central determina la polftica que se ha violado y desactiva el acceso a la red en el
3. El dispositivo aparece en la cola de reparaciones de la Defensa del sistema.
4. Para restaurar el acceso a la red en el dispositivo, el administrador realiza los pasos de

reparacion debidos y elimina el dispositivo de la cola de reparacion; de este modo se
restaura la polftica de Defensa del sistema en el dispositivo.
Polfticas de Defensa del sistema Intel vPro

La tecnologfa de Defensa del sistema de Intel vPro permite la filtracion de red en el chip de Intel
AMT. Los sistemas que han estado comprometidos y son una amenaza para la red se pueden poner
en cuarentena de manera remota, y dejar ciertos puertos y direcciones IP abiertos para la
reparacion, sin que presente una amenaza para el resto de la red.
IVANTI Endpoint Manager contiene las siguientes polfticas predefinidas de Defensa del sistema.
• BlockFTPSrvr: esta polftica impide el trafico a traves de un puerto FTP. Cuando se envfan o
reciben paquetes en el puerto FTP 21, se descartan los paquetes y se suspende el acceso a
la red.
1120
GUÍA DE USUARIO
• LDCBKillNics: esta poiftica bloquea el trafico en todos los puertos de red con excepcion de
los puertos de administracion siguientes:
Intervalo de Direccion del Protocol
Descripcion del puerto
numeros trafico o
TCP,
Administracion de IVANTI 9593-9595 Envfo y recepcion
UDP
16992-16993 Envfo y recepcion Solo TCP
Administracion de Intel
vPro
DNS 53 Envfo y recepcion Solo UDP
DHCP 67-68 Envfo y recepcion Solo UDP
Cuando el servidor central desactiva el acceso a la red en un dispositivo administrado, en

realidad aplica esta polftica al dispositivo. A continuacion, cuando el dispositivo se elimina
de la cola de reparacion, la polftica original se vuelve a aplicar al dispositivo.
• LDCBSYNFlood: esta polftica detecta un ataque de denegacion de servicio de desborde SYN:

no permite mas de 10.000 paquetes de TCP por minuto con el indicador SYN activado. Si se
excede esta cantidad, se suspende el acceso a la red.
• UDPFloodPolicy: esta polftica detecta un ataque de denegacion de servicio de desborde

SYN: no permite mas de 20.000 paquetes de UPD por minuto en los puertos numerados entre
0y 1023. Si se excede esta cantidad, se suspende el acceso a la red.
Configuracion general de Intel vPro

El cuadro de dialogo de Configuracion general incluye opciones que se deben establecer antes de
poder administrar los dispositivos que tengan habilitado Intel vPro.
NOTE: Introduzca una contrasena en este cuadro de dialogo solo si tiene la intendon de activar las funciones de
Intel vPro en los dispositivos administrados que corresponda. La contrasena se guarda en la base de datos y se
aplica a nivel global durante el aprovisionamiento de dispositivos Intel vPro, por lo que debe tener claro como
instalar y configurar cada version de dispositivos Intel vPro.
Instalacion y Configuracion
El cuadro de dialogo de Configuracion general de Intel vPro le permite cambiar la contrasena en uso
por el valor predeterminado de la cuenta "admin". Esta contrasena se aplica a todos los nuevos
dispositivos de Intel vPro cuando usted los aprovisione. Usted tambien tiene la opcion de cambiar
esta contrasena en todos los dispositivos administrados actualmente por Intel vPro. Esta opcion se
recomienda para que todos los dispositivos tengan las mismas credenciales.
• Contrasena: Introduzca una contrasena segura con la cual comunicarse y para aprovisionar
nuevos dispositivos de Intel vPro. En los dispositivos que se van a administrar, la contrasena
"admin" que introduzca en la pantalla de configuracion de Intel AMT (a la que se tiene acceso
1121
en el BIOS del dispositivo) debe coincidir con la que introdujo en el cuadro de dialogo de
Configuracion general de Intel vPro. La contrasena se guarda en la base de datos y se aplica
de forma global para aprovisionar los dispositivos de Intel vPro.
• Sincronizar a todos los equipos vPro administrados cuando cambia la contrasena:

seleccione esta casilla de verificacion para aplicar la contrasena a todos los dispositivos
Intel vPro administrados.
Uso de una contrasena segura
Intel vPro requiere que se utilice una contrasena diffcil de descifrar para habilitar comunicaciones
seguras. Las contrasenas deben cumplir con estos requisitos:
• Al menos 8 caracteres de longitud

• Al menos un caracter de numero (0-9)
• Al menos un caracter ASCII que no sea alfanumerico (tal como !, &, %)
• Deben incluirse caracteres latinos en mayusculas y minusculas o caracteres que no sean
ASCII (UTF+00800 y superior)
Aprovisionamiento automatico para Intel vPro 6.2 y superior
Endpoint Manager aprovisiona automaticamente dispositivos Intel vPro que tienen AMT, version 6.2
y superior. Si se introdujo una contrasena en este cuadro de dialogo, pero no se ha establecido un
PID en los dispositivos o proporcionado un certificado sin intervencion, los dispositivos se
aprovisionan mediante el uso del modo de Control de cliente. Este modo limita algunas funciones
de Intel vPro, lo cual refleja el menor nivel de confianza que se requiere para realizar la
Si se introdujo una contrasena en este cuadro de dialogo y se establecio un PID en los

dispositivos o se proporciono un certificado sin intervencion, los dispositivos se aprovisionan
con el modo Control de administracion, que no tiene limitaciones en la funcion de Intel vPro, lo
que refleja el nivel mas alto confianza asociado con la configuracion del dispositivo.
Cambiar la contrasena de Intel vPro

Para cambiar la contrasena de todos los dispositivos Intel vPro
1. En el servidor central, haga clic en Configurar > Opciones Intel vPro > Configuracion general.
2. Escriba una contrasena diffcil de descifrar y conffrmela.
3. Para aplicar la contrasena a todos los dispositivos Intel vPro administrados, seleccione
Sincronizar en todos los equipos vPRo cuando se modifique la contrasena.
Este cambio se llevara a cabo cuando se ejecute la configuracion del cliente.

Para cambiar la contrasena de un dispositivos de Intel vPro
1. En la lista Todos los dispositivos, haga cliccon el boton derecho en un dispositivo Intel vPro
administrado y seleccione Opciones de Intel vPro > Cambiar contrasena.
1122
GUÍA DE USUARIO
2. Escriba la contrasena nueva y conffrmela.

Modificacion de las cadenas de texto de notificacion al

cliente de Intel vPro
Puede enviarle un mensaje de notificacion a algun usuario cuando la Defensa del sistema de Intel
vPro detecte algun problema ydesconecte el dispositivo del usuario de la red. Aparecera un cuadro
de mensajes en el dispositivo cuando se desconecte de la red, y aparecera un segundo mensaje
despues de que el problema haya sido resuelto y el dispositivo haya sido reconectado a la red
(eliminado de la cola de reparaciones) por el administrador.
Use este cuadro de dialogo para introducir los textos de notificacion que apareceran en los
dispositivos administrados. Puede usar el texto del mensaje predeterminado o puede personalizar el
mensaje si lo prefiere.
Para usar notificaciones en la Defensa del sistema de Intel vPro
1. Haga clic en Configurar > Opciones Intel vPro > Textos de notificacion al cliente.
2. Seleccione la casilla de verificacion Activada para enviar los mensajes cuando el acceso de
red de un dispositivo este desconectado.
3. Para personalizar algun mensaje, reemplace el texto predeterminado por el mensaje que
desee mostrar en los dispositivos del cliente.
Uso de los identificadores de aprovisionamiento

(aprovisionamiento de un toque)
Los dispositivos Intel vPro se comunican con un servidor de aprovisionamiento de la red. Este
servidor de aprovisionamiento escucha los mensajes de dispositivos de Intel vPro y le permite al
personal de TI administrar los servidores a traves de comunicaciones de banda ancha sin tener en
cuenta el estado en el cual esta el SO del dispositivo. El servidor central actua como un servidor de
aprovisionamiento de los dispositivos de Intel vPro e incluye funciones que le ayudan a
aprovisionar dispositivos cuando usted los configura.
Genere un ID de aprovisionamiento (PID) y una Frase de contrasena de aprovisionamiento (PPS)

para cada dispositivo de Intel vPro que desee aprovisionar. Un PID es un ID codificado de un ocho
caracter que se utiliza para asegurar que el usuario tenga las credenciales necesarias para
configurar un dispositivo de Intel vPro. Una PPS es una contrasena de 32 caracteres para autenticar
el PID. El PID y la PPS se aparejan entre sL
Proceso para utilizar los identificadores de aprovisionamiento de Intel vPro
Esta seccion describe el proceso para usar el aprovisionamiento de un toque en Intel vPro 2.0y
superiores.
Cuando se recibe un dispositivo Intel vPro, el tecnico de TI ensambla el equipoy lo enciende. Tras
1123
encender el dispositivo, el tecnico inicia una sesion en la pantalla de configuracion de Intel ME

(equipo de administracion) basado en BIOS y cambia la contrasena predeterminada (admin) a una
contrasena robusta. Esto permite el acceso a la pantalla de configuracion de Intel AMT.
En la pantalla de configuracion de Intel AMT, se escribe la siguiente informacion previa al

aprovisionamiento:
• Un identificador de aprovisionamiento (PID)

• Una clave de contrasena previa al aprovisionamiento (PPS), tambien conocida como clave
precompartida (PSK)
• La direccion IP del servidorde aprovisionamiento

• El puerto 9971 como puerto de comunicacion con el servidor de aprovisionamiento
• Debe seleccionarse el modo Empresa
• El nombre de host del dispositivo Intel vPro
La PPS debe ser compartida por el servidor de aprovisionamiento y por el dispositivo administrado,
pero no puede transmitirse en la red por razones de seguridad. Se debe especificar de forma manual
en el dispositivo (en la pantalla de configuracion de Intel AMT). Los pares PID/PPS se generan
mediante Endpoint Manageryse almacenan en la base de datos. Puede imprimir una lista de pares
de identificadores generados para utilizarlos en el aprovisionamiento o exportar los pares de
identificadores en un archivo de claves de una unidad USB.
El tecnico de TI debe introducir la direccion IP del servidor central Endpoint Manager del Servidor
de aprovisionamiento y especificar el puerto 9971. De otra manera, de forma predeterminada, el
dispositivo Intel vPro envfa una transmision general que solamente puede recibirse si el servidor de
configuracion esta escuchando en el puerto 9971.
El nombre de usuario y la contrasena predeterminados para acceder a la pantalla de configuracion

de Intel AMT son "admin" y "admin". El nombre de usuario se mantiene, pero durante el proceso de
aprovisionamiento debe cambiarse la contrasena por una robusta. La nueva contrasena se
introduce en el dialogo de configuracion general de Intel vPro, como se describe en los pasos del
procedimiento de abajo. Tras configurar cada uno de los dispositivos, usted puede cambiar la
contrasena de cada dispositivo en forma individual. Sin embargo, para fines de aprovisionamiento,
se utiliza la contrasena que se encuentra en el dialogo de configuracion general.
Tras especificar la informacion anterior en la pantalla de configuracion de Intel AMT, el dispositivo

envfa mensajes de "saludo" cuando se conecta a la red por primera vez, en un intento por
comunicarse con el servidor de aprovisionamiento. Si el servidor de aprovisionamiento recibe este
mensaje, se inicia el proceso de aprovisionamiento una vez que el servidor establece conexion con
el dispositivo administrado.
Cuando el servidor central recibe el mensaje de saludo y verifica el PID, aprovisiona el dispositivo
Intel vPro en el modo TLS. El modo TLS (seguridad de nivel de transporte) establece un canal
seguro de comunicacion entre el servidor central y el dispositivo administrado mientras se
completa el aprovisionamiento. Este proceso incluye la creacion de un registro en la base de datos
con el UUIDy las credenciales cifradas del dispositivo. Una vez que los datos del dispositivo se
1124
GUÍA DE USUARIO
encuentran en la base de datos, el dispositivo figura en la lista de dispositivos no administrados.
Una vez que el servidor central ha aprovisionado un dispositivo Intel vPro, este puede administrate
solamente a traves de la funcion de Intel vPro. Para hacerlo, puede seleccionarlo en la lista de
dispositivos no administrados yagregarlo a los dispositivos administrados. Tambien puede
implementar los agentes de administracion en el dispositivo para utilizar funciones adicionales de
administracion.
El proceso recomendado para el aprovisionamiento de dispositivos Intel vPro es el siguiente.
1. Especifique una nueva contrasena diffcil de descifrar para aprovisionar los dispositivos de
Intel vPro.
2. Genere un lote de identificadores de aprovisionamiento de Intel vPro (PIDy PPS). Imprima la

lista de claves o exportelas a una unidad USB.
3. Inicie una sesion en la pantalla de configuracion de Intel ME del dispositivo del BIOS y
cambie la contrasena predeterminada por una robusta.
4. Inicie una sesion en la pantalla de configuracion de Intel AMT. Escriba el par de claves
PID/PPS de la lista de identificadores de aprovisionamiento que imprimio. Escriba la
direccion IP del servidor central (servidor de aprovisionamiento) y especifique el puerto
9971. Asegurese de que este seleccionado el modo Empresarial para el efectuar el
aprovisionamiento. Escriba el nombre de host del dispositivo Intel vPro.
5. Cierre la pantalla de BIOS. El dispositivo comenzara a enviar mensajes de saludo.

6. El servidor central recibe un mensaje de saludo y verifica el PID con la lista de claves
generadas. Si la clave coincide, aprovisiona el dispositivo.
7. El dispositivo se agrega a la lista de deteccion de dispositivos no administrados.

8. Seleccione el dispositivo y agreguelo a los dispositivos administrados (en la barra de
herramientas, haga clic en Destino, en la pestana Administraryen Mover). Puede seleccionar
administrarlo como un dispositivo sin agente o puede implementar agentes de
administracion en el a fin de acceder a funciones de administracion adicionales.
Para obtener instrucciones detalladas sobre el paso 1, consulte "Cambiar la contrasena de Intel
vPro" (1108)
Para obtener instrucciones detalladas para el paso 2, consulte "Generar un lote de identificadores
de aprovisionamiento de Intel vPro" (1114).
Errores en el proceso de aprovisionamiento
Si escribe una PID y una PPS que no forman un par correctamente (por ejemplo, la PPS forma un
par con un PID equivocado), recibira un mensaje de error en el registro de alertas y no continuara el
aprovisionamiento de dicho dispositivo. Debe reiniciar el dispositivo y volver a escribir el par
PID/PPS correcto en la pantalla de configuracion de Intel AMT.
Si al escribir una PID o PPS, la pantalla de configuracion de Intel AMT muestra un mensaje de error,
quiere decir que no las ha escrito bien. Se realiza una suma de comprobacion para asegurarse de
que las PIDy PPS sean correctas.
1125
Importacion y exportacion de los identificadores de

aprovisionamiento
Puede generar identificadores de aprovisionamiento y exportarlos a un archivo de claves para
utilizarlos en el aprovisionamiento de dispositivos Intel vPro con una unidad USB. Los
identificadores exportados se guardan en un archivo setup.bin que puede copiar en una unidad
USB. Con la unidad USB, puede completar automaticamente los campos PID/PPS del BIOS de Intel
AMT a medida que aprovisiona nuevos dispositivos Intel vPro antes de detectarlos y administrarlos.
Si un fabricante de dispositivos le proporciona un conjunto de identificadores de aprovisionamiento

para los dispositivos Intel vPro que ha adquirido, puede importar dichos identificadores en la base
de datos central para que el servidor central reconozca dichos dispositivos como de Intel vPro y los
detecte automaticamente.
Estos dos procesos se describen a continuacion.
Exportacion de identificadores de aprovisionamiento para utilizarlos con una unidad USB

Endpoint Manager genera identificadores de aprovisionamiento (pares de PID/PPS) que puede
utilizar para aprovisionar nuevos dispositivos Intel vPro. Puede imprimir una lista de los
identificadores generados y escribirlos de forma manual cuando aprovisione cada uno de los
dispositivos. De lo contrario, puede exportar dichos identificadores a un archivo de claves
setup.bin, guardar el archivo en una unidad USB y luego utilizar dicha unidad para aprovisionar los
dispositivos. Esto reduce los errores en el aprovisionamiento debido a que no necesita escribir los
identificadores de forma manual en cada uno de los dispositivos.
La unidad USB que utilice debe ser de formato FAT-16 para que este proceso funcione.
El archivo setup.bin se crea con un archivo de claves espedfico definido por Intel. Cuando
aprovisione el nuevo dispositivo Intel vPro, conecte la unidad USB al dispositivo y reirncielo.
Durante el proceso de inicio se toma un par de identificadores de aprovisionamiento (PID y PPS) del
archivo setup.bin yse introduce en el BIOS de Intel AMT del dispositivo. Cuando el dispositivo envfe
el mensaje de saludo a la red, el servidor central lo reconocera y podra comunicarse de forma
segura con el debido a que los identificadores de aprovisionamiento se encuentran en la base de
datos central.
1126
GUÍA DE USUARIO
Para exportar un lote de identificadores de aprovisionamiento para utilizarlos con una unidad USB
1. Haga clicen Configurar > Opciones Intel vPro > Importar/exportar.
2. Seleccione Exportar identificadores AMT al archivo setup.bin. La cantidad de identificadores

disponible para exportar aparece en parentesis al lado de esta opcion.
3. Introduzca y confirme la contrasena del procesador vPro Management Engine. Esta es la
contrasena que le permite tener acceso a las funciones de administracion de Intel vPro. La
contrasena predeterminada es "admin" si usted todavfa no ha establecido una contrasena en
el Motor de administracion.
4. Introduzca un valor en el cuadro de texto Numero de identificadores a exportar. Debe
introducir al menos "1" en este campo. El numero maximo que se puede introducir es el
numero de identificadores disponible que aparece al lado de la opcion Exportar
identificadores de AMT al archivo setup.bin.
5. En el cuadro de texto Especificar la ubicacion de setup.bin, introduzca una ruta de acceso u
busque la carpeta donde desea guardar el archivo setup.bin.
Guarde el archivo en cualquier ubicacion y luego copielo en una unidad USB o especifique la
ubicacion de la unidad USB si esta esta conectada al servidor central. Para utilizar el archivo
setup.bin para aprovisionar, el mismo debe guardarse en el directorio rafz de la unidad USB.
6. Haga clicen Aceptary luego en Cerrar.
NOTE: los identificadores que haya generado se enumeran con los otros identificadores generados en la pagina
Generar identificadores de AMT. Los identificadores de la lista tienen una marca de verificacion verde para
indicar que no estan disponibles para el aprovisionamiento de otros dispositivos.
Para utilizar los identificadores de aprovisionamiento exportados en los dispositivos Intel vPro
nuevos
1. Exporte un lote de identificadores de aprovisionamiento tal como se describe anteriormente,

y guarde el archivo setup.bin en el directorio rafz de una unidad USB.
2. En cada uno de los nuevos dispositivos Intel vPro, conecte la unidad USB al dispositivo y
reirncielo.
Cuando el dispositivo se inicia, obtiene acceso al archivo setup.ini y toma un par de identificadores
de aprovisionamiento disponible (PI D y PPS) para utilizarlo en el proceso de aprovisionamiento.
Luego marca el par de identificadores de aprovisionamiento como utilizado para que no lo utilice
otro dispositivo. El dispositivo siguiente que aprovisione tomara el siguiente par de identificadores
de aprovisionamiento disponible.
Observe que para que este proceso funcione correctamente, el nombre de usuario y la contrasena
predeterminados para el acceso al BIOS de Intel AMT no deben haberse modificado (por lo general,
de forma predeterminada son admin/admin). No debe de haber especificado identificadores de
aprovisionamiento en el dispositivo.
1127
Importacion de identificadores de aprovisionamiento de un archivo de claves a la base de datos central

Si un fabricante de dispositivos le proporciona un conjunto de identificadores de aprovisionamiento
para los dispositivos Intel vPro que ha adquirido, puede importar dichos identificadores en la base
de datos central para que el servidor central reconozca dichos dispositivos como de Intel vPro y los
detecte automaticamente. El fabricante proporciona dichos identificadores en un archivo de claves
setup.ini cuando compra los dispositivos.
Para importar los identificadores a la base de datos central, navegue hasta la ubicacion del archivo
setup.ini que proporciono el fabricante (esto se puede hacer en un CD o DVD, o puede copiar el
archivo en cualquier unidad). Tras guardar dichos identificadores en la base de datos, cuando se
inician los dispositivos Intel vPro y estos envfan un mensaje de saludo, el servidor central los
reconoce y los detecta.
Para importar identificadores de aprovisionamiento de un archivo de claves a la base de datos

central
1. Haga clicen Configurar > Opciones Intel vPro > Importar/exportar

2. Seleccione Importar desde el archivo clave USB.
3. En el cuadro de texto Especificar la ubicacion de setup.bin, introduzca una ruta de acceso u
busque la carpeta que contiene el archivo setup.bin.
4. Haga clicen Aceptaryluego en Cerrar.
Los identificadores de aprovisionamiento se agregaran a la base de datos central y se enumeran en

el cuadro de dialogo Generar identificadores de Intel vPro.
Generar un lote de identificadores de aprovisionamiento de

Intel vPro
IMPORTANT: Antes de generar los identificadores de Intel vPro, debe crear primero una contrasena de '
Intel vPro para la cuenta predeterminada de "admin" y debe sincronizarla con todos los dispositivos
administrados de Intel vPro. "Cambio de la contrasena en dispositivos Intel vPro" En la pagina 1116.
1. Haga clicen Configurar > Opciones Intel vPro > Generacion de identificador.
2. Escriba la cantidad de identificadores que va a generar (por lo general, es la cantidad de
dispositivos que planea aprovisionar).
3. Si desea utilizar un prefijo diferente para las PID, escnbalo en el cuadro de texto Prefijo de
PID. Este prefijo solamente puede contener caracteres alfabeticos en mayusculas y numeros
del conjunto de caracteres ASCII. Puede escribir un maximo de 6 caracteres en el prefijo.
4. Escriba el nombre del lote para identificar el grupo de identificadores generados.

5. Haga clic en Generar identificadores.
6. Para ver un lote de los identificadores generados, seleccione el nombre de lote en la lista Ver
identificadores de lotes.
7. Para imprimir una lista de los identificadores generados como referencia, haga clic en
1128
GUÍA DE USUARIO
Imprimir lista de identificadores. El cuadro de dialogo de imprimir de Windows se abre;

seleccione una impresora y haga clic en Imprimir.
Las claves de aprovisionamiento se almacenan en la base de datos para referencia futura al

aprovisionar nuevos dispositivos de Intel vPro. A medida que aprovisiona los dispositivos y se
consumen las claves de aprovisionamiento, la pagina Generar identificadores de Intel vPro sombrea
los identificadores que se han consumido para que pueda controlar los identificadores que se han
utilizado.
Notas sobre las claves de aprovisionamiento

Se puede agregar un prefijo de PID para facilitar la identificacion de IDy PID, pero el uso del prefijo
no es requerido. Es recomendable que se utilicen de 0 a 4 caracteres en el prefijo, con un maximo
de 6 caracteres.
Para identificar los lotes de claves de aprovisionamiento, especifique un nombre de lote. Debe ser
un nombre descriptivo que indique los dispositivos a los cuales se aplican los identificadores. Por
ejemplo, puede generar lotes para cada organizacion de la empresa y nombrar los lotes Desarrollo,
Mercadeo, Finanzas, etc. Si mas adelante desea ver los identificadores generados, escriba el
nombre del lote y haga clic en Ver identificadores de lotes para ver una lista que contenga
solamente esos identificadores.
Haga clic aqrn para ver las descripciones de las opciones de los identificadores de Intel vPro
Generar identificadores
Use esta seccion para introducir los criterios para generar PIDy PPS.
• Cantidad de identificadores a generar: escriba la cantidad de identificadores que desea

generar (por lo general, es la cantidad de dispositivos que planea aprovisionar). Debe
introducir un valor o no se podra generar el identificador.
• Prefijo de PID de los identificadores generados: Introduzca un prefijo para ayudar a
identificar el PID. Se agrega un prefijo de PID para facilitar la identificacion de IDy PID, pero el
uso del prefijo no es requerido. Es recomendable que se utilicen de 0 a 4 caracteres en el
prefijo, con un maximo de 6 caracteres.
• Nombre del lote de identificadores generados: introduzca el nombre para identificar al grupo
de identificadores generados. Debe ser un nombre descriptivo que indique a que
dispositivos se les aplican los identificadores. Por ejemplo, puede generar lotes para cada
organizacion de la empresa y nombrar los lotes Desarrollo, Mercadeo, Finanzas, etc. Si mas
adelante desea ver los identificadores generados, seleccione el nombre del lote y haga clic
en Ver identificadores de lotes para ver la lista de esos identificadores.
Ver identificadores de lotes
La lista desplegable Ver identificadores de lotes muestra los nombres de lote que ha asignado a los
Id. Los identificadores disponibles que corresponden al nombre del lote seleccionado aparecen en
el cuadro de lista.
1129
Estos identificadores se almacenan en la base de datos para referencia futura al incorporar nuevos
dispositivos de Intel vPro. A medida que se aprovisionan los dispositivos y se consumen las claves
de aprovisionamiento, la pagina Generar identificadores de Intel vPro muestra una marca verdejunto
a los Id. que se han usado.
Importar/exportar identificadores
Los identificadores que genere se pueden exportar a un archivo denominado setup.bin. El archivo
setup.bin se puede almacenar en una unidad USB, la cual se puede transportar a otros servidores
de aprovisionamiento de modo que los identificadores que todavfa no se hayan usado se pueden
importary poneren uso en otros dispositivos de Intel vPro.
Imprimir la lista de identificadores

La funcion Imprimir lista de identificadores imprime los identificadores que aparecen en la lista. Si
selecciono un nombre de lote de la lista Ver identificadores de lote, solo se imprimiran los Id. de ese
lote.
Cambio de la contrasena en dispositivos Intel vPro

Se necesita una contrasena para aprovisionary comunicarse con nuevos dispositivos de Intel vPro.
En los dispositivos que se van a administrar, la contrasena "admin" que introduzca en la pantalla de
configuracion de Intel AMT (a la que se tiene acceso en el BIOS del dispositivo) debe coincidir con
la que introdujo en el cuadro de dialogo de Configuracion general de Intel vPro. Esa contrasena se
guarda en la base de datos de Endpoint Manager y se aplica de forma global para aprovisionar los
dispositivos de Intel vPro.
Intel vPro requiere que se utilice una contrasena diffcil de descifrar para habilitar comunicaciones
seguras. Las contrasenas deben cumplir con estos requisitos:
• Al menos 8 caracteres de longitud

• Al menos un caracter de numero (0-9)
• Al menos un caracter ASCII que no sea alfanumerico (tal como !, &, %)
• Deben incluirse caracteres latinos en mayusculas y minusculas o caracteres que no sean
ASCII (UTF+00800 y superior)
1130
GUÍA DE USUARIO
Tras la incorporacion de los dispositivos, debe cambiar las contrasenas con regularidad como
parte del mantenimiento de TI. Puede usar una contrasena distinta en cada dispositivo de Intel vPro
o puede aplicar una misma contrasena a varios dispositivos. Las nuevas contrasenas que se
introduzcan se almacenan en la base de datos y son usadas por Endpoint Manager para
comunicarse de forma segura con los dispositivos administrados por Intel vPro.
Aprovisionamiento basado en host para Intel vPro 6.2 y superior
Endpoint Manager utiliza el aprovisionamiento suministro basado en el host para dispositivos con
Intel vPro AMT, version 6.2 y superior. Si se introdujo una contrasena en el cuadro de dialogo
Configuracion General de Intel vPro, pero no se ha establecido un PID (aprovisionamiento sin
intervencion) en los dispositivos o proporcionado un certificado sin intervencion, los dispositivos
se aprovisionan mediante el uso del modo de Control de cliente. Este modo limita algunas
funciones de Intel vPro, lo cual refleja el menor nivel de confianza que se requiere para realizar la
Si se introdujo una contrasena en el cuadro de dialogo Configuracion General de Intel vPro, y se

establecio un PID en los dispositivos o se proporciono un certificado sin intervencion, los
dispositivos se aprovisionan con el modo Admin Control, el cual notiene limitaciones en la funcion
de Intel vPro, lo cual refleja el nivel mas alto confianza asociado con la configuracion del
dispositivo.
Compatibilidad inalambrica de Intel vPro

Los dispositivos de Intel vPro (version 2.5 o superior) con capacidad inalambrica pueden
administrarse fuera de banda a traves de una conexion LAN inalambrica si los dispositivos estan
encendidos y la interfaz inalambrica esta activa. Si un portatil esta en modo suspendido, puede
administrarse fuera de banda solo si esta conectada a un LAN con cable y a una alimentacion de
CA.
Cuando se enciende un portatil, el chip de tecnologfa Intel Active Management (Intel AMT) en un
portatil se comunica con el controlador LAN inalambrica. Si Intel AMT encuentra un perfil
coincidente, el controlador dirigira el trafico destinado al dispositivo Intel AMT. Aun si hubiera un
problema con el controlador, Intel AMT puede recibir trafico de administracion fuera de banda
desde la interfaz de red inalambrica.
Para efectuar administracion inalambrica, Intel vPro utiliza el perfil inalambrico de Windows del
dispositivo.
Para que Intel AMT trabaje con una conexion LAN inalambrica, debe compartir direcciones IP con el
portatil. Para esto, debe configurarse Intel AMT para que use DHCP, y debe haber un servidor DHCP
disponible para asignar direcciones IP. Si se configura Intel AMT para que use direcciones
IPestaticas, la conectividad inalambrica se deshabilitara.
1131
Cuando un portatil se detecta yaprovisiona mientras esta conectada a una red con cables, puede
administrarse de inmediato a traves de la red con cables. Sin embargo, cuando el portatil cambie a
una conexion inalambrica, puede existir una demora antes de que se habilite la administracion de
Intel vPro en dicho equipo. Esto se debe a un cambio en la forma en que se resuelve el nombre del
equipo en DNS en la red. La direccion IP inalambrica del portatil es distinta a la direccion IPde red
con cables, por lo que hay una demora antes de que la nueva direccion IPdel portatil coincida con el
nombre del equipo.
1132
GUÍA DE USUARIO
Rollup cores
Instalacion de un servidor central de resumen
Se puede utilizar una base de datos central de resumen para combinar los datos de varios
servidores centrales. IVANTI Endpoint Manager utiliza la replica nativa de SQL Server para resumir
los datos del servidor central. Puede utilizar una base de datos de servidor de resumen para generar
informes segun los datos detodos los servidores centrales de la organizacion. No se pueden
programartareas desde una base de datos de un servidor de resumen.
Puede resumir los datos de los servidores centrales usando Endpoint Manager, version 9.0 o
superior. El servidor central de resumen se debe instalar utilizando la ultima version de Endpoint
Manager. Todos los servidores centrales deben usar el mismo tipo de base de datos, y no es
compatible con SQL Server Express.
Para instalar una base de datos central de resumen
1. Configure un servidor para que aloje el servidor central de resumen y la base de datos.
2. Instale la base de datos de la misma manera que lo hana con una instalacion normal de
Endpoint Manager. Para obtener informacion sobre la instalacion de la base de datos,
consulte la comunidad IVANTI en https://community.Ivanti.com.
3. Inicie la sesion en el servidor central de resumen con una cuenta quetenga derechos de
administrador.
4. Instala la base de datos central de resumen a traves de la ejecucion automatica en los

medios de instalacion de Endpoint Manager. Finalice la configuracion.
Configurar la replica del servidor SQL para los servidores

de inscripcion centrales
IVANTI Endpoint Manager utiliza la replica nativa del servidor SQL para inscribir datos de los
servidores centrales en un servidor central de resumen. La replica del Servidor SQL se da casi en
tiempo real yes muyeficaz, por lo que el contenido de la base de datos de resumen sera mucho mas
actual de lo que era con la utilidad de la base de datos de resumen antigua, que se utilizaba antes de
Endpoint Manager 9.6.
Requisitos previos
Los siguientes requisitos previos se deben llevar a cabo antes de utilizar la replica del servidor SQL
en un servidor central de resumen.
• Asegurese de que la opcion de Replica de la Configuracion de programas de Endpoint

Manager esta instalada en cada Servidor SQL DBMS (fabricantey suscriptor) que desee que
participe en la replica. Puede verificar esto ejecutando setup.exe del Servidor SQL.
1133
• Uno de los Imites de SQL Express es que no puede actuar como fabricante en una topologfa
de replica. Por lo tanto, no es posible replicar datos desde un servidor central de Endpoint
Manager mediante SQL Express como base de datos de segundo plano.
• Asegurese de que KB2840628v2 esta instalado (servidores DBMS de fabricantes y

suscriptores). En las actualizaciones de "Microsoft .NET Framework 4 Client Profile". Si
cuenta con la instalacion de KB2840628, asegurese de que es KB2840628v2. Si lo reinstala,
se actualizara a la version 2.
Paso 1: Crear cuentas de Windows (servidores DBMS de fabricante y de suscriptor)

Mediante la tabla siguiente, cree cuentas de usuarios de Windows en los equipos en los que
tenga instalado Microsoft SQL Server. El "fabricante" es el Servidor SQL que aloje la base de
datos del servidor central. El "suscriptor" es el Servidor SQL que aloje la base de datos de
Nombre de usuario Servidor SQL Notas
ldms_snapshot Fabricante Utilizado porSnapshotAgentde

replica
Idmsjogreader Fabricante Utilizado porLog ReaderAgentde replica
resumen.
ldms_distribution Fabricante y suscriptor La contrasena debe coincidir tanto
para el Fabricante como para el
Suscriptor, en caso contrario el Agente
de distribucion del fabricante no podra
conectarse a la base de datos del
suscriptor.
Paso 2: Crear una carpeta compartida de replica y asignar permisos de usuario de Windows (servidores DBMS del
fabricante)
En el servidor SQL donde se aloje la base de datos del servidor central (fabricante), busque la
carpeta del servidor SQLy, si no existe ya, cree una carpeta denominada ReplData. La ubicacion
predeterminada es:
C:\Program Files\Microsoft SQL Server\MSSQL.X\MSSQL\
Comparta esta nueva carpeta como ReplData y asegurese de que los usuarios siguientes cuentan
con los siguientes permisos tanto en los permisos de Uso compartido avanzado (la pestana Uso
compartido) y la parte de Nombres de grupo y de usuario de la pestana Seguridad.
C:\Program Files\Microsoft SQL Server\MSSQL.X\MSSQL\ReplData
Nombre de la cuenta Permisos
<computer_name>\ldms_snapshot Control total
<computer_name>\ldms_distribution Leer
1134
GUÍA DE USUARIO
Paso 3: Dar permisos de modificacion al usuario de distribucion en el directorio SQL Server COM (servidor DBMS
del suscriptor)
En la base de datos del servidor central de resumen donde se aloja el servidor SQL (suscriptor),
busque la carpeta del servidor SQLylocalice el directorio COM. La ubicacion predeterminada es:
C:\Program Files\Microsoft SQL Server\<latest version>QCOM
Resalte la carpeta COM, haga clic con el boton derecho y seleccione Propiedades. En la pestana
Seguridad, agregue el usuario de distribucion a la seccion Nombres de grupo y de usuario y haga
clic en Modificar para dar al usuario todos los derechos excepto Control total.
C:\Program Files\Microsoft SQL Server\<latest
version>\COM Nombre de la cuenta Permisos

<computer_name>\ldms_distribution Modificar | Leer & Ejecutar | Enumerar el contenido
de la carpeta | Leer | Escribir
Paso 4: Configurar SQL Server Agent para que se inicie automaticamente (Servidores DBMS del fabricante y del
suscriptor)
En el fabricante, el servicio de SQL Server Agent se debe iniciar automaticamente para que la replica
se produzca correctamente. Lleve a cabo lo siguiente:
1. Abra el dialogo de Windows services, haciendo clic en Inicio > Ejecutar e introduciendo
services.msc.
2. Haga doble clic sobre el servicio SQL Server Agent (MSSQLSERVER) y cambie el Tipo de
inicio a Automatico.
3. Haga clic en Iniciar para que se inicie el servicio.
Paso 5: Permita que el puerto del Servidor SQL se comunique a traves del firewall publico (servidores DBMS del
fabricante y del suscriptor)
En el fabricante y en cada suscriptor:
1. Desde el Panel de control de Windows, inicie Windows Firewall. En la parte izquierda, haga
clic
en Configuration avanzada para abrir el cuadro de dialogo Windows firewall con seguridad
avanzada.
2. Haga clic en Reglas de entrada y en la parte derecha, haga clic en Nueva regla.
3. Haga clic en Puerto y en Siguiente
4. Haga clic en TCPy, junto a Puertos locales espetificos, introduzca el numero de puerto TCP
que SQLServer Agent tiene configurado (1433, de manera predeterminada). Haga clic en
Siguiente.
5. Haga clic en Permitir conexion y en Siguiente.

6. En la pagina Perfil, asegurese de que deja seleccionadas las opciones (Dominio,
1135
Privado o Publ ico) necesarios en el entorno, para garantizar que todos los Servidores
SQL se puedan comunicar entre ellos. Haga clic en Siguiente.
7. Asigne un nombre a la regla, para reconocerla, algo en la lfnea "Replica de servidores SQL".
Haga clic en Finalizar.
Paso 6: Ejecute la herramienta de definicion de replica e introduzca las credenciales de la base de datos y la
informacion del fabricante (servidor DBMS del suscriptor)
En el suscriptor, ejecute la utilidad de replica de IVANTI:
C:\Program Files\IVANTI\ManagementSuite\LDGatherData.exe
Utilice esta utilidad para introducir las credenciales de autenticacion de Windows para el servidor de
la base de datos y para las definiciones del fabricante.
IMPORTANT: Si hace clic en Aceptar en la utilidad de replica, se rechazaran todas las tablas de la base de
1136
GUÍA DE USUARIO
datos de resumen para poder crear todos los datos de replica desde los fabricantes. Segun el tamano de la base
de datos, esto puede demorar algun tiempo. Si no ha realizado cambios en la utilidad, haga clic en Cancelar
para salir, de este modo no se llevara a cabo la creacion.
Para introducir las credenciales de autenticacion de Windows en el servidor de la base de datos
1. En la utilidad de definicion de replica de IVANTI, haga clic en Contrasenas de usuario de

replica.
2. Introduzca su nombre de usuario y contrasenas para instantanea, logreadery distribucion.

Para introducir las definiciones del fabricante
1. En la utilidad de definicion de replica de IVANTI, haga clic en Agregar.
1137
2. En el campo Servidor principal, introduzca un nombre descriptivo. Esta campo solo se utiliza
para ayudarle a organizar sus fabricantes.
3. Llene el resto de campos y haga clic en Aceptar. Si la informacion que ha introducido no es
correcta, la utilidad mostrara un mensaje de error.
4. Repita para cada fabricante del servidor principal.
Paso 7: Inicie la replica en SQL Server Management Studio en los fabricantes
En SQL Server Management Studio en los fabricantes:
1. Amplfe Servidor > Replica > Publicaciones locales. Haga clic con el boton derecho sobre
[DB]: IVANTI y escoja Ver el estado de Snapshot Agent.
2. Si aun no ha empezado, haga clic en Iniciar.
3. Verifique que se ha completado correctamente.
4. Haga clic con el boton derecho sobre Replica y escoja Iniciar monitor de replica. Verifique
que se este ejecutando y que no se hayan producido errores.
En estos momentos la replica esta funcionando. Puede verificarlo llevando a cabo una consulta en
la
base de datos de resumen.
Notas
• Por ahora, para poder iniciar la consola de la base de datos de resumen, debera ejecutar
manualmente CreateIVANTIRights.exe (sin parametros) desde un aviso de comando de la
carpeta C:\Programs\IVANTI\ManagementSuite. Esto se ejecuta al final de la configuracion de
replica, pero como la licencia aun no se ha sincronizado, los derechos no estan configurados
correctamente. Esto se tendra en cuenta en el parche para LDMS 9.6.
1138
GUÍA DE USUARIO
• Si va a actualizara un servidor principal quetambien sea un fabricante, la actualizacion dejara

de replicar la base de datos del servidor principal y debera volver a ejecutar
IVANTI.Database.Replication.exe para reiniciar el proceso de replica.
Cambiar el programa de replica

De manera predeterminada, cada 30 segundos el suscriptor extrae los registros de transaccion del
fabricante. En caso necesario, esto se puede modificar. Cada fabricante cuenta con su propio
programa de replica y no son todos iguales.
Para cambiar el programa de replica de un fabricante
1. En el suscriptor, abra SQL Server Management Studio y haga clic en SQL Server Agent >
Trabajos.
2. Haga clic con el boton derecho en el trabajo que desee modificar y haga clic en Propiedades.
3. Abra la pagina Programas, haga doble clic en el programa de replica y lleve a cabo las
modificaciones del programa.
Solucion de problemas
No puedo abrir la consola de LDMS despues de una replica, debido a un error de licencia.
Debe disponer de al menos un servidor principal 9.6 como fabricante. Ese servidor principal debe
estar autorizado.
Solucion de errores de replica de resumen

No modifique directamente los datos de la base de datos de resumen
IVANTI implementa la replica de SQLServer como replica transaccional de direccion unica, del
editor al suscriptor. Si modifica los datos "replicados" el suscriptor, esas modificaciones no se
replicaran en el editor. No solo eso, el editor no conocera las modificaciones. Si desea revertir esos
cambios, debera utilizar el Monitor de replica de SQLServer e invalidar la instantanea del
editoryforzar una instantanea nueva.
Error de replica ProductSnapshot despues de actualizar las versiones Endpoint Manager.

Si ve este mensaje de error:
El proceso no ha podido copiarse masivamente en la tabla ,"dbo"."PRODUCTSnapshot"'
El problema es que la vista ReplProductV del servidor central actualizado no esta sincronizado con
la tabla ProductSnapshot antigua de la base de datos de resumen.
Para solucionar este error, la vista debe coincidir con el esquema. Ejecute sp_help en la vista y la
tabla y asegurese de que las columnas "Nullable" coinciden. Es muy probable que las columnas
que no esten sincronizadas sean la de Version y ProductGUID. Puede modificar la table en la base
de datos de resumen (pero debera modificar tambien las vistas de cada servidor central sin
actualizar):
1139
altere la tabla productsnapshot altere la version de la columna nvarchar9255) a null altere la tabla
productsnapshot altere la la columna productguid nvarchar(255) a not null
O puede modificar la vista del servidor central actualizado. Para modificar la vista, debera detener la
replica de esa vista desde el dialogo de propiedades de la publicacion local.
Error de replica Tamano de campo demasiado grande

Si ve este error en el monitor de replica, el problema es que los esquemas de la vista del servidor
central y de la tabla del servidor de resumen no coinciden. Aunque puede ser que la longitud de las
columnas no coincidan, normalmente es problema del atributo NOT NULL de la columna. Todas las
definiciones de la columna entre Repl<nombre de tabla>V del servidor central y del nombre de la
tabla del servidor de resumen deben coincidir.
Si el error muestra una lista de tablas que termina con Snapshot, esa tabla se utiliza como tabla
temporal en el servidor central. La vista correspondiente del servidor central no contendra la
palabra "Snapshot" (es decir, ProductSnapshot = ReplProductV).
Errores de replica con las tablas ISA e IDE

Problema: Cuando se utiliza una version mas antigua (o actualizada) de la base de datos LDMS, es
posible que se generen errores de replica con las tablas ISA e IDE. El nombre de las columnas de
identidad de las tablas ISA e IDE se modifico en 2011.
Resolution: Cuando se ejecuta la replica, debera eliminar las suscripciones y artfculos de las tablas
ISA e IDE. Altere las vistas yutilice los nombres de columna de identidad antiguos de la clausula
SELECCIONAR. Cree los fndices CLUSTER UNICO para las vistas yvuelva a agregar los artfculos y
los filtros de artfculos. Actualice la suscripcion. Para terminar, puede hacer clic manualmente en
iniciar desde la ventana estado de Snapshot Agent o esperar a que snapshot agent detecte los
cambios. Consulte el Monitor de replica para ver si los datos se han replicado correctamente.
Utilice la cadena de comandos siguiente para solucionar el problema. Asegurese de que utiliza el
nombre del suscriptory la base de datos (<nombre del servidor del suscriptor> y <nombre de la
base de datos del suscriptor>) de los procesos de sp_dropsubscription.
--Elimine la suscripcion y el articulo de la tabla ISA
sp dropsubscription 'LDMS', 'ISACSO', 'Cnombre del servidor del suscriptor>', 'Cnombre de la base de
datos del suscriptor>'
Ir
sp_droparticle @publication = 'LDMS', @article='ISACSO'
Ir
--Altere la vista de la tabla ISA y utilice la columna ISAPorts Idn antigua de la lista seleccionada.
altere la VISTA [dbo].[ReplISAV] (Computer_Idn, ISA_IDN, DeviceNum, Descripcion, Designacion,
Ubicacion, Fabricante, Tipo, COREGUID)
CON SCHEMABINDING COMO
SELECCIONAR isnull((b.Computer_Idn + 2097152), b.Computer_Idn) Computer_Idn, isnull(cast(b.ISAPorts_
IDN como int), cast(0 como int)) ISAPorts IDN, isnull(b.DeviceNum, 0) DeviceNum, b.Descripcion,
b.Designacion, b.Ubicacion, b.Fabricante, b.Tipo, isnull(cast(a.SYSTEMGUID como uniqueidentifier),
cast(cast(0 como binario) como uniqueidentifier)) COREGUID
DESDE dbo.METASYSTEMS a, dbo.ISA b
DONDE a.SYSTEM_IDN = 0
IR
--Recree el lndice de clusteres

cree un lndice de clusteres unico PKReplISAV en ReplISAV (CoreGuid, Computer Idn, ISA Idn)
Ir
1140
GUÍA DE USUARIO
--Vuelva a agregar el articulo y el filtro a la publicacion

sp_addarticle @publication = ’LDMS’, @article=’ISACSO’, @source_obj ect=’ReplISAV’, @destination_
table=’ISA’, @type=’indexed view logbased’, @sync object=’ReplISAV’, @pre creation cmd=’delete’,
@schema_option=0x00, @status=24, @ins_cmd=’CALL sp_LDins_ISA’, @del_cmd=’CALL sp_LDdel_ISA’, @upd
cmd=’MCALL sp_LDupd_ISA’, @fire_triggers_on_snapshot=’FALSE’
Ir
sp_articlefilter @publication = ’LDMS’, @article=’ISACSO’, @filter_name=’CoreGuidISA’, @filter_
clause=’CoreGuid = cast(’’C192290A-8FAC-4ABF-8183-D6B911ACFE73’, como uniqueidentifier)’
Ir --Elimine la suscripcion y el articulo de la tabla IDE
sp dropsubscription ’LDMS’, ’IDECSO’, ’<nombre del servidor del suscriptor>’, ’<nombre de la base de
datos del suscriptor>’
Ir
sp_droparticle @publication = ’LDMS’, @article=’IDECSO’
Ir
--Altere la vista de la tabla IDE y utilice la columna IDEPorts Idn antigua de la lista seleccionada.
ALTERE LA VISTA [dbo].[ReplIDEV] (Computer_Idn, IDE_IDN, DeviceNum, Descripcion, Designacion,
Ubicacion, Fabricante, Tipo, ProdName, COREGUID)
CON SCHEMABINDING COMO
SELECCIONAR isnull((b.Computer_Idn + 2097152), b.Computer_Idn) Computer_Idn, isnull(cast(b.IDEPorts_
IDN como int), cast(0 como int)) IDEPorts IDN, isnull(b.DeviceNum, 0) DeviceNum, b.Descripcion,
b.Designacion, b.Ubicacion, b.Fabricante, b.Tipo, isnull(cast(a.SYSTEMGUID como uniqueidentifier),
cast(cast(0 como binario) como uniqueidentifier)) COREGUID
DESDE dbo.METASYSTEMS a, dbo.IDEb
DONDE a.SYSTEM_IDN = 0
IR
--Recree el lndice de clusteres

cree un indice de clusteres unico PKReplIDEV en ReplIDEV (CoreGuid, Computer Idn, IDE Idn)
Ir
--Vuelva a agregar el articulo y el filtro a la publicacion

sp_addarticle @publication = ’LDMS’, @article=’IDECSO’, @source_obj ect=’ReplIDEV’, @destination_
table=’IDE’, @type=’indexed view logbased’, @sync object=’ReplIDEV’, @pre creation cmd=’delete’,
@schema_option=0x00, @status=24, @ins_cmd=’CALL sp_LDins_IDE’, @del_cmd=’CALL sp_LDdel_IDE’, @upd_
cmd=’MCALL sp_LDupd_IDE’, @fire_triggers_on_snapshot=’FALSE’
Ir
sp_articlefilter @publication = ’LDMS’, @article=’IDECSO’, @filter_name=’CoreGuidIDE’, @filter_
clause=’CoreGuid = cast(’,C192290A-8FAC-4ABF-8183-D6B911ACFE73,, como uniqueidentifier)’
Ir -- Actualice la suscripcion.
sp refreshsubscriptions @publication=’LDMS’ Ir
1141
Preferred servers and content replication

Informacion general sobre Servidores preferidos y
replicacion de contenido
Los servidores preferidos son la forma en que Endpoint Manager reduce el trafico de distribucion de
red a traves de subredes. Una vez configurados correctamente, los servidores preferidos se
incluyen en el orden en el cual los destinos de distribucion buscaran archivos de distribucion:
1. El cache de distribucion local del destino.

2. Pares locales en la misma subred que el objetivo con los archivos de origen en su cache de
distribucion.
3. Si esta configurado, el servidor preferido mas cercano.
4. La fuente de distribucion que se especifica inicialmente en el paquete de distribucion.
La replicacion de contenido proporciona una estructura de administracion para establecer,

sincronizar y actualizar los archivos en los servidores preferidos con los de un servidor de origen.
No tiene que utilizar la replicacion de contenido con sus servidores preferidos, pero al utilizar la
replicacion de contenido los administradores pueden asegurarse facilmente de que los archivos en
los servidores preferidos en su entorno se mantienen actualizados en horarios predefinidos.
La replicacion de contenido requiere se configuren estos elementos:
• Servidor preferido: este es el servidor del cual los objetivos de distribucion intentaran
descargar archivos de origen. La distribucion de software puede tener acceso a los archivos
en los servidores preferidos que no se replicaron, aunque la replicacion de contenido
proporciona la mejor solucion para mantener estos archivos actualizados.
• Origen: este es el servidor que tiene los archivos que se necesitan replicar en los servidores
preferidos. Los administradores deben configurar estructuras de archivos y archivos en el
origen, y a continuacion, utilizar la replicacion de contenido para copiar estas jerarquas en
los servidores preferidos.
• Replicador: Se trata de un dispositivo administrado Windows que copia archivos de un
origen a un servidor preferido. Este dispositivo administrado debe tener una gran cantidad
de espacio en disco para que pueda mantener datos provenientes de todas las fuentes
almacenadas en cache a nivel local. Si un dispositivo administrado que se utilice para
replicar no tiene suficiente espacio en disco, el replicador puede tener que descargar
algunos archivos de la fuente cada vez que haga un trabajo de replicacion.
Los replicadores solo pueden reproducir el contenido de un servidor de origen a un servidor

preferido. Los datos replicados no tienen que ser unicamente datos de distribucion de software,
siempre y cuando no importe que los datos residan en un servidor preferido. Por ejemplo, tambien
puede replicar documentos y hojas de calculo en servidores preferidos ubicados en oficinas
sucursales remotas.
Puede tener tantos servidores preferidos, fuentes y replicadores como desee.
1142
GUÍA DE USUARIO
Servidores preferidos
Configuracion de servidores preferidos
Puede especificar los servidores preferidos donde los dispositivos buscaran los paquetes de
distribucion de software. Esto puede ser crucial en los entornos WAN de baja velocidad donde no
desee que los dispositivos descarguen paquetes de servidores externos. Cuando se especifican
servidores preferidos, tambien se pueden especificar las credenciales que deben utilizar los
dispositivos administrados para autenticarse con cada uno de estos servidores. Tambien se pueden
especificar los intervalos de direcciones IPen los cuales estara disponible algun servidor preferido.
Cuando se utilizan servidores preferidos con una tarea de distribucion, solo se reemplaza la parte
del servidor de la ruta UNC o URL del archivo/paquete; el resto de la ruta debe ser igual a la que se
especifico en la tarea de distribucion. Si el archivo no se encuentra en el servidor preferido, se
descarga de la ubicacion especificada en el paquete de distribucion. La Multidifusion (cache
unicamente) es el unico metodo de distribucion que no es compatible con los servidores preferidos.
Los recursos compartidos de paquetes UNC funcionan con todos los paquetes. Los recursos
compartidos de paquetes HTTP solamente funcionan con paquetes MSI o SWD.
El servidor central utiliza los hash del paquete de distribucion para verificar los paquetes de
distribucion en las tareas programadas. El servidor central primero intentara generar estos hash
desde un servidor preferido, si esta disponible. Si se utiliza un servidor preferido local se acelera el
proceso de creacion de hash. Si el paquete no esta disponible en uno de los servidores preferidos,
el servidor central regresa a la generacion del hash de paquete a partir de la ruta especificada en el
paquete de distribucion. Por lo general, no es recomendable que el servidor central reciba un
paquete grande a traves de un enlace WAN para efectuar el proceso de hash, de modo que repartir
los archivos en un servidor que sea local al central es mas rapido y utilizan menos ancho de banda.
1143
Los dispositivos administrados almacenar la lista del servidor preferido de forma local en el archivo
preferredserver.dat. Para crear este archivo, el dispositivo se comunica con el servidor central y
realiza una lista filtrada de servidores preferidos (basada en los tfmites de rango de la direccion IP si
es que existen). Luego, el dispositivo realiza una comprobacion de ancho de banda en todos los
servidores preferidos y guarda los tres primeros en el archivo preferredserver.dat. Tenga en cuenta
que la comprobacion de ancho de banda no genera resultados confiables garantizados. Por
ejemplo, un servidor que este cerca puede que tenga una carga alta cuando el agente lo revise,
yentonces podfa ser rechazado de la lista aunque normalmente fuera el mejor candidato.
El agente de distribucion actualiza el archivo preferredserver.dat cada 24 horas o cuando cambia la

direccion IP: No todos los dispositivos deben realizareste proceso. Los dispositivos comparten las
listas de servidores preferidos con sus pares. Este es el proceso que realizan los dispositivos
administrados para mantener actualizada la lista de servidores preferidos:
1. Si el archivo preferredserver.dat se ubica en la cache del archivo local, el agente de

distribucion la utiliza.
2. Si preferredserver.dat esta en un par, el agente recupera el archivo desde alif.
3. Si preferredserver.dat no se encuentra disponible de forma local o en par, el dispositivo se
conecta con el servidor central, crea una lista filtrada de servidores preferidos y la guarda de
forma local como preferredserver.dat.
4. Si preferredserver.dat esta vado o si ninguno de los servidores preferidos responde, el
agente busca la lista de servidores preferidos en el registro local.
Si como resultado de estos pasos no se obtiene ningun servidor preferido, el agente local utiliza la
ruta de distribucion especificada en la tarea de distribucion.
Configurar los servidores preferidos

Puede especificar los servidores preferidos donde los dispositivos buscaran los paquetes de
distribucion de software. Esto puede ser crucial en los entornos WAN de baja velocidad donde no
desee que los dispositivos descarguen paquetes de servidores externos. Cuando se especifican
servidores preferidos, tambien se pueden especificar las credenciales que deben utilizar los
dispositivos administrados para autenticarse con cada uno de estos servidores. Tambien se pueden
especificar los intervalos de direcciones IPen los cuales estara disponible algun servidor preferido.
Para configurar servidores preferidos
1. Haga clic en Herramientas > Distribucion > Replication de contenido / Servidores preferidos.
2. En el arbol de Replicacion de contenido, haga clic con el boton derecho en Servidores
preferidos (objetivos) y haga clic en Nuevo servidor preferido.
3. En la pagina Configuracion, introduzca la informacion del servidor y las credenciales de solo
lectura. Haga clic en Probar credenciales para asegurarse de que las credenciales sean
validas.
4. En la pagina de intervalos de direcciones IP, inintroduzca grese los intervalos de direcciones
IP que desea que este servidor preferido permita.
5. En las paginas Replicador seleccionado, seleccione el replicador, las opciones de ejecucion
1144
GUÍA DE USUARIO
y el programa. Para obtener mas informacion, haga clic en Ayuda en cualquier pagina.
6. En la pagina Fuentes, seleccione las rutas de acceso de origen a replicar.

7. En la pagina Escribircredenciales, escriba las credenciales que debe utilizar el replicador
para escribir los archivos replicados en el servidor preferido de destino. Haga clic en Probar
credenciales para asegurarse de que las credenciales sean validas.
Almacenamiento de servidores de paquetes preferidos en el registro
Si desea configurar una lista en retroceso de servidores preferidos que se utilizara si no hay
servidores en el archivo preferredserver.dat, puede crear la siguiente clave de registro en los
dispositivos administrados y establecer el valor en el nombre del servidor del paquete preferido.
Para especificar varios servidores de paquetes, separelos con un puntoycoma.
. HKEY_LOCAL_
MACHINE\Software\IVANTI\ManagementSuite\WinClient\SoftwareDistribution\PreferredPa
ckageServer
A continuacion se muestra una entrada de registro de ejemplo:
. [HKEY_LOCAL_
MACHINE\SOFTWARE\IVANTI\ManagementSuite\WinClient\SoftwareDistribution]
"PreferredPackageServer "="Server1;Server2;Server3"
Personalizacion de la cantidad de servidores almacenados en preferredserver.dat

De forma predeterminada, el archivo preferredserver.dat contienetres servidores cuyos resultados
dieron el ancho de banda mas alto durante la comprobacion de ancho de banda, en orden. Puede
cambiar la cantidad de servidores almacenados en preferredserver.dat. Para ello actualice esta lmea
en el archivo ntstacfg.in# de la carpeta ldlogon del servidor central. Los valores validos oscilan
entre 0 y 7. Una vez que haya actualizado este archivo, los cambios forman parte de las
configuraciones de agente nuevas o actualizadas. Debe volver a implementar la configuracion de
agente en los dispositivos para que los cambios surtan efecto.
; Configuracion para los archivos lddwnld/ldredirect, el DynamicPreferredServers es el ; numero

maximo de servidores preferidos que se almacenaran. Coloquelo en 0 para desactivar ; la funcion del
servidor dinamico preferido.
REG51=HKEY_LOCAL_MACHINE,
SOFTWARE\IVANTI\ManagementSuite\WinClient\SoftwareDistribution\DynamicPreferredServers, 3, , REG_
DWORD
Personalizacion del orden de servidores preferidos
Para evitar retrasos cuando los servidores mas preferidos no tienen un paquete, la logica de
redireccion comenzara a preferir servidores que realmente le hayan estado proporcionando
archivos al dispositivo. Puede cambiar el orden de servidores almacenados en preferredserver.dat.
Para ello actualice estas lfneas en el archivo ntstacfg.in# de la carpeta ldlogon del servidor central:
; Para evitar retrasos cuando los servidores mas preferidos no tengan un paquete ; la logica de
redireccion comenzara a preferir servidores que realmente; le hayan estado proporcionando archivos al
cliente. Las siguientes opciones de registro controlan cuando un ; servidor asciende en la lista. El
1145
valor de ServerHistoryUseCount indica la cantidad ; de veces que se debe utilizar un servidor antes
de moverlo al principio de la lista,
; el valor de ServerHistoryCacheTime indica por cuanto tiempo debe recordarse (en segundos).
SOFTWARE\IVANTI\ManagementSuite\WinClient\SoftwareDistribution\ServerHistoryUseCount, 3, , REG_ DWORD
SOFTWARE\IVANTI\ManagementSuite\WinClient\SoftwareDistribution\ServerHistoryCacheTime, 3600, , REG_
DWORD
Autenticacion de UNC
Cuando se agregan servidores preferidos (Herramientas > Distribution > Replication de contenido /
Servidores preferidos), tambien se deben proporcionar las credenciales que los dispositivos deben
utilizar cuando se tenga acceso al servidor preferido. Por razones de seguridad, asegurese de que
estas credenciales se dividan entre solo lectura y acceso de escritura (para obtener mas
informacion, consulte "Acerca del cuadro de dialogo Propiedades de servidores preferidos" (1137)
Los dispositivos administrados obtienen estas credenciales de solo lectura del servidor central y las
utilizan para autenticarse con el servidor preferido cuando se descarga un archivo.
Cuando se utilizan servidores preferidos que se agregan al cuadro de dialogo Credenciales del
servidor, ya no hace falta configurar los recursos compartidos de los paquetes para que sean de
sesion nula, como haba que hacerlo con las versiones anteriores. Siemprey cuando las credenciales
que proporcione para el servidor preferido funcionen con el recurso compartido del paquete (Haga
clic en Probar credenciales en el cuadro de dialogo Configuration), los dispositivos administrados
deben podertener acceso al recurso compartido.
Fuentes y duplicacion
Configurar fuentes y duplicacion
Un servidor de origen aloja los archivos que se necesitan replicar en un servidor preferido. Puede
tener tantos servidores como desee. Tendra que proporcionar credenciales de solo lectura al
servidor de origen. En el servidor de origen, desactive la autenticacion anonima para asegurar que
las credenciales de solo lectura funcionen con la autenticacion estandar de Windows.
Cuando se replican archivos desde los servidores de origen, hay dos opciones para manejar los
archivos existentes en recurso compartido de destino del servidor preferido:
1. Dejar quietos los archivos existentes del recurso compartidoy simplemente copiar los
archivos nuevos o que cambiaron.
2. Habilitar la duplicacion para copiar los archivos nuevos o que cambiaron y luego eliminar
del recurso compartido del servidor preferido los archivos existentes que no se
encuentren en el servidor de origen.
Tenga cuidado si selecciona habilitar la duplicacion. Se eliminaran los archivos que no esten en el
servidor de origen de ese recurso compartido. Asegurese de mover todos los archivos importantes
que solo existen en recurso compartido de servidor preferido antes de habilitar la duplicacion.
Ademas, si activa la duplicacion, asegurese de que solo haya una fuente de datos para replicar el
1146
GUÍA DE USUARIO
recurso compartido duplicado. Si se replican fuentes multiples en un recurso compartido duplicado,

estas fuentes entraran en conflicto porque la replica duplicada eliminara los datos que no sean parte
del duplicado.
Para habilitar la creacion de duplicados de alguna fuente
1. Haga clic en Herramientas > Distribution > Replication de contenido / Servidores preferidos.
2. En el arbol de Fuentes, haga clic con el boton derecho en la fuente que desee duplicary
3. En la pagina Duplicacion, seleccione Habilitar Duplicacion.

Uso de un representante de origen
Un representante de origen es un dispositivo administrado de Windows que indexa los archivos en

el servidor de origen. Los representantes de origen son una parte opcional de la replicacion del
contenido. Si el servidor de origen tiene miles de archivos, puede tomarle mucho tiempo a un
replicador para indexar los archivos, especialmente si ese replicador no tiene una conexion de baja
latencia al origen. En este caso, la designacion de un dispositivo administrado de Windows cerca
del servidor de origen o en el para que sea el representante de origen puede acelerar las replicas, ya
que el replicador puede obtener rapidamente el fndice de archivo del representante de origen.
Cualquier dispositivo administrado que tenga Windows puede ser un representante de origen. No es
necesario un equipo o un servidor dedicado. Para que sea eficaz, debe tener una conexion de baja
latencia y de alta velocidad con el servidor de origen. Si el servidor de origen es un dispositivo
administrado de Windows (y no un dispositivo SAN o Linux, por ejemplo), el representante de origen
puede estar en el servidor de origen.
El representante de origen utiliza las credenciales del servidor de origen que se especifiquen para
generar un archivo XML que contenga informacion sobre todos los archivos en el recurso
compartido de origen. Este archivo se genera a peticion, pero no mas de una vez por hora. No tiene
que asignar manualmente una unidad al servidor de origen, ni crear ninguna conexion de red al
servidor de origen. Esto sera manejado automaticamente por los agentes de administracion.
Cuando se inicia un trabajo de replicacion que utilice un representante de origen, el replicador se
utilizara el archivo XML proveniente del representante de origen para decidir que archivos se deben
replicar. La participacion del representante de origen en el trabajo de replicacion finaliza una vez
que pase el archivo XML al replicador.
Asignar un representante de origen
Un representante de origen es un dispositivo administrado de Windows que indexa los archivos en

el servidor de origen. Los representantes de origen son una parte opcional de la replicacion del
contenido. Si el servidor de origen tiene miles de archivos, puede tomarle mucho tiempo a un
replicador para indexar los archivos, especialmente si ese replicador no tiene una conexion de baja
latencia al origen. En este caso, la designacion de un dispositivo administrado de Windows cerca
del servidor de origen o en el para que sea el representante de origen puede acelerar las replicas, ya
1147
que el replicador puede obtener rapidamente el fndice de archivo del representante de origen.
Cualquier dispositivo administrado que tenga Windows puede ser un representante de origen. No es
necesario un equipo o un servidor dedicado. Para que sea eficaz, debe tener una conexion de baja
latencia y de alta velocidad con el servidor de origen. Si el servidor de origen es un dispositivo
administrado de Windows (y no un dispositivo SAN o Linux, por ejemplo), el representante de origen
puede estar en el servidor de origen.
Para asignar un representante de origen
1. Haga clic en Herramientas > Distribution > Replicacion de contenido / Servidores

preferidos.
2. En el arbol de Fuentes, haga clic con el boton derecho en la fuente para la cual desea el
representante y haga clicen Propiedades.
3. En la pagina representante de origen, seleccione el dispositivo que desea ser un
representante de fuentes y haga clic en el boton Seleccionar. Para asegurarse de que tiene el
dispositivo correcto, puede verificar los atributos del dispositivo en la parte inferior de la
pagina o hacer clic en Inventario para ver el inventario del dispositivo.
Replicadores
Asignar un replicador
Un replicador es un dispositivo administrado de Windows que copia archivos de un servidor de

origen a un servidor preferido. Este replicador debe tener una cantidad importante de espacio en
disco para guardar los datos de todas las fuentes de distribucion que se guardan a nivel local en la
memoria cache de distribucion de software. Si no hay suficiente espacio en disco, el replicador
podna tener que descargar algunos archivos de la fuente cada vez que haga un trabajo de
replicacion. Cada replicador puede replicar multiples fuentes a multiples servidores preferidos.
1148
GUÍA DE USUARIO
Para asignar un replicador
1. Haga clic en Herramientas > Distribucion > Replicacion de contenido / Servidores preferidos.
2. Haga clic con el boton derecho en la tarea y haga clic en Propiedades.

3. En la pagina Identification, seleccione el dispositivo que desee que sea un replicador y haga
clic en el boton Seleccionar. Para asegurarse de que tiene el dispositivo correcto, puede
verificar los atributos del dispositivo en la parte inferior de la pagina o hacer clic en Inventario
para ver el inventario del dispositivo.

5. En el arbol de Replicadores, haga clic con el boton derecho en el nuevo replicador y haga clic
en Aplicar la configuration ahora.
Tambien puede designar rapidamente un replicador arrastrando un dispositivo desde el arbol de

Vista de red hasta el arbol de Replicadores de la ventana de replica de contenido.
NOTE: Asegurese de que el nombre del recurso compartido del servidor de origen y el servidor preferido sean
los mismos. Por ejemplo, si el nombre del recurso compartido en el servidor de origen es shareddata, el nombre
de la carpeta de destino en el servidor preferido tambien debe ser shareddata. Los replicadores crearan las
carpetas necesarias con el mismo nombre del recurso compartido, pero no pueden crear el recurso compartido.
La razon por la cual esto es necesario es que cuando los dispositivos administrados utilizan un servidor preferido
para descargar los archivos de paquetes, solo se sustituye el nombre del servidor en la ruta completa del
paquete. El resto de la ruta, empezando por el nombre del recurso compartido, sigue siendo exactamente igual
al del paquete de distribucion original.
Programar replicas
La replicacion no se efectuara hasta que no se configure una tarea de replicacion. Las tareas de
replica son diferentes a las tareas de distribucion de software. Solo se pueden programar tareas de
replica en el panel de Replica de contenido.
Se puede programar una tarea de replicacion a peticion o programar una tarea de replicacion
repetitiva. Solo las tareas de replica de una sola vez son buenas para efectuar las pruebas y la
configuracion inicial de los servidores de replicacion.
Una vez que haya una configuracion de replica funcionando, se recomienda que se utilicen las
tareas de replica repetitivas configuradas a partir de las propiedades del servidor preferido o del
replicador de propiedades para automatizar la replicacion. A continuacion, puede ver los nodos de
arbol de tareas del panel de Contenido de replicacion para ver los horarios, el progreso y el estado
de replicacion.
NOTE: Puede programar la replicacion en un servidor preferido o en un menu de acceso directo al

O
1149
IVANTI ENDPOINT
replicador.MANAGER
Para iniciar una tarea de replicacion de contenido inmediatamente
2. Haga clic en el arbol de Replicadores, haga clic con el boton derecho en el replicador que
desee programar y haga clic en Iniciar la replicacion de contenido ahora.
3. Supervisar el estado de replicacion en el cuadro de dialogo de estado que aparece.
Para programar una tarea de replicacion de contenido
desee programary haga clicen Programar replicacion de contenido.
3. Aparecera una nueva tarea programada en el panel de tareas programadas.
4. Configure la nueva tarea programada haciendo clic con el boton derecho en esta y haciendo
clic en Propiedades.
5. La tarea se ejecutara en el momento que se especifico.
Para programar una tarea de replicacion repetitiva
desee programary haga clicen Propiedades del replicador.
3. En el arbol, haga clic en Configuracion y luego haga clic en Programar.
4. En la barra de herramientas, haga clic en .
5. Configure el programa que desee. Para obtener mas informacion, consulte "Acerca de la
pagina Programa del replicador seleccionado" (1141).
6. Haga clic en Guardar para salir de los cuadros de dialogo.
Para eliminar una tarea de replicacion repetitiva
2. Haga clic en el arbol de Replicadores, haga clic con el boton derecho en el replicador desee
programary haga clicen Propiedades.
3. En el arbol, haga clic en Configuracion y luego haga clic en Programar.
4. Seleccione el programa que desea eliminary haga clic en la barra de herramientas X.
1150
GUÍA DE USUARIO
Actualizar la configuracion de replicas

Los replicadores revisan en busca de nuevas configuraciones cada vez que se ejecutan. Si se
cambia la configuracion de un replicador, pero se mantiene el mismo programa, el replicador
obtendra los valores actualizados de forma automatica la siguiente vez que se ejecute. Sin embargo,
si se cambia la programacion de replicacion, el replicador no recibira los cambios hasta que ocurra
tiempo de ejecucion previsto originalmente.
Por ejemplo, si un replicador estaba programado originalmente para ejecutarse una vez al mes y
luego se cambia el horario a una vez por semana, el cambio de horario podna tomar un mes
completo para actualizarse.
Cuando se cambien los horarios de replicacion, se debe programar seguidamente una tarea de
aplicacion para actualizar la configuracion de los replicadores con su nueva programacion y
configuracion.
Para actualizar la configuracion de replicacion inmediatamente
1. Haga clic en Herramientas > Distribution > Replicacion de contenido / Servidores

preferidos.
2. En el arbol, haga clic con el boton derecho en el servidor preferido, la fuente o el replicador
que desee actualizar y haga clic en Aplicar la configuracion ahora.
Supervisarel progreso de la replicacion

Puede monitorear el progreso de las tareas de replicacion, su estado e historia en la vista de arbol
del panel Replicacion de contenido. La vista de arbol tiene los siguientes nodos:
• Todas las tareas: un resumen detodas las tareas de replicacion en ejecucion, en espera, ysin
programar.
• Tareas en ejecucion: Activar las tareas de replicacion.
• Tareas pendientes: Tareas de replicacion que estan programadas para ejecutarse.
• No programadas: Tareas de replicacion que no estan programadas para ejecutarse en
el futuro.
• Historial de tareas: tareas de replicacion que se han ejecutado.
Las vistas de tareas solo muestran el estado de las tareas mas recientes. No se mostrara un
historial de tarea completo porque, en muchos entornos, la replicacion puede ocurrir con tanta
frecuencia que un registro completo sena inmanejable.
Ayuda de la replica de archivos

Acerca del cuadro de dialogo Propiedades de servidores preferidos
Utilice el cuadro de dialogo Propiedades de los servidores preferidos para configurar los servidores
preferidos. Para obtener mas informacion, consulte "Informacion general sobre Servidores
preferidos y replicacion de contenido" (1128)
Para abrir el cuadro de dialogo Propiedades de servidores preferidos
1151
1. Haga clic en Herramientas > Distribution > Replication de contenido / Servidores preferidos.
2. En el arbol de Replicacion de contenido, haga clic con el boton derecho en Servidores

preferidos (objetivos) y haga clic en Nuevo servidor preferido. Tambien puede hacer clic en
un servidor preferido existentes y hacer clic en Propiedades.
Acerca de la pagina Configuracion
Utilice la pagina Configuracion para especificar el nombre del servidor preferido y las credenciales
de solo lectura. Los dispositivos administrados utilizaran esta informacion para conectarse con el
servidor preferido.
• Nombre del servidor: el nombre de equipo del servidor preferido que se puede resolver.
• Description: la descripcion del servidor. Esto aparece en la columna de Detalles del arbol
Replicador.
• Nombre de usuario: el nombre de usuario de solo lectura para tener acceso al servidor.
• Contrasena: contrasena del nombre de usuario que se introdujo.
• Confirmar contrasena: introducir de nuevo la contrasena del nombre de usuario que se
introdujo.
• Probar credenciales: prueba las credenciales para ver si son validas en el servidor.
Acerca de la pagina de Intervalos de direcciones IP
Utilice la pagina Intervalos de direcciones IP para introducir el inicioy final de un intervalo de

direcciones IP. Solo los dispositivos dentro de este intervalo pueden intentar descargas de este
servidor. Puede introducir multiples rangos de direcciones IP.
• Direction IP inicial: el intervalo inicial de direcciones IP.

• Direccion IP final: el intervalo final de direcciones IP.
• Agregar: agrega el intervalo de direcciones IP valido a la lista.
• Eliminar: elimina el intervalo de direcciones IP seleccionado.
Acerca de la pagina Replicador seleccionado
Utilice la pagina del replicador seleccionado para seleccionar el dispositivo administrado de

Windows que desee que sea el replicador. Un replicador es responsable de copiar datos del servidor
de origen al servidor de destino preferido.
• Seleccione: Resalte el dispositivo que desee que sea un replicador y haga clic en Seleccionar
para designarlo como el replicador.
• Inventario: luego de seleccionar el replicador, puede hacer clic en este boton para ver el
inventario de dispositivos yverificar que era el dispositivo que deseaba.
• Borrar: cancela la seleccion del dispositivo como replicador.

Acerca de la pagina Credenciales de escritura
Utilice la pagina Credenciales de escritura para especificar las credenciales de escritura del servidor
preferido. El replicador utilizara estas credenciales para conectarse con el servidor preferido de
manera que algun replicador pueda replicar archivos nuevos o modificados en un servidor
1152
GUÍA DE USUARIO
preferido.
• Nombre de usuario: el nombre de usuario que tiene permisos de escritura para tener acceso
al servidor.
• Contrasena: contrasena del nombre de usuario que se introdujo.
• Confirmar contrasena: introducir de nuevo la contrasena del nombre de usuario que se
introdujo.
• Probar credenciales: prueba las credenciales para ver si son validas en el servidor.
Acerca de la pagina Fuentes
Utilice la pagina Fuentes para configurar las rutas de origen que se desean copiar en los servidores
preferidos.
• Lista de rutas de fuentes: muestra las fuentes que se han configurado. Seleccione una fuente
de la lista.
• Incluir: agrega la fuente seleccionada a la lista Rutas de fuentes incluidas. Una vez que una
fuente esta en la lista de Rutas de fuentes incluidas, su contenido se replicara en el servidor
preferido que se esta configurando cuando se ejecute el trabajo de replicacion.
• Nuevo: Abre un nuevo cuadro de dialogo de propiedades de fuente para que pueda
configurar una nueva fuente si la fuente que desea no se ha configurado todavfa.
• Excluir: agrega la fuente seleccionada a la lista Rutas de fuentes incluidas.
• Lista de Rutas de fuentes incluidas: muestra las fuentes cuyo contenido se replicara en el
servidor preferido que se esta configurando.
Acerca del cuadro de dialogo Propiedades del replicador

Utilice el cuadro de dialogo Propiedades del replicador para configurar un replicador.
Acerca de la pagina Identificacion

Utilice la pagina de identificacion para seleccionar el dispositivo administrado de Windows que
desea que sea el replicador. Un replicador es responsable de copiar datos del servidor de origen
al servidor de destino preferido.
• Seleccione: Resalte el dispositivo que desee que sea un replicador y haga clic en Seleccionar
para designarlo como el replicador.
• Inventario: luego de seleccionar el replicador, puede hacer clic en este boton para ver el
inventario de dispositivos y verificar que era el dispositivo que deseaba.
• Borrar: cancela la seleccion del dispositivo como replicador.
Acerca de la pagina Servidores de preferidos (Destinos)
. Lista de servidores preferidos: Muestra todos los servidores preferidos que se han
configurado. Mover servidores de esta lista a la lista de servidores incluidos.
• Incluir: Mueve el servidor preferido seleccionado de la lista de Servidores preferidos a la lista

de Servidores incluidos.
• Excluir: Mueve el servidor preferido seleccionado de la lista de Servidores incluidos a la lista
1153
de
Servidores preferidos.
• Lista de Servidores incluidos: los servidores preferidos de esta lista seran los destinos del
replicador que se esta configurando.
Acerca de la pagina Configurar replicador seleccionado
Utilice las paginas Configurar replicador seleccionado para configurar las opciones y el horario de
ejecucion del replicador.
Acerca de la pagina Configuracion
Use la pagina Configuracion para ver el numero de revision de la configuracion del replicador y el
numero de revision que reporto el replicador la ultima vez.
• Revision actual de configuracion: muestra el numero de la reversion actual. Cada vez que se
cambia y guarda la configuracion del replicador, la revision actual de configuracion se
incrementa en uno.
• La ultima revision aplicada por el replicador: Cada vez que el replicador se ejecuta, revisa
en busca de configuraciones actualizadas y luego reporta el numero de revision de
configuracion que utilizo.
• Ultima ejecucion: muestra la fecha y hora mas recientes en las cuales se ejecuto el
replicador.
Acerca de la pagina Opciones de ejecucion del replicador seleccionado
Utilice la pagina Opciones de ejecucion del replicador seleccionado para configurar las opciones de
ejecucion, tales como ancho de banda y configuracion de la interfaz de usuario
• Configuracion de ancho de banda de WAN: ajusta la prioridad de esta tarea espedfica sobre
el resto de trafico de red. Entre mayor sea el porcentaje que se ponga en el control
deslizante, mayor sera la cantidad de amplitud de banda usada por esta tarea sobre el resto
de trafico. Las conexiones de WAN son por lo general mas lentas, por lo cual casi siempre es
mejor poner este control deslizante en un porcentaje bajo.
• Configuracion de ancho de banda de LAN: ajusta la prioridad de esta tarea espedfica sobre el
resto de trafico de red. Entre mayor sea el porcentaje que se ponga en el control deslizante,
mayor sera la cantidad de amplitud de banda usada por esta tarea sobre el resto de trafico.
Las conexiones de LAN son por lo general mas rapidas, por lo cual casi siempre es mejor
poner este control deslizante en un porcentaje mas alto que el de WAN.
• Mostrar dialogo de progreso: muestra un cuadro de dialogo de progreso en el replicador.

Cuando esta desactivado, el trabajo se efectua en segundo plano sin notificaciones o
indicadores de estado.
• Permitir descarga de pares: Cuando se activa, el replicador buscara primero en los pares
locales los archivos de origen que se estan replicando. Si el replicador no puede encontrar el
archivo en ningun par, obtendra el archivo del servidor de origen. Esta opcion puede reducir
el volumen de trafico del servidor de origen.
• Limitar el numero de dâs que los archivos se mantienen en la memoria cache: Los archivos
1154
GUÍA DE USUARIO
replicados permanecera en la memoria cache local de distribucion del replicador. Al

mantener los archivos en cache, el replicador no tiene que transferir archivos desde el
servidor de origen en cada trabajo de replicacion. Si por alguna razon desea forzar al
replicador para que actualice periodicamente los archivos almacenados en cache, marque
esta opcion e introduzca el numero de dfas.
En general, es seguro dejar esta opcion desactivada, ya que los archivos que cambien en la
fuente se actualizaran automaticamente en la memoria cache local la proxima vez que la tarea
de replicacion se ejecute.
• Configuracion de ancho de banda de WAN: Marque esta opcion si desea utilizar su
configuracion de ancho de banda WAN cuando se envfen archivos a los destinos.
• Configuracion de ancho de banda de LAN: Marque esta opcion si desea utilizar su
configuracion de ancho de banda LAN cuando se envfen archivos a los destinos.
Acerca de la pagina Programa del replicador seleccionado
Utilice la pagina Programa del replicador seleccionado para programar cuando se ejecutara un
replicador. Al hacer clic en el boton anadir, aparece el cuadro de dialogo de replicacion de
contenido. Los horarios configurados aparecen en el cuadro de la lista de programas. Puede
modificar o eliminar un programa seleccionandolo y haciendo clic en el boton correspondiente.
Acerca del cuadro de dialogo Programar replicacion de contenido
• Hora:
dfa de inicio de la tarea. Despues de elegir un dfa, tambien puede introducir un
• Repetir despues de: si desea que la tarea se reitere, haga clic en el cuadro de lista y
seleccione minutos, horas o dâs. Despues, introduzca en el primer cuadro la
extension deseada del intervalo que selecciono (por ejemplo, 10 dfas).
1155
• Duracion maxima:
• Ejecutar hasta que la replicacion termine: Cuando se selecciona, la tarea de
replicacion se ejecuta hasta que finalice.
• Finalizar despues de: Cuando se selecciona, la replicacion se detiene despues de la

cantidad de tiempo que se especifique. El trabajo se reanudara desde donde quedo en
la proxima replicacion programada. Esta opcion puede ser util cuando este replicando
a traves de un vmculo lento durante la noche y no desea que el trafico de replicacion
interfiera con el trafico de red durante el dfa.
• Seleccione los servidores preferidos a actualizar:

• Actualizar todos los servidores preferidos asociados: La replicacion se efectuara en
todos los servidores preferidos asociados con este replicador.
• Actualizar solo los siguientes servidores preferidos: La replicacion solo sucedera en

los servidores preferidos que se seleccionen. Utilice esta opcion si desea programar
la replicacion a diferentes horas para diferentes servidores preferidos.
Acerca del cuadro de dialogo Programar tarea de replicacion de contenido
Utilice el cuadro de dialogo Programar tarea de replicacion de contenido para programar una tarea
de replicacion de una sola vez. Despues de crear una tarea programada con este dialogo, es
necesario establecer una hora para que se ejecute en la herramienta Tareas programadas.
• Nombre de la tarea: el nombre de esta tarea que aparecera en la herramienta Tareas

programadas.
• Crear una tarea programada: crea una tarea programada.

• Crear una polftica: crea una polftica.
• Agregar los replicadores seleccionados (o implicitos) a la lista de destino: Si ha
seleccionado un replicador o un servidor preferido, esta opcion estara disponible. Esta
opcion agregara entonces, como destinos de tarea, los replicadores seleccionados y
cualquier replicador adicional al cual haga referencia la configuracion del servidor preferido
asociados.
• Replicar solo a los servidores preferidos seleccionados: Si ha seleccionado un replicador,

esta opcion estara disponible. Esta opcion crea una tarea que solo se refiere a los
replicadores que ha seleccionado.
Acerca de la tarea Programar "aplicar la configuracion"
Utilice la tarea Programar "aplicar la configuracion" para actualizar un replicador con la nueva
configuracion. A este cuadro de dialogo se tiene acceso desde el panel Replica de contenido de la
barra de herramientas. Los replicadores buscan automaticamente las configuraciones actualizadas
antes de ejecutarse. Una tarea de aplicar configuracion es util despues de haber asignado un equipo
para que sea un nuevo replicador. Al programar esta tarea se instalara el software replicador en el
equipo.
• Nombre de la tarea: el nombre de esta tarea que aparecera en la herramienta Tareas

programadas.
1156
GUÍA DE USUARIO
• Crear una tarea programada: crea una tarea programada.

• Crear una politica: crea una poiftica.
. No agregar ningun replicador a esta tarea: deja la lista de objetivos en blanco para que usted
pueda agregar sus propios destinos de replicador en la herramienta Tareas programadas.
• Agregar todos los replicadores caducados: agrega todos los replicadores que tengan una
version de configuracion que no coincide con la ultima.
• Agregar solamente replicadores que no se han ejecutado (replicadores de nuevo): Agrega
replicadores designados recientemente sobre los cuales no hay informes o que no se han
ejecutado. Esto configura los nuevos replicadores con la ultima configuracion.
1157
Cloud Services Appliance

Configuracion de IVANTI Cloud Services (Management
Gateway)
IVANTI Cloud Services (CSA), anteriormente conocida como Management Gateway, es una
aplicacion de Internet que ofrece comunicacion y servicios seguros a traves de Internet. Funciona
como punto de reunion en el cual la consola y los dispositivos administrados se comunican a traves
de conexiones Internet, aunque se encuentren detras de servidores de seguridad o utilicen un proxy
para acceder a Internet.
• "Configuracion del servidor central para utilizar Cloud Services Appliance" (1144)
• "Administracion de certificados de cliente" (1145)
• "Creacion de un paquete de agente de control remoto a peticion" (1146)
Uso de varias aplicaciones Cloud Services Appliance

Se pueden instalar varias CSA. Puede hacerse, por ejemplo, para equilibrar las cargas de trabajo
CSA. Cuando se configura el servidor central para utilizar varias CSA, los dispositivos
administrados pueden utilizar cualquiera de ellas para conectarse con el servidor. El uso que los
dispositivos administrados hacen de la CSA depende de la CSA especificada en la configuracion de
agente de los dispositivos. No hay equilibrio de carga automatico ni conmutacion por error. Si desea
equilibrar las cargas, cree una configuracion de agente personalizada para cada CSAydesplieguelas
de forma selectiva.
Configuracion del servidor central para utilizar Cloud Services Appliance

Cloud Services Appliance (CSA) se adquiere de forma separada como dispositivo independiente.
Como ISO instalable, se puede utilizar con el hardware o como imagen de una maquina virtual
VMWare. Cuando CSA esta instalada, es necesario configurar el servidor central para que la utilice.
La opcion Configurar > Administrar Cloud Services Appliance solo esta disponible en la consola de
administracion del servidor central. Las otras consolas no tienen esta opcion. Solo los usuarios con
derechos de administrador de IVANTI pueden modificar las configuraciones de CSA.
Para conectar Cloud Services Appliance al servidor central
1. En la consola de administracion del servidor central, haga clic en Configurar > Administrar
Cloud Services Appliances.
2. En la pestana Cloud Services Appliances, especifique la informacion de la CSA.
3. Si la CSA utiliza una direccion interna distinta a la publica (por ejemplo, si se encuentra en un
entorno de tipo DMZ), especifique el nombre interno y la direccion IP interna de la CSA.
4. Si el servidor central se va a conectar a CSA a traves de un proxy, seleccione la opcion
Utilizar
proxy yespecifique los ajustes.
1158
GUÍA DE USUARIO
5. Haga clic en Aplicar. Si los ajustes de la CSA son correctos, la nueva CSA aparece en la lista.
Tambien se puede seleccionar cualquier CSA de la lista ycambiar sus ajustes situados en el lado
derecho. Haga clic en Aplicar cuando haya terminado de hacer los cambios. A continuacion, el
servidor central se conecta a la CSAy se registra con ella instalando su certificado de seguridad en
la CSA.
Administracion de certificados de cliente
Cada dispositivo administrado debe tener un certificado digital valido para conectarse a traves de
CSA. Si el servidor central tiene habilitada la seguridad basada en los certificados de cliente, los
agentes de IVANTI de los dispositivos administrados tambien deberan ser certificados validos para
descifrar los datos seguros del servidor central. Estos certificados se generan automaticamente
durante la instalacion del agente pero, de manera predeterminada, quedan en un estado no
aprobado que previene la comunicacion a traves del CSAy el descifrado de datos seguros del
servidor central.
Puede administrar la lista de dispositivos que se han obtenido certificados bloqueando o eliminando
esos certificados de dispositivos. Utilice el cuadro de busqueda para filtrar la lista.
Apruebe los certificados del dispositivo para permitirel acceso al CSAyasegurarel descifrado de los
datos del servidor central. El servidor central, por defecto, le notifica cuando el numero de
certificados no aprobados es 10 o mas. Puede personalizar o deshabilitar esta notificacion en la
parte inferior del cuadro de dialogo.
Bloquee un certificado de dispositivo para que deje de utilizar CSA temporalmente para
comunicarse con el servidor central o para descifrar los datos seguros del servidor central. Si desea
restaurar el acceso, puede desbloquearlo mas tarde.
Si elimina el certificado de un dispositivo, se eliminara de la lista. El certificado permanecera en el

dispositivo. Si ese dispositivo intenta volver a conectarse mas tarde o ejecuta un rastreo de
seguridad (que activa un intento de reconexion), volvera a aparecer en la lista.
Los dispositivos bloqueados o eliminados pueden seguir comunicandose con el servidor central si
estan en la misma red que el servidor central y si el ajuste de la opcion Determinar dinamicamente la
ruta de conexion esta seleccionada en la herramienta Configuracion de agentes, bajo Ajustes de la
conectividad del cliente.
Tambien existe la opcion de Aprobar automaticamente los certificados nuevos. Esta opcion no es
recomendable porque proporciona acceso al servidor central a todos los dispositivos nuevos. No
obstante, es posible que los administradores quieran habilitar esta opcion en algunas instancias
durante un periodo corto, como cuando se registran muchos dispositivos.
Para aprobar, bloquear o eliminar certificados de dispositivos
1. En la consola de administracion del servidor central, haga clic en Configurar > Administrar
Cloud Services Appliances.
2. En la pestana Administrar certificados de cliente, seleccione los dispositivos que desee
aprobar, bloquear o eliminar. Utilice Mayus+clic o Ctrl+clic para seleccionar varios
1159
dispositivos.
3. Haga clic en Aprobar seleccionados para aprobar los certificados de dispositivos

seleccionados.
4. Haga clic en Bloquear seleccionados para bloquear los certificados de dispositivos

seleccionados.
5. Haga clic en Eliminar seleccionados para eliminar los certificados de dispositivos

seleccionados.
6. Cuando haya finalizado, haga clic en Aplicar.
Creadon de un paquete de agente de control remote a peticion
Puede crear un paquete ejecutable de agente de control remoto a peticion para que lo descarguen
los dispositivos que no se han configurado para conectarse a traves de CSA. Esto permite que se
puedan controlar de forma remota a traves de CSA.
El agente descargable de control remoto consta de dos partes:
• La CSA que se desea utilizar.

• El archivo de configuracion de control remoto que especifica que funciones de control
remoto se permiten.
Cuando cree un paquete de control remoto, asegurese de seleccionar Plantilla local o Seguridad de
Windows NT en Configuracion de seguridad. CSA no es compatible con la seguridad integrada.
Para crear un agente de control remoto a peticion
1. Haga clic en Configurar > Administrar Cloud Services Appliances.

2. En la pestana Agente de control remoto, seleccione la CSA y el perfil de ajustes de control
remoto que se van a utilizar.
3. Haga clic en Crear.

4. Especifique la ubicacion en la cual desee guardar el agente de control remoto.
Despues de crear el agente de control remoto, puede distribuirlo mediante una unidad USB o
publicarlo en una ubicacion accesible para que los dispositivos administrados lo descarguen. El
ejecutable del agente de control remoto independiente tambien puede alojarse en CSA.
Para alojar en CSA el ejecutable del agente de control remoto independiente
1. Abra la pagina de inicio de CSA (http://<nombre o direccion IP de la CSA>).

2. Haga clic en Cargar paquetes de software.
3. En la pagina de carga, busque el paquete ejecutable del control remoto independiente que
creo anteriormente.
4. Escriba la description del ejecutable. Aparece en la pagina de descarga.
5. Haga clic en Cargar.
1160
GUÍA DE USUARIO
Los usuarios pueden acceder a los paquetes cargados desde la pagina de inicio de CSA buscando
la pagina de inicio de CSA (http://<nombre o direccion IP de la CSA>) y haciendo clic en Utilidades
de Managment Gateway > Herramientas de soporte. Los paquetes cargados estan en la lista
Paquetes disponibles. Los usuarios deben tener un certificado de cliente CSA para acceder a esta
pagina.
Uso del registrador de actividad de los dispositivos Cloud

Services
El registro de actividad de los dispositivos Cloud Services (CSA, Cloud Services Appliance) se
utiliza para saber que hacen los CSA y sus cargas de trabajo relativas.
Los servidores principales utilizan un servicio (BrokerService.exe) para comunicarse con los
dispositivos CSA. Cada CSA utilizado por el servidor principal tiene su propio proceso
BrokerService.exe. El servicio escribe la actividad del CSA en un archivo de registro con formato
CSV. Pueden utilizarse aplicaciones como Microsoft Excel para hacer graficos y entender los datos
del registro.
El registrador de actividad esta controlado por un archivo XML del servidor principal:
• C:\Program Files\IVANTI\ManagementSuite\BrokerServiceConfig.xml
Este archivo contiene instrucciones sobre su uso. Las opciones principales que pueden cambiarse
son:
• <Enabled> (habilitado): true activa el registrador de la actividad, false lo desactiva. True es la
opcion predeterminada.
• <Logging> (registro): True activa registros adicionales en el registrador de actividad. False

es la opcion predeterminada.
• <ActivityLogMaxSize>: es el tamano maximo en bytes del registro de depuracion antes de

consolidarlo. El valor predeterminado es 10 megabytes (10 000 000 bytes).
A continuacion se muestra un ejemplo de entrada de registro:

10 Apr 2013 14:55:54, 3440, 6616, ldcsa.miempresa.com, {D226EC08-A522-6C4B-8AC3-29C0EA7061DA},
LMCORE95B:5007, Inventario
Cada entrada de registro contiene los siguientes elementos (entre parentesis, el elemento del
ejemplo anterior):
• Fecha/hora (10 de abril de2013 14:55:54)

• Id. del proceso del servicio de agente (3440)
• Id. del subproceso del servicio de agente (6616)
• Nombre del gateway (ldcsa.miempresa.com)
• Id. exclusivo del dispositivo cliente (D226EC08-A522-6C4B-8AC3-29C0EA7061 DA)
• URL de servicio accedida (LMCORE95B:5007)
• Funcion proporcionada por la asignacion de funciones (Inventario)
1161
Personalizacion de la asignacion de funciones del registrador de actividad

Las solicitudes CSA de los clientes se realizan en formato URL. El archivo de configuracion
BrokerServiceConfig.xml indica las subcadenas que distinguen mayusculas de minusculas en la
URLy asigna las repeticiones de esas subcadenas a una funcion. El algoritmo de coincidencia de las
subcadenas es texto sin formato y no admite caracteres comodfn ni expresiones regulares. El
archivo de configuracion incluye funciones principales predeterminadas, pero las cadenas pueden
personalizarse.
Porejemplo, esta entrada XML detecta "vulscanresults" en la URLycuando sucede, crea una entrada
de registro para "Patch".
<Url><PathSubString>vulscanresults</PathSubString><Feature>Patch</Feature></Url>
En el archivo XML, los atributos siguientes controlan la asignacion de funciones:
• <DefaultFeature>: si en la URL no se puede encontrar una subcadena configurada, se

categoriza por el nombre dado aqrn. <OutputDefaultFeature> debe sertrue para que las
entradas <DefaultFeature> aparezcan en el registro.
• <OutputDefaultFeature>: si en la URL no se puede encontrar una subcadena configurada y
esto es false, no se escribe en el registro de actividad. Si es true, se escribe.
• <FeatureMapping>: es una lista de subcadenas que el registrador de actividad busca cuando
vigila el trafico de la URL. Cuando encuentra una, buscando desde el principio hacia el final,
registra la entrada en el archivo y el nombre de la funcion se utiliza en la ultima columna del
registro.
1162
GUÍA DE USUARIO
Tenant management
Informacion general sobre la Administracion de inquilinos
La administracion de inquilinos es un complemento a IVANTI Endpoint Manager que se puede
comprar por separado. La Administracion de inquilinos le permite dividir en secciones los
dispositivos administrados y las configuraciones de la compama. Si usted es responsable de la
administracion de multiples empresas u organizaciones distintas dentro de su propia empresa, en el
pasado, puede que haya tenido que desplegar por separado IVANTI Endpoint Manager en los
servidores centrales de cada lugar. A continuacion, hubiera tenido que iniciar sesion en cada
servidor central para administrar cada empresa u organizacion.
Mediante el uso de la administracion de inquilinos junto con un dispositivo de IVANTI Cloud

Services puede reducir la necesidad de tener varios servidores centrales. Una vez que configure la
administracion de inquilinos, los dispositivos configurados para que tengan inquilinos apareceran
en ambitos separados dentro de la consola. De esta manera, puede estar seguro de cuales bienes
del inquilino esta administrando cuando utilice la consola.
Cada inquilino que se cree recibe su propio grupo de administracion de usuarios y su propio
ambito. Puede asignar usuarios de consola a los grupos de inquilinos espedficos y asignarles los
ambitos que necesitan manejar.
Cada inquilino tambien puede tener asociada informacion de contacto, los terminos del contrato y
hacer seguimiento del uso de la licencia de IVANTI.
Estos son los pasos principales para configurar la administracion de inquilinos:
1. En la herramienta de Administracion de inquilinos, cree un inquilino.

2. En la herramienta de Administracion de usuarios, agregue usuarios de consola a algun grupo
de trabajo o agregue un ambito que pueda ver al inquilino.
3. En la herramienta de Configuracion de agente, cree una configuracion de agente, seleccione

el inquilino adecuado en el panel de inquilinos y luego desplieguela.
4. Utilice los grupos de inquilinos de la consola para administrar los inquilinos.
Creacion de un inquilino
Utilice la herramienta de Administracion de inquilino (Herramientas > Administracion >
Administracion de inquilino > Boton Nueva definition de inquilino) para crear un inquilino. Se debe
dar a cada inquilino un nombre unico y un identificador. El nombre del inquilino debe ser diferente a
cualquier otro ambito de RBA existentey diferente a los nombres de los grupos de trabajo. El ID del
inquilino solo se puede modificar cuando se crea el inquilino.
De manera predeterminada, el ID del inquilino es un GUID, pero se puede cambiar a cualquier

combinacion de letras (A-Z, a-z), numeros y guiones. El GUID puede ser diffcil de recordar, asf que
puede considerar utilizar algo como el numero de cliente.
1163
El resto de la informacion del cuadro de dialogo de Configuration del inquilino es opcional. Si

agrega la informacion de contacto, los terminos del contrato o la informacion de licencia, puede ver
la mayona de estos datos en las columnas de la herramienta de Administracion de inquilinos.
La informacion sobre la licencia solo es de caracter informativo. El Administrador de inquilinos no

limita el numero de inquilinos al numero de Licencias de IVANTI asignadas que se introdujo. Hacer
seguimiento de las licencias asignadas puede ser util para efectuar la facturacion o para otros fines.
Utilice la ficha Notas para agregar cualquier informacion adicional que desee.
Cuando se crea un inquilino, automaticamente se crea el equipo de administracion de usuarios

correspondiente y un ambito con el mismo nombre para ese inquilino. Tendra que agregar los
usuarios de consola que van a administrar ese inquilino al equipo de administracion de usuarios yal
ambito del mismo. Solo los usuarios de consola que sean miembros del equipo de administracion
de usuarios del inquilino podran ver los grupos del inquilino en diferentes partes de la consola.
Si cambia el nombre de un inquilino, la consola automaticamente actualizara el nombre del equipo

de administracion de usuarios y el alcance asociados ytambien cambiara el nombre en cualquier
otro lugar de la consola donde el nombre del inquilino aparezca.
Cree un inquilino
Cree un inquilino si desea dividir en secciones, por organizacion o empresa, los dispositivos
administrados.
Para crear un inquilino
1. Haga clicen Herramientas > Administracion > Administracion de inquilinos.

2. Escriba un nombre de inquilino unico.
3. Cambie el ID unico si no desea utilizar el GUID aleatorio. Los caracteres validos son A-Z, a-z,
0-9 yguiones.
4. Si lo desea, introduzca datos adicionales relevantes al inquilino.

Para agregar usuarios de consola que administraran el inquilino
1. Haga clicen Herramientas > Administracion > Administracion de usuarios > Equipos.
2. Haga doble clic en el nuevo equipo de trabajo que tiene el mismo nombre del inquilino.
3. Seleccione los usuarios de consola que van a administrar dispositivos de este inquilino.
Para agregar usuarios de consola al ambito del inquilino
1. Haga clicen Herramientas > Administracion > Administracion de usuarios > Ambitos.
2. Haga clic con el boton derecho en el nuevo ambito que tiene el mismo nombre del inquilino y
1164
GUÍA DE USUARIO
3. En el cuadro de dialogo Propiedades de ambito, seleccione los usuarios de consola que van
a administer los dispositivos de este inquilino.
Agregar dispositivos de inquilinos

Despues de crear un inquilino, puede agregar dispositivos al inquilino mediante la implementacion
de una configuracion de agente actualizada que le asigne el inquilino a esos dispositivos
administrados de este.
Cada inquilino que cree tiene su propio grupo de equipos en el cuadro de dialogo de configuracion
de agente. Utilice este grupo de equipos para organizar configuraciones de agente particulares para
cada inquilino.
El cuadro de dialogo Configuracion de agente incluye una pagina de Inquilinos en la cual se puede
seleccionar el inquilino asociado con alguna configuracion de agente.
Si se asigna a un inquilino a un agente de configuracion que no esta en grupo de equipos del

inquilino, la configuracion no se movera automaticamente al grupo de equipos del inquilino. Si
desea que este ailf, muevala o copiela de forma manual.
Si ya ha implementado una configuracion de agente en los dispositivos del inquilino, no tiene que
volver a implementar una configuracion de agente completa para actualizar la configuracion del
inquilino en un dispositivo. En su lugar, despues de asignar un inquilino a la configuracion de
agente que desee, utilice el boton de la barra de herramientas Programar la actualization de la
configuracion de agente de la herramienta de Configuracion de agente para actualizar la
configuracion de los dispositivos de destino.
El rastreador de inventario incluye el ID del inquilino que se encuentre durante los rastreos de
inventario. Puede ver el nombre del inquilino y el identificador unico en el arbol de inventario del
dispositivo bajo el nodo de Inquilinos.
Agregar dispositivos de inquilinos

Puede agregar dispositivos a un inquilino mediante la asignacion de un inquilino a una
configuracion de agente y luego desplegarla a los dispositivos que pertenecen al inquilino.
Para agregar dispositivos del inquilino

2. En el arbol de Configuracion de agente, haga clic en el grupo de configuracion de agente que
1165
coincida con el nombre de su inquilino. Si desea utilizar una configuracion de agente

existente, copiela y peguela en el grupo del inquilino.
3. En el cuadro de dialogo de Configuracion de agente, asegurese de seleccionar Asignar un
inquilino a esta configuracion y de que ha seleccionado el inquilino que desea establecer
para esta configuracion de agente.
5. Si va a actualizar una configuracion de agente existente en los dispositivos del inquilino,
haga clic en el boton de la barra de herramientas Programar la actualization de la
configuracion de agente. De lo contrario, despliegue la configuracion de agente completa.
6. Agregue los dispositivos que pertenezcan al inquilino a la tarea programada y programe su
ejecucion.
Eliminacion de inquilinos y dispositivos del inquilino

Cuando se elimina un inquilino, se elimina el grupo de inquilinos de las herramientas de consola
relacionadas con este. Cuando se elimina un inquilino se le preguntara si desea reasignar las
propiedades asociadas a este, como las configuraciones de agente, a otro usuario de la consola. Si
no hace esto, las propiedades huerfanas regresaran al administrador de la consola rafz.
El identificador unico del inquilino permanecera en los dispositivos del inquilino y no se eliminaran
cuando se quite al inquilino. Si lo desea, puede eliminar el ID unico de los dispositivos del inquilino
volviendo a desplegar ajustes de la configuracion de agente que no incluyan ningun inquilino. Si se
dejan los identificadores unicos en los inquilinos, el rastreo de inventario llenara los datos de
inventario del ID unico, pero como el dispositivoya no tendra un nombre de inquilino asociado a el,
el dispositivo no sera parte del grupo de equipos del inquilino.
Eliminar un inquilino o un dispositivo del inquilino

Para eliminar un inquilino
1. Haga clicen Herramientas > Administration > Administration de inquilinos.

2. Seleccione el inquilino que desea eliminar ypresione la tecla Suprimir del teclado.
3. Si desea volver a asignar objetos del inquilino a un usuario de la consola o a un equipo de
trabajo diferente al del administrador rafz, seleccione el usuario o el equipo que desee.
Para eliminar un dispositivo de un inquilino
1. En la herramienta de configuracion del agente, seleccione una configuracion de agente que no

tenga ningun inquilino seleccionado.
1166
GUÍA DE USUARIO
2. Haga clic en el boton de la barra de herramientas Programar la actualizacion de la

configuracion de agente.
3. Agregue los dispositivos que desea eliminar del inquilino a la tarea programada y programe
su ejecucion.
Administracion de dispositivos de un inquilino

Una vez que haya hecho lo siguiente, vera el inquilino como un elemento en varias partes de la
consola:
1. Cree un inquilino
2. Asigne derechos de consola para administrar ese inquilino
3. Agregue dispositivos al inquilino
Vera el inquilino en areas tales como:
• Vista de red, bajo Dispositivos, Huespedes virtuales del sistema operativo, Consultas y
Alcances.
• Caja de herramientas de administracion, bajo Configuracion de conjuntos de columnas y

administracion de usuarios.
• Caja de herramientas de distribucion, bajo Metodos de entrega, Paquetes de distribucion y

Administrar secuencias de comandos.
• Herramienta de administracion de energfa.

• La caja de herramientas de Revisiones y cumplimiento, bajo Revisiones y cumplimiento y
Configuraciones de seguridad.
A continuacion, puede utilizar el grupo de equipos del inquilino de estas herramientas para very
administrar los dispositivos que pertenecen a un inquilino. Solo los usuarios de la consola con
derecho a manejar un inquilino veran dicho inquilino en la consola.
Una manera facil de dirigirse a los dispositivos del inquilino dentro de una tarea programada es
utilizar el raton para arrastrar el ambito del inquilino de la Vista de red a la tarea que desee.
NOTE: En los dispositivos de Windows, el ID unico del inquilino se agrega al registro:
HKLM\SOFTWARE\IVANTI\ManagementSuite\WincClient\Tenant\TenantUID En dispositivos Macintosh, el
identificador unico del inquilino se agrega a una lista plist: /Library/Preferences/com.IVANTI.ldms.plist
1167
Application virtualization
IVANTI Virtualizacion de aplicaciones
La Virtualizacion de aplicaciones de IVANTI es un producto complementary de IVANTI Endpoint
Manager que IVANTI Software, Inc. vende por separado. La Virtualizacion de aplicaciones de IVANTI
utiliza la tecnologfa Thinstall para virtualizar una aplicacion, la cual la almacena en un archivo
ejecutable autocontenido con la aplicacion y las dependencias del controlador de dispositivos o de
DLL.
Las aplicaciones virtualizadas se ejecutan en un entorno aislado sin realizar cambios en la

instalacion de Windows en la cual estan operando. Las aplicaciones virtualizadas tambien se
ejecutan en dispositivos bloqueados sin requerir privilegios adicionales.
Para obtener mas informacion, consulte la documentacion que acompana a la Virtualizacion de

aplicaciones de IVANTI. Mediante la Virtualizacion de aplicaciones de IVANTI con Endpoint Manager,
podra implementary administrar aplicaciones virtualizadas.
NOTE: Utilizar las versiones que no son de IVANTI de Thinstall

La version de Thinstall de la Virtualizacion de aplicaciones de IVANTI tiene parametros de personalizacion que
son espedficos de Endpoint Manager. Otras versiones de las aplicaciones virtualizadas de Thinstall podrian no
funcionar correctamente con el monitor de licencias de software del rastreador de inventario.
Distribuir una aplicacion virtualizada

Por lo general, las aplicaciones virtualizadas consisten en uno o mas archivos ejecutables. Puede
utilizar la distribucion de software para implementar dichos ejecutables de las aplicaciones
virtualizadas en los dispositivos administrados. Ademas, puede utilizar cualquier metodo de
distribucion de software con paquetes de aplicacion virtualizada, incluso la ejecucion a partir del
origen. Al implementar un paquete de aplicacion virtualizada que se ejecuta a partir del origen, los
dispositivos administrados utilizan un icono de acceso directo a la aplicacion para ejecutar el
ejecutable de la aplicacion virtualizada a traves de la red.
Para crear un paquete de aplicacion virtualizada
1. Utilice la Virtualizacion de aplicaciones de IVANTI para crear un ejecutable de aplicaciones

virtualizadas.
2. Haga clic en Herramientas > Distribucion > Paquetes de distribucion.

3. Haga clic con el boton derecho en el grupo de paquetes que desea, luego haga clic en
Nuevo paquete de distribucion > Nuevo paquete de la aplicacion virtualizada.
4. En el cuadro de dialogo Paquete de distribucion, escriba la informacion del paquete y

cambie las opciones que desee. Recuerde que debe escribir el nombre del paquete, la
descripcion y el archivo principal. Para obtener mas informacion sobre cada pagina, haga
clic en Ayuda.
1168
GUÍA DE USUARIO
5. La pagina Acceso directo es la unica pagina especfica a las aplicaciones virtualizadas.

Escriba el Nombre del icono de acceso directo. Tambien puede especificar si desea que el
icono se coloque en el Escritorioyen el menu Inicio. Si selecciona el menu de Inicio, tambien
puede especificar el nombre de la carpeta de Programas que contendra el acceso directo. La
ruta de carpeta que escriba aparecera bajo Todos los programas.
6. Haga clic en Aceptar cuando haya terminado. La secuencia de comandos aparece debajo del
elemento de arbol del tipo de paqueteydel propietario que ha seleccionado.
Al implementar una aplicacion virtualizada, la distribucion de software copia los ejecutables en la

siguiente carpeta en los dispositivos administrados:
• %programfiles%\IVANTI\VirtualApplications\<ruta de origen de distribucion>.
La ruta completa a la aplicacion virtualizada incluye la ruta de origen de distribucion de software

para ayudar a evitar problemas con los nombres de archivo duplicados. Por ejemplo, si la ruta de
origen de distribucion es vapps\myapp.exe, la ruta de los dispositivos administrados sena
%programfiles%\IVANTI\VirtualApplications\vapps\myapp.exe.
Si es necesario, puede cambiar la ruta predeterminada de las aplicaciones virtualizadas en la pagina

Distribucion de software del cuadro de dialogo Configuration de agente.
Algunas aplicaciones virtualizadas requieren varios ejecutables. Si ese es caso, puede crear un
paquete de distribucion por separado para dichos ejecutables adicionales de las aplicaciones
virtualizadas. Luego, cuando cree un paquete de distribucion para el ejecutable principal de la
aplicacion virtualizada, puede incluir cualquier paquete adicional de ejecutables dependientes en
forma de dependencias. De ese modo, si los ejecutables dependientes aun no se encuentran ahf, se
instalaran de forma automatica.
Los ejecutables dependientes deben encontrarse en la misma carpeta compartida cuando se creen
los paquetes de distribucion. Esto garantiza que los paquetes dependientes se distribuyan en la
misma carpeta del dispositivo administrado. Si los ejecutables dependientes no se encuentran en la
misma carpeta del dispositivo administrado, no se ejecutaran.
La primera vez que alguien ejecuta una aplicacion virtualizada en el dispositivo, se abre el cuadro de
dialogo "Contrato de licencia de tiempo de ejecucion de Thinstall". Los usuarios deben hacer clic en
Continuar para ejecutar la aplicacion virtualizada. Los usuarios solo tienen que hacerlo una vez.
Entorno protegido para las aplicaciones virtuales
De forma predeterminada, las aplicaciones virtualizadas crean archivos temporales que necesitan
para su ejecucion bajo la carpeta:
• Documents and Settings\<nombre de usuario>\Application Data\Thinstall\
El rastreador de inventario no rastrea esta carpeta para evitar informes falsos de aplicaciones del
sistema.
1169
Uso del inventario y la supervision de licencias de

software con aplicaciones virtualizadas
Los ejecutables de las aplicaciones virtualizadas creados con la Virtualizacion de aplicaciones de
IVANTI tienen informacion de propiedad adicional que le ayuda al monitor de inventario y licencias
de software de Endpoint Manager. En Windows Explorer, si hace clic con el boton derecho en el
ejecutable de la aplicacion virtualizada, y hace clic en Propiedades, se muestra informacion
adicional sobre la version:
• ThinstallLicense: Tipo de licencia y direccion de correo electronico de registro de la

Virtualizacion de aplicaciones de IVANTI.
• ThinstallVersion: Version del empaquetador de la Virtualizacion de aplicaciones de IVANTI

utilizada para crear este paquete.
Puede utilizar esta informacion si el inventario realiza consultas para buscar aplicaciones
virtualizadas que fueron rastreadas por el rastreador de inventario. De forma general, las
propiedades del ejecutable de la aplicacion virtualizada reflejan las propiedades del ejecutable
principal que se encuentra en la aplicacion virtualizada. En la vista de inventario de los dispositivos,
las aplicaciones virtualizadas figuran en la lista Software > Paquete. Las aplicaciones virtualizadas
de la lista tienen el valor "Sf en el atributo "Aplicacion virtual".
No obstante, algunas aplicaciones no proporcionan la informacion de version antes de ser

virtualizadas. En ese caso, no figuran como aplicaciones virtualizadas en el inventario aunque lo
sean.
El rastreador de inventario rastreara automaticamente los ejecutables de las aplicaciones

virtualizadas solo si utilizan el rastreo de inventario con MODE=ALL. Si no se utiliza MODE=ALLy
desea colocar la informacion de inventario de la aplicacion virtualizada en la base de datos, debe
agregar de forma manual la informacion del ejecutable de la aplicacion virtualizada en Inventario >
Archivos > Lista a rastrear del monitor de la licencias de software. El rastreador de inventario
solamente ve el ejecutable de la aplicacion virtualizada. No rastrea dentro del ejecutable.
El monitor de licencias de software detectara de forma automatica las aplicaciones virtualizadas y

las incluira en la lista de Definiciones de producto > Detectado automaticamente. La deteccion
automatica de aplicaciones de la supervision de licencias de software no utiliza el rastreador de
inventario. La supervision de licencias de software realiza esto mediante la deteccion del acceso
directo de la aplicacion en el menu Inicio o en el escritorio.
Una aplicacion virtualizada detectada en la lista Detectado automaticamente solamente tendra el

ejecutable unico de la aplicacion virtualizada en su lista de archivos, pero la definicion del producto
aun se basara en el producto que se encuentra dentro del ejecutable de la aplicacion virtualizada. La
supervision de licencias de software no ve dentro del ejecutable de la aplicacion virtualizada, de
modo que no puede incluir otros archivos que normalmente pudieran ser asignados a un producto
cuando se instala sin la Virtualizacion.
1170
GUÍA DE USUARIO
Web Consola
La consola Web
Acerca de la consola Web
La consola Web de Endpoint Manager le permite automatizar las tareas de administracion de
sistemas y controlar equipos de escritorio, servidores y dispositivos portatiles. Difiere de la Consola
de administracion de IVANTI en que se accede a ella a traves de un navegador en lugar de
ejecutarse como un archivo ejecutable de Windows.
La consola Web utiliza la infraestructura de la red existente para establecer las conexiones con los
dispositivos que administra. Esto simplifica en gran medida la tarea de administracion de la red
existente, ya se trate de una red pequena o de un entorno empresarial de gran tamano, aun cuando
no se encuentre en su escritorio.
Inicio de la consola Web

Para iniciar la consola Web
1. En un equipo en red, abra un explorador Web.
2. En el campo de la direccion en la parte superior del navegador, escriba una direccion URL
que apunte al servidor central, seguida de /remoto (en el formato
http://<nombreservidorweb>/remote).
3. Si aparece un cuadro de dialogo de inicio de sesion, escriba el nombre de usuario y
contrasena de Windows para el servidor central al que se va a conectary haga clic en
Aceptar.
4. Una vez autenticado, aparecera una serie de enlaces en el panel de exploracion izquierdo
para las tareas para las que dispone de los derechos necesarios, como la creacion de
consultas, control remoto de clientes, implementacion de software yvisualizacion de
informes.
Haga clic aqrn para obtener una descripcion del cuadro de dialogo de Inicio de sesion
Utilice este cuadro de dialogo para ejecutar la consola y conectarse a un servidor central.
• Nombre de usuario: identifica al usuario. Puede ser un usuario administrador u otro tipo de
usuario de producto con acceso restringido. El usuario debe ser miembro del grupo de
IVANTI Endpoint Manager en el servidor central. Si se conecta a un servidor central remoto,
escriba el nombre de dominio o de usuario.
• Contrasena: la contrasena de usuario.
Solucion de problemas
• Si la lista de dispositivos y los botones no aparecen al iniciar la consola, es posible que sea
1171
necesario activar el servidor central.

• Si desconoce la URL a las paginas de la consola Web, comurnquese con la persona que
instalo la consola Web, seguramente el administrador de redes local.
• Si no puede ver algunos de los vmculos del panel de navegacion izquierdo, probablemente el
administrador de la red esta utilizando administracion basada en el roles Endpoint Manager o
la opcion de la funcion de seguridad por niveles que le limita a realizar ciertas tareas para las
cuales tiene derechos.
Uso de la consola Web
Estetema describe la consola Web de Endpoint Manager ycomo se utiliza.
Recuerde que si no ve alguna de las herramientas, probablemente no tiene derecho a verla. Estos
derechos estan determinados por los derechos de acceso y el ambito del dispositivo asignados por
el
administrador de Endpoint Manager.
Diseno de la consola Web
La consola Web tiene cuatro areas principales con las cuales se puede interactuar:
• La barra detftulo
• El cuadro de herramientas
• El panel de herramientas
• El panel de acciones
La Barra de tftuio muestra el dispositivo en el cual se inicio sesion yel usuario que la inicio. Incluye
un vrnculo de ayuda que abre temas de ayuda de la consola Web.
1172
GUÍA DE USUARIO
El Cuadro de herramientas muestra las herramientas disponibles, agrupadas bajo encabezados.

Haga clic en las comillas angulares junto a cada encabezado para expandir o cerrar el grupo.
El lado derecho de la consola tiene contenido variable en funcion de la herramienta que esta en uso.
Si esta zona esta dividida, la parte superior se denomina el Panel de la herramientas y la parte
inferior el Panel de acciones. El Panel de la herramientas muestra los elementos basicos de la
herramienta que se ha seleccionado y, por lo general, en el panel de acciones se seleccionan las
acciones o se ven los resultados de la tarea que este realizando.
Puede cambiar el tamano de los paneles y las columnas de la consola Web. Tambien puede ampliar
o reducir el tamano de los elementos del cuadro de herramientas para verlos mejor.
NOTE: Para que los cuadros de dialogo y las ventanas se muestren apropiadamente, el sitio Web de Endpoint
Manager debe agregarse a la lista del bloqueador emergente del explorador.
Continue leyendo este tema para obtener informacion acerca de:

• Lista Mis dispositivos
• Iconos de dispositivos
• Uso de los menus contextuales
• Uso de las herramientas 60 61
• Visualizacion de las propiedades del dispositivo
Lista Mis dispositivos
La lista Mis dispositivos es la ventana principal que aparece cuando se ejecuta la consola Web y es
el punto de inicio de la mayona de herramientas. Contiene los siguientes grupos y subgrupos.
Ademas, segun sus derechos de accesoy ambitos de dispositivos, podra crear sus propios grupos
para simplificar la administracion de dispositivos.
Algunas acciones de esta lista que se usan comunmente son las siguientes:
• Haga clic con el boton derecho en cualquier dispositivo de la lista Dispositivos a fin de ver
las opciones disponibles de ese dispositivo, tales como Ping, Control remoto y Destino.
• Para seleccionar varias entradas consecutivas en una lista, haga clic en el primer elemento,
mantenga presionada la tecla Mayus y haga clic en el ultimo elemento.
61 Para seleccionar varias entradas no consecutivas en una lista, mantenga presionada la tecla
Ctrl y haga clic en cada uno de los elementos.
• Al hacer doble clic en algun dispositivo de la lista de Todos los dispositivos se abre
una ventana con un inventario de dispositivos completo que muestra toda la
informacion de inventario de ese dispositivo.
1173
NOTE: La lista Mis dispositivos tambien incluye grupos SO de Host virtuales.
Todos los dispositivos

La lista Todos los dispositivos muestra un listado no jerarquico (sin subgrupos) de todos los
dispositivos, el cual corresponde al usuario que actualmente ha iniciado sesion, en funcion del
ambito de dicho usuario. Cuando se encuentra conectado con un servidor central espedfico, el
administrador puede ver todos los dispositivos administrados por ese servidor central. Los
usuarios del producto, por otra parte, tienen restricciones y unicamente pueden ver los dispositivos
que residen dentro del ambito que tengan asignado (un ambito esta definido por una consulta de
base de datos o por una ubicacion de directorio).
Los dispositivos que ejecutan agentes del producto (agente de administracion estandar e
inventario) aparecen automaticamente en la lista Todos los dispositivos despues de que el
rastreador de inventario los rastrea en la base de datos central. Generalmente, este rastreo se
realiza por primera vez durante la configuracion inicial del dispositivo. Una vez que se ha rastreado
un dispositivo en la base de datos central, se considera como un dispositivo administrado que el
servidor central puede administrar.
Como el grupo Todos los dispositivos se rellena automaticamente mediante un rastreo de

inventario, es probable que nunca deba detectar a los dispositivos de forma manual. No obstante,
para detectar dispositivos que no se encuentren en la base de datos central (o mover dispositivos
no administrados al grupo de servidores manejados), utilice la herramienta de deteccion de
dispositivos para rastrear los dispositivos de la red.
El grupo Todos los dispositivos brinda la informacion siguiente sobre cada dispositivo. Para
ordenar una columna, haga clic en el encabezado de la misma; haga otro clic para invertir el orden.
Haga doble clic en Todos los dispositivos para abrir la lista.
• Nombre: nombre de host del dispositivo, tal como el nombre de equipo Windows.
• Direction IP: la direccion IP del dispositivo.
• Estado de integridad: estado de mantenimiento y disponibilidad del dispositivo. Podna ser
Normal, Advertencia o Crftico.
• Agente: agente que se ejecuta en el dispositivo.

• Tipo de dispositivo: muestra el tipo de hardware en el equipo (Intel AMT, IPMI, ASIC o IPMI
avanzado).
• Sistema operativo: tipo de sistema operativo que se ejecuta en el dispositivo.
• Activo desde: fecha y hora desde las cuales el equipo ha estado en funcionamiento sin
interrupcion (en el huso horario de la base de datos).
Si no se han instalado agentes en un dispositivo, el nombre y la direccion IP son las unicas

columnas que contienen informacion. En algunos casos, tambien se muestra el sistema operativo.
1174
GUÍA DE USUARIO
Al seleccionar un dispositivo, las propiedades de este se muestran en el panel Propiedades debajo

de la lista de dispositivos. El panel de Propiedades muestra los siguientes atributos basicos de
dispositivo:
. id: numero de identificacion del dispositivo. Este numero lo determina la secuencia en la cual
se agrego el dispositivo a la lista Todos los dispositivos.
• Direction IP: la direccion IP del dispositivo.

• Fabricante: fabricante del dispositivo.
• Modelo: modelo del dispositivo.
• Velocidad del procesador: velocidad de la CPU del dispositivo.
• Tipo de procesador: tipo de CPU del dispositivo.
Para obtener mas acciones disponibles en el panel de Propiedades, consulte "Acerca de la etiqueta
Propiedades" (1165).
Mis dispositivos
La lista de Mis dispositivos muestra los grupos de servidores creados por el usuario que inicio la
sesion actual. Mis grupos de dispositivos no pueden ser vistos ni pueden ser usados por otros
usuarios.
Dispositivos publicos
La lista de Dispositivos publicos muestra los grupos de dispositivos que han sido creados por un
usuario con derechos Administrativos. Los demas usuarios pueden verlos.
SO de hosts virtuales
La lista de SO de hosts virtuales muestra los servidores VMware ESX que estan configurados como
hosts virtuales, y que se detectaron mediante la seleccion de la opcion Hosts virtuales en una
configuracion de deteccion de dispositivos. Al hacer clic en SO de hosts virtuales o cualquier
subgrupo de la vista de arbol, los hosts se ven como nodos finales en la ventana del dispositivo. Al
hacer clic en el nombre de un host en la vista de arbol, este es un contenedory los equipos virtuales
que se ejecutan en el se muestran en la lista de dispositivos.
Iconos de dispositivos
Los iconos de dispositivos de la lista Todos los dispositivos muestran el estado de integridad actual
de cada dispositivo, si el dispositivo incluye un agente con la opcion del Monitor e inventario en
tiempo real seleccionada. Puede actualizar el estado de integridad de los dispositivos de uno en uno
a medida que los seleccione en la lista de Mis dispositivos haciendo clic en el boton Actualizar de la
Hay cuatro iconos de estado:
1175
Icono Descripcion
s
? Dispositivo con estado normal Dispositivo
4 con estado de advertencia Dispositivo con
D estado cntico Dispositivo con estado
desconocido
NOTE: Estos iconos requieren por lo menos un color de 16 bits de profundidad para que se muestre
correctamente. Si los iconos de la consola aparecen desenfocados, cambie la configuracion de color en
Propiedades de pantalla de Windows. 62 63
Uso de los menus contextuales

Los menus contextuales estan disponibles para todos los elementos de la consola, incluso grupos,
dispositivos, consultas, tareas programadas, secuencias de comandos, etc. Los menus
contextuales proporcionan un acceso rapido a las tareas comunes y a la informacion esencial de un
elemento.
Para ver el menu contextual de un elemento, haga clic con el boton derecho en el elemento. Por
ejemplo, si hace clic con el boton derecho en un dispositivo administrado en la lista Mis
dispositivos, el menu contextual mostrara por lo general las siguientes opciones:
• Quitar del grupo: quita el elemento del grupo definido por el usuario.
• Destino: mueve el dispositivo seleccionado a la lista de Dispositivos de destino. (Si no hay
dispositivos de destino en la lista de Destinos, haga clic en Actualizar en la pestana
Dispositivos de destino).
• Ping de dispositivo: comprueba que el dispositivo este respondiendo.
• Realizar seguimiento de dispositivo: envfa un comando de seguimiento de ruta para ver un
paquete de red que se esta enviando y recibiendo y la cantidad de saltos necesarios para que
el paquete llegue al destino.
63 Rastrear dispositivo: rastrea vulnerabilidades en el dispositivo. Haga clic en Iniciar rastreo.
• Control remoto: Inicia la ventana de control remoto para permitir el acceso directo al
dispositivo seleccionado en la consola.
La ayuda no abarca los menus contextuales de todos los elementos de la consola, pero se
recomienda hacer clic con el boton derecho en cualquier elemento para ver las opciones
disponibles.
1176
GUÍA DE USUARIO
Uso de las herramientas
Las herramientas se agrupan en secciones en el cuadro de herramientas, con tftulos como Vista de
dispositivos y Acceso remoto. Haga clic en las comillas angulares junto a cada encabezado para
expandir o cerrar el grupo.
El administrador ve todas las herramientas en el cuadro de herramientas. El resto de los usuarios

vera unicamente las herramientas (funciones) que les esten permitidas en funcion de los derechos
que tengan asignados. Por ejemplo, si un usuario no tiene el derecho de Informes, la herramienta de
Informes no aparecera en el cuadro de herramientas.
A continuacion se muestra una lista completa de las herramientas:
• Mis dispositivos: Visualizar las propiedades del dispositivo, ejecutar analisis y administrar
dispositivos.
• Control remoto: controle de forma remota los dispositivos e intercambie archivos con los
mismos.
• Distribucion: distribuya paquetes de software, utilice secuencias de comandos
personalizadas, programe distribuciones y cree tareas de distribucion de software.
• Secuencias de comandos: cree y administre secuencias de comandos.
• Administrador de directorios: ubica, accede yadministra dispositivos en otros directorios a

traves de LDAP (Protocolo ligero de acceso a directorios).
• Tareas programadas: muestra todas las tareas que estan actualmente programadas o
finalizadas.
• Alertas: Configurary programar reglamentos de alertas para notificarle con los datos de
monitorizacion del dispositivo. Para mas informacion sobre los reglamentos de alertas,
consulte Informacion general sobre las alertas y el monitor.
• Registro de alertas: Visualizar alertas enviadas al servidor. El registro se ordena segun la
hora y las alertas mas recientes aparecen en la parte superior. Para obtener mas informacion
sobre registros, consulte Registros de alertas.
• Informes: administre informes de servicio predefinidos.
• Consultas: cree y modifique consultas de la base de datos para aislar dispositivos que
cumplan con sus criterios.
• Preferencias: cree atributos de inventario personalizados y vea la informacion de licencia.
Visualizar las propiedades y el inventario de dispositivos
En la vista Mis dispositivos, puede ver informacion sobre el dispositivo con rapidez haciendo clic en
el dispositivo en la lista yseleccionando Propiedades en el panel de acciones.
Los datos de inventario proveen informacion mas detallada sobre el dispositivo. Puede ver datos de
inventario en la vista de Todos los dispositivos haciendo clic doble en el dispositivo o
seleccionando la etiqueta Ver inventario en el panel de Propiedades para abrir la ventana de
Inventario completa.
1177
Acerca de la etiqueta Propiedades

Utilice la etiqueta de Propiedades para visualizar informacion util sobre el dispositivo seleccionado.
La pantalla incluye un breve resumen de propiedades y los siguientes botones:
• Ver inventario: haga clic en este boton para ver el inventario completo del dispositivo
seleccionado en una vista de arbol. Se trata de los datos generados por el rastreador de
inventario, que los almacena en la base de datos. La vista de detalles muestra todos los
posibles elementos de inventario disponibles en un dispositivo, por lo que algunos
elementos (que no estan activados en el dispositivo que se ha seleccionado) no tendran
datos. Haga clic en uno de los elementos de la vista a fin de visualizar los detalles del mismo
para este dispositivo en particular. Para volver a la vista predeterminada, haga clic en el
nombre del dispositivo en la rafz de la vista
• Control remoto: Inicia la ventana de control remoto para permitir el acceso directo al
dispositivo seleccionado en la consola.
Dispositivos de destino [consola Web]

La lista Dispositivos de destino ayuda a completar tareas en los dispositivos seleccionados, tales
como la implementacion de agentes de servidor o la exploracion de actualizaciones de software en
un grupo selecto de dispositivos.
El numero recomendado de dispositivos que debe agregar a la lista es de 250 o menos. Los
dispositivos permanecen en la lista hasta que se agote o termine el tiempo de sesion de la consola
(tras 20 minutos de inactividad).
Puede destinar los dispositivos seleccionandolos en cualquiera de las listas de dispositivos. Si no

encuentra los dispositivos que desea, utilice el boton Buscar en la barra de herramientas. Puede
buscar un dispositivo determinado o varios de ellos. Para ello, utilice los caracteres comodm % o *.
Con uno o varios dispositivos en la lista Dispositivos de destino, usted puede completar cualquier
tarea, como despegar una configuracion de agente en cada uno de los dispositivos destinados.
Para seleccionar dispositivos de destino utilizando la consola Web
1. En la lista de Mis dispositivos o Todos los dispositivos, haga clic en el dispositivo que desee
para destinar una accion. Para seleccionar varios dispositivos, pulse
Mayus+clic o Ctrl+clic.
2. de la barra de
Haga clic en el boton Destino. Si no esta visible, haga clic en el boton Filtro
herramientas para ocultar las opciones de Filtro (el boton Destino esta a la derecha).
En el panel de acciones, los dispositivos seleccionados se muestran en la pestana Dispositivos de

destino. Una vez que figuren bajo esta pestana, puede abrir una herramienta (tal como Distribucion)
y programar una tarea que se pueda aplicar a los dispositivos de destino.
NOTE: Las listas de dispositivos pueden ocupar varias paginas, y a medida que seleccione dispositivos, debe
hacer clic en el boton Destino de cada pagina. No podra seleccionar los dispositivos en varias
1178
GUÍA DE USUARIO
paginas y hacer clic en los botones una sola vez para todas las paginas.
NOTE: Puede hacer clic en la flecha hacia abajo que se encuentra bajo la barra de herramientas a la derecha
para establecer la cantidad de dispositivos que desee mostrar por pagina. Puede mostrar hasta 500 dispositivos
por pagina. Para cambiar de forma permanente la cantidad de dispositivos que aparece en las listas de
dispositivos, haga clic en Administracion > Preferencias > Configuracion de la pagina.
Filtrar la lista de visualizacion [consola Web]

La lista de Dispositivos tiene una opcion de filtro que puede utilizar para determinar que
dispositivos apareceran en la lista. Se puede filtrar mediante cuatro tipos de criterios (nombre de
dispositivo, direccion IP, sistema operativo o nombre de inicio de sesion). Use un caracter de
comodfn (% o *) para seleccionar un intervalo de elementos que tenga un identificador similar.
Para filtrar la lista de visualizacion
1. Haga clic en Mis dispositivos y vaya al grupo de debajo de

Dispositivos.
2. de la barra de
Si las opciones de filtro no son visibles, haga clic en el boton
Filtro herramientas.
3. En la lista de Filtros, seleccione Nombre de dispositivo, Direccion IP, Sistema operativo o
Nombre de inicio de sesion.
4. Para definir los parametros del filtro, escribalos en el cuadro de texto.
En el cuadro no se admiten los siguientes caracteres extendidos: < , > , " , ' , ! .
Por ejemplo, si filtro por nombre de dispositivo, escriba el nombre de host o el intervalo de
nombres de equipos. Puede utilizar caracteres de comodm para buscar ciertos nombres de
equipos (como *srv).
5. Haga clic en Buscar.
Uso de los grupos [Consola Web]

Puede agrupar los dispositivos para facilitar la administracion. Puede crear grupos para organizar
los dispositivos segun la funcion, la ubicacion geografica, el departamento, los atributos de
dispositivo o cualquier otra categona que satisfaga sus necesidades. Puede crear, por ejemplo, un
grupo de servidores Web para todos los servidores que esten configurados como servidores Web, o
crear un grupo que incluya todos los dispositivos que ejecutan un SO concreto.
La vista principal de Dispositivos contiene tres grupos: Haga clic con el boton derecho en un grupo
para abrirlo, borrarlo o seleccionar como destino todos los dispositivos que contenga para realizar
acciones, tales como distribucion de software o despliegue de agentes.
• Mis dispositivos: muestra una lista de los grupos o dispositivos del usuario que ha iniciado
sesion en funcion del ambito de dicho usuario. El usuario puede crear subgrupos de
1179
dispositivos unicamente en Mis dispositivos. Los usuarios pueden agregar dispositivos al

grupo Mis dispositivos, o uno de sus subgrupos, moviendolos o copiandolos desde los
grupos Dispositivos publicos y Todos los dispositivos. Todos los usuarios pueden crear
grupos bajo Mis dispositivos en la consola de Windows.
• Dispositivos publicos: muestra una lista de los grupos/dispositivos que algun administrador
de Endpoint Manager ha agregado desde el grupo Todos los dispositivos. El administrador
(un usuario con derechos de administrador) puedever todos los dispositivos de este grupo,
mientras que el resto de los usuarios solo pueden ver los dispositivos que permite su
ambito. Solo los administradores pueden crear grupos en Dispositivos publicos.
• Todos los dispositivos: Se muestra un listado no jerarquico (sin subgrupos) de todos los
dispositivos que puede ver el usuario que actualmente ha iniciado sesion en funcion del
ambito de dicho usuario. Para el administrador, Todos los dispositivos incluye la totalidad de
los dispositivos administrados que se han rastreado o movido de la base de datos central.
Los dispositivos configurados con los agentes de administracion estandar aparecen
automaticamente en el grupo o la carpeta Todos los dispositivos cuando el escaner de
inventario los rastrea en la base de datos central. Los usuarios, incluyendo los
administradores, no pueden crear grupos en Todos los dispositivos.
Creacion de un grupo de dispositivos [consola Web]
Los grupos ayudan a organizar los dispositivos en la lista de Dispositivos de la consola. Puede
crear grupos para organizar los dispositivos segun la funcion, la ubicacion geografica, el
departamento, los atributos o cualquier otra categona que satisfaga sus necesidades. Puede crear,
por ejemplo, un grupo de mercadeo para todos los dispositivos del departamento de mercadeo o un
grupo que incluya todos los dispositivos que ejecutan un SO concreto. Puede colocar grupos
dentro de otros grupos. Por ejemplo, todos los dispositivos que ejecutan un SO determinado en una
ubicacion dada.
Los grupos estan organizados de la siguiente manera:
• Dispositivos: para crear grupos bajo Dispositivos, primero debe seleccionar Mis dispositivos
o Dispositivos publicos.
• Mis dispositivos: Mis dispositivos solamente pueden ser vistos por el usuario que los creo.
• Dispositivos publicos: solamente los administradores pueden crear o modificar grupos bajo
Dispositivos publicos. Sin embargo, cualquier usuario puede ver los grupos.
• Todos los dispositivos: no existen subgrupos en Todos los dispositivos.
Para crear un grupo
1. En la lista Dispositivos, haga clic en Mis dispositivos o en Dispositivos publicos.

2. Haga clic en el boton Agregar grupo de la barra de herramientas.
3. Escriba un nombre para el nuevo grupo y haga clicen Aceptar.
Para eliminar un grupo
1. En la vista de dispositivos de la consola, haga clic en el encabezado del grupo que desea
1180
GUÍA DE USUARIO
eliminar.
2. En el panel de herramientas, haga clic con el boton derecho en el grupo que desee eliminary
haga clic en Eliminar grupo.
Uso de la pestana Acciones [consola Web]
Utilice la pestana Acciones para ejecutar las siguientes operaciones en los dispositivos
seleccionados como destino:
• Eliminar dispositivos de la base de datos

• Ejecutar rastreos de inventario en los dispositivos seleccionados
• Ejecutar rastreos de parches ycumplimiento en los dispositivos seleccionados
Para eliminar dispositivos de la base de datos
Puede seleccionar los dispositivos en la lista de dispositivos actual o seleccionar una lista de
dispositivos como destino (lo cual es util cuando hay varias paginas en la lista de dispositivos).
1. En la consola Web, haga clic en Mis dispositivos y seleccione o marque los dispositivos que
desee eliminar.
2. Haga clic en la ficha Acciones > Eliminar dispositivos. Seleccione Eliminar los dispositivos
de destino o Eliminar los dispositivos seleccionados segun corresponda.
3. Haga clic en Eliminary confirme que desea eliminar los dispositivos.
La funcion eliminar puede borrar uno o varios dispositivos de cualquier grupo predeterminado o
grupo creado por el usuario. Una vez eliminado el dispositivo del grupo, se elimina por completo de
la lista de todas las listas de dispositivos administrados o inventariados, incluyendo el grupo
predeterminado Todos los dispositivos.
Para ejecutar un rastreode inventario en los dispositivos seleccionados
desee eliminar.
2. Haga clic en la pestana Acciones > Ejecutar rastreo de inventario. Seleccione Rastrear los
dispositivos de destino o Rastrear los dispositivos seleccionados segun corresponda.
3. Seleccione el tipo de rastreo (Solo hardware, Hardware y software, o Sincronizacion

completa).
4. Haga clic en Rastrear.
Las notas de estado sobre el progreso del rastreo se muestran en el panel de acciones.
1181
Para ejecutar un rastreode parches y cumplimientoen los dispositivos seleccionados
desee eliminar.
2. Haga clic en la pestana Acciones > Ejecutar rastreo de parches y cumplimiento. Seleccione
Rastrear los dispositivos de destino o Rastrear los dispositivos seleccionados segun
corresponda.
3. Seleccione el tipo de rastreo (Rastreo de seguridad y parches, Rastreo de cumplimiento).
4. Haga clic en Rastrear.
Cambiar la configuracion de paginas [consola Web]
Utilice Configuracion de paginas para definir las preferencias de las paginas con listas de
dispositivos o con graficos. No incluye el escritorio de mantenimiento, el cual contiene cuadros de
dialogo aparte para configurar las preferencias de visualizacion.
Para cambiar la configuracion de las paginas de la consola Web
1. En el cuadro de herramientas de la consola Web, haga clic en Administration > Preferencias.

2. Haga clic en la pestana Configuracion de pagina.
3. En la lista Tipo de grafico, seleccione el tipo de grafico que desee mostrar en los Informes.
4. En el cuadro Elementos por pagina, escriba la cantidad maxima de elementos que desee
mostrar en cada pagina que utilice paginacion (el valor maximo permitido es 500).
5. Para mostrar texto junto a los botones de las barras de herramientas, seleccione la casilla
Mostrar texto en la barra de herramientas.
6. Para asegurarse de que la sesion Web que se esta ejecutando para ver la consola Web no
agote el tiempo de espera, seleccione Mantener siempre activa la sesion Web.
7. Hacerclicen Actualizar.
NOTE: Puede mostrar texto junto a los botones de las barras de herramientas para ayudara los usuarios nuevos
con la identificacion de funciones. Si no se selecciona esta opcion, solamente se muestran iconos en la barra de
herramientas. Sin embargo, los iconos muestran el texto cuando el puntero del raton pasa sobre ellos.
Para mostrar mas dispositivos mientras se visualiza una lista
1. Mientras se visualiza una lista de dispositivos, haga clic en la flecha hacia abajo en el extremo
derecho (bajo la barra de herramientas) para abrir el cuadro Configuracion de pagina.
1182
GUÍA DE USUARIO
2. Escriba un numero en el cuadro de Elementos por pagina (maximo 500).

3. Para comenzar la lista despues del primer registro, cambie el numero en el cuadro Inicio.
4. Haga clic en Establecer.
Los cambios solo son validos mientras se trabaja en la lista actual. Si cambia a otra lista de
dispositivos, el numero de dispositivos que se muestran vuelve a la configuracion vigente en la
pestana
Configuration de pagina.
Configuracion de columnas personalizada [consola Web]

Utilice Columnas personalizadas para modificar nombres y campos de columna. Los demas
usuarios no podran ver los cambios de columna que usted realice. Los cambios en las columnas
personalizadas aparecen la vista Mis dispositivos.
La consola Web incluye un conjunto de columnas predeterminado con ocho columnas. No se

puede modificar el conjunto predeterminado, pero puede definir un conjunto de columnas
personalizado para utilizarlo como su conjunto predeterminado.
NOTE: No es aconsejable crear columnas personalizadas en las que pudiese haber varios nombres de campo. Por
ejemplo, si fuera a crear el campo Equipo.Software.Paquete.Nombre y se han instalado varios paquetes en el
dispositivo, Endpoint Manager solamente incluye el nombre de un paquete en cada linea, aunque los distintos nombres
de paquetes esten en el mismo dispositivo. En esta situacion, la lista Todos los dispositivos mostrara varias entradas
del mismo dispositivo.
Para crear un conjunto de columnas personalizado

2. Haga clicen la pestana Columnas personalizadas > Nuevo.
3. Escriba el nombre del conjunto de columnas.
1183
4. En el cuadro superior, navegar a traves de las carpetas para buscar el atributo que desea
para cada uno de los encabezados de columna. Seleccione un atributo y haga clic en
Agregar.
El cuadro contiene una estructura de carpetas, que comienza con Equipo, que representa
todos los datos de inventario que se encuentran actualmente en la base de datos. Los
atributos individuales tienen un icono ^ de atributo.
NOTE: Si selecciona un atributo que tenga una relacion 1:* en la base de datos, obtendra entradas
duplicadas para el dispositivo. Si selecciona atributos con una relacion 1:1 (solo un atributo posible,
como la pestana Computer.System.Asset), no recibira entradas duplicadas.
5. Para cambiar el orden de las columnas, seleccione el encabezado de la columna y haga clic
en
6. Subir o Bajar.
Para eliminar una columna, seleccionela y haga clic en Quitar.
7.
Para cambiar el encabezado que aparece una columna, seleccionelo, haga clic en Modificar,
modiffquelo y pulse Intro. No se admiten los caracteres ampliados siguientes: < , > , ' , " , ! .
5.
9. Haga clic en Aceptar para guardar el conjunto de columnas.
Para utilizar el conjunto de columnas personalizado cuando visualice cualquier lista de
dispositivos, seleccionelo y haga clic en Definir como conjunto actual de columnas en la
NOTE: Si utiliza una base de datos de Oracle, asegurese de seleccionar al menos un atributo que se haya
definido de forma nativa en el rastreador de inventario (por ejemplo, Equipo.Nombre de pantalla,
Equipo.Nombre de dispositivo, Equipo.ID de dispositivo, Equipo.Nombre de acceso, etcetera).
Para modificar un conjunto de columnas personalizado

2. Haga clic en la pestana Columnas personalizadas.
3. Seleccione el conjunto de columnas personalizado y haga clic en Modificar.
4. Siga las instrucciones de los pasos 4 a 8 para realizar cambios.
5. Haga clic en Aceptar para guardar los cambios.
Sugerencias para la solucion de problemas [consola Web]
Las siguientes sugerencias de solucion de problemas van destinadas a los problemas mas
frecuentes con la consola Web.
No conozco la URL de la consola Web.

Comurnquese con la persona que instalo el servidor central, seguramente el administrador de red
del sitio. Sin embargo, la direccion URL tfpica es http://'nombre del equipo del servidor central/remote.
1184
GUÍA DE USUARIO
i, Con que nombre de usuario se inicio mi sesion?

Busque en la barra de trtulo; el usuario que inicio sesion aparece junto a Conectado como.
1185
i, En que equipo inicie una sesion?

Busque en la barra de tftulo; el nombre de servidor central aparecejunto a Conectado a.
No veo algunos de los vmculos del cuadro de herramientas.

Esto sucede debido a que el administrador de red esta utilizando la opcion de administracion
basada en roles o de seguridad a nivel de funciones, lo cual limita la ejecucion de ciertas tareas
para las cuales setienen los derechos.
Recibo un mensaje de una sesion no valida cuando abro la consola.

Es posible que el tiempo de espera de la sesion del explorador se haya agotado. Haga clic en el
boton Actualizar del explorador para iniciar una sesion nueva.
Recibo un error de ASP.NET cuando intento iniciar la consola Web.

Si recibe un mensaje de error de ASP.NET al intentar el inicio de sesion en la consola Web, es
probable que no se hayan configurado de forma debida los permisos de ASPyde directorio ASP.
Reinicie la configuracion ASP.NET ejecutando el siguiente comando:
ASPNET_REGIIS.EXE -i
El numero de elementos por pagina difiere del numero que especifique.

Al especificar la cantidad de elementos que desea mostrar por cada pagina, la configuracion se
guarda en el directorio de cookies del explorador Web y caduca cuando se agota el tiempo de
sesion.
El tiempo de espera de la consola Web se agota muy frecuentemente.

Se puede modificar el tiempo de espera de sesion predeterminada de las paginas Web de la
consola. El valor para IIS es de 20 minutos de inactividad antes de que caduque la sesion. Para
cambiar el tiempo de espera de sesion de IIS predeterminado:
1. En el servidor Web, haga clic en Inicio > Herramientas administrativas > Servicios de
Information de Internet (Gerente de IIS).
2. Expanda el Sitio Web predeterminado.

3. Haga clic con el boton derecho en la carpeta LDSM y luego haga clic en Propiedades.
4. En la etiqueta Directorio virtual, haga clic en Configuracion.
5. Haga clic en la pestana Opciones de la aplicacion y luego cambie el tiempo de espera de
sesion al valor que desee.
NOTE: Endpoint Manager es un producto basado en sesiones. No deshabilite el estado de la sesion.
No puedo ver la pagina Control remoto en la consola Web.

Para ver la pagina Control remoto, debe habilitar los controles ActiveX. Algunos exploradores tienen
deshabilitados los controles ActiveX de forma predeterminada. Si la pagina Control remoto no se
carga correctamente, cambie las opciones de seguridad para habilitar los controles ActiveX en el
explorador.
1186
GUÍA DE USUARIO
Se realizo el asistente del nuevo paquete de distribucion, pero la consola no creo ningun paquete.
La consola Web utiliza las cuentas lUSRy IWAM en el servidor de la consola. Estas cuentas se
crearon originalmente segun el nombre del equipo. Si alguna vez cambio el nombre del equipo, es
necesario seguir los pasos que se incluyen a continuacion a fin de crear satisfactoriamente
paquetes de distribucion de software.
1. Si tiene instalado .Net Framework, desinstalelo.

2. Desinstale IIS.
3. Vuelva a instalar IIS.
4. Vuelva a instalar el .Net Framework si lo desinstalo.
No se ejecuto un trabajo de distribucion de software programado.

Si programa un trabajo de distribucion de software y este no se inicia, verifique que el servicio Intel
Local Scheduler Service este en ejecucion en el dispositivo.
Tambien, tenga en cuenta que la programacion del trabajo se basa en la hora del servidor central. Si
el trabajo se programo en una consola que reside en otra zona horaria, el trabajo comenzara segun
la hora del servidor central, que puede ser diferente a la esperada.
Los graficos de informe no se muestran correctamente.

Para visualizar la barra interactiva y los graficos circulares que aparecen en muchos informes, es
necesario tener Adobe Flash Player instalado. Verifique que Flash este instalado y luego vuelva a
ejecutar el informe.
iPorque veo dos instancias del mismo dispositivo en mi base de datos?

iHa eliminado un dispositivo de la base de datos central y lo ha vuelto a instalar con
UninstallWinClient.exe?
UninstallWinClient.exe se encuentra en el recurso compartido LDMain, el cual constituye la carpeta

principal del programa ManagementSuite. Solamente los administradores tienen acceso a dicho
recurso compartido. Este programa desinstala los agentes de IVANTI en todos los dispositivos en
los que se ejecute. Puede moverlo a cualquier carpeta que desee o agregarlo a la secuencia de
comandos de inicio de sesion. Es una aplicacion de Windows que se ejecuta en segundo plano sin
mostrar una interfaz. Quiza se muestren dos instancias del dispositivo en la base de datos que se
ha eliminado recientemente. Una de las instancias contiene solamente datos historicos y la otra
contiene datos futuros.
Le agregue una unidad S.M.A.R.T. a un dispositivo, pero no veo el monitor de unidad S.M.A.R.T. en
la lista de inventario del dispositivo.
La supervision de hardware depende de las capacidades del hardware instalado en un dispositivo,
asf como de la configuracion correcta del mismo. Si un disco duro con capacidades para la
supervision
S.M.A.R.T. se instala en un dispositivo, pero S.M.A.R.T. no se encuentra habilitado en la
configuracion del BIOS del dispositivo, o si el BIOS del dispositivo no es compatible con S.M.A.R.T.,
la informacion sobre supervision no se encontrara disponible y no se generaran alertas resultantes.
1187
En las secuencias de comandos de DOS OS basadas en PXE, se truncaron partes despues de la

coma.
En cualquier renglon de una secuencia, se truncan todos los caracteres despues de la coma, por lo
tanto, no se ejecutan los comandos despues de la coma. Para evitarlo, utilice comillas dobles
alrededor de todo el comando, de este modo:
REMEXEC1=%QUOTE%echo "hola, buenos dias"%QUOTE%
Las comillas sencillas no funcionan, debido a que se quitan al leer el archivo .INI.
Al intentar instalar el Control remoto desde la consola Web en una subred diferente, no se puede
instalar el visor de RC.
Si se conecta con una consola Web alojada en un servidor central de un dominio diferente y hace
clic en el boton derecho en la lista Mis dispositivos yselecciona Control remoto, se generara un
error que informa que el visor de control remoto no se instalo correctamente.
Para solucionarlo, la direccion URL del CAB se obtiene mediante la lectura de la etiqueta
denominada "CabUrl" proveniente de web.config. La direccion CabUrl de la etiqueta debe contener
el nombre de dominio completo del servidor central en lugar de solo el nombre del equipo. Debe
abrir web.config e ingresar el nombre completo del dominio en la pestana CabUrl.
El dispositivo de disco USB no se incluye en la lista de inventario hasta que no se ejecute un rastreo
de inventario.
Cuando un dispositivo de disco se conecta con un cable USB a un dispositivo administrado, este no
aparecera de forma inmediata en los discos duros del inventario del dispositivo. Se enumera en
Unidades logicas una vez conectado al dispositivo. Sin embargo, no aparecera en las unidades de
disco duro hasta que no se ejecute un rastreo de inventario en el dispositivo.
En los dispositivos administrados de Linux, el dispositivo de disco USB debe estar instalado para
que se incluya en el inventario. Si se monto pero no se ejecuto un rastreo de inventario, aparecera
en las Unidades logicas; despues del rastreo de inventario, aparecera en Discos duros. Cuando se
desconecta un dispositivo, debe desmontarse del sistema. En algunos sistemas Linux que se
ejecutan utilizando un kernel anterior, el dispositivo tambien debe estar en la lista de inventario una
vez desconectado y desmontado. En este caso, el dispositivo administrado debe reiniciarse antes
deque el dispositivo se elimine de la lista de inventario.
1188
GUÍA DE USUARIO
La misma direction IP aparece dos veces en la lista Todos los dispositivos

En dispositivos Linux, en otro segmento que no sea el servidor central, pueden aparecer varias
entradas con la misma direccion IP en la lista Mis dispositivos del dispositivo. Para los nodos que
se encuentran en el mismo segmento de red que el servidor central, la deteccion obtiene la
direccion MAC de un nodo a partir de Ethernet del paquete ICMP. En los nodos que se encuentran
en el mismo segmento de red que el servidor central, la deteccion obtiene la direccion MAC de una
consulta NETBIOS. Debido a que los nodos de Linux no responden a una consulta NETBIOS, no se
puede obtener una direccion MAC con una deteccion de rastreo de red estandar para los nodos
Linux que se encuentran en un segmento de red distinto al del servidor central. Cuando se
implementa un cliente en un nodo, la direccion MAC del archivo de rastreo se utiliza para buscar el
registro de inventario que se va a actualizar (despues de intentar el Id. del dispositivo). No se
pueden encontrar los registros que no tienen una direccion MAC ni un Id. de dispositivo, de modo
que se crea un registro nuevo. Puede eliminar la entrada duplicada en la lista de dispositivos
detectados.
Ver la consola del Monitor e inventario en tiempo real

[consola web]
Utilice la consola del Monitor e inventario en tiempo real para ver informacion resumida de alto nivel
sobre algun dispositivo, ver informacion como la del CPU o del ventilador, supervisar el estado de
integridad y los umbrales de los componentes clave de un dispositivo, administrar vulnerabilidades
y encender, apagar o reiniciar algun dispositivo.
La consola del Monitor e inventario en tiempo real incluye las siguientes herramientas:
• Informacion del sistema

• Sesion remota
• Monitor
• Reglamentos
• Opciones de enerqia
• Configuracion de hardware
NOTE: Con el fin de ver la consola del Monitor e inventario en tiempo real de un dispositivo, primero es
necesario desplegarel agente de administracion de IVANTI, con los componentes del Monitor e inventario en
tiempo real seleccionados, en ese dispositivo. Ademas, debe reiniciar el dispositivo tras la instalacion del agente
para que la consola de informacion del servidor funcione correctamente. Se requiere el reinicio cuando instala el
agente en el servidor central, al igual que en los dispositivos administrados.
Para ver la consola de inventario en tiempo real
1. En IVANTIconsola de administracion, haga clic con el boton derecho en el dispositivo y

seleccione Monitor e inventario en tiempo real.
Tambien puede hacerclicen Herramientas > Informes/Monitor > Tablero de mantenimiento
1189
y haga doble clic en un dispositivo de la lista.
La consola se abre en una nueva ventana del exploradory muestra la pagina Resumen de
mantenimiento en forma predeterminada.
2. Haga clic en los botones de resumen de integridad para ver detalles sobre la informacion de
integridad del dispositivo.
3. Haga clic en los elementos del cuadro de herramientas para utilizar las herramientas
disponibles.
Informacion del sistema

La pagina Informacion del sistema contiene datos resumidos sobre el mantenimiento del
dispositivo, al igual que informacion sobre hardware y software, registros del sistema y otros datos
como informacion sobre activos y la red.
Resumen de mantenimiento
La pagina Resumen de mantenimiento ofrece un panorama rapido sobre el mantenimiento del
sistema del dispositivo. Puede ver a simple vista si los elementos de hardware seleccionados
funcionan correctamente y si existen problemas potenciales deban tratarse.
Si uno de los elementos de mantenimiento se encuentra en un estado de advertencia o cntico, el

boton correspondiente contiene un icono amarillo (advertencia) o rojo (cntico) que indica que hay
un problema. Haga clic en el boton para ver una descripcion del suceso que ha causado la alerta de
advertencia o crftica.
Resumen del sistema

Utilice la pagina Resumen del sistema para ver informacion importante sobre el dispositivo
seleccionado. La informacion contenida en la pagina podna incluir lo siguiente, en funcion del tipo
de hardware y software configurado en el dispositivo.
• Estado de integridad: el estado general del dispositivo, tal como lo definen las condiciones y
los parametros establecidos.
• Tipo: tipo de dispositivo, tales como el de impresion, de aplicacion o de base de datos.
• Fabricante: fabricante del dispositivo.
• Modelo: modelo del dispositivo.
• Version de BIOS: version del BIOS del dispositivo.
• Sistema operativo: sistema operativo del dispositivo.
• Version del sistema operativo: el numero de version del sistema operativo.
• CPU: fabricante, modelo yvelocidad del procesador del dispositivo.
• Tipo de IPMI, Version de IPMI: tipo y numero de version de IPMI que utiliza el dispositivo.
• Version de BMC: en dispositivos Intel AMT y vPro, es el numero de version del controlador
de administracion del tablero de base.
• Version de SDR: version del registro de datos de sensor del BMC del dispositivo.
1190
GUÍA DE USUARIO
• Rastreador de vulnerabilidades: la version del rastreador de vulnerabilidades.

• Control remoto: version del agente de control remoto.
• Distribution de software: version del agente de distribucion de software.
• Rastreador de inventario: version del rastreador de inventario.
• Kernel: en los dispositivos Linux, es el numero de version del kernel instalado.
• Supervision: numero de version del agente de supervision que se encuentra en el
dispositivo.
• Uso de la CPU: porcentaje del procesador actualmente en uso.
• Memoria fsica utilizada*: porcentaje de la memoria ffsica total utilizada en el dispositivo.
• Memoria virtual utilizada*: porcentaje de la memoria virtual total utilizada en el dispositivo.
• Ultimo reinicio*: fecha y hora del ultimo reinicio del dispositivo (en el huso horario de la base
de datos).
• Unidad: unidades del dispositivo con el tamano total de la unidad y el porcentaje de espacio
utilizado.
Esta informacion se obtiene del registro de Windows o de los archivos de configuracion de Linux.
* Esta informacion aparece luego de haber instalado un agente en el dispositivo.
Hardware
Utilice la pagina Hardware para ver detalles sobre la configuracion de hardware del dispositivo. Los
elementos de la lista Hardware se agrupan en las categonas siguientes. Observe que no todas las
categonas estan presentes para todos los dispositivos. Por ejemplo, si el dispositivo no tiene
sensores de ventiladorytemperatura, la categona Enfriamiento no figura en la lista.
• CPU: procesadores y memoria cache

• Almacenamiento: unidades logicas, unidades ffsicas, medios extrafbles y adaptadores de
almacenamiento
• Memoria: informacion de uso y modulos de memoria
• Chasis: chasis del servidor, indica si la caja esta abierta o cerrada
• Dispositivos de entrada: teclado, raton y otros dispositivos
• Placa base: placa base, ranuras de expansion y BIOS
• Enfriamiento: sensores de ventiladorytemperatura
• FRU: Field-replaceable units
• Alimentation: fuentes de alimentation
• Voltaje: voltajes
• Sensores IPMI: sensores discretos y numericos
• Dell DRAC: datos de Dell DRAC. Haga clic en los botones para iniciar la utilidad Dell DRAC y el
administrador del servidor Dell DRAC.
Definicion de umbrales de alerta para elementos de hardware

Algunos elementos de la lista Hardware representan datos de los sensores del dispositivo, tales
1191
como los sensores de temperatura. Si un dispositivo administrado contiene componentes con

sensores compatibles, puede cambiar las lecturas de los sensores que ocasionan una alerta. Por
ejemplo, un sensor de temperatura de CPU podna tener lecturas de temperatura mfnima y maxima
que ocasionan alertas de advertencia y crfticas. Por lo general, los umbrales se basan en los valores
recomendados por el fabricante, pero puede cambiar los valores superiores e inferiores en el cuadro
de dialogo Umbrales.
1. En el cuadro de herramientas del Monitor e inventario en tiempo real, haga clic en

Information del sistema.
2. Amplfe la carpeta Hardware para encontrar el elemento de hardware que desee (por ejemplo,
Enfriamiento > Temperaturas).
3. En la lista de sensores, haga doble clic en el sensor en el cual desee definir los umbrales.
4. Escriba los valores en los cuadros de texto de umbral inferior o superior, o mueva los
deslizadores en la barra de seguimiento hacia la izquierda o la derecha para cambiar los
valores.
5. Haga clic en Actualizar para guardar los cambios.
6. Para volver a los valores originales de los umbrales, haga clic en Restaurar valores
predeterminados.
Registros
La pagina de Registros muestra los registros del sistema local, el registro de eventos del sistema
(SEL) de los dispositivos IPMI y un registro de alertas.
Los registros locales, como los registros de Aplicaciones, Seguridad y Sistema, tiene un boton de
Actualizar para mostrar los datos mas recientes y un boton de Borrar para eliminartodos los
elementos de la lista.
Si el BIOS del dispositivo puede borrar el registro de BIOS, haga clic en el boton Borrar para quitar
todas las entradas de registro. Este boton no esta disponible si el BIOS no es compatible con esta
accion.
El registro de Alertas muestra todas las alertas actuales del dispositivo. Puede filtrar por nombre,
estado o instancia para reducir el numero de alertas de la lista, y puede habilitar el filtro de fechas
para mostrar solamente las alertas de un intervalo espedfico de fechas.
El registro de Eventos de hardware muestra datos en tiempo real o los elementos archivados. Puede
eliminar elementos individuales, purgartodos los elementos de la lista o actualizar la lista para
mostrar los elementos mas recientes del registro.
La pagina Historial de aprovisionamiento muestra el historial de aprovisionamiento del dispositivo,

incluyendo la fecha de la accion de aprovisionamiento, su estado y la plantilla que se uso.
Software
La pagina Software muestra informacion de resumen sobre los procesos, servicios y paquetes del
dispositivo, al igual que una lista de las variables de entorno actuales.
• Procesos: muestra los procesos que se estan ejecutando; haga clic con el boton derecho en
1192
GUÍA DE USUARIO
un proceso y seleccione Terminar proceso para terminarlo

• Servicios: muestra los servicios disponibles en el dispositivo y su estado; haga clic con el
boton derecho en un servicioy seleccione Detener, Iniciar o Reiniciar
• Paquetes: muestra una lista de los paquetes instalados con los numeros de version y el
nombre del proveedor
• Entorno: muestra las variables de entorno que se han definido en el dispositivo
Otros
La pagina Otros muestra informacion sobre los activos y un resumen del hardware y las conexiones
de red.
• Informacion de activos: vea y modifique la informacion de administracion de activos. Haga

clic en Informacion de contacto para introducir detalles, como el nombre y posicion de la
persona que usa el dispositivo, asf como la ubicacion, el departamentoy el numero de
matncula de activo del dispositivo. Haga clic en Informacion del sistema para ver la
informacion del sistema, como numero de serie, fabricante y tipo de chasis
• Informacion de la red: vea una lista del hardware de red instalado, las estadfsticas de la
actividad de red, un resumen de la configuracion (incluso la direccion IP, la direccion de
puerta de enlace predeterminada y la informacion de servidor WINS, DHCP y DNS),
aligualqueuna lista de las conexiones de red actuales (unidades asignadas)
Sesion remota
Utilice la Sesion remota para iniciar una sesion de control remoto con el dispositivo seleccionado.
Si el dispositivo es un servidor de Windows, se inicia el control remoto estandar del producto. Para
los servidores Linux, puede elegir entre sesiones remotas SSH y SFTP.
En el cuadro de herramientas del Monitor e inventario en tiempo real, haga clic en Sesion remota y
luego haga clic en Iniciar para iniciar la sesion de control remoto.
Monitor
Utilice la pagina Supervision para ver los contadores de rendimientoyestablecer los umbrales de los
componentes del dispositivo. Los contadores de rendimiento se usan con el aviso Monitor de
desempeno para supervisar sucesos espedficos en un dispositivo relacionados con el rendimiento.
Para recibir avisos basados en los contadores de rendimiento se debe haber implementado un
reglamento de aviso en el dispositivo, que incluya la regla de aviso del Monitor de desempeno.
Para seleccionar el contador de rendimiento a supervisar

Supervision.
2. Haga clic en la pestana Configuration del contador de rendimiento.
3. En la columna Objetos, seleccione el objeto que desee supervisar.
4. En la columna Instancias, seleccione la instancia del objeto que desee supervisar, si
corresponde.
1193
5. En la columna Contadores, seleccione el contador espedfico que desee supervisar.

6. Especifique la frecuencia de sondeo y la cantidad de dfas que se conservara el historial de
conteo.
7. En el cuadro de texto Alertar si el contador se sale del intervalo, especifique la cantidad de

veces que el contador podra sobrepasar los umbrales antes de generar una alerta.
8. Especifique los umbrales superiores e inferiores.

Para visualizar un grafico de rendimiento de un contador supervisado
1. Haga clic en la pestana Contadores activos de rendimiento.

2. En la lista Contadores, seleccione el contador para el cual desee ver el grafico de
rendimiento.
3. Seleccione Ver datos en tiempo real para visualizar un grafico del rendimiento actual o
seleccione Ver datos historicos para visualizar un grafico que muestre el rendimiento a
traves de un lapso de tiempo especificado (mediante el uso de Mantener historial al
seleccionar el contador.)
En el grafico de rendimiento el eje horizontal representa el tiempo que ha pasado. El eje vertical
representa las unidades que se miden, tales como bytes por segundo (por ejemplo, al supervisar
transferencias de archivos), porcentaje (al supervisar el porcentaje de la CPU que se utiliza) o bytes
disponibles (al supervisar el espacio en la unidad de disco duro).
Reglamentos
Utilice la herramienta Reglamentos para ver una lista de las configuraciones de reglamentos de
alertas asignadas al dispositivo seleccionado y ver los detalles de cada alerta.
Para ver los reglamentos de alertas

Reglamentos.
2. Seleccione el nombre del reglamento de la lista desplegable para ver los detalles del mismo.
Las columnas de cada alerta se describen a continuacion.
• Tipo de alerta: descripcion del evento de alerta supervisado.

• Estado: se generara una alerta cuando un evento de alerta alcance el estado de severidad en
esta columna. Pueden seleccionarse varios estados para un evento.
1194
GUÍA DE USUARIO
• Action: accion que se realiza si se genera el aviso, como se ha definido en el reglamento de

avisos.
• Contribuir al mantenimiento: si el evento de alerta alcanza el estado especificado, el estado

de mantenimiento del dispositivo cambia en la lista de Todos los dispositivos o en el tablero
de mantenimiento.
Opciones de energla
Las Opciones de energia permiten apagar, reiniciar, y en el caso de dispositivos IPMI e Intel AMT
administrados, encender dispositivos remotos. En el caso de dispositivos que no son IPMI, el
dispositivo debe tener el agente de IVANTI implementado para poder ejecutar las funciones de
reinicioyapagado.
En los equipos IPMI e Intel vPro, se deben tener las credenciales configuradas correctas para
ejecutar funciones de encendido, apagadoy reinicio. Si los dispositivos IPMI o Intel vPro tienen
implementado el agente de IVANTI, podra ejecutar las funciones de apagadoy reinicio sin las
credenciales de IPMI o Intel vPro. Para configurar las credenciales BMC en dispositivos IPMI, utilice
Configuracion de servicios.
Para utilizar las opciones de alimentacion en el dispositivo seleccionado
1. En el cuadro de herramientas del Monitor e inventario en tiempo real, haga clic en Opciones
de eneâ.
2. Seleccione Reiniciar, Apagar o Encender, y luego haga clic en Aceptar.
NOTE: Si tiene varios servidores centrales, puede utilizar las opciones de alimentacion del servidor central en el
que inicio sesion por primera vez. Si cambia a otro servidor central e intenta utilizar las opciones de alimentacion,
el comando de alimentacion no se ejecutara correctamente.
Configuracion de hardware
La herramienta Configuracion de hardware permite configurar las opciones de los dispositivos que
tienen IPMI, Intel vPro y Dell DRAC. Esta herramienta y las opciones se visualizan solamente en los
dispositivos que tienen el hardware correspondiente (por ejemplo, las opciones de IPMI solo se
visualizan si el dispositivo se reconoce como dispositivo IPMI).
1195
El escritorio de mantenimiento
Uso del Tablero de mantenimiento [consola Web]
El tablero de mantenimiento digital es una vista, de alto nivel, simple y clara de los dispositivos.
Cada dispositivo se representa con un icono que muestra el estado actual del dispositivo. Los
dispositivos aparecen en el tablero de mantenimiento con base en los ambitos y roles. El tablero de
mantenimiento puede moverseyconfigurarse. El tablero de mantenimiento muestra la integridad
general detodos los dispositivos en la vista, indica la cantidad de dispositivos segun el estado (X
cantidad de dispositivos en estado Crftico, X cantidad de dispositivos en estado Normal, etcetera).
Puede ver un grafico y una lista de dispositivos o bien, desacoplar el grafico yvisualizarlo por sf
mismo en la estacion de trabajo o en un supervisor de grupo.
Cuando se hace clic con el boton derecho en el icono del dispositivo, se pueden seleccionar los
elementos basicos de resolucion de problemas, como ping, seguir la ruta y control remoto (si se
administra el dispositivo). Tambien puede seleccionar Ver los detalles, lo cual abre la consola del
Monitor e inventario en tiempo real.
• Para abrir el tablero de mantenimiento

• Para ver la consola del Monitor e inventario en tiempo real
• Para ver las propiedades del dispositivo
• Para ejecutartareas basicas de resolucion de problemas
• Para ordenar los dispositivos por nombre o estado de mantenimiento
• Para acoplar el grafico del tablero de mantenimiento
• Para ver los dispositivos por cateqoria de estado
• Para actualizar el tablero de mantenimiento
Para abrir el tablero de mantenimiento
1. En la consola de IVANTI Management, haga clic en Herramientas > Informes/Monitor >

Tablero de mantenimiento.
El tablero de integridad se abre en un explorador Web. Este muestra los dispositivos que
aparecen en el grupo de Todos los dispositivos. Si los dispositivos aparecen varias veces en
Todos los dispositivos, tambien figuran varias veces en el tablero de mantenimiento.
1196
GUÍA DE USUARIO
2. Para evitar la enumeracion repetida de dispositivos:

. Configurar las opciones para configurar el manejo de los nombres de dispositivos
duplicados en Configure IVANTI Software Services (en la consola de IVANTI
Management, haga clicen Configurar > Servicios).
. Al personalizar las columnas en la vista de dispositivo, evite elegir un atributo que

resulte en la enumeracion de un dispositivo varias veces. Por ejemplo, al seleccionar
las aplicaciones de software se podna enumerar varias veces un dispositivo debido a
que se enumero una vez por cada aplicacion de software instalada.
NOTE: Para que los cuadros de dialogo y las ventanas se muestren apropiadamente, el servidor Web de
Endpoint Manager debe agregarse a la lista del bloqueador de ventanas emergentes del explorador.
Para ver la consola del Monitor e inventario en tiempo real

• En el tablero de mantenimiento, haga doble clic un dispositivo.
La consola del Monitor e inventario en tiempo real presentara una lista de inventario basico e
informacion del sistema, asf como una opcion de control remoto,configuracion de alertas de
rendimientoy supervision, y opciones de energfa.
Para obtener mas informacion, consulte "Ver la consola del Monitor e inventario en tiempo real
[consola web]" (1175).
Para ver las propiedades del dispositivo

• En el tablero de mantenimiento, haga clic con el boton derecho en el dispositivo y haga clic
en
Propiedades.
Puede ver el nombre del dispositivo, la direccion IP, el porcentaje de CPU y uso de la memoria, y la
cantidad de espacio restante del disco duro. Al visualizar las Propiedades se establece una
conexion con el dispositivo para recopilar informacion en tiempo real sobre mediciones clave, como
el espacio de almacenamientoy la memoria utilizada.
Si el dispositivo esta fuera de lmea (o no puede comunicarse con la red), el cuadro de dialogo
Propiedades reportara un error.
NOTE: Si la opcion del Monitor e inventario en tiempo real no esta instalada con el agente IVANTI en un
dispositivo, la opcion Propiedades no aparecera cuando se haga clic con el boton derecho en el dispositivo.
Para ejecutar tareas basicas de resolucion de problemas
El tablero de mantenimiento ofrece funcion basica para la resolucion de problemas, tal como
realizar un ping del dispositivo, el control remoto (si se administra el dispositivo) y el acceso a la
consola de informacion de dispositivo del dispositivo.
1197
1. Para controlarun dispositivo de forma remota, haga cliccon el boton derechoen el mismoy
seleccione Control remoto.
2. Para realizar un ping de un dispositivo de forma remota, haga clic con el boton derecho en el
mismo y seleccione Ping de dispositivo.
3. Para enviar un comando de seguimiento de ruta a un dispositivo, haga clic con el boton
derecho en el mismo y seleccione Seguimiento de dispositivo.
Para ordenar los dispositivos por nombre o estado de mantenimiento
1. En la barra de herramientas del tablero de mantenimiento, haga clic en la lista desplegable

Ordenar por.
2. Seleccione Nombre o Estado.
Para acoplar el grafico del tablero de mantenimiento
1. En la barra de herramientas del tablero de mantenimiento, haga clic en Acoplar grafica.
Se abrira una ventana acoplable, la cual muestra el grafico y la informacion de estado basica.
2. Para devolver el grafico a la ventana del tablero de mantenimiento principal, haga clic en el
boton Acoplar grafico otra vez.
Para ver los dispositivos por categona de estado
1. En la barra de herramientas del tablero de mantenimiento, haga clic en la lista desplegable

Ver.
2. Seleccione una opcion de estado de mantenimiento (Normal, Advertencia, Crftico o
Crftico/advertencia).
NOTE: Tambien puede hacer clic en una barra (o seccion de disco) de la grafica para ver solamente los
dispositivos que corresponden a ese estado.
Para actualizar el tablero de mantenimiento
Despues de agregar nuevos dispositivos a la lista Mis dispositivos, debe actualizar manualmente el
tablero de mantenimiento para ver estos nuevos dispositivos. Para hacer esto, haga clic en el boton
Actualizar en la barra de herramientas del tablero de mantenimiento.
Esto agrega dispositivos a la lista o los elimina de ella y actualiza el estado de cada dispositivo. No
tiene que actualizar el tablero de mantenimiento de forma manual para ver la condicion actual del
dispositivo. Cuando cambia la condicion de un dispositivo monitoreado, el tablero de
mantenimiento actualiza de forma automatica sus fconos de dispositivos para reflejar la condicion
del dispositivo actual.
1198
GUÍA DE USUARIO
Configurar las opciones del tablero de mantenimiento [consola Web]
Para configurar el modo en que el tablero de mantenimiento muestra datos
1. En la barra de herramientas del tablero de mantenimiento, haga clic en el boton Opciones.

2. Escriba un numero (en segundos) en el cuadro Actualizar cada para definir la frecuencia con
que el tablero de mantenimiento verifica las actualizaciones del estado de integridad.
3. Seleccione en la lista Tipo de grafico (barra en 3D, circular en 3D, barra en 2D, circular en 2D)
el tipo de grafico que desea mostrar.
4. En la lista Ver, seleccione la categona de estado que desea mostrar. Puede mostrar todos los
dispositivos o mostrarlos segun el tipo de estado (Normal, Advertencia, Crftico,
Crrtico/Advertencia).
5. Seleccione como desea ordenar los dispositivos (por Nombre o Estado).
6. Seleccione Iconos grandes para mostrar la vista del tablero de mantenimiento con iconos
grandes.
7. Seleccione Ver lista para ver la lista de dispositivos con las mismas columnas que en la
consola principal. No se muestran iconos grandes en esta vista.
El estado de integridad se actualiza segun la frecuencia que se especifique en este dialogo. Si desea
actualizar el estado inmediatamente, puede hacer clic en el boton Actualizar de la barra de
herramientas.
Acceso remoto
Uso del control remoto [consola Web]
El control remoto le permite diagnosticarysolucionar problemas de los dispositivos. Durante una

sesion remota, puede hacer en el equipo remoto todo lo que un usuario que se encuentre enfrente
de el puede hacer, pero utilizando de teclado de su equipo. Todas las acciones ocurren en tiempo
en real en dicho equipo. El control remoto le permite:
• Corregir software e identificar problemas de software de forma rapida al permitir que
usuarios autorizados verifiquen y controlen un equipo de forma remota
• Tener acceso a archivos remotos
• Transferir archivos en cualquier direccion
• Ejecutar aplicaciones remotas
• Reinicio remoto
1199
Establecer el acceso de control remoto para los usuarios a traves de la herramienta de

administracion basada en roles. Si cuenta con seguridad integrada o basada en certificados, el
derecho de control remoto se puede establecer de modo que excluya dfas de la semana u horas del
dfa. Si un usuario esta controlando un equipo de forma remota y se le agrega una restriccion de
hora al derecho de control remoto de dicho usuario, la sesion dejara de funcionar cuando llegue la
hora de finalizacion de la restriccion.
Prerrequisitos para utilizar el control remoto

• Para utilizar el control remoto desde la consola, es necesario instalar en primer lugar el Visor
de control remoto. Para instalar el visor, es necesario disponer de privilegios administrativos
en el equipo local. El sistema le solicitara que descargue el visor al obtener acceso por
primera vez a la pagina de control remoto. Si fuera necesario, puede desinstalar el visor de
control remoto con el subprograma Agregar o quitar programas del Panel de control de
Windows. Busque la Consola de control remoto de IVANTIEndpoint Manager en la lista de
programas.
• Para poder controlar dispositivos de Windows de forma remota, instala y cargue el agente de
control remoto del producto. Este agente se instala por medio de una de las acciones
siguientes:
• Cree una tarea de configuracion de agente en la consola y programe un despliegue al

dispositivo
• Asigne una unidad del dispositivo al servidor central yejecute la configuracion de

agente adecuada
Este agente puede cargarse como servicio residente para brindar acceso inmediato al equipo
o bien, (si posee seguridad basada en certificados) instalelo como agente a peticion para
cargarlo solo cuando sea necesario.
• Ademas, se puede instalar el controlador de reflejo de control remoto para mejorar el

rendimiento de la deteccion, captura y compresion de cambios de pantalla si la CPU del
dispositivo es lenta (< 2,0 GHz) o la red es rapida (> 100 MBbs). Observe que el control
remoto no admite graficos DOS ni la funcion de pantalla completa de DOS. La ventana del
sfmbolo de sistema puede en un principio no mostrarse al utilizar el controlador de reflejo. Si
esto ocurre, minimfce la ventana y luego vuelva a maximizarla.
Uso del control remoto
Para controlar un dispositivo mediante la consola Web
1. En la lista Mis dispositivos, haga clic en el icono del dispositivo al cual desea conectarse y
seleccione Control remoto.
Tambien puede seleccionar el dispositivo y, en el panel de acciones, hacer clic en

Propiedades > Control Remoto.
1200
GUÍA DE USUARIO
Esta accion abre el Visor de control remoto de IVANTI. Otras opciones incluyen el control
remoto KVM para dispositivos Intel vProy el control remoto HTML 5 basado en un navegador.
2. Si prefiere utilizar otro tipo de control remoto, haga clic en Acceso Remoto > Control remoto
del cuadro de herramientas de la consola Web. Seleccione Directo, KVM, o Basado en un
navegadory luego especifique el nombre del dispositivo o la direccion IP del dispositivo que
desea controlar.
Tambien puede controlar de forma remota varios equipos a la vez. Despues de iniciar una sesion,
regrese a la consola Web y seleccione otro equipo.
Para obtener informacion sobre el control remoto de dispositivos Linux, consulte "Acceso remoto a
dispositivos Linux [consola Web]" (1193).
Configuracion de la seguridad del cliente de Windows 2003 para el control remoto

El servicio residente utiliza la seguridad de Windows NT. Para trabajar con servidores Windows
2003, debe configurar los clientes de servidor de modo que se utilice el modelo clasico de
compartimiento y seguridad de cuentas locales de Windows 2003 (los usuarios locales se
autentican ellos mismos). Si no lo hace, la autenticacion de solo invitado predeterminada no
funcionara con la seguridad de Windows NT de control remoto.
Para establecer el modelo de seguridad de Windows 2003 en clasico
1. En el cliente Windows 2003, haga clic en Inicio > Panel de control.

2. En el subprograma Herramientas administrates > Politicas de seguridad local, haga clic en
Opciones de seguridad > Acceso de red: Establezca el Modelo de seguridad y recursos
compartidos de cuentas locales en Clasico: usuarios locales autenticados como ellos
mismos.
Control remoto de dispositivos de Windows [consola Web]

Para iniciar el control remoto
1. En la lista de dispositivos de la consola Web, seleccione el dispositivo que desee controlar.

2. En el panel de acciones, haga clic en la ficha Propiedades > Control remoto.
Tambien puede hacer clic con el boton derecho en el dispositivo yseleccionar Control
remoto. Se abrira el Visor de control remoto IVANTI.

Una vez que se controla un dispositivo remoto, el monitor de este se muestra en la ventana
principal del visor. Si el agente de control remoto esta cargado, el Panel de mensajes de conexion
del visor ofrece informacion de estado.
1201
Uso de las teclas de acceso rapido en control remoto
Para utilizar las teclas de acceso rapido en el visor de control remoto
Es necesario controlar remotamente un dispositivo de forma activa para utilizar teclas de acceso
rapido.
1. En la ventana del visor, presione la combinacion de teclas de acceso rapido de cualquiera de

las acciones disponibles.
2. Para acceder rapidamente a las teclas de acceso rapido, haga clic en el boton Enviar una
secuencia de teclas especiales de la barra de herramientas y seleccione un comando.
Para ver las teclas de acceso rapido utilizadas comunmentey cambiar la secuencia de teclas, haga
clic en la ficha Herramientas > Opciones > Configuration de tecla de acceso rapido del visor de
control remoto.
NOTE: Si las teclas de acceso rapido no funcionan, es posible que la ventana del Visor no se encuentre
activada. Si el borde es de color azul/negro, la ventana no se encuentra activada. Haga clic en el interior de la
ventana para cambiar el color del borde a amarillo/negro. Ahora las teclas rapidas se encuentran activadas.
Envfo de Ctrl+Alt+Supr a dispositivos Vista y Windows 7
La poiftica de seguridad local de Windows Vista y Windows 7 no permitiran enviar Ctrl+Alt+Supr

desde un visor a control remoto. Para cambiar esto, siga el procedimiento siguiente.
Para permitir Ctrl+Alt+Delete en dispositivos de Windows Vista y Windows 7
1. En el cuadro de busqueda del menu Inicio, escriba gpedit.msc y pulse Intro.
2. Vaya a Politicas de equipo local > Plantillas administrates > Componentes de Windows >
Opciones de inicio de sesion en Windows > Secuencia de atencion segura de software.
3. Haga doble clic en Deshabilitar o Habilitar la Secuencia de atencion segura de software.
4. Haga clic en Habilitada y, en la lista de Opciones, haga clic en Servicios o en Aplicaciones de

servicios y facilidad de acceso.
Navegar en la pantalla del dispositivo remoto
La opcion de desplazamiento automatico se encuentra activada de forma predeterminada. Cuando

el Autodesplazamiento esta habilitado y se esta realizando control remoto de un dispositivo,
coloque el cursor a lo largo del borde amarillo/negro de la ventana del visor ydesplacese hacia
arriba, hacia abajo, o de lado a lado. Cuanto mas cerca este el cursor del borde, mas rapido se
realizara el desplazamiento.
Se puede desactivar el Desplazamiento automatico. Al hacerlo, el borde amarillo/negro se sustituye

por barras de desplazamiento de ventana si alguna parte de la pantalla del dispositivo remoto esta
oculta.
1202
GUÍA DE USUARIO
Para desactivar el Desplazamiento automatico en el visor de control remoto
1. Haga clic en Herramientas > Opciones y desactive la casilla de verificacion Permitir el

desplazamiento automatico.

3. Utilice las barras de desplazamiento horizontal y vertical para mover la pantalla del
dispositivo remoto.
Dibujar en la pantalla del dispositivo remoto
Puede utilizar herramientas basicas de dibujo para destacar una zona de la pantalla en el dispositivo
remoto. El usuario remoto ve lo que se dibuja, lo cual puede ser de utilidad si estas mostrando algo
al usuario para ayudarle a resolver un problema.
Para destacar una parte de la pantalla remota con las herramientas de dibujo
1. En el visor de control remoto, haga clic en el boton Resaltar un area de la pantalla remota.
2. Utilice las opciones de la barra de herramientas flotante y dibuje en la pantalla remota.
Realizar una sesion de chat con el usuario remoto
A medida que se ejecuta una sesion de control remoto, puede abrir una ventana de conversacion
con el usuario del dispositivo remoto. Esto es util cuando se esta ayudando a solucionar un
problema o se le muestra a alguien como realizar una tarea.
Para abrir una ventana de chat con el usuario remoto
1. En el visor de control remoto, haga clic en el boton Iniciar/Detener una sesion de chat.
2. Escriba un mensaje en el cuadro y haga clic en Enviar.
3. Para terminar la sesion de chat, haga clic en Detener o vuelva a hacer clic en el boton de la
El intercambio de mensajes se muestra en la ventana de chat. Puede guardar la sesion de chat con
el fin de mantenerla como referencia futura.
Visualizacion de mensajes de la conexion
El panel de Mensajes de conexion de la ventana del visor muestra los mensajes de estado enviados
a la barra de estado (como los intercambios de paquetes del agente de control remoto). Los
mensajes permanecen en la lista de manera que pueda:
• Ver la historia de la sesion remota

• Diagnosticar problemas con la sesion.
• Comprobar si esta cargado el agente de control remoto.
• Comprobar el estado del agente de control remoto.
Para ver los mensajes de la conexion desde la consola

• Si el panel de Mensajes de conexion no aparece, haga clic en Ver > Mensajes de conexion.
Guardando los mensajes de la conexion
1203
Mientras este en una sesion de control remoto, dispone de la opcion de guardar los mensajes de
conexion. Estos mensajes pueden ser utiles en un seguimiento de auditona o si se necesitan
solucionar problemas relacionados con la sesion de control remoto.
Para guardar mensajes de la conexion
1. En la ventana del visor, haga clic en Archivo > Guardar mensajes de conexion.
2. En el cuadro de dialogo Guardar como, escriba un nombre para el archivo yguardelo como
un archivo de texto. Los mensajes de la conexion se almacenan en la carpeta Mis
documentos de forma predeterminada.
Si el agente de control remoto esta cargado, la ventana Mensajes de conexion indicara que el agente
se ubicoyque protocolo esta utilizando. En la lista de dispositivos de la consola Web, tambien vera
el icono de una lupa en el dispositivo que se selecciono cuando se establecio la sesion.
Ejecucion de programas de forma remota
En la ventana del visor, puede iniciar cualquier programa en un dispositivo remoto para
diagnosticar problemas.
Para ejecutar programas de forma remota
1. En el cuadro Ejecutar de la barra de herramientas, introduzca la ruta para el programa que

desee ejecutar. Si necesita ubicar el programa, seleccione Examinar en la lista.
2. Para ejecutar el programa en el dispositivo remoto, haga clic en el boton de Ejecucion remota
del el cuadro de herramientas.
Transferencia de archivos a dispositivos remotos
Puede utilizar la ventana del visor de control remoto para transferir archivos entre el equipo y el
dispositivo remoto. Esto funciona como si se asignara una unidad al dispositivo remoto. Estas
transferencias de archivos solo se pueden realizar en dispositivos en los que se haya instalado el
agente de control remoto.
Esta operacion funciona aun cuando el dispositivo no se controla actualmente de forma remota,
siempre que la conexion se haya creado. La opcion de Ejecutar cada ventana del explorador en un
proceso separado no funciona con la transferencia de archivos.
Para transferir archivos a un dispositivo
1. En la barra de herramientas del visor de control remoto, haga clic en el boton Transferir
archivos al equipo remoto.
2. Haga clic en el nombre del archivo que desee transferir para seleccionarlo. Haga clic en el
boton derecho y seleccione Copiar, o seleccione para arrastrar y colocar.
3. Recorra la estructura en arbol del Explorador de Windows hasta Control remoto IVANTI.
Debajo, haga clic en el nombre del dispositivo remoto que esta controlando.
4. En el dispositivo remoto, abra la carpeta en la cual desee pegar el archivo, haga clic con el
boton derecho y seleccione Pegar.
1204
GUÍA DE USUARIO
De forma similar, se pueden transferir archivos de un dispositivo remoto al dispositivo.

Apagado y reinicio de dispositivos remotos
Los dispositivos se pueden apagar o reiniciar de forma remota. Para ello, aparece un cuadro de
mensaje en el dispositivo remoto que avisa que el sistema se apagara en X segundos. Si alguien se
encuentra en ese momento en el equipo, puede apretar el boton Apagar o Cancelar.
Si no se toman medidas, se efectuara el reinicio cuando la cuenta regresiva llegue a 0.

Si el dispositivo dispone de aplicaciones abiertas con datos no almacenados, probablemente estas
aplicaciones interrumpiran el cierre cuando les indiquen al usuario que guarden los datos. Puede
que tenga que ejercer el control remoto en el dispositivo y guardar/cerrar las aplicaciones para que
funcione el apagado o el reinicio.
Para reiniciar un dispositivo remoto

1. En el visor de control remoto, haga clic en el boton Reiniciar el equipo remoto en la barra de
herramientas.
2. Introduzca una hora para mostrar un cuadro de mensaje en el equipo remoto (maximo 300
segundos).
3. Escriba un mensaje para el usuario, el cual aparecera en el cuadro de mensajes.
4. Para mantener la conexion remota despues de reiniciar el equipo, seleccione la casilla de
verificacion Continuar la sesion tras el reinicio.
5. Para conservar la configuracion que se introdujo de manera predeterminada, seleccione la
casilla de verificacion Guardar esta configuracion.
Configuracion de opciones de sesion

Hay varias opciones de configuracion que se pueden cambiar para mejorar el uso del visor de
control remoto, como cambiar las opciones de visualizacion, optimizar el rendimiento de la red y
cambiar las asignaciones de teclas de acceso rapido en el equipo remoto.
Para configurar las opciones de la sesion remota

1. En el visor de control remoto, haga clic en Herramientas > Opciones.
2. Realice los cambios en las tres paginas del cuadro de dialogo como se describe a
continuacion.
3. Cuando haya finalizado, haga clic en Aceptar.
Etiqueta de Cambiar la configuracion

• Permitir el desplazamiento automatico: habilita el desplazamiento de la ventana del visor a
medida que se acerca el cursor al borde amarillo/negro de la ventana. Cuando esta opcion
esta desactivada, la ventana del dispositivo remoto tiene barras de desplazamiento
horizontal y vertical si alguna parte de la ventana queda oculta.
• Bloquear el teclado y raton remotos: bloquea el raton y el teclado del dispositivo de modo
que solo el usuario que trabaja con la ventana del visor pueda controlar el dispositivo
remoto. Observe que no se bloquean las combinaciones de teclas de Windows como "Ctrl
1205
+Alt+Supr" o la tecla "Windows+L".

• Sincronizar Portapapeles: sincroniza los portapapeles entre la consola del visor y el
dispositivo remoto para que se pueda copiar informacion entre los dos equipos.
• Ocultar la pantalla del equipo remoto: hace que la pantalla del dispositivo remoto quede en
blanco de modo que solo el usuario que ejecuta el visor pueda ver la pantalla del dispositivo
remoto.
• Siempre solicitar que se borre la pantalla del equipo remoto: en lugar de borrar
automaticamente la pantalla del dispositivo remoto, esta opcion muestra un cuadro de
mensajes al usuario remoto para que acepte que se va a borrar la pantalla.
• Bloquear el equipo remoto al terminar la sesion: Bloquea el dispositivo remoto cuando
finaliza la sesion, por lo que cualquier persona en ese dispositivo debe proporcionar las
credenciales para utilizarlo de nuevo.
• Asignacion automatica del teclado: Permite que la distribucion de teclado de la consola del
visor se utilice en el dispositivo remoto.
• Habilitar la compatibilidad con agentes anteriores: Si desea realizar control remoto de un
dispositivo que tenga el agente de IVANTI anterior a la version 8.5, seleccione esta casilla de
verificacion para permitir la conexion.
• Uso de nombres alternativos: permite el uso de nombres alternos de la persona que utiliza el
visor de control remoto de manera que los nombres de inicio de sesion y del equipo reales
no aparezcan en el dispositivo remoto. Si selecciona esta opcion, escriba los nombres
alternativos en los cuadros de texto de abajo.
Ficha de Optimizar el desempeno
• Optimizar el desempeno de: Seleccione Modem, Banda Ancha, LAN o Personalizado, de
acuerdo con lo que sea apropiado para su ambiente de red. (Estas opciones tambien estan
disponibles en el boton del cuadro de herramientas Optimizar el rendimiento de la velocidad
de conexion.)
• Uso del controlador de reflejo en un equipo remoto: carga el controlador de reflejo para un
rendimiento mejorado en equipos mas lentos. Este controlador puede reducir la cantidad de
tiempo necesario para ver el escritorio del equipo de destino y aumentar la calidad visual de
la imagen del escritorio de destino. Puede ser util si el agente de control remoto puede ser
descargado a traves de Internet o instalado en las maquinas por los usuarios que no tienen
derechos administrativos.
• Suprimir el fondo de escritorio remoto: Aumenta la frecuencia de visualizacion al no mostrar
el fondo de escritorio del dispositivo remoto. Algunos fondos de escritorio ralentizan
sustancialmente las sesiones de control remoto.
1206
GUÍA DE USUARIO
• Reducir la profundidad de color: si se conecta a traves de una conexion lenta o una conexion
de acceso telefonico, esta opcion reduce la cantidad de informacion de colores que se
transmite. Cuanto mas se reduzca la escala, mayor sera la cantidad de artefactos (distorsion)
que se apreciaran.
Etiqueta de configuracion de las teclas de acceso directo

Esta pagina del cuadro de dialogo muestra once combinaciones de teclas de acceso directo que
pueden utilizar las personas que realicen sesiones de control remoto para enviar comandos al
equipo remoto. Estas teclas de acceso directo son diferentes a las combinaciones de teclas
estandar de Windows porque si se introdujeran las teclas estandar se inicianan comandos en el
equipo en el cual se ejecuta el visor de control remoto, no el equipo remoto.
Para cambiar una tecla de acceso directo, haga clic en el cuadro y presione la combinacion de
teclas que desee utilizar. La combinacion de teclas (por ejemplo, Ctrl+Shift+T) se introducira en el
cuadro.
Acceso remoto a dispositivos Linux [consola Web]

Para acceder a un dispositivo Linux de forma remoto, debe implementarse al menos el agente de
administracion estandar en el dispositivo. Cuando se selecciona un dispositivo Linux en cualquier
lista de dispositivos de la consola Web, se tiene la opcion de usar SSH y SFTP para realizar control
remoto.
NOTE: Si el dispositivo todavfa no ha tenido ningun agente desplegado, y se selecciona un comando de control
remoto de la consola Web, el visor de control remoto de Windows se abre porque todavfa no se conoce el
sistema operativo. El visor informara que no puede establecer conexion con el dispositivo.
Para acceder a un dispositivo remoto de Linux
1. Seleccione el dispositivo en una de las listas de dispositivos de la consola Web.

2. En el panel acciones, haga clic en la pestana Propiedades.
3. Haga clic en el boton SSH o en el boton SFTP.
Si selecciona el acceso SSH, se abre una ventana con una sesion SSH en el dispositivo remoto.
Debe proporcionar un nombre de usuario y una contrasena para tener acceso al dispositivo. Tras la
autenticacion se abre una sesion de shell segura en el dispositivo remoto.
Si selecciona el acceso SFTP, se abre una ventana con una vista FTP segura del dispositivo remoto
(basada en una conexion SSH). Debe proporcionar un nombre de usuario y una contrasena para
tener acceso al dispositivo. Tras la autenticacion, puede utilizar la funcion FTP segura para
transferir archivos entre el equipo y el dispositivo remoto.
1207
Distribucion de software
Informacion general sobre la Distribucion de Software [consola Web]
La herramienta de distribucion de software le proporciona la capacidad de distribuir paquetes de
software en los dispositivos de destino. La herramienta admite varios tipos distintos de paquetes.
1208
GUÍA DE USUARIO
Entre las funciones de distribucion de software se incluyen:
• Los metodos de entrega permiten un control detallado sobre como se completan las tareas
• Sencillo programador de tareas que se integra con la base de datos del inventario para
facilitar la seleccion final
• Elaboracion de informes de estado en tiempo real para cada tarea de implementacion
• Generador de paquetes con todas las funciones para la generacion de paquetes de software
completos
• Capacidad para distribuir cualquiertipo de paquetes, incluidos MSI, setup.exe yotros
instaladores
La distribucion de software consiste de tres pasos principales:
1. Cree u obtenga un paquete de software. El paquete de software puede consistir de uno o mas
archivos MSI, un ejecutable, un archivo de proceso por lotes, archivos RPM (Linux), etcetera.
En la mayona de los casos, el paquete de software debe contenertodo lo necesario para
instalar la aplicacion que se esta distribuyendo. Coloque el paquete en el servidor de entrega
de paquetes de distribucion.
2. Cree un paquete de software. El paquete de distribucion contiene los archivos
yconfiguracion necesarios para instalar un paquete de software espedfico, tal como el
nombre del paquete, cualquier dependencia o requisito previo, conmutadores de lmea de
comandos, etc. Una vez que se crea un paquete de distribucion, la informacion se almacena
en la base de datos y se puede utilizar en multiples tareas.
3. Cree un metodo de entrega por envfo. El metodo de entrega por envfo define la forma en que
el paquete se enviara a los dispositivos. Estas opciones no se asocian a un paquete de
distribucion especfico. No cree un metodo de entrega cada vez que desee distribuir un
paquete. Los metodos de entrega permiten definir las mejores practicas para la
implementacion del software. Lo ideal sena crear una plantilla de metodo de entrega que
pueda volver a utilizarse en distribuciones con el mismo metodo de entrega.
4. Programe las tareas de distribucion en la ventana Tareas programadas. En dicha ventana,
especifique la secuencia de comandos del paquete de distribucion, el metodo de entrega, los
dispositivos que reciben el paquete de distribucion y la hora de distribucion de la tarea.
Cuando llegue el momento programado, el servicio programador inicia el identificador de tareas

programadas, que se conecta con el agente de distribucion de software en cada uno de los
dispositivos y le informa de que el paquete esta listo para su instalacion.
El agente de distribucion de software obtiene el paquete del servidor de entregas y lo procesa en el

dispositivo instalando o eliminando los archivos empaquetados.
Una vez procesado el paquete, el agente de distribucion de software envfa el resultado al servidor
central, donde se registra en la base de datos central.
La separacion de las tareas de distribucion en dos partes, paquetes de distribucion y los metodos
de entrega, simplifica el proceso de distribucion. Puede crear plantillas del metodo de entrega que
1209
sean independientes de un paquete particular. Si existen distintas personas en la organizacion que

crean y distribuyen paquetes, estos cambios simplifican los roles de trabajo y la division de tareas.
Los creadores de paquetes pueden trabajar de forma independiente de los que entregan paquetes.
Puede crear paquetes personalizados y subgrupos de paquetes en los que puede agrupar paquetes
relacionados para la distribucion simultanea.
Prerrequisitos de la distribucion de software

Los dispositivos que reciben paquetes de distribucion de software deben tener instalados los
siguientes agentes de producto:
• Agente de IVANTI estandar

• Agente de distribucion de software (solo Windows)
Si no cuenta con un paquete existente para desplegar, puede utilizar la tecnologfa de generacion de
paquetes de IVANTI para crear un programa ejecutable independiente que instale el software
requerido. Se puede configurar un servidor Web o un servidor de red como "servidor de entregas"
para almacenar los paquetes de distribucion. Se puede programar la tarea distribucion a traves de la
consola. El servidor central establece la comunicacion entre la ubicacion del paquete (ruta URL o
UNC) y el dispositivo y, a continuacion, el dispositivo copia solo los archivos o las porciones de
archivo que necesita desde el servidor de entregas.
Por ejemplo, si esta instalando un programa de software que ya ha sido previamente implementado,
debido a que algunos de sus archivos faltaban o estaban danados, el sistema copia solo dichos
archivos, no el programa entero. Esta tecnologfa tambien funciona correctamente con enlaces de
redes WAN. Se puede almacenar el paquete en varios servidores y, a continuacion, programar los
dispositivos para que utilicen el servidor de acuerdo con sus necesidades (es decir, segun la
proximidad de la ubicacion, la disponibilidad del ancho de banda, etc.).
Uso del comando Iniciar en un paquete de archivo de proceso por lotes

El paquete de distribucion de software se ha disenado para ejecutarse como si se hubiese emitido a
partir del comando Ejecutar el menu Inicio de Windows. Si un archivo de proceso por lotes se
ejecuta mediante el comando Ejecutar, se cierra al finalizar. Si un programa necesita ejecutarse en
una ventana de comandos abierta, se cerrara de forma prematura al ejecutarlo a traves de un
paquete de distribucion de archivo de proceso por lotes.
El programa se puede configurar para que continue ejecutandose mediante el uso del comando
start en el archivo de proceso por lotes. El comando start abrira realmente una nueva ventana
de comandos que permanece abierta despues de que ha finalizado el archivo de proceso por lotes y
se ha cerrado la ventana inicial de comandos.
El siguiente es un ejemplo de un archivo de proceso por lotes que utiliza el comando "Iniciar" para
abrir una nueva ventana de comandos al ejecutar el programa Ejemplo.exe.
start "Titulo" /D "c:\archivos de programa\ManagementSuite\ldclient\sdmcache\swd\alerttest"
Ej emplo.exe
El primer parametro ("Tftulo") es el nombre de la ventana de comandos que aparece en la barra de
tftulo. Observe que el tftulo es obligatorio debido a que la ruta al archivo ejecutable se
malinterpretana como el tftulo si se omitiera. Si la ruta al archivo ejecutable incluye un espacio,
1210
GUÍA DE USUARIO
debe encerrarse en comillas. Si el tftulo no estuviera presente, la ruta al archivo encerrada en

comillas se malinterpretana como el tftulo, aunque este presente el conmutador/D que indica la ruta.
Esta lmea del archivo de proceso por lotes ejecuta el archivo Ejemplo.exe en una nueva ventana de
comandos de tftulo "Tftulo". Para obtener mas ayuda sobre el comando Iniciar, escnbalo con el
conmutador/h o/? en el indicador de comandos.
Distribuir software a dispositivos Linux [consola Web]

Una vez implementados los agentes de Linux, el software se puede distribuir en los dispositivos
Linux. La implementacion inicial de agentes Linux utiliza una conexion SSH. Una vez instalados los
agentes, el servidor central utiliza el agente de administracion estandar para comunicarse con el
dispositivo Linux y para transferir archivos. Para distribuir software en un dispositivo Linux, debe
contar con derechos administrativos.
Solamente se pueden distribuir RPM en dispositivos Linux. Los agentes Linux instalan de forma
automatica el RPM que se distribuye. Una vez instalado, el RPM no quedara almacenado en el
servidor. Se puede instalar y desinstalar el RPM especificado mediante la distribucion de software.
Solo puede utilizar los metodos de instalacion automatica con la distribucion de software Linux.
Para la distribucion de software Linux, se ignora la configuracion en el metodo de envfo, para que
no importe que metodo de instalacion automatica selecciona o cual es la configuracion.
La distribucion sigue el siguiente proceso:
1. El servidor central se conecta al dispositivo Linux a traves del agente de

administracion estandar.
2. El dispositivo descarga el paquete.
3. El dispositivo ejecuta una secuencia shell que utiliza los comandos RPM para instalar el
paquete de RPM.
4. El dispositivo envfa estados al servidor central.
Se pueden almacenar RPM de Linux en recursos compartidos HTTP. La distribucion de software de

Linux no admite los recursos compartidos de archivos UNC. Para los recursos compartidos HTTP,
compruebe que este habilitada la exploracion de directorio. Si se usa el recurso compartido HTTP
en un dispositivo Windows que no sea el servidor central, se necesitara configurar el IIS con el tipo
MIME adecuado para los archivos RPM. De lo contrario, el tipo MIME predeterminado que utiliza el
IIS causara el fallo de RPM al descargar el archivo.
Para configurar el tipo MIME RPM en los dispositivos Windows
1. Desde el Panel de control de Windows, abra Internet Services Manager.

2. Vaya a la carpeta que almacena los archivos de distribucion. En el menu contextual de esa
carpeta, seleccione Propiedades.
3. En la pestana Encabezados HTTP, haga clic en el boton Tipos de archivos.
4. Haga clic en Tipo Nuevo.
5. Para el tipo Extension asociada, escriba rpm. Tenga en cuenta que rpm se encuentra en
letras minusculas.
1211
6. En el Tipo de contenido, ingrese texto/sin formato.

7. Haga clic en Aceptar para salir de los cuadros de dialogo.
Una vez que se han almacenado los archivos en el recurso compartido de paquetes, se lo asociara
con el metodo de entrega deseado, y se programara el envfo.
Acerca de los Paquetes de distribucion [consola Web]

La vista Paquetes de distribucion muestra los tipos de distribucion disponibles y cualquier otro
paquete que se haya creado para cada tipo de distribucion. Cuando selecciona un paquete de
distribucion creado, se pueden ver sus propiedades, borrarlo, clonarlo, ubicarlo en un grupo con
otros paquetes o restablecer el hash del paquete.
Para crear un nuevo paquete de distribucion, seleccione un paquete de distribucion en el panel

izquierdo y haga clic en Nuevo.
Tipos de paquetes de distribucion de software
La distribucion de software admite estos tipos de paquetes:
MSI
Estos paquetes tienen el formato del instalador de Windows. Debe utilizarse una herramienta de
otro fabricante para crear paquetes MSI. Estos paquetes consisten principalmente de un archivo
MSI primario y pueden incluir archivos ytransformaciones compatibles. Las transformaciones
personalizan la forma en que se instalan los paquetes MSI. Si el paquete MSI contiene varios
archivos, asegurese de agregarlos todos en el cuadro de dialogo Paquete de distribucion.
Ejecutable
A fin de que se utilice un paquete ejecutable para la distribucion de software, debe satisfacer el
criterio siguiente:
• El archivo ejecutable no se debe cerrar antes de que finalice la instalacion.

• El archivo ejecutable debe devolver el valor cero (0) si la instalacion es satisfactoria.
Siempre que el archivo ejecutable satisfaga estos dos criterios, se puede utilizar cualquier
ejecutable para la instalacion del paquete. Puede incluir archivos adicionales para los paquetes
ejecutables.
1212
GUÍA DE USUARIO
Archivo por lotes

Los paquetes de archivos de proceso por lotes se basan en un archivo de proceso por lotes de
Windows/DOS. Puede incluir archivos adicionales para estos paquetes de distribucion. El estado
de finalizacion satisfactoria del paquete de archivos de procesamiento por lotes se basa en el valor
de la variable de entorno del sistema de errorlevel cuando haya finalizado la ejecucion del
archivo de procesamiento por lotes.
Macintosh
Se puede descargar cualquier archivo de Macintosh, aunque Endpoint Manager no descargara
directorios. Los paquetes de instalacion (.pkg) pueden contener directorios. Se deben comprimir.
Si el archivo descargado tiene la extension .sit, .zip, .tar, .gz, .sea o .hqx, descomprimira el archivo
antes de regresar.
NOTE: Los usuarios deben asegurarse de que Stuffit Expander tiene la opcion de "buscar nuevas versiones"
desactivada; de lo contrario, un cuadro de dialogo puede interrumpir la ejecucion de las secuencias de
comandos.
Linux RPM
Estos paquetes tienen el formato Linux RPM. Estos paquetes deben almacenarse en un recurso
compartido Web para que funcione la distribucion en Linux RPM.
Virtualizacion de aplicaciones de IVANTI

La Virtualizacion de aplicaciones de IVANTI utiliza la tecnologfa Thinstall para virtualizar una
aplicacion y la almacena en un archivo ejecutable autocontenido con la aplicacion y las
dependencias de controlador de dispositivo o de .DLL. Las aplicaciones virtualizadas se ejecutan
en un entorno aislado sin realizar cambios en la instalacion de Windows en la cual estan operando.
Las aplicaciones virtualizadas se ejecutan en dispositivos bloqueados sin requerir privilegios

adicionales.
Por lo general, las aplicaciones virtualizadas consisten en uno o mas archivos ejecutables. La
distribucion de software se puede utilizar para implementar archivos ejecutables de aplicaciones
virtualizadas en los dispositivos administrados. Cualquiera de los metodos de entrega de
distribucion de software se puede usar con los paquetes de aplicaciones virtualizados, incluso el
comando de Ejecucion desde el origen. Cuando se implementa la ejecucion de un paquete de
aplicaciones virtualizado desde el origen, los dispositivos administrados utilizan un icono de
acceso directo a la aplicacion para ejecutar el ejecutable de la aplicacion virtualizada a traves de la
red.
1213
Paquetes de Windows Script Host (WSH)

Los paquetes de Windows Script Host (WSH) son una nueva alternativa de Microsoft para agrupar
archivos en lotes, pero a menudo se utilizan para automatizartareas similares, como asignar
unidades, copiar archivos o modificar claves de registro. Los archivos WSH se utilizan casi siempre
con archivos Jscript (.js) y VBScript (.vbs). Una ventaja del paquete de Windows Script Host sobre el
paquete .bat consiste en que permite que el usuario combine varios lenguajes en un archivo
individual usando la extension de archivo independiente de lenguaje (WSF). Estos paquetes a
menudo se pueden crear en Notepad, editor de HTML, Microsoft Visual C++ o Visual InterDev.
Paquete SWD
Estos son paquetes que se crearon mediante el Generador de paquetes IVANTI Enhanced Package
Builder (instalado de forma separada). Aunque Enhanced Package Builder ya no viene con Endpoint
Manager, IVANTI Software todavfa admite la distribucion de archivos que han sido creados con el.
Estos son archivos ejecutables que tienen propiedades que los identifican de forma unica como
paquetes de distribucion de software (SWD).
Linux
La distribucion de Software es compatible con Red Hat Enterprise Linux Advanced Platform 5 y
SUSE Linux Enterprise Server 10/11. Compatible con implementacion RPM. No compatible con
Secuencias. Los archivos adicionales deben estar ubicados donde Linux los pueda encontrar. Para
almacenar los RPM se puede utilizar un recurso compartido de Web o un sitio HTTP anonimo. Linux
no admite unidades asignadas.
Grupos de paquetes
• Mis paquetes: paquetes de distribucion que han sido creados por el usuario actual. Los
usuarios con derechos administrativos tambien pueden ver estos paquetes.
• Paquetes publicos: paquetes de distribucion que los usuarios han marcado como publicos.
Cualquier usuario que programe un paquete de este grupo se convertira en el propietario de
la tarea asociada. La tarea permanecera en el grupo Tareas publicas y tambien figurara en el
grupo Tareas de usuario de ese usuario.
• Todos los paquetes de distribucion: los paquetes de distribucion del usuario actual y los que
se han marcado como publicos.
• Paquetes de distribucion del usuario: (solo usuarios administrativos) lista de todos los
paquetes de distribucion ordenados segun el propietario o creador (no incluye los paquetes
publicos).
Grupos personalizados
Puede crear grupos personalizados en los grupos Mis paquetes, Paquetes publicos y Paquetes de
distribucion del usuario. Solo un administrador puede realizar cambios en los Paquetes de
distribucion del usuario. Con los grupos personalizados, se pueden agrupar paquetes relacionados
tales como el paquete de Microsoft Office 2007 MSI con el paquete ejecutable de Microsoft Office
2007. Para crear grupos personalizados en los paquetes publicos de distribucion, se deben tener
derechos de Configuracion de distribucion publica.
1214
GUÍA DE USUARIO
Para crear un grupo personalizado
1. En el cuadro de herramientas de la consola Web, haga clic en Distribution > Distribution.

2. Haga clic en uno de los grupos de paquetes de distribucion.
3. Haga clic en el boton Nuevo grupo de la barra de herramientas.
4. Escriba un nombre en el cuadro Nombre de grupo y haga clic en Aceptar.
5. Para mover un paquete u otro grupos al nuevo grupo, seleccione los paquetes o el grupo en
la lista y haga clic en el boton Mover/Copiar de la barra de herramientas.
Puede mover o copiar paquetes u otros grupos desde todos los grupos de paquetes excepto los
paquetes de distribucion del usuario.
Restablecimiento de hash del paquete
El agente de distribucion de software utiliza el algoritmo hash MD5 para verificar que el paquete y
los archivos adicionales se descarguen correctamente. Al programar un paquete de distribucion, el
producto descarga los archivos y calcula los valores hash asociados con el archivo principal y los
archivos adicionales utilizados por el paquete de distribucion.
Si el hash que se guardo con el paquete no coincide con el valor hash calculado por el agente en el
dispositivo de destino, la descarga es invalida. Si realiza cualquier cambio en el paquete fuera del
producto, tal como la actualizacion del contenido del paquete, debe restablecer el valor hash, caso
contrario fallaran las tareas programadas que utilice el paquete actualizado.
Para restablecer el valor hash de un paquete
1. En el cuadro de herramientas de la consola Web, haga clic en Distribucion > Distribucion.

2. Busque el paquete en los grupos de paquetes de distribucion.
3. Seleccione el paquete y haga clic en el boton Restablecer un hash de paquete del cuadro de
herramientas.
Mover/Copiar paquetes
Puede mover o copiar definiciones de paquetes de distribucion, como un paquete que envfa un
archivo ejecutable a un conjunto de dispositivos de destino.
Para mover o copiar un paquete de distribucion

3. Seleccione el paquete y haga clic en el boton Mover/Copiar del cuadro de herramientas.
4. Seleccione el grupo en el que desee guardar el nuevo paquete y haga clic en Mover o Copiar.
Mover o copiar un paquete de distribucion solo mueve o copia los ajustes del paquete de
distribucion, no los archivos que se estan distribuyendo.
1215
Programar una tarea de distribucion [consola Web]

Cuando haya creado un paquete de distribucion y metodo de entrega, puede programar el paquete
que se va a desplegar en los dispositivos que administre. Se pueden programar elementos para
entrega de una sola vez o programar una tarea repetitiva
Antes de programar tareas para un dispositivo, este debe contener el agente IVANTI estandary
encontrarse en la base de datos de inventario. Las configuraciones del servidor IVANTI constituyen
una excepcion. Puede distribuir a un servidor que no tenga el agente de administracion estandar.
Para programar una tarea de distribucion

3. Seleccione el paquete y haga clic en el boton Programar de la barra de herramientas.
4. Configure la tarea mediante la configuracion de las opciones en las cinco paginas del cuadro
de dialogo.
Para obtener mas informacion acerca de las opciones individuales del cuadro de dialogo
Propiedades de tareas programadas, consulte "Programacion de tareas [consola Web]" (1205).
NOTE: Al hacer clic en el boton Programar, se crea una tarea. No tiene dispositivos de destino y esta sin
programar. Si cancela este procedimiento de Tarea programada, tenga en cuenta que la tarea figurara de todas
maneras en la Lista de tareas.
Crear un metodo de entrega [consola Web]

Puede crear y modificar metodos de entrega en la consola Web. La pestana Metodos de entrega
muestra todos los metodos de entrega disponibles y cualquier metodo de entrega que haya
configurado.
Grupos de metodos de entrega
Los metodos de entrega se almacenan en los grupos siguientes:

• Mis Metodos de Entrega: metodos de entrega que han sido creados por el usuario actual. Los
usuarios administrativos tambien pueden ver estos metodos de entrega.
• Metodos de Entrega Publicos: metodos de entrega que tienen un tipo de propietario de
Publico o Usuario publico. Cualquier usuario que programe un metodo de entrega de este
grupo se convertira en el propietario de esa tarea. La tarea permanece en el grupo Tareas
comunes y tambien figura en el grupo Tareas de usuario de ese usuario.
• Todos los Metodos de Entrega: los metodos de entrega del usuario actual y los metodos de
entrega marcados como publicos.
1216
GUÍA DE USUARIO
• Metodos de Entrega del usuario: (solo usuarios administrates) lista de todos los metodos de
entrega ordenados segun el propietario o creador (no incluye los metodos de entrega
publicos).
Dentro de cada grupo, los metodos de entrega estan organizados portipo (Polftica de apoyo, Envfo,
Poiftica y Multidifusion).
Para obtener mas informacion sobre como se utilizan los metodos de entrega en la distribucion de
software, consulte "Informacion general sobre la distribucion de software."
Para crear un nuevo metodo de entrega

2. En el panel de acciones, haga clic en la ficha Metodos de entrega, seleccione un tipo de
metodo de entrega en uno de los grupos, y haga clic en Nuevo en la barra de herramientas.
3. Escriba un nombre para el metodo en el cuadro de texto Nombre.
4. Agregue informacion en todas las paginas del cuadro de dialogo, como se describe a
continuacion.
Acerca de la pagina Descripcion

• Propietario: establezca un propietario individual o seleccione Publico o Usuario publico para
permitir que otros usuarios compartan los metodos.
• Descripcion: la descripcion especificada aqrn aparece en los arboles y cuadros de dialogo de
Paquetes de distribucion y Metodos de entrega. Utilice un nombre descriptivo que no sea
demasiado largo, debido a que tendra que desplazarse para ver los nombres extensos.
• Cantidad de dispositivos en la distribucion simultanea: Especifica la cantidad maxima de
dispositivos a los cuales se les puede aplicar la tarea de distribucion. Esto puede ayudar a
limitar el trafico de la red cuando la tarea se esta distribuyendo
Acerca de las paginas de Utilizacion de la red
Utilice estas paginas para administrar la utilizacion cuando las tareas se estan distribuyendo.
• Pagina de utilizacion de la red: Seleccione las opciones de transferencia y descarga de

archivos, incluido el servidor preferido, la descargas entre pares yTargeted Multicast™.
• Pagina de ancho de banda: especifique los lfmites de ancho de banda y seleccione las
opciones de conexion de red.
• Pagina de utilizacion del ancho de banda: especifique los porcentajes maximos de ancho de
banda que se utiliza en las opciones de distribucion de WAN y local.
• Pagina del dominio de la multidifusion: seleccione las opciones sobre como implementar las
distribuciones de la multidifusion.
• Pagina de Kmites de la multidifusion: establezca los lfmites relacionados con la entrega de la
multidifusion y la memoria cache de archivos.
Acerca de la pagina Reinicio
1217
Esta pagina permite configurar si se reinicia el equipo tras instalar o eliminar el software. Estas
opciones son compatibles con dispositivos de Windows, peor no con Linux.
• Reiniciar solo si es necesario: los dispositivos se reiniciaran si asf lo requiere el paquete.

• No reiniciar nunca: los dispositivos no se reiniciaran tras la instalacion de un paquete. Si se
selecciona este parametro y el paquete requiere que se reinicie el equipo, se pueden producir
errores de la aplicacion en el dispositivo hasta que se reinicie el sistema. Si el paquete es un
paquete SWD, esta opcion anula cualquier configuracion establecida en el paquete. Si el
paquete es un ejecutable generico o un paquete MSI, la configuracion del paquete puede
anular esta opcion.
• Reiniciar siempre: los dispositivos se reiniciaran independientemente de que el paquete lo
requiera o no.
Acerca de las paginas de Respuestas y tiempos

Utilice estas paginas para determinar como se notifica a los usuarios sobre las tareas de
distribucion y como pueden retrasar o cancelar tareas.
• Respuestas y tiempos: seleccione si desea ocultar o mostrar informacion de respuesta de

los usuarios y si permite que el usuario retrase la ejecucion del paquete o cancelarla.
• Mas opciones de aplazamiento: establezca los lfmites a la cantidad de veces que el usuario
puede retrasar un paqueteysi hayque esperar la respuesta del usuario o iniciar
inmediatamente los paquetes. Debe seleccionar Mostrar progreso al usuario en la pagina de
Respuestas y tiempos para que estas opciones esten disponibles.
• Mensaje personalizado: seleccione si usar una pagina HTML o un cuadro de mensaje de
texto cuando se le notifica al usuario acerca de una distribucion de paquetes.
Acerca de la pagina Tipo y frecuencia de la polftica

Disponible solo para distribuciones de polfticas. Seleccione si la polftica es necesaria, recomendada
u opcional, y seleccione la frecuencia con la cual se aplica la polftica (una vez, segun se desee o a
intervalos regulares).
Acerca de la pagina Degradar

Utilice esta pagina para especificar si se debe degradar la funcion de un paquete de distribucion al
nivel del sistema operativoydel agente en un dispositivo de destino, o si el paquete no se debe
distribuir si el sistema operativo o el agente no puede manejar la funcion predeterminada de la
pagina.
Acerca de la pagina Deteccion

Esta pagina permite elegir las opciones de deteccion de dispositivos. Para que el gestor de tareas
programadas pueda procesar una tarea, debe detectar cada direccion IP actual de los dispositivos.
Esta pagina le permite configurar el modo en que el servicio se comunica con los dispositivos
• UDP: al seleccionar UDP se utiliza el servicio de deteccion de ping (PDS) a traves de UDP. La
mayona de los componentes de dispositivo dependen de PDS, de modo que los dispositivos
administrados deben tenerlo. PDS es parte del agente de administracion estandar.
1218
GUÍA DE USUARIO
Constituye el metodo de deteccion predeterminado y el mas rapido. Con UDP, tambien puede
seleccionar los reintentos y el tiempo de espera de ping a UDP. La deteccion UDP no es
compatible con Linux.
• TCP: al seleccionar TCP se utiliza una conexion HTTP al servidor en el puerto 9595. Este
metodo de deteccion tiene la ventaja de que es capaz de funcionar a traves de un servidor de
seguridad si se abre el puerto 9595. No obstante, esta sujeto a los tiempos de espera de
conexion HTTP si no se encuentran los dispositivos. Dichos tiempos de espera pueden ser
de 20 segundos o mas. Si muchos de los dispositivos de destino no responden a la conexion
TCP, la tarea tardara mucho en iniciarse.
• Ambos: al seleccionar Ambos, el servicio intenta la deteccion primero con UDP, luego con
TCPy finalmente con DNS/WINS, si esta habilitado.
• Numero de reintentos: cantidad de intentos que la deteccion realiza para comunicarse con
los dispositivos.
• Tiempo de espera de la Deteccion: cantidad de milisegundos para que se agote el tiempo de
espera de reintentos de deteccion.
• Tiempo de espera para las difusiones de la Subred: cantidad de milisegundos para que se
agote el tiempo de espera de difusiones de subred.
• Desactivar la difusion de subred: si se selecciona, se desactiva la deteccion a traves de una
difusion de subred. Si se selecciona, se envfa una difusion dirigida a subredes mediante
UDPy PDS.
• Desactivar busqueda de DNS/WINS: si se selecciona, se desactiva la busqueda del servicio
de nombre para cada dispositivo, si falla el metodo de deteccion TCP/UDP seleccionado.
Resolucion de errores de distribucion [consola Web]
La distribucion de software proporciona la capacidad para distribuir paquetes a una gran cantidad
de dispositivos al mismo tiempo. Si existe un problema con el paquete o el software que se esta
desplegando tiene conflictos con el software existente, una tarea puede causar problemas de miles
de dispositivos a la vez. Al planear despliegues mediante la distribucion de software, tenga cuidado
de no crear un gran numero de problemas.
Antes de implementar un paquete nuevo, pruebelo en sistemas de prueba. De forma idonea, los
sistemas de prueba deben incluirtodos los sistemas operativos y las aplicaciones que se utilizan en
el entorno. Una vez que se implemente el paquete, confirme que todos los sistemas y las
aplicaciones funcionen de forma prevista.
1219
Una vez que se haya validado el paquete en los sistemas de prueba, realice una implementacion
limitada. Hagalo en una cantidad reducida de dispositivos del entorno. Al decidir la cantidad de
dispositivos de destino, la regla general es que se haga en la cantidad de dispositivos a los que el
departamento de asistencia tecnica pueda dar servicio. Una vez que el paquete se haya
implementado en los dispositivos, pruebe el sistema un par de dfas para ver si los usuarios
encuentran problemas.
Tras la implementacion inicial, continue distribuyendo el software a los otros dispositivos de la

empresa. La velocidad a la cual se llevan a cabo estas implementaciones debe basarse en cuantos
dispositivos distintos tiene la empresa y a que porcion de una carga se puede manejar para resolver
problemas en los dispositivos de destino.
Otros problemas que podnan presentarse.

Las tareas programadas no encuentran el paquete
Si la tarea programada indica que no puede encontrar el paquete, asegurese que este sea visible al
dispositivo.
Si el paquete esta basado en URL, compruebe que este disponible utilizando un navegador de
Internet. Recuerde, si el DNS se ha configurado para determinarel paquete, tendra queverificarque
este se ha distribuido a todos los servidores Web.
Si se puede ver el paquete en el dispositivo, pero no se descarga debidamente, el problema podna

ser que el recurso compartido del paquete basado en URL o UNC no permita accesos anonimos.
Verifique el permiso del recurso compartido UNC o URLy asegurese de que permite el acceso
anonimo. En las ubicaciones UNC, asegurese de que se haya configurado debidamente como
recurso compartido de sesion nula.
No funciona la deteccion del ancho de banda

Uno de los problemas mas comunes se presenta cuando se ha configurado PDS para la deteccion
del ancho de banda. En la configuracion de dispositivos, una de las opciones de agente de base
comun permite elegir entre PDS e ICMP para la deteccion del ancho de banda de dispositivos. Si se
ha configurado un dispositivo a fin de que utilice PDS para la deteccion del ancho de banda,
solamente realizara la deteccion en conexiones entre RAS y no RAS. De modo que si se configura
una distribucion para que funcione solamente con conexiones de alta velocidad y el paquete se
instala en un equipo con una conexion WAN, asegurese de que este configurado para utilizar ICMPy
no PDS.
Programacion de tareas [consola Web]

La herramienta de Tareas programadas enumera las tareas de distribucion que se han ejecutado
tanto en la consola de IVANTI Management como en la consola Web. Las tareas pueden incluir la
Configuracion de agente, el Administrador de revisiones, la Distribucion de software, el
Aprovisionamiento, las Secuencias de comandos y la Deteccion de dispositivos.
1220
GUÍA DE USUARIO
En la consola Web, puede programar paquetes y secuencias de comandos, polfticas y reglamentos

de alertas. Las tareas aparecen en el panel de acciones de cada funcion. Por ejemplo, si abre la
Herramienta de Distribution, vera una pestana de Tareas programadas en el panel de acciones que
enumera las tareas de distribucion de paquetes. Las tareas de todas estas herramientas tambien se
muestran en la ventana de la herramienta Tareas programadas.
NOTE: Aunque puede ejecutar rastreos de inventario, parche y cumplimiento desde la herramienta Mis
dispositivos, estas tareas no aparecen en la herramienta Tareas programadas. Solo aparecen mensajes de
estado de estos rastreos en el panel de acciones.
La ventana de la herramienta Tareas programadas muestra los siguientes grupos de tareas:
• Mis tareas: tareas que se han programado. Solamente la persona que las programo y los
usuarios administrativos pueden ver estas tareas.
• Tareas publicas: tareas que los usuarios han marcado como publicas. Cualquier usuario que
edite o programe una tarea de este grupo se convertira en el propietario de esa tarea. La
tarea permanecera en el grupo Tareas publicas y tambien figurara en el grupo Tareas de
usuario de ese usuario.
• Todas las tareas: sus tareas y las marcadas como publicas.

• Todas las polfticas: las tareas basadas en polfticas yaquellas marcadas como publicas.
• Tareas de usuarios: (solo usuarios administrativos) lista de todas las tareas ordenados
segun el propietario o creador (no incluye las tareas publicos).
Cuando haga clic en Mis tareas, Tareas comunes o Todas las tareas, la lista de tareas mostrara la
informacion en las siguientes columnas:
• Tarea: nombres de las tareas.

• Iniciar el: momento en que esta programada la ejecucion de la tarea. Haga clic en el nombre
de una tarea y luego en Modificar para cambiar la hora de inicio o volver a programarla.
• Estado: el estado general de la tarea, el cual puede ser En proceso, Todas realizadas, Sin
realizar, No programada, Disponible para descargar o Fallida.
• Paquete de distribucion: nombre del paquete que la tarea distribuye. Este campo solo aplica
a los paquetes de distribucion.
• Metodos de entrega: el metodo de entrega que utiliza la tarea. Este campo solo aplica a los
paquetes de distribucion.
• Propietario: el nombre de la persona que programo la tarea.

• Id. de tareas: un numero de secuencia asignado a las tareas en la base de datos.
Cuando se hace doble clic en una tarea programada, el panel de herramientas muestra la siguiente
informacion de progreso:
• Nombre: el nombre del estado de la tarea.

• Cantidad: la cantidad de dispositivos en cada estado de la tarea.
1221
• Porcentaje: el porcentaje de dispositivos en cada estado de la tarea.

Antes de programar una tarea para un dispositivo, este debe contener el agente adecuado y
encontrarse en la base de datos de inventario. Las configuraciones del servidor constituyen una
excepcion. Pueden tener como destino un dispositivo que no tenga el agente de administracion
estandar.
Las tareas se pueden reprogramar, modificar o eliminar bien sea mediante la herramienta Tareas
programadas o el panel de acciones de la herramienta espedfica. Para modificar alguna plantilla,
seleccionela y haga clic en el boton Modificar de la barra de herramientas.
Crear grupos personalizados de tareas

Puede crear grupos personalizados para los tipos de tareas Mis tareas y Tareas publicas. Con los
grupos personalizados, puede agrupar tareas relacionadas, tales como rastreos de vulnerabilidades
y ejecuciones de secuencias de comandos
Para crear un grupo de tareas personalizado

1. En el cuadro de herramientas de la consola Web, haga clic en Distribution > Tareas
programadas.
2. Seleccione el grupo de tareas en el cual desea crear un grupo personalizado.
3. Haga clic en el boton Nuevo grupo de la barra de herramientas.
4. Escriba un nombre para el grupo y haga clic en Aceptar.
5. Para mover tareas u otros grupos al grupo, seleccionelos en la lista y haga clic en el boton
Mover de la barra de herramientas. Seleccione el grupo personalizado y haga clic en Aceptar.
Traslado de tareas
Utilice el boton de la barra de herramientas Mover para mover la tarea desde un grupo de tareas a
otro, haciendo asf que la tarea sea visible para los usuarios que pueden ver el grupo de tareas al
cual se esta moviendo la tarea.
1. En la herramienta Tareas programadas o la ficha de tareas de alguna herramienta de la

consola Web, seleccione una tarea de uno de los grupos (Mis tareas, Tareas publicas, Todas
las tareas, Todas las polfticas o Tareas de usuario).
2. Haga clic en el boton Mover de la barra de herramientas.
3. Seleccione el grupo de tareas hacia donde desea mover la tarea y haga clic en Aceptar.
Ayuda del Programador de tareas
El cuadro de dialogo Tareas programadas - Propiedades incluye estas paginas:
• Pagina de Informacion general

• Pagina de Secuencias de comandos personalizadas
• Pagina Dispositivos de destino
• Pagina Programar tarea
Acerca de la pagina de Informacion general
. Propietario: presenta el propietario actual de la tarea. Puede seleccionar otro usuario como
1222
GUÍA DE USUARIO
propietario, o seleccionar Publico o Usuario publico para guardar la tarea en el grupo de

Tareas publicas.
• Elemento seleccionado actualmente: muestra el nombre del elemento que se esta
programando. Haga clic en Cambiar para abrir la pagina Personalizados y seleccione un
elemento diferente.
• Destinos seleccionados actualmente: muestra los dispositivos que la tarea tiene como
destinos. Haga clic en Cambiar para abrir la pagina Dispositivos de destino y cambiar los
destinos.
• Hora programada: muestra para cuando esta programada la tarea. Haga clic en Cambiar para
abrir la pagina Programar tarea y cambiar la hora.
Acerca de la pagina Secuencias de comandos personalizadas
• Secuencia de comandos personalizada seleccionada actualmente: Seleccione la secuencia
de comandos que desee programar.
Acerca de la pagina Dispositivos de destino
Utilice esta pagina para agregar destinos de dispositivos a la tarea que esta configurando. En esta
pestana tambien puede ver los dispositivos de destino, las consultas y los grupos de dispositivos
de la tarea.
Tres listas desplegables contienen las consultas, las consultas de LDAPy los grupos que se han
creado en la vista de red de Endpoint Manager.
• Agregar lista de destinos: agrega los dispositivos que se agregaron a la lista de destino
provenientes de Mis dispositivos. (Consulte Dispositivos de destino para obtener
instrucciones.)
• Agregar lista de LDAP: seleccione el objeto LDAP que se agrego a la lista de destino
proveniente del arbol Administrador de directorios.
• Agregar consulta: seleccione una consulta en la primera lista y haga clic en este boton para
agregar los resultados de la consulta a la lista de destinos.
• Agregar consulta de LDAP: seleccione una consulta de LDAP en la segunda lista y haga clic
en este boton para agregar los resultados de una consulta de LDAP a la lista de destinos.
• Agregar grupo: seleccione un grupo en la tercera lista y haga clic en este boton para agregar
el contenido del grupo a la lista de destinos.
• Reactivar dispositivos: Seleccione esta casilla de verificacion si desea reactivar los
dispositivos de destino (que se encuentren apagados o en un estado de suspension o
hibernacion) cuando se inicie la tarea.
• Quitar: Seleccione un elemento de destino y luego haga clic en este boton para quitar esos
1223
NOTE: En la consola Web, los grupos de dispositivos no se destinan como grupos. En cambio, si se
selecciona un grupo y un destino, los dispositivos individuales del grupo se agregan a la lista de
Acerca de la pagina Programar tareas

• Dejar sin programar: (opcion predeterminada) deja la tarea en la lista de tareas para su
programacion futura.
• Iniciar ahora: ejecuta la tarea lo mas pronto posible. La tarea podna tomar hasta un minuto
en iniciarse, dependiendo de otros ajustes.
• Iniciar a la hora programada: inicia la tarea a la hora especificada. Especifique las siguientes
opciones:
• Fecha: fecha en que desea iniciar la tarea.
• Hora: hora en que desea iniciar la tarea.
• Repetir cada: si desea que la tarea se repita, seleccione la frecuencia (Hora, Dfa,
Semana o Mes). Si elige Mes y la fecha no existe en todos los meses (por ejemplo,
31), la tarea se ejecutara solamente en los meses en que exista la fecha.
• Programar estos dispositivos: La primera vez que se ejecute una tarea, deje la opcion
predeterminada de Todos. En ejecuciones posteriores, elija una de los siguientes opciones.
• Dispositivos que no ejecutaron la tarea: seleccione esta opcion si desea que la tarea
solamente se ejecute en los dispositivos que no la realizaron la primera vez. Esta
opcion excluye los dispositivos que tienen el estado Satisfactorio. La tarea se
ejecutara en los dispositivos con todos los demas estados, incluso Esperando o
Activo. Considere esta opcion si necesita ejecutar la tarea en la mayor cantidad
posible de dispositivos que no la ejecutaron, y solamente necesita ejecutarla una vez
en cada dispositivo.
• Esperando o en ejecucion: seleccione esta opcion si desea que la tarea se ejecute en
los dispositivos que estan esperando ser procesados o que se estan procesando.
• Todos: seleccione esta opcion si desea que la tarea se ejecute en todos los
dispositivos, independientemente del estado. Considere esta opcion si tiene una tarea,
particularmente una repetitiva, que necesite ejecutarse en la mayor cantidad de
dispositivos posible.
• Dispositivos que no intentaron ejecutar la tarea: seleccione esta opcion si desea que
la tarea solamente se ejecute en los dispositivos que no la ejecutaron pero que
tampoco fallaron. Esto excluye los dispositivos con el estado Apagado, Ocupado,
Fallido o Cancelado. Considere esta opcion si varios dispositivos de destino fallaron y
no tienen importancia como destino.
• Reintentar tareas en dispositivos con fallo: Si una tarea falla en un dispositivo, permite
volver a intentar la tarea. Especifique el numero de reintentos permitidos en un dispositivo.
1224
GUÍA DE USUARIO
Acerca de la pagina Distribucion
Para mas informacion sobre las opciones del cuadro de dialogo Tareas programadas - Propiedades,
consulte Ayuda sobre Distribucion de software.
Alertas y monitoreo
Visualizacion del registro de alertas [consola Web]
Utilice la pagina Registro de alertas global para ver las alertas enviadas al servidor central. El
registro
se ordena segun la hora (GMT) y las alertas mas recientes aparecen en la parte superior.
Para ver el registro global de alertas
1. En el cuadro de herramientas de la consola Web, haga clic en Supervision > Registro de

alertas.
2. Para ordenar las entradas por columna, haga clic en un encabezado de columna.
4. Para ver una lista de las entradas de registro por nombre de alerta, estado, instancia, nombre
del dispositivo o direccion IP, seleccione los criterios de la lista de Filtros. Por ejemplo,
seleccione Nombre de alerta y escriba un nombre completo (tal como Desempeno) o uno
parcial con el comodfn 64 65 (tal como Remoto*) en el cuadro de texto de filtro. Para buscar
por fecha, seleccione Habilitar filtro de fecha e introduzca una fecha inicial y final. Cuando
haya agregado el criterio de filtro, haga clic en el boton Buscar.
alerta, haga clic en el boton de Confirmar reception de alerta en la barra de herramientas y
luego en Aceptar.
6. Para eliminar una entrada de registro, haga clic con el boton derecho sobre la alerta y
seleccione Eliminar entrada.
7. Para borrar todas las entradas del registro, haga clic con el boton derecho en cualquier lmea
de la columna Nombre de alerta y seleccione Purgar registro.
Haga clic aqrn para ver las descripciones de las columnas del registro de alertas.
• Nombre de la alerta: nombre asociado con la alerta, tal como se ha definido en la pagina
• Hora: la fecha y hora de generacion de la alerta (GMT).
65 Estado: el estado de severidad de la alerta, el cual es uno de los siguientes:
1225
• Desconocido: no puede determinate el estado.

. Informativo: admite los cambios de configuracion o los eventos que los fabricantes

un punto crftico.

genero la alerta.
• Nombre de dispositivo: nombre del dispositivo en el que se genero la alerta. Debe ser un
nombre completamente aceptable.
• Direction IP: direccion IP del dispositivo en el que se genero la alerta.
Consultas
Uso de las consultas [Consola Web]
Las consultas son busquedas personalizadas de las bases de datos centrales. Las consultas
facilitan la administracion de la red, ya que permiten buscar y organizar dispositivos en la base de
datos central, en funcion del sistema operativo y los criterios de busqueda especificados por el
usuario.
Por ejemplo, puede creary ejecutar una consulta que responda solo los dispositivos con una
velocidad de reloj de procesador inferior a 2 GHz, con menos de 4 GB de RAM o un disco duro
inferior a 80 GB. Cree una o varias instrucciones de consulta que representen dichas condiciones y
relacione las instrucciones entre sf utilizando operadores logicos estandar. Al ejecutar las
consultas, puede imprimir los resultados de la consulta y accedery administrar los dispositivos que
coincidan.
En Endpoint Manager, se pueden crear consultas de base de datos sobre dispositivos de la base de
datos central y crear consultas LDAP sobre dispositivos ubicados en otros directorios.
En la consola Web, puede crear consultas de la bases de datos central mediante la herramienta
Consultas. Las consultas LDAPse crean con la herramienta Administrador de directorios.
Ver las consultas disponibles
La pagina de Consultas personalizadas muestra una lista de las consultas que se han creado, ya
sea en la vista de red de Endpoint Manager o en la consola Web.
Para ver las consultas disponibles
1. En el cuadro de herramientas de la Consola Web, haga clic en Informes > Consultas.

2. Amplfe los grupos (Mi consultas, Consultas publicas o Todas las consultas) para ubicar una
consulta.
3. Haga clic con el boton derecho en una consulta para editarla, borrarla o ejecutarla.
1226
GUÍA DE USUARIO
Ejecucion de consultas en la consola Web Para ejecutar una
consulta

2. Amplfe los grupos (Mi consultas, Consultas publicas o Todas las consultas) para ubicar una
consulta.
3. Seleccione la consulta y haga clic en el boton Ejecutar de la barra de herramientas.
Los resultados de la consulta se muestran en el panel de herramientas.
4. Para imprimir los resultados de la consulta, haga clic en el boton Imprimir vista de la barra
de herramientas. Los resultados completos de la consulta aparecen en formato detabla.
Utilice la funcion de Impresion del explorador para imprimir la lista.
5. Para guardar los resultados de la consulta en un archivo CSV (valores separados por
comas), haga clic en el boton Guardar como CSV de la barra de herramientas yespecifique
una ubicacion para guardar el archivo.
6. Para ver un breve resumen del inventario de un dispositivo en los resultados de la consulta,
haga clic con el boton derecho en el dispositivo y haga clic en Ver equipo.
NOTE: Si la lista de consultas abarca varias paginas, utilice las flechas de la parte superior a la derecha de la
pagina para navegar entre ellas. Escriba la cantidad de elementos que se visualizaran en cada pagina y haga
clic en Establecer.
Consultas de columnas personalizada [consola Web]

Las consultas personalizadas resultan de gran utilidad cuando se desean obtener detalles de
inventario sobre el hardware y el software instalado en los dispositivos. Una consulta personalizada
permite generar una lista de dispositivos con inventarios similares. Por ejemplo, si desea actualizar
todos los dispositivos a un procesador de al menos 2 GHz, se pueden consultar en la base de datos
los dispositivos con velocidades de procesador inferiores a 2 GHz. Las consultas personalizadas
tambien se utilizan para definir grupos yambitos.
Se pueden realizar consultas sobre cualquiera de los elementos del inventario (conocidos como
"atributos") que el rastreador de inventario almacena en la base de datos.
Administracion de consultas
Administrar consultas en el panel de herramientas Consultas. Utilice esta herramienta para crear,
modificary eliminar consultas:
• Para ejecutar una consulta existente, seleccionela y haga clic en Ejecutar.

• Para crear una consulta, haga clic en Nueva. Una vez haya creado y guardado la consulta, el
nombre de esta se mostrara en la lista de esta pagina.
1227
• Para modificar una consulta de la lista, haga doble clic en la misma. Se abre la pagina
Modificar consulta con los parametros de consulta que puede modificar.
• Para modificar la consulta mas reciente, haga clic en Editaractual.

• Para eliminar una consulta, seleccionela y haga clic en Eliminar.
• Para borrar los parametros de consulta de la pagina Modificar consulta, haga clic en el boton
Borrar de la barra de herramientas. Si ya se ha guardado la consulta, se borrara de la pagina
pero permanecera en la lista Consultas personalizadas.
Se requieren cuatro pasos para crear una consulta:
1. Crear una condicion de busqueda: especifique un conjunto de atributos de inventario que

servira como base para la consulta.
2. Seleccionar los atributos que se mostraran: limite o "filtre" la consulta de modo que los
resultados muestren los atributos mas utiles como, porejemplo, las direcciones IPo los
nombres de dispositivos de los equipos.
3. Ordenar resultados por atributo: especifique como desea ordenar los resultados de la
consulta. (Esta opcion solo se aplica si, en el paso 2, selecciono mostrar mas de un tipo de
atributo en los resultados de la consulta.)
4. Ejecutar la consulta: ejecute la consulta que se acaba de crear. Tambien se puede guardar
para utilizarla posteriormente, o borrar toda la informacion que incluya para comenzar de
nuevo.
Paso 1: Crear una condicion de busqueda [consola Web]
Una condicion de busqueda es un conjunto de atributos de inventario y valores asociados sobre

los que se realiza una consulta. La consulta puede estar formada por una sola condicion de
busqueda o varias de ellas.
Los siguientes pasos corresponden a la pagina Modificar consulta. En la vista Consultas

personalizadas, haga clic en Nueva, o bien seleccione una consulta existente y haga clic en
Modificar.
Para crear una condicion de busqueda

2. En la barra de herramientas, haga clic en Nuevo o seleccione una consulta existente y haga
clic en Modificar.
3. En el paso 1, haga clic en Editar. Aparecera una ventana en la que se muestra una lista que
representa todos los datos de inventario que se encuentran actualmente en la base de datos.
4. Desplacese por la lista para seleccionar los atributos de la condicion de busqueda. Por
ejemplo, para localizar los equipos del cliente que ejecutan un tipo concreto de software,
seleccione Computer.Software.Package.Name.
1228
GUÍA DE USUARIO
5. Despues de seleccionar los atributos, podras ver una serie de campos en la parte derecha de
la ventana. En estos campos, seleccione un operadory un valor para completar la condicion
de busqueda. Por ejemplo, para ubicartodos los clientes que ejecutan Internet Explorer 7.0,
seleccione los atributos "Equipo.Software.Paquete.Nombre", el operador "=" y el valor
"Internet Explorer". Seleccione el operador booleano Y, y luego haga clic en Agregar.
Seleccione los atributos "Equipo.Software.Paquete.Version", el operador "LIKE" y el valor
"8", y haga clic en Agregar.
6. Para ajustar la consulta, cree otra condicion de busqueda y, a continuacion, agreguela a la
primera con un operador booleano (Y u O). Asimismo, utilice los botones adecuados para
agregar, eliminar, sustituir, agrupar o desagrupar las condiciones de busqueda creadas.
7. Una vez que haya finalizado, haga clic en Aceptar.
NOTE: Para ejecutar y almacenar una consulta sobre el estado de la integridad de los servidores
(Computer.Health.State), debe tener en cuenta que el estado se representa con un numero en la base de datos.
Utilice la tabla siguiente para crear condiciones de busqueda. Por ejemplo, para crear una condicion de
busqueda para equipos con una integridad "Desconocida", utilice el operador "NOT EXIST".
Condicion de integridad Operador
Desconocida NOT EXIST
Normal 2
Advertencia 3
Cntica 4
Paso 2: Seleccion de los atributos que se van a mostrar [consola Web]
En el paso 2, seleccione los atributos que resultaran mas utiles para identificar los equipos
devueltos en los resultados de la consulta. Por ejemplo, para obtener resultados que faciliten la
localizacion ffsica de los equipos que coincidan con los criterios de busqueda definidos en el paso
1, se pueden especificar atributos como el nombre de visualizacion del equipo o la direccion IP.
Para seleccionar los atributos que se van a mostrar
1. En la pagina Modificar consulta, en el Paso 2, haga clic en Modificar. Aparecera una ventana
en la que se muestra una lista que representa todos los datos de inventario que se
encuentran actualmente en la base de datos.
1229
2. Desplacese por la lista para seleccionar el atributo que desea mostrar en la lista de
resultados de consulta. No olvide seleccionar los atributos que le ayudaran a identificar los
equipos del cliente devueltos en la consulta.
NOTE: Si utiliza una base de datos de Oracle, asegurese de seleccionar al menos un atributo que se
haya definido de forma nativa en el rastreador de inventario (por ejemplo, Equipo.Nombre de pantalla,
Equipo.Nombre de dispositivo, Equipo.ID de dispositivo, Equipo.Nombre de acceso, etcetera).
3. Tras seleccionar un atributo, haga clic en Agregar para moverlo al cuadro de la mitad inferior
de la ventana.
4. Si desea enumerar la lista de resultados de la consulta, seleccione Incluir recuento.
5. Repita el proceso para agregar mas atributos. Utilice los botones de flecha para agregar o
eliminar atributos y haga clic en Subir o Bajar para cambiar el orden de los atributos.
6. Para permitir que los resultados de la consulta puedan ser el destino de cualquier accion que
se especifique, seleccione Convertir resultados en destinos.
7. Una vez que haya finalizado, haga clic en Aceptar.
Tambien puede modificar los encabezados de columna en la lista de resultados de la consulta.
Para cambiar los encabezados de columna
1. En el paso 2, haga clic en Modificar.

2. En el cuadro inferior, haga clic en un encabezado de columna y luego en Modificar.
Modifique el encabezado y pulse Intro. Repita este paso las veces que sea necesario.
En este punto, es conveniente guardar la consulta. El siguiente procedimiento para crear una
consulta es opcional y solo se aplica a los resultados de la consulta quetengan dos o mas
columnas. Para guardar la consulta, haga clic en el boton Guardar de la barra de herramientas.
Escriba un nombre en el cuadro de dialogo Guardar consulta, seleccione un grupoy luego haga clic
en Guardar.
Paso 3: Ordenar los resultados por atributo [consola Web]

Este paso es necesario solo si definio mas de un atributo y encabezado de columna en el paso 2 y
luego desea ordenar los resultados alfabetica o numericamente dentro de una de esas columnas.
Por ejemplo, si especifica dos atributos diferentes para mostrar en los resultados de la consulta (la
direccion IPy el tipo de procesador), podna ordenarlos alfabeticamente segun el tipo de procesador
en los resultados.
Si se salta este paso, la consulta se ordenara automaticamente por el primer atributo seleccionado
1230
GUÍA DE USUARIO
en el paso 2.
1231
Para ordenar los resultados por atributo
1. En la pagina Modificar consulta, en el Paso 3, haga clic en Modificar. Aparecera una ventana
en la que se muestran los atributos seleccionados en el Paso 2.
2. Seleccione el atributo por el cual desea ordenar y haga clic en >> para desplazarlo al cuadro
de texto Atributos seleccionados.
Para obtener mas informacion, consulte "Bienvenido a IVANTI SmartVue" (503).
Paso 4: Ejecutar la consulta [consola Web]
Despues de crear la consulta, puede ejecutarla, guardarla o borrarla para comenzar de nuevo.
Para guardar la consulta para uso futuro
1. En la pagina Modificar consulta, haga clic en el boton Guardar de la barra de herramientas.

La consulta se muestra en la lista de la pagina Consultas personalizadas.
2. Si la consulta es una version modificada de otra, haga clic en el boton Guardar como de la
barra de herramientas para asignarle un nombre nuevo.
De forma predeterminada, solo podra visualizar las consultas guardadas por la persona que las
guardo. Si selecciona Consulta publica antes de guardarla, la consulta guardada sera visible para
todos los usuarios. Unicamente los administradores con derechos de administracion de consultas
publicas pueden hacer una consulta publica.
Para ver los resultados de una consulta

• Haga clic en el boton Ejecutar de la barra de herramientas.
NOTE: Las instrucciones de consulta se ejecutan en el orden que se muestra. Si no se hacen agrupaciones, las
consultas se ejecutan en orden de abajo hacia arriba. Asegurese de agrupar los elementos de consulta
relacionados para que se evaluen como grupo; de lo contrario, los resultados de la consulta pueden ser
diferentes a los esperados.
Ver los resultados de una consulta [consola Web]
Los resultados de la consulta coinciden con los criterios de busqueda especificados en el

proceso de generacion de consultas. Si no se obtienen los resultados esperados, regrese a la
pagina Modificar consulta y modifique los datos.
Para ver informacion de inventario acerca de un dispositivo en los resultados de una consulta
• Haga clic con el boton derecho en el nombre del dispositivo y seleccione Ver equipo.
1232
GUÍA DE USUARIO
Para imprimir los resultados de una consulta
1. Haga clic en el boton Imprimir vista de la barra de herramientas. Los resultados completos
de la consulta aparecen en formato detabla.
2. Utilice la funcion de Impresion del explorador para imprimir la lista.
Para guardar los resultados de la consulta como un archivo CSV
1. Haga clic en el boton Guardar como CSV de la barra de herramientas.

2. Especifique la ubicacion donde desea guardar el archivo.
Exportar los resultados de la consulta a un archivo CSV [consola Web]
Para ver los resultados de una consulta en una aplicacion de hoja de calculo u otra aplicacion,
exporte los datos como un archivo de Valores separados por comas (CSV).
Para guardar los resultados de la consulta como un archivo CSV
1. En la pagina de Resultados de la consulta, haga clic en el boton Guardar como CSV de la

2. Especifique la ubicacion en la cual se va a guardar el archivo.
Exportacion e importacion de consultas [consola Web]
Puede exportar e importar las consultas que ha creado. Todas las consultas se exportan como
archivos XML.
Las caractensticas de exportacion e importacion resultan utiles en dos escenarios:
• Si necesita reinstalar una base de datos, utilice las caractensticas de exportacion e

importacion a fin de guardar las consultas existentes para su uso en una base de datos
nueva.
Por ejemplo, puede exportar las consultas y moverlas a un directorio que no se vea afectado
por una reinstalacion de la base de datos. Tras reinstalar la base de datos, puede volver a
mover las consultas al directorio de consultas del servidor Web e importarlas a la base de
datos nueva.
• Las caractensticas de exportacion e importacion se pueden utilizar para copiar consultas en

otras bases de datos.
Por ejemplo, puede exportar una consulta a un directorio de consultas del servidor Web y
luego enviarlas a otro administrador de IVANTI. La persona que las reciba puede entonces
situarlas en el directorio de consultas de otro servidor Web e importarlas a una base de
datos diferente.
Para exportar una consulta
Efectue estos pasos mientras se encuentre conectado a una base de datos que tenga una consulta
1233
que desee exportar.

2. En la pagina Consultas personalizadas, haga clic en el nombre de la consulta que desea
exportar. Haga clic en el boton Modificar de la barra de herramientas.
3. En la pagina Modificar consulta, haga clic en el boton Exportar de la barra de herramientas.

Aparecera la pagina Consulta exportada.
4. Para ver el documento XML para realizar la consulta, haga clic en el enlace del documento
XML.
5. Para guardarel documento XML, haga clic con el boton derechoen el enlace yseleccione
Guardar destino como. Especifique la ubicacion en la cual se va a guardar el archivo.
Para importar una consulta
Efectue estos pasos mientras se encuentre conectado a una base de datos a la que desea importar
una consulta.
Para importar una consulta de regreso a una base de datos, la consulta debe estar en el directorio
de consultas que reconoce el servidor Web. De forma predeterminada, este directorio es
c:\inetpub\wwwroot\IVANTI\LDMS\queries.

2. En la pagina Consultas personalizadas, haga clic en el boton Nuevo de la barra de
herramientas.
3. En la pagina Modificar consulta, haga clic en el boton Importar de la barra de herramientas.

4. Seleccione la consulta que desea importar. Si desea verificar los parametros de esta
consulta antes de importarla, haga clic en el boton Ver de la barra de herramientas.
5. Haga clic en Importar para importar la consulta. Si desea importar todas las consultas de la
lista, haga clic en Importar todas.
Crear consultas de LDAP mediante el uso del Administrador del directorio [consola Web]
Ademas de tener la capacidad de consultar la base de datos central mediante consultas de bases de
datos, tambien puede utilizar la herramienta Administrador del directorio para ubicar, tener acceso y
administrar dispositivos en otros directorios a traves de LDAP (Protocolo ligero de acceso a
directorios).
Se pueden realizar consultas en dispositivos en funcion de atributos espedficos, como el tipo de

procesador o el SO. Asimismo, puede realizar consultas en funcion de atributos de usuario
espedficos, como el identificador o el departamento del empleado.
Agregar un directorio LDAP
Para administrar un directorio LDAP, es necesario agregarlo a la lista del Administrador del
directorio. Para ello, se necesitara saber la ubicacion del directorio en la red y un conjunto de
credenciales para tener acceso al directorio.
Para agregar un directorio LDAP al Administrador del directorio
1234
GUÍA DE USUARIO
1. En el cuadro de herramientas de la consola Web, haga clic en Distribucion > Administrador

del directorio.
2. Haga clic en el boton Nuevo directorio de la barra de herramientas.

3. Escriba la direccion URL para acceder al directorio. No es necesario escribir las iniciales
"LDAP://" en la URL.
4. Escriba un nombre de usuario y una contrasena para acceder al directorio.

El directorio aparece con un icono de arbol en el panel de la herramienta Administrador del

directorio. Tambien puede seleccionar el directorio y hacer clic en el boton Modificar de la barra de
herramientas para ver las propiedades.
Ver directorios LDAP
Cuando haya agregado al menos un directorio, puede ver elementos en el directorio de la vista de
arbol del Administrador del directorio, los cuales muestran todos los directorios y usuarios
registrados.
Hay dos fichas en el panel de acciones, Lista de destinos LDAPy consultas LDAP. Haga clic en ellos
para ver los objetos LDAP que se han seleccionado como destino y las consultas LDAP que se han
definido.
Destinos de los objetos LDAP
Puede seleccionar objetos en el arbol del Administrador del directorio como destinos. Los
dispositivos contenidos en esos objetos LDAP se pueden seleccionar como destinos de la accion
que se desea aplicarles, como distribucion de software o rastreos de parches ycumplimiento.
Para seleccionar objetos LDAP como destino
1. En el cuadro de herramientas de la consola Web, haga clic en Distribucion > Administrador

del directorio.
2. Vaya al arbol Administrador del directorio yseleccione un objetoen el directorio LDAP.

3. Seleccione uno o mas elementos en la lista de Recursos del directorio y haga clic en el boton
Destinos LDAP de la barra de herramientas.
4. Seleccione la herramienta que desee aplicar a los dispositivos de destino. Los elementos
que se seleccionaron como destino apareceran en la opcion Lista de destinos de la
herramienta.
Creacion de consultas de directorio LDAP
Puede crear una consulta que devuelva los resultados de un objeto de directorio, tales como una
organizacion de rafz (o), u componente de dominio (dc) o una unidad organizativa (ou).
Para crear una consulta de agente LDAP
1. En el cuadro de herramientas de la consola Web, haga clic en Distribution > Administrador

del directorio.
2. Vaya al arbol Administrador del directorio yseleccione un objetoen el directorio LDAP. La
1235
consulta que cree devolvera los resultados desde este punto en el arbol.
3. Haga clic en el boton Nueva consulta LDAP de la barra de herramientas.
4. Escriba un nombre descriptivo para la consulta.
5. Seleccione un atributo de LDAP, el cual sera un criterio de la consulta.
6. Haga clic en un operador de comparacion para la consulta (=,<=,>=) y un valor para el
atributo. Si selecciona Contiene o Existe, no se requiere ningun valor.
7. Si la consulta es compleja, seleccione Y u O para unir una instruccion a la siguiente.
8. Haga clic en Insertar para agregar la instruccion.
9. Cree instrucciones adicionales mediante la repeticion de los pasos 5 a 8.
10. Para negar una instruccion, seleccionela y haga clic en NO. Para eliminar una instruccion,
seleccionela y haga clic en Eliminar.
11. Cuando finalice la consulta, haga clic en Probar para comprobar que la consulta devuelve los
resultados.
12. Si desea modificar la consulta y utilizar sintaxis de formato libre de LDAP, haga clic en
Avanzada. La consulta se abre en una ventana de modificacion que le permite utilizar las
opciones de sintaxis.
13. Cuando haya finalizado, haga clic en Guardar. La consulta guardada aparecera en la ficha
Consultas LDAP en el panel del Administrador del directorio.
Acerca del cuadro de dialogo Consulta LDAP avanzada
En el cuadro de dialogo Consulta basica LDAP, haga clic en Avanzada para abrir el cuadro de
dialogo de Consulta LDAP avanzada. El cuadro de dialogo Consulta LDAP avanzada tambien se
abre cuando se modifica una consulta queya estaba creada.
• Nombre: el nombre de la consulta LDAP. Modifique el nombre para crear una copia de una
consulta existente.
• Ra^z de consulta LDAP: muestra el objeto rafz en el directorio de esta consulta. La consulta
que cree devolvera los resultados desde este punto en el arbol.
• Consulta LDAP: crear una consulta LDAP en formato libre.
• Probar: haga clic para ejecutar una prueba de la consulta que se creo.
Informacion adicional sobre el protocolo ligero de acceso a directorios (LDAP)
LDAP es un protocolo estandar de acceso yvisualizacion de informacion sobre usuarios y

dispositivos. Este protocolo permite organizary almacenar esta informacion en un directorio. Los
directorios LDAP son dinamicos en tanto que se pueden actualizar si es necesario, y son
distribuidos, lo que los protege de un unico punto de error.
Los ejemplos siguientes muestran consultas LDAP que se pueden utilizar para buscar en el
directorio:
• Obtener todas las entradas: (objectClass=*)
. Obtener entradas que contengan 'pedro' en el nombre comun: (cn=*pedro*)
• Obtener entradas con un nombre comun mayor o igual a 'pedro': (cn>='pedro')
1236
GUÍA DE USUARIO
• Obtener todos los usuarios con un atributo de correo electronico: (&(objectClass=user

(email=*)
• Obtener todas las entradas de usuario con un atributo de correo electronico y un apellido
igual a 'hernandez': (&(sn=smith (objectClass=user (email=*)
• Obtenertodas las entradas de usuario con un nombre comun que empiece por 'jose', 'carlos'
o 'gloria': (&(objectClass=User (| (cn=andy* (cn=steve* (cn=margaret*)
• Obtener todos las entradas sin un atributo de correo electronico: (!(email=*)
La definicion formal del filtro de busqueda es la siguiente (RFC 1960):
• <filter> ::='(' <filtercomp> ')'

• <filtercomp> ::= <and> | <or> | <not> | <item>
• <and> ::='&'<filterlist>
• <or> ::='|'<filterlist>
• <not> ::= '!' <filter>
• <filterlist> ::= <filter> | <filter> <filterlist>
• <item> ::= <simple> | <present> | <substring>
• <simple> ::= <attr> <filtertype> <value>
• <filtertype> ::= <equal> | <approx> | <ge> | <le>
• <equal> ::='='
• <approx> ::='~='
• <ge> ::='>='
• <le> ::='<='
• <present> ::= <attr> '=*'
• <substring> ::= <attr> '=' <initial> <any> <final>
• <initial> ::= NULL | <value>
• <any> ::='*'<starval>
• <starval> ::= NULL | <value> '*' <starval>
• <final> ::= NULL | <value>
El token <attr> es una cadena que representa un elemento AttributeType. El token <value> es una
cadena que representa un elemento AttributeValue cuyo formato se define por el servicio de
directorio subyacente.
Si un <valor> debe contener uno de los caracteres * o ( o), preceda el caracter del caracter de
escape de barra oblicua (\).
1237
Administracion de inventarios
Administracion de inventarios [consola Web]
Puede utilizar el rastreo de inventario para ver datos de hardware y software de los dispositivos
administrados. Los datos de inventario se almacenan en la base de datos central. Esto incluye la
informacion de hardware, controlador de dispositivos, software, memoria y entorno. Puede utilizar
estos datos de inventario para ayudar a administrary configurar dispositivos, asf como para
identificar rapidamente problemas del sistema.
Puede visualizar, imprimir y exportar datos de inventario. Se puede ademas utilizar para definir
consultas, agrupar dispositivos y generar informes especializados.
Informacion general sobre el rastreo de inventario

Al configurar un dispositivo con un agente de administracion de IVANTI, el rastreador de inventario
es uno de los componentes que se instala en el dispositivo. Cuando cree la configuracion del
agente, podra especificar cuando se ejecuta el rastreo de inventario en el dispositivo.
El rastreador de inventario se ejecuta automaticamente cuando el dispositivo se configura por

primera vez. El archivo ejecutable del rastreador se denomina ldiscn32.exe en Windows y ldiscn en
Linux. Recopila datos del hardware y software y lo introduce en la base de datos central. Despues
de eso, el rastreo del hardware se ejecuta con la frecuencia que se especifique (se ejecuta una vez
al dfa de forma predeterminada).
Para configurar las opciones de rastreo de software
1. En el servidor central, haga clicen Inicio > Todos los programas > IVANTI > Servicios de
configuracion de IVANTI.
2. Haga clic en la pestana Inventario.
3. Para cambiar la frecuencia de los rastreo de software, haga clic en Software.
4. Efectue cualquier otro cambios que desee (haga clic en Ayuda para ver las descripciones de
las opciones).
5. Cuando haya finalizado, haga clic en Aceptar.
Tras el rastreo inicial, el rastreador de inventario se puede ejecutar desde la consola como tarea
programada. El agente de administracion estandar debe encontrarse en ejecucion en los
dispositivos remotos para poder programar un rastreo de inventario en los mismos.
NOTE: Un dispositivo que se agrego a la base de datos central mediante la herramienta de Deteccion de
dispositivos no administrados aun no ha rastreado los datos del inventario en dicha base de datos. Debera
ejecutar un rastreo de inventario en cada dispositivo para que aparezcan todos los datos de dicho dispositivo.
Puede ver los datos de inventario y utilizarlos para:
1238
GUÍA DE USUARIO
• Personalizar las columnas de la lista Todos los dispositivos para mostrar atributos
especficos del inventario
• Consultar la base de datos central acerca de los dispositivos con atributos espedficos del
inventario
• Agrupar dispositivos para acelerartareas de administracion, como la distribucion de software

• Generar informes especializados segun los atributos del inventario
• Realizar un seguimiento de los cambios de hardware y software en los dispositivos, asf
como para generar alertas o entradas en el archivo de registro cuando dichos cambios se
produzcan
Rastreo delta
Tras el rastreo completo inicial en un dispositivo Windows, la ejecucion siguiente del rastreador de
inventario solo captura los cambios delta y los envfa a la base de datos central. Utilice la opcion del
rastreador/RSS para recopilar informacion de software del registro de Windows. (Esta opcion no se
aplica a los dispositivos Linux.)
Rastreo completo obligatorio
Si desea forzar un rastreo completo de los datos de hardware o software de un dispositivo

Windows, elimine el archivo de rastreo delta existente y cambie una opcion en Configuracion de
servicios. (Esta opcion no se aplica a los dispositivos Linux.)
1. Elimine el archivo invdelta.dat del dispositivo. Se almacenara de forma local una

copia del
ultimo rastreo de inventario en un archivo oculto denominado invdelta.dat. Lavariable de
entorno LDMS_LOCAL_DIR define la ubicacion de dicho archivo. De forma predeterminada
se ubica en C:\Archivos de programa\IVANTI\LDClient\Informacion.
2. Agregue la opcion /sync a la lmea de comandos de la utilidad de rastreo de inventario. Para

modificar la lfnea de comandos, haga clic en Inicio > Todos los programas > IVANTI
Management, haga clic con el boton derecho en el icono de acceso directo Rastreo de
inventario yseleccione Propiedades > Acceso directo y luego modifique la ruta de Destino.
3. En el servidor central, haga clic en Inicio > Todos los programas > IVANTI > Servicios de

5. Haga clic en la opcion Crear delta. En el cuadro Valor escriba 0.
6. Haga clic en Aceptar dos veces y haga clic en S^ cuando se presente el indicador a fin de
reiniciar el servicio.
Compresion del rastreo
De forma predeterminada, se comprimen los rastreos de inventario realizados por el rastreador de

inventario de Windows (ldiscn32.exe). El rastreador comprime los rastreos completos y delta,
utilizando una tasa de compresion de 8:1. En primer lugar, los rastreos se generan completamente
en memoria; a continuacion, se comprimen yse envfan al servidor central utilizando un tamano de
1239
paquete mayor. por lo que requiere un menor numero de paquetes y se reduce el uso del ancho de
banda. (No se utiliza la compresion de rastreo en los dispositivos Linux.)
1240
GUÍA DE USUARIO
Cifrado del rastreo
Los rastreos de inventario en dispositivos Windows se cifran (solo los rastreos de TCP/IP). Para
desactivar el cifrado del rastreo de inventario, cambie una opcion en Configuracion de servicios.
1. En el servidor central, haga clicen Inicio > Todos los programas > IVANTI > Servicios de
3. Haga clic en la opcion Deshabilitar cifrado. En el cuadro Valor escriba 1.

4. Haga clic en Establecery luego en Aceptar.
5. Haga clic en Aceptary haga clic en S^ cuando se presente el indicador a fin de reiniciar el
servicio.
Ver los datos del inventario

Una vez que se haya rastreado un dispositivo mediante el rastreador de inventario, puede visualizar
la informacion de las siguientes formas:
• Visualizacion del inventario de resumenes
• Visualizacion del inventario completo

• Visualizacion de las propiedades de los atributos
• Visualizacion de la informacion del sistema
Puede ademas visualizar datos de inventario en los informes que genere.
Visualizacion del inventario de resumen desde la consola de inventario en tiempo real
El inventario de resumen se encuentra en la pagina Resumen de la consola de informacion de

servidor y proporciona una descripcion breve sobre la informacion basica de la configuracion del
SO y del sistema correspondiente al dispositivo.
NOTE: Si ha agregado un dispositivo a la base de datos central utilizando la herramienta de deteccion, los datos
de su inventario aun no se han rastreado en la base de datos central. Debe ejecutar un rastreo de inventario en
el servidor para que la funcion Inventario resumen finalice correctamente.
Para ver el inventario resumen
1. En la vista de red de IVANTI Management Consola, en un grupo de Dispositivos, haga clic

con el boton derecho en un dispositivo yseleccione Monitor e inventario en tiempo real.
2. En el cuadro de herramientas, haga clic en Informacion del sistema > Resumen del sistema.
Datos de resumen
Esta informacion aparece cuando se ve el inventario de resumen de un dispositivo administrado.
• Estado de integridad: estado de mantenimiento actual del dispositivo.

• Tipo: el tipo de dispositivo.
1241
• Fabricante: el fabricante del dispositivo.

• Modelo: el tipo de modelo del dispositivo.
• Version de BIOS: La version del ROM BIOS.
• Sistema operativo: el SO Windows o Linux que se ejecuta en el servidor.
• Version de SO: numero de version del SO que se ejecuta en el dispositivo.
• CPU: el tipo de procesador o procesadores incluidos en el dispositivo.
• Rastreador de vulnerabilidades: version del agente instalado.
• Control remoto: version del agente instalado.
• Distribution de software: version del agente instalado.
• Rastreador de inventario: version del agente instalado.
• Supervision: version del rastreador de supervision instalado
• Ultimo reinicio: ultima vez que se reinicio el dispositivo.
• Uso de la CPU: porcentaje del procesador actualmente en uso.
• Memoria fsica utilizada: la cantidad de memoria RAM disponible en el dispositivo.
• Memoria Virtual utilizada: la cantidad de memoria disponible en el dispositivo, incluida
la RAM y la del archivo de intercambio.
• Espacio de disco utilizado: El porcentaje del espacio en disco actualmente en uso. Si tiene
mas de una unidad de disco duro, se muestra cada una de ellas.
Los dispositivos habilitados para IPMI muestran datos adicionales espedficos a IPMI. Los
dispositivos Linux tambien muestran information adicional en la vista de Resumen.
Visualizacion del inventario completo
Un inventario completo proporciona una lista entera de los componentes detallados de hardware y
software de un dispositivo. Dicha lista contiene objetos y atributos de objeto.
Para ver un inventario completo
1. En la vista de red de IVANTI Management Consola, en un grupo de Dispositivos, haga doble

clic en un dispositivo.
2. En la herramienta Mis dispositivos de la consola Web, seleccione un grupo (como Mis
dispositivos) y haga clic en un dispositivo. En el panel de acciones, haga clic en la ficha
Propiedades y luego haga clic en Ver inventario.
Visualizacion de las propiedades de los atributos
En la lista de inventario, puede ver las propiedades de los atributos de los objetos de inventario de
un dispositivo. Estas propiedades le informaran de las caractensticas y valores de un objeto de
inventario. Puede ademas crear atributos personalizados y modificar otros definidos por el usuario.
Para ver las propiedades de un atributo

1. En la lista de inventario completo, haga clic en el atributo en el panel izquierdo. Puede que
necesite expandir los elementos para ubicar el atributo que desee.
2. Para imprimir la informacion, utilice la funcion de Imprimir del navegador.
1242
GUÍA DE USUARIO
Visualizacion de la informacion del sistema
En la consola del Monitor e inventario en tiempo real, puede ver y modificar la informacion del
sistema del dispositivo. La informacion en las categories de Hardware, Software, Registros y Otras
son datos almacenados o datos de tiempo real. Si hace clic en un enlace de informacion, podra ver
informacion detallada sobre el componente seleccionado y en los casos correspondientes, definir
umbrales y especificar informacion.
1. En la vista de Todos los dispositivos de la consola Web, haga doble clic en un dispositivo.
2. En el cuadro de herramientas, haga clic en Informacion del sistema.

3. Expanda el grupo y haga clic en el vrnculo de informacion que desee ver.
Mantenimiento e instalacion de la base de datos central

Compatibilidad con varios servidores centrales [consola Web]
Deben satisfacerse las siguientes condiciones a fin de utilizar varios servidores centrales:
• Ambos servidores centrales deben formar parte del mismo dominio.

• La cuenta de administrador de dominios debe agregarse al grupo de usuarios locales de
ManagementSuite de IVANTI en ambos servidores centrales.
• La identidad de la aplicacion IVANTI COM+ bajo los servicios de componentes debe definirse
en el administrador de dominios. Esto se describo en la siguiente seccion.
• Debe modificarse el archivo core.asp para incluir el segundo servidor central. El archivo
core.asp se encuentra en la carpeta \inetpub\wwwroot\IVANTI\LDMS\xml. Una vez finalizado,
cuando ingrese por primera vez a la consola Web en un explorador, vera una lista
desplegable que contiene los servidores definidos en core.asp. Haga clic en el servidor que
desee y luego en
Conectar.
A continuacion encontrara un core.asp de muestra que incluye varios servidores.
<?xml version="1.0" ?>

<core>
<cores>
<item name="Core Host Name 1" rollup="0"/>
<item name="Core Host Name 2" rollup="0"/>
<item name="Rollup Core Host Name 3" rollup="1"/>
</cores>
</core>
1243
Para iniciar una sesion en un servidor central en un entorno de varios servidores centrales
1. Inicie la consola Web Endpoint Manager.

2. En la lista de Seleccionar un servidor central, seleccione el servidor central en el cual desea
iniciar sesion y haga clic en Conectar. Escriba el nombre de usuario y la contrasena.
Notas
• Para completar de forma correcta la configuracion completa del cliente, utilice la URL del
servidor central. En caso contrario, no funcionara la configuracion.
• Le puede resultar util agregar entradas para cada servidor central en el menu de Favoritos
del navegador. Esto facilita el intercambio entre servidores centrales.
Configuracion de credenciales de servidor COM+
Cuando utilice un servidor de consola Web que no se encuentra en el servidor central o si desea
utilizar grupos de dominio dentro del grupo de IVANTI Endpoint Manager en el servidor central, hay
una configuracion adicional de servidor que debe realizar para que funcione correctamente la
autenticacion de Endpoint Manager. Los servidores de la consola Web deben obtener la informacion
de conexion de la base de datos y la informacion del servidor central, pero debido a que los
servidores de consola Web utilizan las credenciales Web sin personalizar en IIS, no se pueden
comunicar de forma directa con el servidor central.
Para resolver este problema, el servidor de la consola Web y el servidor central utilizan una
aplicacion COM+ para comunicarse mediante HTTPS, lo que permite al servidor de la consola Web
obtener la informacion de usuario y la base de datos del servidor central. Necesita configurar esta
aplicacion COM+ en el servidor de la consola Web para utilizar una cuenta que tenga los derechos
necesarios, como la cuenta del administrador de dominio. La cuenta que proporcione debe
pertenecer al grupo de IVANTI Endpoint Manager del servidor central (esto le permite el acceso a la
informacion de conexion de base de datos del servidor central) y necesita tener derechos para
enumerar miembros de dominio de Windows.
Si utiliza grupos de dominio dentro del grupo de IVANTI Endpoint Manager del servidor central,
Endpoint Manager tambien necesita tener la capacidad de enumerar los miembros de dominio de
Windows. En este caso, tambien debe proporcionar una cuenta para la aplicacion IVANTI1 COM +
del servidor central.
Para configurar la aplicacion IVANTI1 COM+ en un servidor central o de consola Web remota
1. Vaya al servidor Web o al servidor central que desea configurar.

2. En las Herramientas administrativas del panel de control de Windows, abra Servicios de
componentes.
3. Haga clic en Servicios de componentes > Equipos > Mi equipo > Aplicaciones COM+.
4. Haga clic con el boton derecho en la aplicacion IVANTI1 COM+ y seleccione Propiedades.
5. En la pestana Identidad, introduzca las credenciales que desea utilizar.
1244
GUÍA DE USUARIO
Inventario Manager
Administrador de inventario de IVANTI
IVANTI Inventario Manager es una version de IVANTI Endpoint Manager 9 que contiene solamente
las caractensticas relacionadas con el inventario:
• Caractensticas de la consola relacionadas con el inventario y el rastreo de inventario

• Formularios de datos personalizados
• Deteccion de dispositivos no administrados
• Informes de las caractensticas anteriores
La instalacion de Inventario Manager en un servidor central contiene todos los componentes de

Endpoint Manager 9. No obstante, cuando se activa un servidor central con una cuenta con licencia
de Inventario Manager, las caractensticas que no pertenecen a Inventario Manager no se pueden
utilizar o no estan visibles en la consola Web o en Endpoint Manager.
Si utiliza el Administrador de inventario, consulte las secciones que corresponden a la lista de

funciones que se encuentran mas arriba. Normalmente, podra reconocer la informacion que no es
pertinente en cada capftulo si las secciones cubren caractensticas de Endpoint Manager, tales
como la distribucion de software y el control remoto, las cuales no forman parte de Inventario
Manager.
• Seleccione una configuracion para el vigilante del agente: especifica que configuracion se
utiliza para la tarea. Seleccione una configuracion de la lista desplegable o haga clic en
Configurar para crearuna nueva.
Cuando selecciona el boton Aceptar, todos los dispositivos de destino seleccionados se actualizan
con la nueva configuracion y aparece un mensaje de estado.
• Tftulo: escriba un tftulo descriptivo del informe.
• Description: agregue cualquier otra informacion descriptiva del informe.
• Cargar desde la consulta de LDMS: seleccione una consulta de Endpoint Manager y util^cela
como base de un nuevo informe.
• Tipo de grafico: seleccione un estilo de grafico (circular o de barras).

• Campo de consulta: especifique que campo del informe se representa en el grafico.
• Disenador de informes: abre la aplicacion del disenador de informes para realizar cambios
detallados de los datos del informe y el diseno. (Si este boton aparece atenuado, el usuario no
tiene derechos de Disenador de informes).
• Vista previa: vea el informe con las opciones que selecciono en este cuadro de dialogo.
• Regreso al informe principal: si esta viendo un informe secundario, regrese al informe
principal que inicio el informe secundario.
• Mostrar u Ocultar la barra lateral: Activar o desactivar el panel de la barra lateral, el cual
1245
muestra las opciones de busqueda yde parametros, y la vista de mapa del documento.
• Configuracion de pagina: cambiar la configuracion de la pagina, la orientacion y los ajustes
de margen.
Acerca del Antivirus: Pagina de cuarentena/copia de seguridad
Utilice esta pagina para configurar el tamano de la carpeta de cuarentena/copia de seguridad y las
opciones de restauracion de objetos que desee que esten disponibles para los usuarios finales.

• Limitar tamano de la carpeta cuarentena/copia de seguridad: Permite especificar el tamano
maximo de la carpeta compartida cuarentena/copia de seguridad en los dispositivos de
destino. Esta carpeta es un area de almacenamiento segura y aislada en los dispositivos que
tienen IVANTI Antivirus. En forma predeterminada, el tamano de almacenamiento de
cuarentena es de 50 MB y los objetos que se encuentran en cuarentena se almacenan
durante 90 dfas. Los objetos de la carpeta cuarentena/copia de seguridad se pueden volver a
analizar, eliminar o restaurar.
NOTA: Los archivos en cuarentena se vuelven a analizar automaticamente con las ultimas
definiciones de virus, siempre que se ejecute un analisis a peticion o que se actualicen
archivos de patrones de antivirus en los dispositivos para ver si se pueden limpiar los
objetos infectados. Si un archivo en cuarentena puede limpiarse, este se restaura
automaticamente y se notifica al usuario.
NOTA: Cuando se detecta una infeccion por virus, primero se hace una copia del archivo
infectado (con una extension * *.bak en la carpeta \LDClient\Antivirus\) y luego se limpia. Si
no puede desinfectarse, el archivo original se mueve a la carpeta cuarentena (con una
extension *.qar en la carpeta \LDClient\Antivirus). Luego se quita la cadena del virus y se
codifica el archivo para que no se pueda acceder a el ni ejecutarlo.
• Permitir abrir desde aplicaciones/cuentas administradas a no administradas: permite al
usuario cambiar de aplicaciones o cuentas no administradas desde una aplicacion o cuenta
administrada. Por ejemplo, si la aplicacion de correo electronico se administra pero la del
explorador, no, el usuario podna hacer clic en un vrnculo del correo electronico que
iniciana el explorador.
Acerca del Antivirus: Pagina de cuarentena/copia de seguridad
Utilice esta pagina para configurar el tamano de la carpeta de cuarentena/copia de seguridad y las
opciones de restauracion de objetos que desee que esten disponibles para los usuarios finales.

• Limitar tamano de la carpeta cuarentena/copia de seguridad: Permite especificar el tamano
maximo de la carpeta compartida cuarentena/copia de seguridad en los dispositivos de
destino. Esta carpeta es un area de almacenamiento segura y aislada en los dispositivos que
tienen IVANTI Antivirus. En forma predeterminada, el tamano de almacenamiento de
cuarentena es de 50 MB y los objetos que se encuentran en cuarentena se almacenan
durante 90 dfas. Los objetos de la carpeta cuarentena/copia de seguridad se pueden volver a
1246
GUÍA DE USUARIO
analizar, eliminar o restaurar.
NOTA: Los archivos en cuarentena se vuelven a analizar automaticamente con las ultimas
definiciones de virus, siempre que se ejecute un analisis a peticion o que se actualicen
archivos de patrones de antivirus en los dispositivos para ver si se pueden limpiar los
objetos infectados. Si un archivo en cuarentena puede limpiarse, este se restaura
automaticamente y se notifica al usuario.
NOTA: Cuando se detecta una infeccion por virus, primero se hace una copia del archivo
infectado (con una extension * *.bak en la carpeta \LDClient\Antivirus\) y luego se limpia. Si
no puede desinfectarse, el archivo original se mueve a la carpeta cuarentena (con una
extension *.qar en la carpeta \LDClient\Antivirus). Luego se quita la cadena del virus y se
codifica el archivo para que no se pueda acceder a el ni ejecutarlo.
• Tiene un deposito para el registro de eventos del sistema (SEL)
1247

LD Ms 2016 Users

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

LD Ms 2016 Users

Caricato da

Copyright:

Formati disponibili

GUÍA DE USUARIO

Last updated: 3/8/2017

Uso del agente de avance ................................................................................................................ 116

Acerca del cuadro de dialogo consulta LDAP avanzada ................................................................... 201

Uso de las herramientas de dibujo en los dispositivos remotos ........................................................279

IVANTI SmartVue 503

Overview of rollout projects .............................................................................................................. 717

Ver los informes de administracion de energia 1022

Para obtener informacion acerca de las novedades, consulte Novedades de.

Fuentes de informacion adicionales

• Pagina principal de la Comunidad de usuarios de IVANTI

• Requisitos del sistema

[pmaie Vartani Ajjjie

SLC £ * COR |C»3fc}.ar-<

^ CotmJawoa O C o'tl ^ Ackvaded de AdminofcecC Sin<icmac-> Iffl Adoetiakedoa Delecadn de I C onf«gjac«3n

Obtener una instalacion completa y al dla e informacion sobre la configuracion

NOTE: La Comunidad de Usuarios de IVANTI

Asistentes de instalacion de la consola

Asistente para empezar

• Programartareas en los dispositivos administrados

Deteccion e instalacion de los asistentes de agentes

El asistente Descargar actualizaciones de revisiones le ayuda al usuario a descargar y manejar los

servidores de contenido de IVANTI El asistente ayuda a configurartareas para descargar actualizaciones,

Asistente de Creacion de roles y grupos

• Contrasena: la contrasena de usuario. (NOTA: si un administrador de IVANTI cambia la contrasena

Inicio de sesion unico en la consola de IVANTI

Para habilitar el inicio de sesion unico

2. En el campo Nombre de usuario, introduzca el dominio\nombre de usuario.

6. En la pestana General, del campo Inicio de sesion unico, seleccione Solo.

Vista de red de la consola

Panel de la Vista de red A, vista de la lista de los elementos seleccionados B

Sintaxis del nombre del objeto central

La sintaxis para el nombre de objeto central es:

Nombre de servidor\Instancia de base de datos

El grupo Dispositivos incluye los siguientes subgrupos de dispositivos.

NOTE: Arrastrar y colocar elementos en la Vista de red

de dispositivos en Mis hosts de SO virtuales.

El grupo Consultas incluye los siguientes subgrupos de consultas.

El grupo Configuracion incluye los siguientes subgrupos de configuracion.

Resultados del Inspector

Iconos de la Vista de red

NOTE: Resolucion de imagen de los iconos

Crear grupos en la Vista de red

Reglas para la creacion de grupos

2. Escriba un nombre para el nuevo grupo y, a continuacion, pulse la tecla Intro.

Configuracion de la Vista de red con conjuntos de columnas

Utilice la herramienta de Configuracion de conjuntos de columnas (Herramientas > Administration >

Herramienta de conjuntos de columnas

La ventana de Herramienta de conjuntos de columnas organiza los conjuntos de columnas en tres

Crear conjuntos de columnas

Para crear un conjunto de columnas

1. Haga clic en Herramientas > Administration > Configuration de conjuntos de columnas.

3. En el cuadro de dialogo Configuracion de columnas, escriba un nombre para el nuevo conjunto

7. Haga clic en Aceptar para guardar el conjunto de columnas.

Para cambiar u ocultar columnas

Tambien puede volver a la configuracion original de visualizacion de columnas haciendo clic en

• Agregar a nuevo grupo

Acerca del cuadro de dialogo Configuracion de columnas

Este cuadro de dialogo contiene las opciones siguientes:

• Nombre: Identifica la configuracion de columnas.

izquierda de cada objeto.

Ver las propiedades del dispositivo

Dialogo de Propiedades del dispositivo